Обзор
Соединение сайта имеет первостепенное значение для хостов за сокетом, чтобы иметь доступ к WAN через Cato cloud. Отсутствие соединения сайта может нарушить работу бизнеса. Данный план действий призван предоставить руководство по устранению этой проблемы.
Симптомы
Сбой соединения сокета может проявляться различными способами. Администратор может заметить следующие симптомы:
- Сайт отключен в CMA
-
Сайт подключен к неожиданному PoP
- Сетевая аналитика показывает, что туннель нестабилен
Возможные причины
Следующие причины можно выявить во время устранения неполадок
- Нет соединения сокета
- Движение трафика DTLS только в одну сторону
- Плохая производительность подложки
- Ограничения геолокации IP
- Несоответствующая конфигурация выбора PoP
- Конфигурация SLA на неправильных базовых линиях
- Устройство NAT перед сокетом
Устранение проблемы
Этапы устранения симптомов, с которыми может столкнуться администратор, приведены ниже. Эти этапы предназначены для выявления возможных причин возникших проблем. Шаги для решения будут выделены позже в руководстве.
Устранение проблемы отключения сайта в CMA
Сбор информации из событий
С помощью Главная > События в CMA администратор может быстро получить историю событий соединения для сайтов в аккаунте. События можно фильтровать на релевантные события, выбрав предустановку "Статус подключения сайтов" или фильтруя по Тип события "Подключение" и Подтип "Отключено" Вы можете дополнительно фильтровать по названию интересующего сайта с помощью поля 'Исходный сайт'.
Просмотр временной метки соответствующего события отключения от интересующего сайта может помочь сосредоточить расследование. Были ли известны какие-либо более широкие события сети или местные события питания на этой временной метке? Есть ли изменения в журнале аудита, которые предшествуют этому и могут быть коррелированы?
Проверка соединения сокета
Просмотрите предварительные условия соединения сокетов Cato, чтобы понять требования к соединению сокета.
Статус подключения сокета можно увидеть через его локальный веб-интерфейс. См. Локальный вход в веб-интерфейс сокета. Для подключения сокета порт WAN, используемый для обслуживания подключения к облаку Cato, должен показывать зеленый статусный значок. Индикатор, отличный от зеленого, указывает на проблему соединения. Значение различных цветов значков состояния описано в Понимание значков состояния связи
Для красного значка убедитесь, что между сокетом и устройством ISP имеется рабочая физическая связь. Это включает в себя надежное подключение кабелей и засветку светодиодов порта, как ожидается.
Конфликт IP также будет обнаружен по состоянию соединения сокета. Предупреждение о конфликте IP будет продолжать отображаться в течение 24 часов с момента первого обнаружения конфликта, как указано в этой статье Книге знаний.
Подтвердите, что статус Принудительное восстановление через обход Интернета в разделе Инструменты - Обычный. Кнопка 'Принудительный обход' заставит весь трафик ЛВС обходить Cato и отключит туннель Cato, показывая Сайт как отключенный в CMA. Таким образом, все удаленная конфигурация и доступ к этому устройству будет сбой. В конфигурации HA, если на основном Socket включена функция "Force Bypass", вторичный Socket продолжит оставаться резервным Socket, и трафик за Socket будет направлен непосредственно в Интернет.
Снимок экрана ниже показывает "Включено - обход" на основном Сокете, при этом резервный Сокет остается в режиме ожидания.
Если статус Force Recovery активный, выйдите из этого состояния, нажав кнопку Exit Forced Bypass.
В случае проблемы с подключением мы можем использовать вкладку Инструменты для дополнительных тестов. Чтобы подключиться к Cato, сокет требует L3-доступа к публичным IP-адресам Cato. Используйте инструмент ping, чтобы убедиться, что этот Сокет может напрямую через порт WAN получить доступ к IP-адресам или доменам Cato, или к общедоступным IP-адресам, таким как 8.8.8.8. Если нет доступных, пожалуйста, просмотрите раздел Решение проблемы отсутствия соединения сокета.
Запуск захвата пакетов
Также можно выполнить захват пакетов, чтобы убедиться, что на запрос сокета об установлении DTLS-туннеля к PoP принято ответ. При захвате на соответствующем порту WAN должны быть видны двунаправленные пакеты на UDP/443 к PoP. Следующий снимок экрана показывает успешное рукопожатие DTLS и обмен пакетами Данных приложения.
Если обнаружены только исходящие пакеты DTLS или рукопожатие DTLS неполное, пожалуйста, просмотрите Решение проблемы неполного рукопожатия DTLS.
Не удается установить туннель из-за устройства NAT перед сокетом
Для сокетов, которые используют несколько WAN-ссылок, если есть устройство NAT между сокетом и PoP, то возможно, что одна или несколько WAN-ссылок не могут подключиться к PoP. Это может создавать проблемы с подключением, такие как статус ВРО сайта - Не готово.
PoP использует исходный порт каждого входящего соединения DTLS для подключения каждого WAN-соединения к одному логическому туннелю. Устройство NAT может изменить исходный порт и предотвратить подключение WAN-ссылки к тому же логическому туннелю, что и другие WAN-ссылки.
Проблемы с DTLS-соединениями с провайдерами LTE/5G
Как упомянуто в этом исследовании случая, если используется, чтобы подключиться к Cato, провайдеры LTE/5G, то интернет-провайдер может вмешиваться в рукопожатие DTLS на порту UDP/443, что может быть видно как данные специфичные для оператора (например, APN) во время рукопожатия.
Даже если есть двусторонняя связь DTLS, рукопожатие не завершено, следовательно, туннель Cato не будет установлен.
Чтобы решить эту проблему, измените порт DTLS на UDP/1337, пожалуйста, просмотрите Решение проблемы неполного рукопожатия DTLS.
Устранение непредвиденного выбора PoP
Проверка IP-адреса провайдера интернет-услуг и текущего выбранного PoP
В разделе Мониторинг, выберите Сайт и откройте панель Обзор Сайта. В разделе Сокеты Сайта, нажмите 'Просмотреть журнал', чтобы увидеть все недавние подключения. Ищите публичный IP провайдера интернет-услуг (Удаленный IP), который подключается к Cato, а также Имя провайдера интернет-услуг и местоположение. Столбец 'PoP' покажет текущий PoP, к которому подключен Сайт.
Важно проверить, что 'Удаленный IP' и местоположение провайдера интернет-услуг совпадают с ожидаемыми, и что провайдер интернет-услуг не перенаправляет подключение в непредвиденное местоположение. Местоположение провайдера интернет-услуг (город) должно соответствовать или быть близким к стране/городу, указанному в общих настройках Сайта внутри CMA.
Проверка конфигурации выбора PoP на CMA
Устаревшее или неправильно настроенное предпочитаемое местоположение PoP на сайте может навязывать подключения к субоптимальным PoP. Конфигурацию выбора PoP можно просмотреть на сайте через страницу Сеть > Сайт > Настройки Сайта > Общие.
Если местоположение здесь настроено таким образом, что оно не подходит для оптимального подключения, или если предпочтительно позволить механизму выбора Cato PoP определить оптимальный PoP, пожалуйста, просмотрите раздел Решение непригодной конфигурации выбора PoP.
Проверка конфигурации выбора PoP на Сокете
Устаревшая или непригодная конфигурация выбора PoP также может существовать в конфигурации сокета. Чтобы узнать, является ли это так, перейдите в Настройки подключения к облаку в веб-интерфейсе сокета, см. Использование веб-интерфейса сокета.
Если здесь существует конфигурация и предпочтительно позволить механизму выбора Cato PoP определить оптимальный PoP, пожалуйста, просмотрите раздел Решение непригодной конфигурации выбора PoP.
Проверка Статус PoP
Сокеты могут подключаться к неожиданному PoP из-за того, что ближайший географически PoP подвергается обслуживанию или другой подобной проблеме. Пожалуйста, просмотрите страницу Статус PoP для проверки, является ли это так.
Проверка ограничений местоположения для геолокации
Согласно MSA Cato, площадки сокетов в некоторых геолокациях ограничены от подключения к PoP в других местах. MSA изложен при покупке услуг Cato.
Площадки сокетов в некоторых геолокациях будут ограничены пулом доступных PoP, например, площадки сокетов в Китае будут подключаться к PoP в Китае, а вьетнамские площадки сокетов будут подключаться к пулу PoP в Азии.
Для получения дополнительной информации об этом, пожалуйста, обратитесь к MSA.
Проверка признаков перемещения сокета между PoP
Страница События может быть использована для определения, если сокет вероятно не находится на первоначально определенном оптимальном PoP из-за проблем с подключением. Использование выбора Поля, хронология подключения сокета к различным PoP.
Используя пресет событий 'Сайт подключен', и дальнейшую фильтрацию до интересующего сайта, а также установку значения поля 'event_message' на 'Обнаружена проблема с производительностью, переподключение к другому узлу сервиса в Cato Cloud', мы можем увидеть все случаи, когда площадка сокетов перемещалась между PoP из-за нарушения параметров подключения туннеля пределами, установленными в SLA. Если площадка сокетов нарушает Пороговые значения SLA для нескольких PoP, продолжайте выполнение потока устранения неполадок для проверки Настройки SLA подключения.
Проверка, что SLA подключения не слишком строг
SLA подключения играет важную роль в обеспечении подключения сайта к оптимальному PoP, особенно в динамичных сетевых средах с общедоступным подложным уровнем, таким как подключения ISP. Слишком строгий SLA подключения, однако, может вызвать ненужные переподключения к PoP, отличным от предпочтительного местоположения администратора.
Конфигурация SLA подключения для сайта может быть просмотрена в разделе Сеть > Сайта > Конфигурация сайта > SLA подключения.
Используя Сетевую аналитику для построения базового плана последней мили, задумайтесь, подходят ли метрики SLA для данного сайта.
Если эти параметры не подходят, пожалуйста, посмотрите Решение конфигурации SLA на неправильных базисах
Если параметры подходят, но события реоптимизации PoP все еще регулярно происходят к нескольким PoP, пожалуйста, просмотрите раздел Решение проблем с низкой производительностью подложки.
Если сокет продолжает подключаться к непригодному PoP после выполнения вышеуказанных шагов, пожалуйста, откройте заявку в Поддержку и укажите текущий и ожидаемый PoP.
Устранение неполадок нестабильного туннеля
Проверка взаимосвязи между производительностью последней мили и подключением сайта
Замечая, что данный сайт испытывает плохую производительность в своем подключении к PoP, важно изолировать, если потеря пакетов вероятна из-за производительности на линии ISP подложки.
Это может быть сделано путем сопоставления любых данных о производительности за определенный период с результатами последних мили в этом же временном интервале и поиска закономерностей.
Это можно сделать с помощью Сетевой аналитики.
Приведенный выше пример показывает обнаружение потери пакетов на восходящем туннеле сайта к PoP. Мы видим несколько всплесков около 10% и постоянный низкий уровень потерь на протяжении всего периода времени.
При сравнении этого с производительностью последней мили за тот же период времени, мы можем увидеть следующее:
Последняя миля также может показывать некоторые изменения в производительности, но на неё влияет постоянный уровень потерь между ~10-20%. Из этого ясно, что потеря пакетов в туннеле от сокета до PoP Cato вероятнее всего является симптомом плохой производительности подложки.
Если это так при устранении Проблемы с производительностью, пожалуйста, посмотрите Решение проблем с Плохо производительностью подложки
Кросс-ссылка схожих сайтов
Общие свойства между сайтами можно использовать для попыток выявить факты о рассматриваемой проблеме. Например, у сайта ниже возникли проблемы с подключением. Примечание: подключенный PoP - Лондон:
Эту информацию можно использовать, чтобы сверить её с другими сайтами, которые могут быть подключены к Лондону, чтобы увидеть, вопросы ли общие. Это можно увидеть на скриншоте ниже:
Если кросс-ссылка указывает, что проблема в PoP Cato, посмотрите раздел Проверка Статуса PoP.
Кросс-ссылки также полезны для сайтов с общими ISP. Это сделано в приведенном ниже примере:
Если эта кросс-ссылка подразумевает, что ISP испытывает проблемы с подключением, см. раздел Решение проблем с плохой производительностью подложки.
Проверьте, что SLA Соединения не слишком мягкое
SLA Соединения играет важную роль в обеспечении соединения сайта с оптимальным PoP, особенно в динамичных сетевых средах с общественными подложками, такими как интернет-соединения ISP. Однако слишком мягкий SLA Соединения может заставить сокет дольше оставаться на субоптимальных соединениях с PoP, чем это необходимо администратору, и тем самым влиять на чувствительные приложения.
Конфигурацию SLA Соединения по каждому сайту можно увидеть в Сеть > Сайт > Настройки Сайта > SLA Соединения.
Используя Сетевую аналитику для создания базового набора метрик производительности последней мили, подумайте, подходят ли метрики SLA для этого сайта.
Если эти параметры не подходят, пожалуйста, посмотрите Решение проблем с конфигурацией SLA на неверных базовых уровнях.
Решение обнаруженных проблем
Устранение отсутствия подключенности сокета
Важно изолировать, оказывают ли проблемы с подключением влияние только на сокет. Если вы подключаете ноутбук к той же ISP-сети, сталкиваетесь ли вы с такими же проблемами с разрешением DNS или pinging-адресами? Если да, свяжитесь с вашим ISP для дальнейших действий.
