Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment commencer à dépanner les problèmes courants de contrôle et de plan de données du réseau étendu défini par logiciel (SD-WAN).
Cisco vous recommande de connaître la solution Cisco Catalyst.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Cet article est conçu comme un Runbook pour fournir un point de départ pour les défis de débogage rencontrés dans les environnements de production. Chaque section présente des exemples d'utilisation courants et des points de données probables à collecter ou à rechercher lorsque vous déboguez ces problèmes courants.
Assurez-vous que les configurations de base sont présentes sur le routeur et que les valeurs spécifiques au périphérique sont uniques pour chaque périphérique dans la superposition :
system
system-ip <system –ip>
site-id <site-id>
admin-tech-on-failure
organization-name <organization name>
vbond <vbond–ip>
!
Example:
system
system-ip 10.2.2.1
site-id 2
admin-tech-on-failure
organization-name "TAC - 22201"
vbond 10.106.50.235
!
interface Tunnel0
no shutdown
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode sdwan
exit
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation ipsec
color blue restrict
no allow-service all
no allow-service bgp
no allow-service dhcp
no allow-service dns
no allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
Assurez-vous que le routeur dispose d'une route disponible dans la table de routage pour établir une connexion de contrôle avec les contrôleurs (vBond, vManage et vSmart). Vous pouvez utiliser cette commande pour afficher toutes les routes installées dans la table de routage :
show ip route
Si vous utilisez le nom de domaine complet vBond, assurez-vous que le serveur DNS ou le serveur de noms configuré dispose d'une entrée pour résoudre le nom d'hôte vBond. Vous pouvez vérifier quel serveur DNS ou serveur de noms est configuré avec cette commande :
show run | in ip name-server
Vérifiez que le certificat est installé sur le routeur à l'aide de la commande suivante :
show sdwan certificate installed
Remarque : si vous n'utilisez pas de certificats d'entreprise, le certificat est déjà disponible sur les routeurs. Pour les plates-formes matérielles, les certificats de périphérique sont intégrés au matériel du routeur. Pour les routeurs virtuels, vManage agit en tant qu'autorité de certification et génère les certificats pour les routeurs cloud.
Si vous utilisez des certificats d'entreprise sur les contrôleurs, assurez-vous que le certificat racine de l'autorité de certification d'entreprise est installé sur le routeur.
Vérifiez que les certificats racine sont installés sur le routeur à l’aide des commandes suivantes :
show sdwan certificate root-ca-cert
show sdwan certificate root-ca-cert | inc Issuer
Vérifiez le résultat de show sdwan control local-properties pour vous assurer que les configurations et certificats requis sont en place.
SD-WAN-Router#show sdwan control local-properties
personality vedge
sp-organization-name TAC - 22201
organization-name TAC - 22201
root-ca-chain-status Installed
certificate-status Installed
certificate-validity Valid
certificate-not-valid-before Nov 23 07:21:37 2015 GMT
certificate-not-valid-after Nov 23 07:21:37 2025 GMT
enterprise-cert-status Not-Applicable
enterprise-cert-validity Not Applicable
enterprise-cert-not-valid-before Not Applicable
enterprise-cert-not-valid-after Not Applicable
dns-name 10.106.50.235
site-id 2
domain-id 1
protocol dtls
tls-port 0
system-ip 10.2.2.1
chassis-num/unique-id ASR1001-X-JAE194707HJ
serial-num 983558
subject-serial-num JAE194707HJ
enterprise-serial-num No certificate installed
token -NA-
keygen-interval 1:00:00:00
retry-interval 0:00:00:18
no-activity-exp-interval 0:00:00:20
dns-cache-ttl 0:00:02:00
port-hopped TRUE
time-since-last-port-hop 0:00:01:26
embargo-check success
number-vbond-peers 1
INDEX IP PORT
-----------------------------------------------------
0 10.106.50.235 12346
number-active-wan-interfaces 2
NAT TYPE: E -- indicates End-point independent mapping
A -- indicates Address-port dependent mapping
N -- indicates Not learned
Note: Requires minimum two vbonds to learn the NAT type
PUBLIC PUBLIC PRIVATE PRIVATE PRIVATE MAX RESTRICT/ LAST SPI TIME NAT VM
INTERFACE IPv4 PORT IPv4 IPv6 PORT VS/VM COLOR STATE CNTRL CONTROL/ LR/LB CONNECTION REMAINING TYPE CON
STUN PRF
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
GigabitEthernet0/0/0 10.197.240.4 12426 10.197.240.4 :: 12426 0/0 blue up 2 yes/yes/no No/No 0:00:00:14 0:00:00:00 N 5
GigabitEthernet0/0/1 10.197.242.10 12406 10.197.242.10 :: 12406 0/0 red up 2 yes/yes/no No/No 0:00:00:03 0:00:00:00 N 5
Lors de la vérification du résultat de show sdwan control local-properties, assurez-vous que tous ces critères sont remplis :
Vérifiez l'état de la connexion de contrôle à l'aide de cette commande :
show sdwan control connection
Si toutes les connexions de contrôle sont activées, le périphérique dispose d'une connexion de contrôle formée avec vBond, vManage et vSmart. Une fois les connexions vSmart et vManage requises établies, la connexion de contrôle vBond est interrompue.
Remarque : s'il n'y a qu'un seul vSmart dans la superposition et que max-control connections est défini sur la valeur par défaut de 2, une connexion de contrôle permanente est maintenue vers vBond en plus de la connexion attendue vers vManage et vSmart.
Cette configuration est disponible sous la configuration tunnel-interface de la section sdwan interface. Vous pouvez le vérifier à l'aide de la commande show sdwan run sdwan. Si max-control-connection est configuré à 0 sur l'interface, le routeur ne forme pas de connexion de contrôle sur cette interface.
S'il y a 2 vSmarts dans la superposition, le routeur forme une connexion de contrôle à chaque vSmarts sur chaque couleur TLOC (Transport Locator) configurée pour les connexions de contrôle.
Remarque : la connexion de contrôle à vManage est formée sur une seule couleur d'interface du routeur dans un scénario où le routeur a plusieurs interfaces configurées pour former des connexions de contrôle.
SD-WAN-Router#show sdwan control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT ORGANIZATION LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart dtls 10.1.1.3 1 1 10.106.50.254 12346 10.106.50.254 12346 vTAC-India - 22201 blue No up 0:00:00:23 0
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 vTAC-India - 22201 blue - up 0:00:00:31 0
vmanage dtls 10.1.1.2 1 0 10.106.65.182 12346 10.106.65.182 12346 vTAC-India - 22201 blue No up 0:00:00:27 0
Dans le résultat de show sdwan control connections, si toutes les connexions de contrôle requises ne sont pas activées, vérifiez le résultat de show sdwan control connection-history.
SD-WAN-Router#show sdwan control connection-history
Legend for Errors
ACSRREJ - Challenge rejected by peer. NOVMCFG - No cfg in vmanage for device.
BDSGVERFL - Board ID Signature Verify Failure. NOZTPEN - No/Bad chassis-number entry in ZTP.
BIDNTPR - Board ID not Initialized. OPERDOWN - Interface went oper down.
BIDNTVRFD - Peer Board ID Cert not verified. ORPTMO - Server's peer timed out.
BIDSIG - Board ID signing failure. RMGSPR - Remove Global saved peer.
CERTEXPRD - Certificate Expired RXTRDWN - Received Teardown.
CRTREJSER - Challenge response rejected by peer. RDSIGFBD - Read Signature from Board ID failed.
CRTVERFL - Fail to verify Peer Certificate. SERNTPRES - Serial Number not present.
CTORGNMMIS - Certificate Org name mismatch. SSLNFAIL - Failure to create new SSL context.
DCONFAIL - DTLS connection failure. STNMODETD - Teardown extra vBond in STUN server mode.
DEVALC - Device memory Alloc failures. SYSIPCHNG - System-IP changed.
DHSTMO - DTLS HandShake Timeout. SYSPRCH - System property changed
DISCVBD - Disconnect vBond after register reply. TMRALC - Timer Object Memory Failure.
DISTLOC - TLOC Disabled. TUNALC - Tunnel Object Memory Failure.
DUPCLHELO - Recd a Dup Client Hello, Reset Gl Peer. TXCHTOBD - Failed to send challenge to BoardID.
DUPSER - Duplicate Serial Number. UNMSGBDRG - Unknown Message type or Bad Register msg.
DUPSYSIPDEL- Duplicate System IP. UNAUTHEL - Recd Hello from Unauthenticated peer.
HAFAIL - SSL Handshake failure. VBDEST - vDaemon process terminated.
IP_TOS - Socket Options failure. VECRTREV - vEdge Certification revoked.
LISFD - Listener Socket FD Error. VSCRTREV - vSmart Certificate revoked.
MGRTBLCKD - Migration blocked. Wait for local TMO. VB_TMO - Peer vBond Timed out.
MEMALCFL - Memory Allocation Failure. VM_TMO - Peer vManage Timed out.
NOACTVB - No Active vBond found to connect. VP_TMO - Peer vEdge Timed out.
NOERR - No Error. VS_TMO - Peer vSmart Timed out.
NOSLPRCRT - Unable to get peer's certificate. XTVMTRDN - Teardown extra vManage.
NEWVBNOVMNG- New vBond with no vMng connections. XTVSTRDN - Teardown extra vSmart.
NTPRVMINT - Not preferred interface to vManage. STENTRY - Delete same tloc stale entry.
HWCERTREN - Hardware vEdge Enterprise Cert Renewed HWCERTREV - Hardware vEdge Enterprise Cert Revoked.
EMBARGOFAIL - Embargo check failed
PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT
TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT ORGANIZATION DOWNTIME
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red challenge LISFD NOERR 2 TAC - 22201 2024-03-25T01:08:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue up LISFD NOERR 0 TAC - 22201 2024-03-25T01:08:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 16727 TAC - 22201 2024-03-25T01:08:02-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 2008 TAC - 22201 2024-03-25T01:06:36-0700
vmanage dtls 10.1.1.2 1 0 10.106.65.182 12346 10.106.65.182 12346 blue tear_down DISTLOC NOERR 4 TAC - 22201 2024-03-25T01:06:18-0700
vsmart dtls 10.1.1.3 1 1 10.106.50.254 12346 10.106.50.254 12346 blue tear_down DISTLOC NOERR 1 TAC - 22201 2024-03-25T01:06:18-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue up LISFD NOERR 15 TAC - 22201 2024-03-25T01:06:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 12912 TAC - 22201 2024-03-25T01:05:20-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 11468 TAC - 22201 2024-03-25T01:04:36-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 10854 TAC - 22201 2024-03-25T00:57:49-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 4660 TAC - 22201 2024-03-25T00:51:30-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 2600 TAC - 22201 2024-03-25T00:48:48-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red tear_down DISTLOC NOERR 6 TAC - 22201 2024-03-25T00:44:23-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 9893 TAC - 22201 2024-03-25T00:37:00-0700
Dans la sortie show sdwan control connection-history, vérifiez ces éléments :
vBond: show orchestrator valid-vedges
vManage/vSmart: show control valid-vedges
Généralement, BIDNTVRFD est une erreur distante sur le routeur car elle est générée sur le contrôleur. Sur le contrôleur respectif, vous pouvez vérifier le journal dans le fichier vdebug situé dans le répertoire /var/log/tmplog en utilisant ces commandes :
vmanage# vshell
vmanage:~$ cd /var/log/tmplog/
vmanage:/var/log/tmplog$ tail -f vdebug
show sdwan certificate root-ca-cert
show sdwan certificate root-ca-cert | inc Issuer
vmanage# vshell
vmanage:~$ cd /var/log/tmplog/
vmanage:/var/log/tmplog$ tail -f vdebug
Pour obtenir des conseils sur la façon de dépanner d'autres codes d'erreur d'échec de connexion de contrôle, vous pouvez vous reporter à ce document :
Dépannage des connexions de contrôle SD-WAN
Les outils utilisés pour dépanner la perte de paquets dans le sous-réseau diffèrent selon les périphériques. Pour les contrôleurs SD-WAN et les routeurs vEdge, vous pouvez utiliser la commande tcpdump. Pour les périphériques Catalyst IOS® XE, utilisez Embedded Packet Capture (EPC) et la trace FIA (Feature Invocation Array).
Pour comprendre pourquoi les connexions de contrôle échouent et pour comprendre où se situe le problème, vous devez comprendre où se produit la perte de paquets. Par exemple, si vous disposez d'un routeur vBond et Edge ne formant pas de connexion de contrôle, ce guide explique comment isoler le problème.
tcpdump vpn 0 interface ge0/0 options "host 10.1.1.x -vv"
En fonction de la demande et de la réponse des paquets, l'utilisateur peut comprendre le périphérique responsable des abandons. La commande tcpdump peut être utilisée sur tous les contrôleurs et périphériques vEdge.
Créez une liste de contrôle d’accès sur le périphérique.
ip access-list extended TAC
10 permit ip host <edge-private-ip> host <controller-public-ip>
20 permit ip host <controller-public-ip> host <edge-private-ip>
Configurez et démarrez la capture de surveillance.
monitor capture CAP access-list TAC bidirectional
monitor capture CAP start
Arrêtez la capture et exportez le fichier de capture.
monitor capture CAP stop
monitor capture CAP export bootflash:<filename>
Affichez le contenu du fichier dans wireshark pour comprendre les pertes. Pour plus d'informations, consultez Configurer et capturer un paquet intégré sur le logiciel .
Configurez la trace FIA.
debug platform condition ipv4 <ip> both
debug platform packet-trace packet 2048 fia-trace data-size 4096
debug platform condition start
Affichez les sorties du paquet de phrases fia.
debug platform condition stop
show platform packet-trace summary
show platform packet-trace summary | i DROP
En cas d'abandon, analysez le résultat de la commande FIA trace pour le paquet abandonné.
show platform packet-trace packet <packet-no> decode
Pour comprendre les options de trace FIA supplémentaires, consultez ce document : Dépannage avec la fonctionnalité de trace de paquet de datapath IOS-XE
La vidéo Déterminer les abandons de politique sur Catalyst SD-WAN Edge avec FIA Trace fournit un exemple d'utilisation de FIA Trace.
Reportez-vous à Collecter un Admin-Tech dans un environnement SD-WAN et Télécharger vers le cas TAC - Cisco
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
15-Aug-2024 |
Première publication |