¶ Общая информация
В разделе ниже описаны шаги, которые необходимо выполнить при диагностике работоспособности защищенного соединения.
¶ Проверка состояния сетевого интерфейса
Для построения защищенного соединения можно использовать как физический, так и логический интерфейс.
Для проверики состояния физического интерфейса необходимо подключиться к устройству через графический интерфейс. В главном меню “Статус - Сетевые интерфейсы” в таблице “Сетевые интерфейсы” в разделе “Состояние интерфейсов” представлены параметры, на которые необходимо обратить внимание.
В консоли посмотреть информацию о параметрах физического интерфейса можно с помощью команды “vppctl sh hardware-interfaces link” и “sh interfaces”.
Diamond VPN-FW Next:~# vppctl
dve# sh hardware-interfaces link
Name SW Idx SW State HW Idx Link Link speed Class Address Bond
GigabitEthernet4/0/0 1 down 1 down unknown Ethernet 1c:57:d8:1a:55:bd ----
GigabitEthernet5/0/0 2 down 2 down unknown Ethernet 1c:57:d8:1a:55:be ----
GigabitEthernet6/0/0 3 down 3 down unknown Ethernet 1c:57:d8:1a:55:bf ----
GigabitEtherneta/0/0 4 down 4 down unknown Ethernet 1c:57:d8:20:4a:4f ----
GigabitEtherneta/0/1 5 down 5 down unknown Ethernet 1c:57:d8:20:4a:50 ----
GigabitEtherneta/0/2 6 down 6 down unknown Ethernet 1c:57:d8:20:4a:51 ----
GigabitEtherneta/0/3 7 down 7 down unknown Ethernet 1c:57:d8:20:4a:52 ----
GigabitEthernetb/0/0 8 down 8 down unknown Ethernet 1c:57:d8:1a:55:c0 ----
GigabitEthernetb/0/1 9 up 9 up 1 Gbps Ethernet 1c:57:d8:1a:55:c1 ----
TenGigabitEthernetc/0/0 10 down 10 down unknown Ethernet 1c:57:d8:1a:55:c2 ----
local0 0 down 0 down unknown local unknown ----
tap4096 12 up 12 up unknown Ethernet 02:fe:27:68:d3:4c ----
vpn 11 up 11 up unknown Ethernet cc:eb:18:c1:e8:17 ----
dve#
dve# sh interface
Name Idx State MTU (L3/IP4/IP6/MPLS) Counter Count
GigabitEthernet4/0/0 1 down 9000/0/0/0
GigabitEthernet5/0/0 2 down 9000/0/0/0
GigabitEthernet6/0/0 3 down 9000/0/0/0
GigabitEtherneta/0/0 4 down 9000/0/0/0
GigabitEtherneta/0/1 5 down 9000/0/0/0
GigabitEtherneta/0/2 6 down 9000/0/0/0
GigabitEtherneta/0/3 7 down 9000/0/0/0
GigabitEthernetb/0/0 8 down 9000/0/0/0
GigabitEthernetb/0/1 9 up 9000/0/0/0
TenGigabitEthernetc/0/0 10 down 9000/0/0/0
local0 0 down 0/0/0/0
tap4096 12 up 9000/0/0/0
vpn 11 up 9000/0/0/0
В таблице ниже представлены параметры, их корректные значени и порядок действия, если текущее значение отличается от корректного.
| Название параметра | Корректное значение | Порядок действий для исправления значения |
|---|---|---|
| Состояние | Включен | По умолчанию все физические сетевые интерфейсы на устройстве находятся в состоянии “DOWN”. Для изменения состояний “DOWN → UP” необходимо в главном меню выбрать раздел “Сетевые настройки - Интерфейсы Ethernet”, в таблице “Интерфейсы Ethernet” необходимо выбрать заданный интерфейс и нажать на кнопку “Редактировать”. В новом окне “Настроить ethernet интерфейс” в поле “Состояние” необходимо выбрать значение “UP” и нажать на кнопку “ОК”. Для сохранения настроек необходимо нажать на кнопку “Сохранить”. |
| Наличие линка | Да |
Для медных интерфейсов устройство будет фиксировать наличие линка, если на обоих концах кабеля сетевой порт переведен в состояние “UP”. Для оптических интерфейсов устройство будет фиксировать наличие линка вне зависимости от состояния сетевого порта на концах кабеля. Если для заданного сетевого интерфейса наличие линка не фиксируется, то:
|
| Скорость интерфейса | В зависимости от типа интерфейса (1 Гбит/с, 10 Гбит/с, 40 Гбит/с, 100 Гбит/с) | При корректном подключении, использовании корректных трансиверах и кабелях скорость сетевого интерфейса должна устанавливаться в одинаковые значения на обоих концах кабеля. Если значения скорости отличаются, то необходимо проверить кабель (медный или оптический) и трансиверы. |
| Режим дуплекса | Full | При корректном подключении, использовании корректных трансиверах и кабелях режим дуплекса сетевого интерфейса должен устанавливаться в одинаковые значения на обоих концах кабеля. Целевым значением является Full. Если значения дуплекса отличаются, то необходимо проверить кабель (медный или оптический) и трансиверы. |
| Значение MTU | Значение по умолчанию 9000 |
По умолчанию на физическом интерфейсе задано значение MTU - 9000. Для корректной работы на обоих концах кабеля должны быть выставлены одинаковые значения. Для изменения параметра MTU необходимо в главном меню выбрать раздел “Сетевые настройки - Интерфейсы Ethernet”, в таблице “Интерфейсы Ethernet” необходимо выбрать заданный интерфейс и нажать на кнопку “Редактировать”. В новом окне “Настроить ethernet интерфейс” в поле “MTU” необходимо задать нужное значение и нажать на кнопку “ОК”. Для сохранения настроек необходимо нажать на кнопку “Сохранить”. |
Дополнительную информацию об оптических трансиверах можно получить с помощью команды “sh interface transceiver <interface_name>” и дополнительных параметров “verbose”, “diag”.
¶ Проверка наличия сетевой связности на уровне L3
Для построения защищенного соединения между устройствами должна быть обеспечена сетевая связность на уровне L3. На сетевом интерфейсе должен быть задан сетевой адрес и маска подсети. Если между устройствами используется прямой кабель или L2 сегмент, то сетевые адрес на обоих устройствах (сервер/клиент) должны быть из одной подсети. Если устройства связаны между собой через маршрутизируемый сегмент сети, то в этом случае дополнительно потребуется настроить статический маршрут или использовать один из протоколов динамической маршрутизации для установления сетевой связности между устройствами.
Для проверики сетевого адреса на интерфейсе необходимо подключиться к устройству через графический интерфейс. В главном меню “Сетевые настройки - IP адрес” в таблице “IP адрес” представлены сетевые интерфейсы и заданные на них сетевые адреса. В таблице “IP адрес” отображаются как физические сетевые интерфейсы, так и логические.
В консоли посмотреть информацию о сетевых адреса на интерфейсе можно с помощью команды “vppctl sh interface address”.
Diamond VPN-FW Next:~# vppctl sh interface address
GigabitEthernet4/0/0 (sw_if_index: 1| state: dn):
GigabitEthernet5/0/0 (sw_if_index: 2| state: dn):
GigabitEthernet6/0/0 (sw_if_index: 3| state: dn):
GigabitEtherneta/0/0 (sw_if_index: 4| state: dn):
GigabitEtherneta/0/1 (sw_if_index: 5| state: dn):
GigabitEtherneta/0/2 (sw_if_index: 6| state: dn):
GigabitEtherneta/0/3 (sw_if_index: 7| state: dn):
GigabitEthernetb/0/0 (sw_if_index: 8| state: up):
GigabitEthernetb/0/1 (sw_if_index: 9| state: up):
L3 192.168.33.1/24
TenGigabitEthernetc/0/0 (sw_if_index: 10| state: dn):
TenGigabitEthernetc/0/1 (sw_if_index: 11| state: dn):
local0 (sw_if_index: 0| state: dn):
tap4096 (sw_if_index: 13| state: up):
vpn (sw_if_index: 12| state: up):
Diamond VPN-FW Next:~# vppctl sh interface address
¶ Проверка связности
Для проверки маршрутизации через терминал необходимо выполнить команду ping <адрес интерфейса>, если пинг не проходит, следует обратить внимание на следующие:
Проверьте физическое соединение между машинами.
Интерфейсы должны быть в одной подсети.
Должен быть построен корректный статический маршрут между нужными нам интерфейсами.
Должна быть корректно настроена динамическая маршрутизация
¶ Проверка LCP
Для проверки LCP интерфейса в web-интерфейсе необходимо перейти в пункт Сетевые настройки – Интерфейсы LCP. Выбрать из списка нужный LCP интерфейс нажать кнопку редактировать и удостовериться, что выбрано правильное имя нижележащего интерфейса.
¶ Проверка сертификатов и ключей
На оба устройства должны быть загружены одинаковые ключевые пары и сертификаты для корректной работы. Проверить это можно через web-интерфейс, перейдя в пункт VPN – Сертификаты и ключи, и сверить их на двух устройствах.
Также ошибка может возникнуть из-за некорректной настройки времени на устройстве и срока действия сертификата.
Настройку времени можно проверить через web-интерфейс, перейдя в пункт Системные настройки – Настройка времени.
Для проверки через консоль необходимо выполнить команду date.
Срок действия сертификата можно проверить через web-интерфейс, перейдя в пункт VPN – Сертификаты и ключи. В списке нужно выбрать сертификат и нажать на кнопку Просмотр.
¶ Проверка параметров настройки VPN туннеля
Для проверки параметров настройки VPN туннеля в режиме Сервер необходимо перейти в пункт VPN– VPNсервис. Остановить нужный сервис, если он запущен, и нажать кнопку Редактировать.
Проверка поля Точки подключения. В поле порт должен быть не меньше 1024.
Проверка поля Ключевая информация. Убедитесь, что выбрана необходимая вам ключевая информация.
Проверка поля Локальный адрес туннеля. В поле порт должен быть 1024.
Проверка поля Уровень инкапсуляции. Значение в поле должно совпадать со значением уровня инкапсуляции в режиме клиента.
Для проверки параметров настройки VPN туннеля в режиме Клиент необходимо перейти в пункт VPN– VPNсервис. Остановить нужный сервис, если он запущен, и нажать кнопку Редактировать.
Проверка поля Точки подключения. В поле порт должен быть не меньше 1025.
Проверка поля Ключевая информация. Убедитесь, что выбрана необходимая вам ключевая информация.
Проверка поля Локальный адрес туннеля. В поле порт должен быть 1024.
Проверка поля Уровень инкапсуляции. Значение в поле должно совпадать со значением уровня инкапсуляции в режиме сервера.
¶ Проверка правил Межсетевого экрана
Для проверки правил Межсетевого экрана необходимо перейти в пункт Межсетевой экран – Список правил ACL. Проверьте все списки на наличие правил, которые блокируют UDP на том же порту, что и ваш туннель.