Устранение проблем с маркировкой VLAN Socket

Обзор

Сокеты Cato поддерживают маркировку VLAN на основе стандарта IEEE 802.1Q для интерфейсов ЛВС и WAN. Маркировка VLAN позволяет осуществлять логическое сегментирование сети, изоляцию трафика и масштабируемое проектирование сети за счёт прохождения нескольких VLAN через один интерфейс. Для получения дополнительной информации, смотрите Сегментация сети - Лучшие практики.

В среде Cato маркировка VLAN применяется к:

  • Физические сокеты Cato и только ESX vSockets.
  • Диапазоны включенных VLAN: Cato вставляет теги 802.1Q в кадры Ethernet для настроенных диапазонов VLAN.
  • Трафик собственных диапазонов: Cato поддерживает регистрацию VLAN для трафика, связанного с собственным диапазоном, в зависимости от конфигурации магистрали коммутатора.
  • Уплинки WAN: маркировка VLAN на интерфейсах WAN настраивается через веб-интерфейс сокета для требований поставщика услуг или оператора.

Эта статья описывает распространенные проблемы маркировки VLAN, наблюдаемые с сокетами Cato, их основные причины и структурированные шаги устранения неполадок, чтобы помочь клиентам проверить и решить проблемы с подключением.

Симптомы

Проблемы с маркировкой VLAN обычно проявляются как один или несколько из следующих симптомов:

  • Устройства на включенных диапазонах VLAN не могут подключиться к сети.
  • Запросы ARP или DHCP не получают ответов.
  • Снимки пакетов показывают отсутствующие или неправильные теги 802.1Q VLAN.
  • Трафик между VLAN вместо локального маршрутизируется в Cato Cloud.
  • Соседи BGP не могут установиться через интерфейсы, поддерживающие VLAN.
  • Конечные точки получают неправильные диапазоны IP-адресов или вообще не получают IP-адрес.

Понимание сценариев магистрали VLAN

Следующая схема иллюстрирует две общие конфигурации магистрали между сокетом Cato и коммутатором:

  • Сценарий 1: в CMA не настроено VLAN для собственного диапазона. Немаркированные кадры на магистрали (например, собственный VLAN 1 на коммутаторе) сопоставляются с собственным диапазоном на сокете.
  • Сценарий 2: VLAN 5 настроен для собственного диапазона в CMA. Кадры с тегами VLAN 5 сопоставляются с собственным диапазоном на сокете.

Устранение проблемы

Используйте следующие разделы устранения неполадок, чтобы изолировать проблемы, основываясь на наблюдаемом симптоме. Снимки пакетов, собранные из веб-интерфейса сокета и проанализированные в Wireshark, критически важны для проверки тегов VLAN и структуры кадров.

Устранение неполадок диапазонов VLAN

  1. Убедитесь, что порт коммутатора, подключенный к сокету, настроен как магистраль и допускает все необходимые идентификаторы VLAN, включая настроенный для собственного диапазона (если он настроен).
  2. Убедитесь, что поведение собственного VLAN на коммутаторе и сокете (маркированное или немаркированное) соответствует вышеописанным сценариям магистрали VLAN.
  3. В CMA, просмотрите включенные диапазоны VLAN и убедитесь, что настроенные идентификаторы VLAN соответствуют конфигурации коммутатора.
  4. Соберите PCAP из соответствующего интерфейса LAN сокета используя веб-интерфейс.
  5. Откройте снимок в Wireshark и проверьте заголовок Ethernet на наличие тега 802.1Q и ожидаемого идентификатора VLAN.

Примечание: успешный запрос ARP на диапазоне включенных VLAN включает заголовок 802.1Q с верным идентификатором VLAN. Кадры без тега VLAN обычно отбрасываются входящими магистральными портами.

Устранение неполадок маршрутизации между VLAN

  1. Анализируйте события CMA, связанные с затронутым трафиком между VLAN.
  2. Проверьте, включен ли межсетевой экран LAN на сокете.
  3. Просмотрите правила межсетевого экрана LAN, чтобы убедиться, что трафик между VLAN явно разрешен. 
    • Помните, если сетевое правило LAN настроено для трафика между VLAN и нет правила брандмауэра LAN, которое его разрешает, он блокируется по умолчанию.
    • Если микросегментация включена в диапазоне сетей VLAN, убедитесь, что межсетевой экран LAN позволяет трафик внутри VLAN.
  4. Если межсетевой экран LAN не включен, проверьте правила межсетевого экрана WAN, чтобы убедиться, что они не блокируют маршрутизированный трафик VLAN случайно.
  5. Соберите PCAP из соответствующего интерфейса LAN сокета используя веб-интерфейс. Убедитесь, что кадры содержат правильный тег VLAN, настроенный в CMA и на порте магистрали коммутатора.

Устранение неполадок BGP на диапазонах VLAN

  1. Убедитесь, что используемый для узла BGP диапазон включенных VLAN имеет правильный идентификатор VLAN.
  2. Убедитесь, что подключенный коммутатор или маршрутизатор ожидает трафик BGP на том же VLAN.
  3. Перехватите трафик на интерфейсе сокета и подтвердите, что пакеты BGP маркированы правильным VLAN.
  4. Проверьте наличие асимметричного роутинга, вызванного несоответствием мирового тега на пути входа и выхода.

Устранение неполадок DHCP и назначения IP-адресов

  1. Убедитесь, что входящая магистраль коммутатора допускает VLAN, связанный с областью DHCP.
  2. Убедитесь, что запросы DHCP от конечных точек маркированы ожидаемым идентификатором VLAN.
  3. Используйте PCAP на сокете, чтобы подтвердить, что сообщения DHCP Discover и Offer видимы и корректно маркированы.
  4. Убедитесь, что нет пересекающихся или конфликтующих конфигураций VLAN на промежуточных коммутаторах.

Обращение в службу поддержки Cato

Если проблема сохраняется после завершения шагов по устранению неполадок и решению, перенесите случай в поддержку Cato с достаточными диагностическими данными.

  • Описание затронутых идентификаторов VLAN и диапазонов.
  • Подробности конфигурации соответствующего коммутатора или гипервизора.
  • Файлы PCAP, собранные из интерфейсов сокета.
  • Период времени проблемы и является ли она периодической или постоянной.
  • Любые недавние изменения конфигурации, связанные с VLAN, маршрутизацией или правилами межсетевого экрана.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев