Назад | Перейти на главную страницу

На что указывают ошибки передачи на интерфейсах виртуального туннеля Linux IPsec?

Наша система мониторинга показывает ошибки передачи в IPsec VTI на наших маршрутизаторах Vyatta Core, когда они находятся под высокой нагрузкой. Они появляются лишь изредка и не оказывают серьезного влияния на производительность (мы приближаемся к 100 Мбит / с на канале 100 Мбит / с), но, похоже, очень мало информации о том, что составляет ошибку передачи на канале. ВТИ. Я уверен, что информация существует в исходных кодах ядра, но, не имея опыта разработки ядра, мне могут потребоваться дни или недели, чтобы понять ее достаточно, чтобы ответить на вопрос. Где я могу найти дополнительную информацию об этом?

Ошибки передачи на интерфейсах VTI (и других интерфейсах туннелирования) имеют особое значение. К сожалению, это плохо документировано, и я просмотрел исходный код ядра, чтобы разобраться в этом (см. файл /net/ipv4/ip_vti.c).

Чтобы перечислить категории ошибок передачи, используйте ip -s -s -d link show [ dev <vti-iface> ] команда.

Ошибки оператора передачи и устранение неполадок:

  • Подходящего маршрута не найдено - проверьте его с помощью ip route get <dst> команда
  • Подходящей политики не найдено - проверьте ее с помощью ip xfrm policy get ... команда
  • Подходящей SA не найдено - проверьте статус SA с помощью ip xfrm state get ... команда
  • SA не в туннельном режиме - проверьте режим SA с помощью ip xfrm state show или ip xfrm state get ... команды

Ошибки коллизии TX:

  • Обнаружена петля маршрутизации - после преобразования пакет должен быть отправлен через тот же интерфейс VTI - проверьте конфигурацию SA и конфигурацию маршрутизации.

Ошибки, которые вы видите, могут возникать по ряду причин. Я предлагаю покопаться в ваших журналах и найти сообщение, которое выглядит примерно так:

Nov 25 21:18:00.000 UTC: ISAKMP (0:1): deleting node ######## error TRUE reason "[the answer you seek is likely in this string]"

Я бы посмотрел на эту ссылку для устранения неполадок IPSec VPN. Обычно я резюмирую, что ссылки могут быть недоступны по любой причине, но, не зная подробностей, вы обычно хотите искать руководства по устранению неполадок, не относящиеся к начальной конфигурации (поскольку у вас есть рабочая настройка - только случайные ошибки). Другими словами, ответы на ваш вопрос, скорее всего, сохранятся в виде строки в ваших файлах журнала.

В более общем смысле, ошибки передачи могут возникать по любому количеству причин - искаженные контрольные суммы, искаженные заголовки аутентификации, необходимость повторной передачи из-за перегрузки или отброшенных пакетов, действительно, любая ошибка на любом из уровней сетевого стека, затронутого IPSec, может всплыть.