排除SD-WAN控制連線故障
下載選項
已更新: 2023 年 1 月 18 日
文件 ID:214509
無偏見用語
本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
關於此翻譯
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
簡介
本文檔介紹導致控制連線出現問題的某些可能原因以及如何解決這些問題。
背景資訊
注意:本文檔中介紹的大部分命令輸出來自vEdge路由器。不過,執行Cisco IOS® XE SD-WAN軟體的路由器也使用相同的方法。輸入sdwan 關鍵字可在Cisco IOS XE SD-WAN軟體上獲得相同的輸出。例如,show sdwan control connections 而非 show control connections .
在排除故障之前,請確保問題中的WAN邊緣已正確配置。
它包括:
- 已安裝的有效憑證。
- 在
system 模組下提供了以下配置: - System-IP
- 站點ID
- 組織名稱
- vBond地址
- 使用Tunnel選項和IP地址配置的VPN 0傳輸介面。
- 在vEdge上正確配置的系統時鐘以及與其他裝置/控制器匹配的系統時鐘:
show clock 命令可確認當前設定的時間。
輸入 clock set 命令以在裝置上設定正確時間。
對於前面提到的所有情況,請確保傳輸定位器(TLOC)已啟用。使用 show control local-properties 命令進行檢查。
有效輸出的示例如下所示:
branch-vE1# show control local-properties personality vedge organization-name vIPtela Inc Regression certificate-status Installed root-ca-chain-status Installed certificate-validity Valid certificate-not-valid-before Sep 06 22:39:01 2018 GMT certificate-not-valid-after Sep 06 22:39:01 2019 GMT dns-name vbond-dns-name.cisco.com site-id 10 domain-id 1 protocol dtls tls-port 0 system-ip 10.1.10.1 chassis-num/unique-id 66cb2a8b-2eeb-479b-83d0-0682b64d8190 serial-num 12345718 vsmart-list-version 0 keygen-interval 1:00:00:00 retry-interval 0:00:00:17 no-activity-exp-interval 0:00:00:12 dns-cache-ttl 0:00:02:00 port-hopped TRUE time-since-last-port-hop 20:16:24:43 number-vbond-peers 2 INDEX IP PORT ------------------------------- 0 10.3.25.25 12346 1 10.4.30.30 12346 number-active-wan-interfaces 2 PUBLIC PUBLIC PRIVATE PRIVATE RESTRICT/ LAST MAX SPI TIME LAST-RESORT INTERFACE IPv4 PORT IPv4 PORT VS/VM COLOR CARRIER STATE CONTROL CONNECTION CNTRL REMAINING INTERFACE --------------------------------------------------------------------------------------------------------------------------------------------- ge0/1 10.1.7.11 12346 10.1.7.11 12346 2/1 gold default up no/yes 0:00:00:16 2 0:07:33:55 No ge0/2 10.2.9.11 12366 10.2.9.11 12366 2/0 silver default up no/yes 0:00:00:12 2 0:07:35:16 No 在vEdge軟體版本16.3及更高版本中,輸出還有幾個額外欄位:
number-vbond-peers 1 number-active-wan-interfaces 1
NAT TYPE: E -- indicates End-point independent mapping A -- indicates Address-port dependent mapping N -- indicates Not learned Note: Requires minimum two vbonds to learn the NAT type PUBLIC PUBLIC PRIVATE PRIVATE PRIVATE MAX RESTRICT/ LAST SPI TIME NAT VM INTERFACE IPv4 PORT IPv4 IPv6 PORT VS/VM COLOR STATE CNTRL CONTROL/ LR/LB CONNECTION REMAINING TYPE CON STUN PRF ---------------------------------------------------------------------------------------------------------------------------------------------------- ge0/4 172.16.0.20 12386 192.168.0.20 2601:647:4380:ca75::c2 12386 2/1 public-internet up 2 no/yes/no No/Yes 0:10:34:16 0:03:03:26 E 5 問題情景
問題情景DTLS連線失敗(DCONFAIL)
DTLS連線失敗(DCONFAIL)這是未出現的控制連線常見問題之一。可能的原因包括防火牆或其他連線問題。
可能是部分或所有資料包被丟棄/過濾。這裡給出了較大的tcpdump inresults的例子。
- 無法到達下一跳(NH)路由器。
- 路由資訊庫(RIB)中未安裝預設網關。
- 控制器中的資料包傳輸層安全性(DTLS)連線埠未開啟。
可以使用以下show命令:
#Check that Next hop
show ip route vpn 0
#Check ARP table for Default GW
show arp
#Ping default GW
ping <...>
#Ping Google DNS
ping 8.8.8.8
#Ping vBond if ICMP is allowed on vBond
ping <vBond IP>
#Traceroute to vBond DNS
traceroute <...>遇到DTLS連線故障時,可在 show control connections-history 命令輸出中看到它。
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vsmart tls 10.0.1.5 160000000 1 10.0.2.73 23456 10.0.2.73 23456 default trying DCONFAIL NOERR 10407 2019-04-07T22:03:45+0000這就是在您使用tcpdump 時(例如在SD-WAN (vSmart)端),大型資料包無法到達vEdge時所發生的情況:
tcpdump vpn 0 interface eth1 options "host 198.51.100.162 -n" 13:51:35.312109 IP 198.51.100.162.9536 > 172.18.10.130.12546: UDP, length 140 <<<< 1 (packet number) 13:51:35.312382 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 <<< not reached vEdege 13:51:35.318654 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 <<< not reached vEdege 13:51:35.318726 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 853 <<< not reached vEdege 13:51:36.318087 IP 198.51.100.162.9536 > 172.18.10.130.12546: UDP, length 140 <<<< 5 13:51:36.318185 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 79 <<<< 6 13:51:36.318233 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 << not reached vEdege 13:51:36.318241 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 879 << not reached vEdege 13:51:36.318257 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 804 << not reached vEdege 13:51:36.318266 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 65 <<<< 10 13:51:36.318279 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 25 <<<< 11 vEdge端示例如下所示:
tcpdump vpn 0 interface ge0/1 options "host 203.0.113.147 -n"
13:51:35.250077 IP 198.51.100.162.12426 > 203.0.113.147.12746: UDP, length 140 <<<< 1 13:51:36.257490 IP 198.51.100.162.12426 > 203.0.113.147.12746: UDP, length 140 <<<< 5 13:51:36.325456 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 79 <<<< 6 13:51:36.325483 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 65 <<<< 10 13:51:36.325538 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 25 <<<< 11 注意:在Cisco IOS XE SD-WAN軟體上,您可以使用嵌入式資料包捕獲(EPC)而不是 tcpdump。
您還可以使用 traceroute 或 nping 實用程式來生成具有不同資料包大小和差分服務代碼點(DSCP)標籤的資料流,以檢查連通性,因為您的服務提供商可能會在傳輸較大的UDP資料包、分段的UDP資料包(尤其是UDP小片段)或DSCP標籤的資料包時遇到問題。下面是連線成功時 nping 的示例。
從vSmart:
vSmart# tools nping vpn 0 198.51.100.162 options "--udp -p 12406 -g 12846 --source-ip 172.18.10.130 --df --data-length 555 --tos 192" Nping in VPN 0 Starting Nping 0.6.47 ( http://nmap.org/nping ) at 2019-05-17 23:28 UTC SENT (0.0220s) UDP 172.18.10.130:12846 > 198.51.100.162:12406 ttl=64 id=16578 iplen=583 SENT (1.0240s) UDP 172.18.10.130:12846 > 198.51.100.162:12406 ttl=64 id=16578 iplen=583 下面顯示了vEdge的一個示例:
vEdge# tcpdump vpn 0 interface ge0/1 options "-n host 203.0.113.147 and udp" tcpdump -i ge0_1 -s 128 -n host 203.0.113.147 and udp in VPN 0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ge0_1, link-type EN10MB (Ethernet), capture size 128 bytes 18:29:43.492632 IP 203.0.113.147.12846 > 198.51.100.162.12406: UDP, length 555 18:29:44.494591 IP 203.0.113.147.12846 > 198.51.100.162.12406: UDP, length 555以下示例說明在vSmart上使用 traceroute 命令(從vShell運行)連線失敗:
vSmart$ traceroute 198.51.100.162 1400 -F -p 12406 -U -t 192 -n -m 20 traceroute to 198.51.100.162.162 (198.51.100.162.162), 20 hops max, 1400 byte packets 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 10.65.14.177 0.435 ms 10.65.13.225 0.657 ms 0.302 ms 7 10.10.28.115 0.322 ms 10.93.28.127 0.349 ms 10.93.28.109 1.218 ms 8 * * * 9 * * * 10 * 10.10.114.192 4.619 ms * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 10.68.72.61 2.162 ms * * 17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *vEdge不會接收從vSmart傳送的封包(只有部分其他流量或片段):
vEdge# tcpdump vpn 0 interface ge0/1 options "-n host 203.0.113.147 and udp" tcpdump -i ge0_1 -s 128 -n host 203.0.113.147 and udp in VPN 0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ge0_1, link-type EN10MB (Ethernet), capture size 128 bytes 18:16:30.232959 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 65
18:16:30.232969 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 25
18:16:33.399412 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 16
18:16:34.225796 IP 198.51.100.162.12386 > 203.0.113.147.12846: UDP, length 140
18:16:38.406256 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 16
18:16:43.413314 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 16停用TLOC (DISTLOC)
停用TLOC (DISTLOC)觸發TLOC Disabled訊息的原因可能包括:
- 清除控制連線。
- 變更TLOC上的顏色。
- 更改系統IP。
對系統塊或show control connections-history命令輸出中的隧道屬性中提及的任何配置進行更改。
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vmanage dtls 192.168.30.101 1 0 192.168.20.101 12346 192.168.20.101 12346 biz-internet tear_down DISTLOC NOERR 3 2019-06-01T14:43:11+0200 vsmart dtls 192.168.30.103 1 1 192.168.20.103 12346 192.168.20.103 12346 biz-internet tear_down DISTLOC NOERR 4 2019-06-01T14:43:11+0200 vbond dtls 0.0.0.0 0 0 192.168.20.102 12346 192.168.20.102 12346 biz-internet tear_down DISTLOC NOERR 4 2019-06-01T14:43:11+0200未初始化板ID (BIDNTPR)
未初始化板ID (BIDNTPR)在網路連線不斷抖動的高度不穩定網路中,您可以看到TXCHTOBD - failed to send a challenge to Board ID failed和/或RDSIGFBD - Read Signature from Board ID failed。此外,有時由於鎖定問題,傳送至board-id的質詢失敗,發生此情況時,請重設board-ID並再試一次。這種情況不會經常發生,而且會延遲控制連線的形式。在較新版本中會修正此問題。
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.109 12346 203.0.113.109 12346 silver challenge TXCHTOBD NOERR 2 2019-05-22T05:53:47+0000 vbond dtls - 0 0 203.0.113.56 12346 203.0.113.56 12346 silver challenge TXCHTOBD NOERR 0 2019-05-21T09:50:41+0000 BDSGVERFL -板ID簽名失敗
BDSGVERFL -板ID簽名失敗這表示vEdge chassis-num/unique-id/serial number被vBond拒絕。發生這種情況時,請確認 show control local-properties 命令輸出中顯示的vEdge資訊,並將該輸出與vBond上的 show orchestrator valid-vedges 進行比較。
如果vEdge沒有專案,請確定您有:
- 將vEdge增加到智慧帳戶。
- 已將該檔案正確上載到vManage。
按一下 Configuration > Certificates下的 Send to Controllers 。
如果存在,請檢查valid-vEdge表中是否存在重複條目,並聯絡思科技術支援中心(TAC)進一步排除此故障
停滯在「連線」中:路由問題
停滯在「連線」中:路由問題如果網路中存在路由問題,則控制連線不會啟動。 確保RIB中具有正確的NH/TLOC的有效路由。
範例包括:
- 在RIB中到vBond的更具體的路由指向不用於建立控制連線的NH/TLOC。
- TLOC IP在上游服務提供商之間洩露,從而導致路由不正確。
輸入以下命令進行驗證:
show ip route
show ip routes vpn 0 <prefix/mask>
ping <vBond IP>查詢IP字首的距離值和協定。
vEdge嘗試建立控制連線失敗,或連線到控制器不斷抖動。
使用 show control connections 和/或show sdwan control connections-history 命令進行檢驗。
vedge1# show control connections PEER PEER CONTROLLER PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls 0.0.0.0 0 0 192.168.20.102 12346 192.168.20.102 12346 biz-internet - connect 0 通訊端錯誤(LISFD)
通訊端錯誤(LISFD)如果網路中存在重複的IP,則控制連線不會出現。您將看到LISFD - Listener Socket FD Error消息。其他原因也會導致這種情況,例如資料包損壞、重置、TLS與DTLS埠上的vEdge和控制器之間不匹配、FW埠未打開等。
最常見的原因是傳輸IP重複。檢查連通性並確保地址是唯一的。
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.21 12346 203.0.113.21 12346 default up LISFD NOERR 0 2019-04-30T15:46:25+0000 對等體超時問題(VM_TMO)
對等體超時問題(VM_TMO)當vEdge無法連線至問題控制器時,會觸發對等逾時條件。
在本示例中,它捕獲了avManage Timeout msg (peer VM_TMO)。其他包括Peer vBond、vSmart和/或vEdge超時(VB_TMO, VP_TMO, VS_TMO)。
進行疑難排解時,請確定您已連線至控制器。使用網際網路控制訊息通訊協定(ICMP)和/或traceroute 對討論的IP位址使用。發生大量流量丟包的情況(丟失率較高)。快速 ping 並確保它是良好的。
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vmanage tls 10.0.1.3 3 0 10.0.2.42 23456 203.0.113.124 23456 default tear_down VM_TMO NOERR 21 2019-04-30T15:59:24+0000此外,檢查 show control connections-history detail 命令輸出以檢視TX/RX控制統計資訊,檢視計數器是否有任何重大差異。注意輸出中RX和TX hello資料包編號之間的差異。
---------------------------------------------------------------------------------------- LOCAL-COLOR- biz-internet SYSTEM-IP- 192.168.30.103 PEER-PERSONALITY- vsmart ---------------------------------------------------------------------------------------- site-id 1 domain-id 1 protocol dtls private-ip 192.168.20.103 private-port 12346 public-ip 192.168.20.103 public-port 12346 UUID/chassis-number 4fc4bf2c-f170-46ac-b217-16fb150fef1d state tear_down [Local Err: ERR_DISABLE_TLOC] [Remote Err: NO_ERROR] downtime 2019-06-01T14:52:49+0200 repeat count 5 previous downtime 2019-06-01T14:43:11+0200 Tx Statistics- -------------- hello 597 connects 0 registers 0 register-replies 0 challenge 0 challenge-response 1 challenge-ack 0 teardown 1 teardown-all 0 vmanage-to-peer 0 register-to-vmanage 0 Rx Statistics- -------------- hello 553 connects 0 registers 0 register-replies 0 challenge 1 challenge-response 0 challenge-ack 1 teardown 0 vmanage-to-peer 0 register-to-vmanage 0序列號不存在(CRTREJSER、BIDNTVRFD)
序列號不存在(CRTREJSER、BIDNTVRFD)如果給定裝置的控制器上沒有序列號,則控制連線失敗。
它可使用 show controllers [ valid-vsmarts | valid-vedges ] 輸出進行驗證並且大部分時間是固定的。從vManage頁籤導航至 Configuration > Certificates > Send to Controllers or Send to vBond 按鈕。在vBond上,檢查 show orchestrator valid-vedges / show orchestrator valid-vsmarts。
在vBond的日誌中,您有理由觀察這些消息 ERR_BID_NOT_VERIFIED:
messages:local7 info: Dec 21 01:13:31 vBond-1 VBOND[1677]: %Viptela-vBond-1-vbond_0-6-INFO-1400002: Notification: 12/21/2018 1:13:31 vbond-reject-vedge-connection severit y-level:major host-name:"vBond-1" system-ip:10.0.1.11 uuid:"11OG301234567" organization-name:"Example_Orgname" sp-organization-name:"Example_Orgname"" reason:"ERR_BID_NOT_VERIFIED"當您排除此類故障時,請確保在PnP門戶(software.cisco.com)和vManage上配置並調配了正確的序列號和裝置型號。
要檢查機箱編號和證書序列號,可以在vEdge路由器上使用以下命令:
vEdge1# show control local-properties | include "chassis-num|serial-num" chassis-num/unique-id 11OG528180107 serial-num 1001247E在執行Cisco IOS XE SD-WAN軟體的路由器上,輸入以下命令:
cEdge1#show sdwan control local-properties | include chassis-num|serial-num chassis-num/unique-id C1111-4PLTEEA-FGL223911LK serial-num 016E9999或此命令:
Router#show crypto pki certificates CISCO_IDEVID_SUDI | s ^Certificate Certificate Status: Available Certificate Serial Number (hex): 016E9999 Certificate Usage: General Purpose Issuer: o=Cisco cn=High Assurance SUDI CA Subject: Name: C1111-4PLTEEA Serial Number: PID:C1111-4PLTEEA SN:FGL223911LK cn=C1111-4PLTEEA ou=ACT-2 Lite SUDI o=Cisco serialNumber=PID:C1111-4PLTEEA SN:FGL223911LK Validity Date: start date: 15:33:46 UTC Sep 27 2018 end date: 20:58:26 UTC Aug 9 2099 Associated Trustpoints: CISCO_IDEVID_SUDI針對vEdge/vSmart的問題
針對vEdge/vSmart的問題以下是在 show control connections-history 命令輸出中,vEdge/vSmart上的錯誤資訊:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 biz-internet challenge_resp RXTRDWN BIDNTVRFD 0 2019-06-01T16:40:16+0200在 show orchestrator connections-history 命令輸出中的vBond上:
PEER PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 unknown dtls - 0 0 :: 0 192.168.10.234 12346 default tear_down BIDNTVRFD/NOERR 1 2019-06-01T18:44:34+0200此外,vBond上的裝置序列號不在有效vEdge清單中:
vbond1# show orchestrator valid-vedges | i 11OG528180107控制器問題
控制器問題如果控制器本身之間的串列檔案不匹配,則vBond上的本地錯誤是vSmarts/vManage的證書被吊銷時的序列號。
在vBond:
PEER PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 unknown dtls - 0 0 :: 0 192.168.0.229 12346 default tear_down SERNTPRES/NOERR 2 2019-06-01T19:04:51+0200vbond1# show orchestrator valid-vsmarts SERIAL NUMBER ORG ----------------------- 0A SAMPLE - ORGNAME 0B SAMPLE - ORGNAME 0C SAMPLE - ORGNAME 0D SAMPLE - ORGNAME在受影響的vSmart/vManage上:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default tear_down CRTREJSER NOERR 9 2019-06-01T19:06:32+0200vsmart# show control local-properties| i serial-num serial-num 0F此外,您會在受影響的vSmart上看到有關vEdge的ORPTMO消息:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 unknown tls - 0 0 :: 0 192.168.10.238 54850 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:16+0200 0 unknown tls - 0 0 :: 0 192.168.10.238 54850 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:16+0200 0 unknown tls - 0 0 :: 0 198.51.100.100 55374 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:05+0200 0 unknown tls - 0 0 :: 0 198.51.100.100 59076 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:03+0200 0 unknown tls - 0 0 :: 0 192.168.10.240 53478 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:02+0200在受影響的vEdge的vSmart上,在 show control connections-history 輸出中看到「SERNTPRES」錯誤:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 biz-internet tear_down SERNTPRES NOERR 29 2019-06-01T19:18:51+0200 vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 mpls tear_down SERNTPRES NOERR 29 2019-06-01T19:18:32+0200Chassis-Num/Unique-Id錯誤
Chassis-Num/Unique-Id錯誤如果在PnP門戶上使用了錯誤的產品ID(型號),則可以看到同一錯誤「CRTREJSER/NOERR」的另一個示例。舉例來說:
vbond# show orchestrator valid-vedges | include ASR1002 ASR1002-HX-DNA-JAE21050110 014EE30A valid Cisco SVC N1但是,實際裝置型號不同(請注意,「DNA」字尾不在名稱中):
ASR1k#show sdwan control local-properties | include chassis-num chassis-num/unique-id ASR1002-HX-JAE21050110組織不相符(CTORGNMIS)
組織不相符(CTORGNMIS)「組織名稱」是啟動控制連線的重要元件。對於指定的覆蓋,組織名稱必須在所有控制器和vEdge之間匹配,以便控制連線可以啟動。
否則,會出現「Certificate Org. name mismatch」錯誤,如下所示:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vbond dtls - 0 0 203.0.113.197 12346 203.0.113.197 12346 biz-internet tear_down CTORGNMMIS NOERR 14 2019-04-08T00:26:19+0000 vbond dtls - 0 0 198.51.100.137 12346 198.51.100.137 12346 biz-internet tear_down CTORGNMMIS NOERR 13 2019-04-08T00:26:04+0000 vEdge/vSmart憑證已撤銷/失效(VSCRTREV/CRTVERFL)
vEdge/vSmart憑證已撤銷/失效(VSCRTREV/CRTVERFL)如果控制器上的證書被吊銷或vEdge序列號無效,則會分別顯示vSmart或vEdge證書吊銷消息。
以下是vSmart證書撤銷消息的示例輸出。這是在vSmart上撤銷的證書:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default up RXTRDWN VSCRTREV 0 2019-06-01T18:13:22+0200 1 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default up RXTRDWN VSCRTREV 0 2019-06-01T18:13:22+0200同樣,在同一覆蓋中的另一個vSmart上,它也會看到證書被吊銷的vSmart:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 default tear_down VSCRTREV NOERR 0 2019-06-01T18:13:24+0200以下是vBond如何看待這一點的:
PEER PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vsmart dtls 10.10.10.229 1 1 192.168.0.229 12346 192.168.0.229 12346 default tear_down VSCRTREV/NOERR 0 2019-06-01T18:13:14+0200憑證驗證失敗是指無法在安裝根憑證的情況下驗證憑證時:
1. 使用 show clock 命令檢查時間。它必須至少在vBond證書有效範圍內(請使用 show orchestrator local-properties 命令進行檢查)。
2. 這可能是由vEdge上的根證書損壞引起的。
然後vEdge路由器上的 show control connections-history 命令顯示類似的輸出:
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.82 12346 203.0.113.82 12346 default tear_down CRTVERFL NOERR 32 2018-11-16T23:58:22+0000 vbond dtls - 0 0 203.0.113.81 12346 203.0.113.81 12346 default tear_down CRTVERFL NOERR 31 2018-11-16T23:58:03+0000 在這種情況下,vEdge無法同時驗證控制器憑證。若要修正此問題,您可以重新安裝根憑證鏈結。在使用Symantec Certificate Authority的情況下,您可以從只讀檔案系統複製根證書鏈:
vEdge1# vshell vEdge1:~$ cp /rootfs ro/usr/share/viptela/root-ca-sha1-sha2.crt /home/admin/ vEdge1:~$ exit exit vEdge1# request root-cert-chain install /home/admin/root-ca-sha1-sha2.crt Uploading root-ca-cert-chain via VPN 0 Copying ... /home/admin/root-ca-sha1-sha2.crt via VPN 0 Installing the new root certificate chain Successfully installed the root certificate chainvManage中未附加vEdge模板
vManage中未附加vEdge模板在啟動裝置時,如果裝置未與vManage上的模板連線,則會顯示 NOVMCFG - No Config in vManage for device 消息。
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT D OWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------------------- vmanage dtls 10.0.1.1 1 0 10.0.2.80 12546 203.0.113.128 12546 default up RXTRDWN NOVMCFG 35 2 019-02-26T12:23:52+0000 暫時性狀況(DISCVBD、SYSIPCHNG)
暫時性狀況(DISCVBD、SYSIPCHNG)下面是控制連線發生抖動的一些暫時情況。它們包括:
- vEdge上的System-IP已更改。
- 到vBond的拆解消息(與vBond的控制連線是臨時的)。
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vmanage dtls 10.0.0.1 1 0 198.51.100.92 12646 198.51.100.92 12646 default tear_down SYSIPCHNG NOERR 0 2018-11-02T16:58:00+0000DNS故障
DNS故障當show control connection-history 命令中未發現任何連線嘗試時,您可以使用以下步驟檢查是否出現vBond的DNS解析故障:
- 對vBond的DNS地址執行ping操作。
ping vbond-dns-name.cisco.com
ping vbond-dns-name.cisco.com: Temporary failure in name resolution- 從源介面ping Google DNS (8.8.8.8)以驗證Internet可接通性。
ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:- 埠53上的DNS流量的嵌入式資料包捕獲,用於檢查已傳送和已接收的DNS流量。
monitor capture mycap interface <interface that forms control>
monitor capture mycap match ipv4 <source IP> <vBond IP>參考文檔:嵌入式資料包捕獲。
啟動監控器捕獲,讓它運行幾分鐘,然後停止捕獲。繼續檢查資料包捕獲,檢視是否傳送和接收DNS查詢。
相關資訊
相關資訊 修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
4.0 |
18-Jan-2023 |
重新認證 |
3.0 |
17-Oct-2022 |
新增的先決條件、DNS失敗和相關資訊段落 |
2.0 |
29-Apr-2022 |
增加了「BDSGVERFL -板ID簽名失敗」部分,更新了IP地址,並編輯了電腦轉換。 |
1.0 |
13-Jun-2019 |
初始版本 |
由思科工程師貢獻
- Shankar VemulapalliCisco TAC Engineer
- Eugene KhabarovCisco TAC Engineer
- Dylan WilsonCisco TAC Engineer
意見