Руководство по сети XOps - Альтернативное устранение неполадок WAN

Обзор

Альтернативный WAN (Alt. WAN) позволяет организациям улучшать подключение к сети, предлагая гибкие и надежные решения для управления трафиком WAN. Он поддерживает два типа конфигураций: Уровень-2 для Сокетов в одной подсети и Уровень-3 для Сокетов в разных сетях. Для получения более подробной информации о развертывании, обратитесь к Integrating-Cato-with-Alternative-WAN-Network.

Эта статья охватывает общие проблемы с Alt. WAN и предоставляет шаги по устранению неполадок для их решения.

Симптомы

Вот некоторые общие симптомы, когда Alt. WAN не работает как ожидалось:

  • Соединение Alt. WAN не удается установить
  • CMA показывает объект как отключенный, несмотря на то, что трафик проходит через Alt. WAN
  • Сброс соединения TLS сервером при использовании Alt. WAN
  • Восстановление WAN до Alt. WAN не удалось, когда основной туннель вышел из строя
  • Соединение BGP не удается установить через Alt. WAN

Возможные причины

  • Неправильная конфигурация
  • UDP/20049 заблокирован между Alt. Площадки WAN
  • Высокая загрузка CPU сокета

Устранение неполадок

Альтернативные туннели WAN не устанавливаются

Проверить конфигурацию

  • Чтобы гарантировать правильную конфигурацию, перейдите на Площадку Сокета, где включен Альтернативный WAN. Перейдите в Сеть > Площадка > Сокет и убедитесь, что Статус порта для интерфейса Альтернативного WAN отображается как Подключен
  • Если статус отображается как Отключен, проверьте подключение порта, чтобы убедиться, что он правильно подключен к сети.
  • Убедитесь, что интерфейс сконфигурирован с правильной опцией — либо Альтернативный WAN (Уровень-2), либо Альтернативный WAN (Уровень-3).
  • Далее, подтвердите, что настройки IP-адресов и подсетей настроены правильно.
  • Чтобы подтвердить, что туннели Альтернативного WAN активны, получите доступ к Сокету, используя Socket WebUI. Если туннели Альтернативного WAN успешно установлены, он покажет количество подключенных каналов в SDWAN Tunnels.

Убедитесь, что порт UDP 20049 не заблокирован

  • Альтернативный WAN-туннель устанавливается через UDP/20049.
  • Доступ к SocketUI обоих Сокетов и переход на вкладку Захват трафика.
  • Выберите интерфейс WAN, который настроен на Alt. WAN и начните захват для протокола UDP.
  • PCAP должен показать двунаправленный трафик на порту UDP 20049. Если вы не видите двунаправленного потока, проверьте, не блокируют ли какие-либо устройства между двумя объектами UDP/20049.

    ПРИМЕЧАНИЕ: в конфигурации Альтернативного WAN уровня 2 туннель инициируется с использованием IP-адреса Альтернативного WAN. В отличие от конфигурации Альтернативного WAN уровня 3, туннель инициируется с использованием локального IP-адреса родной подсети. Таблица ниже подчеркивает различия в потоке трафика между конфигурациями уровня 2 и уровня 3, особенно сосредотачиваясь на исходном IP-адресе туннеля.

    УРОВЕНЬ 2

    УРОВЕНЬ 3

    Туннель Альтернативного WAN будет исходить из IP Альтернативного WAN. Захват пакетов с интерфейса Альтернативного WAN показывает, что туннель был инициирован с IP-адреса 192.168.20.2, устанавливая соединения с IP Альтернативного WAN удаленных объектов: 192.168.20.3 и 192.168.20.4.

    Хотя IP-адрес Альтернативного WAN настроен как 192.168.20.2 в интерфейсе Socket UI, туннель Альтернативного WAN не инициируется с этого IP. Захват пакетов с интерфейса Альтернативного WAN показывает, что туннель, вместо этого, инициируется с 192.168.2.1 и устанавливает соединения с локальными IP-адресами родной подсети удаленных объектов, настроенных для Альтернативного WAN: 192.168.3.1 и 192.168.4.1.

     

Площадка отключена в CMA, несмотря на трафик через Alt. WAN

  • Участок кажется отключенным в CMA, потому что туннель к Cato Cloud не работает.
  • Трафик продолжает течь через Alt. WAN-связь обеспечивает работу сети, но CMA регистрирует объект оффлайн, поскольку он недоступен.
  • Чтобы восстановить видимость в CMA, устраните и снова установите туннельное соединение с Cato Cloud. Для получения подробных шагов по устранению неполадок, пожалуйста, смотрите Socket-Site-Tunnel-Connectivity-Troubleshooting

Сбой соединения TLS на Alt. WAN-связях

  • Сетевое правило было явно настроено на использование Alt. WAN в качестве основного транспорта 
  • Проверка интерфейса Socket UI показывает, что Alt. WAN-туннель работает. 
  • Однако сервер постоянно сбрасывает приложение TLS, когда оно использует Alt. WAN.

  • В этом сценарии важно убедиться, что никакого усложненного сетевого правила нет выше Alt. WAN-правило из-за того, как сложные правила обрабатываются в сети. Сложное сетевое правило - это правило, которое Сокет не может напрямую оценить. Следовательно, когда сложное правило появляется выше Alt. WAN-правило, Сокет отправляет трафик к PoP для определения подходящей обработки сети.

  • Этот процесс может привести к асимметричному потоку, когда обратный трафик проходит через Alt. WAN-связь, в конечном итоге вызывая сброс соединения сервером.

  • Для получения более подробной информации о сложных правилах, обратитесь к Explaining-the-Cato-TCP-Acceleration-and-Best-Practices, в разделе "Работа со сложными сетевыми правилами"
  • Обратитесь к Решение проблемы сбоя соединения TLS на Alt. WAN-связях, чтобы узнать, как решить эту проблему.

Восстановление WAN на Alt. WAN не произошло, когда основной туннель вышел из строя

  • По умолчанию, восстановление WAN не включено для Alt. WAN. Это считается ограниченной функцией, и если вы хотите ее использовать, вы можете отправить ваш запрос вашему представителю Cato.
  • Обратитесь к Recovering-Connectivity-with-Alt-WAN-Links для получения дополнительной информации. 

BGP не удается установить соединение

  • Настроено соединение BGP между маршрутизатором клиента BGP и Сокетом через Alt. WAN-связь, но соединение BGP не удается установить.
  •  В этом случае конфигурация Alt. WAN на Сокете выглядит следующим образом:
  • Логи маршрутизатора BGP показывают, что следующий хоп указан неверно. Одной из возможных причин является то, что объявленный в BGP обновлении следующий хоп недостижим через BGP-коллегу.
%BGP-5-ADJCHANGE: сосед 192.168.200.1 Вверх
%BGP-3-NOTIFICATION: получено от сосед 192.168.200.1 3/8 (указан неверный следующий хоп) 4 байта 0AFD0011
  • Возможное решение - использовать команду next-hop-self в конфигурации BGP. Эта команда инструктирует маршрутизатор объявлять себя как следующий хоп для маршрутов, обеспечивая наличие достижимого следующего хопа IP-адреса для принимающего соседа BGP.
  • Обратитесь к Решение проблемы неудачи установления соединения BGP для деталей.

Проверьте производительность CPU сокета

  • Постоянное использование CPU выше 90% может негативно сказаться на производительности сокета и вызвать потерю пакетов, туннели не устанавливаются или частые отключения.
  • Чтобы просмотреть использование CPU по ядрам в историческом режиме, перейдите в Аналитику сети и выберите вкладку Аппаратное обеспечение.
  • Для просмотра использования CPU сокета в реальном времени, перейдите в Socket WebUI и выберите вкладку Статус HW.
  • В случае постоянного обнаружения высокого использования CPU свяжитесь с Поддержкой.

Устранение обнаруженных проблем

Решение проблемы сбоя соединения TLS на Alt. WAN-связях

  • TLS-соединение между двумя объектами Cato может не установиться при использовании внешней или Alt-WAN-связи, если простое сетевое правило размещено ниже сложного правила, вовлекающего определенные приложения.
  • Это происходит, потому что принудительно используется прокси-сервер TCP, заставляющий рукопожатие TCP проходить через Cato Cloud, в то время как пакет данных проходит через Alt. WAN, что приводит к сбросу соединения. 
  • Решение заключается в перемещении простого внешнего или Alt-WAN-правила выше любых сложных правил или, альтернативно, отключении инспекции TLS, чтобы избежать принудительного использования прокси-сервера TCP.
  • Для получения деталей этой проблемы обратитесь к TLS-Connection-Failure-Over-Off-Cloud-or-Alt-WAN-Links 

Решение проблемы неудачи установления соединения BGP

  • Клиент должен убедиться, что следующий хоп для маршрута по умолчанию правильно настроен на их маршрутизаторе BGP. На маршрутизаторе клиента конфигурируйте маршрут по умолчанию с использованием одного из следующих вариантов:

    1. Используйте команду next-hop-self для установки следующего хопа как альтернативного IP AWAN соседа BGP:

      сосед <Альтернативный IP WAN сокета> next-hop-self

    2. Примените маршрутную карту, чтобы явно установить следующий хоп на альтернативный IP-интерфейс WAN маршрутизатора:

      route-map <имя-карты> permit 10
          set ip next-hop <Альтернативный IP-интерфейс WAN маршрутизатора>

Ограничения/Примечания

  • Когда Alt. WAN настроен на HA-участке, Alt. WAN-туннель устанавливается только с Master сокетом. Следовательно, в нормальных условиях, только Master сокет установит Alt. WAN-туннель с удаленными объектами. 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев