Альтернативное устранение неполадок WAN

Обзор

Альтернативный WAN (Alt. WAN) позволяет организациям улучшать подключение к сети, предлагая гибкие и устойчивые решения для управления трафиком WAN. Он поддерживает два типа конфигураций: Layer-2 для сокетов в одной подсети и Layer-3 для сокетов в разных сетях. Для получения дополнительных сведений о развертывании обратитесь к Integrating-Cato-with-Alternative-WAN-Network.

Эта статья охватывает общие проблемы с Alt. WAN и предоставляет шаги по устранению неполадок для их решения.

Симптомы

Вот несколько распространенных симптомов, когда Alt. WAN не работает как ожидалось:

  • Альт. WAN-соединение. Не удается установить WAN-соединение.
  • CMA показывает сайт как отключенный, несмотря на прохождение трафика через Alt. WAN
  • Сброс соединения TLS сервером при использовании Alt. WAN
  • Восстановление WAN до Alt. WAN не удалась, когда основной туннель отключился
  • BGP соединение не удается установить через Alt. WAN

Возможные причины

  • Неправильная конфигурация
  • UDP/20049 заблокирован между Alt. WAN сайты
  • Высокий Socket CPU

Устранение неполадок

Альтернативные туннели WAN не устанавливаются

Проверить конфигурацию

  • Чтобы гарантировать правильную конфигурацию, перейдите на сайт сокета, где включен альтернативный WAN. Перейдите в Сеть > сайт > сокет и проверьте, что статус порта для интерфейса альтернативного WAN отображается как включен
  • Если статус отображается как выключен, проверьте подключение порта, чтобы подтвердить, что он корректно подключен к сети.
  • Убедитесь, что интерфейс настроен с правильной опцией — либо Альтернативный WAN (Layer-2), либо Альтернативный WAN (Layer-3).
  • Затем подтвердите, что IP-адреса и настройки подсети настроены правильно.
  • Чтобы подтвердить, что альтернативные туннели WAN активны, доступ к сокету осуществляется через WebUI сокета. Если альтернативные туннели WAN установлены успешно, то под туннелями SDWAN будет отображаться количество подключенных каналов.

Убедитесь, что порт UDP 20049 не заблокирован

  • Альтернативный туннель WAN устанавливается через UDP/20049.
  • Получите доступ к SocketUI обоих sockets и перейдите на вкладку захвата трафика.
  • Выберите WAN интерфейс, который Alt. WAN настроен и начинает захват для протокола UDP.
  • PCAP должен показывать двусторонний трафик на порту UDP 20049. Если вы не видите двусторонний поток, проверьте, блокирует ли какое-либо из устройств между 2 площадками UDP/20049.

    Примечание:  В конфигурации Альтернативный WAN уровня 2 туннель инициируется с использованием IP Альтернативный WAN. В отличие от конфигурации Alternative WAN Layer 3, туннель инициируется с использованием локального IP-адреса исходной подсети. Таблица ниже подчеркивает различия в потоках трафика между конфигурациями Layer 2 и Layer 3, с акцентом на исходный IP туннеля.

    УР 2

    УР 3

    Альтернативный туннель WAN будет исходить от Alternative WAN IP. Захват пакетов с интерфейса Alternative WAN показывает, что туннель был инициирован с IP-адреса 192.168.20.2, устанавливая соединения с Alternative WAN IP удаленных сайтов: 192.168.20.3 и 192.168.20.4.

    Хотя IP-адрес Alternative WAN настроен как 192.168.20.2 в UI сокета, альтернативный туннель WAN не начинается с этого IP. Захват пакетов с интерфейса Alternative WAN показывает, что туннель фактически исходит из 192.168.2.1 и устанавливает соединения с локальными IP-адресами удаленных сайтов, настроенных для Alternative WAN: 192.168.3.1 и 192.168.4.1.

     

Сайт отключен в CMA, несмотря на прохождение трафика через Alt. WAN

  • Сайт выглядит отключенным в CMA, потому что туннель в облако Кейто не работает.
  • Трафик продолжает проходить через Alt. WAN-связь обеспечивает работу сети, но CMA регистрирует сайт как оффлайн, потому что его невозможно достичь.
  • Чтобы восстановить видимость в CMA, устраните неисправности и восстановите туннельное соединение с облаком Кейто. Для получения подробных шагов по устранению неполадок, пожалуйста, смотрите Устранение неполадок подключения туннеля Socket-Site

Сбой соединения TLS на Alt. WAN-связи

  • Сетевое правило было явно настроено для использования Alt. WAN как основной транспорт 
  • Проверка интерфейса пользователя Socket показывает, что Alt. Туннель WAN подключен. 
  • Однако сервер постоянно сбрасывает приложение TLS при его прохождении через Alt. WAN.

  • В этом сценарии важно убедиться, что над Alt. Правило WAN отсутствует сложное сетевое правило из-за способа обработки сложных правил в сети. Сложное сетевое правило - это правило, которое Socket не может оценить напрямую. Таким образом, когда сложное правило появляется над Alt. Правило WAN, Socket отправляет трафик в PoP для определения соответствующего сетевого обслуживания.

  • Этот процесс может привести к асимметричному потоку, когда обратный трафик проходит через Alt. Связь WAN, в конечном итоге вызывая сброс соединения сервером.

  • Для получения дополнительной информации о сложном правиле смотрите Объяснение Cato TCP Acceleration и наилучших практик, в разделе "Работа со сложными сетевыми правилами"
  • Смотрите решение проблемы сбоя соединения TLS на Alt. WAN-связи, как разрешить эту проблему.

Восстановление WAN до Alt. WAN не произошло, когда основной туннель упал

  • По умолчанию восстановление WAN для Alt. не включено. WAN. Это считается ограниченной функцией, и если вы хотите её выбрать, вы можете отправить свой запрос своему представителю Кейто.
  • Смотрите Восстановление подключения с Alt-WAN-связями для подробностей. 

BGP не удается установить соединение

  • BGP-пиринговая настройка была выполнена между BGP-маршрутизатором клиента и Socket через Alt. Связь WAN, но подключение BGP не удается установить.
  •  В этом случае Alt. Конфигурация WAN на Socket следующая:
  • Журналы маршрутизатора BGP показывают, что указанный следующий переход недействителен. Одной из возможных причин является то, что следующий переход, объявленный в обновлении BGP, недоступен через пир BGP.
%BGP-5-ADJCHANGE: сосед 192.168.200.1 Подключен
%BGP-3-NOTIFICATION: получено от соседа 192.168.200.1 3/8 (указан недействительный следующий переход) 4 байта 0AFD0011
  • Возможным решением является использование команды next-hop-self в конфигурации BGP. Эта команда инструктирует маршрутизатор рекламировать себя как следующий переход для маршрутов, гарантируя, что рекламируемые маршруты имеют доступный IP-адрес следующего перехода для получающей BGP-стороны.
  • Смотрите решение проблемы BGP не удается установить соединение для подробностей.

Проверить производительность сокета CPU

  • Постоянное использование ЦП выше 90% может негативно сказаться на производительности сокета, вызвать потерю пакетов, а также неисправность туннелей или частые отключения.
  • To view historical CPU usage per core browse to Network Analytics and select the Hardware Tab.
  • Для просмотра в реальном времени используйте Веб-интерфейс сокета и выберите вкладку HW Статус.
  • В случае постоянного высокого использования ЦП свяжитесь с поддержкой.

Решение обнаруженных проблем

Решение проблемы сбоя соединения TLS на Alt. WAN-связи

  • TLS-соединение между двумя сайтами Кейто может не удаваться при использовании Вне Облака или Alt-WAN-связи, если простое сетевое правило находится ниже сложного правила, включающего определенные приложения.
  • Это происходит из-за применения TCP-прокси, что вызывает прохождение TCP рукопожатия через облако Кейто, пока пакет данных проходит через Alt. WAN, что приводит к сбросу соединения. 
  • Решение состоит в перемещении простого правила Вне Облака или Alt-WAN выше любых сложных правил или, альтернативно, в отключении инспекции TLS, чтобы избежать применения TCP прокси.
  • Для подробностей по этой проблеме обращайтесь к TLS-Connection-Failure-Over-Off-Cloud-or-Alt-WAN-Links 

Решение BGP Не удалось установить Соединение

  • Клиент должен убедиться, что следующий переход для маршрута по умолчанию правильно настроен на их маршрутизаторе BGP. На маршрутизаторе клиента настройте маршрут по умолчанию, используя один из следующих вариантов:

    1. Используйте команду next-hop-self, чтобы задать следующий переход как альтернативную WAN IP соседа BGP:

      сосед <Socket Alternate WAN IP> next-hop-self

    2. Примените карту маршрута, чтобы явно установить следующий переход на IP интерфейса альтернативного WAN маршрутизатора:

      route-map <map-name> разрешите 10
         установить ip следующий переход <Router Alternate WAN Interface IP>

Ограничения/Примечания

  • Когда Alt. WAN настроен на площадке HA, Alt. WAN туннель устанавливается только с Главным Socket. Таким образом, в обычных условиях только Главный Socket будет устанавливать Alt. WAN туннель с удаленными площадками. 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев