Interrupción de servicios SIP causada por IPsec AR1200

Pubilicado 2019-1-24 22:59:01 33 0 0 0

Descripción del problema: El cliente configuró dos túneles IPsec 100 / Mbit entre AR1220E y Cisco ASR1002 / ASR1004, pero luego de configurar IPsec, el Cliente experimentó pérdida de paquetes, rendimiento de red degradado y sesión SIP interrumpida.

 

Proceso de manejo: de acuerdo con la información de configuración en el dispositivo, solo el AR y el ASR del mismo nivel establecen un túnel IPsec. No hay configuración de NAT. Los paquetes SIP se cifran y descifran como paquetes IPsec.

 No veo ningún error de IPsec en el registro de depuración. Se puede escuchar el timbre cuando el teléfono está hablando. Esto indica que hay intercambio de paquetes SIP. El túnel IPsec es bueno. La información existente no ve ninguna duda.

 

Por favor, siga a continuación sugerir obtener paquetes de captura.

 1. Para IPsec configurado y sin el escenario IPsec configurado, capture los paquetes SIP en el AR conectado al S57 para confirmar la diferencia en el intercambio de paquetes SIP.

 2. IPsec usa el algoritmo ah o no usa IPsec en lugar de usar el túnel GRE. De esta manera, puedes ver el paquete de texto plano. Si el problema persiste, configure la interfaz IPsec o GRE en la interfaz lateral AR y S57 para capturar paquetes.

 

Captura uno de los paquetes en el paquete:

225737vpk4dvutkqu94nqp.png?image.png

Causa raíz: de acuerdo con la diferencia entre la información de captura de paquetes y la prueba GRE a través de IPsec, la mayor posibilidad del análisis actual es que no se permite el paquete fragmentado. Despues del ipsec

 cifrado, el paquete se hace más grande y no se permite la fragmentación, por lo que la red intermedia lo descarta.

 

Solución: Hay dos comandos para eliminar la etiqueta de fragmentación. Se recomienda configurar los comandos correspondientes en ambos dispositivos. Puedes configurarlo y probarlo:

1. Configure el comando clear ip df en la interfaz para eliminar la etiqueta de no permitir fragmentación al enviar paquetes. Cisco no encontró el comando correspondiente.

2. Configure el comando IPsec df-bit clear en la vista del sistema. IPsec no copia la etiqueta de fragmento del encabezado IP. Después del cifrado, el paquete puede fragmentarse. Cisco corresponde al comando

Router (config) #crypto IPsec

 df-bit claro

 

Hay muchos paquetes en el paquete que tienen etiquetas que no permiten la fragmentación. Solo cuando IPsec está cifrado, IPsec copiará la etiqueta del fragmento en el encabezado IP. Después del cifrado, no se permite la fragmentación. En el caso de GRE sobre IPsec, la primera encapsulación GRE no determina el bit de fragmentación en el encabezado de IP, por lo que se puede realizar el procesamiento de fragmentación.

 

Sugerencia: si podemos confirmar que la configuración es normal, sugiera hacer la depuración y capturar el paquete.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba