本手册描述了当配置局域网监控且Cato云无法访问站点后方的主机时需要解决问题的步骤。
局域网监控功能允许您通过IP地址来定义站点后方的主机,以及该主机的故障阈值(连续ICMP测试失败的最大次数)。 Cato云中的一个PoP发送ICMP测试到主机,如果在指定数量的ICMP测试中主机未能响应,则被视为宕机,并自动生成一个事件。 当主机无法访问时,您也可以选择发送电子邮件通知。
当主机与PoP之间的连接恢复后,会生成一个新事件表示主机可访问。
欲了解更多信息,请参见使用站点的局域网监控。
以下是Cato管理应用程序管理员可以用来验证监控主机已无法访问监测PoP的方法:
-
转到事件工作台页面,并使用网络XDR预设来查找局域网监控主机不可达事件。
该事件提供有关站点当前状态、事件时间线等信息。
-
局域网监控事件,动作为主机不可达
-
使用局域网主机不可访问预设过滤器,并在必要时调整时间范围
-
-
局域网监控电子邮件通知
-
当为局域网监控规则启用电子邮件通知时,电子邮件会发送到邮件列表(可以包括非管理员)。
-
在响应站点操作事件时,首先验证问题是否持续,然后排除故障,最后验证问题已解决,这一点非常重要。
本节讨论了您可以用来验证主机不可达原因的不同Cato工具。
使用局域网监控事件预设
使用局域网监控预设事件过滤器可让我们检查与相关主机最近的事件。 如果此事件后未出现连接性恢复的事件,则表明主机仍然不可访问。
查看当前状态的事件
事件本身也可用于确定主机是否持续不可达。 事件的当前状态列在仪表板上。 事件状态为开放表示此事件仍在进行中。
步骤 2 - 排查主机连接性
本节讨论了Cato中的工具,可用于对此类事件进行结构化的排查流程。 这些步骤通常应该按顺序进行,但这些检查的结果可能决定下一步可能是什么。
查看Cato管理应用程序的审计轨迹页面中的变更,看看是否有与此问题相关的配置。 如果有任何配置直接导致了主机状态的变化,请考虑恢复更改。
已知主机
可在CMA中的已知主机页面上(网络 > 站点 > {site name} > 站点监控 > 已知主机)获取有关站点内看到的各个端点的信息。 此信息包括从主机发出的最后一个数据包的上次出现时间。
通常,监控主机响应局域网监控的ICMP数据包时总是会刷新此计时器。 像上面这样的示例表明了主机的可达性丢失的时间点。 这可能会提供额外的上下文。 例如,此时间窗口是否与可能影响主机连接性或本地环境中网络变化的计划维护窗口或电力事件相符。
您可以使用Socket WebUI从局域网接口ping该主机。 有关更多信息,请参见使用Socket WebUI工具。
-
从Socket WebUI,ping主机,使用以下设置:
-
路由通过 - LAN
-
主机名/IP - 不可达主机的IP地址
如果没有响应ping,则问题可能与路由相关,或者主机可能普遍无法访问,断电或未配置响应ping,例如。
-
-
-
使用Socket WebUI工具,在ping目标主机时,抓取LAN接口的PCAP。 查看socket和主机之间是否存在双向ping。
以上示例显示在针对目标主机的物理地址进行ARPing时,socket没有响应。 这意味着主机与socket LAN在同一局域网,但主机在第二层未响应。 对于此结果,请验证主机已通电并准备好响应ARP请求。
上述示例显示了socket和PoP对监控主机的原始局域网监控配置的ICMP请求 请注意PoP发送的ICMP局域网监控请求之间的源地址10.254.254.1和时间增量(10秒)。 发送ICMP请求表明,要么下一跳的MAC地址,要么终端主机的MAC地址正在用于发送这些请求。 验证此MAC地址是否表明监控主机位于三层边界之外,或与socket的局域网网络本地连接。
- 如果监控主机位于三层边界后面,请开始调查该跳点的ICMP请求处理情况。 如果来自主机的ICMP响应到达该三层边界设备,则可能是该三层边界的路由问题。
- 如果监控主机在socket的局域网网络内,可能是设备断电或未配置或无法响应ICMP。
-
在解决主机问题后,验证它是可达的,并可连接到Cato云。
在主机与Cato云的连接恢复后,会生成一个主机可达事件。 您可以手动配置事件过滤器,设置为操作是主机可达来显示该事件。
向Cato支持团队提交案例
如果按照本手册仍无法解决问题,您可能需要与Cato支持团队交流。 在此过程中,为了最快解决问题,重要的是包括通过执行上述步骤所获取的所有洞察。
请参见提交支持票
0 条评论
请登录写评论。