AR1200 Interruption des services SIP provoquée par IPsec

190 0 0 0

Description du problème:

Le client a configuré deux tunnels IPsec 100/Mbit entre AR1220E et Cisco ASR1002/ASR1004, mais après la configuration d’IPsec, le client a subi une perte de paquets, une dégradation des performances réseau et une session SIP interrompue.

Processus de traitement:

En fonction des informations de configuration sur le périphérique, seuls l'AR et l'ASR homologue établissent un tunnel IPsec. Il n'y a pas de configuration NAT. Les paquets SIP sont cryptés et décryptés en tant que paquets IPsec.

Je ne vois aucun battement d'IPsec dans le journal de débogage. Il peut entendre la sonnerie lorsque le téléphone parle. Cela indique qu'il existe un échange de paquets SIP. Le tunnel IPsec est bon. L'information existante ne fait pas de doute.

Veuillez suivre les suggestions ci-dessous pour obtenir des paquets de capture.

1. Pour le scénario IPsec configuré et sans scénario IPsec configuré, capturez les paquets SIP sur l'AR connecté à S57 pour confirmer la différence d'échange de paquets SIP.

2. IPsec utilise l'algorithme ah ou n'utilise pas IPsec au lieu d'utiliser le tunnel GRE. De cette façon, vous pouvez voir le paquet de texte brut. Si le problème persiste, configurez l'interface IPsec ou GRE sur le côté AR et l'interface côté S57 pour capturer les paquets.

Capturez l'un des paquets du paquet:

103644jkzub2bob4bb6o9o.jpg

Cause fondamentale:

Selon la différence entre les informations de capture de paquet et le test GRE sur IPsec, la plus grande possibilité de l'analyse actuelle est que le paquet fragmenté ne soit pas autorisé. Après l'IPsec le cryptage, le paquet devient plus volumineux et la fragmentation n’est pas autorisée; il est donc ignoré par le réseau intermédiaire.

Solution:

Deux commandes permettent de supprimer la balise de fragmentation. Il est recommandé de configurer les commandes correspondantes sur les deux appareils. Vous pouvez le configurer et le tester:

1. Configurez la commande clear ip df sur l'interface pour supprimer la balise interdire la fragmentation lors de l'envoi de paquets. Cisco n'a pas trouvé la commande correspondante

2. Configurez la commande IPsec df-bit clear dans la vue Système. IPsec ne copie pas la balise fragment de l'en-tête IP. Après le cryptage, le paquet peut être fragmenté. Cisco correspond à la commande

Router(config)#crypto IPsec

 df-bit clear

Il y a beaucoup de paquets dans le paquet dont les étiquettes ne permettent pas la fragmentation. Ce n'est que lorsque IPsec est crypté qu'IPsec copiera la balise fragment dans l'en-tête IP. Après le cryptage, la fragmentation n'est pas autorisée. Dans le cas de GRE over IPsec, la première encapsulation GRE ne détermine pas le bit de fragmentation dans l'en-tête Ip, ce qui permet d'effectuer un traitement de fragmentation.

Suggérer:

Si nous pouvons confirmer que la configuration est normale, suggérons de créer un paquet de débogage et de capture.










  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier