备用WAN故障排除

概述

备用WAN (Alt. WAN)通过提供灵活和有弹性的WAN流量管理解决方案,使组织能够改善其网络连接。 它支持两种类型的配置:Layer-2用于相同子网上的Sockets, Layer-3用于不同网络上的Sockets。 有关部署的详细信息,请参阅Integrating-Cato-with-Alternative-WAN-Network

本文涵盖了备用WAN的常见问题。 并提供解决它们的故障排除步骤。

症状

以下是备用WAN未按预期工作的常见症状: 备用WAN未按预期工作时的常见症状:

  • 备用WAN连接失败 无法建立WAN连接
  • 尽管流量通过备用WAN,CMA仍显示站点已断开 WAN
  • 服务器在使用备用WAN时重置TLS连接 WAN
  • 备用WAN恢复到备用WAN失败,当主隧道下降 WAN
  • 通过备用WAN无法建立BGP连接 WAN

可能的原因

  • 配置错误
  • 在备用站点之间阻止了UDP/20049。 WAN站点
  • 高 Socket 中央处理器使用率

问题排查

备用WAN隧道未建立

检查配置

  • 要确保配置正确,请导航到启用备用WAN的套接字站点。 转到网络 > 站点 > 套接字,并验证备用WAN接口的端口状态是否显示为上线。 
  • 如果状态显示下线,请检查端口连接以确认其已正确连接到网络。
  • 确保接口配置了正确的选项——无论是备用WAN(Layer-2)备用WAN(Layer-3)
  • 接下来,确认IP地址和子网设置是否准确配置。
  • 要确认备用WAN隧道为活跃,请使用Socket WebUI访问Socket。 如果备用WAN隧道成功建立,它将在SDWAN隧道下显示连接频道数。

确保UDP端口20049未被阻止。

  • 备用WAN隧道通过UDP/20049建立。
  • 访问两个套接字的SocketUI,并导航到流量捕获选项卡。
  • 选择备用WAN配置的WAN接口并开始捕获UDP协议。 WAN已配置并开始捕获UDP协议。
  • PCAP应显示UDP端口20049上的双向流量。 如果未看到双向流量,请检查两个站点之间的任何设备是否阻止了UDP/20049。

    注意: 在备用WAN Layer 2配置中,使用备用WAN IP启动隧道。 而在备用WAN第3层配置中,隧道使用本地子网的本地IP启动。 下表突出显示了第2层和第3层配置之间的流量流动差异,特别是关于隧道源IP的重点。

    第2层

    第3层

    备用WAN隧道将从备用WAN IP开始。 备用WAN接口的包捕获显示,隧道从IP地址192.168.20.2启动,并与远程站点的备用WAN IP:192.168.20.3和192.168.20.4建立连接。

    尽管备用WAN IP地址已在Socket UI中配置为192.168.20.2,但备用WAN隧道并不是从此IP开始。 备用WAN接口的包捕获显示,隧道实际上源自192.168.2.1,并与配置为备用WAN的远程站点的本地IP:192.168.3.1和192.168.4.1建立连接。

     

尽管流量通过备用WAN,站点在CMA中显示为已断开。 WAN

  • 因为到Cato云的隧道断开,站点在CMA中显示为断开。
  • 流量继续通过备用WAN传输 WAN链路确保网络操作,但CMA将站点注册为离线,因为无法访问。
  • 要恢复在CMA中的可见性,请排除故障并重新建立到Cato云的隧道连接。 有关详细的故障排除步骤,请参阅Socket-Site-Tunnel-Connectivity-Troubleshooting。 

备用WAN链接上的TLS连接失败 链接

  • 已明确配置网络规则以使用备用WAN作为主要传输方式 WAN作为主要传输 
  • 检查Socket UI显示备用WAN隧道已上线 WAN隧道已上线 
  • 然而,当使用备用WAN时,服务器不停地重置TLS应用程序 WAN。

  • 在这种情况下,确保在备用WAN规则上方没有存在复杂的网络规则是至关重要的。 WAN规则,因为复杂规则在网络中处理的方式。 复杂的网络规则是套接字无法直接评估的规则。 因此,当复杂规则出现在备用WAN规则上方时, 套接字将流量发送到PoP以确定适当的网络处理。

  • 当返回流量通过备用WAN链接时,此过程可能导致不对称流,从而最终导致服务器重置连接。 WAN链接,最终导致服务器重置连接。

  • 有关复杂规则的更多信息,请参阅Explaining-the-Cato-TCP-Acceleration-and-Best-Practices,下的“使用复杂网络规则”部分。
  • 请参阅Alt.上的TLS连接失败解决方案。 WAN链接,了解如何解决此问题。

WAN恢复到Alt. 当主要隧道关闭时,WAN没有发生

  • 默认情况下,WAN恢复未为Alt.启用。 WAN。 这被认为是有限的功能,如果您想选择它,您可以向您的Cato代表发送请求
  • 请参阅恢复与Alt. WAN链接的连接以获取详细信息。 

BGP无法建立连接

  • 客户的BGP路由器和套接字之间的BGP对等已在Alt.上配置。 WAN链路,但BGP连接无法建立。
  •  在这种情况下,Alt. 套接字上的WAN配置如下:
  • BGP路由器日志显示,指定的下一跳是无效的。 一个可能的原因是,BGP更新中公布的下一跳通过BGP对等关系无法访问。
%BGP-5-ADJCHANGE: 邻居 192.168.200.1 上线
%BGP-3-NOTIFICATION: 从邻居 192.168.200.1 收到 3/8 (指定的下一跳无效) 4 字节 0AFD0011
  • 一个潜在的解决方案是在BGP配置中使用next-hop-self命令。 该命令指示路由器将自身宣告为路由的下一跳,确保公布的路由对接收BGP邻居具有可达的下一跳IP地址。
  • 请参阅BGP无法建立连接的解决方案以获取详细信息。

检查套接字性能

  • 持续超过90%的中央处理器使用率会对套接字性能产生负面影响,可能导致数据包丢失,以及隧道未建立或频繁断开连接。
  • To view historical CPU usage per core browse to Network Analytics and select the Hardware Tab.
  • 要查看实时Socket中央处理器使用率,请浏览到Socket WebUI并选择HW状态标签页。
  • 如检测到中央处理器持续高负荷,请联系支持

解决已发现的问题

Alt.上的TLS连接失败解决方案 WAN链接

  • 如果将简单的网络规则置于涉及已定义应用程序的复杂规则之下,则当使用离线云或Alt.-WAN链接时,两者之间的TLS连接可能会失败。
  • 这是因为强制执行了TCP代理,导致TCP握手通过Cato Cloud,而数据包穿越Alt. WAN,导致连接重置。 
  • 解决方案是将简单的离线云或Alt.-WAN规则移到任何复杂规则之上,或者禁用TLS检查以避免TCP代理执行。
  • 有关此问题的详细信息,请参考离线云或Alt. WAN链接上TLS连接失败。 

BGP无法建立连接的解决方案

  • 客户应确保默认路由的下一跳在其BGP路由器上正确配置。 在客户的路由器上,使用以下选项之一配置默认路由:

    1. 使用next-hop-self命令将下一跳设置为BGP邻居的备用WAN IP:

      邻居 <Socket Alternate WAN IP> next-hop-self

    2. 应用路由图以明确将下一跳设置为路由器的备用WAN接口IP:

      路由图 <map-name> 允许 10
       设置 ip 下一跳 <Router Alternate WAN Interface IP>

限制/注意事项

  • 当Alt. WAN在HA站点上配置时,Alt. WAN隧道仅与Socket建立。 因此,在正常条件下,只有Socket将建立Alt. WAN与远程站点的隧道。 

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论