XOps 네트워크 플레이북 - BGP 세션 연결 해제됨

이 플레이북은 사이트에 대한 BGP 세션이 연결 해제될 때 문제를 해결하는 단계를 설명합니다.

개요

BGP 세션이 연결 해제되면 두 BGP 라우터 간의 연결이 종료되며 라우팅 정보 교환에 지장을 줄 수 있습니다. 연결 해제된 세션의 영향력은 네트워크의 중복성 및 폴백 메커니즘에 따라 달라질 수 있습니다. 대체 경로가 있는 시나리오에서는 영향은 미미할 수 있습니다. 그러나 내구성이 낮은 설정에서는 연결 해제가 일시적인 라우팅 문제와 서비스 중단을 초래할 수 있습니다.

BGP에 대한 자세한 내용은 Using BGP in the Cato Cloud를 참조하십시오.

사이트에 대해 BGP 세션이 연결 해제된 것을 발견하는 방법은 여러 가지가 있습니다.

스토리 작업대 페이지로 이동하여 네트워크 XDR 사전 설정을 사용하여 BGP 세션 연결 해제됨 스토리를 찾습니다.

스토리는 사건 타임라인, 현재 소켓 상태 등에 대한 정보를 제공합니다.
연결 해제됨 동작과 함께 BGP 세션 하위 유형의 라우팅 이벤트
- BGP 피어 연결 해제됨 사전 설정 필터를 사용하고 시간이 필요하면 조정합니다.

BGP 이메일 알림
- BGP 피어에 대한 이메일 알림이 활성화되면 이메일이 메일링 리스트로 전송됩니다(비관리자가 포함될 수 있음)

사이트 운영 스토리에 대응할 때는 문제가 지속되고 있는지 먼저 확인한 후 문제를 해결하고 마지막으로 문제가 해결되었는지 확인하는 것이 중요합니다.

1단계 - BGP 세션이 연결 해제된 상태 확인

이 섹션에서는 사이트의 BGP 세션이 연결 해제된 것을 확인할 수 있는 다양한 Cato 도구와 근본 원인을 논의합니다.

BGP 상태 표시

Cato 관리 애플리케이션을 사용하여 BGP 세션의 실시간 상태를 표시합니다. 사이트의 BGP 페이지에서(네트워크 > 사이트 > {사이트 이름} > 사이트 설정 > BGP), BGP 상태 표시를 클릭합니다.

다음은 연결 해제된 BGP 세션 상태의 예입니다.

BGP 경로 표시

Cato 관리 애플리케이션을 사용하여 계정 라우팅 테이블(모니터링 > 라우팅 테이블)을 봅니다. 문제가 있는 사이트 이름으로 필터링할 수 있습니다.

아래 예는 경로 테이블에 DYNAMIC 경로가 포함되어 있지 않음을 보여주며, 이는 BGP 피어로부터 경로가 학습되지 않음을 의미합니다.

클라우드 인터커넥트 사이트에 대한 BGP 연결 해제 상태 확인

클라우드 인터커넥트 사이트의 경우 클라우드 환경 하위 네트워크와 PoP 간의 연결성에 BGP가 사용됩니다.

사이트의 클라우드 인터커넥트 페이지에서 (네트워크 > 사이트 > {사이트 이름} > 사이트 설정 > 클라우드 인터커넥트), 연결성 테스트를 클릭하여 하위 네트워크의 BGP 상태를 표시합니다.
사이트 페이지에서 사이트 상태를 검토합니다.

2단계 - BGP 연결 해제 상태 문제 해결

이 섹션에서는 이와 같은 사건을 구조화된 방식으로 문제 해결할 수 있는 Cato 내부 도구를 논의합니다. 이 단계는 일반적으로 순서대로 따라야 하지만, 이러한 검사의 결과는 다음 단계가 무엇인지 결정할 수 있습니다.

BGP 세션 연결 해제 이유 명확화

Cato 관리 애플리케이션의 이벤트 페이지(홈 > 이벤트)를 사용하여 BGP 세션이 연결 해제된 이유를 명확히 할 수 있습니다.

사전 설정 BGP 피어 연결 해제됨을 사용하여 선택한 시간 범위 내의 모든 연결 해제된 BGP 세션 기록을 볼 수 있습니다. 이러한 이벤트는 연결 해제 이유를 명확히 할 수 있는 관련 BGP 연결 해제 오류 코드도 포함하고 있습니다.

이 사건에 앞서 진행된 변경 사항이 없는지 확인

Cato 관리 애플리케이션의 감사 추적 페이지에서 변경 사항을 검토하고 이 문제와 관련된 설정이 있는지 확인합니다. 설정 변경이 이 사건에 직접 영향을 미쳤다면, 설정을 되돌리고 무엇이 설정되어야 하는지 확인하는 것을 고려해 보세요.

