Dépannage de l'étiquetage VLAN des sockets

Vue d'ensemble

Les sockets Cato supportent l'étiquetage VLAN basé sur la norme IEEE 802.1Q à travers à la fois les interfaces LAN et WAN. L'étiquetage VLAN permet la segmentation logique des réseaux, l'isolation du trafic et une conception réseau évolutive en permettant à plusieurs VLAN de circuler sur une seule interface. Pour plus d'informations, consultez Segmentation du Réseau - Bonnes Pratiques.

Dans les environnements Cato, l'étiquetage VLAN s'applique à :

• Sockets physiques Cato et vSockets ESX uniquement.
• Plages activées en VLAN : Cato insère des étiquettes 802.1Q dans les trames Ethernet pour les plages de VLAN configurées.
• Trafic de plage native : Cato supporte le comportement d'étiquetage VLAN pour le trafic associé à la plage native, en fonction de la configuration du tronc du commutateur.
• Connexions WAN : L'étiquetage VLAN sur les interfaces WAN est configurable via le Socket WebUI pour les exigences spécifiques aux fournisseurs de services ou transporteurs.

Cet article décrit les problèmes courants d'étiquetage VLAN observés avec les Sockets Cato, leurs causes profondes et des étapes de dépannage structurées pour aider les clients à valider et résoudre les problèmes de connectivité.

Symptômes

Les problèmes d'étiquetage VLAN se présentent généralement par un ou plusieurs des symptômes suivants :

• Les appareils sur les plages activées en VLAN ne peuvent pas communiquer avec le réseau.
• Les requêtes ARP ou DHCP ne reçoivent pas de réponses.
• Les captures de paquets montrent des étiquettes VLAN 802.1Q manquantes ou incorrectes.
• Le trafic inter-VLAN est acheminé vers le cloud Cato au lieu de localement.
• Les voisins BGP échouent à s'établir sur des interfaces soutenues par VLAN.
• Les points d'extrémité reçoivent des plages d'adresses IP incorrectes ou aucune adresse IP du tout.

Comprendre les Scénarios de Tronc de VLAN

Le schéma suivant illustre deux configurations de tronc courantes entre une Socket Cato et un commutateur :

• Dans le Scénario 1, aucun VLAN n'est configuré pour la plage native dans CMA. Les trames non étiquetées sur le tronc (par exemple, VLAN native 1 sur le commutateur) sont mappées à la plage native sur la Socket.
• Dans le Scénario 2, le VLAN 5 est configuré pour la plage native dans CMA. Les trames étiquetées avec le VLAN 5 sont mappées à la plage native sur la Socket.

Dépannage du Problème

Utilisez les sections de dépannage suivantes pour isoler les problèmes en fonction du symptôme observé. Les captures de paquets collectées à partir du Socket WebUI et analysées dans Wireshark sont essentielles pour valider les étiquettes VLAN et la structure des trames.

Dépannage des Problèmes de Plages VLAN

1. Vérifiez que le port de commutateur connecté à la Socket est configuré comme un tronc et permet tous les ID VLAN requis, y compris le VLAN configuré pour la plage native (si configuré).
2. Confirmez que le comportement du VLAN natif sur à la fois le commutateur et la Socket (étiqueté vs. non étiqueté) est conforme aux scénarios de tronc VLAN ci-dessus.
3. Dans le CMA, examinez les plages VLAN activées et assurez-vous que les ID de VLAN configurés correspondent à la configuration du commutateur.
4. Collectez un PCAP de l'interface LAN du Socket concerné en utilisant le WebUI.
5. Ouvrez la capture dans Wireshark et inspectez l'en-tête Ethernet pour la présence d'une étiquette 802.1Q et l'ID VLAN attendu.

Note : Une requête ARP réussie sur une plage activée en VLAN inclut un en-tête 802.1Q avec le bon ID VLAN. Les trames manquant de l'étiquette VLAN sont généralement rejetées par les ports de tronc en aval.

Dépannage des Problèmes de Routage Inter-VLAN

1. Analysez les événements CMA liés au trafic inter-VLAN concerné.
2. Confirmez que le pare-feu LAN est activé sur la Socket.
3. Examinez les règles du pare-feu LAN pour vous assurer que le trafic inter-VLAN est explicitement autorisé. 
   • Notez que si une règle réseau LAN est configurée pour le trafic inter-vlan et qu'aucune règle de pare-feu LAN ne l'autorise, il est bloqué par défaut.
   • Si la microsegmentation est activée sur la plage du réseau VLAN, assurez-vous que le pare-feu LAN permet le trafic intra-VLAN.
4. Si le pare-feu LAN n'est pas activé, vérifiez les règles du pare-feu WAN pour confirmer qu'elles ne bloquent pas le trafic VLAN acheminé de manière involontaire.
5. Collectez un PCAP de l'interface LAN du Socket concerné en utilisant le WebUI. Assurez-vous que les trames contiennent la bonne étiquette VLAN telle que configurée dans le CMA et le port tronc du commutateur.

Dépannage des Échecs BGP sur les Plages VLAN

1. Vérifiez que la plage activée en VLAN utilisée pour le pair BGP a le bon ID VLAN configuré.
2. Confirmez que le commutateur ou routeur connecté attend le trafic BGP sur le même VLAN.
3. Capturez le trafic sur l'interface Socket et validez que les paquets BGP sont étiquetés avec le bon VLAN.
4. Vérifiez s'il y a un routage asymétrique causé par un étiquetage VLAN dépareillé sur les chemins d'entrée et de sortie.

Dépannage des Problèmes de DHCP et d'Attribution d'IP

1. Confirmez que le tronc du commutateur en aval autorise le VLAN associé à la portée DHCP.
2. Vérifiez que les demandes DHCP des points d'extrémité sont étiquetées avec l'ID VLAN attendu.
3. Utilisez un PCAP sur la Socket pour valider que les messages Discover et Offer DHCP sont visibles et correctement étiquetés.
4. Assurez-vous qu'il n'existe pas de configurations VLAN chevauchantes ou conflictuelles sur les commutateurs intermédiaires.

Lever des Cas vers le Support Cato

Si le problème persiste après avoir terminé les étapes de dépannage et de résolution, escaladez le cas vers le Support Cato avec des données de diagnostic suffisantes.

• Description des ID VLAN et des plages affectées.
• Détails de configuration pertinents du commutateur ou de l'hyperviseur.
• Fichiers PCAP collectés à partir des interfaces Socket.
• Plage de temps du problème et s'il est intermittent ou persistant.
• Tout changement de configuration récent lié aux VLANs, au routage ou aux règles de pare-feu.