Cadernos de Rede XOps - Solução Alternativa de Problemas de WAN

Visão Geral

WAN Alternativa (Alt. WAN) permite que as organizações melhorem sua conectividade de rede, oferecendo soluções flexíveis e resilientes de gerenciamento de tráfego WAN. Suporta dois tipos de configurações: Camada-2 para Sockets na mesma sub-rede e Camada-3 para Sockets em redes diferentes. Para mais detalhes sobre a implantação, consulte Integração-Cato-com-Rede-WAN-Alternativa.

Este artigo aborda problemas comuns com Alt. A WAN fornece passos para solução de problemas para resolvê-los.

Sintomas

Aqui estão alguns sintomas comuns quando Alt. A WAN não está funcionando como esperado:

  • A conexão Alt. A WAN não consegue se estabelecer
  • O CMA mostra o site como desconectado, apesar do tráfego fluir através do Alt. WAN
  • Redefinição da Conexão TLS pelo Servidor ao Usar Alt. WAN
  • Recuperação de WAN para Alt. WAN falhou quando o túnel principal caiu
  • A conexão BGP não consegue se estabelecer através do Alt. WAN

Causas Possíveis

  • Configuração Errada
  • UDP/20049 está bloqueado entre Alt. Sites WAN
  • Alta CPU do Socket

Resolução de Problemas

Túneis WAN Alternativos Não se Estabelecem

Revisar Configuração

  • Para garantir a configuração correta, navegue até o Site do Socket onde a WAN Alternativa está ativada. Vá para Rede > Site > Socket e verifique se o Status da Porta da interface WAN Alternativa mostra como UP
  • Se o status exibir Desativado, verifique a conexão da porta para confirmar que está conectada propriamente à rede.
  • Certifique-se de que a interface está configurada com a opção correta—WAN Alternativa (Camada-2) ou WAN Alternativa (Camada-3).
  • Em seguida, confirme que os endereços IP e configurações de sub-rede estão configurados corretamente.
  • Para confirmar que os túneis de WAN Alternativa estão ativos, acesse o Socket usando o Socket WebUI. Se os túneis de WAN Alternativa estiverem estabelecidos com sucesso, ele mostrará o número de canais conectados em Túneis SDWAN.

Certifique-se de que a Porta UDP 20049 Não Está Bloqueada

  • O túnel de WAN Alternativa é estabelecido sobre UDP/20049.
  • Acesse o SocketUI de ambos os Sockets e navegue até a aba Captura de Tráfego.
  • Selecione a interface WAN que a Alt. A WAN está configurada e começa a capturar para o protocolo UDP.
  • O PCAP deve mostrar tráfego bidirecional na porta UDP 20049. Se você não visualizar fluxo bidirecional, verifique se há dispositivos entre os 2 sites bloqueando UDP/20049.

    NOTA: Na configuração de WAN Alternativa Camada 2, o túnel é iniciado usando o IP de WAN Alternativa. Em contraste, com uma configuração de WAN Alternativa Camada 3, o túnel é iniciado usando o IP local da sub-rede nativa. A tabela abaixo destaca as diferenças no fluxo de tráfego entre as configurações de Camada 2 e Camada 3, especificamente focando no IP de origem do túnel.

    CAMADA 2

    CAMADA 3

    O túnel de WAN Alternativa se originará do IP de WAN Alternativa. Uma captura de pacotes da interface de WAN Alternativa mostra que o túnel foi iniciado a partir do endereço IP 192.168.20.2, estabelecendo conexões com os IPs de WAN Alternativa dos sites remotos: 192.168.20.3 e 192.168.20.4.

    Embora o endereço IP de WAN Alternativa esteja configurado como 192.168.20.2 na UI do Socket, o túnel de WAN Alternativa não se origina deste IP. Uma captura de pacotes da interface de WAN Alternativa mostra que o túnel se origina de 192.168.2.1 e estabelece conexões com os IPs locais nativos dos sites remotos configurados para WAN Alternativa: 192.168.3.1 e 192.168.4.1.

     

O Site está Desconectado no CMA Apesar do Tráfego Fluir através do Alt. WAN

  • O site aparece desconectado no CMA porque o túnel para a Cato Cloud está desativado.
  • O tráfego continua a fluir através do link Alt. A WAN garante operações de rede, mas o CMA registra o site offline porque não pode ser alcançado.
  • Para restaurar visibilidade no CMA, solucione e restaure a conexão do túnel com a Cato Cloud. Para etapas detalhadas de solução de problemas, consulte Solução de Problemas de Conectividade de Túnel do Socket-Site

Falha de Conexão TLS em Alt. Links WAN

  • Uma regra de rede foi configurada explicitamente para usar Alt. WAN como transporte primário 
  • Verificando a UI do Socket mostra que o túnel Alt. A WAN está ativa. 
  • No entanto, o servidor constantemente redefine o aplicativo TLS quando ele atravessa usando o Alt. WAN.

  • Neste cenário, é crucial garantir que não exista uma regra de rede complexa acima da regra Alt. WAN devido à forma como regras complexas são processadas dentro da rede. Uma regra de rede complexa é aquela que o Socket não pode avaliar diretamente. Portanto, quando uma regra complexa aparece acima da regra Alt. A WAN, o Socket envia o tráfego para o PoP para determinar o tratamento de rede apropriado.

  • Este processo pode resultar em um fluxo assimétrico quando o retorno do tráfego atravessa sobre o link Alt. A WAN, gerando, em última análise, a redefinição da conexão pelo servidor.

  • Para mais informações sobre a regra complexa, consulte Explicando-a-Aceleração-TCP-da-Cato-e-Melhores-Práticas, na Seção "Trabalhando com Regras Complexas de Rede"
  • Consulte Solução para Falha de Conexão TLS em Alt. Links WAN sobre como resolver este problema.

Recuperação de WAN para Alt. Recuperação de WAN Não Ocorreu Quando o Túnel Primário Caiu

  • Por padrão, a recuperação de WAN não está ativada para Alt. WAN. Isso é considerado um recurso limitado, e se você gostaria de optar por ele, você pode enviar sua solicitação ao seu Representante Cato.
  • Consulte Recuperando-Conectividade-com-Links-WAN-Alt para mais detalhes. 

O BGP Falha ao Estabelecer Conexão

  • O emparelhamento BGP foi configurado entre o roteador BGP do cliente e o Socket pelo link Alt. A WAN, mas a conexão BGP falha ao se estabelecer.
  •  Neste caso, a configuração Alt. A WAN no Socket é a seguinte:
  • Os registros do roteador BGP mostram que o próximo salto especificado é inválido. Uma possível razão é que o próximo salto anunciado na atualização BGP está inacessível via o peer BGP.
%BGP-5-ADJCHANGE: vizinho 192.168.200.1 Up
%BGP-3-NOTIFICATION: recebido do vizinho 192.168.200.1 3/8 (próximo salto inválido especificado) 4 bytes 0AFD0011
  • Uma solução potencial é usar o comando next-hop-self na configuração BGP. Este comando instrui o roteador a anunciar-se como o próximo salto para rotas, garantindo que as rotas anunciadas tenham um endereço IP de próximo salto alcançável para o BGP vizinho receptor.
  • Consulte Solução para BGP Falha ao Estabelecer Conexão para obter detalhes.

Verificar Desempenho da CPU do Socket

  • A utilização consistente da CPU acima de 90% pode impactar negativamente o desempenho do Socket e causar perda de pacotes e túneis não estabelecidos ou desconexões frequentes.
  • Para ver o uso histórico da CPU por núcleo, navegue até Análise de Redes e selecione a Aba Hardware.
  • Para Uso de CPU em Tempo Real do Socket, navegue até o Socket WebUI e selecione a aba Status do HW.
  • Em caso de detecção constante de alta CPU, entre em contato com Suporte.

Resolvendo Problemas Descobertos

Solução para Falha de Conexão TLS em Alt. Links WAN

  • Uma conexão TLS entre dois sites Cato pode falhar ao usar um link Off-Cloud ou Alt-WAN se uma regra de rede simples for colocada abaixo de uma regra complexa envolvendo aplicações definidas.
  • Isso ocorre porque o proxy TCP é aplicado, fazendo com que o aperto de mão do TCP passe pela Cato Cloud enquanto o pacote de dados atravessa o Alt. WAN, levando a uma redefinição de conexão. 
  • A solução é mover a regra simples Off-Cloud ou Alt-WAN acima de qualquer regra complexa ou, alternativamente, desativar a inspeção TLS para evitar a aplicação de proxy TCP.
  • Para detalhes sobre este problema, consulte Falha-de-Conexão-TLS-Sobre-Links-Off-Cloud-ou-Alt-WAN 

Solução para BGP Falha ao Estabelecer Conexão

  • O cliente deve garantir que o próximo salto para a rota padrão esteja configurado corretamente em seu roteador BGP. No roteador do cliente, configure a rota padrão usando uma das seguintes opções:

    1. Use o comando next-hop-self para definir o próximo salto como o IP de WAN alternativo do vizinho BGP:

      vizinho <IP de WAN Alternativo do Socket> next-hop-self

    2. Use um mapa de rota para definir explicitamente o próximo salto para o IP da interface WAN alternativa do roteador:

      mapa de rota <nome-mapa> permitir 10
          definir ip próximo salto <IP da Interface WAN Alternativa do Roteador>

Limitações/Notas

  • Quando Alt. A WAN está configurada em um site HA, Alt. O túnel WAN é estabelecido apenas com o Socket Mater. Portanto, em condições normais, apenas o Socket Mater estabelecerá o túnel Alt. A WAN com sites remotos. 

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário