XOps 네트워크 플레이북 - LAN 모니터링 호스트 접근 불가

이 플레이북은 LAN 모니터링이 구성되어 있고 Cato 클라우드가 사이트 뒤의 호스트에 접근할 수 없을 때 문제를 해결하는 단계를 설명합니다.

개요

LAN 모니터링 기능을 사용하면 IP 주소로 사이트 뒤의 호스트를 정의하고 호스트의 고장 임계값(연속 실패한 ICMP 테스트의 최대 수)를 설정할 수 있습니다. Cato 클라우드의 PoP가 호스트에 ICMP 테스트를 전송하며, 지정된 수의 ICMP 테스트에 호스트가 응답하지 않으면 다운된 것으로 간주되고 이벤트가 자동으로 생성됩니다. 호스트에 접근할 수 없을 때 이메일 알림을 보내도록 선택할 수도 있습니다.

호스트와 PoP 간의 연결이 복원되면, 호스트에 접근할 수 있음을 나타내는 새 이벤트가 생성됩니다.

자세한 내용은 사이트용 LAN 모니터링 작업하기를 참조하십시오.

 

다음은 모니터링 PoP에 접근할 수 없는 모니터링 호스트를 Cato 관리 애플리케이션 관리자가 확인할 수 있는 다양한 방법입니다:

  • 스토리 작업대 페이지로 이동하여 네트워크 XDR 프리셋을 사용하여 LAN 모니터링 호스트 접근 불가 스토리를 찾으십시오.

    lanmonpic.png

    이 스토리는 현재 사이트 상태, 사고 타임라인 등에 대한 정보를 제공합니다.

  • 동작 호스트 접근 불가와 함께 LAN 모니터링 이벤트

    • LAN 호스트 접근 불가 프리셋 필터를 사용하고 필요에 따라 시간 범위를 조정하십시오.

  • LAN 모니터링 이메일 알림

    • LAN 모니터링 규칙을 위한 이메일 알림이 활성화되면, 이메일은 메일링 리스트로 전송됩니다(비관리자를 포함할 수 있음).

 

사이트 운영 스토리에 대응할 때는 먼저 문제가 지속되고 있음을 확인한 후 문제를 해결하고 마지막으로 문제가 해결되었는지 확인하는 것이 중요합니다.

 

단계 1 - 호스트 접근 불가 확인

이 섹션에서는 호스트가 접근 불가한 이유를 확인하는 데 사용되는 Cato 도구들을 논의합니다.

LAN 모니터링 이벤트 프리셋 사용

LAN 모니터링 프리셋 이벤트 필터를 사용하면 해당 호스트와 관련된 마지막 이벤트를 확인할 수 있습니다. 이 이벤트 후 연결이 복원되었다는 이벤트가 따르지 않으면 호스트가 여전히 접근 불가함을 시사합니다.

 

현재 상태에 대한 스토리 보기

호스트 지속적 접근 불가를 판단하기 위해 스토리 자체도 사용할 수 있습니다. 스토리의 현재 상태는 대시보드에 나열됩니다. 스토리 상태가 '열림'으로 표시되면 이 이벤트가 여전히 진행 중임을 나타냅니다.

 

단계 2 - 호스트 연결 문제 해결

이 섹션은 이러한 종류의 문제에 구조화된 문제 해결 접근 방식을 따라가는 데 사용될 수 있는 Cato 내부 도구를 논의합니다. 이 단계를 일반적으로 순서대로 따라야 하지만 이러한 검사 결과에 따라 다음 단계가 결정될 수 있습니다.

  

감사 추적에서 변경 사항 검토

Cato 관리 애플리케이션의 감사 추적 페이지에서 변경 사항을 검토하여 이 문제와 관련된 구성이 있는지 확인합니다. 호스트 상태 변경에 직접적으로 작용한 구성이 있다면 변경을 취소하는 것을 고려하십시오.

 

알려진 호스트

 CMA의 알려진 호스트 페이지(네트워크 > 사이트 > {site name} > 사이트 모니터링 > 알려진 호스트)는 사이트 내에서 관찰된 개인 엔드포인트에 대한 정보를 수집하는 데 사용할 수 있습니다. 이 정보에는 그 호스트로부터 소스된 마지막 패킷이 언제 보였는지가 포함됩니다.

일반적으로 LAN 모니터링의 일환으로 ICMP 패킷에 응답하는 모니터링 된 호스트는 항상 이 타이머를 새로 고칩니다. 위와 같은 예는 호스트의 접근 가능성 상실 타이밍을 시사합니다. 이는 추가적인 컨텍스트를 제공할 수 있습니다. 이 시간 창이 호스트 연결에 영향을 미쳤을 수 있는 예정된 유지 보수 창문이나 전원 이벤트 또는 로컬 환경에서의 네트워크 변경과 일치하는지 확인하십시오.

 

소켓 웹UI 도구 사용

LAN 인터페이스에서 호스트에 핑을 보내기 위해 소켓 웹UI를 사용할 수 있습니다. 자세한 내용은 소켓 웹UI 도구 사용하기를 참조하십시오.

  • 소켓 웹UI에서 다음 설정을 사용하여 호스트에 핑을 보냅니다:

    • 경로를 통해 - LAN

    • 호스트 이름/IP - 접근할 수 없는 호스트의 IP 주소

    핑에 대한 응답이 없으면 문제는 라우팅과 관련되었을 수 있고, 호스트가 일반적으로 접근 불가하거나 전원이 꺼지거나 핑에 응답하도록 구성되지 않은 경우일 수 있습니다.

    pingfail.png

    • 소켓 웹UI 도구를 사용하여 문제의 호스트에 핑을 보내는 동안 LAN 인터페이스의 PCAP을 진행합니다. 소켓과 호스트 간의 양방향 핑이 있는지 확인하십시오.
      arpfailcap.png위의 예제는 호스트의 물리적 주소에 대한 ARP 요청 시 소켓에서 응답이 없음을 보여줍니다. 이는 호스트가 소켓 LAN과 같은 로컬 네트워크에 있음을 의미하지만, 호스트가 2계층에서 응답하지 않음을 나타냅니다. 이 결과에 대해 호스트가 전원이 켜져 있고 ARP 요청에 응답할 준비가 되어 있는지 확인하십시오.

      icmpfailcap.png위의 예는 소켓과 PoP의 원래 LAN 모니터링 구성된 ICMP 요청이 모니터링 대상 호스트로 전송되었음을 보여줍니다. 10.254.254.1의 소스 주소와 PoP가 보낸 ICMP LAN 모니터링 요청 간의 시간 델타(10초)를 유의하십시오. 이 ICMP 요청이 전송된다는 것은 다음 홉 또는 최종 호스트의 MAC 주소가 이러한 요청을 전송하는 데 사용되고 있음을 나타냅니다. 이 MAC 주소가 모니터링 대상 호스트가 3계층 경계 뒤에 존재하거나 소켓의 LAN 네트워크에 로컬로 존재하는지를 확인하십시오.

    • 모니터링 대상 호스트가 3계층 경계 뒤에 있다면, 그 홉에서 ICMP 요청이 어떻게 처리되는지를 조사하기 시작하십시오. 호스트의 ICMP 응답이 3계층 경계 장치에 도달하면, 이는 아마도 해당 3계층 경계의 라우팅 문제일 가능성이 높습니다.
    • 모니터링 대상 호스트가 소켓의 LAN 네트워크 내에 있는 경우, 장치가 꺼져 있거나 ICMP에 응답하도록 구성되거나 준비되지 않은 경우일 가능성이 높습니다.

     

 

단계 3 - 호스트에 접근 가능 확인

호스트의 문제를 해결한 후, 호스트에 접근 가능하고 Cato 클라우드와 연결성이 있는지 확인합니다.

알려진 호스트 페이지에서 호스트 보기

알려진 호스트 페이지에서 호스트를 표시하고 최종 호스트 활동이 현재 시간을 보여주는지 확인합니다.

소켓 웹UI에서 호스트에 핑을 보냄

소켓 웹UI를 사용하여 LAN 인터페이스를 통해 호스트에 핑을 보내고 호스트가 사이트에 연결되어 있는지 확인합니다. 

호스트 접근 가능 이벤트 검토

호스트와 Cato 클라우드 간의 연결이 복원된 후, 호스트 접근 가능 이벤트가 생성됩니다. 이벤트를 표시하려면 동작호스트 접근 가능임을 보여주는 이벤트 필터를 수동으로 구성할 수 있습니다.

 

 Cato 지원에 케이스 제기하기

이 플레이북을 따른 후에도 문제를 해결하지 못한 경우에는 Cato 지원팀에 티켓을 제출하는 것이 좋습니다. 이때 빠른 해결을 위해 위 단계를 수행하여 얻은 모든 통찰을 제공하는 것이 중요합니다.

지원 티켓 제출을 참조하십시오

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개