代替WANトラブルシューティング

概要

アルタナティブWAN (Alt。 WAN) により、柔軟で回復力のあるWANトラフィック管理ソリューションを提供することで、組織はネットワーク接続性を向上させることができます。 同一サブネット上のソケットにはレイヤー2、異なるネットワーク上のソケットにはレイヤー3という2種類の構成をサポートしています。 展開の詳細については、代替WANネットワークとの統合を参照してください。

この記事では、Alt.に関する一般的な問題を取り上げています。 WAN およびそれらを解決するためのトラブルシューティング手順を提供します。

症状

こちらは、アルタナティブWANが期待通りに機能しない場合の一般的な症状です。 WANが期待通りに機能しない場合:

  • アルタナティブWANの接続に失敗します。 WAN接続が確立されない
  • CMAは、トラフィックがアルタナティブWANを通じて流れているにもかかわらず、サイトを切断されたと表示。 WAN
  • サーバーによって、アルタナティブWAN使用時にTLS接続がリセットされる。 WAN
  • プライマリトンネルがダウンしたときに、Alt.WANへのWANリカバリに失敗しました。 プライマリトンネルがダウンしたときにWANが失敗しました
  • Alt.を経由したBGP接続の確立に失敗しました。 WAN

考えられる原因

  • 誤った構成
  • アルタナティブWAN間でUDP/20049がブロックされた。 WANサイト間でUDP/20049がブロックされています
  • 高いCPU使用率

問題のトラブルシューティング

代替WANトンネルが確立しない

構成を見直す

  • 正しい構成を確認するには、代替WANが有効になっているソケットサイトに移動します。 ネットワーク > サイト > ソケット に移動し、代替WANインターフェイスの ポートステータスアップ と表示されることを確認してください。 
  • ステータスがダウンと表示される場合は、ポート接続を確認してネットワークに正しく接続されていることを確認してください。
  • インターフェースが正しいオプションで構成されていることを確認してください—代替WAN(レイヤー2) または 代替WAN(レイヤー3)のいずれか。
  • 次に、IPアドレスとサブネット設定が正確に構成されていることを確認してください。
  • 代替WANトンネルがアクティブであることを確認するには、Socket WebUIを使用してソケットにアクセスします。 代替WANトンネルが正常に確立された場合、SDWANトンネルの下に接続済みチャネルの数が表示されます。

UDPポート20049がブロックされていないことを確認します

  • 代替WANトンネルはUDP/20049を介して確立されます。
  • 両方のソケットのソケットUIにアクセスし、トラフィックキャプチャタブに移動します。
  • 代替WANインターフェースを選択します。 WANは構成され、UDPプロトコルのキャプチャを開始します。
  • PCAPはUDPポート20049で双方向トラフィックを表示する必要があります。 双方向フローが表示されない場合、2つのサイト間のデバイスがUDP/20049をブロックしているかどうかを確認します。

    注意:  代替WANレイヤ2構成では、トンネルは代替WAN IPを使用して開始されます。 対照的に、代替WANレイヤ3構成では、トンネルはネイティブサブネットのローカルIPを使用して開始されます。 以下のテーブルは、レイヤ2とレイヤ3の構成間でのトラフィックフローの違いを、特にトンネルの送信元IPに焦点を当てて強調しています。

    レイヤ2

    レイヤ3

    代替WANトンネルは代替WAN IPから発信されます。 代替WANインターフェースからのパケットキャプチャでは、トンネルがIPアドレス192.168.20.2から開始され、リモートサイトの代替WAN IP:192.168.20.3および192.168.20.4との接続が確立されたことが示されています。

    代替WAN IPアドレスがソケットUIで192.168.20.2として設定されているにもかかわらず、代替WANトンネルはこのIPから発信されません。 代替WANインターフェースからのパケットキャプチャは、トンネルが192.168.2.1から実際に開始し、代替WAN用に構成されたリモートサイトのネイティブローカルIP:192.168.3.1および192.168.4.1との接続を確立することを示しています。

     

トラフィックがAlt.を通じて流れているにもかかわらず、CMAでサイトは切断として表示されます。 WAN

  • サイトはCMAで切断として表示されます。なぜなら、Catoクラウドへのトンネルがダウンしているからです。
  • トラフィックはAlt.を通じて流れ続けます。 WANリンクはネットワーク運用を保証しますが、CMAはサイトをオフラインとして登録します。なぜなら、それに到達できないからです。
  • CMAでの可視性を回復するには、トラブルシューティングを行い、Catoクラウドへのトンネル接続を再確立します。 詳細なトラブルシューティング手順については、ソケット-サイト-トンネル-接続-トラブルシューティングを参照してください。 

Alt.でのTLS接続失敗。 WANリンク

  • ネットワークルールが明示的にAlt.を使用するように設定されました。 プライマリトランスポートとしてのWAN 
  • Socket UIの確認によりAlt。 WANトンネルが接続中です。 
  • しかし、サーバーはAlt.を通じて通信するとき、TLSアプリケーションを絶えずリセットする。 WAN。

  • このシナリオでは、Alt.の上に複雑なネットワークルールが存在しないことを確認することが重要です。 WANルールで、ネットワーク内で複雑なルールがどのように処理されるかのためです。 複雑なネットワークルールとは、ソケットが直接評価できないルールのことです。 したがって、Altの上に複雑なルールが現れる場合、。 WANルールのため、ソケットはトラフィックをPoPに送信して適切なネットワーク処理を決定します。

  • このプロセスは、戻りのトラフィックがAlt.を通過する際に非対称フローを引き起こす可能性があります。 WANリンクがあり、最終的にサーバーが接続をリセットする原因となります。

  • 複雑なルールの詳細については、Cato TCP高速化とベストプラクティスの説明セクション内の"複雑なネットワークルールの取り扱い"を参照してください
  • Alt.でのTLS接続失敗の解決方法についてはを参照してください。 WANリンクこの問題を解決する方法について。

AltへのWANリカバリー。 プライマリトンネルがダウンしたときにWANが発生しなかった

  • デフォルトでは、Alt.のためのWANリカバリーは有効化されていません。 WAN。 これは制限された機能と見なされ、選択したい場合は、Cato代表者にリクエストを送信できます
  • Alt-WANリンクとの接続復旧の詳細をご覧ください。 

BGPが接続の確立に失敗する

  • 顧客のBGPルーターとソケット間でAlt.を介したBGPピアリングが設定されました。 WANリンクですが、BGP接続が確立されません。
  •  この場合、Alt。 ソケット上のWAN設定は以下の通りです:
  • BGPルーターのログには、指定されたネクストホップが無効であることが示されています。 考えられる理由のひとつは、BGPアップデートで宣伝されたネクストホップがBGPピア経由で到達できないことです。
%BGP-5-ADJCHANGE: neighbor 192.168.200.1 アップ
%BGP-3-NOTIFICATION: ネイバー 192.168.200.1 から受信 3/8 (無効な次のホップが指定) 4 バイト 0AFD0011
  • 潜在的な解決策は、BGP設定でnext-hop-selfコマンドを使用することです。 このコマンドはルーターに、ルートのネクストホップとして自らをアドバタイズするよう指示し、受信するBGPネイバーへのアドバタイズされたルートが到達可能な次のホップのIPアドレスを持つことを保証します。
  • 詳細については、BGP接続確立失敗の解決策を参照してください。

ソケットパフォーマンスの確認

  • 90%以上の継続的なCPU利用率は、ソケットのパフォーマンスに影響を与え、パケットロスやトンネルの未確立または頻繁な切断を引き起こす可能性があります。
  • To view historical CPU usage per core browse to Network Analytics and select the Hardware Tab.
  • リアルタイムのソケットCPU使用率を確認するには、ソケットWebUIを閲覧し、HWステータス タブを選択してください。
  • 高いCPUが継続的に検出された場合はサポートに連絡してください。

発見された問題の解決

Alt.のTLS接続失敗の解決方法。 WAN リンク

  • 単純なネットワークルールが定義済みアプリケーションを含む複雑なルールの下に配置されると、オフクラウドまたはAlt.-WANリンクを使用しているときに、2つのCatoサイト間のTLS接続が失敗することがあります。
  • これは、TCPプロキシが施行され、TCPハンドシェイクがCatoクラウドを経由し、データパケットがAlt.を通過するために発生します。 WANにより接続がリセットされることがあります。 
  • 解決策は、単純なオフクラウドまたはAlt-WANルールを複雑なルールの上に配置するか、またはTCPプロキシ施行を避けるためにTLSインスペクションを無効化することです。
  • この問題の詳細については、オフクラウドまたはAlt-WANリンクでのTLS接続失敗を参照してください。 

BGP接続確立失敗の解決策

  • 顧客はデフォルトルートの次のホップがBGPルーターで正しく設定されていることを確認する必要があります。 顧客のルーターでは、次のオプションのいずれかを使用してデフォルトルートを設定します:

    1. BGPネイバーの代替WAN IPを次のホップとして設定するために、next-hop-selfコマンドを使用してください:

      neighbor <Socket Alternate WAN IP> next-hop-self

    2. ルーターの代替WANインターフェースIPを次のホップとして明示的に設定するために、ルートマップを適用してください:

      route-map <map-name> permit 10
         set ip next-hop <Router Alternate WAN Interface IP>

制限事項/メモ

  • Alt.の場合。 WANが冗長化サイトに設定されている場合、Alt。 WANトンネルはマスターソケットでのみ確立されます。 したがって、通常の条件下では、マスターソケットのみがAltを確立します。 リモートサイトとのWANトンネル。 

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント