XOps 네트워크 플레이북 - 대체 WAN 문제 해결

개요

대체 WAN (Alt. WAN)는 유연하고 회복력 있는 WAN 트래픽 관리 솔루션을 제공하여 조직이 네트워크 연결을 개선할 수 있게 해줍니다. 동일 서브넷에 있는 소켓용 레이어-2와 다른 네트워크에 있는 소켓용 레이어-3으로 두 가지 유형의 구성을 지원합니다. 배포에 대한 자세한 내용은 대체 WAN 네트워크와 Cato 통합하기를 참조하십시오.

이 문서에서는 Alt. WAN의 일반적인 문제와 이를 해결하기 위한 문제 해결 단계를 다룹니다.

증상

Alt. WAN이 예상대로 작동하지 않을 때 나타나는 일반적인 증상은 다음과 같습니다:

  • Alt. WAN 연결을 설정하지 못했습니다.
  • CMA는 Alt.를 통해 트래픽이 흐름에도 불구하고 사이트가 연결 해제됨으로 표시합니다. WAN
  • Alt. 사용 시 서버에 의해 TLS 연결이 재설정되었습니다. WAN
  • 대체 WAN 복구. 기본 터널이 다운될 때 WAN이 실패했습니다.
  • Alt.를 통해 BGP 연결을 설정하지 못했습니다. WAN

가능한 원인

  • 잘못된 구성
  • Alt. 사이에 UDP/20049가 차단되었습니다. WAN 사이트
  • 높은 소켓 CPU

문제 해결

대체 WAN 터널이 설정되지 않음

구성 검토

  • 올바른 구성을 보장하기 위해 대체 WAN이 활성화된 소켓 사이트로 이동합니다. 네트워크 > 사이트 > 소켓으로 이동하여 대체 WAN 인터페이스의 포트 상태연결 됨으로 표시되는지 확인합니다. 
  • 상태가 연결 해제됨으로 표시되면 네트워크에 제대로 연결되었는지 확인하기 위해 포트 연결을 확인하세요.
  • 인터페이스가 '대체 WAN (Layer-2)' 또는 'Alternative WAN (Layer-3)'의 올바른 옵션으로 구성되어 있는지 확인하세요.
  • IP 주소와 서브넷 설정이 정확하게 구성되어 있는지 확인합니다.
  • 대체 WAN 터널이 활성 상태인지 확인하려면 소켓 웹UI를 사용하여 소켓에 접근합니다. 대체 WAN 터널이 성공적으로 설정된 경우, SDWAN 터널 아래에 연결된 채널 수가 표시됩니다.
  • .

UDP 포트 20049가 차단되지 않았는지 확인

  • Alternative WAN 터널은 UDP/20049를 통해 설정됩니다.
  • 두 소켓의 SocketUI에 접속하여 트래픽 캡처 탭으로 이동합니다.
  • Alt.의 WAN 인터페이스를 선택합니다. WAN이 구성되어 UDP 프로토콜 캡처를 시작합니다.
  • PCAP은 UDP 포트 20049에서 양방향 트래픽을 보여야 합니다. 양방향 흐름이 보이지 않으면 두 사이트 사이의 어떤 기기도 UDP/20049를 차단하고 있는지 확인합니다.

    참고: 대체 WAN 계층 2 구성에서는 대체 WAN IP를 사용하여 터널이 시작됩니다. 반면, 대체 WAN 계층 3 구성에서는 네이티브 서브넷의 로컬 IP를 사용하여 터널이 시작됩니다. 아래 테이블은 계층 2 및 계층 3 구성의 트래픽 흐름 차이를 강조하며, 특히 터널의 소스 IP에 중점을 둡니다.

    계층 2

    계층 3

    대체 WAN 터널은 대체 WAN IP에서 시작됩니다. 대체 WAN 인터페이스에서의 패킷 캡처는 터널이 IP 주소 192.168.20.2에서 시작되어 원격 사이트의 대체 WAN IP인 192.168.20.3 및 192.168.20.4와의 연결을 설정함을 보여줍니다.

    비록 대체 WAN IP 주소가 소켓 UI에서 192.168.20.2로 구성되어 있지만, 대체 WAN 터널은 이 IP에서 시작되지 않습니다. 대체 WAN 인터페이스에서의 패킷 캡처는 터널이 대신 192.168.2.1에서 시작되어 대체 WAN으로 구성된 원격 사이트의 네이티브 로컬 IP인 192.168.3.1 및 192.168.4.1과의 연결을 설정함을 보여줍니다.

     

Alt.를 통해 트래픽이 흐름에도 불구하고 CMA에서 사이트가 연결 해제됨 WAN

  • 카토 클라우드로의 터널이 다운되었기 때문에 CMA에서 사이트가 연결 해제됨으로 표시됩니다.
  • 트래픽은 Alt.를 통해 계속 흐릅니다. WAN 링크는 네트워크 운영을 보장하지만 CMA는 사이트가 접근할 수 없기 때문에 오프라인으로 등록합니다.
  • CMA에서 가시성을 복원하기 위해, 문제를 해결하고 카토 클라우드로의 터널 연결을 재설정하세요. 자세한 문제 해결 단계는 소켓 사이트 터널 연결 문제 해결을 참조하십시오. 

Alt.의 TLS 연결 실패 WAN 링크

  • Alt.를 사용하도록 명시적으로 네트워크 규칙이 구성되었습니다. 기본 전송으로 WAN 
  • Socket UI를 확인해 보니 Alt. WAN 터널이 연결됨. 
  • 그러나 Alt.를 통과할 때 서버가 TLS 애플리케이션을 끊임없이 재설정합니다. WAN.

  • 이 시나리오에서는 Alt. 위에 복잡한 네트워크 규칙이 존재하지 않도록 보장하는 것이 중요합니다. 네트워크에서 복잡한 규칙이 처리되는 방식 때문에 WAN 규칙이 있습니다. 복잡한 네트워크 규칙은 소켓이 직접 평가할 수 없는 규칙입니다. 따라서 복잡한 규칙이 Alt. 위에 나타나면 WAN 규칙, 소켓은 적절한 네트워크 처리를 결정하기 위해 PoP로 트래픽을 전송합니다.

  • 이 프로세스는 Alt.를 통해 리턴 트래픽이 흐를 때 비대칭 흐름을 초래할 수 있습니다. WAN 링크, 궁극적으로 서버가 연결을 재설정하게 만듭니다.

  • 복잡한 규칙에 대한 자세한 내용은 섹션 "복잡한 네트워크 규칙 사용" 아래에 있는 카토 TCP 가속화 및 모범 사례 설명을 참조하십시오
  • Alt.의 TLS 연결 실패 해결 방법을 참조하여 이 문제를 해결하는 방법을 알아보십시오. WAN 링크.

대체 WAN 복구. 기본 터널이 다운될 때 WAN이 발생하지 않음

  • 기본적으로 WAN 복구는 Alt.에 대해 활성화되어 있지 않습니다. WAN. 이것은 제한된 기능으로 간주되며, 이를 선택하려면 카토 담당자에게 요청을 보낼 수 있습니다.
  • 자세한 내용은 Alt-WAN 링크로 연결 복구를 참조하십시오. 

BGP 연결 실패

  • 고객의 BGP 라우터와 소켓 간에 Alt.를 통해 BGP 피어링이 구성되었습니다. WAN 링크, 그러나 BGP 연결을 설정하지 못했습니다.
  •  이 경우, Alt. 소켓에서의 WAN 구성은 다음과 같습니다:
  • BGP 라우터 로그는 지정된 다음 홉이 유효하지 않음을 보여줍니다. 가능한 이유 중 하나는 BGP 업데이트에서 광고된 다음 홉이 BGP 피어를 통해 접근할 수 없다는 것입니다.
%BGP-5-ADJCHANGE: 이웃 192.168.200.1 업
%BGP-3-NOTIFICATION: 이웃 192.168.200.1로부터 수신 3/8 (잘못된 다음 홉 지정) 4 바이트 0AFD0011
  • 가능한 솔루션은 BGP 구성에서 next-hop-self 명령을 사용하는 것입니다. 이 명령은 라우터가 경로의 다음 홉으로 자신을 광고하도록 하여, 광고된 경로들이 수신 BGP 이웃에게 도달 가능한 다음 홉 IP 주소를 가지도록 보장합니다.
  • 세부 사항은 BGP 연결 실패 해결을 참조하십시오.

소켓 CPU 성능 확인

  • 지속적인 CPU 사용량이 90%를 초과하면 소켓 성능에 부정적인 영향을 미쳐 패킷 손실과 터널이 설정되지 않거나 빈번한 연결 해제를 초래할 수 있습니다.
  • 코어별로 역사적인 CPU 사용량을 보려면 네트워크 분석으로 이동하여 하드웨어 탭을 선택합니다.
  • 실시간 소켓 CPU 사용량을 확인하려면 소켓 웹UI로 이동하여 HW 상태 탭을 선택합니다.
  • 지속적으로 높은 CPU가 감지되면 지원팀에 문의하십시오.

발견된 문제 해결

Alt.의 TLS 연결 실패 해결 WAN 링크

  • 간단한 네트워크 규칙이 정의된 애플리케이션을 포함한 복잡한 규칙 아래에 배치되면 두 카토 사이트 간의 TLS 연결은 오프 클라우드 또는 Alt-WAN 링크 사용 시 실패할 수 있습니다.
  • 이는 TCP 프록시가 적용되어 TCP 핸드셰이크가 카토 클라우드를 통해 진행되는 반면 데이터 패킷은 Alt. WAN을 통해 이동하여 연결이 재설정됩니다. 
  • 해결책은 간단한 오프 클라우드 또는 Alt-WAN 규칙을 복잡한 규칙 위로 이동하거나 TCP 프록시 적용을 피하기 위해 TLS 검사를 비활성화하는 것입니다.
  • 이 문제에 대한 세부 사항은 Off-Cloud 또는 Alt-WAN 링크에서의 TLS 연결 실패를 참조하세요 

BGP 연결 실패 해결

  • 고객은 기본 경로의 다음 홉이 BGP 라우터에서 올바르게 구성되었는지 확인해야 합니다. 고객의 라우터에서 다음 옵션 중 하나를 사용하여 기본 경로를 구성하십시오:

    1. 다음-hop-self 명령을 사용하여 다음 홉을 BGP 이웃의 대체 WAN IP로 설정합니다:

      이웃 <소켓 대체 WAN IP> next-hop-self

    2. 라우터의 대체 WAN 인터페이스 IP로 다음 홉을 명시적으로 설정하기 위해 경로 맵을 적용합니다:

      라우트 맵 <맵 이름> 허가 10
          IP 다음 홉 <라우터 대체 WAN 인터페이스 IP> 설정

제한사항/참고사항

  • Alt.가 HA 사이트에 WAN이 구성되어 있는 경우, Alt. WAN 터널은 오직 마스터 소켓과만 설정됩니다. 따라서 정상적인 조건 하에서는 오직 마스터 소켓만이 Alt. 원격 사이트와의 WAN 터널을 설정합니다. 

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개