XOps 网络指南 - BGP 会话已断开

本指南介绍了在站点的 BGP 会话断开时的解决步骤。

概览

当 BGP 会话断开时,两台 BGP 路由器之间的连接被终止,可能会中断路由信息的交换。 断开会话的影响可能因网络的冗余和故障恢复机制而异。 在存在备用路径的情况下,影响可能较小。 然而,在弹性较差的设置中,断开连接可能导致临时路由问题和服务中断。

 

有关 BGP 的更多信息,请参阅在 Cato 云中使用 BGP。

 

发现站点的 BGP 会话已断开的不同方法:

  • 转到 XDR 发现事件 页面,并使用 网络 XDR 预设来找到 BGP 会话已断开 事件。

    bgpwprkbench.png

    故事提供有关事件时间线、当前 Socket 状态等的信息。

  • 一个路由事件,BGP 会话子类型,操作为 断开

    • 使用 BGP 对等端断开连接 预设过滤器,并根据需要调整时间范围。

  • BGP 电子邮件通知
    • 当为BGP 对等端启用电子邮件通知时,会向邮件列表发送电子邮件(可能包括非管理员)。

 

在回复站点操作事件时,首先验证问题是否正在进行,然后排查问题,最后确认问题已解决,这一点很重要。

 

第 1 步 - 验证 BGP 会话是否断开

本节讨论了可以用来验证站点的 BGP 会话已断开以及可能的根本原因的不同 Cato 工具。

 

 

显示 BGP 状态

使用 Cato 管理应用程序显示 BGP 会话的实时状态。 在站点的 BGP 页面(网络 > 站点 > {site name} > 站点配置 > BGP)中,点击 显示 BGP 状态

这是一个断开 BGP 会话状态的示例:

bgpstatus.png

显示 BGP 路由

使用 Cato 管理应用程序查看账户路由表(监控 > 路由表)。 您可以过滤相关站点名称。

下面的示例显示路由表中未包含动态路由,表明未从 BGP 对等端学习到任何路由:

 

验证云互连站点的 BGP 断开状态

对于云互连站点,BGP 用于云环境底层和 PoPs 之间的连接。

  • 在站点的云互连页面(网络 > 站点 > {site name} > 站点配置 > 云互连)中,点击 测试连接性 以显示底层 BGP 状态

  • 在站点页面查看站点状态

 

第 2 步 - 故障排除 BGP 断开状态

本节讨论了 Cato 中可用的工具,这些工具可用于遵循事件的结构化故障排除方法。 通常应按顺序遵循这些步骤,但这些检查的结果可能会决定下一步是什么。

说明 BGP 会话断开原因

 可以使用 Cato 管理应用程序的事件页面(主页 > 事件)说明 BGP 会话断开的原因。

使用预设 BGP 对等端断开 可以查看选定时间范围内所有断开的 BGP 会话的历史记录。 这些事件还有相关的 BGP 断开错误代码,可说明断开连接的原因:

bgpdisconnreason.png

 

确保此事件之前没有进行变更

审计结账页面 中查看 Cato 管理应用程序的变更,并查看是否有与此问题相关的配置。 如果配置变更直接在此事件之前,请考虑还原它并确认配置应该是什么。

 

验证 BGP 配置是否正确

使用 Cato 管理应用程序显示 BGP 会话的实时状态。 在站点的 BGP 页面(网络 > 站点 > {site name} > 站点配置 > BGP)中,点击 显示 BGP 状态, 然后 原始状态。 该详细状态还列出了配置参数。 应检查这些参数以确保应用了正确的配置。

软重置配置

验证备用的 BGP 邻居是否断开后,可以更改其中一个 BGP 邻居,然后点击 保存。 这会推送一个新的配置,可能解决问题。 然后恢复原设置并保存原配置。

检查 BGP 协议流量在对等端之间是否是双向的 

为了建立和运行 BGP 会话,BGP TCP 端口 179 上必须有双向流量。 使用 Cato 数据包捕获可以调查和验证此流量的双向性。

对于 Socket 站点,在 Socket LAN 接口(用于 BGP 流量的端口)上进行数据包捕获 (PCAP)。 有关详细信息,请参阅如何在 Socket 上进行数据包捕获

  • 对 PCAP 进行端口 179 的过滤。 如果流量是双向的,请确保 TCP 三次握手成功完成。

  • 如果握手成功完成但会话仍未建立,则可能是其中一个对等端报告了错误。 这些错误应该可以在数据包捕获上看到。 报告的错误应该是 BGP 标准错误,因此可以通过查看 BGP 错误文档进一步检查。

  • 如果流量仅为单向,从 socket 来源但是没有对等端返回,请继续到下一节以调查第 3 层可达性。

对于 IPSEC 站点,请参阅 IPsec 站点连接故障排除 指南中强调的数据包捕获步骤。

 

检查对等端的第 3 层可访问性

在站点的已知主机页面上查看最近主机活动时间。 这提供了有关连接问题的时间安排和 BGP 会话的更多信息。

 

Ping BGP 对等端以测试可达性 

 对于 Socket 站点,您可以使用 Socket WebUI 从 LAN 接口 ping BGP 对等端,确保 BGP 对等端允许 ICMP 流量。 更多信息请参阅 使用 Socket WebUI 工具

  • 从 Socket WebUI,根据以下设置 ping 主机:

    • 通过路径 - LAN

    • 主机名/IP - BGP 对等端的 IP 地址

    • 失败 - BGP 路由器不可达,问题与 Cato 云无关

    • 成功 - POP 和 BGP 路由器之间存在问题

      以下是基于 ping 结果的示例结论:

对于 BGP over IPSEC 站点,您可以按照 IPsec 连接故障排除 中概述的程序获取数据包捕获。 有效的 ping 来源可以是任何通过 WAN 能够到达 BGP 对等端地址的主机。

 

第 3 步 - 验证 BGP 断开状态已解决

显示 BGP 会话已建立事件

当 BGP 邻居连接到站点时,会生成 BGP 会话事件,操作为 已建立。 在事件页面,您可以手动配置事件过滤器以 操作已建立 来显示事件。

 

测试 BGP 状态

BGP 会话的实时状态显示路由状态和信息。 在站点的 BGP 页面(网络 > 站点 > {site name} > 站点配置 > BGP)中,点击 显示 BGP 状态

 

 确保所有前缀已接收

使用 Cato 管理应用程序查看账户路由表(监控 > 路由表)。 您可以过滤相关站点名称。

下面的示例显示所预期的动态路由包含在路由表中,意味着从 BGP 对等端学到的预期路由:

 

 向 Cato 支持提交问题

如果按照本指南操作后无法解决问题,您可能需要向 Cato 支持提出工单。 这样做时,为了最快的解决方案,重要的是您包含所有通过遵循上述步骤收集的洞察。

请参阅 提交支持工单

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论