XOps Network Playbook - BGP-сеанс отключён

Этот плейбук описывает шаги для решения проблем, когда BGP-сеанс отключается для сайта.

Обзор

Когда BGP-сеанс отключён, соединение между двумя BGP-маршрутизаторами завершено и может нарушить обмен маршрутизировочной информацией. Воздействие отключенного сеанса может варьироваться в зависимости от избыточности сети и механизмов отказоустойчивости. В сценариях, где существуют альтернативные пути, воздействие может быть минимальным. Однако в менее устойчивых настройках отключение может привести к временным проблемам с маршрутизацией и сбоям в обслуживании.

Для получения дополнительной информации о BGP смотрите Использование BGP в Cato Cloud.

Существуют различные способы обнаружить, что BGP-сеанс отключен для сайта:

Перейдите на страницу Рабочая область Историй и используйте предустановку Network XDR, чтобы найти истории с отключённым BGP-сеансом.

История предоставляет информацию о хронологии инцидента, текущем статусе Socket и многом другом.
Событие маршрутизации с подтипом сеанса BGP с действием Отключено
- Используйте предустановленный фильтр BGP peers disconnected и при необходимости скорректируйте временную рамку

Уведомление по электронной почте BGP
- Когда уведомления по электронной почте включены для BGP-пир, электронные письма отправляются в список рассылки (могут включать не-администраторов)

При ответе на истории операций сайта важно сначала удостовериться, что проблема продолжается, затем устранить неполадки, а в конце проверить, решена ли проблема.

Шаг 1 - Проверка, что BGP-сеанс отключен

В этом разделе обсуждаются различные инструменты Cato, которые можно использовать для проверки отключения BGP-сеанса для сайта и какова может быть основная причина.

Показать статус BGP

Используйте приложение для управления Cato, чтобы показать статус BGP-сессии в реальном времени. На странице BGP для сайта (Сеть > Площадки > {site name} > Конфигурация сайта > BGP) нажмите Показать статус BGP.

Пример статуса для отключенного сеанса BGP:

Отображение маршрутов BGP

Используйте приложение для управления Cato, чтобы просмотреть таблицу маршрутизации учетной записи (Мониторинг > Таблица маршрутизации). Вы можете отфильтровать по имени сайта.

Пример ниже показывает, что в таблицу маршрутов не включены динамические маршруты, что подразумевает, что маршруты не изучаются от BGP-пиров:

Проверка отключенного статуса BGP для сайтов Cloud Interconnect

Для сайтов Cloud Interconnect используется BGP для подключения между подкладочной средой облака и точками присутствия (PoP).

На странице Cloud Interconnect для сайта (Сеть > Площадки > {site name} > Конфигурация сайта > Cloud Interconnect) нажмите Проверить соединение, чтобы показать статус BGP подложки
На странице сайтов просмотрите статус сайта

Шаг 2 - Устранение проблемы с отключенным статусом BGP

Этот раздел обсуждает инструменты в Cato, которые можно использовать для соблюдения структурированного подхода к устранению неполадок этого типа инцидентов. Эти шаги следует выполнять в общем порядке, но результаты этих проверок могут определить, каким будет следующий шаг.

Выяснение причины отключения сеанса BGP

Страница событий приложения для управления Cato (Домашняя > События) может быть использована, чтобы прояснить причину отключения BGP-сеанса.

Используя предустановленный отключённые BGP-пиры, вы можете увидеть историю всех отключённых сеансов BGP за выбранный временной период. Эти события также имеют ассоциированный код ошибки отключения BGP, который может прояснить причину отключения:

Убедитесь, что изменения не были выполнены перед этим инцидентом

Просмотрите изменения на странице Аудит журнала для приложения для управления Cato и посмотрите, есть ли конфигурация, связанная с этой проблемой. Если конфигурационное изменение непосредственно предшествовало этому инциденту, рассмотрите возможность его отмены и подтверждения того, какой должна быть конфигурация.

Проверьте правильность конфигурации BGP

Используйте приложение для управления Cato, чтобы показать статус BGP-сеанса в реальном времени. На странице BGP для сайта (Сеть > Площадки > {site name} > Конфигурация сайта > BGP) нажмите Показать статус BGP, а затем Сырой статус. Этот подробный статус также перечисляет параметры конфигурации. Их следует проверить, чтобы убедиться, что применяется правильная конфигурация.

Мягкий сброс конфигурации

После проверки отключения резервного BGP-соседа вы можете изменить одного из BGP-соседей и нажать Сохранить. Это продвигает новую конфигурацию, которая может разрешить проблему. Затем восстановите исходные настройки и сохраните исходную конфигурацию.

Проверьте, двунаправлен ли трафик протокола BGP между пирингами

Для установления и функционирования BGP-сеанса должен быть двунаправленный трафик на порт TCP 179 BGP. С помощью захватов пакетов Cato можно исследовать и проверить двусторонность этого трафика.

Для сайтов с сокетами возьмите захват пакетов (PCAP) на интерфейсе LAN сокета (порт, используемый для трафика BGP). Для получения дополнительной информации смотрите Как сделать захват пакетов на Socket.

Отфильтруйте PCAP для порта 179. Если трафик двунаправленный, убедитесь, что трёхэтапное рукопожатие TCP завершается успешно.
Если рукопожатие завершается успешно, но сессия по-прежнему не установлена, вероятно, ошибка сообщается одним из пиров. Эти ошибки должны быть видны в захвате пакетов. Сообщаемые ошибки должны быть стандартными ошибками BGP и, следовательно, могут быть далее изучены путём проверки документации об ошибках BGP.
Если трафик односторонний, исходящий из сокета, но не возвращаемый пиером, перейдите к следующему разделу для исследования достижимости третьего уровня.

Для сайтов IPSEC обратитесь к шагам захвата пакетов, описанным в Плейбук устранения проблем с подключением IPsec-сайтов.

Проверка достижимости третьего уровня к пиру

Используйте страницу известных хостов для сайта, чтобы просмотреть последнее время активности для хоста. Это предоставляет больше информации о временных проблемах соединения и сеанса BGP.

Пинг до BGP-пира для проверки достижимости

Для сайтов с сокетами вы можете использовать WebUI сокета, чтобы пинговать BGP-пир с LAN-интерфейса, убедитесь, что пир BGP позволяет ICMP-трафик. Для получения дополнительной информации смотрите Использование инструментов Socket WebUI.

Из Socket WebUI пингуйте хост с этими настройками:
- Маршрут через - LAN
- Имя хоста/IP - IP-адрес BGP-пира
- Сбой - BGP-маршрутизатор недоступен, проблема не связана с Cato Cloud
- Успех - Существует проблема между PoP и BGP-маршрутизатором
  
  Это примеры выводов на основе результатов пинга:

Для BGP по IPSEC-сайтах можете следовать процедурам в Устранение проблем с подключением IPsec для получения захвата пакетов. Действительным источником для пинга является любой хост в сети WAN, который должен иметь возможность достигать адреса BGP-пира через ICMP.

Шаг 3 - Проверка, что отключенный статус BGP разрешён

Показать событие установления BGP-сеанса

После подключения BGP-соседа к сайту генерируется событие сеанса BGP с действием Установлено. На странице событий вы можете вручную настроить фильтр события для Действие является Установлено, чтобы показать это событие.

Проверка состояния BGP

Статус BGP-сеанса в реальном времени показывает состояние маршрутизации и информацию. На странице BGP для сайта (Сеть > Площадки > {site name} > Конфигурация сайта > BGP) нажмите Показать статус BGP.

Удостовериться, что все префиксы получены

Пример ниже показывает, что ожидаемый динамический маршрут включен в таблицу маршрутов, что подразумевает, что предполагаемые маршруты изучаются от BGP-пира:

Создание обращений в поддержку Cato

Если после выполнения этого плейбука вы не смогли устранить проблему, возможно, стоит открыть заявку в поддержку Cato. Важно, чтобы для быстрейшего разрешения вы включили все сведения, собранные при выполнении вышеуказанных шагов.

См. Подача заявки в поддержку