Наша система мониторинга показывает ошибки передачи в IPsec VTI на наших маршрутизаторах Vyatta Core, когда они находятся под высокой нагрузкой. Они появляются лишь изредка и не оказывают серьезного влияния на производительность (мы приближаемся к 100 Мбит / с на канале 100 Мбит / с), но, похоже, очень мало информации о том, что составляет ошибку передачи на канале. ВТИ. Я уверен, что информация существует в исходных кодах ядра, но, не имея опыта разработки ядра, мне могут потребоваться дни или недели, чтобы понять ее достаточно, чтобы ответить на вопрос. Где я могу найти дополнительную информацию об этом?
Ошибки передачи на интерфейсах VTI (и других интерфейсах туннелирования) имеют особое значение. К сожалению, это плохо документировано, и я просмотрел исходный код ядра, чтобы разобраться в этом (см. файл /net/ipv4/ip_vti.c).
Чтобы перечислить категории ошибок передачи, используйте ip -s -s -d link show [ dev <vti-iface> ]
команда.
Ошибки оператора передачи и устранение неполадок:
ip route get <dst>
командаip xfrm policy get ...
командаip xfrm state get ...
командаip xfrm state show
или ip xfrm state get ...
командыОшибки коллизии TX:
Ошибки, которые вы видите, могут возникать по ряду причин. Я предлагаю покопаться в ваших журналах и найти сообщение, которое выглядит примерно так:
Nov 25 21:18:00.000 UTC: ISAKMP (0:1): deleting node ######## error TRUE reason "[the answer you seek is likely in this string]"
Я бы посмотрел на эту ссылку для устранения неполадок IPSec VPN. Обычно я резюмирую, что ссылки могут быть недоступны по любой причине, но, не зная подробностей, вы обычно хотите искать руководства по устранению неполадок, не относящиеся к начальной конфигурации (поскольку у вас есть рабочая настройка - только случайные ошибки). Другими словами, ответы на ваш вопрос, скорее всего, сохранятся в виде строки в ваших файлах журнала.
В более общем смысле, ошибки передачи могут возникать по любому количеству причин - искаженные контрольные суммы, искаженные заголовки аутентификации, необходимость повторной передачи из-за перегрузки или отброшенных пакетов, действительно, любая ошибка на любом из уровней сетевого стека, затронутого IPSec, может всплыть.