隧道

EdgeConnect隧道是SD-WAN的基础，主要有三种形式:

• 叠加隧道。SD-WAN保税隧道。
• 倾斜的隧道．IPsec隧道映射到离散传输。
• 透传隧道．第三方隧道(IPsec)和本地断连。

下垫隧道是本节的重点。覆盖隧道只有在所有相关的下垫隧道也在下降时才会下降。关于第三方隧道故障排除，请参见该集成的相应配置指南。

当前隧道状态

首先，确定当前的隧道状态。在协调器中,单击配置，然后点击隧道．

如果没有隧道入口，则Orchestrator要么挂起同步，要么配置为不构建隧道(通过tunnel Exception、Regionalization等)。

下面黄色的隧道就是这样配置的。隧道的红色部分是由于一个问题而关闭的，是这里故障排除的重点。

下垫层隧道出现问题的可能原因包括:

• 路由器的配置
• 防火墙设置
• MPLS、internet、LTE等方面的运营商问题
• 设备配置(网络、标签、NAT)

故障排除步骤

研究隧道历史

首先分析有问题的隧道的历史。可在隧道选项卡(配置>隧道)或该设备的“告警”页。

管理员应该评估隧道是否曾经处于活动状态，如果是，则在什么时候停止工作。从未建立的隧道指向最初的部署问题，而部署后失败的隧道指向环境或网络变化。

验证路由和连通性

建立历史记录后，管理员可以验证路由和连通性。在相同的tunnel选项卡中，tunnel traceroute提供关于是否可达的快速反馈，如果不可达，则在哪里隧道出现故障。

请注意对于基于internet的传输，失败的跟踪路由或ping可达性并不意味着没有连接。

Ping和traceroute命令可以从设备UI和CLI中获得，并可用于进一步验证传输行为。

验证IP和端口

通过验证路由和连通性，管理员可以验证ip和端口。

• 的远程IP:港口字段为云门户学习到的IP地址和在Overlay Setting页面指定的关联端口。
• 的发现IP:端口字段是隧道建立开始时发送的NAT Discovery (NAT- d)报文中包含的IP地址和端口。

如果只有端口不同，则会发生PAT(端口地址转换)。如果隧道没有建立，请确认两端都不是动态pat，因为动态pat不能与pat连接。

如果ip和端口都不同，则出现CGNAT(电信级NAT)。如果隧道没有建立，请确认两端都不是cgnat或pat，因为cgnat不能与其他cgnat或pat连接。

如果你看到没有:没有在“已发现”字段中，本地的EdgeConnect从未收到来自远程设备的NAT-D数据包。在这种情况下，验证两个edgeconnect之间的传输和防火墙配置。

---