Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guía de Troubleshooting v5
2
Índice
3
2.1 Visualización de la configuración del equipo ................................................................... 24
Visualización de la configuración del equipo en modo configuración ...................................... 24
Visualización de la configuración en modo ordenado ................................................................. 24
Visualización de la última configuración salvada ......................................................................... 24
2.2 Estado de las interfaces físicas, VLANs, bridge-groups e IP........................................ 25
2.2.1 Comprobación del estado de todos los interfaces del equipo.............................................. 25
2.2.2 Comprobación del estado de un interfaz determinado ........................................................ 25
2.2.3 Comprobación del estado de tráfico de un interfaz determinado ...................................... 25
2.2.4 Comprobación de los LEDs de actividad de un puerto ........................................................ 26
2.2.5 Comprobación del estado de todas las VLAN del equipo ................................................... 26
2.2.6 Comprobación del estado de todos los BRIDGE-GROUP del equipo ............................... 26
2.2.7 Comprobación del estado del interfaz ADSL ......................................................................... 26
2.2.7.1 Comprobar LED ADSL ...................................................................................................................... 26
2.2.7.2 Estado del subinterfaz ATM, nivel 2. .............................................................................................. 26
2.2.7.3 Reseteo de la capa física ................................................................................................................. 30
2.2.7.4 Comprobación de firmware .............................................................................................................. 30
2.2.7.5 Recoger trazas ................................................................................................................................... 30
2.3 Interfaz 4G ............................................................................................................................. 31
2.3.1 Calidad de la señal radio ........................................................................................................... 31
Valores por defecto para 2G ............................................................................................................. 31
Valores por defecto para 3G ............................................................................................................. 31
Valores por defecto para 4G ............................................................................................................. 31
2.3.2 Comprobación del estado del interfaz 4G .............................................................................. 31
2.3.3 Comprobación del estado del módulo 4G .............................................................................. 32
2.3.3.1 Información del módulo de radio y de la SIM ................................................................................ 32
2.3.3.2 Información de la conectividad radio .............................................................................................. 32
2.3.3.3 Información de la señal radio (histórico)......................................................................................... 33
2.3.3.4 Información de la conectividad IP y contexto APN. ...................................................................... 34
2.3.4 Debug de la conectividad 4G .................................................................................................... 35
2.3.5 Reseteo del módulo de radio .................................................................................................... 36
2.4 Visualización de la tabla de MAC y tabla de rutas .......................................................... 37
Visualización de la tabla de MAC ................................................................................................... 37
Visualización de la tabla de ARP ..................................................................................................... 37
Visualización de la tabla de rutas IP ............................................................................................... 37
Visualización de la cache de rutado IP ........................................................................................... 37
2.5 Borrado de la tabla de MAC y tabla de rutas ................................................................... 37
Borrado de la tabla de MAC ............................................................................................................. 37
Borrado de la tabla de ARP .............................................................................................................. 38
Borrado de las rutas IP (reinicio de proceso de routing) .............................................................. 38
Borrado de la cache de rutado IP ..................................................................................................... 38
Borrado de las rutas IP de BGP ........................................................................................................ 38
Borrado de las rutas IP de OSPF ...................................................................................................... 38
2.6 VRRP ..................................................................................................................................... 38
2.6.1 Para visualizar la información sobre el grupo VRRP: ........................................................... 38
2.6.2 Para visualizar información sobre la configuración existente en un interfaz: ................... 38
2.6.3 VRRP DEBUG ............................................................................................................................. 38
2.7 RIP .......................................................................................................................................... 39
4
2.7.1 Estadísticas RIP ........................................................................................................................... 39
Visualización de base de datos RIP ................................................................................................................. 39
Visualización de las rutas enviadas .................................................................................................................. 39
Estadísticas RIP por interfaz .............................................................................................................................. 40
Comprobación del estado de los vecinos (con BFD-RIP activo) ................................................................... 40
Visualización de las rutas recibidas en RIP ..................................................................................................... 40
2.7.2 RIP DEBUG ................................................................................................................................. 40
2.8 OSPF...................................................................................................................................... 41
Comprobación del estado de los vecinos ....................................................................................... 41
Visualización de las rutas recibidas en la RIB ................................................................................ 41
Visualización de la base de datos de OSPF .................................................................................... 41
Limpiar sesión con un vecino ........................................................................................................... 41
2.9 BGP ........................................................................................................................................ 43
Comprobación del estado de los vecinos ....................................................................................... 43
Visualización de las rutas recibidas en la RIB ................................................................................ 43
Visualización de las rutas recibidas de un vecino determinado ................................................. 43
Visualización de las rutas enviadas ................................................................................................. 43
Visualización de las rutas recibidas de un vecino determinado ................................................. 44
Limpiar sesión BGP con un vecino .................................................................................................. 44
Limpiar todas las sesiones BGP ....................................................................................................... 44
2.10 Listas de acceso ................................................................................................................... 45
Comprobación de las listas de acceso aplicadas por interfaz ...................................................... 45
Visualización de configuración y contadores de todas las listas de acceso (pueden no
estar aplicadas a ningún interfaz) .......................................................................................................... 45
Comprobar estadísticas actuales de sesiones activas .................................................................... 45
Comprobar listado de sesiones activas por interfaz ..................................................................... 45
Comprobar listado de sesiones activas por protocolo UDP, TCP o ICMP ................................ 46
Buscar una sesión concreta en el mecanismo ACL ....................................................................... 46
Comprobación configuración mecanismo Access-lists................................................................. 46
Utilización de las listas de acceso para el troubleshooting .......................................................... 47
Limpiar contadores de listas de acceso ........................................................................................... 47
Limpiar estadísticas de listas de acceso .......................................................................................... 47
Limpiar sesiones activas en listas de acceso de una interfaz ....................................................... 47
2.11 Calidad de Servicio .............................................................................................................. 48
Comprobación de la configuración de Calidad de Servicio:........................................................ 48
Comprobación de configuración y contadores de QoS en el equipo.......................................... 48
2.12 NAT........................................................................................................................................ 50
Consideraciones sobre NAT en OneOs........................................................................................... 50
2.12.1 Interfaz NAT INSIDE ........................................................................................................... 50
2.12.2 Filtrado NAT ......................................................................................................................... 50
2.12.3 Bypass NAT ........................................................................................................................... 50
2.12.4 ALGs ....................................................................................................................................... 50
2.12.5 CHECKLIST........................................................................................................................... 50
Comprobar configuración de timers y máximo número de sesiones ......................................................... 51
Estadísticas NAT y ALG ................................................................................................................... 51
