Solução de Problemas de WAN Alternativa

Visão Geral

WAN Alternativa (Alt. WAN) permite que as organizações melhorem sua conectividade de rede ao oferecer soluções flexíveis e resilientes de gerenciamento de tráfego WAN. Ela suporta dois tipos de configuração: Layer-2 para Sockets na mesma sub-rede e Layer-3 para Sockets em diferentes redes. Para mais detalhes sobre a implantação, consulte Integrar-Cato-com-WAN-Alternativa.

Este artigo aborda problemas comuns com WAN Alternativa. WAN e fornece etapas de solução de problemas para resolvê-los.

Sintomas

Aqui estão alguns sintomas comuns quando a WAN Alternativa. WAN não está funcionando como esperado:

  • A conexão WAN Alternativa. WAN falha ao ser estabelecida.
  • O CMA mostra o site como desconectado, apesar do tráfego passar pela WAN Alternativa. WAN
  • Conexão TLS redefinida pelo servidor ao usar WAN Alternativa. WAN
  • Recuperação da WAN para WAN Alternativa. WAN falhou quando o túnel principal caiu.
  • A conexão BGP falha ao ser estabelecida através de WAN Alternativa. WAN

Causas Possíveis

  • Configuração Errada
  • UDP/20049 está bloqueado entre Sites WAN Alternativa. Locais WAN
  • Alto Uso de CPU do Socket

Solução de Problemas do Assunto

Túneis de WAN Alternativa Não São Estabelecidos

Revisar Configuração

  • Para garantir a configuração correta, navegue até o Site do Socket onde a WAN Alternativa está ativada. Vá para Network > Site > Socket e verifique se o Estado da Porta para a interface WAN Alternativa está como Ativado
  • Se o status mostrar Desconectado, verifique a conexão da porta para confirmar que está conectada adequadamente à rede.
  • Certifique-se de que a interface esteja configurada com a opção correta: WAN Alternativa (Layer-2) ou WAN Alternativa (Layer-3).
  • Em seguida, confirme se os Endereços IP e as configurações de sub-rede estão configurados corretamente.
  • Para confirmar que os túneis de WAN Alternativa estão ativos, acesse o Socket usando a Interface Web do Socket. Se os túneis de WAN Alternativa forem estabelecidos com sucesso, exibirá o número de canais conectados sob os Túneis SDWAN.
  • .

Garantir que a Porta UDP 20049 Não Esteja Bloqueada

  • O túnel de WAN Alternativa é estabelecido sobre UDP/20049.
  • Acesse a Interface do Socket de ambos os Sockets e navegue até a aba Captura de Tráfego.
  • Selecione a interface WAN que a WAN Alternativa. WAN é configurada e começa a captura para o protocolo UDP.
  • O PCAP deve mostrar tráfego bidirecional na porta UDP 20049. Se você não observar fluxo bidirecional, verifique se há dispositivos entre os 2 sites bloqueando o UDP/20049.

    Nota:  Na configuração de Layer 2 da WAN Alternativa, o túnel é iniciado usando o IP da WAN Alternativa. Em contraste, com uma configuração de Layer 3 da WAN Alternativa, o túnel é iniciado usando o IP local da sub-rede nativa. A tabela abaixo destaca as diferenças no fluxo de tráfego entre as configurações de Layer 2 e Layer 3, concentrando-se especificamente no IP de origem do túnel.

    CAMADA 2

    CAMADA 3

    O túnel da WAN Alternativa terá origem no IP da WAN Alternativa. Uma captura de pacotes da interface da WAN Alternativa mostra que o túnel foi iniciado do Endereço IP 192.168.20.2, estabelecendo conexões com os IPs da WAN Alternativa dos sites remotos: 192.168.20.3 e 192.168.20.4.

    Embora o endereço IP da WAN Alternativa esteja configurado como 192.168.20.2 na Interface do Socket, o túnel da WAN Alternativa não se origina deste IP. Uma captura de pacotes da interface da WAN Alternativa mostra que o túnel, ao contrário, origina-se de 192.168.2.1 e estabelece conexões com os IPs locais nativos dos sites remotos configurados para WAN Alternativa: 192.168.3.1 e 192.168.4.1.

     

O Site está Desconectado no CMA Apesar do Tráfego Fluir através da WAN Alternativa. WAN

  • O site aparece como desconectado no CMA porque o túnel para a Cato Cloud está inativo.
  • O tráfego continua a fluir pela WAN Alternativa. O Link WAN garante as Operações de Rede, mas o CMA registra o site Desconectado porque não pode ser alcançado.
  • Para restaurar a visibilidade no CMA, solucione e restabeleça a conexão do túnel para a Cato Cloud. Para passos detalhados de solução de problemas, consulte Solução de Problemas de Conectividade de Túnel do Socket-Site

Falha de Conexão TLS em Links de WAN Alternativa. Links de WAN

  • Uma Regra de Rede foi explicitamente configurada para usar a WAN Alternativa. WAN como o Transporte Principal. 
  • Verificar a interface do usuário do Socket mostra que a Alt. O túnel WAN está ativo. 
  • No entanto, o Servidor constantemente redefine a Aplicação TLS quando ele atravessa usando a Alt. WAN.

  • Neste cenário, é crucial garantir que não existe nenhuma Regra de Rede complexa acima da Alt. Regra WAN, devido à forma como as regras complexas são processadas dentro da Rede. Uma Regra de Rede complexa é aquela que o Socket não pode avaliar diretamente. Portanto, quando uma Regra complexa aparece acima da Alt. Regra WAN, o Socket envia o Tráfego para o PoP para determinar o tratamento de Rede apropriado.

  • Este Processo pode resultar em um Fluxo assimétrico quando o Tráfego de retorno atravessa a Alt. Link WAN, causando, por fim, que o Servidor redefina a Conexão.

  • Para obter mais informações sobre a Regra complexa, consulte Explicando Cato TCP Acceleration e Melhores Práticas, sob a Seção "Trabalhando com Regras de Rede Complexas"
  • Consulte Solução para Falha de Conexão TLS na Alt. Links WAN sobre como resolver este problema.

Recuperação de WAN na Alt. WAN Didn't Occur When the Primary Tunnel Went Down

  • Por padrão, a recuperação WAN não está habilitada para Alt. WAN. Isso é considerado um recurso limitado, e se você quiser optar por ele, pode enviar seu pedido ao seu representante da Cato.
  • Consulte Recuperação de Conectividade com Links Alt-WAN para mais Detalhes. 

BGP Falha em Estabelecer Conexão

  • A configuração de Peering BGP foi feita entre o Roteador BGP do Cliente e o Socket sobre a Alt. Link WAN, mas a Conexão BGP falha ao se estabelecer.
  •  Neste caso, a Alt. A configuração WAN no Socket é a seguinte:
  • Os logs do Roteador BGP mostram que o Próximo Salto especificado é inválido. Um possível motivo é que o Próximo Salto anunciado na atualização BGP é inacessível via o Par BGP.
%BGP-5-ADJCHANGE: vizinho 192.168.200.1 Ativo
%BGP-3-NOTIFICATION: recebido do vizinho 192.168.200.1 3/8 (Próximo Salto inválido especificado) 4 bytes 0AFD0011
  • Uma solução potencial é usar o comando next-hop-self na configuração BGP. Este comando instrui o Roteador a se anunciar como o Próximo Salto para rotas, garantindo que as rotas anunciadas tenham um Endereço IP de Próximo Salto acessível para o vizinho BGP receptor.
  • Consulte Solução para BGP Falha em Estabelecer Conexão para os Detalhes.

Verifique o Desempenho do Socket

  • Utilização de CPU consistente acima de 90% pode impactar negativamente o desempenho do socket e causar perda de pacotes e túneis não estabelecidos ou desconexões frequentes.
  • To view historical CPU usage per core browse to Network Analytics and select the Hardware Tab.
  • Para Uso de CPU do Socket em tempo real, acesse a Interface Web do Socket e selecione a aba HW Status.
  • Em caso de deteção de alto uso constante de CPU, contate o Suporte.

Resolvendo Problemas Descobertos

Solução para Falha de Conexão TLS na Alt. Links WAN

  • Uma Conexão TLS entre dois Sites Cato pode falhar ao usar um Link Fora da Nuvem ou Alt-WAN se uma Regra de Rede simples for colocada abaixo de uma Regra Complexa que envolve Aplicações definidas.
  • Isso ocorre porque o proxy TCP é aplicado, fazendo o handshake TCP passar pela Nuvem Cato enquanto o pacote de Dados atravessa a Alt. WAN, levando a uma redefinição de Conexão. 
  • A solução é mover a Regra simples Fora da Nuvem ou Alt-WAN acima de quaisquer Regras Complexas ou, alternativamente, desabilitar a Inspeção TLS para evitar a Aplicação do Proxy TCP.
  • Para detalhes sobre este problema, consulte Falha de Conexão TLS sobre Links Fora da Nuvem ou Alt-WAN 

Solução para BGP Falha em Estabelecer Conexão

  • O Cliente deve garantir que o Próximo Salto para a Rota Padrão seja corretamente configurado em seu Roteador BGP. No Roteador do Cliente, configure a Rota Padrão usando uma das seguintes opções:

    1. Use o comando next-hop-self para definir o Próximo Salto como o Endereço IP WAN alternativo do vizinho BGP:

      vizinhança <Endereço IP WAN Alternativo do Socket> next-hop-self

    2. Aplique um mapa de rota para definir explicitamente o Próximo Salto para o Endereço IP da interface WAN alternativo do Roteador:

      mapa-de-rota <nome-do-mapa> permitir 10
         definir ip próximo-salto <Endereço IP da Interface WAN Alternativo do Roteador>

Limitações/Notas

  • Quando Alt. WAN está configurada em um site HA, Alt. O túnel WAN é estabelecido apenas com o Socket Mestre. Portanto, em condições normais, apenas o Socket Mestre estabelecerá a Alt. Túnel WAN com sites remotos. 

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário