De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft een aantal van de mogelijke oorzaken die leiden tot een probleem met Control Connections en hoe deze problemen kunnen worden opgelost.
Opmerking: de meeste opdrachtoutput die in dit document wordt weergegeven, is afkomstig van vEdge-routers. Deze benadering is echter hetzelfde voor routers die met Cisco IOS® XE SD-WAN software werken. Voer het sdwan trefwoord in om dezelfde uitgangen te hebben voor Cisco IOS XE SD-WAN-software. Bijvoorbeeld, in
show sdwan control connections plaats van
show control connections .
Zorg ervoor dat de WAN Edge in kwestie goed is geconfigureerd voordat u problemen oplost.
Dit omvat:
- Een geldig certificaat dat is geïnstalleerd.
- Deze configuraties worden onder het
system blok geplaatst:
- System-IP
- Site-ID
- Naam van organisatie
- VoBond-adres
- VPN 0-transportinterface die is geconfigureerd met de tunneloptie en IP-adres.
- Systeemklok die correct is geconfigureerd op de vEdge en die overeenkomt met andere apparaten/controllers:
De
show clock opdracht bevestigt de huidige tijdset.
Voer de
clock set opdracht in om de juiste tijd op het apparaat in te stellen.
Zorg er bij alle eerder genoemde gevallen voor dat de TLOC (Transport Locator) is ingeschakeld. Controleer dit met de
show control local-properties opdracht.
Een voorbeeld van een geldige output wordt hier getoond:
branch-vE1# show control local-properties personality vedge organization-name vIPtela Inc Regression certificate-status Installed root-ca-chain-status Installed certificate-validity Valid certificate-not-valid-before Sep 06 22:39:01 2018 GMT certificate-not-valid-after Sep 06 22:39:01 2019 GMT dns-name vbond-dns-name.cisco.com site-id 10 domain-id 1 protocol dtls tls-port 0 system-ip 10.1.10.1 chassis-num/unique-id 66cb2a8b-2eeb-479b-83d0-0682b64d8190 serial-num 12345718 vsmart-list-version 0 keygen-interval 1:00:00:00 retry-interval 0:00:00:17 no-activity-exp-interval 0:00:00:12 dns-cache-ttl 0:00:02:00 port-hopped TRUE time-since-last-port-hop 20:16:24:43 number-vbond-peers 2 INDEX IP PORT ------------------------------- 0 10.3.25.25 12346 1 10.4.30.30 12346 number-active-wan-interfaces 2 PUBLIC PUBLIC PRIVATE PRIVATE RESTRICT/ LAST MAX SPI TIME LAST-RESORT INTERFACE IPv4 PORT IPv4 PORT VS/VM COLOR CARRIER STATE CONTROL CONNECTION CNTRL REMAINING INTERFACE --------------------------------------------------------------------------------------------------------------------------------------------- ge0/1 10.1.7.11 12346 10.1.7.11 12346 2/1 gold default up no/yes 0:00:00:16 2 0:07:33:55 No ge0/2 10.2.9.11 12366 10.2.9.11 12366 2/0 silver default up no/yes 0:00:00:12 2 0:07:35:16 No
In vEdge-softwareversie 16.3 en hoger heeft de uitvoer een paar extra velden:
number-vbond-peers 1 number-active-wan-interfaces 1
NAT TYPE: E -- indicates End-point independent mapping A -- indicates Address-port dependent mapping N -- indicates Not learned Note: Requires minimum two vbonds to learn the NAT type PUBLIC PUBLIC PRIVATE PRIVATE PRIVATE MAX RESTRICT/ LAST SPI TIME NAT VM INTERFACE IPv4 PORT IPv4 IPv6 PORT VS/VM COLOR STATE CNTRL CONTROL/ LR/LB CONNECTION REMAINING TYPE CON STUN PRF ---------------------------------------------------------------------------------------------------------------------------------------------------- ge0/4 172.16.0.20 12386 192.168.0.20 2601:647:4380:ca75::c2 12386 2/1 public-internet up 2 no/yes/no No/Yes 0:10:34:16 0:03:03:26 E 5
Probleemscenario's
DTLS-verbindingsfout (DCONFAIL)
Dit is een van de veel voorkomende problemen van controle connectiviteit die niet aan de orde komt. De waarschijnlijke oorzaken omvatten een firewall of sommige andere connectiviteitskwesties.
Het kan zijn dat sommige of alle pakketten ergens worden gedropt/gefilterd. Het voorbeeld met grotere wordt hier gegeven
tcpdump inresults.
- De volgende hop (NH) router is niet bereikbaar.
- De standaardgateway is niet geïnstalleerd in de Routing Information Base (RIB).
- De DTLS-poort (Datagram Transport Layer Security) is niet geopend in de controllers.
Deze showopdrachten kunnen worden gebruikt:
#Check that Next hop
show ip route vpn 0
#Check ARP table for Default GW
show arp
#Ping default GW
ping <...>
#Ping Google DNS
ping 8.8.8.8
#Ping vBond if ICMP is allowed on vBond
ping <vBond IP>
#Traceroute to vBond DNS
traceroute <...>
Wanneer u een DTLS-verbindingsfout hebt, kunt u deze in de
show control connections-history opdrachtoutput zien.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vsmart tls 10.0.1.5 160000000 1 10.0.2.73 23456 10.0.2.73 23456 default trying DCONFAIL NOERR 10407 2019-04-07T22:03:45+0000
Dit gebeurt wanneer grote pakketten geen vEdge bereiken wanneer u deze gebruikt
tcpdump , bijvoorbeeld aan de SD-WAN (vSmart) kant:
tcpdump vpn 0 interface eth1 options "host 198.51.100.162 -n" 13:51:35.312109 IP 198.51.100.162.9536 > 172.18.10.130.12546: UDP, length 140 <<<< 1 (packet number) 13:51:35.312382 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 <<< not reached vEdege 13:51:35.318654 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 <<< not reached vEdege 13:51:35.318726 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 853 <<< not reached vEdege 13:51:36.318087 IP 198.51.100.162.9536 > 172.18.10.130.12546: UDP, length 140 <<<< 5 13:51:36.318185 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 79 <<<< 6 13:51:36.318233 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 << not reached vEdege 13:51:36.318241 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 879 << not reached vEdege 13:51:36.318257 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 804 << not reached vEdege 13:51:36.318266 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 65 <<<< 10 13:51:36.318279 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 25 <<<< 11
Hier ziet u een voorbeeld van vEdge-zijde:
tcpdump vpn 0 interface ge0/1 options "host 203.0.113.147 -n"
13:51:35.250077 IP 198.51.100.162.12426 > 203.0.113.147.12746: UDP, length 140 <<<< 1 13:51:36.257490 IP 198.51.100.162.12426 > 203.0.113.147.12746: UDP, length 140 <<<< 5 13:51:36.325456 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 79 <<<< 6 13:51:36.325483 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 65 <<<< 10 13:51:36.325538 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 25 <<<< 11
Opmerking: op de software van Cisco IOS XE SD-WAN kunt u Embedded Packet Capture (EPC) gebruiken in plaats van
tcpdump.
U kunt ook
traceroute of
nping hulpprogramma’s gebruiken om verkeer met verschillende pakketgrootten en DSCP-merken (Differentiated Services Code Point) te genereren om de connectiviteit te controleren, omdat uw serviceprovider problemen kan hebben met de levering van grotere UDP-pakketten, gefragmenteerde UDP-pakketten (met name kleine UDP-fragmenten) of DSCP-gemarkeerde pakketten. Hier is een voorbeeld met
nping wanneer connectiviteit succesvol is.
Van vSmart:
vSmart# tools nping vpn 0 198.51.100.162 options "--udp -p 12406 -g 12846 --source-ip 172.18.10.130 --df --data-length 555 --tos 192" Nping in VPN 0 Starting Nping 0.6.47 ( http://nmap.org/nping ) at 2019-05-17 23:28 UTC SENT (0.0220s) UDP 172.18.10.130:12846 > 198.51.100.162:12406 ttl=64 id=16578 iplen=583 SENT (1.0240s) UDP 172.18.10.130:12846 > 198.51.100.162:12406 ttl=64 id=16578 iplen=583
Hier wordt een voorbeeld van vEdge getoond:
vEdge# tcpdump vpn 0 interface ge0/1 options "-n host 203.0.113.147 and udp" tcpdump -i ge0_1 -s 128 -n host 203.0.113.147 and udp in VPN 0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ge0_1, link-type EN10MB (Ethernet), capture size 128 bytes 18:29:43.492632 IP 203.0.113.147.12846 > 198.51.100.162.12406: UDP, length 555 18:29:44.494591 IP 203.0.113.147.12846 > 198.51.100.162.12406: UDP, length 555
En hier is een voorbeeld van een niet-succesvolle verbinding met de
traceroute opdracht (die van vShell loopt) op vSmart:
vSmart$ traceroute 198.51.100.162 1400 -F -p 12406 -U -t 192 -n -m 20 traceroute to 198.51.100.162.162 (198.51.100.162.162), 20 hops max, 1400 byte packets 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 10.65.14.177 0.435 ms 10.65.13.225 0.657 ms 0.302 ms 7 10.10.28.115 0.322 ms 10.93.28.127 0.349 ms 10.93.28.109 1.218 ms 8 * * * 9 * * * 10 * 10.10.114.192 4.619 ms * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 10.68.72.61 2.162 ms * * 17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
vEdge ontvangt geen pakketten die van vSmart worden verzonden (alleen wat ander verkeer of fragmenten):
vEdge# tcpdump vpn 0 interface ge0/1 options "-n host 203.0.113.147 and udp" tcpdump -i ge0_1 -s 128 -n host 203.0.113.147 and udp in VPN 0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ge0_1, link-type EN10MB (Ethernet), capture size 128 bytes 18:16:30.232959 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 65
18:16:30.232969 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 25
18:16:33.399412 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 16
18:16:34.225796 IP 198.51.100.162.12386 > 203.0.113.147.12846: UDP, length 140
18:16:38.406256 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 16
18:16:43.413314 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 16
TLOC uitgeschakeld (DILOC)
De triggers van TLOC Uitgeschakelde berichten kunnen het gevolg zijn van deze mogelijke oorzaken:
- Schakel de verbindingen uit.
- Verander de kleur op TLOC.
- Verandering in het systeem IP.
Verandering in om het even welke die configuraties in het systeemblok of in de tunneleigenschappen in
show control connections-historyde beveloutput worden vermeld.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vmanage dtls 192.168.30.101 1 0 192.168.20.101 12346 192.168.20.101 12346 biz-internet tear_down DISTLOC NOERR 3 2019-06-01T14:43:11+0200 vsmart dtls 192.168.30.103 1 1 192.168.20.103 12346 192.168.20.103 12346 biz-internet tear_down DISTLOC NOERR 4 2019-06-01T14:43:11+0200 vbond dtls 0.0.0.0 0 0 192.168.20.102 12346 192.168.20.102 12346 biz-internet tear_down DISTLOC NOERR 4 2019-06-01T14:43:11+0200
Board-ID niet geïnitialiseerd (BIDNTPR)
In een zeer instabiel netwerk, waar de netwerkverbindingen onophoudelijk klappen, kunt u zien
TXCHTOBD - failed to send a challenge to Board ID failed en/of
RDSIGFBD - Read Signature from Board ID failed. Ook, soms als gevolg van vergrendelingsproblemen, een uitdaging verzonden naar board-id mislukt en wanneer dat gebeurt, reset de board-ID en probeer opnieuw. Dit gebeurt niet vaak en het vertraagt de vorm van controleverbindingen. Dit wordt in latere versies verholpen.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.109 12346 203.0.113.109 12346 silver challenge TXCHTOBD NOERR 2 2019-05-22T05:53:47+0000 vbond dtls - 0 0 203.0.113.56 12346 203.0.113.56 12346 silver challenge TXCHTOBD NOERR 0 2019-05-21T09:50:41+0000
BDSGVERFL - Handtekeningfout bij Board ID
Dit geeft aan dat het vEdge-chassisnummer/uniek-id/serienummer door de vEdge-bond is afgewezen. Als dit gebeurt, bevestig dan de vEdge-informatie in de
show control local-properties opdrachtoutput en vergelijk die uitvoer met
show orchestrator valid-vedges die op de vBond.
Als er geen gegevens zijn voor de vEdge, moet u ervoor zorgen dat u over het volgende beschikt:
- Voeg de vEdge toe aan de smart account.
- Dit bestand is correct geüpload naar vManager.
Klik
Send to Controllers onder
Configuration > Certificates.
Als deze wel bestaat, controleer dan op dubbele items in de geldige vEdge-tabel en neem contact op met het Cisco Technical Assistance Center (TAC) om deze oplossing verder te zoeken
Gestopt in 'Connect': routing problemen
De verbindingen van de controle komen niet omhoog als er routeringskwesties in het netwerk zijn. Zorg ervoor dat er een geldige route in de RIB is met de juiste NH/TLOC.
Voorbeelden zijn:
- Een specifiekere route naar vBond in de RIB wijst naar een NH/TLOC die niet wordt gebruikt om controleverbindingen te creëren.
- TLOC IP is gelekt tussen de upstream-serviceprovider die onjuiste routing veroorzaakt.
Voer deze opdrachten in ter verificatie:
show ip route
show ip routes vpn 0 <prefix/mask>
ping <vBond IP>
Zoek de waarde voor de afstand en het protocol voor de IP-prefix.
vEdge probeert een controleverbinding tot stand te brengen zonder succes of verbindingen met controllers blijven fladderen.
Controleer dit met de
show control connections en/of de
show sdwan control connections-history opdrachten.
vedge1# show control connections PEER PEER CONTROLLER PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls 0.0.0.0 0 0 192.168.20.102 12346 192.168.20.102 12346 biz-internet - connect 0
Socketfouten (LISFD)
Als het netwerk een dubbele IP bevat, worden de besturingsverbindingen niet geactiveerd. Je ziet het
LISFD - Listener Socket FD Error bericht. Dit kan ook om andere redenen gebeuren, zoals pakketcorruptie, RESET, een wanverhouding tussen vEdge en controllers op TLS versus DTLS-poorten, als de FW-poorten niet open zijn, enzovoort.
De meest voorkomende oorzaak is een dubbel transport IP. Controleer de connectiviteit en zorg ervoor dat de adressen uniek zijn.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.21 12346 203.0.113.21 12346 default up LISFD NOERR 0 2019-04-30T15:46:25+0000
Probleem met peer-time-out (VM_TMO)
Een peer timeout voorwaarde wordt geactiveerd wanneer een vEdge de bereikbaarheid van de controller in kwestie verliest.
In dit voorbeeld neemt het een
vManage Timeout msg (peer VM_TMO) voorbeeld op. Andere voorbeelden zijn peer vBond, vSmart en/of vEdge timeouts (
VB_TMO, VP_TMO, VS_TMO).
Zorg er als onderdeel van probleemoplossing voor dat u beschikt over connectiviteit met de controller. Gebruik Internet Control Message Protocol (ICMP) en/of
traceroute naar het IP-adres in kwestie. Gevallen waarin veel verkeer valt (verlies is hoog). Snel
ping en zorg ervoor dat het goed is.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vmanage tls 10.0.1.3 3 0 10.0.2.42 23456 203.0.113.124 23456 default tear_down VM_TMO NOERR 21 2019-04-30T15:59:24+0000
Controleer bovendien de
show control connections-history detail opdrachtoutput om de TX/RX-besturingsstatistieken te bekijken om te zien of er significante discrepantie is in de tellers. Bericht in de output het verschil tussen RX en TX hello pakketnummers.
---------------------------------------------------------------------------------------- LOCAL-COLOR- biz-internet SYSTEM-IP- 192.168.30.103 PEER-PERSONALITY- vsmart ---------------------------------------------------------------------------------------- site-id 1 domain-id 1 protocol dtls private-ip 192.168.20.103 private-port 12346 public-ip 192.168.20.103 public-port 12346 UUID/chassis-number 4fc4bf2c-f170-46ac-b217-16fb150fef1d state tear_down [Local Err: ERR_DISABLE_TLOC] [Remote Err: NO_ERROR] downtime 2019-06-01T14:52:49+0200 repeat count 5 previous downtime 2019-06-01T14:43:11+0200 Tx Statistics- -------------- hello 597 connects 0 registers 0 register-replies 0 challenge 0 challenge-response 1 challenge-ack 0 teardown 1 teardown-all 0 vmanage-to-peer 0 register-to-vmanage 0 Rx Statistics- -------------- hello 553 connects 0 registers 0 register-replies 0 challenge 1 challenge-response 0 challenge-ack 1 teardown 0 vmanage-to-peer 0 register-to-vmanage 0
Serienummer(s) niet aanwezig (CRTREJSER, BIDNTVRFD)
Als het serienummer niet op de controllers voor een bepaald apparaat staat, gaan de bedieningsverbindingen niet door.
Het kan worden geverifieerd met
show controllers [ valid-vsmarts | valid-vedges ] uitgangen en meestal vast. Navigeer naar
Configuration > Certificates > Send to Controllers or Send to vBond knoppen vanaf de tabbladen vManager. Op vBond, check
show orchestrator valid-vedges /
show orchestrator valid-vsmarts.
In de logboeken op vBond observeer je deze berichten met reden
ERR_BID_NOT_VERIFIED:
messages:local7 info: Dec 21 01:13:31 vBond-1 VBOND[1677]: %Viptela-vBond-1-vbond_0-6-INFO-1400002: Notification: 12/21/2018 1:13:31 vbond-reject-vedge-connection severit y-level:major host-name:"vBond-1" system-ip:10.0.1.11 uuid:"11OG301234567" organization-name:"Example_Orgname" sp-organization-name:"Example_Orgname"" reason:"ERR_BID_NOT_VERIFIED"
Wanneer u een dergelijk probleem oplost, dient u ervoor te zorgen dat het juiste serienummer en apparaatmodel is geconfigureerd en provisioneerd op het PnP-portal (software.cisco.com) en vManager.
Om het chassisnummer en het serienummer van het certificaat te controleren, kan deze opdracht op vEdge-routers worden gebruikt:
vEdge1# show control local-properties | include "chassis-num|serial-num" chassis-num/unique-id 11OG528180107 serial-num 1001247E
Voer deze opdracht in op een router waarop Cisco IOS XE SD-WAN-software wordt uitgevoerd:
cEdge1#show sdwan control local-properties | include chassis-num|serial-num chassis-num/unique-id C1111-4PLTEEA-FGL223911LK serial-num 016E9999
Of deze opdracht:
Router#show crypto pki certificates CISCO_IDEVID_SUDI | s ^Certificate Certificate Status: Available Certificate Serial Number (hex): 016E9999 Certificate Usage: General Purpose Issuer: o=Cisco cn=High Assurance SUDI CA Subject: Name: C1111-4PLTEEA Serial Number: PID:C1111-4PLTEEA SN:FGL223911LK cn=C1111-4PLTEEA ou=ACT-2 Lite SUDI o=Cisco serialNumber=PID:C1111-4PLTEEA SN:FGL223911LK Validity Date: start date: 15:33:46 UTC Sep 27 2018 end date: 20:58:26 UTC Aug 9 2099 Associated Trustpoints: CISCO_IDEVID_SUDI
Voor problemen met vEdge/vSmart
Hier ziet u hoe de fout in de
show control connections-history opdrachtoutput op vEdge/vSmart ziet:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 biz-internet challenge_resp RXTRDWN BIDNTVRFD 0 2019-06-01T16:40:16+0200
Op vBond in de
show orchestrator connections-history opdrachtoutput:
PEER PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 unknown dtls - 0 0 :: 0 192.168.10.234 12346 default tear_down BIDNTVRFD/NOERR 1 2019-06-01T18:44:34+0200
Het serienummer van het apparaat op vBond staat ook niet in de lijst met geldige vEdge-waarden:
vbond1# show orchestrator valid-vedges | i 11OG528180107
Voor problemen met controllers
Als het serienummer tussen de controllers zelf niet overeenkomt, is de lokale fout op vBond het serienummer dat niet aanwezig is in vergelijking met het certificaat dat wordt ingetrokken voor vSmarts/vManager.
Op vBond:
PEER PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 unknown dtls - 0 0 :: 0 192.168.0.229 12346 default tear_down SERNTPRES/NOERR 2 2019-06-01T19:04:51+0200
vbond1# show orchestrator valid-vsmarts SERIAL NUMBER ORG ----------------------- 0A SAMPLE - ORGNAME 0B SAMPLE - ORGNAME 0C SAMPLE - ORGNAME 0D SAMPLE - ORGNAME
Op getroffen vSmart/vManager:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default tear_down CRTREJSER NOERR 9 2019-06-01T19:06:32+0200
vsmart# show control local-properties| i serial-num serial-num 0F
Verder zie je ORPTMO-berichten op de betreffende vSmart met betrekking tot vEdge:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 unknown tls - 0 0 :: 0 192.168.10.238 54850 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:16+0200 0 unknown tls - 0 0 :: 0 192.168.10.238 54850 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:16+0200 0 unknown tls - 0 0 :: 0 198.51.100.100 55374 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:05+0200 0 unknown tls - 0 0 :: 0 198.51.100.100 59076 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:03+0200 0 unknown tls - 0 0 :: 0 192.168.10.240 53478 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:02+0200
Op vEdge beïnvloed vSmart, in de
show control connections-history output wordt de "SERNTPRES"-fout gezien:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 biz-internet tear_down SERNTPRES NOERR 29 2019-06-01T19:18:51+0200 vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 mpls tear_down SERNTPRES NOERR 29 2019-06-01T19:18:32+0200
Onjuist chassis-aantal/uniek-id
Een ander voorbeeld van dezelfde fout "CRTREJSER/NOERR" kan worden gezien als de verkeerde Product-ID (model) wordt gebruikt op het PnP-portaal. Voorbeeld:
vbond# show orchestrator valid-vedges | include ASR1002 ASR1002-HX-DNA-JAE21050110 014EE30A valid Cisco SVC N1
Het model van het echte apparaat is echter anders (let op dat het suffix "DNA" niet op de naam staat):
ASR1k#show sdwan control local-properties | include chassis-num chassis-num/unique-id ASR1002-HX-JAE21050110
Organisatie Mismatch (CTORGNMMIS)
De naam van de organisatie is een kritisch element voor het omhoog brengen van de controleverbinding. Voor een bepaalde overlay moet de naam van de organisatie overeenkomen met alle controllers en randen, zodat de besturingsverbindingen naar boven kunnen komen.
Zo niet, dan is er een "Certificate Org. name mismatch" fout zoals hieronder getoond:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vbond dtls - 0 0 203.0.113.197 12346 203.0.113.197 12346 biz-internet tear_down CTORGNMMIS NOERR 14 2019-04-08T00:26:19+0000 vbond dtls - 0 0 198.51.100.137 12346 198.51.100.137 12346 biz-internet tear_down CTORGNMMIS NOERR 13 2019-04-08T00:26:04+0000
vEdge/vSmart-certificaat ingetrokken/ongeldig gemaakt (VSCRTREV/CRTVERFL)
In gevallen waarin het certificaat wordt ingetrokken voor controllers of vEdge-serienummer ongeldig wordt verklaard, wordt respectievelijk een vSmart- of vEdge-bericht van herroeping van certificering weergegeven.
Hier zijn voorbeelden van vSmart-certificaten die berichten herroepen. Dit is het certificaat dat is ingetrokken op vSmart:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default up RXTRDWN VSCRTREV 0 2019-06-01T18:13:22+0200 1 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default up RXTRDWN VSCRTREV 0 2019-06-01T18:13:22+0200
Op dezelfde manier ziet een andere vSmart in dezelfde overlay de vSmart waarvan het certificaat wordt ingetrokken:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 default tear_down VSCRTREV NOERR 0 2019-06-01T18:13:24+0200
En hier zie je hoe vBond dit ziet:
PEER PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vsmart dtls 10.10.10.229 1 1 192.168.0.229 12346 192.168.0.229 12346 default tear_down VSCRTREV/NOERR 0 2019-06-01T18:13:14+0200
Certificatie verificatie fout is wanneer het certificaat niet kan worden geverifieerd met het basiscertificaat geïnstalleerd:
1. Controleer de tijd met de
show clock opdracht. Het moet ten minste binnen de geldigheid van het vBond-certificaat vallen (controleer dit met de
show orchestrator local-properties opdracht).
