XOps 网络剧本 - 替代 WAN 排障

概览

替代 WAN(Alt. WAN)通过提供灵活和高可用的 WAN 流量管理解决方案,帮助组织改善其网络连接。 它支持两种类型的配置:同一子网 Sockets 的第 2 层配置和不同网络 Sockets 的第 3 层配置。 有关部署的更多详细信息,请参阅Integrating-Cato-with-Alternative-WAN-Network

本文涵盖了常见的替代 WAN 问题。 并提供排查步骤以解决这些问题。

症状

以下是替代 WAN 未按预期运行时的一些常见症状: WAN 未按预期运行时的一些常见症状:

  • 替代 WAN WAN 连接无法建立
  • 即使通过替代 WAN 流量正常,CMA 仍显示站点未连接 WAN
  • 使用替代 WAN 时服务器重置 TLS 连接 WAN
  • WAN 恢复至替代 WAN 当主隧道崩溃时失败
  • 通过替代 WAN 无法建立 BGP 连接 WAN

可能的原因

  • 配置错误
  • 替代 WAN 站点之间 UDP/20049 被阻止 WAN 站点
  • 高 Socket CPU

排查问题

替代 WAN 隧道无法建立

查看配置

  • 确保正确配置,导航到启用替代 WAN 的 Socket 站点。 进入网络 > 站点 > Socket,并验证替代 WAN 接口的端口状态显示为上线。 
  • 如果状态显示掉线,则检查端口连接以确认其已正确连接到网络。
  • 确保界面配置了正确的选项——要么替代 WAN (Layer-2),要么替代 WAN (Layer-3)
  • 接下来,确认 IP 地址和子网设置已准确配置。
  • 要确认替代 WAN 隧道是否处于活动状态,请使用Socket WebUI访问 Socket。 如果替代 WAN 隧道已成功建立,SDWAN 隧道下将显示连接通道数量。
  • .

确保 UDP 端口 20049 未被阻止

  • 替代 WAN 隧道通过UDP/20049建立。
  • 访问两个 Socket 的 SocketUI,并导航到流量捕获选项卡。
  • 选择 Alt. WAN 配置的 WAN 接口,开始捕获 UDP 协议。
  • PCAP 应显示 UDP 端口 20049 上的双向流量。 如果未看到双向流量,请检查两个站点之间是否有设备阻止了 UDP/20049。

    注意: 在替代 WAN 第 2 层配置中,隧道使用替代 WAN IP 启动。 相反,在替代 WAN 第 3 层配置中,隧道使用本地子网的本地 IP 启动。 下表重点说明第 2 层和第 3 层配置中的流量差异,特别是隧道的源 IP。

    第 2 层

    第 3 层

    替代 WAN 隧道将从替代 WAN IP 发起。 从替代 WAN 接口捕获的数据包显示隧道从 IP 地址 192.168.20.2 发起,并与远程站点的替代 WAN IP 建立连接:192.168.20.3 和 192.168.20.4。

    虽然替代 WAN IP 地址在 Socket UI 中配置为 192.168.20.2,但替代 WAN 隧道不会从此 IP 发起。 从替代 WAN 接口捕获的数据包显示隧道实际是从 192.168.2.1 发起,并与为替代 WAN 配置的远程站点的本地 IP 建立连接:192.168.3.1 和 192.168.4.1。

     

即使流量通过替代 WAN 流动,CMA 中站点显示为未连接 WAN

  • 站点在 CMA 中显示为未连接,因为到 Cato 云的隧道关闭。
  • 流量继续通过替代 WAN WAN 链接确保网络运行,但由于无法连接,CMA 注册站点为离线状态。
  • 要恢复 CMA 的可见性,请排查并重新建立到 Cato 云的隧道连接。 有关详细的排障步骤,请参阅Socket-Site-Tunnel-Connectivity-Troubleshooting。 

在 Alt 上出现 TLS 连接失败。 WAN 链接

  • 显式配置的网络规则使用替代 WAN WAN 作为主要传输 
  • 查看 Socket UI 显示替代 WAN WAN 隧道已上线。 
  • 但是,服务器在使用替代 WAN 时会连续重置 TLS 应用。 WAN。

  • 在这种情况下,确保替代 WAN WAN 规则上方没有复杂网络规则,因为复杂规则在网络中处理。 复杂网络规则是 Socket 无法直接评估的规则。 因此,当复杂规则出现在替代 WAN 上方时, WAN 规则时,Socket 将流量发送到 PoP,以确定适当的网络处理。

  • 当返回的流量通过替代 WAN WAN 链接时,这可能会导致非对称流,从而导致服务器重置连接。

  • 有关复杂规则的更多信息,请参阅Explaining-the-Cato-TCP-Acceleration-and-Best-Practices,在“使用复杂网络规则”部分。
  • 有关如何解决此问题,请参阅解决 Alt. WAN 链接上的 TLS 连接失败问题

WAN 恢复至替代 WAN 当主隧道崩溃时未发生

  • 默认情况下,不为替代 WAN 启用 WAN 恢复。 WAN。 这被认为是一个受限功能,如果您想选择此功能,可以提请 Cato 代表处理。
  • 有关详细信息,请参阅Recovering-Connectivity-with-Alt-WAN-Links。 

BGP 无法建立连接

  • 已在客户的 BGP 路由器与替代 WAN 上的 Socket 之间配置 BGP 对等 WAN 链接,但 BGP 连接无法建立。
  •  在这种情况下,替代 WAN WAN 在 Socket 上的配置如下:
  • BGP 路由器日志显示指定的下一跳无效。 一个可能原因是,BGP 更新中通告的下一跳无法通过 BGP 对等访问。
%BGP-5-ADJCHANGE: neighbor 192.168.200.1 Up
%BGP-3-NOTIFICATION: received from neighbor 192.168.200.1 3/8 (invalid next hop specified) 4 bytes 0AFD0011
  • 一个可能的解决方案是 BGP 配置中使用 next-hop-self 命令。 此命令指示路由器通告自身作为下一跳,以确保通告的路由对接收 BGP 邻居具有可访问的下一跳 IP 地址。
  • 有关详细信息,请参阅解决 BGP 无法建立连接的问题

检查 Socket CPU 性能

  • 持续的 CPU 利用率超过 90% 会对 Socket 性能产生负面影响,导致数据包丢失以及无法建立或频繁断开隧道。
  • 要查看按核心的历史 CPU 使用情况,请浏览网络分析并选择硬件标签页。
  • 要查看实时 Socket CPU 使用情况,请浏览 Socket WebUI 并选择 HW 状态标签页。
  • 如果检测到持续的大量 CPU 使用情况,请联系支持

解决发现的问题

解决 Alt. WAN 链接上的 TLS 连接失败问题

  • 如果简单网络规则位于涉及已定义应用的复杂规则下方,使用 Off-Cloud 或替代 WAN 链接的两个 Cato 站点间 TLS 连接可能会失败。
  • 这是因为 TCP 代理被强制执行,导致 TCP 握手通过 Cato 云,而数据包通过替代 WAN。 WAN 导致连接复位。 
  • 解决方案是将简单的 Off-Cloud 或替代 WAN 规则移到任何复杂规则之上,或者禁用 TLS 检查以避免 TCP 代理强制执行。
  • 有关此问题的详细信息,请参阅TLS-Connection-Failure-Over-Off-Cloud-or-Alt-WAN-Links。 

解决 BGP 无法建立连接的问题

  • 客户应确保其 BGP 路由器上默认路由的下一跳被正确配置。 在客户的路由器上,使用以下选项之一配置默认路由:

    1. 使用 next-hop-self 命令将下一跳设置为 BGP 邻居的替代 WAN IP:

      neighbor <Socket 替代 WAN IP> next-hop-self

    2. 应用路由映射以明确将下一跳设置为路由器的替代 WAN 接口 IP:

      route-map <map-name> permit 10
          set ip next-hop <路由器替代 WAN 接口 IP>

限制/注意事项

  • 在 HA 站点上配置替代 WAN 时, WAN,替代 WAN WAN 隧道仅与 Socket 建立。 因此,在正常情况下,只有 Socket 会与远程站点建立替代 WAN WAN 隧道。 

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论