BGP 구성 확인

Cato 관리 애플리케이션을 사용하여 BGP 세션의 실시간 상태를 표시합니다. 사이트의 BGP 페이지에서(네트워크 > 사이트 > {사이트 이름} > 사이트 설정 > BGP), BGP 상태 표시, 그리고 원시 상태를 클릭합니다. 이 상세한 상태에는 구성 매개변수도 나열됩니다. 이것들은 올바른 구성이 적용되고 있는지 확인하기 위해 점검해야 합니다.

구성 소프트 리셋

대기 BGP 피어가 연결 해제된 것을 확인하면, BGP 피어 중 하나를 변경하고 저장을 클릭할 수 있습니다. 이로 인해 문제가 해결될 수 있는 새로운 구성이 푸시됩니다. 원래 설정을 복원하고 원래 구성을 저장합니다.

BGP 프로토콜 트래픽이 피어 간에 양방향인지 확인

BGP 세션이 설정되고 작동하려면 BGP TCP 포트 179에서 양방향 트래픽이 있어야 합니다. Cato 패킷 캡처를 사용하여 이러한 트래픽의 양방향성을 조사하고 확인할 수 있습니다.

소켓 사이트의 경우 소켓 LAN 인터페이스(BGP 트래픽에 사용되는 포트)에서 패킷 캡처(PCAP)를 수행합니다. 자세한 내용은 소켓에서 패킷 캡처 방법을 참조하세요.

PCAP에서 포트 179로 필터링합니다. 트래픽이 양방향인 경우 TCP 3웨이 핸드셰이크가 성공적으로 완료되는지 확인합니다.
핸드셰이크가 성공적으로 완료되지만 세션이 아직 설정되지 않은 경우, 피어 중 하나에서 오류가 보고되었을 가능성이 큽니다. 이러한 오류는 패킷 캡처에서 볼 수 있어야 합니다. 보고된 오류는 BGP 표준 오류여야 하며, 따라서 BGP 오류 문서를 확인하여 추가로 검토할 수 있습니다.
트래픽이 한쪽 방향으로만 존재하며 소켓에서 시작되지만 피어에서 반환되지 않는 경우, 다음 섹션으로 넘어가 3계층 도달 가능성을 조사합니다.

IPSEC 사이트에 대해서는 IPsec 사이트 연결 문제 해결 플레이북에 강조된 패킷 캡처 단계를 참조하십시오.

피어에 대한 3계층 도달 가능성 확인

사이트에 대한 알려진 호스트 페이지를 사용하여 호스트에 대한 최근 활동 시간을 검토합니다. 이것은 연결 문제와 BGP 세션의 타이밍에 관한 추가 정보를 제공합니다.

BGP 피어의 도달 가능성을 테스트하기 위한 핑

소켓 사이트의 경우 소켓 WebUI를 사용하여 LAN 인터페이스에서 BGP 피어로 핑을 보낼 수 있으며, BGP 피어가 ICMP 트래픽을 허용하는지 확인합니다. 자세한 내용은 소켓 웹UI 도구 사용을 참조하십시오.

소켓 WebUI에서 다음 설정으로 호스트를 핑합니다.
- 경로 - LAN
- 호스트명/IP - BGP 피어의 IP 주소
- 실패 - BGP 라우터에 도달할 수 없으며, 문제는 Cato 클라우드와 관련이 없습니다.
- 성공 - PoP와 BGP 라우터 간의 문제입니다.
  
  다음은 핑 결과를 기반으로 한 예제 결론입니다.

BGP over IPSEC 사이트에서는 패킷 캡처를 얻기 위해 IPsec 연결 문제 해결에 설명된 절차를 따를 수 있습니다. 핑의 유효한 소스는 ICMP를 통해 BGP 피어의 주소에 도달할 수 있는 WAN 전역의 어떤 호스트라도 가능합니다.

3단계 - BGP 연결 해제 상태가 해결됨을 확인

BGP 세션 설정 이벤트 표시

BGP 피어가 사이트에 연결된 후, 동작 설정됨으로 BGP 세션 이벤트가 생성됩니다. 이벤트 페이지에서 동작 IS 설정됨으로 이벤트 필터를 수동으로 구성하여 이벤트를 표시할 수 있습니다.

BGP 상태 테스트

BGP 세션의 실시간 상태는 라우팅 상태와 정보를 보여줍니다. 사이트의 BGP 페이지에서(네트워크 > 사이트 > {사이트 이름} > 사이트 설정 > BGP), BGP 상태 표시를 클릭합니다.

모든 접두사가 수신되었는지 확인