Probleemoplossing voor SD-WAN Control Connections

Inleiding

Dit document beschrijft een aantal van de mogelijke oorzaken die leiden tot een probleem met Control Connections en hoe deze problemen kunnen worden opgelost.

Achtergrondinformatie

Opmerking: de meeste opdrachtoutput die in dit document wordt weergegeven, is afkomstig van vEdge-routers. Deze benadering is echter hetzelfde voor routers die met Cisco IOS^® XE SD-WAN software werken. Voer het sdwan trefwoord in om dezelfde uitgangen te hebben voor Cisco IOS XE SD-WAN-software. Bijvoorbeeld, in show sdwan control connections plaats van show control connections .

Zorg ervoor dat de WAN Edge in kwestie goed is geconfigureerd voordat u problemen oplost. 

Dit omvat:

• Een geldig certificaat dat is geïnstalleerd.
• Deze configuraties worden onder het system blok geplaatst:
• System-IP
• Site-ID
• Naam van organisatie
• VoBond-adres
• VPN 0-transportinterface die is geconfigureerd met de tunneloptie en IP-adres.
• Systeemklok die correct is geconfigureerd op de vEdge en die overeenkomt met andere apparaten/controllers:

De show clock opdracht bevestigt de huidige tijdset.

Voer de clock set opdracht in om de juiste tijd op het apparaat in te stellen.

Zorg er bij alle eerder genoemde gevallen voor dat de TLOC (Transport Locator) is ingeschakeld. Controleer dit met de show control local-properties opdracht.

Een voorbeeld van een geldige output wordt hier getoond:

branch-vE1# show control local-properties personality                  vedge organization-name            vIPtela Inc Regression certificate-status           Installed root-ca-chain-status         Installed certificate-validity         Valid certificate-not-valid-before Sep 06 22:39:01 2018 GMT certificate-not-valid-after  Sep 06 22:39:01 2019 GMT dns-name                     vbond-dns-name.cisco.com site-id                      10 domain-id                    1 protocol                     dtls tls-port                     0 system-ip                    10.1.10.1 chassis-num/unique-id        66cb2a8b-2eeb-479b-83d0-0682b64d8190 serial-num                   12345718 vsmart-list-version          0 keygen-interval              1:00:00:00 retry-interval               0:00:00:17 no-activity-exp-interval     0:00:00:12 dns-cache-ttl                0:00:02:00 port-hopped                  TRUE time-since-last-port-hop     20:16:24:43 number-vbond-peers           2  INDEX   IP                 PORT ------------------------------- 0       10.3.25.25          12346   1       10.4.30.30          12346   number-active-wan-interfaces 2    PUBLIC      PUBLIC  PRIVATE     PRIVATE                                   RESTRICT/   LAST         MAX   SPI TIME    LAST-RESORT   INTERFACE  IPv4        PORT    IPv4        PORT     VS/VM COLOR       CARRIER  STATE CONTROL     CONNECTION   CNTRL REMAINING   INTERFACE --------------------------------------------------------------------------------------------------------------------------------------------- ge0/1      10.1.7.11    12346   10.1.7.11    12346     2/1  gold        default  up      no/yes    0:00:00:16   2     0:07:33:55  No ge0/2      10.2.9.11    12366   10.2.9.11    12366     2/0  silver      default  up      no/yes    0:00:00:12   2     0:07:35:16  No 

In vEdge-softwareversie 16.3 en hoger heeft de uitvoer een paar extra velden:

number-vbond-peers           1 number-active-wan-interfaces 1 
 NAT TYPE: E -- indicates End-point independent mapping           A -- indicates Address-port dependent mapping           N -- indicates Not learned           Note: Requires minimum two vbonds to learn the NAT type           PUBLIC        PUBLIC PRIVATE      PRIVATE                PRIVATE                        MAX   RESTRICT/           LAST         SPI TIME    NAT  VM INTERFACE  IPv4          PORT   IPv4         IPv6                   PORT   VS/VM COLOR         STATE CNTRL CONTROL/     LR/LB  CONNECTION   REMAINING   TYPE CON                                                                                              STUN                                              PRF ---------------------------------------------------------------------------------------------------------------------------------------------------- ge0/4  172.16.0.20   12386  192.168.0.20  2601:647:4380:ca75::c2  12386  2/1  public-internet  up   2  no/yes/no   No/Yes 0:10:34:16  0:03:03:26  E    5  

Probleemscenario's

DTLS-verbindingsfout (DCONFAIL)

Dit is een van de veel voorkomende problemen van controle connectiviteit die niet aan de orde komt. De waarschijnlijke oorzaken omvatten een firewall of sommige andere connectiviteitskwesties.

Het kan zijn dat sommige of alle pakketten ergens worden gedropt/gefilterd. Het voorbeeld met grotere wordt hier gegeven tcpdump  inresults.

• De volgende hop (NH) router is niet bereikbaar.
• De standaardgateway is niet geïnstalleerd in de Routing Information Base (RIB).
• De DTLS-poort (Datagram Transport Layer Security) is niet geopend in de controllers.

Deze showopdrachten kunnen worden gebruikt:

#Check that Next hop
show ip route vpn 0
#Check ARP table for Default GW
show arp
#Ping default GW
ping <...>
#Ping Google DNS
ping 8.8.8.8
#Ping vBond if ICMP is allowed on vBond
ping <vBond IP>
#Traceroute to vBond DNS
traceroute <...>

Wanneer u een DTLS-verbindingsfout hebt, kunt u deze in de show control connections-history opdrachtoutput zien.

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vsmart tls 10.0.1.5 160000000 1 10.0.2.73 23456 10.0.2.73 23456 default trying DCONFAIL NOERR 10407 2019-04-07T22:03:45+0000

Dit gebeurt wanneer grote pakketten geen vEdge bereiken wanneer u deze gebruikt tcpdump , bijvoorbeeld aan de SD-WAN (vSmart) kant:

tcpdump vpn 0 interface eth1 options "host 198.51.100.162 -n" 13:51:35.312109 IP 198.51.100.162.9536 > 172.18.10.130.12546: UDP, length 140 <<<< 1 (packet number) 13:51:35.312382 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 <<< not reached vEdege 13:51:35.318654 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 <<< not reached vEdege 13:51:35.318726 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 853 <<< not reached vEdege 13:51:36.318087 IP 198.51.100.162.9536 > 172.18.10.130.12546: UDP, length 140 <<<< 5 13:51:36.318185 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 79 <<<< 6 13:51:36.318233 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 << not reached vEdege 13:51:36.318241 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 879 << not reached vEdege 13:51:36.318257 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 804 << not reached vEdege 13:51:36.318266 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 65 <<<< 10 13:51:36.318279 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 25 <<<< 11 

Hier ziet u een voorbeeld van vEdge-zijde:

tcpdump vpn 0 interface ge0/1 options "host 203.0.113.147 -n"
 13:51:35.250077 IP 198.51.100.162.12426 > 203.0.113.147.12746: UDP, length 140 <<<< 1 13:51:36.257490 IP 198.51.100.162.12426 > 203.0.113.147.12746: UDP, length 140 <<<< 5 13:51:36.325456 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 79 <<<< 6 13:51:36.325483 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 65 <<<< 10 13:51:36.325538 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 25 <<<< 11 

Opmerking: op de software van Cisco IOS XE SD-WAN kunt u Embedded Packet Capture (EPC) gebruiken in plaats van tcpdump.

U kunt ook traceroute of nping hulpprogramma’s gebruiken om verkeer met verschillende pakketgrootten en DSCP-merken (Differentiated Services Code Point) te genereren om de connectiviteit te controleren, omdat uw serviceprovider problemen kan hebben met de levering van grotere UDP-pakketten, gefragmenteerde UDP-pakketten (met name kleine UDP-fragmenten) of DSCP-gemarkeerde pakketten. Hier is een voorbeeld met nping wanneer connectiviteit succesvol is.

Van vSmart:

vSmart# tools nping vpn 0 198.51.100.162 options "--udp -p 12406 -g 12846 --source-ip 172.18.10.130 --df --data-length 555 --tos 192" Nping in VPN 0 Starting Nping 0.6.47 ( http://nmap.org/nping ) at 2019-05-17 23:28 UTC SENT (0.0220s) UDP 172.18.10.130:12846 > 198.51.100.162:12406 ttl=64 id=16578 iplen=583 SENT (1.0240s) UDP 172.18.10.130:12846 > 198.51.100.162:12406 ttl=64 id=16578 iplen=583 

Hier wordt een voorbeeld van vEdge getoond:

vEdge# tcpdump vpn 0 interface ge0/1 options "-n host 203.0.113.147 and udp" tcpdump -i ge0_1 -s 128 -n host 203.0.113.147 and udp in VPN 0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ge0_1, link-type EN10MB (Ethernet), capture size 128 bytes 18:29:43.492632 IP 203.0.113.147.12846 > 198.51.100.162.12406: UDP, length 555 18:29:44.494591 IP 203.0.113.147.12846 > 198.51.100.162.12406: UDP, length 555

En hier is een voorbeeld van een niet-succesvolle verbinding met de traceroute opdracht (die van vShell loopt) op vSmart:

vSmart$ traceroute 198.51.100.162 1400 -F -p 12406 -U -t 192 -n -m 20 traceroute to 198.51.100.162.162 (198.51.100.162.162), 20 hops max, 1400 byte packets 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 10.65.14.177 0.435 ms 10.65.13.225 0.657 ms 0.302 ms 7 10.10.28.115 0.322 ms 10.93.28.127 0.349 ms 10.93.28.109 1.218 ms 8 * * * 9 * * * 10 * 10.10.114.192 4.619 ms * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 10.68.72.61 2.162 ms * * 17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *

vEdge ontvangt geen pakketten die van vSmart worden verzonden (alleen wat ander verkeer of fragmenten):

vEdge# tcpdump vpn 0 interface ge0/1 options "-n host 203.0.113.147 and udp" tcpdump -i ge0_1 -s 128 -n host 203.0.113.147 and udp in VPN 0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ge0_1, link-type EN10MB (Ethernet), capture size 128 bytes 18:16:30.232959 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 65
18:16:30.232969 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 25
18:16:33.399412 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 16
18:16:34.225796 IP 198.51.100.162.12386 > 203.0.113.147.12846: UDP, length 140
18:16:38.406256 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 16
18:16:43.413314 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 16

TLOC uitgeschakeld (DILOC)

De triggers van TLOC Uitgeschakelde berichten kunnen het gevolg zijn van deze mogelijke oorzaken:

• Schakel de verbindingen uit.
• Verander de kleur op TLOC.
• Verandering in het systeem IP.

Verandering in om het even welke die configuraties in het systeemblok of in de tunneleigenschappen in show control connections-historyde beveloutput worden vermeld.

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vmanage dtls 192.168.30.101 1 0 192.168.20.101 12346 192.168.20.101 12346 biz-internet tear_down DISTLOC NOERR 3 2019-06-01T14:43:11+0200 vsmart dtls 192.168.30.103 1 1 192.168.20.103 12346 192.168.20.103 12346 biz-internet tear_down DISTLOC NOERR 4 2019-06-01T14:43:11+0200 vbond dtls 0.0.0.0 0 0 192.168.20.102 12346 192.168.20.102 12346 biz-internet tear_down DISTLOC NOERR 4 2019-06-01T14:43:11+0200

Board-ID niet geïnitialiseerd (BIDNTPR)

In een zeer instabiel netwerk, waar de netwerkverbindingen onophoudelijk klappen, kunt u zien TXCHTOBD - failed to send a challenge to Board ID failed en/of RDSIGFBD - Read Signature from Board ID failed. Ook, soms als gevolg van vergrendelingsproblemen, een uitdaging verzonden naar board-id mislukt en wanneer dat gebeurt, reset de board-ID en probeer opnieuw. Dit gebeurt niet vaak en het vertraagt de vorm van controleverbindingen. Dit wordt in latere versies verholpen.

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.109 12346 203.0.113.109 12346 silver challenge TXCHTOBD NOERR 2 2019-05-22T05:53:47+0000 vbond dtls - 0 0 203.0.113.56 12346 203.0.113.56 12346 silver challenge TXCHTOBD NOERR 0 2019-05-21T09:50:41+0000 

BDSGVERFL - Handtekeningfout bij Board ID

Dit geeft aan dat het vEdge-chassisnummer/uniek-id/serienummer door de vEdge-bond is afgewezen. Als dit gebeurt, bevestig dan de vEdge-informatie in de show control local-properties opdrachtoutput en vergelijk die uitvoer met show orchestrator valid-vedges die op de vBond.

Als er geen gegevens zijn voor de vEdge, moet u ervoor zorgen dat u over het volgende beschikt:

• Voeg de vEdge toe aan de smart account.
• Dit bestand is correct geüpload naar vManager.

Klik Send to Controllers  onder Configuration > Certificates.

Als deze wel bestaat, controleer dan op dubbele items in de geldige vEdge-tabel en neem contact op met het Cisco Technical Assistance Center (TAC) om deze oplossing verder te zoeken

Gestopt in 'Connect': routing problemen

De verbindingen van de controle komen niet omhoog als er routeringskwesties in het netwerk zijn.  Zorg ervoor dat er een geldige route in de RIB is met de juiste NH/TLOC.

Voorbeelden zijn:

• Een specifiekere route naar vBond in de RIB wijst naar een NH/TLOC die niet wordt gebruikt om controleverbindingen te creëren.
• TLOC IP is gelekt tussen de upstream-serviceprovider die onjuiste routing veroorzaakt.

Voer deze opdrachten in ter verificatie:

show ip route
show ip routes vpn 0 <prefix/mask>
ping <vBond IP>

Zoek de waarde voor de afstand en het protocol voor de IP-prefix.

vEdge probeert een controleverbinding tot stand te brengen zonder succes of verbindingen met controllers blijven fladderen.

Controleer dit met de show control connections en/of de show sdwan control connections-history opdrachten.

vedge1# show control connections PEER PEER CONTROLLER PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls 0.0.0.0 0 0 192.168.20.102 12346 192.168.20.102 12346 biz-internet - connect 0 

Socketfouten (LISFD)

Als het netwerk een dubbele IP bevat, worden de besturingsverbindingen niet geactiveerd. Je ziet het LISFD - Listener Socket FD Error bericht. Dit kan ook om andere redenen gebeuren, zoals pakketcorruptie, RESET, een wanverhouding tussen vEdge en controllers op TLS versus DTLS-poorten, als de FW-poorten niet open zijn, enzovoort.

De meest voorkomende oorzaak is een dubbel transport IP. Controleer de connectiviteit en zorg ervoor dat de adressen uniek zijn.

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.21 12346 203.0.113.21 12346 default up LISFD NOERR 0 2019-04-30T15:46:25+0000 

Probleem met peer-time-out (VM_TMO)

Een peer timeout voorwaarde wordt geactiveerd wanneer een vEdge de bereikbaarheid van de controller in kwestie verliest.

In dit voorbeeld neemt het eenvManage Timeout msg (peer VM_TMO) voorbeeld op. Andere voorbeelden zijn peer vBond, vSmart en/of vEdge timeouts (VB_TMO, VP_TMO, VS_TMO).

Zorg er als onderdeel van probleemoplossing voor dat u beschikt over connectiviteit met de controller. Gebruik Internet Control Message Protocol (ICMP) en/of traceroute  naar het IP-adres in kwestie. Gevallen waarin veel verkeer valt (verlies is hoog). Snel ping en zorg ervoor dat het goed is.

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vmanage tls 10.0.1.3 3 0 10.0.2.42 23456 203.0.113.124 23456 default tear_down VM_TMO NOERR 21 2019-04-30T15:59:24+0000

Controleer bovendien de show control connections-history detail opdrachtoutput om de TX/RX-besturingsstatistieken te bekijken om te zien of er significante discrepantie is in de tellers. Bericht in de output het verschil tussen RX en TX hello pakketnummers.

---------------------------------------------------------------------------------------- LOCAL-COLOR- biz-internet SYSTEM-IP- 192.168.30.103 PEER-PERSONALITY- vsmart ---------------------------------------------------------------------------------------- site-id 1 domain-id 1 protocol dtls private-ip 192.168.20.103 private-port 12346 public-ip 192.168.20.103 public-port 12346 UUID/chassis-number 4fc4bf2c-f170-46ac-b217-16fb150fef1d state tear_down [Local Err: ERR_DISABLE_TLOC] [Remote Err: NO_ERROR] downtime 2019-06-01T14:52:49+0200 repeat count 5 previous downtime 2019-06-01T14:43:11+0200 Tx Statistics- -------------- hello 597 connects 0 registers 0 register-replies 0 challenge 0 challenge-response 1 challenge-ack 0 teardown 1 teardown-all 0 vmanage-to-peer 0 register-to-vmanage 0 Rx Statistics- -------------- hello 553 connects 0 registers 0 register-replies 0 challenge 1 challenge-response 0 challenge-ack 1 teardown 0 vmanage-to-peer 0 register-to-vmanage 0

Serienummer(s) niet aanwezig (CRTREJSER, BIDNTVRFD)

Als het serienummer niet op de controllers voor een bepaald apparaat staat, gaan de bedieningsverbindingen niet door.

Het kan worden geverifieerd met show controllers [ valid-vsmarts | valid-vedges ] uitgangen en meestal vast. Navigeer naar Configuration > Certificates > Send to Controllers or Send to vBond knoppen vanaf de tabbladen vManager. Op vBond, check show orchestrator valid-vedges / show orchestrator valid-vsmarts.

In de logboeken op vBond observeer je deze berichten met reden ERR_BID_NOT_VERIFIED:

messages:local7 info: Dec 21 01:13:31 vBond-1 VBOND[1677]: %Viptela-vBond-1-vbond_0-6-INFO-1400002: Notification: 12/21/2018 1:13:31 vbond-reject-vedge-connection severit y-level:major host-name:"vBond-1" system-ip:10.0.1.11 uuid:"11OG301234567" organization-name:"Example_Orgname" sp-organization-name:"Example_Orgname"" reason:"ERR_BID_NOT_VERIFIED"

Wanneer u een dergelijk probleem oplost, dient u ervoor te zorgen dat het juiste serienummer en apparaatmodel is geconfigureerd en provisioneerd op het PnP-portal (software.cisco.com) en vManager.

Om het chassisnummer en het serienummer van het certificaat te controleren, kan deze opdracht op vEdge-routers worden gebruikt:

vEdge1# show control local-properties | include "chassis-num|serial-num" chassis-num/unique-id 11OG528180107 serial-num 1001247E

Voer deze opdracht in op een router waarop Cisco IOS XE SD-WAN-software wordt uitgevoerd:

cEdge1#show sdwan control local-properties | include chassis-num|serial-num chassis-num/unique-id C1111-4PLTEEA-FGL223911LK serial-num 016E9999

Of deze opdracht:

Router#show crypto pki certificates CISCO_IDEVID_SUDI | s ^Certificate Certificate Status: Available Certificate Serial Number (hex): 016E9999 Certificate Usage: General Purpose Issuer: o=Cisco cn=High Assurance SUDI CA Subject: Name: C1111-4PLTEEA Serial Number: PID:C1111-4PLTEEA SN:FGL223911LK cn=C1111-4PLTEEA ou=ACT-2 Lite SUDI o=Cisco serialNumber=PID:C1111-4PLTEEA SN:FGL223911LK Validity Date: start date: 15:33:46 UTC Sep 27 2018 end date: 20:58:26 UTC Aug 9 2099 Associated Trustpoints: CISCO_IDEVID_SUDI

Voor problemen met vEdge/vSmart

Hier ziet u hoe de fout in de show control connections-history opdrachtoutput op vEdge/vSmart ziet:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 biz-internet challenge_resp RXTRDWN BIDNTVRFD 0 2019-06-01T16:40:16+0200

Op vBond in de show orchestrator connections-history opdrachtoutput:

 PEER PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 unknown dtls - 0 0 :: 0 192.168.10.234 12346 default tear_down BIDNTVRFD/NOERR 1 2019-06-01T18:44:34+0200

Het serienummer van het apparaat op vBond staat ook niet in de lijst met geldige vEdge-waarden:

vbond1# show orchestrator valid-vedges | i 11OG528180107

Voor problemen met controllers

Als het serienummer tussen de controllers zelf niet overeenkomt, is de lokale fout op vBond het serienummer dat niet aanwezig is in vergelijking met het certificaat dat wordt ingetrokken voor vSmarts/vManager.

Op vBond:

 PEER PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 unknown dtls - 0 0 :: 0 192.168.0.229 12346 default tear_down SERNTPRES/NOERR 2 2019-06-01T19:04:51+0200

vbond1# show orchestrator valid-vsmarts SERIAL NUMBER ORG ----------------------- 0A SAMPLE - ORGNAME 0B SAMPLE - ORGNAME 0C SAMPLE - ORGNAME 0D SAMPLE - ORGNAME

Op getroffen vSmart/vManager:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default tear_down CRTREJSER NOERR 9 2019-06-01T19:06:32+0200

vsmart# show control local-properties| i serial-num serial-num 0F

Verder zie je ORPTMO-berichten op de betreffende vSmart met betrekking tot vEdge:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 unknown tls - 0 0 :: 0 192.168.10.238 54850 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:16+0200 0 unknown tls - 0 0 :: 0 192.168.10.238 54850 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:16+0200 0 unknown tls - 0 0 :: 0 198.51.100.100 55374 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:05+0200 0 unknown tls - 0 0 :: 0 198.51.100.100 59076 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:03+0200 0 unknown tls - 0 0 :: 0 192.168.10.240 53478 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:02+0200

Op vEdge beïnvloed vSmart, in de show control connections-history output wordt de "SERNTPRES"-fout gezien:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 biz-internet tear_down SERNTPRES NOERR 29 2019-06-01T19:18:51+0200 vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 mpls tear_down SERNTPRES NOERR 29 2019-06-01T19:18:32+0200

Onjuist chassis-aantal/uniek-id

Een ander voorbeeld van dezelfde fout "CRTREJSER/NOERR" kan worden gezien als de verkeerde Product-ID (model) wordt gebruikt op het PnP-portaal. Voorbeeld:

vbond# show orchestrator valid-vedges | include ASR1002 ASR1002-HX-DNA-JAE21050110 014EE30A valid Cisco SVC N1

Het model van het echte apparaat is echter anders (let op dat het suffix "DNA" niet op de naam staat):

ASR1k#show sdwan control local-properties | include chassis-num chassis-num/unique-id ASR1002-HX-JAE21050110

Organisatie Mismatch (CTORGNMMIS)

De naam van de organisatie is een kritisch element voor het omhoog brengen van de controleverbinding. Voor een bepaalde overlay moet de naam van de organisatie overeenkomen met alle controllers en randen, zodat de besturingsverbindingen naar boven kunnen komen.

Zo niet, dan is er een "Certificate Org. name mismatch" fout zoals hieronder getoond:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vbond dtls - 0 0 203.0.113.197 12346 203.0.113.197 12346 biz-internet tear_down CTORGNMMIS NOERR 14 2019-04-08T00:26:19+0000 vbond dtls - 0 0 198.51.100.137 12346 198.51.100.137 12346 biz-internet tear_down CTORGNMMIS NOERR 13 2019-04-08T00:26:04+0000 

vEdge/vSmart-certificaat ingetrokken/ongeldig gemaakt (VSCRTREV/CRTVERFL)

In gevallen waarin het certificaat wordt ingetrokken voor controllers of vEdge-serienummer ongeldig wordt verklaard, wordt respectievelijk een vSmart- of vEdge-bericht van herroeping van certificering weergegeven.

Hier zijn voorbeelden van vSmart-certificaten die berichten herroepen. Dit is het certificaat dat is ingetrokken op vSmart:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default up RXTRDWN VSCRTREV 0 2019-06-01T18:13:22+0200 1 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default up RXTRDWN VSCRTREV 0 2019-06-01T18:13:22+0200

Op dezelfde manier ziet een andere vSmart in dezelfde overlay de vSmart waarvan het certificaat wordt ingetrokken:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 default tear_down VSCRTREV NOERR 0 2019-06-01T18:13:24+0200

En hier zie je hoe vBond dit ziet:

 PEER PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vsmart dtls 10.10.10.229 1 1 192.168.0.229 12346 192.168.0.229 12346 default tear_down VSCRTREV/NOERR 0 2019-06-01T18:13:14+0200

Certificatie verificatie fout is wanneer het certificaat niet kan worden geverifieerd met het basiscertificaat geïnstalleerd:

1. Controleer de tijd met de show clock opdracht. Het moet ten minste binnen de geldigheid van het vBond-certificaat vallen (controleer dit met de show orchestrator local-properties opdracht).

2. Dit kan worden veroorzaakt door beschadiging van het basiscertificaat op vEdge.

Vervolgens show control connections-history geeft de opdracht op de vEdge-router een soortgelijke uitvoer weer:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.82 12346 203.0.113.82 12346 default tear_down CRTVERFL NOERR 32 2018-11-16T23:58:22+0000 vbond dtls - 0 0 203.0.113.81 12346 203.0.113.81 12346 default tear_down CRTVERFL NOERR 31 2018-11-16T23:58:03+0000 

In dit geval kan vEdge het controllercertificaat niet ook valideren. Om dit probleem op te lossen, kunt u de root certificaat keten opnieuw installeren. Als de Symantec Certificate Authority wordt gebruikt, kunt u de Root certificate chain kopiëren van het alleen-lezen bestandssysteem:

vEdge1# vshell vEdge1:~$ cp /rootfs ro/usr/share/viptela/root-ca-sha1-sha2.crt /home/admin/ vEdge1:~$ exit exit vEdge1# request root-cert-chain install /home/admin/root-ca-sha1-sha2.crt Uploading root-ca-cert-chain via VPN 0 Copying ... /home/admin/root-ca-sha1-sha2.crt via VPN 0 Installing the new root certificate chain Successfully installed the root certificate chain

vEdge-sjabloon niet toegevoegd in vManager

Op het moment dat het apparaat wordt weergegeven als het apparaat niet is aangesloten met een sjabloon op vManager, wordt het NOVMCFG - No Config in vManage for device bericht weergegeven.

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT D OWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------------------- vmanage dtls 10.0.1.1 1 0 10.0.2.80 12546 203.0.113.128 12546 default up RXTRDWN NOVMCFG 35 2 019-02-26T12:23:52+0000 

Voorbijgaande condities (discvbd, sysipchng)

Hier zijn enkele tijdelijke condities waarbij de bedieningsverbindingen flappen. Zij omvatten:

• System-IP gewijzigd op de vEdge.
• Scheur bericht naar vBond (controleverbinding naar vBond is van voorbijgaande aard).

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vmanage dtls 10.0.0.1 1 0 198.51.100.92 12646 198.51.100.92 12646 default tear_down SYSIPCHNG NOERR 0 2018-11-02T16:58:00+0000

DNS-fout

Wanneer er in de show control connection-history  opdracht geen verbindingspogingen worden gezien, kunt u met deze stappen controleren op DNS-resolutiefouten in de richting van de vBond:

• Pingen naar het DNS-adres van de vBond.

ping vbond-dns-name.cisco.com
ping vbond-dns-name.cisco.com: Temporary failure in name resolution

• Ping google DNS (8.8.8.8) van de broninterface om de bereikbaarheid van internet te verifiëren. 

ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:

• Ingesloten pakketvastlegging voor DNS-verkeer op poort 53 om te controleren op verzonden en ontvangen DNS-verkeer.

monitor capture mycap interface <interface that forms control>
monitor capture mycap match ipv4 <source IP> <vBond IP>

Referentiedocument: ingesloten pakketvastlegging.

Start de monitoropname en laat deze een paar minuten lopen en stop vervolgens de opname. Ga verder met het onderzoeken van de pakketopname om te zien of DNS-vragen worden verzonden en ontvangen.

Gerelateerde informatie

• Basisparameters configureren voor formulierbeheerverbindingen op cEdge
• Technische ondersteuning en documentatie – Cisco Systems