Limpieza de sesiones NAT ............................................................................................................... 51
Listado de sesiones NAT................................................................................................................... 52
5
Listado filtrado de sesiones NAT .................................................................................................... 53
2.13 DHCP ..................................................................................................................................... 53
2.13.1 Estadísticas de DHCP Server, Client y Relay: .................................................................. 53
2.13.2 Borrar estadísticas DHCP .................................................................................................... 53
2.13.3 Control de direccionamiento disponible por DHCP ....................................................... 53
2.13.4 Control de la base de datos de DHCP ............................................................................... 53
2.13.5 Reseteo de la base de datos de DHCP ............................................................................... 54
2.13.6 DHCP DEBUG ...................................................................................................................... 54
2.14 Estado del dialer-watch....................................................................................................... 54
Para visualizar la configuración del dialer watch-group: ............................................................ 54
Para visualizar las estadísticas del dialer watch-group: ............................................................... 54
Para habilitar las trazas del dialer watch-group: ........................................................................... 54
2.15 Estado del track .................................................................................................................... 54
2.16 PBR estadísticas .................................................................................................................... 55
2.17 IPSec ....................................................................................................................................... 56
CHECKLIST ........................................................................................................................................ 56
Mostrar las SAs bidireccionales de IKE activas ............................................................................. 59
Limpiar las SAs de IKE activas ........................................................................................................ 59
Mostrar las SAs unidireccionales de IPSEC activas ...................................................................... 59
Limpiar las SAs de IPSEC activas .................................................................................................... 60
Mostrar las estadísticas de tráfico en las SAs de IPSec ................................................................. 60
Control del número de sesiones establecidas ................................................................................ 60
Control del estado de las sesiones establecidas ............................................................................. 60
Activación/desactivación de debug de cifrado (IKE) .................................................................... 61
Activación/desactivación de debug de cifrado IPSEC .................................................................. 61
Reinicio del proceso gestor de IPSEC en el equipo. ...................................................................... 61
3 Troubleshooting del servicio de voz .............................................................. 62
Comprobar hardware equipo FXS ................................................................................................... 62
Comprobar hardware equipo BRI ................................................................................................... 62
Comprobar hardware equipo PRI ................................................................................................... 62
Comprobar estado puertos FXS BRI PRI ........................................................................................ 63
Pinout FXS ........................................................................................................................................... 63
Pinout BRI ........................................................................................................................................... 64
Pinout PRI ........................................................................................................................................... 64
Verificar estadísticas puerto FXS ..................................................................................................... 64
Verificar estadísticas Puerto BRI ...................................................................................................... 65
Verificar estadísticas puerto PRI ...................................................................................................... 65
Verificar llamadas RDSI activas ....................................................................................................... 66
Verificar calidad MOS de las llamadas ........................................................................................... 66
Verificar calidad RTP de las llamadas............................................................................................. 67
Verificar estado Sip gateway ............................................................................................................ 67
Verificar estado dial-peer voip (sip trunks) ................................................................................... 67
Activación eventos voz ..................................................................................................................... 68
Herramienta de diagnóstico TEST-CALL....................................................................................... 69
Trazas RDSI (BRI o PRI) .................................................................................................................... 70
Trazas SIP ............................................................................................................................................ 72
6
Checklist troubleshooting ................................................................................................................. 73
Recoger trazas de voz para soporte técnico ................................................................................... 74
7
1 Comandos generales de diagnóstico del equipo
HARDWARE DESCRIPTION
Device : ONE540
CPU : Freescale P1012E - Quick Engine - Security Engine
8
================================================
| Memory status report | Kbytes | |
================================================
| Ram size | 131 072 | |
| :..Reserved Mem 1 | 1 024 | |
| :..Program | 55 102 | |
| : :..code | 36 629 | |
| : :..reserved Mem 2 | 234 | |
| : :..data | 14 122 | |
| : :..reserved Mem 3 | 4 115 | |
| :..Static buffers | 192 | |
| :..Dynamic total | 73 729 | |
| : : used | 26 871 | 36.4% |
| : : free | 46 857 | 63.5% |
| : :..System total | 73 729 | |
| : used | 26 871 | 36.4% |
| : free | 46 857 | 63.5% |
| :..Ram disk total | 1 011 | |
| used | 3 | 0.3% |
| free | 1 008 | 99.7% |
| :..Ram disk reserved | 12 | |
| | | |
| Flash size | 65 536 | |
| :..Boot | 3 072 | |
| :..Static areas | 65 | |
| :..Flash disk total | 61 622 | |
| used | 53 008 | 86.0% |
| free | 8 614 | 13.9% |
================================================
Para ver el histórico de carga del procesador (60 segundos, 60 minutos, 72 horas)
################################################################################
676676576676576676676676576655676676676676576676676676576676
100
90
80
70
60
50
40
30
20
10
0 ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
0....0....1....1....2....2....3....3....4....4....5....5....
0 5 0 5 0 5 0 5 0 5 0 5
[…]
9
Comprobación de la fecha/hora del equipo
vxTarget> show
Date : 06/06/16 11:58:01
IMPORTANTE: este comando tiene un gran número de líneas de salida. Asegurarse de aumentar el
buffer de la consola en la aplicación utilizada o de guardar la información en un archivo. Si se realiza
por puerto serie, tarda bastante debido al cuello de botella de este interfaz.
El sistema OneOs permite el marcado del ping en el campo DSCP. Ofrece dos opciones:
Marcado TOS: no-tos (0), min-cos (2), throughput(8), low-delay(16)
Marcado DSCP: rango 0 a 255
10
12:36:36.063 IP: sent 192.168.1.1->1.1.1.1 len=120 tos=8 icmp:echo-reply Loopback 600
!12:36:36.080 IP: sent 1.1.1.1->192.168.1.1 len=120 tos=8 icmp:echo GigabitEthernet 1/0
12:36:36.081 IP: sent 192.168.1.1->1.1.1.1 len=120 tos=8 icmp:echo-reply Loopback 600
!12:36:36.100 IP: sent 1.1.1.1->192.168.1.1 len=120 tos=8 icmp:echo GigabitEthernet 1/0
12:36:36.101 IP: sent 192.168.1.1->1.1.1.1 len=120 tos=8 icmp:echo-reply Loopback 600
!12:36:36.229 IP: sent 1.1.1.1->192.168.1.1 len=120 tos=8 icmp:echo GigabitEthernet 1/0
12:36:36.230 IP: sent 192.168.1.1->1.1.1.1 len=120 tos=8 icmp:echo-reply Loopback 600
!12:36:36.396 IP: sent 1.1.1.1->192.168.1.1 len=120 tos=8 icmp:echo GigabitEthernet 1/0
12:36:36.397 IP: sent 192.168.1.1->1.1.1.1 len=120 tos=8 icmp:echo-reply Loopback 600
!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Traceroute UDP
vxTarget>traceroute 8.8.8.8
Traceroute ICMP
El comando “debug ip packet” es muy útil para monitorizar los paquetes enviados y recibidos en el
equipo. Permite ciertos filtrados predeterminados para buscar la información concreta necesaria.
Dicho comando se puede activar en modo IN y modo OUT:
11
vxTarget> debug ip packet in
<WORD> - name of ACL to match
exclude-ssh - Exclude ssh packets
exclude-syslog - Exclude syslog packets
exclude-telnet - Exclude telnet packets
<cr>
La primera de las opciones permite la asociación de una lista de acceso, lo que convierte este
comando en una herramienta muy útil para diferentes servicios.
vxTarget>conf t
vxTarget(configure)>ip access-list extended ICMP
vxTarget(ip-acl-ext)>permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
vxTarget(ip-acl-ext)>exit
vxTarget(configure)>exit
vxTarget>debug ip packet in ICMP
vxTarget>debug ip packet out ICMP
vxTarget>monitor trace
Existe la opción de monitorizar el tráfico de nivel 2 que llega o sale de las interfaces con bridge-
group activado. Si una interfaz no estuviese configurada con bridge-group, se podría crear uno
temporalmente para efectos de monitorización.
vxTarget> no debug
12
Aug 02 12:23:56 BRG: sent 00:12:ef:e2:e5:80->00:26:82:d1:51:d5 Eth-typ=0800 len=202
GigabitEthernet 0/1
vxTarget> no debug
Precauciones a tomar:
- El bridge-group puede reducir el rendimiento del equipo. No olvidar desactivarlo
- Si el equipo se encuentra en servicio, este comando puede crear una gran cantidad de
información en salida que puede bloquear la consola. No existe filtrado.
- Comprobar que el bridge-group creado para monitorización no coincide con ningún bridge-
group del equipo (show bridge-group)
- En las interfaces con bridge-group configurado, no es necesario modificar la configuración
En primer lugar entramos en modo captura para definir el filtro que utilizaremos
vxTarget> capture
ONE540(capture)>
Creamos el filtro que deseamos aplicar. A modo de ejemplo, creamos un filtro para cualquier tipo
de paquete (“all”) de tamaño inferior a 1500 (caplen 1500)(si es superior, lo truncará). Mostramos
primero las opciones disponibles:
One540(capture)>filter ?
all - Capture all packets
arp - Capture ARP trafic
dot11 - Capture 802.11 traffic, available only on
dot11radio Interface
icmp - Capture ICMP traffic
ip - Capture IP traffic
nd - Capture Neighbour Discovery traffic
rarp - Capture RARP trafic
tcp - Capture TCP traffic
udp - Capture UDP traffic
A continuación asociamos el filtro a la interfaz deseada con el comando ATTACH. Esto crea una
lista de captura que podremos monitorizar. Listamos primero los filtros creados (hasta 8
simultáneos) para seleccionar el primero
One540(capture)>attach ?
Por último, activamos la captura que podemos asociarla a un log en consola, a un servidor o un
archivo. El modo más utilizado es la captura a un archivo:
13
Cancelamos la captura con ESC. El comando “monitor capture” crea un máximo de dos archivos
que se sobreescriben cíclicamente para proteger la memoria del router. Aparecen como
nombre_archivo1 y nombre_archivo2. Estos archivos pueden copiarse via TFTP o FTP y
examinarse con wireshark.
vxTarget>ls
Listing the directory /
BSA/ 2048
telnet2.log 1966
boot 577906
appli 37591504
snmpv3_engine.log 49
password 44
telnet1.log 1651
pincode 140
nombre_archivo1 1322
Podemos utilizar este mismo comando para ver por consola el tráfico en lugar de almacenarlo en un
archivo de texto. Configuramos el filtro, lo aplicamos a giga 0/3 , activamos la monitorización y la
detenemos con ESC:
vxTarget> capture
ONE540(capture)>filter icmp caplen 1500
ONE540 (capture)>attach 1 gigabitethernet 0/3
ONE540 (capture)>exit
00:12:36.424219 192.168.1.203 >192.168.1.1 icmp: echo request (ttl 64, id 11409, len 120)
00:12:36.424859 192.168.1.1 >192.168.1.203 icmp: echo reply (ttl 64, id 29870, len 120)
00:12:36.437759 192.168.1.203 >192.168.1.1 icmp: echo request (ttl 64, id 11411, len 120)
00:12:36.438345 192.168.1.1 >192.168.1.203 icmp: echo reply (ttl 64, id 29871, len 120)
00:12:36.457587 192.168.1.203 >192.168.1.1 icmp: echo request (ttl 64, id 11412, len 120)
00:12:36.458341 192.168.1.1 >192.168.1.203 icmp: echo reply (ttl 64, id 29872, len 120)
00:12:36.477583 192.168.1.203 >192.168.1.1 icmp: echo request (ttl 64, id 11413, len 120)
00:12:36.478342 192.168.1.1 >192.168.1.203 icmp: echo reply (ttl 64, id 29873, len 120)
00:12:36.497773 192.168.1.203 >192.168.1.1 icmp: echo request (ttl 64, id 11414, len 120)
00:12:36.498347 192.168.1.1 >192.168.1.203 icmp: echo reply (ttl 64, id 29874, len 120)
38 packets received by filter
0 packets dropped by kernel
1.3 Logs
Para poder visualizar los logs del equipo, es imprescindible que la opción “logging buffered debug”
esté activa en la configuración.
vxTarget>configure terminal
ONE540(configure)>logging buffered debug
ONE540(configure)>exit
vxTarget>
vxTarget>show logging
Console logging: level debug, 220 messages logged
Buffered logging: level debug, 6 messages logged
File logging: disabled
Syslog logging: disabled
13:03:49.654 #NOTIFY# IF: GigabitEthernet 0/3 is UP
14
13:03:50.294 #NOTIFY# IF: GigabitEthernet 0/3 is DOWN
13:03:54.326 #NOTIFY# IF: GigabitEthernet 0/2 is UP
13:03:55.070 #NOTIFY# IF: GigabitEthernet 0/2 is DOWN
13:03:56.102 #NOTIFY# IF: GigabitEthernet 0/2 is UP
13:03:56.866 #NOTIFY# IF: GigabitEthernet 0/2 is DOWN
[…]
Activación/desactivación de debug
La activación de debugging se lleva a cabo por cada funcionalidad específica. En este ejemplo se
muestra la activación del debug para BGP:
vxTarget>debug arp
Si la conexión al equipo se hace por consola, y tenemos activado el buffer como ya hemos descrito
previamente (logging buffered debug), las trazas ARP aparecerán inmediatamente por pantalla. Sin
embargo, si nos encontramos en una sesión TELNET o SSH, necesitaremos monitorizar las trazas
para verlas por pantalla mediante “monitor trace”:
vxTarget>debug arp
15
13:13:54.383 ARP: rcvd who-has 192.168.1.62 tell 192.168.1.66 (MAC: 5c:26:0a:54:5a:60) on
GigabitEthernet 1/0
ARP debug is on
DHCPC (client) debug is on
DHCPR (relay) debug is on
DHCPS (server) debug is on
Por último, para desactivar las trazas de un protocolo o desactivar toda traza:
vxTarget> no debug arp
vxTarget> no debug
vxTarget>show ip statistics
IP statistics:
IN: 3883 total, 1697 local destination (0/0 queue length/drops)
0 too short, 0 bad header length, 0 bad total length
0 bad version, 0 bad checksum, 984 can't forward
0 bad option, 4 unknown protocol, 0 discards
0 fragments received, 0 fragments accepted, 0 packets reassembled, 0 fragments
dropped, 0 timeouts
OUT: 1199 forwarded, 1 local source
3 no route, 0 no buffer, 6 discards
0 packets fragmented, 0 can't fragment, 0 fragments created
16
OUT: 0 total, 0 urgent packets
0 control packets
0 data packets (0 bytes)
0 data packets (0 bytes) retransmitted
0 ack only packets (0 delayed)
0 window probe packets, 0 window update packets
0 md5 packets
0 connections established (including 0 initiated, 0 accepted)
1 connections closed (including 0 dropped, 0 embryonic dropped)
0 total rxmt timeout, 0 connections dropped in rxmt timeout
0 keepalive timeout, 0 keepalive probe, 0 connections dropped in keepalive
vxTarget>ls
Listing the directory /
BSA/ 2048
telnet1.log 40
password 79
snmpv3_engine.log 48
vxTarget>
Se puede comprobar su contenido mediante el comando cat, y su contenido no puede ser borrado:
admin:ed802706be80da4ded624d60cf7fa576$f34bab737b0975d19348d17e581fc1e8$2:15
vxTarget> rm password
It is forbidden to remove the password file
vxTarget>
El formato es el siguiente:
Para modificar su contenido debe utilizarse el comando “user”, solo disponible con privilegios de
administración (nivel 15):
vxTarget>user ?
17
delete - Remove a user
drop - Change the user access level to a lower one
password - Change own password
En caso en el que se desconozca el password configurado, se puede recuperar el equipo de dos formas:
- desde el software boot
- desde el sistema OneOs
Se puede eliminar el password configurado en el equipo mediante la interrupción del proceso de boot.
Para ello es necesario estar directamente conectado al equipo por consola serie. Es importante destacar
que por seguridad se borrará tanto el password como la configuración del equipo, y recuperará el
password de fábrica admin/admin.
Para interrumpir el proceso de boot, es necesario reiniciar el equipo y conectado en consola esperar a que
aparezca la secuencia “Quick auto-boot”. En este momento se deben presionar simultáneamente las
teclas CTRL + O. Se puede hacer varias veces para estar seguro de que se detiene correctamente.
[Boot Loader]:
Una vez en el modo de configuración de boot (prompt [Boot Loader]), se puede borrar el archivo de
password con la opción “x”, y a continuación escribiendo “password recovery”, pulsar ENTER y
confirmar con “y”. Por último pulsamos @ para salir del modo boot y continuar con el arranque del
equipo. NOTA: el echo está desactivado por seguridad, así que no veremos lo que escribimos.
[Boot Loader]: x
For trained technical staff only - no help/no echo !!! (enter <CR> to exit)
password recovery
[Boot Loader]: @
Booting file flash:/BSA/binaries/OneOs from disk
Stopping FastEthernet0
File size = 16063162
18
Recuperación de fábrica desde OneOs
Al igual que en la recuperación desde el BOOT, se require un acceso en consola serie para seguir este
procedimiento. También se borrará tanto password como configuración del equipo. Además en este caso,
y a diferencia del anterior, aplicamos un “restore factory-settings”, borrando todos los archivos del
router salvo obviamente los archivos de fábrica y el binario con el Sistema operativo. La secuencia para
aplicar la recuperación de fábrica es la siguiente
<ESCAPE>, y a continuación
<CTRL>+Y, y finalmente
<CTRL>+N
NOTA: se recomienda dejar el CTRL apretado entre la segunda y la tercera acción.
Configuration loaded
OneAccess incluye clientes TFTP y FTP que permiten copiar archivos desde o hacia el router.
Una vez estemos conectados por telnet o SSH, descargaremos el software nuevo o de prueba al EDC
utilizando TFTP o FTP utilizando un nombre cualquiera excepto OneOs para evitar borrar el usado en el
equipo.
Por TFTP:
Por FTP:
Donde:
19
IP_Servidor_TFTP e IP_Servidor_FTP deben pertenecer a servidores dentro del rango de gestión de
Telefónica cuando el router está en servicio y es gestionado desde el CDG de Telefónica.
vxTarget>
Para el One540:
Para el One410:
Para comprobar la nueva versión de software se utilizará el comando “reboot-check” que permite un
reinicio utilizando la imagen de software y un fichero de configuración especificados (se puede
programar la hora).
En el siguiente reinicio utilizará la imagen de software por defecto y el fichero de configuración guardada
(bsaStart.cfg). Esto permite comprobar si los nuevos ficheros son satisfactorios o no.
1.6.4 Finalización.
20
Renombrado del archive Nuevo:
Se puede reiniciar el equipo aunque no es imprescindible, en memoria está siendo utilizado el nuevo SO y
en el siguiente reinicio se arrancará con los nuevos archivos.
vxTarget#show version
Software version : ONEOS90-MULTI-V5.2R1E7
Software created on : 21/03/16 14:59:02
vxTarget#
Pueden archivarse varias configuraciones en el equipo, sólo una estará activa cada vez.
Se pueden almacenar distintas configuraciones simplemente guardando el archivo bsaStart.cfg con otro
nombre o transfiriendo archivos de configuración por tftp o ftp al equipo.
21
Convertir un archivo en la configuración de arranque bsaStart.cfg
Guardar el archivo actual bsaStart.cfg con otro nombre y renombrar el archivo deseado con el nombre
bsaStart.cfg
f_>cd BSA/config
vxTarget_>ls
Listing the directory /BSA/config
. 0
.. 0
config 3075
bsaStart.cfg 3181
vxTarget>cat /BSA/binaries/config
! Built on ONE540
!
event filter add wan all 1 log
!
configure terminal
telnet timeout 1800
console timeout 1800
no reboot recovery-on-error
!
clock timezone MET 1
clock summer-time recurring MET last Sunday March 02:00 last Sunday October 03:00
Building configuration...
22
1.8 Diagrama de flujo del procesado de paquetes.
23
2 Comandos de diagnóstico y operación
2.1 Visualización de la configuración del equipo
vxTarget>show running-config
Building configuration...
Current configuration:
no reboot recovery-on-error
logging buffered debug
logging buffered size 16364
hostname ONE540
[…]
Visualiza la misma configuración que el comando anterior, pero ordena las interfaces para
simplificar su comprensión. Sin embargo, el orden de configuración mostrado no debe seguirse.
Building configuration...
Current configuration:
no reboot recovery-on-error
logging buffered debug
logging buffered size 16364
hostname ONE540
[…]
[…]
! Built on ONE540
configure terminal
no reboot recovery-on-error
logging buffered debug
logging buffered size 16364
hostname ONE540
[…]
[…]
end
24
2.2 Estado de las interfaces físicas, VLANs, bridge-groups e IP
25
2.2.4 Comprobación de los LEDs de actividad de un puerto
Color Descripción
Verde OFF: link inactivo
(izquierda) ON: link activo
Amarillo OFF: sin tráfico en curso
(derecha) Parpadeo: tráfico en curso
Bridge group 1:has 3 ports : GigabitEthernet 0/1, GigabitEthernet 0/2, GigabitEthernet 1/0
IGMP Snooping is disabled
bridge virtual interface is GigabitEthernet 1/0
IN: 4061 packets, 460571 bytes, 3918 broadcast packets
32 addresses learned
OUT: 155 packets, 20832 bytes
0 packets forwarded, 10 packets flooded
Comprobar que el estado es UP, estadísticas de tráfico y bridging con el Bvi grupo 1.
26
Atm 0.36 is up, line protocol is up
Flags: (0x80e3) BROADCAST MULTICAST, interface index is 25301
Encapsulation: IP-over-Atm, MTU 1528 bytes
Up-time 00:02:09, status change count 11
Line speed 315 kbps
Mean input/output rate 1064/0 bits/s, 0/0 packets/s (over the last 4 seconds)
Mean input/output load percentage 0.035/0.020 percent (over the last 4 seconds)
Bridged to group 1
Output queuing strategy: fifo, output queue length/depth 0/126
Reliability: 255/255
IN: 3813655 packets, 649932306 bytes, 0 queue drops
0 broadcasts, 0 multicasts, 0 errors, 0 discards, 0 mac acl discards
0 unknown protocols
OUT: 376064 packets, 37267476 bytes, 0 queue drops
5730 broadcasts, 0 multicasts, 0 errors, 0 discards, 0 collisions
Bvi 1 is up [0x8092]
Internet address is 172.28.30.6, broadcast address is 172.28.30.7
MTU is 1500, metric is 0
Inbound access list not set
Outgoing access list not set
No Crypto map is applied
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
Network address translation is disabled
Input service policy not set
Output service policy not set
Reverse Path Forwarding disabled
TCP MSS adjust is auto -- (value : 1460 bytes)
Policy route map not set
Protocol Independant Multicast is disabled
Helper address is not set
Proxy ARP is disabled
Directed broadcast forwarding is disabled
Verificiones:
1. Estado del interfaz
2. Direccionamiento IP
3. MTU
4. QoS, Crypto map, etc.
Verificiones:
1. Estado del modem
2. Tipo de anexo configurado
3. Firmware de ADSL
4. Versión de software del adsl
5. Tiempo que lleva sincronizado
6. Contador de UP/DOWN
7. Atenuación y ruido
Sincronizado OK
GGEE-EDC250One410_BACK>show adsl
--- Adsl Software Packages ---
27
Lantiq firmware version T2969/00134 20/09/13 17:58
Carrier Load:
0000: 00 00 00 00 00 00 00 00 20 20 30 40 50 50 50 50 50 50 60 60
0020: 60 60 50 50 50 50 50 50 40 30 20 20 00 00 01 01 01 01 02 02
0040: 02 02 02 02 02 02 02 02 02 02 02 03 03 03 03 03 03 03 03 02
0060: 03 03 03 03 04 03 03 03 03 03 03 03 03 03 03 03 03 03 03 03
0080: 03 03 03 03 03 03 03 03 03 03 03 03 02 03 03 03 03 03 03 03
0100: 03 03 03 03 03 03 03 03 03 03 03 03 03 03 03 03 03 03 03 03
0120: 03 03 03 03 03 03 03 03 03 03 03 03 03 03 03 03 03 03 03 03
0140: 03 03 03 03 03 03 03 03 03 03 03 03 02 03 03 03 02 02 02 03
0160: 03 02 02 03 03 02 02 03 03 02 02 03 02 02 02 03 03 03 03 03
0180: 03 03 03 03 03 03 02 02 03 03 02 02 03 02 02 02 02 02 02 02
0200: 02 02 02 02 02 02 02 02 03 02 02 02 02 02 02 02 02 02 02 02
28
0220: 02 02 02 03 02 02 02 02 03 02 02 02 03 02 03 02 02 02 02 02
0240: 03 02 02 02 02 02 02 02 03 02 02 02 02 02 02 02 02 02 02 02
0260: 02 02 02 02 02 02 02 02 02 02 02 02 00 02 02 02 02 02 02 02
0280: 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02
0300: 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02
0320: 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02
0340: 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02
0360: 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02
0380: 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02
0400: 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02
0420: 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02
0440: 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 01 02 02 02
0460: 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02
0480: 02 01 01 01 02 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
0500: 01 00 00 01 01 00 01 01 01 01 00 00
Power-on Lastread
Rx cells count : 0013726515 0000002308
Tx cells count : 0000768119 0000000134
Rx HEC error cells count : 0000000000 0000000000
Idle cell errors : 0000000000 0000000000
SINCRONIZANDO:
Cuando el adsl está sincronizando, puede verificarse que el estado del modem es distinto a “showtime”,
IDLE o HANDSHAKE.
El ADSL está Down.
GGEE-EDC250One410_BACK>sho adsl
GGEE-EDC250One410_BACK>sho adsl
29
ADSL Annex A : 5.4.5.7.1.1 ADSL : 5.4.5.7.1.1
ADSL2(+) Annex A : 5.4.5.7.1.1 ADSL2(+) : 5.4.5.7.1.1
ADSL2(+) Annex M : 5.4.5.7.1.1
FIRMWARE:
Comprobar que el firmware se encuentra en /BSA/binaries/
Firmware OK
One410>ls /BSA/binaries/ltq_vr9.bin
Firmware NOK
One410>ls /BSA/binaries/ltq_vr9.bin
/BSA/binaries/ltq_vr9.bin not found
Comprobar que el firmware es el correcto en el equipo (si está el archivo, debería ser el correcto).
Dado que el “show adsl” sólo muestra el firmware si está sincronizado, se puede comprobar de esta
otra manera
POR CONSOLA
trace filter add sys adsl all show
POR TELNET
trace filter add sys adsl all mem
monitor trace
30
LIMPIAR TRAZAS
trace filter remove all
2.3 Interfaz 4G
Los niveles de señal van asociados a los led que se encienden en el equipo según la siguiente tabla.
31
Loopback 600 10.223.105.221 YES up up Direccion IP de
gestion EDC
Loopback 5 11.1.1.1 YES up up
Null 0 <unassigned> YES up up
virtual-ethernet 1 10.148.91.130 YES up up
Listado de comandos:
4G_>show cellular-radio ?
equipment - equipment
network - network
operators - operators [<pin-code>]
reset-history - shows the past network errors
rssi-history - shows the past Radio Signal Strength levels
|WORD - Display only lines including WORD
| - Output modifiers
PIN Information
PIN code status : pin not required
4G_>
32
4G_>sho cellular-radio network
Current selected operator : Movistar
Signal strength : Excellent
Total Ec/Io : <not available>
RSSI : -40 dBm
RSRQ : -6 dB
RSRP : -66 dBm
SNR : 30 dB
Current radio access technology : 4G
Circuit-switched register state : Registered
Packet-switched attach state : Attached
Statistics:
Reset on loss of GPRS registration : 0
Reset on failed initial registration : 0
Hardware reset of modem : 0
Unknown reset of modem : 0
Toggle w_disable of modem : 0
Details:
Location Area Code (LAC) : <not available>
Cell ID : 74001716
Tracking Area Code (TAC) : 28620
Public Land Mobile Network (PLMN = MCC+MNC) : 21407
444444444444
000000000000
-51 ############
-57 ############
-63 ############
-70 ############
-76 ############
-82 ############
-88 ############
-94 ############
-101 ############
-107 ############
.6...4...2...0 min. ago
-dBm 0 0 0
# = minimum value
* = average value
. = maximum value
44444
50000
-51 #####
-57 #####
-63 #####
-70 #####
-76 #####
-82 #####
-88 #####
-94 #####
-101 #####
-107 #####
.2...2...1...1...8...4...0 hours ago
-dBm 4 0 6 2
33
# = minimum value
* = average value
. = maximum value
-51
-57
-63
-70
-76
-82
-88
-94
-101
-107
.3....2....2....1....1....5....0 days ago
-dBm 0 5 0 5 0
# = minimum value
* = average value
. = maximum value
virtual-ethernet 1
tx packets : 2796
tx dropped packets : 0
rx packets : 2744
tx restarts : 0
Context 1
rxSpeed/max : <not available>/100000000
txSpeed/max : <not available>/50000000
# Información de la conexión IP
Ipv4 connection
Address : 10.148.91.130
Subnet : 255.255.255.252
Gateway : 10.148.91.129
Primary Dns : <not available>
Secondary Dns : <not available>
Packet data connection : Connected
Last call end reason : <not available>
Data statistics
Tx packets : 2729
Rx packets : 2682
Tx packet errors : 0
Rx packet errors : 0
Tx packet overflows : 0
Rx packet overflows : 0
Tx bytes : 182953
Rx bytes : 173194
34
****
****
# Información del contexto APN
Profiles
profile1
type : Ipv4
contextNbr : 1
authentication : None
username : usuario_sede@sede_empresas_rpv
password : sede_empresas
apn : accesovpnip.movistar.es
OneAccess1
type : Ipv4v6
contextNbr : 2
authentication : None
Ejemplo:
35
Jan 01 01:01:20 [CELL_MON]cDriver_FollowUp: FSM event [C_DIALMON_EV_INI_OK] for module [0]
Jan 01 01:01:20 [CELL_MON]DriverFSM stays [_meinfo]
Jan 01 01:01:20 [CELL_QMI_EVT]qmi_man_FollowUp QMI_MAN_USB_RX
Jan 01 01:01:20 [CELL_QMI_PKT]Intf 4 Rx 01 15 01 80 01 06 02 1F 00 2B 00 09 01 02 04 00 00 00 00 00
39 03 00 00
00 00 38 02 00 00 00 37 02 00 00 00 36 01 00 00 35 08 00 00 00 00 00 00 00 00 80 31 01 00 01 30 04
00 00 00 00
00 2F 01 00 00 2D 01 00 00 2C 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 2B 10 00 00 00
00 00 00 00
00 00 00 00 00 00 00 00 00 00 28 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 27 01 00 00
26 01 00 00
25 01 00 01 22 01 00 00 21 01 00 00 20 01 00 00 1F 01 00 00 1E 04 00 00 00 00 00 1D 01 00 00 1C 0D
00 73 65 64
65 5F 65 6D 70 72 65 73 61 73 1B 1E 00 75 73 75 61 72 69 6F 5F 73 65 64 65 40 73 65 64 65 5F 65 6D
70 72 65 73
61 73 5F 72 70 76 16 04 00 00 00 00 00 15 04 00 00 00 00 00 14 17 00 61 63 63 65 73 6F 76 70 6E 69
70 2E 6D 6F
76 69 73 74 61 72 2E 65 73 13 01 00 00 12 01 00 00 11 01 00 00 10 08 00 70 72 6F 66 69 6C 65 31
4G_>cellular-radio reset-modem
36
2.4 Visualización de la tabla de MAC y tabla de rutas
vxTarget>show ip route
vxTarget>show ip cache
37
Borrado de la tabla de ARP
vxTarget>clear arp-cache
vxTarget>clear ip route *
2.6 VRRP
38
CLI> debug ip vrrp
2.7 RIP
• El siguiente comando despliega los parámetros y el estado actual del proceso de routing
1.1.1.1/32 redistributed
39
Estadísticas RIP por interfaz
Número de mensajes enviados y recibidos en un interfaz implicado en el proceso de RIP:
Sin parámetros, el comando muestra las estadísticas de todos los interfaces por los ques e habla RIP.
40
CLI> no debug ip rip events
•
Para habilitar el log de los cambios en la tabla de rutas de RIP :
Ejemplo:
2.8 OSPF
41
00:45:36.712 #NOTIFY# OSPF: Nbr 200.200.200.2/GigabitEthernet 1/0.200 from Loading to Full
42
2.9 BGP
43
Network Next Hop Metric LocPrf Weight Path Tag
*> 1.1.1.203/32 200.200.200.1 0 32768 i
*> 1.1.1.205/32 200.200.200.3 0 65000 i
*> 100.100.100.0/24 200.200.200.1 0 32768 i
*> 200.200.200.0 200.200.200.1 0 32768 i
44
2.10 Listas de acceso
45
Comprobar listado de sesiones activas por protocolo UDP, TCP o ICMP
Para ello combinaremos los comandos ya comentados junto a reglas de filtrado. Si por ejemplo
busco sesiones creadas por el host 192.168.1.50:
Puede resultar interesante comprobar ciertos parámetros de funcionamiento tales como timers,
máximo número de sesiones permitidas en cache, activación de mecanismos per-host o stateful
46
Utilización de las listas de acceso para el troubleshooting
Como ya se ha definido en el punto 1.2 de este manual, bajo “Monitorización de tráfico en el equipo”, se
pueden asociar listas de acceso al comando “debug ip packet” para comprobar el tráfico
saliente/entrante sin crear ningún impacto sobre las mismas.
00:51:41.543 ACL: end udp session between 192.168.1.255:137 and 192.168.1.63:137, 67 sec
cleared GigabitEthernet 0/3 sessions inspect table
47
2.11 Calidad de Servicio
Al margen del filtrado aplicado en “show policy-interface”, el formato de salida es el mismo y nos
muestra tanto la configuración aplicada como los contadores de paquetes y tráfico actual por cada
clase de servicio. Analizamos y explicamos su contenido a continuación:
En verde se describe el ancho de banda configurado por cada clase, así como el tamaño de ráfaga y el
estado de la cola de salida.
En amarillo se describe la cantidad de tráfico actual en cada clase. Tanto entrante como saliente
En azul el CIR configurado (únicamente para la clase VOZ). El CIR siempre es más estricto que el
policing, y es donde encontraremos los drops en la voz
En rojo el marcado de paquetes, que en este caso aplicamos en la política de entrada
48
bytes output 1168796, bytes dropped 0 (0%)
remaining-bandwidth share 1, excess-rate-priority 0, excess packets sent 0
Interface total:
bandwidth 100000 kb/s, queue length 0
mean input rate 1656 bits/s, mean output rate 1656 bits/s
packets output 15543, packets dropped 0 (0%)
bytes output 1168796, bytes dropped 0 (0%)
49
2.12 NAT
Consideraciones sobre NAT en OneOs
En el sistema OneOs, se declara únicamente la interfaz de salida donde se quiera aplicar el servicio
NAT. En esta interfaz de salida se debe aplicar “ip nat inside” para activar el nat del tráfico interno.
For defecto, todo el tráfico que salga por dicha interfaz será traducido
Se configurarán si así se requiere, listas de acceso para denegar que se envíen en la interfaz de salida
paquetes que no hayan sido afectados por el NAT. No filtramos por tanto por interfaz de entrada
sino por lista de acceso.
Al aplicar un filtrado NAT basado en listas de acceso, todo el tráfico que no coincida con la lista de
acceso será automáticamente rechazado.
Si además del rango local que es afectado por el NAT, el cliente tuviera otros rangos privados de
direcciones IP cuyo tráfico sí tuviera que ser permitido en salida pero sin ser traducido, tendremos
que aplicar un mecanismo denominado bypass NAT. Este mecanismo abre automáticamente el
acceso saliente y entrante para las direcciones contempladas en la lista de acceso bypass.
Es importante explicar que el bypass-list se aplica siempre antes que el mecanismo NAT, por tanto
una lista bypass-list de tipo “any” provocaría que la configuración NAT no se aplicase. En bypass-
list se debe declarar únicamente el tráfico que no se desea traducir.
2.12.4 ALGs
Cuando una dirección y Puerto son traducidos, la información de la aplicación debe ser traducida igualmente
en aplicaciones que contienen direcciones IP y puertos en su payload. Dicho mecanismo se conoce como
Application-Level Gateway (ALG).
Los siguientes ALGs están disponibles en el software OneOs: DNS, FTP, ICMP, NBT (NetBIOS over TCP/IP),
ntalk (UNIX talk command), H.323, y SIP
2.12.5 CHECKLIST
Cuando surge un problema con el NAT deberemos empezar a diagnosticarlo revisando el siguiente
check-list con los errores más frecuentes:
1. ¿Se está usando un pool de direcciones nat? ¿Tiene el pool suficientes direcciones?
2. ¿Es necesario la translación de puertos o PAT?
50
3. Si se está usando PAT, ¿Van a ser necesarias conexiones concurrente que requieran
persistencia?
4. ¿Esta correctamente aplicado el servicio “ip nat inside” a la interfaz de salida?
5. ¿Es correcta la definición de la lista de acceso NAT?
6. ¿Existe un rango de direcciones que deban salir sin ser traducidas? Si es así, ¿está correctamente
definido el bypass NAT?
7. Tiene interfaces configurados con direccionamiento del mismo rango del cual se está haciendo
NAT, ¿está configurado el proxy-ARP?
8. ¿Hay tráfico que puede estar siendo afectado por las ALGs?
9. ¿Cuantas sesiones activas NAT existen? ¿Se ha sobrepasado el límite?
Una vez con esta información clara, procederemos a intentar diagnosticar que es lo que está
sucediendo a través de los comandos de monitorización.
Muy importante verificar que no se están produciendo drops en las sesiones por configuración
(existe una limitación implícita de las sesiones por configuración, como se puede comprobar en el
comando anterior)
51
vxTarget>clear ip nat sessions 1.2.3.4
A continuación unos ejemplos que muestran el resultado de la tabla NAT y se comparan con una
captura en el lan y en el wan:
La tabla de sesiones NAT podría truncarse ya que está en continua actualización, por esto es
recomendable utilizar opciones para visualizar únicamente lo que interese. Para reducir el riesgo de
que se trunque la tabla, se puede introducir el comando “term len 0” que evita tener que pulsar la
barra de espacios repetidamente.
52
udp 192.168.1.63:52570(83.54.196.205)->10.0.23.68:snmp 0/297 00:01:52
Se puede filtrar por protocolo, interfaz, dirección ip local (inside-local), dirección ip traducida
(outside-global) o combinación de ellas.
Por último, se puede combinar este filtrado en la búsqueda de sesiones con el filtrado de salida
disponible para todos los comandos en OneOs. Esto es especialmente útil si queremos filtrar por
puerto o protocolo:
vxTarget> show ip nat sessions protocol udp | include sip
udp 192.168.1.60:sip(83.54.196.205)->212.230.32.105:sip 180/90 00:47:04
udp 192.168.1.64:sip(83.54.196.205:5062)->212.230.32.105:sip 180/90 00:47:36
vxTarget> show ip nat sessions protocol udp | include 1701
udp 192.168.10.1:1701(83.54.196.205)->91.183.184.98:1701 654/15260 00:02:00
2.13 DHCP
2.13.1 Estadísticas de DHCP Server, Client y Relay:
53
2.13.5 Reseteo de la base de datos de DHCP
Track 17
Object 15 DOWN
Object 16 UP
Boolean AND is DOWN
0 Change, Last Change None
Up Delay 2, Down Delay 2
Poll Interval (in msec) 1000
Tracked by: Applet : PBR-UP
Tracked by: Applet : PBR-DOWN
Track 16
interface GigabitEthernet 1/0 ip-routing
Ip-routing is UP5 Change, Last Change 01:16:50
Up Delay 20, Down Delay 20
Poll Interval (in msec) 1000
Track 15VRRP Id 8Vrrp is DOWN
0 Change, Last Change None
54
Up Delay 20, Down Delay 20
Poll Interval (in msec) 3000
Track 1
interface GigabitEthernet 1/0 ip-routing
Ip-routing is UP
5 Change, Last Change 01:16:40
Up Delay 10, Down Delay 10
Poll Interval (in msec) 1000
Tracked by: Applet : BACKUP
Tracked by: Applet : DEFAULT
Track 2
RTR Session Id 1 reachability
Latest Completion Time (milliseconds): Unknown
Latest Operation Return Code: Timeout
Reachability is DOWN
0 Change, Last Change None
Up Delay 20, Down Delay 20
Poll Interval (in msec) 5000
Tracked by: Applet : BACKUP2
Tracked by: Applet : DEFAULT2
Ejemplo:
Los contadores en el interfaz Bvi_1 están a 0 ya que no hay ningún paquete que coincida con
la política.
55
2.17 IPSec
Cuando surge un problema con el IPSEC deberemos empezar a diagnosticarlo revisando el
siguiente check-list con los errores más frecuentes. Hay que tener en cuenta que para establecer un
túnel IPSEC se requieren dos fases:
1. FASE 1: Establecimiento ISAKMP SA
Se negocia un ISAKMP SA (security association) para levantar túneles IPSEC
bajo demanda.
CHECKLIST
1. ¿Hay algún problema de routing por el cual no alcancemos las IPs de cifrado?
- Comprobar rutado y probar ping entre loopback IPSEC
- Ejemplo: loopback local 1.1.1.203, loopback remota 1.1.1.205
56
T - cTCP encapsulation, X - IKE Extended Authentication
psk - Preshared key, rsig - RSA signature
renc - RSA encryption
IPv4 Crypto ISAKMP SA
- Activar debug para ver dónde está fallando.En envío se comprueba que se envían paquetes
que no reciben respuesta fallo en “crypto isakmp policy”:
ROUTER_203>debug crypto isakmp level info
En recepción se ve por qué no se envía respuesta, problema en policy ISAKMP o en clave (Fase 1)
20:46:06.414 [IKEv1|NOTIC]: Sending phase 2 Quick mode SA for SA 0x523f9d0 and CSA Message
20:46:06.416 [IKEv1|INFO ]: NO PROPOSAL Chosen for CSA 0x6e0ee497 received => Terminate
57
Nota: se ha detectado un fallo en la versión ONEOS90-VOIP_PROXY_11N-V5.2R2B2_HA8 por el
cual el comando “show crypto map” no muestra nada aunque el crypto map está aplicado correctametne. Se
subsanará en versiones posteriores
5. En la configuración de crypto map local-address, ¿se han configurado los valores adecuados?
7. ¿Son correctas las redes aplicadas(local-address y remote-address que tomamos de los address-
book) a las políticas de cifrado?. ¿Estan aplicadas las políticas en los sentidos adecuados, y en
ambos sentidos?
8. ¿Se está usando NAT-T? si no se está usando veremos que la SA de IPSEC están asociadas al
puerto 500 en vez del puerto 4500 propio de NAT-T.
9. ¿Se ve algún tipo de error en las estadísticas de tráfico de IPSEC?, ¿Se ve tráfico en ambos
sentidos?
vxTarget> show crypto esp
ESP statistics:
IN: 122 total, 14640 bytes
0 bad policy, 0 no SA found, 0 counter wrapping
0 anti-replay, 0 verifications failures, 0 authentication failures
0 total udp encaps, 0 invalid
OUT: 110 total, 13200 bytes
0 queue drops
0 encryption/decryption failures, 0 error
0 total udp encaps
58
10. Prueba de conectividad, intentar forzar que el túnel levante por medio de pings LAN a LAN.
Forzando siempre el tráfico según se indica en la política aplicada a los túneles y desde otro
equipo que no sea el propio EDC
Una vez con esta información clara, procederemos a intentar diagnosticar que es lo que está
sucediendo a través de los comandos de monitorización y los debugs, si esto es necesario. Añadir
que suele ser más sencillo hacer el troubleshooting en el equipo que tiene el roll de responder.
Si por algún motivo durante el proceso de troubleshooting es necesario reestablecer las asociaciones
de seguridad del protocolo Ike, hay un comando con el cual se pueden limpiar dichas asociaciones
de seguridad:
59
replay detection support: Y
PFS (Y/N): N, DH group: none
Status: ACTIVE
Si por algún motivo durante el proceso de troubleshooting es necesario reestablecer las asociaciones
de seguridad del protocolo IPSEC, hay un comando con el cual se pueden limpiar dichas
asociaciones de seguridad:
Muestra las estadísticas de paquetes y bytes cifrados y descifrados. También muestra diferentes tipos
de errores como errores en el encapsulado del paquete, errores de desencriptación o errores en
cabeceras.
Este comando nos indicará el número de sesiones en uso, el número de sesiones falladas, así como
el tipo de sesión(Unicast, broadcast o Multicast). Nos indicará también, dentro de las sesiones en
uso, cuales son válidas y cuales están invalidadas o en otros estados.
60
Activación/desactivación de debug de cifrado (IKE)
Se ha detectado que en la versión , los cambios en IPSEC se aplican automáticamente pero no así
los cambios en ISAKMP. Se puede saber si los cambios se aplican si tenemos activo “debug crypto
isakmp”, ya que mostrará logs cuando aplique correctamente los cambios o no mostrará nada si no
ha aplicado los cambios.
21:36:37.225 [SAM |DEBUG]: SAMAM root received config invalidation for interface 22274 and
sequence number 1
21:36:37.225 [SAM |DEBUG]: Executing full SAMAM invalidation for interface 22274 and
sequence number 1
61
3 Troubleshooting del servicio de voz
Los puertos de voz se referencian siempre como 5/x:
- siendo 5 el número de la tarjeta (invariable, siempre vale 5)
- siendo x el índice del puerto utilizado
HARDWARE DESCRIPTION
Device : ONE100X
CPU : MPC8323 PowerQUICC II Pro
Bus Freq : 133MHz QE Freq : 200MHz Core Freq : 266MHz EPLD Index : 2
Ram size : 128Mo Flash size : 512Ko Extended Flash size : 32Mo
Ram disk : 1Mo Flash disk : 32Mo (Extended)
HARDWARE DESCRIPTION
Device : ONE100X
CPU : MPC8323 PowerQUICC II Pro
Bus Freq : 133MHz QE Freq : 200MHz Core Freq : 266MHz EPLD Index : 2
Ram size : 128Mo Flash size : 512Ko Extended Flash size : 32Mo
Ram disk : 1Mo Flash disk : 32Mo (Extended)
HARDWARE DESCRIPTION
Device : One70/270/700
CPU : MPC8360E PowerQUICC II Pro
Bus Freq : 266MHz QE Freq : 400MHz Core Freq : 533MHz FPGA : 2 PRI
Ram size : 128Mo Flash size : 512Ko Extended Flash size : 32Mo
Ram disk : 1Mo Flash disk : 32Mo (Extended)
62
Local : GIGABIT ETHERNET + SWITCH ETHERNET / 4 ports
Uplink : G.SHDSL.bis / 4 pairs
Dsp : 4
PRI : (5/0, 5/1)
o Dsp: voice compressor module – cada DSP puede comprimir 16 canales de voz
o PRI: Primary Rate Interface – para conexión a puerto PRI de PBX o a la red RDSI
Pinout FXS
63
Pinout BRI
Pinout PRI
ONE700 (conectar a PBX con cable directo) ONEVOIP (conectar a PBX con cable cruzado)
Outgoing calls 0
Outgoing calls failures 0
Insufficient pots-group resource 0
User busy (17) 0
No answer (18) 0
Incoming calls 0
Incoming calls backup invoked 0
Incoming calls failures 0
Remote failure 0
Unknown number 0
DSP unavailable 0
No VoIP resource available 0
Not specified 0
vxTarget>
o current state: on hook, not in use, port is idle. Off hook, port in use
o config state: up or down; voice-port in no shutdown mode, can be used.
o attached voip dial peer: port is in idle state, so, this info displays last internal voice port
connection - FXS port 5/0 has been internally connected with voip dial peer 0; voip dial peer
is the module which handles voice calls through IP network.
o voice communication: number of current calls; port in idle state voice com = 0.
o outgoing calls: number of received calls from remote end and transmitted to connected
device.
o incoming calls: number of calls received from connected device and transmitted to remote
end.
64
Verificar estadísticas Puerto BRI
Outgoing calls 0
Outgoing calls failures 0
Insufficient pots-group resource 0
Physical Interface down 0
Cause Class 0 (normal event) 0
Cause Class 1 (normal event) 0
Normal Cause (16) 0
User busy (17) 0
No answer (18) 0
Cause Class 2 (unavailable resources) 0
Cause Class 3 (unavailable service) 0
Cause Class 4 (service not provided) 0
Cause Class 5 (invalid message) 0
Cause Class 6 (protocol error) 0
Cause Class 7 (interworking) 0
Incoming calls 0
Incoming calls backup invoked 0
Incoming calls failures 0
Remote failure 0
Unknown number 0
DSP unavailable 0
No VoIP resource available 0
Not specified 0
65
Cause Class 1 (normal event) 0
Normal Cause (16) 0
User busy (17) 0
No answer (18) 0
Cause Class 2 (unavailable resources) 1
Cause Class 3 (unavailable service) 0
Cause Class 4 (service not provided) 0
Cause Class 5 (invalid message) 0
Cause Class 6 (protocol error) 0
Cause Class 7 (interworking) 0
Incoming calls 0
Incoming calls backup invoked 0
Incoming calls failures 0
Remote failure 0
Unknown number 0
DSP unavailable 0
No VoIP resource available 0
Not specified 0
o Physical type: E1- 32 slots de 64kbps-2048 kbps / T1- 24 slots de 64 kbps- 1544 kbps.
o protocol descriptor: E1_PRI (30 voice channels) - T1_PRI (23 voice channel)
o config state : interface is in no shutdown state (up), shutdown state (down)
o layer 1 status: activated, no problem; deactivated, physical connectivity issue
o Loss Off Signal (LOS): ON, no signal; verificar cable y puerto
o Alarm Indication Signal (AIS): ON, el extremo remoto reporta un problema de framing
o Remote Alarm Indicator (RAI): ON, el extremo remoto reporta un problema
o Layer 2 status: activated, inicialización de layer 2 finalizada. Si layer-2 está desactivado pero
el layer-1 está active, comprobar configuración de la interfaz PRI utilizada
--------------------------------------------------------------------------------
ISDN ACTIVE CALLS
--------------------------------------------------------------------------------
App. Call Calling Called Call Port BChan Call-ref call-id
Type Number Number Duration
--------------------------------------------------------------------------------
Voice In 0254203633 0231056392 00:00:55 5/0 3 2816 45
Voice Out 0231056392 0236536532 00:00:14 5/0 2 7680 47
Voice Out 0231056392 0210238800 00:00:18 5/0 1 7424 46
--------------------------------------------------------------------------------
66
Average of Max delay : 0
Average Pdd : 0
----------------------------------------------------------------
Current call 0
Calls released by rtp monitoring 0
Authentication Rejects 0
Dropped packets 0
due to rate limitation 0
due to memory limitation 0
due to CPU limitation 0
due to denied by acl 0
due to unknown proxy 0
67
- para todos los puertos “show voice dial-peer voice voip all”
Antes de hacer cualquier comprobación, se recomienda activar los eventos de voz en el equipo ya que
estos nos ayudarán a comprender la fuente del problema que podamos encontrar, y nos indicarán el
siguiente paso a dar en nuestro análisis.
Se pueden activar los eventos de voz para ser visualizados en:
Puerto consola: utilizar palabra ‘show’
68
vxTarget> event filter add vox all show
Nota: no olvidar que en telnet/ssh hay que hacer “monitor events” en cada sesión
Si ya existiera un filtro de eventos nos encontraríamos con el mensaje: ‘Filter conflicts with previously
defined filter’. Podemos borrar los filtros previos mediante ‘event filter remove all’ y volveríamos a
activar los filtros deseados.
La herramienta TEST-CALL puede resultar útil para generar señalización de llamadas tanto hacia la red
SIP como hacia la PBX sin necesitar un teléfono.
La sintaxis de esta herramienta es ‘test-call called <remote DDI> calling <local DDI> bc voice’:
17:23:17.465 Info vox factory test 1 call-id: 34, ident: test-call, CALL IN PROGRESS
Calling=61294009551 Called=600.
17:23:17.465 Info vox voip controlplan 3 Incoming call on local pots: 30, calling:
61294009551, called: 600, call-id: 34.
17:23:17.494 Info vox voip controlplan 3 Outgoing call on voip id: 0, calling: 61294009551,
called: 600, call-id: 34.
17:23:17.529 Info vox voip userplan 3 VoIP RTP transmission started, coder: G711 A Law,
call-id: 34.
17:23:17.550 Info vox factory test 1 call-id: 34, ident: test-call, CALL CONNECTED.
17:23:17.558 Info vox voip userplan 3 VoIP RTP reception started, coder: G711 A Law, call-
id: 34.
17:23:27.452 Info vox factory test 1 call-id: 34, ident: test-call, CALL DISCONNECTED on
pots cause=[Normal call clearing].
17:23:27.469 Info vox voip userplan 3 VoIP RTP transmission stopped, coder: G711 A Law,
call-id: 34.
17:23:27.469 Info vox voip userplan 3 VoIP RTP reception stopped, coder: G711 A Law, call-
id: 34.
17:23:27.470 Info vox voip controlplan 3 RESULT : call-id: 34, ident: test-call, with LOOP
service OK
69
17:25:59.233 Info vox voip controlplan 3 Outgoing call on voip id: 0, calling: 61294009551,
called: 603, call-id: 35.
17:25:59.253 Info vox voip controlplan 1 Internal outgoing call failure , cause:
(1)[Unallocated (unassigned) number], call-id: 35.
17:25:59.278 Info vox voip controlplan 3 RESULT : call-id: 35, ident: test-call, with LOOP
service FAILED due to signalling error
Establecimiento layer-2
00:07:21.343 line:5/0 L1 frame received.
00:07:21.343 line:5/0 L2 rx SABME P/F=1 C/R=0.
00:07:21.343 hex: 00 01 7f
00:07:21.343 line:5/0 L1 frame sent.
00:07:21.343 line:5/0 L2 tx UA P/F=1 NR=4 NS=2 C/R=0.
00:07:21.343 hex: 00 01 73
70
00:07:21.382 hex: 00 01 01 02
Desconexión de layer-2
71
00:07:53.742 line:5/0 L1 frame sent.
00:07:53.742 line:5/0 L2 tx DISC P/F=1 NR=4 NS=2 C/R=1.
00:07:53.742 hex: 02 01 53
00:07:53.757 line:5/0 L1 frame received.
00:07:53.758 line:5/0 L2 rx UA P/F=1 C/R=1.
00:07:53.758 hex: 02 01 73
Trazas SIP
Si se sospecha cualquier problema de comunicación con la red SIP, se debe comprobar en primer lugar el
estado del dial-peer voip y el estado del sip-gateway (como se ha visto en puntos anteriores).
v=0
o=toto 3158772708 3158772708 IN IP4 90.83.165.217
s=Session SDP
c=IN IP4 90.83.165.217
t=0 0
m=audio 16390 RTP/AVP 18 0 8
a=rtpmap:18 G729/8000
a=fmtp:18 annexb=no
a=rtpmap:0 PCMU/8000
a=rtpmap:8 PCMA/8000
a=ptime:20
72
v=0
o=toto 3158772621 3158772621 IN IP4 90.83.165.217
s=Session SDP
c=IN IP4 90.83.165.217
t=0 0
m=audio 16386 RTP/AVP 18 0 8
a=rtpmap:18 G729/8000
a=fmtp:18 annexb=no
a=rtpmap:0 PCMU/8000
a=rtpmap:8 PCMA/8000
a=ptime:20
Checklist troubleshooting
EJEMPLO 1: llamada saliente desde FXS 5/0 hacia número 600 (correcta)
18:07:30.740 Info vox voip controlplan 3 FXS port 5/0 status: off-hook.
18:07:32.150 Info vox voip controlplan 3 Incoming call on local port: 5/0, calling: ,
called: 6, call-id: 44.
18:07:32.650 Info vox voip controlplan 3 Overlap dialing, number: 0, call-id: 44.
18:07:33.080 Info vox voip controlplan 3 Overlap dialing, number: 0, call-id: 44.
18:07:37.115 Info vox voip controlplan 3 Outgoing call on voip id: 0, calling: 61294009551,
called: 600, call-id: 44.
18:07:37.150 Info vox voip userplan 3 VoIP RTP transmission started, coder: G711 A Law,
call-id: 44.
18:07:37.170 Info vox voip controlplan 3 Call connected, call-id: 44.
18:07:37.180 Info vox voip userplan 3 VoIP RTP reception started, coder: G711 A Law, call-
id: 44.
18:07:43.152 Info vox voip controlplan 3 FXS port 5/0 status: on-hook.
18:07:43.153 Info vox voip controlplan 3 Call Disconnection received on local port: 5/0,
cause: (16)[Normal call clearing], call-id: 44.
18:07:43.170 Info vox voip userplan 3 VoIP RTP transmission stopped, coder: G711 A Law,
call-id: 44.
18:07:43.171 Info vox voip userplan 3 VoIP RTP reception stopped, coder: G711 A Law, call-
id: 44.
EJEMPLO 2: llamada saliente desde FXS 5/0 hacia número 603 (problema red SIP)
73
18:40:46.876 Info vox voip controlplan 3 FXS port 5/0 status: off-hook.
18:40:48.716 Info vox voip controlplan 3 Incoming call on local port: 5/0, calling: ,
called: 6, call-id: 45.
18:40:49.206 Info vox voip controlplan 3 Overlap dialing, number: 0, call-id: 45.
18:40:50.246 Info vox voip controlplan 3 Overlap dialing, number: 3, call-id: 45.
18:40:54.271 Info vox voip controlplan 3 Outgoing call on voip id: 0, calling: 61294009551,
called: 603, call-id: 45.
18:40:54.290 Info vox voip controlplan 1 Internal outgoing call failure , cause:
(1)[Unallocated (unassigned) number], call-id: 45.
18:41:02.892 Info vox voip controlplan 3 FXS port 5/0 status: on-hook.
18:50:15.104 Info vox voip controlplan 3 Incoming call on voip id: 0, calling: 0235032301,
called: 61294009551, call-id: 61.
18:50:15.105 Info vox voip controlplan 3 Outgoing call on local port: 5/0, calling:
0235032301, called: 61294009551, call-id: 61.
18:50:15.112 Info vox voip controlplan 3 FXS port 5/0 status: ringing on.
18:50:15.165 Info vox voip userplan 3 VoIP RTP transmission started, coder: G711 A Law,
call-id: 61.
18:50:18.792 Info vox voip controlplan 3 FXS port 5/0 status: ringing off.
18:50:18.812 Info vox voip controlplan 3 FXS port 5/0 status: off-hook.
18:50:18.812 Info vox voip controlplan 3 Call connected, call-id: 61.
18:50:29.452 Info vox voip controlplan 3 FXS port 5/0 status: on-hook.
18:50:29.452 Info vox voip controlplan 3 Call Disconnection received on local port: 5/0,
cause: (16)[Normal call clearing], call-id: 61.
vxTarget>18:53:57.893 Info vox voip controlplan 3 Incoming call on voip id: 0, calling:
0235032301, called: 61294009551, call-id: 65.
18:53:57.894 Info vox voip controlplan 3 Outgoing call on local port: 5/0, calling:
0235032301, called: 61294009551, call-id: 65.
18:53:57.894 Error vox voip controlplan 1 Internal outgoing call failure on local port: 5/0,
cause: (17)[User busy], call-id: 65.
18:53:57.897 Info vox voip controlplan 3 FXS port 5/0 status: no shutdown.
74