Problemas de solución de Socket VLAN Tagging

Resumen

Los Sockets de Cato admiten el etiquetado VLAN basado en el estándar IEEE 802.1Q a través de las interfaces LAN y WAN. El etiquetado VLAN habilita la segmentación lógica de redes, la aislación de tráfico y un diseño de red escalable al permitir que múltiples VLANs atraviesen una única interfaz. Para obtener más información, consulte Network Segmentation - Best Practices.

En los entornos Cato, el etiquetado VLAN se aplica a:

Sockets físicos de Cato y vSockets en ESX solamente.
Rangos habilitados para VLAN: Cato inserta etiquetas IEEE 802.1Q en los marcos Ethernet para rangos configurados de VLAN.
Tráfico de rango nativo: Cato admite el comportamiento de etiquetado VLAN para tráfico asociado con el rango nativo, dependiendo de la configuración del tronco del switch.
Enlaces ascendentes WAN: El etiquetado VLAN en interfaces WAN se configura a través de la Interfaz Web del Socket para requisitos específicos de proveedores de servicios o operadores.

Este artículo describe los problemas comunes de etiquetado VLAN observados con Sockets de Cato, sus causas raíz, y pasos estructurados de solución de problemas para ayudar a los clientes a validar y resolver problemas de conectividad.

Síntomas

Los problemas de etiquetado VLAN suelen presentarse como uno o más de los siguientes síntomas:

Los dispositivos en rangos habilitados para VLAN no pueden comunicarse con la red.
Las solicitudes ARP o DHCP no reciben respuestas.
Las capturas de paquetes muestran etiquetas VLAN IEEE 802.1Q faltantes o incorrectas.
El tráfico Inter-VLAN se enruta a la nube Cato en lugar de localmente.
Los vecinos BGP no logran establecer conexiones sobre interfaces respaldadas por VLAN.
Los puntos finales reciben rangos de direcciones IP incorrectos o ninguna dirección IP en absoluto.

Entendiendo los escenarios de Trunk VLAN

El siguiente diagrama ilustra dos configuraciones comunes de tronco entre un Socket de Cato y un conmutador:

En el Escenario 1, no se configura ninguna VLAN para el rango nativo en CMA. Los marcos sin etiquetar en el tronco (por ejemplo, VLAN nativa 1 en el conmutador) se asignan al rango nativo en el Socket.
En el Escenario 2, la VLAN 5 se configura para el rango nativo en CMA. Los marcos etiquetados con VLAN 5 se asignan al rango nativo en el Socket.

Solución de problemas del problema

Use las siguientes secciones de solución de problemas para aislar problemas basados en el síntoma observado. Las capturas de paquetes recogidas de la Interfaz Web del Socket y analizadas en Wireshark son críticas para validar etiquetas VLAN y la estructura de los marcos.

Solucionando problemas de rangos VLAN

Verifique que el puerto del conmutador conectado al Socket esté configurado como tronco y permita todos los IDs de VLAN necesarios, incluida la VLAN configurada para el rango nativo (si está configurada).
Confirme que el comportamiento de la VLAN nativa en ambos el conmutador y el Socket (etiquetado vs no etiquetado) sea consistente con los escenarios de Trunk VLAN anteriores.
En el CMA, revise los rangos habilitados para VLAN y asegurarse de que los IDs de VLAN configurados coincidan con la configuración del conmutador.
Recolecte un PCAP desde la interfaz LAN relevante del Socket usando la Interfaz Web.
Abra la captura en Wireshark e inspeccione el header Ethernet para la presencia de una etiqueta IEEE 802.1Q y el ID de VLAN esperado.

Nota: Una solicitud ARP exitosa en un rango habilitado para VLAN incluye un header IEEE 802.1Q con el ID de VLAN correcto. Los marcos sin la etiqueta VLAN son típicamente descartados por los puertos de tronco aguas abajo.

Solucionando problemas de enrutamiento Inter-VLAN

Analizar eventos CMA relacionados con el tráfico Inter-VLAN afectado.
Confirme si el firewall LAN está habilitado en el Socket.
Revise las reglas de firewall LAN para asegurar que el tráfico inter-VLAN esté explícitamente permitido.
- Tenga en cuenta que si una Regla de red LAN está configurada para el tráfico inter-VLAN y ninguna Regla de firewall LAN lo permite, se bloquea por defecto.
- Si la microsegmentación está habilitada en el rango de la red VLAN, asegúrese de que el firewall LAN permita el tráfico intra-VLAN.
Si el firewall LAN no está habilitado, verifique las reglas del firewall WAN para confirmar que no están bloqueando sin querer el tráfico VLAN enrutado.
Recolecte un PCAP desde la interfaz LAN relevante del Socket usando la Interfaz Web. Asegúrese de que los marcos contengan la etiqueta VLAN correcta según se configura en CMA y el puerto troncal del conmutador.

Solucionando fallos de BGP sobre rangos VLAN

Verifique que el rango habilitado para VLAN usado para el par BGP tenga el ID de VLAN correcto configurado.
Confirme que el conmutador o enrutador conectado espera tráfico BGP en la misma VLAN.
Capture el tráfico en la interfaz del Socket y valide que los paquetes BGP estén etiquetados con la VLAN correcta.
Verifique el enrutamiento asimétrico causado por etiquetas VLAN desiguales en las rutas de entrada y salida.

Solución de problemas de DHCP y asignación de IP

Confirme que el tronco del conmutador aguas abajo permita la VLAN asociada con el alcance DHCP.
Verifique que las solicitudes DHCP desde los puntos finales estén etiquetadas con el ID de VLAN esperado.
Use un PCAP en el Socket para validar que los mensajes Discover y Offer de DHCP sean visibles y estén correctamente etiquetados.
Asegúrese de que no exista configuraciones de VLAN superpuestas o en conflicto en los conmutadores intermedios.

Elevando casos al soporte de Cato

Si el problema persiste después de completar las etapas de solución de problemas y resolución, escale el caso al soporte de Cato con suficiente información diagnóstica.

Descripción de los IDs de VLAN afectados y rangos.
Detalles relevantes de configuración de conmutadores o hipervisor.
Archivos PCAP recogidos de las interfaces del Socket.
Marco de tiempo del problema y si es intermitente o persistente.
Cualquier cambio reciente en la configuración relacionado con VLANs, enrutamiento o reglas de firewall.