XOpsネットワークプレイブック - 代替WANトラブルシューティング

概要

代替WAN (Alt. WAN)は、柔軟で耐障害性のあるWANのトラフィック管理ソリューションを提供することで、ネットワーク接続性を向上させます。 同一サブネットのソケット用のレイヤー2と異なるネットワーク上のソケット用のレイヤー3の2種類の構成をサポートします。 展開詳細についてはIntegrating-Cato-with-Alternative-WAN-Networkを参照してください。

この記事では、Alt. WANの一般的な問題について説明し、それらを解決するためのトラブルシューティング手順を提供します。

症状

Alt. WANが期待通りに動作しない場合の一般的な症状は次のとおりです。

  • Alt. WAN接続が確立されない
  • CMAがAlt. WANを通じてトラフィックが流れているにもかかわらずサイトが切断された状態を示しています
  • Alt. WANを使用する際にサーバーによってTLS接続がリセットされる
  • Alt. WANへの復旧は、主要トンネルが落ちた際に失敗しました
  • Alt. WANを経由してBGP接続が確立されない

考えられる原因

  • 設定ミス
  • UDP/20049がAlt. WANサイト間でブロックされています
  • 高ソケットCPU

問題のトラブルシューティング

代替WANトンネルが確立されない

設定を見直す

  • 正しい設定を確保するために、代替WANが有効化されているソケットサイトに移動します。 ネットワーク > サイト > ソケットに移動し、代替WANインターフェイスのポートステータスUPと表示されていることを確認します。 
  • ステータスがダウンと表示される場合、ネットワークに正しく接続されていることを確認するためにポート接続をチェックしてください。
  • インターフェイスが代替WAN (レイヤー2)または代替WAN (レイヤー3)の正しいオプションで構成されていることを確認してください。
  • 次に、IPアドレスとサブネット設定が正確に構成されていることを確認してください。
  • 代替WANトンネルがアクティブであることを確認するために、このソケットをソケットWebUIを使用してアクセスします。 代替WANトンネルが正常に確立されている場合、SDWANトンネルの下に接続されたチャネルの数が表示されます。
  • .

UDPポート20049がブロックされていないことを確認する

  • 代替WANトンネルはUDP/20049を介して確立されます。
  • 両方のソケットのSocketUIにアクセスして、トラフィックキャプチャタブに移動します。
  • Alt. WANが構成されているWANインターフェイスを選択し、UDPプロトコル用のキャプチャを開始します。
  • PCAPは、UDPポート20049で双方向トラフィックを示す必要があります。 双方向フローが表示されない場合は、2サイト間のデバイスがUDP/20049をブロックしているかどうかを確認してください。

    注意: 代替WANレイヤー2構成では、トンネルは代替WAN IPを使用して開始されます。 対照的に、代替WANレイヤー3構成では、トンネルはネイティブサブネットのローカルIPを使用して開始されます。 下表は、レイヤー2とレイヤー3の構成間でのトラフィックフローの違いをハイライトし、特にトンネルの送信元IPに焦点を当てています。

    レイヤー2

    レイヤー3

    代替WANトンネルは、代替WAN IPから開始されます。 代替WANインターフェースからのパケットキャプチャは、トンネルがIPアドレス192.168.20.2から開始され、リモートサイトの代替WAN IP: 192.168.20.3および192.168.20.4と接続することを示します。

    ソケットUIで代替WAN IPアドレスを192.168.20.2として構成されていますが、代替WANトンネルはこのIPから開始されません。 代替WANインターフェースからのパケットキャプチャには、代わってトンネルが192.168.2.1から開始され、代替WAN用に構成されたリモートサイトのネイティブローカルIP: 192.168.3.1および192.168.4.1と接続することが示されています。

     

Alt. WANを介してトラフィックが流れているにもかかわらず、CMAでサイトが切断されている

  • サイトがCMAでは切断状態に見えるのは、Catoクラウドへのトンネルがダウンしているためです。
  • トラフィックはAlt. WANリンクを通じてネットワークの運営を保証しますが、CMAはサイトオフラインを登録し、このサイトに到達できないためです。
  • CMAの可視性を回復するために、Catoクラウドへのトンネル接続をトラブルシューティングして再確立してください。 詳細なトラブルシューティング手順については、Socket-Site-Tunnel-Connectivity-Troubleshootingを参照してください。 

Alt. WANリンクでTLS接続が失敗した

  • ネットワークルールが明示的にAlt. WANを主要なトランスポートとして使用するように設定されました 
  • ソケットUIを確認するとAlt. WANトンネルが立ち上がっています。 
  • しかし、サーバーはAlt. WANを使用してトラバースするとTLSアプリケーションを絶えずリセットします。

  • このシナリオでは、Alt. ネットワーク内の複雑なルールがどのように処理されるかにより、WANルールの上に複雑なネットワークルールが存在しないことを確認することが重要です。 複雑なネットワークルールは、ソケットが直接評価できないものです。 したがって、Alt. WANルールの上に複雑なルールが現れると、ソケットはトラフィックをPoPに送り、適切なネットワーク処理を判断します。

  • このプロセスにより、Alt. WANリンクを介してリターントラフィックがトラバースすると、非対称なフローを引き起こし、最終的にサーバーが接続をリセットします。

  • 複雑なルールについては、Cato-TCP-Acceleration-and-Best-Practicesの説明、セクション「複雑なネットワークルールの扱い」を参照してください
  • Alt. WANリンクでTLS接続が失敗した場合の解決策についてはこちらを参照ください。

Alt. WANへの復旧が、主要トンネルがダウンした際に発生しなかった

  • デフォルトでは、Alt. WANの復旧は有効化されていません。 これは限定された機能と見なされ、これを利用したい場合は、あなたのCato担当者にリクエストを送信することができます
  • 詳細については、Recovering-Connectivity-with-Alt-WAN-Linksを参照してください。 

BGPが接続を確立できない

  • 顧客のBGPルーターとソケットをAlt. WANリンク上でピアリングが構成されていますが、BGP接続が確立できません。
  •  この場合、Alt. ソケット上でのWAN構成は次のとおりです。
  • BGPルーターのログには、次に指定されたホップが無効であることが示されています。 一つの可能性は、BGPアップデートでアドバタイズされた次のホップが、BGPピアを介して到達不能であることです。
%BGP-5-ADJCHANGE: neighbor 192.168.200.1 Up
%BGP-3-NOTIFICATION: received from neighbor 192.168.200.1 3/8 (invalid next hop specified) 4 bytes 0AFD0011
  • 潜在的な解決策は、BGP構成でnext-hop-selfコマンドを使用することです。 このコマンドは、ルーターが自身をルートの次のホップとしてアドバタイズするよう指示し、広告されたルートが受信BGPネイバーにとって到達可能な次のホップIPアドレスを持つことを保証します。
  • BGP接続確立失敗の解決策についてはこちらを参照してください。

ソケットCPUパフォーマンスを確認する

  • 90%を超える継続的なCPU使用率は、ソケットのパフォーマンスに悪影響を与え、パケット損失とトンネルが確立されない、または頻繁な切断を引き起こす可能性があります。
  • コアごとの過去のCPU使用率を見るにはネットワークアナリティクスにブラウズしてハードウェアタブを選択します。
  • リアルタイムのソケットCPU使用率を見るには、ソケットWebUIにブラウズしてHWステータスタブを選択します。
  • 継続的な高CPUが検出された場合、サポートに連絡してください。

発見された問題の解決

Alt. WANリンクでのTLS接続失敗の解決策

  • 簡単なネットワークルールが指定されたアプリケーションを含む複雑なルールの下に配置されると、クラウド外またはAlt-WANリンクを使用する場合に、Catoサイト間のTLS接続が失敗する可能性があります。
  • これは、TCPプロキシが強制され、TCPハンドシェイクがCatoクラウドを通過する一方、データパケットがAlt. WANをトラバースするため、接続のリセットにつながります。 
  • 解決策は、複雑なルールの上に簡単なクラウド外またはAlt-WANルールを移動するか、代わりにTLS検査を無効にしてTCPプロキシの強制を避けることです。
  • この問題の詳細については、TLS-Connection-Failure-Over-Off-Cloud-or-Alt-WAN-Linksを参照してください 

BGP接続確立失敗の解決策

  • 顧客はBGPルーターでデフォルトルートの次のホップが正しく構成されていることを確認する必要があります。 顧客のルーターで、次のいずれかのオプションを使用してデフォルトルートを構成します。

    1. next-hop-selfコマンドを使用して、次のホップをBGPネイバーの代替WAN IPとして設定します。

      neighbor <Socket Alternate WAN IP> next-hop-self

    2. ルーターの代替WANインターフェイスIPに次のホップを明示的に設定するようルートマップを適用します。

      route-map <map-name> permit 10
         set ip next-hop <Router Alternate WAN Interface IP>

制限/ノート

  • Alt. WANがHAサイトで構成されると、Alt. WANトンネルはマスターソケットのみで確立されます。 したがって、通常の条件下では、マスターソケットのみがAlt. WANトンネルをリモートサイトと確立します。 

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント