對資料包捕獲的IPsec隧道和常見控制平面問題進行故障排除

下載選項

PDF (2.8 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (2.5 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (1.8 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2023 年 12 月 5 日

文件 ID:221221

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本檔案介紹在協商Cisco IOS® XE路由器上的站點到站點VPN時，封包擷取、其他工具如何協助解決控制平面問題。

必要條件

需求

思科建議您瞭解以下主題：

Cisco IOS® CLI配置基礎知識。
IKEv2和IPsec的基礎知識。

採用元件

本檔案中的資訊是根據以下軟體版本：

CSR1000V — 運行版本16.12.0的Cisco IOS XE軟體。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

資料包捕獲是一個功能強大的工具，可幫助您驗證資料包是否在VPN對等裝置之間傳送/接收。它們還確認IPsec調試中看到的行為是否與捕獲上收集的輸出一致，因為調試是邏輯解釋，而捕獲表示對等體之間的物理互動。因此，您可以確認或放棄連線問題。

有用工具

有一些有用的工具可幫助您配置捕獲、提取輸出並對其進行進一步分析。其中一些是：

Wireshark：這是一款眾所周知且使用的開源資料包分析器。
監控捕獲：路由器上的Cisco IOS XE功能，可幫助您收集捕獲，並提供流量外觀、收集的協定及其時間戳的簡單輸出。

如何在IOS XE路由器上配置捕獲

Configure Captures on IOS XE Router

捕獲使用擴展訪問清單(ACL)，定義要收集的流量型別，以及VPN對等體或相關流量段的源地址和目的地址。如果路徑上啟用了NAT-T，則通道交涉會使用UDP連線埠500和連線埠4500。一旦協商完成且通道建立，如果啟用NAT-T，相關流量將使用IP協定50(ESP)或UDP 4500。

為了排查與控制平面相關的問題，必須使用VPN對等點IP位址來擷取通道交涉的方式。

VPN Peers IP Addresses Must be Used

config terminal
ip access-list extended <ACL name>
permit udp host <local address> host <peer address>
permit udp host <peer address> host <source address>
exit
exit

設定的ACL是用來縮小擷取流量的範圍，且它放置於用來交涉通道的介面上。

Configured ACL Used to Narrow the Captured Traffic

Side-A and Side-B

monitor capture <capture name> access-list <ACL name> buffer size <custom buffer size in MB> interface <source interface of teh router> both

設定擷取後，可以操縱擷取停止、清除或擷取使用下列命令收集的流量：

檢查常規捕獲資訊：show monitor capture
啟動/停止捕獲：監控捕獲上限啟動/停止
驗證捕獲正在收集資料包: show monitor capture cap buffer
請參閱流量的簡短輸出：show monitor capture cap buffer brief
清除捕獲：監控捕獲封蓋清除
提取捕獲輸出：
- 監控帽帽緩衝傾印
- monitor capture cap export bootflash:capture.pcap

使用封包擷取分析通道建立

如前所述，要協商IPSec隧道，如果啟用NAT-T，則資料包將通過埠500和埠4500的UDP傳送。利用捕獲，可以從這些資料包中看到更多資訊，例如正在協商的階段（階段1或階段2）、每個裝置的角色（發起方或響應方），或者剛剛建立的SPI值。

Analyze Tunnel Establishment with Packet Captures

顯示路由器捕獲的簡短輸出，即對等體之間的互動（傳送UDP資料包）。

Output of Capture from the Router

提取轉儲並從路由器匯出pcap檔案後，可以使用wireshark檢視資料包中的詳細資訊。

Information from the Packets is Visible Using Wireshark

在傳送的第一個IKE_SA_INIT Exchange資料包的Internet協定部分上，找到UDP資料包的源地址和目的地址。在使用者資料包協定(User Datagram Protocol)部分中，顯示使用的埠，以及網際網路安全關聯和金鑰管理協定(Internet Security Association and Key Management Protocol)部分顯示協定的版本、正在交換的消息型別、裝置的角色以及建立的SPI。收集IKEv2調試時，調試日誌中會顯示相同的資訊。

Internet Protocol Section Sent