2. Dit kan worden veroorzaakt door beschadiging van het basiscertificaat op vEdge.
Vervolgens
show control connections-history geeft de opdracht op de vEdge-router een soortgelijke uitvoer weer:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.82 12346 203.0.113.82 12346 default tear_down CRTVERFL NOERR 32 2018-11-16T23:58:22+0000 vbond dtls - 0 0 203.0.113.81 12346 203.0.113.81 12346 default tear_down CRTVERFL NOERR 31 2018-11-16T23:58:03+0000
In dit geval kan vEdge het controllercertificaat niet ook valideren. Om dit probleem op te lossen, kunt u de root certificaat keten opnieuw installeren. Als de Symantec Certificate Authority wordt gebruikt, kunt u de Root certificate chain kopiëren van het alleen-lezen bestandssysteem:
vEdge1# vshell vEdge1:~$ cp /rootfs ro/usr/share/viptela/root-ca-sha1-sha2.crt /home/admin/ vEdge1:~$ exit exit vEdge1# request root-cert-chain install /home/admin/root-ca-sha1-sha2.crt Uploading root-ca-cert-chain via VPN 0 Copying ... /home/admin/root-ca-sha1-sha2.crt via VPN 0 Installing the new root certificate chain Successfully installed the root certificate chain
vEdge-sjabloon niet toegevoegd in vManager
Op het moment dat het apparaat wordt weergegeven als het apparaat niet is aangesloten met een sjabloon op vManager, wordt het
NOVMCFG - No Config in vManage for device bericht weergegeven.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT D OWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------------------- vmanage dtls 10.0.1.1 1 0 10.0.2.80 12546 203.0.113.128 12546 default up RXTRDWN NOVMCFG 35 2 019-02-26T12:23:52+0000
Voorbijgaande condities (discvbd, sysipchng)
Hier zijn enkele tijdelijke condities waarbij de bedieningsverbindingen flappen. Zij omvatten:
- System-IP gewijzigd op de vEdge.
- Scheur bericht naar vBond (controleverbinding naar vBond is van voorbijgaande aard).
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vmanage dtls 10.0.0.1 1 0 198.51.100.92 12646 198.51.100.92 12646 default tear_down SYSIPCHNG NOERR 0 2018-11-02T16:58:00+0000
DNS-fout
Wanneer er in de
show control connection-history opdracht geen verbindingspogingen worden gezien, kunt u met deze stappen controleren op DNS-resolutiefouten in de richting van de vBond:
- Pingen naar het DNS-adres van de vBond.
ping vbond-dns-name.cisco.com
ping vbond-dns-name.cisco.com: Temporary failure in name resolution
- Ping google DNS (8.8.8.8) van de broninterface om de bereikbaarheid van internet te verifiëren.
ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
- Ingesloten pakketvastlegging voor DNS-verkeer op poort 53 om te controleren op verzonden en ontvangen DNS-verkeer.
monitor capture mycap interface <interface that forms control>
monitor capture mycap match ipv4 <source IP> <vBond IP>
Referentiedocument: ingesloten pakketvastlegging.
Start de monitoropname en laat deze een paar minuten lopen en stop vervolgens de opname. Ga verder met het onderzoeken van de pakketopname om te zien of DNS-vragen worden verzonden en ontvangen.
Gerelateerde informatie
- Basisparameters configureren voor formulierbeheerverbindingen op cEdge
- Technische ondersteuning en documentatie – Cisco Systems
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
4.0 |
18-Jan-2023 |
Hercertificering |
3.0 |
17-Oct-2022 |
Toegevoegd aan voorwaarden, DNS-fout en verwante informatie secties |
2.0 |
29-Apr-2022 |
Toegevoegd de BDSGVERFL - Board ID Signature Failure sectie, bijgewerkte IP-adressen, en bewerkt voor machinevertaling. |
1.0 |
13-Jun-2019 |
Eerste vrijgave |