Убедитесь, что на тестовом ноутбуке отключен IPv6 и, в случае статической IP-адресации, назначьте тот же IP, что и у сокета, при тестировании.
Если проблемы с подключением ограничены вашим сокетом, убедитесь, что IP-конфигурация верна на вкладке Настройки сети в WebUI:
Устранение незавершенного DTLS рукопожатия
Убедитесь, что ваш провайдер позволяет DTLS-трафику на UDP 443 выходить в интернет. При необходимости этот порт можно изменить на UDP/1337, как описано в Настройка другого порта для подключения к PoP Cato.
Решение проблем с плохой производительностью подложки
Плохая производительность подложки повлияет на любой туннель, построенный на этой подложке. Хотя подложка является зоной ответственности ISP, существуют инструменты, которые можно использовать для идентификации, где возникают проблемы с производительностью, и для попытки смягчить их, где это возможно.
WebUI сокета содержит инструмент трассировки маршрута, который позволит вам выполнять ping по общедоступным хостам через соединение ISP. При использовании ping общедоступных имен хостов можно определить, в каком из этапов на l3‑пути между сокетом и сервисом происходит потеря или чрезмерная задержка.
В приведенном выше случае потеря пакетов явно происходит непосредственно от границы L3, предоставленной ISP.
Хотя в конечном итоге любые проблемы с подложкой должны быть переданы ISP, обеспечение правильной настройки в CMA поможет смягчить влияние проблем с производительностью. Убедитесь, что конфигурация пропускной способности сетевого интерфейса точна для пропускной способности, предоставляемой линией. Инструменты тестирования скорости в Веб-интерфейсе сокета могут быть выполнены для оценки Соединения. Кроме того, уменьшение параметров бурстинга соединения может заставить Cato раньше задействовать движок QoS, и позволить вашему трафику с низким приоритетом быть отброшенным в пользу более критичных приложений.
Решение проблемы Неуместной Конфигурации Выбора PoP
Чтобы отменить любую ручную конфигурацию выбора PoP и позволить Cato выбрать оптимальный PoP для подключения сокета, сначала убедитесь, что на CMA нет ручной конфигурации местоположения PoP, а затем сделайте то же самое для сокета.
В CMA это можно сделать в Сеть > Сайт > Общие > Предпочтительные местоположения PoP.
Убедитесь, что выбрано 'Автоматически'.
В веб-интерфейсе сокета перейдите к Настройки соединения с облаком.
Убедитесь, что Назначение установлено на 'Steering'.
Решение Конфигурации SLA на Некорректных Исходных Условиях
Первый шаг в обеспечении того, чтобы конфигурация SLA подходила — понять, какие критические пороги или требования для критических приложений используются на сайте.
Чтобы расширить это рассмотрение, приведем два примера.
- Приложение A терпимо к низкому уровню потери пакетов и обладает хорошими возможностями переупорядочивания пакетов, однако, сессия должна поддерживаться, чтобы сервис работал; прерывание и воссоздание потока вызывает проблемы в приложении.
- Приложение B очень чувствительно к спорадической потере пакетов. Даже низкие уровни потери могут вызвать прерывание передачи данных, и передача должна быть начата снова с самого начала. Тем не менее, управляющий канал очень устойчив к завершению и повторному подключению сессий.
С профилем приложения A мы бы создали конфигурацию SLA, которая допускает низкий уровень потерь даже в течение длительных временных периодов; предпочтительнее сохранить подключение к PoP, чтобы поддерживать сессию, даже если потери иначе влияют на сервис.
Приложение B, наоборот, требует более строгой конфигурации SLA. Предпочтительнее изменить PoP, если даже незначительное количество потерь пакетов обнаружено, чтобы защитить целостность передач.
Очевидно, что сайты используют сочетание приложений с различными профилями и требованиями. Администратору придется быть стратегическим, чтобы сбалансировать эти потребности для подходящей политики SLA.
Обращение в Поддержку Cato
Если следование этому руководству не решило проблему, отправьте тикет в поддержку. Чтобы получить максимально полезные ответы на запросы, администратор должен предоставить результаты выполненных шагов по устранению неполадок во время использования этого плейбука. В том числе, например:
- Соответствующие фильтры для привлечения внимания к конкретным событиям.
- Результаты тестов web-интерфейса.
- Выводы сетевого анализа.
- Требования к конфигурации SLA.
0 комментариев
Войдите в службу, чтобы оставить комментарий.