Überprüfung und Identifizierung von Paketverlusten im WAN für das SD-WAN

Einleitung

In diesem Dokument wird beschrieben, wie Sie Daten identifizieren und erfassen, wenn der Datenverkehr im WAN verloren geht, am SD-WAN-Edge jedoch keine Datenverluste auftreten.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Cisco Software-Defined Wide Area Network (SD-WAN)
• Integrierte Paketerfassung oder vManage-Paketerfassung
• Wireshark
• Microsoft Excel

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• C8000V Version 17.03.04
• vManage, Version 20.3.4
• Wireshark Version 2.6.3

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrund

Zur Unterstützung bei dieser Herausforderung wird in diesem Dokument beschrieben, wie Sie bestimmten Datenverkehr mit Differentiated Services Code Point (DSCP) markieren, um die gewünschten Pakete zu identifizieren. DSCP kann verwendet werden, um den Datenverkehr zu identifizieren, da dieser Wert vom inneren Paket-Header in den IPsec-Header kopiert wird. Sobald die gewünschten Pakete identifiziert wurden, wird gezeigt, wie der Datenverkehr über zwei WAN-Erfassungen abgeglichen werden kann, um sicherzustellen, dass der Datenverkehr von der Quelle bis zum Ziel übertragen wird.

Diese Fehlerbehebungstechnik wird an zwei Standorten mit einem Router demonstriert. In diesem Fall wird der ICMP-Datenverkehr zwischen 10.0.0.10 und 10.0.2.10 in Form von 100 Pings gesendet, wie im Bild gezeigt. In diesem Beispiel gibt es keinen Verlust, aber die gleiche Fehlerbehebungstechnik wird verwendet, wenn ein Verlust vorliegt, um ihn zu identifizieren.

Fehlerbehebung

Übersichtsprozess

1. Für den Datenverkehr, der über das WAN verfolgt wird, ist eine Zugriffsliste (ACL) (oder eine zentrale Richtlinie) erforderlich, um den Datenverkehr mit einem nicht verwendeten DSCP-Wert zu markieren. In diesem Beispiel wird DSCP 27 verwendet.
2. Sobald der Datenverkehr markiert ist, wird die integrierte Paketerfassung verwendet, um die Pakete an der Transportschnittstelle des Quell- und Zielrouters zu erfassen. 

Hinweis: Die vManage-Paketerfassung kann ebenfalls verwendet werden, auch wenn die Laufzeit auf 5 MB an Daten oder 5 Minuten beschränkt ist.

1. Nachdem die Aufnahmen gemacht wurden, öffnen Sie sie in Wireshark, um sie anzuzeigen.
2. Der Filter wird in Wireshark angewendet, um anzuzeigen, welche Pakete erwünscht sind, und dann werden sie verglichen.
3. Microsoft Excel wird für große Aufnahmen verwendet, um die Genauigkeit zu gewährleisten.

Markieren des gewünschten Datenverkehrs mit DSCP

Eine Zugriffsliste wie im Beispiel wird auf dem Quellrouter (in diesem Beispiel cEdge1) konfiguriert und auf die Schnittstelle im SD-WAN-Teil der Routerkonfiguration angewendet, wie dargestellt.

Ein optionaler Zähler wird angewendet, um zu überprüfen, ob der Datenverkehr die Richtlinie wie erwartet erreicht. Dies kann mithilfe des Befehls show sdwan policy access-list-counters überprüft werden.

policy
 access-list mark_dscp_27
  sequence 10
   match
    source-ip 10.0.0.10/32
    destination-ip 10.0.2.10/32
   !
   action accept
    count MARK_DSCP_27_COUNT   (optional counter to verify packets that hit the policy)
    set
     dscp 27
    !
   !
  !
  default-action accept

sdwan
 interface GigabitEthernet3
  access-list mark_dscp_27 in

Erfassen Sie den Datenverkehr mit der integrierten Erfassung

Anmerkung: Konfigurieren einer integrierten Paketerfassung in Cisco IOS XE zum Erfassen der verschlüsselten Pakete, die das WAN durchlaufen, Navigieren zu Embedded Packet Capture für Cisco IOS und Cisco IOS XE - Konfigurationsbeispiel

Anmerkung: Eine ACL muss verwendet werden, um den EPC im WAN zu begrenzen, da der EPC eine Durchsatzrate von mehr als 1000 PPS haben könnte.

Beispiel

Auf cEdge1 und cEdge3 wird eine ACL konfiguriert, da der Datenverkehr in diesem Beispiel nur in der Richtung von Quelle zu Ziel überprüft wird.

Anmerkung: Die WAN-IP-Adressen werden zum Filtern der Erfassung verwendet. Es gibt mehrere Ausgänge, die den Pfad für den Datenverkehr identifizieren können, sodass die richtigen WAN-IPs für den ACL-Filter identifiziert werden können. Die Befehle, die zum Generieren dieser Ausgabe verwendet werden können, sind show sdwan app-fwd cflowd flows und show sdwan policy service path. Bitte navigieren Sie zu Conditional Packet Trace, um die Fehlerbehebungsbedingung zu erhalten.

ip access-list extended CAP-Filter
    10 permit ip host 192.168.23.149 host 192.168.28.240

An diesem Punkt werden die Captures auf beiden Routern gestartet und 100 Pings über das Overlay gesendet. 

#ping vrf 10 10.0.2.10 rep 100 
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 10.0.2.10, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Success rate is 100 percent (100/100), round-trip min/avg/max = 1/1/4 ms

Nachdem die Aufnahmen angehalten und von beiden Routern gesammelt wurden, müssen sie in Wireshark geöffnet werden, um sie anzuzeigen. 

Analyse über Wireshark

Sobald die cEdge1-Erfassung in Wireshark geöffnet ist, wird deutlich, dass der gesamte Datenverkehr verschlüsselt ist und es nicht einfach ist, zu entschlüsseln, welche Pakete die Pings sind, die gesendet wurden.

Filtern Sie diese Erfassung mit einem Anzeigefilter ip.dsfield.dscp == 27, es wird deutlich, dass nur 100 Pakete am unteren Bildschirmrand angezeigt werden und dass der DSCP-Spaltenwert alle 27 anzeigt.

In einigen Fällen, in denen der DSCP-Wert im gesamten WAN beibehalten wird, kann derselbe Filter für die Zielerfassung verwendet werden.

In anderen Fällen ist dies nicht möglich, z. B. wenn der DSCP-Wert über eine öffentlich-rechtliche Internetverbindung gelöscht wird.

Filtern des gewünschten Datenverkehrs nach ESP-Sequenz 

In beiden Fällen kann der Datenverkehr mit den ESP-Sequenznummern identifiziert werden.

Um die ESP-Sequenznummern im Paket anzuzeigen, klicken Sie mit der rechten Maustaste auf die Erfassung, und wählen Sie Decode (Dekodieren), wie dargestellt.

Wählen Sie das Dropdown-Menü Aktuelles Feld aus, und geben Sie in diesem Feld UDPENCAP ein, oder wählen Sie es aus dem Dropdown-Menü aus.

Wählen Sie nach Abschluss dieses Vorgangs OK aus.

Erweitern Sie im Abschnitt "Wireshark Packet Details" den Encapsulating Security Payload-Teil des Pakets, um die ESP-Sequenz anzuzeigen.

Klicken Sie mit der rechten Maustaste auf ESP Sequence (ESP-Sequenz) und wählen Sie Apply as column (Als Spalte anwenden) aus, damit die ESP Sequence als Spalte im Abschnitt Packet List (Paketliste) im oberen Bereich des Wireshark-Bildschirms angezeigt wird.

Anmerkung: Der ESP-SPI für die Pakete auf dem cEdge1 ist 0x040001dc. Dies wird für einen Filter für die Zielerfassung verwendet.

Öffnen Sie die Zielerfassung, wiederholen Sie die Schritte zur Dekodierung als UDPENCAP, und zeigen Sie die ESP-Sequenznummern in den Paketen an.

Sobald die Pakete die ESP-Sequenznummer anzeigen, kann der ESP-SPI aus der ersten Erfassung als Filter für die zweite Erfassung verwendet werden, um nur den Datenverkehr innerhalb dieses SPI anzuzeigen, der dem gewünschten Datenverkehr entspricht.

Beachten Sie, dass für die Paketsequenznummern, die mit beiden übereinstimmen, DSCP 27 markiert ist.

Dieser Vergleich kann manuell in Wireshark durchgeführt werden, oder Sie können diesen Vergleich mit Microsoft Excel durchführen.

Um Microsoft Excel zum Vergleichen zu verwenden, müssen beide Erfassungen so aufgeteilt werden, dass sie nur Pakete enthalten, die sich in beiden Erfassungen befinden.

Bei der Quellenerfassung weist das erste relevante Paket die ESP-Sequenz 306 auf, die der Paketnummer 451 entspricht.

Das letzte relevante Paket in der Quellenerfassung hat die ESP-Sequenz 405 und ist die Paketnummer 550.

Bei der Zielerfassung entspricht das erste relevante Paket der Quellerfassung mit ESP-Sequenz 306, bei dieser Erfassung ist es jedoch Paket 463.

Das letzte relevante Paket ist ebenfalls mit der ESP-Sequenz 405 vorhanden und es ist das Paket 564.

Die erste Erfassung muss nun in Abschnitte aufgeteilt werden, sodass nur relevante Pakete enthalten sind.

Navigieren Sie zu Datei > Paketdissektionen exportieren > Als CSV...

Wählen Sie Captured (Erfasst) und Range (Bereich) aus, und geben Sie im Feld Range (Bereich) den Bereich vom ersten relevanten Paket bis zum letzten relevanten Paket ein.

Geben Sie einen Dateinamen in das Feld Dateiname ein, und klicken Sie auf Speichern.

Wiederholen Sie den gleichen Prozess bei Erfassung 2 für die relevanten Pakete.

Öffnen Sie beide CSV-Dateien in Microsoft Excel.

Speichern Sie das CSV für die Quellaufzeichnung als XLSX-Format.

Wählen Sie am unteren Bildschirmrand das +-Symbol aus, um ein weiteres Blatt hinzuzufügen. Nennen Sie es CAP2_slice.

Öffnen Sie die CSV-Datei CAP2 und drücken Sie STRG + a, um alle auszuwählen, und STRG + c, um sie zu kopieren.

Navigieren Sie zur Datei CAP1_slice.xlsx, und fügen Sie auf der zweiten Registerkarte für CAP2_slice (STRG + v) die kopierten Informationen in die Zelle A1 ein.

Navigieren Sie zurück zum Blatt CAP1_slice, und erstellen Sie eine neue Spalte mit dem Namen COMPARE_ESP_SEQUENCE.

Da sich die ESP-Sequenznummer in Spalte G befindet, erstellen Sie einen VLOOKUP-Befehl, um die beiden Blätter zu vergleichen und sicherzustellen, dass alles in Spalte G der Quelle in Spalte G des Ziels enthalten ist.

=IF(ISNA(VLOOKUP(G2,CAP2_slice!G:G,1,FALSE)),"MISSING","PRESENT")

Nachdem die Eingabetaste ausgewählt wurde, wird das Wort PRESENT angezeigt. Dies bedeutet, dass das Paket mit ESP-Sequenz 306 im zweiten Blatt vorhanden ist. Dies ist von Bedeutung, da es bedeutet, dass das Paket von der Quelle bis zum Ziel übertragen wurde.

Wählen Sie Spalte O Zeile 2 aus, und bewegen Sie den Mauszeiger über die untere rechte Ecke des grünen Felds um diese Zelle.

Halten Sie die Maustaste gedrückt, und ziehen Sie die Maus nach unten, um diese Formel an das Ende der Zellen zu kopieren, die Werte haben.

Blättern Sie zurück zum Anfang der Tabelle, und klicken Sie auf COMPARE_ESP_SEQUENCE. Wählen Sie dann Sortieren & Filtern.

Wählen Sie Filter aus dem Dropdown-Menü aus.

In der Spalte COMPARE_ESP_SEQUENCE wird ein Dropdown-Menü angezeigt.

Klicken Sie auf das Dropdown-Menü in der Überschrift COMPARE_ESP_SEQUENCE. Beachten Sie, dass in diesem Beispiel nur der Wert PRESENT angezeigt wird. Dies bedeutet, dass alle Pakete in beiden Erfassungen vorhanden sind.

Um ein problematisches Beispiel zu erstellen, löschen Sie 10 Pakete aus dem CAP2_slice, um zu zeigen, wie dies in einem Test funktionieren würde, bei dem einige verpasste Pakete fehlen.

Navigieren Sie zurück zum Blatt CAP1_slice, und jetzt sehen Sie, dass 10 Pakete fehlen.

Wenn das Dropdown-Menü in der Spalte COMPARE_ESP_SEQUENCE ausgewählt wird, werden auch FEHLENDE Pakete angezeigt. Sie können diese Einstellung aktivieren, um nur die FEHLENDEN Pakete anzuzeigen.

Jetzt werden nur noch die fehlenden Pakete in der Excel-Tabelle angezeigt.

 DSCP ist auf dem Empfänger anders

In einigen Szenarien wird der DSCP-Wertesatz vom ISP gelöscht, sodass er auf der Empfängerseite nicht mit dem DSCP auf dem Sender übereinstimmt. Ein weiteres nützliches Tool zur Ergänzung dieses Szenarios und zum Verfolgen der Pakete ist der ESP-SPI und die ESP-Sequenznummer.

Der DSCP sollte verwendet werden, um interessante Pakete vom Absender zu identifizieren. Anschließend kann die ESP-Sequenznummer dieser spezifischen Pakete mit der Empfängererfassung verglichen werden. Anders als die DSCP-Markierung kann die ESP-Sequenznummer nicht geändert werden, da sie in die SD-WAN IPSEC-Funktionalität eingebettet ist. Dadurch kann die ESP-Sequenznummer nützlich sein, um die interessanten Pakete (die vom DSCP des Absenders abgeglichen wurden) über das Underlay zu verfolgen.

Um die ESP-Sequenznummern zu vergleichen, kann die ESP-Sequenznummer in Wireshark als Spalte hinzugefügt und zwischen der ausgehenden und der eingehenden Erfassung verglichen werden.

Wenn die pcap-Architektur in Wireshark geöffnet wird, können Sie die ESP-SPI- und Sequenznummer anzeigen, ein Paket erweitern, mit der rechten Maustaste auf die Protokolleinstellungen klicken und diese auswählen, nach UDPENCAP suchen und den Standardport in den SD-WAN-Port (Quellport) ändern, wie im Bild dargestellt.

Nachdem UDPENCAP mit dem richtigen Port installiert wurde, werden die ESP-Informationen wie im Bild dargestellt angezeigt.

Anmerkung: Weitere Informationen zu ESP auf SD-WAN finden Sie unter Fehlerbehebung bei SD-WAN cEdge IPsec Anti Replay Failures.

Zugehörige Informationen

• Integrierte Paketerfassung von Cisco
• Technischer Support und Dokumentation für Cisco Systeme