Inleiding
Dit document beschrijft hoe u gegevens kunt identificeren en verzamelen wanneer het verkeer over het WAN is kwijtgeraakt, maar er geen dalingen worden gezien op de SD-WAN Edge.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco softwaregedefinieerde Wide Area Network (SD-WAN)
- Ingesloten pakketvastlegging voor vManager-pakketvastlegging
- draadhaai
- Microsoft Excel
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- C800V versie 17.03.04
- vManager versie 20.3.4
- Wireshark versie 2.6.3
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrond
Om bij deze uitdaging te helpen, tonen de stappen die in dit document worden beschreven hoe u specifiek verkeer kunt markeren met gedifferentieerde services code point (DSCP) om te helpen de gewenste pakketten te identificeren. DSCP kan worden gebruikt om het verkeer te identificeren aangezien deze waarde van de binnen pakketheader aan de kopbal IPsec wordt gekopieerd. Zodra de gewenste pakketten worden geïdentificeerd, toont het hoe te om het verkeer over twee WAN aan te passen vangt om verkeer te verzekeren dat van bron tot bestemming wordt gemaakt.
Twee enige routerplaatsen worden gebruikt om deze probleemoplossingtechniek aan te tonen. In dit geval, ICMP verkeer van 10.0.0.10 tot 10.0.2.10 in de vorm van 100 pings zoals getoond in het beeld. Er is geen verlies in dit voorbeeld maar deze zelfde probleemoplossingtechniek wordt gebruikt in het geval waar er een verlies is om het te identificeren.
Proces voor probleemoplossing
Overzicht proces
- Voor het verkeer dat over WAN wordt overgetrokken, is een Toegangslijst (ACL) (of gecentraliseerd beleid) nodig om verkeer met wat ongebruikte DSCP-waarde te markeren. In dit voorbeeld wordt DSCP 27 gebruikt.
- Zodra het verkeer wordt gemarkeerd, wordt de ingesloten pakketvastlegging gebruikt om de pakketten op de transportinterface van de bron en de bestemmingsrouter op te nemen.
Opmerking: vManager-pakketvastlegging kan ook worden gebruikt, hoewel er een beperking is van 5 MB aan gegevens of 5 minuten looptijd.
- Nadat de opnamen zijn genomen, open ze in Wireshark om te bekijken.
- De filter wordt toegepast in Wireshark om te tonen welke pakketten worden gewenst en dan worden zij vergeleken.
- Microsoft Excel wordt gebruikt voor grote opnamen om nauwkeurigheid te garanderen.
Markeer het gewenste verkeer met DSCP
Een toegangslijst zoals het voorbeeld wordt geconfigureerd op de bronrouter (cEdge1 in dit voorbeeld) en toegepast op de interface in het SD-WAN-gedeelte van de routerconfiguratie zoals getoond.
Een optionele teller wordt toegepast om te verifiëren dat het verkeer het beleid raakt zoals verwacht. Dit kan worden gecontroleerd met de opdracht tonen sdwan beleid access-list-tellers.
policy
access-list mark_dscp_27
sequence 10
match
source-ip 10.0.0.10/32
destination-ip 10.0.2.10/32
!
action accept
count MARK_DSCP_27_COUNT (optional counter to verify packets that hit the policy)
set
dscp 27
!
!
!
default-action accept
sdwan
interface GigabitEthernet3
access-list mark_dscp_27 in
Leg het verkeer vast met de ingesloten vastlegging
Opmerking: hoe u een ingesloten pakketopname in Cisco IOS XE configureert om de versleutelde pakketten op te nemen die via het WAN worden verzonden, naar het voorbeeld Ingesloten pakketvastlegging voor Cisco IOS en Cisco IOS XE Configuration
Opmerking: er moet een ACL worden gebruikt om de EPC op het WAN te beperken, aangezien er meer dan de 1000 PPS-snelheidslimiet voor de EPC zou kunnen zijn.
Voorbeeld
Een ACL wordt geconfigureerd op cEdge1 en cEdge3 omdat verkeer alleen is geselecteerd in de richting van bron naar bestemming in dit voorbeeld.
Opmerking: de WAN IP-adressen worden gebruikt om de opname te filteren. Er zijn meerdere uitgangen die kunnen worden gebruikt om het pad dat het verkeer neemt te identificeren, zodat de juiste WAN IP's kunnen worden geïdentificeerd voor het ACL-filter. De opdrachten die kunnen worden gebruikt om deze uitvoer te genereren zijn de show sdwan app-fwd cflowd flows en toon sdwan policy service path. Blader naar Conditional Packet Trace om de debug-voorwaarde te controleren.
ip access-list extended CAP-Filter
10 permit ip host 192.168.23.149 host 192.168.28.240
Op dit punt worden de opnamen gestart op beide routers en worden 100 pings over de overlay verzonden.
#ping vrf 10 10.0.2.10 rep 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 10.0.2.10, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/1/4 ms
Nadat de opnamen zijn gestopt en van beide routers zijn verzameld, moeten ze worden geopend in Wireshark om ze te kunnen bekijken.
Analyse via Wireshark
Als de cEdge1-opname eenmaal is geopend in Wireshark, wordt gezien dat al het verkeer is versleuteld en het is niet eenvoudig te ontcijferen welke pakketten de pings zijn die zijn verzonden.
Filter deze opname met een weergavefilter ip.dsfield.dscp == 27, men ziet dat er slechts 100 pakketten worden weergegeven aan de onderkant van het scherm en men ziet dat de DSCP kolom waarde allen 27 toont.
In sommige gevallen waarin DSCP-waarde over het WAN wordt behouden, kan dezelfde filter op de doelopname worden gebruikt.
In andere gevallen is dit niet mogelijk, zoals een situatie waarin DSCP-waarde via een openbare internetverbinding wordt gewist.
Filter het gewenste verkeer op ESP Sequence
In beide gevallen kan het verkeer worden geïdentificeerd met de ESP-volgnummers.
Om de ESP opeenvolgingsaantallen in het pakket te zien, klik op de opname met de rechtermuisknop en kies Decoderen zoals getoond.
Selecteer het vervolgkeuzemenu Huidige veld en selecteer in dat veldtype UDPENCAP of selecteer het in de vervolgkeuzelijst.
Selecteer OK zodra dit is voltooid.
Vouw in het gedeelte Wireshark Packet Details het gedeelte Encapsulating Security payload van het pakket uit om ESP Sequence te zien.
Klik met de rechtermuisknop op ESP Sequence en kies toepassen als kolom zodat de ESP Sequence kan worden gezien als een kolom in de sectie Packet List op het bovenste gedeelte van het Wireshark-scherm.
Opmerking: de ESP SPI voor de pakketten op cEdge1 is 0x040001dc. Dit wordt gebruikt voor een filter op de doelopname.
Open de doelopname, herhaal de stappen om te decoderen als UDPENCAP, en toon de ESP Sequence nummers in de pakketten.
Zodra de pakketten het ESP volgnummer weergeven, kan de ESP SPI van de eerste opname worden gebruikt als filter op de tweede opname om alleen het verkeer binnen die SPI weer te geven die overeenkomt met het gewenste verkeer.
Bericht dat de aantallen van de pakketopeenvolging die allebei aanpassen DSCP 27 duidelijk hebben.
Deze vergelijking kan handmatig worden uitgevoerd in Wireshark of Microsoft Excel kan worden gebruikt om deze vergelijking te doen.
Om Microsoft Excel te gebruiken om te vergelijken, is het noodzakelijk om beide opnamen te snijden om alleen pakketten te bevatten die in beide opnamen zijn.
In de bronopname heeft het eerste relevante pakket ESP-reeks 306 en die correspondeert met pakketnummer 451.
Het laatste relevante pakket in de bronopname heeft ESP-reeks 405 en is pakketnummer 550.
In de bestemmingsopname komt het eerste relevante pakket overeen met de bronopname met ESP-reeks 306, maar in deze opname is pakket 463.
Het laatste relevante pakket is ook aanwezig met ESP Sequence 405 en het is pakket 564.
De eerste opname moet nu worden gesneden om alleen relevante pakketten te bevatten.
Navigeer naar Bestand > Packet Dissections exporteren > Als CSV...
Selecteer Opgenomen en Bereik en typ in het veld Bereik het bereik van het eerste relevante pakket tot het laatste relevante pakket.
Voer een bestandsnaam in het veld Bestandsnaam in en klik op Opslaan.
Herhaal hetzelfde proces bij opname 2 voor de desbetreffende pakketten.
Open beide CSV-bestanden in Microsoft Excel.
Leg op de bron CSV vast, behalve als XLSX formaat.
Selecteer onder in het scherm het symbool + om een ander vel toe te voegen. Noem het CAP2_slice
Open het CAP2 CSV-bestand en druk op CTRL + a om alle bestanden te selecteren en op CTRL + c om het te kopiëren.
Navigeer naar het bestand CAP1_slice.xlsx en plak op het tweede tabblad voor CAP2_slice (CTRL + v) de gekopieerde informatie in de cel A1.
Navigeer terug naar CAP1_slice sheet en maak een nieuwe kolom genaamd Compare_ESP_SEQUENCE.
Aangezien het ESP-volgnummer in kolom G staat, stel een VLOOKUP-opdracht samen zoals getoond om de twee bladen te vergelijken om ervoor te zorgen dat alles in kolom G op de bron in kolom G op de bestemming is.
=IF(ISNA(VLOOKUP(G2,CAP2_slice!G:G,1,FALSE)),"ONTBREEKT","AANWEZIG")
Nadat ENTER is geselecteerd wordt het woord PRESENT weergegeven. Dit betekent dat het pakket met ESP Sequence 306 in het tweede blad aanwezig is. Dit is belangrijk omdat het betekent dat het pakket het van de bron naar de bestemming maakte.
Selecteer Kolom O Rij 2 en zweef rechtsonder in het groene vak rond die cel.
Selecteer en houd de muis ingedrukt om deze formule naar de onderkant van de cellen met waarden te kopiëren.
Scroll terug naar de bovenkant van het blad en klik op Compare_ESP_SEQUENCE. Selecteer vervolgens Sorteren en filteren.
Kies Filter in het uitrolmenu.
Er verschijnt een vervolgkeuzemenu in de kolom Compare_ESP_SEQUENCE.
Klik op het vervolgkeuzemenu in de kop VERGELIJKEN_ESP_SEQUENCE. Merk op dat in dit voorbeeld, de enige getoonde waarde AANWEZIG is. Dit betekent dat alle pakketten aanwezig zijn in beide opnamen.
Om een problematisch voorbeeld te creëren, verwijder 10 pakketten van de CAP2_slice, om aan te tonen hoe dit zou werken in een test waar sommige gemiste pakketten ontbreken.
Navigeer terug naar CAP1_slice sheet en nu wordt gezien dat er 10 pakketten ontbreken.
Wanneer het dropdown menu is geselecteerd in de kolom Compare_ESP_SEQUENCE, zien we nu dat er ook ONTBREKENDE pakketten zijn. Dit kan worden omgeschakeld om alleen de ONTBREKENDE pakketten te bekijken.
Nu worden alleen de ontbrekende pakketten getoond in het Excel-blad.
Gerelateerde informatie