概述
Cato套接字在所有LAN和WAN接口上都支持基于IEEE 802.1Q标准的虚拟局域网标签。 虚拟局域网标签通过允许多个虚拟局域网通过单个接口进行传输,来实现逻辑网络分段、流量隔离和可扩展的网络设计。 有关更多信息,请参见网络分段最佳实践。
在Cato环境中,虚拟局域网标签适用于:
- 物理Cato套接字和ESX vSockets。
- 虚拟局域网启用范围:Cato将802.1Q标签插入到以太网帧中,用于配置的虚拟局域网范围。
- 原生范围流量:Cato支持原生范围相关流量的虚拟局域网标签行为,具体取决于交换机的中继配置。
- WAN上行链路:WAN接口上的虚拟局域网标签可以通过Socket WebUI配置,以满足服务提供商或运营商的特定要求。
本文描述了Cato套接字常见的虚拟局域网标签问题、其根本原因,以及结构化的故障排除步骤,帮助客户验证并解决连接问题。
症状
虚拟局域网标签问题通常表现为以下一种或多种症状:
- 在虚拟局域网启用的范围内的设备无法与网络通信。
- ARP或DHCP请求没有收到回复。
- 数据包捕获显示缺少或不正确的802.1Q虚拟局域网标签。
- 虚拟局域网间的流量被路由到Cato云而不是本地。
- BGP邻居无法在基于虚拟局域网的接口上建立连接。
- 终端接收不正确的IP地址范围或根本没有IP地址。
了解虚拟局域网中继场景
下图说明了Cato套接字和交换机之间的两种常见中继配置:
- 在场景1中,原生范围的CMA中未配置虚拟局域网。 中继上的未标记帧(例如交换机上的原生虚拟局域网1)被映射到Socket上的原生范围。
- 在场景2中,CMA中为原生范围配置了虚拟局域网5。 带有虚拟局域网5标签的帧被映射到Socket上的原生范围。
故障排除问题
使用以下故障排除部分根据观察到的症状隔离问题。 从Socket WebUI收集和在Wireshark中分析的数据包捕获对于验证虚拟局域网标签和帧结构至关重要。
故障排除虚拟局域网范围问题
- 验证连接到Socket的交换机端口是否配置为中继,并允许所有所需的虚拟局域网ID,包括配置的原生范围的虚拟局域网。
- 确认交换机和Socket上的原生虚拟局域网行为(标记与未标记)与上述虚拟局域网中继场景一致。
- 在CMA中,查看虚拟局域网启用的范围,并确保配置的虚拟局域网ID与交换机配置匹配。
- 使用WebUI从相关的Socket局域网接口收集PCAP。
- 在Wireshark中打开捕获文件,并检查以太网头是否包含802.1Q标签和预期的虚拟局域网ID。
注意: 在虚拟局域网启用范围内,成功的ARP请求包含正确虚拟局域网ID的802.1Q头。 缺少虚拟局域网标签的帧通常会被下游中继端口丢弃。
故障排除虚拟局域网间路由问题
- 分析与受影响的虚拟局域网间流量相关的CMA事件。
- 确认Socket上的局域网防火墙是否启用。
- 查看局域网防火墙规则以确保明确允许虚拟局域网间流量。
- 注意,如果为虚拟局域网间流量配置了局域网网络规则但没有局域网防火墙规则允许该流量,则默认会被阻止。
- 如果在虚拟局域网网络范围内启用了微分段,请确保局域网防火墙允许虚拟局域网内流量。
- 如果未启用局域网防火墙,请检查WAN防火墙规则,以确认它们是否无意中阻止了路由的虚拟局域网流量。
- 使用WebUI从相关的Socket局域网接口收集PCAP。 确保帧包含在CMA和交换机中继端口中配置的正确虚拟局域网标签。
故障排除虚拟局域网范围内的BGP故障
- 验证用于BGP对等的虚拟局域网启用范围是否配置了正确的虚拟局域网ID。
- 确认连接的交换机或路由器是否期望BGP流量在相同的虚拟局域网上。
- 捕获Socket接口上的流量,并验证BGP数据包是否包含正确的虚拟局域网标签。
- 检查由于入站和出站路径中的虚拟局域网标签不匹配导致的非对称路由。
故障排除DHCP和IP分配问题
- 确认下游交换机中继是否允许与DHCP作用域关联的虚拟局域网。
- 验证来自端点的DHCP请求是否带有预期的虚拟局域网ID。
- 在Socket上使用PCAP验证DHCP Discover和Offer消息是否可见且标记正确。
- 确保在中间交换机上不存在重叠或冲突的虚拟局域网配置。
向Cato支持提出案件
如果在完成故障排除和解决步骤后问题仍然存在,请与充足的诊断数据一起将案件升级到Cato支持。
- 受影响的虚拟局域网ID和范围的描述。
- 相关交换机或虚拟机监控器的配置详细信息。
- 从Socket接口收集的PCAP文件。
- 问题时间段以及它是间断性还是持续性。
- 任何与虚拟局域网、路由或防火墙规则相关的近期配置更改。
0 条评论
请登录写评论。