대체 WAN 문제 해결

개요

대체 WAN (Alt. WAN)은 조직이 유연하고 복원력 있는 WAN 트래픽 관리 솔루션을 제공하여 네트워크 연결성을 개선할 수 있도록 합니다. 소켓이 같은 서브넷에 있을 경우 Layer-2, 다른 네트워크에 있을 경우 Layer-3 구성의 두 가지 유형을 지원합니다. 배포에 대한 자세한 내용은 대체 WAN 네트워크와 카토 통합을 참조하세요.

이 문서에서는 대체 WAN의 일반적인 문제를 다룹니다. WAN과 관련된 문제와 이를 해결하는 문제 해결 단계를 제공합니다.

증상

다음은 대체 WAN이 예상대로 작동하지 않을 때의 몇 가지 일반적인 증상입니다. WAN이 예상대로 작동하지 않을 때의 몇 가지 증상입니다:

  • 대체 WAN 연결이 실패합니다. WAN 연결이 설정되지 않습니다
  • 트래픽이 대체 WAN을 통해 흐르는 것으로 나타나도, CMA에서는 사이트가 연결 해제됨으로 표시됩니다. WAN
  • 대체 WAN을 사용할 때 서버에서 TLS 연결이 재설정됩니다. WAN
  • 기본 터널이 다운되었을 때 대체 WAN으로의 WAN 복구가 실패했습니다. 기본 터널이 다운되었을 때 WAN 복구에 실패했습니다
  • 대체 WAN을 통한 BGP 연결 설정이 실패합니다. WAN

가능한 원인

  • 잘못된 구성
  • 대체 WAN 사이트 간에 UDP/20049이 차단되었습니다. WAN 사이트
  • 높은 소켓 CPU 사용량

문제 해결

대체 WAN 터널이 설정되지 않습니다

구성 검토

  • 정확한 구성을 위해 대체 WAN이 활성화된 소켓 사이트로 이동합니다. 네트워크 > 사이트 > 소켓으로 이동하여 대체 WAN 인터페이스로서의 포트 상태연결됨으로 표시되는지 확인합니다. 
  • 상태가 연결 해제됨으로 표시되면 포트 연결을 확인하고 네트워크에 제대로 연결되었는지 확인합니다.
  • 인터페이스가 대체 WAN (Layer-2) 또는 대체 WAN (Layer-3) 중 올바른 옵션으로 구성되었는지 확인합니다.
  • 다음으로, IP 주소와 서브넷 설정이 정확하게 구성되었는지 확인합니다.
  • 대체 WAN 터널이 활성 상태인지 확인하려면 소켓 웹UI를 사용하여 소켓에 접근합니다. 대체 WAN 터널이 성공적으로 설정된 경우, SDWAN 터널 아래에 연결된 채널 수가 표시됩니다.

UDP 포트 20049가 차단되지 않도록 확인하세요

  • 대체 WAN 터널은 UDP/20049를 통해 설정됩니다.
  • 양 쪽 소켓의 소켓 UI에 접근하여 트래픽 캡처 탭으로 이동합니다.
  • 대체 WAN이 구성된 WAN 인터페이스를 선택하여 UDP 프로토콜을 캡처하기 시작하세요. WAN이 구성되고 UDP 프로토콜에 대한 캡처가 시작됩니다.
  • PCAP은 UDP 포트 20049에서 양방향 트래픽을 보여주어야 합니다. 양방향 흐름이 보이지 않으면, 두 사이트 간에 어떤 장치가 UDP/20049을 차단하고 있는지 확인하세요.

    참고:  대체 WAN 레이어-2 구성에서, 터널은 대체 WAN IP를 사용하여 시작됩니다. 반대로 대체 WAN Layer-3 구성에서는, 터널이 로컬 서브넷의 로컬 IP를 사용하여 시작됩니다. 아래 테이블은 레이어 2와 레이어 3 구성 간의 트래픽 흐름 차이를 강조하며, 특히 터널의 출발지 IP에 주목합니다.

    레이어 2

    레이어 3

    대체 WAN 터널은 대체 WAN IP에서 시작됩니다. 대체 WAN 인터페이스의 패킷 캡처는 터널이 IP 주소 192.168.20.2에서 시작되어 원격 사이트의 대체 WAN IP: 192.168.20.3 및 192.168.20.4와 연결을 설정한 것을 보여줍니다.

    소켓 UI에서 대체 WAN IP 주소가 192.168.20.2로 구성되어 있지만, 대체 WAN 터널은 이 IP에서 시작되지 않습니다. 대체 WAN 인터페이스의 패킷 캡처는 터널이 대신 192.168.2.1에서 시작되고 대체 WAN으로 구성된 원격 사이트의 로컬 IP: 192.168.3.1 및 192.168.4.1과 연결을 설정한 것을 보여줍니다.

     

Alt.를 통해 트래픽이 흐르더라도 사이트가 CMA에서 연결 해제됨으로 표시됩니다. WAN

  • 사이트는 카토 클라우드로의 터널이 다운되어 CMA에서 연결 해제됨으로 표시됩니다.
  • 트래픽은 Alt.를 통해 계속 흐릅니다. WAN 링크는 네트워크 운영을 보장하지만, CMA는 사이트에 접속할 수 없기 때문에 사이트를 오프라인으로 등록합니다.
  • CMA의 가시성을 복원하려면, 문제를 해결하고 카토 클라우드로의 터널 연결을 재설정하십시오. 자세한 문제 해결 단계는 소켓 사이트 터널 연결 문제 해결을 참조하십시오. 

Alt.에서 TLS 연결 실패. WAN 링크

  • 네트워크 규칙이 명시적으로 Alt. 사용하도록 구성되었습니다. WAN이 주요 전송으로 사용됩니다 
  • 소켓 UI 확인 결과 Alt.의 경우. WAN 터널이 활성 상태입니다. 
  • 그러나 Alt.를 사용할 때 서버가 TLS 애플리케이션을 지속적으로 재설정합니다. WAN.

  • 이 시나리오에서는 Alt. 위에 복잡한 네트워크 규칙이 존재하지 않도록 하는 것이 중요합니다. WAN 규칙, 네트워크에서 복잡한 규칙이 처리되는 방식 때문에. 복잡한 네트워크 규칙은 소켓이 직접 평가할 수 없는 규칙입니다. 따라서 복잡한 규칙이 Alt. 위에 나타날 때. WAN 규칙, 소켓은 적절한 네트워크 처리를 결정하기 위해 트래픽을 PoP로 보냅니다.

  • 이 프로세스는 귀환 트래픽이 Alt.를 통해 이동할 때 비대칭 흐름을 초래할 수 있습니다. WAN 링크, 결국 서버가 연결을 초기화하게 됩니다.

  • 복잡한 규칙에 대한 자세한 내용은 섹션 "복잡한 네트워크 규칙 사용" 아래에 있는 카토 TCP 가속화 및 모범 사례 설명을 참조하십시오
  • Alt.에서 TLS 연결 실패 솔루션을 보려면 를 참조하십시오. WAN 링크에서 이 문제를 해결하는 방법에 대한 정보입니다.

Alt.로 WAN 복구. 주요 터널이 다운될 때 WAN이 발생하지 않음

  • 기본적으로 Alt.에 대해 WAN 복구가 활성화되지 않습니다. WAN. 이것은 제한된 기능으로 간주되며, 이를 선택하고자 한다면 카토 대표에게 요청을 보낼 수 있습니다.
  • 자세한 내용은 Alt-WAN 링크로 연결 복구를 참조하십시오. 

BGP가 연결을 설정하지 못함

  • 고객의 BGP 라우터와 소켓 사이에서 Alt.를 통한 BGP 피어링이 구성되었습니다. WAN 링크, 그러나 BGP 연결이 설정되지 못합니다.
  •  이 경우 Alt. 소켓의 WAN 구성은 다음과 같습니다:
  • BGP 라우터 로그는 지정된 다음 홉이 유효하지 않음을 보여줍니다. 가능한 이유 중 하나는 BGP 업데이트에서 광고된 다음 홉이 BGP 피어를 통해 도달할 수 없다는 것입니다.
%BGP-5-ADJCHANGE: 이웃 192.168.200.1 연결됨
%BGP-3-NOTIFICATION: 이웃 192.168.200.1에서 수신됨 3/8 (잘못된 다음 홉 지정됨) 4 바이트 0AFD0011
  • 잠재적인 해결책은 BGP 구성에서 next-hop-self 명령을 사용하는 것입니다. 이 명령은 라우터에게 경로의 다음 홉으로 자신을 광고하도록 지시하여 광고된 경로가 수신 BGP 이웃에 대해 도달 가능한 다음 홉 IP 주소를 갖도록 보장합니다.
  • BGP 연결 실패 문제 해결을 참조하여 세부 정보 을 확인하세요.

소켓 CPU 성능 확인

  • 90% 이상의 지속적인 CPU 사용량은 소켓 성능에 부정적인 영향을 미치고 패킷 손실 및 터널이 설정되지 않거나 자주 연결이 끊길 수 있습니다.
  • To view historical CPU usage per core browse to Network Analytics and select the Hardware Tab.
  • 실시간 소켓 CPU 사용량을 보려면 소켓 웹UI로 이동하여 HW 상태 탭을 선택하십시오.
  • 지속적으로 높은 CPU가 감지되면 지원 문의하기.

발견된 문제 해결

Alt에서 TLS 연결 실패 해결책. WAN 링크

  • 간단한 네트워크 규칙이 정의된 애플리케이션과 관련된 복잡한 규칙 아래에 있으면 Off-Cloud 또는 Alt-WAN 링크를 사용할 때 두 카토 사이트 간의 TLS 연결이 실패할 수 있습니다.
  • 이는 TCP 프록시가 강제 적용되어 TCP 핸드셰이크가 카토 클라우드를 통해 진행되는 동안 데이터 패킷이 Alt를 통과하기 때문입니다. WAN, 연결 재설정으로 이어집니다. 
  • 해결책은 단순 Off-Cloud 또는 Alt-WAN 규칙을 모든 복잡한 규칙 위로 이동하거나, 대안으로 TLS 검사를 비활성화하여 TCP 프록시 강제 적용을 방지하는 것입니다.
  • 이 문제에 대한 세부 사항은 Off-Cloud 또는 Alt-WAN 링크에서의 TLS 연결 실패를 참조하세요 

BGP 연결 실패 문제 해결

  • 고객은 BGP 라우터에서 기본 경로에 대한 다음 홉이 올바르게 구성되었는지 확인해야 합니다. 고객의 라우터에서 기본 경로를 다음 옵션 중 하나를 사용하여 구성하십시오:

    1. 다음-hop-self 명령어를 사용하여 BGP 이웃의 대체 WAN IP를 다음 홉으로 설정하십시오:

      이웃 <소켓 대체 WAN IP> next-hop-self

    2. 라우트 맵을 적용하여 라우터의 대체 WAN 인터페이스 IP를 다음 홉으로 명시적으로 설정하십시오:

      route-map <맵 이름> permit 10
          set ip next-hop <라우터 대체 WAN 인터페이스 IP>.

제한 사항/주의

  • Alt또는. WAN이 HA 사이트에 구성된 경우, Alt. WAN 터널은 마스터 소켓과만 설정됩니다. 따라서 일반 조건에서는 오직 마스터 소켓이 Alt를 설정합니다. WAN 원격 사이트와의 터널. 

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개