网络规则评估故障排除

概述

确保准确的网络规则评估对于做出明智的路由决策至关重要。 本故障排除指南旨在全面解决各种常见症状,探讨潜在原因,并提供系统步骤以解决与网络规则评估相关的问题。

症状

未能根据网络规则评估流量可能表现为多种方式。 管理员可能会注意到以下症状:

  • 公共来源IP错误
  • 网络规则不匹配
  • 选择了错误的WAN接口
  • TCP加速正在强制执行或跳过
  • QoS优先级不匹配
  • 离线云或备用WAN中断流量连接

可能的原因

  • 自定义或内置应用程序不匹配
  • 域名不匹配
  • 选择了错误的出站PoP
  • WAN连接不健康
  • 被阻止或未识别的应用导致固定的QoS优先级
  • 网络规则顺序不正确

初步评估

注意

注意: 确保您有一个防火墙规则(即使是为故障排除目的临时创建的)启用事件跟踪,包括预期匹配已配置网络规则的流量。

通过在CMA中选择互联网防火墙WAN防火墙预设来查看防火墙事件。 设置过滤器以缩小感兴趣的流量。 分析相关字段,如相关应用程序应用程序Cato 应用程序出站PoP 名称、公用来源IP、目标IP域名网络规则和TCP加速,这些将帮助您确定问题的可能根本原因。

请通过识别用户报告的症状来查看相应的故障排除部分:

故障排除问题

故障排除公共来源IP错误

在某些情况下,如在如何配置出站规则中所述,需要定义特定的公共源IP以访问受限制的互联网服务。 如果服务报告了一个意外的公共来源IP,请按照以下步骤进行。

检查多个出站IP

对于有多个出站IP地址的网络规则,Cato云使用地理位置上最接近来源的PoP的出站IP地址。 如果第一个出口流量IP地址不可用,Cato Cloud 会自动移动到第二个出口流量IP地址。 下图显示了具有两个出站IP地址的网络规则的示例。

在此示例中,网络规则可以从纽约PoP或芝加哥PoP 出站流量。 如果来源在物理上更接近纽约PoP,Cato将尝试从纽约的PoP出站特定流量。 如果无法从纽约PoP到达目的地,则Cato 会从芝加哥PoP出站流量。

要更改此行为,请参阅出站PoP选择更改

出站IP不可用

网络规则包含单个出站IP时,可能会使用与配置不同的Cato 公共IP出站流量。 当与出站IP关联的PoP在维护窗口期间暂时不可用时,这种情况可能会发生。 这种情况可能是关键的,特别是对于VoIP应用程序。

要更改此行为,请参阅出站PoP选择更改

检查网络规则更改

如果最近编辑了网络规则并添加了出站IP地址。 请记住,只有新生成的流量流才会使用新的出站IP。 现有流量流将保持与创建时关联的出站IP。

上述行为通常在VoIP流量中常见,其中SIP流长期保持活跃。 为了解决此问题,可以重启VoIP电话,这将触发新SIP流的创建,并根据更新的网络规则的出站IP进行路由。

故障排除网络规则不匹配

在配置网络规则时,可能会出现流量根据错误的网络规则进行评估的情况。 本节涵盖所有可能的不匹配场景以及如何解决此问题的方法。

防火墙事件分析

从防火墙事件中识别相关字段,如相关应用程序应用程序Cato 应用程序目标IP域名网络规则。 这些信息将帮助您排查网络规则不匹配的原因。

检查网络规则例外

识别添加到网络规则中的任何例外。 如果流量流与添加的例外匹配,则网络规则将被忽略,并且规则查找将继续进行剩余的规则库,直到找到匹配项。

验证自定义应用程序

如果预期有趣的流量匹配自定义应用程序,并且在防火墙事件中找到的应用程序字段与其不匹配,请确认自定义应用是否配置正确。 请记住,当存在重叠的自定义应用程序时,Cato 识别流量为某一个自定义应用程序。 

为防止此问题,请查看解决重叠自定义应用程序部分。

验证内置应用程序

如果预期有趣的流量匹配内置应用程序,并且流量匹配到了错误的网络规则,请检查以下内容:

  • 哪些应用程序是在“错误”匹配的网络规则中配置的。
  • 这些应用程序中是否有任何列于FW事件中的相关应用程序字段。

应用程序识别是一个多步骤过程,从识别协议开始,然后是包含在相关应用程序字段中的所有可能匹配的应用程序。 任何“相关应用程序”在流量中被识别出来,无论最终应用程序(应用程序字段)决定如何,都会匹配网络规则。

在下面的示例中,访问portal.azure.com匹配规则#7,而非规则#8。 这是因为规则#7包含了Microsoft Azure应用程序(包含在相关应用程序中),即便最终应用程序(应用程序字段)是Azure Front Door

要解决此预期行为,请参阅网络规则排序

验证域名

如果一个网络规则包含域或完全限定域名对象,请检查FW事件中的域名字段是什么。 网络规则中的域/FQDN对象必须与此字段相同。

请记住,FQDN是对完全限定域的精确匹配。 例如,完全限定域名 (FQDN) example.com 仅匹配 example.com。

另一方面,域名是一个顶级 (TLD) 或二级域名 (SLD),匹配所有子域。 例如,域example.com匹配www.example.comhost.example.com

可能存在无法从HTTP、TLS或DNS流量中确定正确域名的情况。 要解决这些类型的问题,请参阅解决域名问题

故障排除不正确的WAN接口选择

本节涉及Cato被选择为传输方法,并且两个WAN接口配置在Active/Active部署中的情况。 有关基于策略路由的更多信息,请参见Cato如何选择最佳传输或链接

注意

注意:FW规则中的ISP 名称源ISP IP字段可能不是一个良好的指示来确定流量使用哪个WAN链接。 这是因为流量流在其生命周期中可以多次更改隧道。

查看网络规则传输配置

如果要实现Active/Active部署,则主要接口角色必须设置为自动,或者必须配置主要接口和次要接口角色,如下图所示。 将次要接口角色设置为将导致当主要接口不可用时流量不切换。 请参阅通过套接字接口路由流量

查看网络分析

平均吞吐量部件将显示每个WAN链接的平均带宽利用率。 这可以用作确认网络规则选择了正确的WAN连接或正确平衡流量的指标。 在下面的截图中,网络规则被已修改为选择WAN2作为主要传输。

重要的是要监控WAN链接性能,特别是针对丢包率、抖动和距离。 如Active/Active流量分布中所述,如果某个链接不满足最低链接质量阈值,它将被视为不健康,并且不会被选择用于流量分配,即使该WAN链接被选择为主要传输。

查看Socket WebUI

一种简单的方法来判断Socket是否将链接视为不健康是Socket WebUI中的监控页面。 如果延迟、抖动或丢包率指标不满足最低要求,不健康的值将用红色标记。

在以下示例中,WAN1的延迟相当高,这导致Socket认为该链接不健康。 必须与您的ISP反映此问题。

检查WAN链接配置

如果所有的active/active链接都是健康的,请检查CMA中每个WAN链接的带宽配置。 在下面的示例中,WAN1链路配置了100 Mbps的下行/上行带宽,而WAN2链路配置了20 Mbps的下行/上行带宽。 这将导致以100:20或5:1的比例在上传和下载方向上发送更多流量到WAN1。

故障排除强制或跳过TCP加速

解释Cato TCP加速和最佳实践中所讨论的,可以在网络规则中启用TCP加速,以加速通过WAN的TCP连接。 此功能通常在某些场景中强制执行,即使取消选中规则中的主动TCP加速选项,管理员可能也无法禁用它。 本节解决这些场景以及何时需要禁用该功能的方法。

当强制执行TCP加速时

当网络规则使用出口IP或出口位置时,将强制执行TCP加速。 这迫使PoP充当代理,这反过来将对所有匹配该规则的流量流强制执行TCP加速。 网络规则中的复选框将变灰。

在以下情况时,在网络规则中禁用TCP加速是无效的:

  • TLS检查已为账户启用,这将对所有TLS流量激活TCP加速,即使它经过TLS绕过。 因为PoP需要作为代理来检查流量中的恶意文件和威胁。
  • 复杂网络规则存在于匹配的网络规则之上,TCP加速被禁用。
  • 具有TCP加速禁用的网络规则本身是复杂的。

复杂网络规则(也称为NG规则)是Socket本身无法评估的网络规则。 因此,Socket需要将流量发送到PoP以选择正确的网络规则,从而实现TCP加速。 可能包含:应用程序、应用程序类别、服务、自定义应用程序或域名/FQDN对象。

另一方面,简单规则可能包含以下实体,由Socket评估,不需要PoP介入:

  • 来源/目的地字段:站点、IP地址、网络接口、IP范围或任何。
  • 应用/类别字段:端口范围或自定义服务。

跳过TCP加速时

TCP加速将仅应用于TCP流量。 如果在网络规则中启用了TCP加速或按照上一部分的说明强制执行,但在CMA事件中的TCP加速字段为0,可能是由于Cato Cloud上的不对称路由导致流量流被检测为开放模式

Cato上的不对称路由中所述,开放模式是一种连接模式,其中Cato Cloud不知道TCP流的开始(三次握手),从而防止应用TCP加速。 我们建议与Cato支持团队合作,以确定开放模式流创建的根本原因。

禁用TCP加速

要禁用TCP加速,可以在网络规则库顶部放置一个没有出口IP或位置的简单规则,如网络规则顺序中所述。 如上所述,如果流量是TLS,则必须为整个账户禁用TLS检查。

排除QoS优先级不匹配问题

何时为流分配QoS优先级255中所述,可能存在这样的情况,网络规则中配置的QoS优先级与FW事件中显示的优先级不同。

QoS优先级255被视为带宽管理的默认优先级。 无论网络规则的带宽优先级配置如何,有多种原因可以导致流被分配QoS优先级255:

  • Cato评估每个流量的网络概要,当未识别特定应用程序时,将分配QoS优先级255。
  • 前几个数据包(在流被识别之前)被赋予QoS优先级255。
  • 已阻止的流将被分配QoS优先级255。

排除离线云或Alt-WAN断开流量连接问题  

本节解决当WAN网络规则配置为以离线云或Alt-WAN为主要传输时TLS连接未能在站点之间建立的情形。 要解决此问题,请按照以下步骤操作。

流量分析

当流量通过离线云或Alt-WAN正确路由时,流量流不会在CMA中生成FW事件,因为此流量不经过PoP。

确认流量已成功通过离线云或Alt-WAN路由的一种方法是在Socket WebUI中的SDWAN标签页。 识别活动流量流动,在选择的NIC下,您将看到为感兴趣的流量选择的传输。 如果未选择预期的传输,请确认离线云Alt-WAN已正确配置。

验证网络规则顺序

离线云或Alt-WAN链接上的TLS连接失败中所述,当流量为TLS并启用TLS检查时,网络规则顺序是确保离线云或Alt-WAN链接上流量流动的重要因素。

当流量命中网络规则在复杂规则之下时,Sockets无法评估网络规则并通过离线云或Alt-WAN路由数据包。 要解决此预期行为,请参阅网络规则顺序

解决发现的问题

解决自定义应用程序重叠问题

确保自定义应用程序包括正确的IP地址、域名、端口和协议。 没有逻辑选择用于识别的自定义应用程序,因此必须唯一地定义自定义应用程序以避免与其他自定义应用程序重叠。 有关详细信息,请参阅使用自定义应用程序

网络规则顺序

请记住,网络规则是按其顺序评估的,因此重要的是要在更一般的规则之上定义更具体的规则。 例如,定义自定义应用程序、内置应用程序、域名、FQDN或自定义服务的网络规则应放在包含类别、自定义类别或服务的网络规则之上。

在下面的截图中,规则#1包含包括twitter.com的IP范围的自定义服务,并放置在包含应用程序类别的规则#2之上。 规则#1比规则#2更具体,将更好地匹配指向twitter.com的流量。这还将禁用TCP加速,并解决任何离线云或Alt-WAN路由问题,因为规则#1是一个简单规则。

解决域名问题

基于域名/FQDN的网络规则匹配问题可以通过以下方式解决:

  • 对于像 HTTP/S 这样的协议,Cato 可以使用以下来源确定目的地域名:

    • 超文本传输协议主机名标头(当启用 TLS 检查时)

    • 在 TLS 握手期间的SNI字段

    • DNS 解析,域名从 DNS 查询和响应中获取

  • 确保在网络规则中指定的域名在所有这些来源中保持一致非常重要。 注意,从头到尾评估时,只有最佳匹配域名显示为防火墙事件中的域名。 

  • 对于其他协议,如安全外壳协议(SSH)或 SMB,不以明文发送域名时,Cato 完全依赖DNS 拦截来将流量与域名或完全限定域名 (FQDN) 关联。 使用私有 DNS 时尤其重要,因为我们需要确保 DNS 查询/响应经过 Cato。 请参阅DNS和您的Cato账户的最佳实践

出口流量PoP选择变更

如果您希望将所有账户的出口流量规则通过靠近目的地的PoP来路由,而不是靠近来源(默认行为),请通过提交工单到Cato支持联系Cato Networks支持。

对于使用SIP协议的VoIP应用程序,需要始终使用相同的出口IP,请在高级设置中启用SIP流量首选IP选项。

如果不同的VoIP协议或任何其他应用程序需要始终使用相同的出口IP,请通过提交工单到Cato支持联系Cato Networks支持。

提交工单到Cato支持

提交一个支持工单,并附上上述故障排除步骤的结果。 请在工单中包括以下信息:

  • 遇到问题的详细信息以及对用户的总体影响。
  • 相关防火墙事件和网络规则配置。
  • 重现问题并运行支持自助服务。 包括由工具生成的工单编号。

这篇文章有帮助吗?

2 人中有 2 人觉得有帮助

0 条评论