Solución alternativa de problemas de WAN

Visión general

WAN Alternativa (Alt. WAN) permite a las organizaciones mejorar su conectividad de red al ofrecer soluciones flexibles y resilientes de gestión de tráfico WAN. Soporta dos tipos de configuraciones: Capa-2 para Sockets en la misma subred y Capa-3 para Sockets en diferentes redes. Para más detalles sobre la implementación, consulte Integration-Cato-con-Red-WAN-Alternativa.

Este artículo cubre problemas comunes con Alt. WAN y proporciona pasos para solucionar problemas para resolverlos.

Síntomas

Aquí hay algunos síntomas comunes cuando Alt. WAN no funciona como se esperaba:

  • La conexión de Alt. WAN no se logra establecer
  • El CMA muestra el sitio como desconectado a pesar de que el tráfico fluye a través de Alt. WAN
  • Conexión TLS restablecida por el servidor al usar Alt. WAN
  • Recuperación de WAN a Alt. WAN falló cuando el túnel principal se cayó
  • La conexión BGP no se logra establecer a través de Alt. WAN

Causas posibles

  • Configuración incorrecta
  • UDP/20049 está bloqueado entre Alt. Sitios WAN
  • Alto Uso de Socket

Solución de problemas del tema

Los túneles de WAN alternativa no se establecen

Revisar la configuración

  • Para asegurar una configuración correcta, navegue hasta el Sitio Socket donde está habilitada la WAN Alternativa. Vaya a Network > Site > Socket y verifique que el Estado del Puerto para la interfaz de WAN Alternativa muestre UP
  • Si el estado muestra Down, revise la conexión del puerto para confirmar que está correctamente conectado a la red.
  • Asegúrese de que la interfaz esté configurada con la opción correcta: ya sea WAN Alternativa (Capa-2) o WAN Alternativa (Capa-3).
  • A continuación, confirme que las direcciones IP y la configuración de las subredes están configuradas correctamente.
  • Para confirmar que los túneles de WAN Alternativa están activos, acceda al Socket usando el WebUI del Socket. Si los túneles de WAN Alternativa están establecidos con éxito, mostrará el número de canales conectados bajo los Túneles SDWAN.
  • .

Asegúrese de que el puerto UDP 20049 no esté bloqueado

  • El túnel de WAN Alternativa se establece sobre UDP/20049.
  • Acceda al SocketUI de ambos Sockets y navegue hasta la pestaña de Captura de Tráfico.
  • Seleccione la interfaz WAN que Alt. WAN está configurada y comienza a capturar para el protocolo UDP.
  • El PCAP debería mostrar tráfico bidireccional en el puerto UDP 20049. Si no ve flujo bidireccional, verifique si algún dispositivo entre los 2 sitios está bloqueando UDP/20049.

    NOTA:  En la configuración de Capa 2 de WAN Alternativa, el túnel se inicia usando la IP de WAN Alternativa. En contraste, con una configuración de Capa 3 de WAN Alternativa, el túnel se inicia usando la IP local de la subred nativa. La tabla a continuación resalta las diferencias en el flujo de tráfico entre las configuraciones de Capa 2 y Capa 3, específicamente centrándose en la IP de origen del túnel.

    CAPA 2

    CAPA 3

    El túnel de WAN Alternativa se originará desde la IP de WAN Alternativa. Una captura de paquetes desde la interfaz de WAN Alternativa muestra que el túnel fue iniciado desde la dirección IP 192.168.20.2, estableciendo conexiones con las IPs de WAN Alternativa de los sitios remotos: 192.168.20.3 y 192.168.20.4.

    Aunque la dirección IP de WAN Alternativa está configurada como 192.168.20.2 en el UI del Socket, el túnel de WAN Alternativa no se origina desde esta IP. Una captura de paquetes desde la interfaz de WAN Alternativa muestra que el túnel se origina desde 192.168.2.1 y establece conexiones con las IPs locales nativas de los sitios remotos configurados para WAN Alternativa: 192.168.3.1 y 192.168.4.1.

     

El sitio está desconectado en el CMA a pesar de que el tráfico fluye a través de Alt. WAN

  • El sitio aparece desconectado en el CMA porque el túnel hacia el Cato Cloud está caído.
  • El tráfico continúa fluyendo a través de Alt. El enlace WAN garantiza las operaciones de red, pero el CMA registra el sitio fuera de línea porque no se puede alcanzar.
  • Para restaurar la visibilidad en el CMA, solucione problemas y restablezca la conexión del túnel al Cato Cloud. Para pasos detallados de solución de problemas, consulte Solución-de-Problemas-de-Conectividad-de-Túnel-de-Socket-Site

Fallo de conexión TLS en Alt. Enlaces WAN

  • Una regla de red fue configurada explícitamente para usar Alt. WAN como el transporte primario 
  • Al revisar el UI del Socket se muestra que el túnel de Alt. WAN está operativo. 
  • Sin embargo, el servidor resta constantemente la aplicación TLS cuando atraviesa usando Alt. WAN.

  • En este escenario, es crucial asegurarse de que no existen reglas complejas de red por encima de la regla de Alt. WAN debido a cómo se procesan las reglas complejas dentro de la red. Una regla compleja de red es aquella que el Socket no puede evaluar directamente. Por lo tanto, cuando aparece una regla compleja por encima de la regla de Alt. WAN, el Socket envía el tráfico al PoP para determinar el manejo de red adecuado.

  • Este proceso puede resultar en un flujo asimétrico cuando el tráfico de retorno atraviesa sobre el enlace Alt. WAN, causando finalmente que el servidor reinicie la conexión.

  • Para obtener más información sobre la regla compleja, consulte Explicación-de-la-Aceleración-TCP-de-Cato-y-Mejores-Prácticas, bajo la sección "Trabajar con Reglas Complejas de Red"
  • Consulte Solución a Fallo de Conexión TLS en Alt. Enlaces WAN sobre cómo resolver este problema.

Recuperación de WAN a Alt. WAN no ocurrió cuando se cayó el túnel principal

  • Por defecto, la recuperación de WAN no está habilitada para Alt. WAN. Esto se considera una característica limitada, y si desea optar por ella, puede enviar su solicitud a su Representante de Cato.
  • Consulte Recuperando-Conectividad-con-Enlaces-Alt-WAN para más detalles. 

La BGP falla al establecer conexión

  • El emparejamiento BGP ha sido configurado entre el router BGP del cliente y el Socket sobre el enlace Alt. WAN, pero la conexión BGP falla en establecerse.
  •  En este caso, la configuración de Alt. WAN en el Socket es la siguiente:
  • Los registros del router BGP muestran que el siguiente salto especificado es inválido. Una razón posible es que el siguiente salto anunciado en la actualización BGP es inaccesible a través del par BGP.
%BGP-5-ADJCHANGE: vecino 192.168.200.1 Arriba
%BGP-3-NOTIFICACIÓN: recibida del vecino 192.168.200.1 3/8 (siguiente salto inválido especificado) 4 bytes 0AFD0011
  • Una solución potencial es usar el comando next-hop-self en la configuración BGP. Este comando instruye al router para anunciarse a sí mismo como el siguiente salto para rutas, asegurando que las rutas anunciadas tienen una dirección IP de siguiente salto alcanzable para el vecino BGP receptor.
  • Consulte Solución a BGP falla al establecer conexión para los detalles.

Verificar Rendimiento del Socket

  • Una utilización del CPU consistentemente por encima del 90% puede impactar negativamente el rendimiento del socket y causar pérdida de paquetes y túneles no establecidos o desconexiones frecuentes.
  • To view historical CPU usage per core browse to Network Analytics and select the Hardware Tab.
  • Para uso en tiempo real del Socket CPU explora la Interfaz Web del Socket y selecciona la pestaña de Estado.
  • En caso de detectar un uso de CPU constantemente alto contactar soporte.

Resolviendo Problemas Descubiertos

Solución a Fallo de Conexión TLS en Alt. Enlaces WAN

  • Una conexión TLS entre dos sitios de Cato puede fallar al usar un enlace Fuera de la Nube o enlace Alt-WAN si una regla de red simple se coloca por debajo de una regla compleja que involucra aplicaciones definidas.
  • Esto ocurre porque se aplica un proxy TCP, haciendo que el apretón de manos TCP pase por el Cato Cloud mientras que el paquete de datos atraviesa el Alt. WAN, lo que lleva a un restablecimiento de conexión. 
  • La solución es mover la regla simple Fuera de la Nube o enlace Alt-WAN por encima de cualquier regla compleja o, alternativamente, deshabilitar la inspección TLS para evitar la aplicación del proxy TCP.
  • Para más detalles sobre este problema, consulte Fallo-de-Conexión-TLS-sobre-Fuera-de-la-Nube-o-Enlaces-Alt-WAN 

Solución a BGP falla en establecer conexión

  • El cliente debe asegurar que el siguiente salto para la ruta por defecto está correctamente configurado en su router BGP. En el router del cliente, configure la ruta por defecto usando una de las siguientes opciones:

    1. Use el comando next-hop-self para establecer el siguiente salto como la IP de WAN Alternativa del vecino BGP:

      vecino <IP de WAN Alternativa del Socket> next-hop-self

    2. Aplique un mapa de ruta para establecer explícitamente el siguiente salto a la IP de la interfaz de WAN Alternativa del router:

      mapa de ruta <nombre-del-mapa> permitir 10
          establecer ip next-hop <IP de Interfaz de WAN Alternativa del Router>

Limitaciones/Notas

  • Cuando Alt. WAN está configurada en un sitio HA, Alt. El túnel de WAN se establece solo con el Socket Maestro. Por lo tanto, en condiciones normales, solo el Socket Maestro establecerá el Alt. Túnel de WAN con sitios remotos. 

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios