WAAS - Risoluzione dei problemi relativi ai cluster Serial Inline

Capitolo: Risoluzione dei problemi relativi ai cluster Serial Inline

In questo articolo viene descritto come risolvere i problemi relativi ai cluster seriali in linea.

Sommario

• 1 Controllo della connettività tra peer seriali
• 2 Verifica della corretta configurazione dei peer seriali
• 3 Verifica del funzionamento di un cluster seriale in linea
• 4 Rilevamento mancata corrispondenza configurazione peer seriale
• 5 Risoluzione dei problemi di accelerazione MAPI
  • 5.1 Verifica criteri dinamici EPM e MAPI
  • 5.2 Verifica filtri e statistiche di individuazione automatica
  • 5.3 Abilitazione della registrazione di debug
• 6 Risoluzione dei problemi relativi agli elenchi degli accessi alle intercettazioni
  • 6.1 Connessioni non ottimizzate
  • 6.2 Le connessioni non vengono ignorate come previsto
  • 6.3 Abilitazione della registrazione di debug

NOTA: Il clustering in linea seriale tra peer non ottimizzati e ACL di intercettazione è stato introdotto in WAAS versione 4.2.1. Questa sezione non è applicabile alle versioni WAAS precedenti.

Controllo della connettività tra peer seriali

Per vedere quali dispositivi sono collegati alle interfacce in linea, usare il comando show cdp neighbors, come segue:

WAE#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                 S - Switch, H - Host, I - IGMP, r - Repeater
Device ID        Local Intrfce    Holdtme    Capability  Platform  Port ID
BBSw-R32-R62     Inline 1/1/lan   154             S I    WS-C3750G-Gig 3/0/17
BBSw-R32-R62     Inline 1/0/lan   154             S I    WS-C3750G-Gig 2/0/18
BBSw-R32-R62     Gig 1/0          126             S I    WS-C3750G-Gig 2/0/22
PLT-32-08-7301   Inline 1/1/wan   148              R     7301      Gig 0/2
PLT-32-08-7301   Inline 1/0/wan   147              R     7301      Gig 0/1
WAE-32-08-7341   Inline 1/1/wan   145             T H    OE7341    Inline 1/1/w
WAE-32-08-7341   Inline 1/0/wan   145             T H    OE7341    Inline 1/0/w

Se i peer seriali sono separati da uno o più switch, il peer non verrà visualizzato nell'output sopra riportato.

Verifica della corretta configurazione dei peer seriali

Per verificare che i peer seriali siano configurati correttamente, utilizzare il comando show peer optimization, come indicato di seguito:

WAE#show peer optimization
Configured Non-optimizing Peers:
        Peer Device Id: 00:1a:64:c2:40:8c

Eseguire questo comando su entrambi i peer e verificare che ciascun dispositivo venga visualizzato correttamente sull'altro.

Utilizzare il comando show device-id per controllare l'ID della periferica, come indicato di seguito:

WAE#show device-id
System Device ID is: 00:21:5e:57:e9:d4

Verifica del funzionamento di un cluster seriale in linea

Dato il seguente esempio di topologia:

BR-WAE —WAN— DC-WAE2 — DC-WAE1

o

BR-WAE1 — BR-WAE2 —WAN— DC-WAE2 — DC-WAE1

In genere, l'ottimizzazione deve essere eseguita tra i dispositivi WAE più esterni, ovvero BR-WAE e DC-WAE1 o BR-WAE1 e DC-WAE1. Per verificare questa condizione, verificare gli ID dei dispositivi nelle connessioni utilizzando il comando show statistics connection. Il PeerID su BR-WAE deve indicare che è in corso l'ottimizzazione con DC-WAE1 e il PeerID su DC-WAE1 deve indicare che è in corso l'ottimizzazione con BR-WAE.

BR-WAE#show statistics connection

Current Active Optimized Flows:                      7552
  Current Active Optimized TCP Plus Flows:          7563
  Current Active Optimized TCP Only Flows:          0
  Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 12891
Current Reserved Flows:                              100
Current Active Pass-Through Flows:                   3053
Historical Flows:                                    429


D:DRE,L:LZ,T:TCP Optimization RR:Total Reduction Ratio
A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO

ConnID        Source IP:Port          Dest IP:Port            PeerID Accel RR
786432   190.190.3.175:19268      155.155.7.208:80 00:21:5e:52:25:5c THDL  00.0%
786435   190.190.5.115:19283      155.155.0.144:80 00:21:5e:52:25:5c THDL  86.0%
786438     199.199.3.0:58436      155.155.9.15:443 00:21:5e:52:25:5c TSDL  00.0%
786440   190.190.2.231:19312      155.155.0.112:80 00:21:5e:52:25:5c THDL  86.0%

Il PeerID nell'output sopra riportato deve corrispondere a quello di DC-WAE1.

Tutte le connessioni su DC-WAE2 devono essere in stato "PT Intermediate".

Se DC-WAE1 non funziona o entra in sovraccarico, è necessario ottimizzare le nuove connessioni tra BR-WAE1 e DC-WAE2. È possibile verificare questa condizione utilizzando il comando show statistics connection optimized su DC-WAE2. Le connessioni ottimizzate devono essere visualizzate su DC-WAE2, con l'ID peer di BR-WAE1 come dispositivo peer.

Se BR-WAE1 non riesce o entra in sovraccarico, non deve essere presente un'ottimizzazione tra DC-WAE2 e DC-WAE1. Tutte le connessioni devono essere nello stato "PT Non-optimizing Peer" su DC-WAE1 e "PT No Peer" su DC-WAE2. Di seguito è riportato un esempio dell'output previsto del comando show statistics connection:

DC-WAE1# sh stat conn

Current Active Optimized Flows:                      0
   Current Active Optimized TCP Plus Flows:          0
   Current Active Optimized TCP Only Flows:          0
   Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 0
Current Reserved Flows:                              100
Current Active Pass-Through Flows:                   1
Historical Flows:                                    1


Local IP:Port         Remote IP:Port        Peer ID           ConnType
2.74.2.162:37116      2.74.2.18:80          00:21:5e:27:ae:14 PT Non-optimizing Peer
2.74.2.18:80          2.74.2.162:37116      00:21:5e:27:ae:14 PT Non-optimizing Peer

DC-WAE2# sh stat conn

Current Active Optimized Flows:                      0
   Current Active Optimized TCP Plus Flows:          0
   Current Active Optimized TCP Only Flows:          0
   Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 0
Current Reserved Flows:                              100
Current Active Pass-Through Flows:                   1
Historical Flows:                                    1


Local IP:Port         Remote IP:Port        Peer ID           ConnType
2.74.2.162:37116      2.74.2.18:80          N/A               PT No Peer
2.74.2.18:80          2.74.2.162:37116      N/A               PT No Peer

È inoltre possibile utilizzare il report Statistiche di connessione di Central Manager (Periferica > Monitor > Ottimizzazione > Statistiche connessioni) per visualizzare le statistiche di connessione dei dispositivi in una tabella, come illustrato nella Figura 1. Gli ID peer sono indicati dal nome del dispositivo.

Figura 1. Rapporto Statistiche di connessione dei dispositivi di Central Manager

Rilevamento mancata corrispondenza configurazione peer seriale

I peer seriali devono essere configurati in modo che ciascuno di essi sia designato come peer non ottimizzante con l'altro. Se il dispositivo A è configurato come peer di B, ma B non è configurato come peer di A, si tratta di una mancata corrispondenza. Per rilevare una mancata corrispondenza, è possibile utilizzare la pagina My WAN di Central Manager > Configura > Impostazioni peer, che riporta lo stato di tutti i peer seriali, come mostrato nella Figura 2. Tutti i peer seriali configurati correttamente presentano un segno di spunta verde nella colonna Coppia reciproca. I dispositivi senza un segno di spunta verde non sono configurati correttamente con un peer seriale che non è configurato anche con il dispositivo come peer seriale.

Figura 2. Impostazioni peer di Central Manager

Per rilevare una mancata corrispondenza della configurazione peer seriale, è inoltre possibile cercare messaggi syslog come i seguenti:

%WAAS-SYS-4-900000: AD: Serial Mode configuration mismatch with peer_id=00:21:5e:27:a8:80

Questo errore indica che la configurazione peer seriale non è simmetrica su entrambi i dispositivi peer.

Risoluzione dei problemi di accelerazione MAPI

Per informazioni generali sulla risoluzione dei problemi relativi agli oggetti MAPI, vedere la sezione "MAPI Accelerator" nell'articolo Risoluzione dei problemi di accelerazione delle applicazioni.

Con l'accelerazione MAPI sui cluster seriali in linea possono verificarsi i problemi seguenti:

• La connessione di Outlook al server di Exchange è disconnessa e ripristinata
• La connessione di Outlook al server di Exchange viene interrotta e rimane tale
• Problemi durante la connessione al server di Exchange
• La connessione di Outlook al server Exchange non è ottimizzata da WAAS (è in modalità pass-through o non è stata eseguita alcuna ottimizzazione di oggetti attivazione MAPI)
• Connessioni con escape MAPI a causa del timeout dei criteri EPM nel controller di dominio WAE

Verifica criteri dinamici EPM e MAPI

Utilizzare il comando show policy-engine application dynamic per controllare i criteri dinamici di EPM e MAPI, come indicato di seguito:

WAE34#show policy-engine application dynamic
Dynamic Match Freelist Information:
  Allocated: 32768  In Use: 3  Max In Use: 4  Allocations: 14

Dynamic Match Type/Count Information:
  None                    0
  Clean-Up                0
  Host->Host              0
  Host->Local             0
  Local->Host             0
  Local->Any              0
  Any->Host               3
  Any->Local              0
  Any->Any                0

Individual Dynamic Match Information:
  Number:     1   Type: Any->Host (6)  User Id: EPM (3)      <------ EPM Policy
    Src: ANY:ANY  Dst: 10.56.45.68:1067
    Map Name: uuid1544f5e0-613c-11d1-93df-00c04fd7bd09
    Flags: TIME_LMT REPLACE FLOW_CNT 
    Seconds: 1200  Remaining: 8  DM Index: 32765
    Hits: 1  Flows: 0  Cookie: 0x00000000
    DM Ref Index: -None-  DM Ref Cnt: 0

  Number:     2   Type: Any->Host (6)  User Id: EPM (3)      <------ EPM Policy
    Src: ANY:ANY  Dst: 10.56.45.68:1025
    Map Name: uuidf5cc5a18-4264-101a-8c59-08002b2f8426
    Flags: TIME_LMT REPLACE FLOW_CNT 
    Seconds: 1200  Remaining: 10  DM Index: 32766
    Hits: 1  Flows: 0  Cookie: 0x00000000
    DM Ref Index: -None-  DM Ref Cnt: 0

   Number:     3   Type: Any->Host (6)  User Id: EPM (3)
    Src: ANY:ANY  Dst: 10.56.45.68:1163
    Map Name: uuida4f1db00-ca47-1067-b31f-00dd010662da
    Flags: TIME_LMT REPLACE FLOW_CNT 
    Seconds: 1200  Remaining: 509  DM Index: 32767
    Hits: 5  Flows: 0  Cookie: 0x00000000
    DM Ref Index: -None-  DM Ref Cnt: 0

WAE33#show policy-engine application dynamic
Dynamic Match Freelist Information:
 Allocated: 32768  In Use: 2  Max In Use: 5  Allocations: 12

Dynamic Match Type/Count Information:
  None                    0
  Clean-Up                0
  Host->Host              1
  Host->Local             0
  Local->Host             0
  Local->Any              0
  Any->Host               1
  Any->Local              0
  Any->Any                0

Individual Dynamic Match Information:
 Number:     1   Type: Host->Host (2)  User Id: MAPI (5)       <------ MAPI Policy
   Src: 10.56.45.246:ANY  Dst: 10.56.45.68:1163
   Map Name: uuida4f1db00-ca47-1067-b31f-00dd010662da
   Flags: REPLACE FLOW_CNT RSRVD_POOL REF_SRC_ANY_DM 
   Seconds: 0  Remaining: - NA -  DM Index: 32764
   Hits: 12  Flows: 5  Cookie: 0x00000000
   DM Ref Index: 32767  DM Ref Cnt: 0

 Number:     2   Type: Any->Host (6)  User Id: EPM (3)
   Src: ANY:ANY  Dst: 10.56.45.68:1163
   Map Name: uuida4f1db00-ca47-1067-b31f-00dd010662da
   Flags: TIME_LMT REPLACE FLOW_CNT 
   Seconds: 1200  Remaining: - NA -  DM Index: 32767
   Hits: 2  Flows: 0  Cookie: 0x00000000
   DM Ref Index: -None-  DM Ref Cnt: 1

Verifica filtri e statistiche di individuazione automatica

Controllare l'output dei seguenti comandi per verificare se i contatori MAPI rilevanti sono incrementati.

WAE#show stat auto-discovery
Auto discovery structure:
      Allocation Failure:                            0
      Allocation Success:                            12886550
      Deallocations:                                 12872245
      Timed Out:                                     1065677
.
.
.
Auto discovery Miscellaneous:
      RST received:                                  87134
      SYNs found with our device id:                 0
      SYN retransmit count resets:                   0
      SYN-ACK sequence number resets (syncookies):   0
      SYN-ACKs found with our device id:             0
      SYN-ACKs found with mirrored options:          0
      Connections taken over for MAPI optimization:  0     <----- MAPI & Serial Inline cluster statistic

WAE#show stat filtering
Number of filtering tuples:                             44892
Number of filtering tuple collisions:                   402
Packets dropped due to filtering tuple collisions:      3
Number of transparent packets locally delivered:        287133100
Number of transparent packets dropped:                  0
Packets dropped due to ttl expiry:                      0
Packets dropped due to bad route:                       589
Syn packets dropped with our own id in the options:     0
In ternal client syn packets dropped:                    0
Syn packets received and dropped on estab. conn:        1
Syn-Ack packets received and dropped on estab. conn:    22016
Syn packets dropped due to peer connection alive:       0
Syn-Ack packets dropped due to peer connection alive:   4
Packets recvd on in progress conn. and not handled:     0
Packets dropped due to peer connection alive:           1806742
Packets dropped due to invalid TCP flags:               0
Packets dropped by FB packet input notifier:            0
Packets dropped by FB packet output notifier:           0
Number of errors by FB tuple create notifier:           0
Number of errors by FB tuple delete notifier:           0
Dropped WCCP GRE packets due to invalid WCCP service:   0
Dropped WCCP L2 packets due to invalid WCCP service:    0
Number of deleted tuple refresh events:                 0
Number of times valid tuples found on refresh list:     0
SYN packets sent with non-opt option due to MAPI:       0    <----- MAPI & Serial Inline Cluster statistic
Internal Server conn. not optimized due to Serial Peer: 0
Duplicate packets to synq dropped:                      8

Abilitazione della registrazione di debug

Se l'analisi dei criteri dinamici e delle statistiche di filtro e di individuazione automatica non consente di risolvere il problema, abilitare la registrazione di debug in modo che un tecnico dell'assistenza possa risolvere i problemi relativi alle connessioni accelerate MAPI in un cluster seriale in linea.

Abilitare il debug eseguendo i seguenti comandi:

WAE#debug policy-engine connection
WAE#debug auto-discovery connection
WAE#debug filtering connection
WAE#debug connection acl 

Come sempre, è necessario abilitare la registrazione su disco e impostare il livello di registrazione per il disco su debug.

NOTA: La registrazione del debug richiede un utilizzo intensivo della CPU e può generare un'elevata quantità di output. Utilizzarlo con cautela e moderazione in un ambiente di produzione.

Risoluzione dei problemi relativi agli elenchi degli accessi alle intercettazioni

In questa sezione viene descritto come risolvere i seguenti problemi relativi agli ACL di intercettazione:

• Le connessioni non sono ottimizzate
• Le connessioni non vengono ignorate come previsto

Connessioni non ottimizzate

Se le connessioni non vengono ottimizzate come previsto, è possibile che la causa sia la seguente.

1. L'interfaccia potrebbe essere inattiva. Se si tratta di un'interfaccia inline, tutto il traffico verrà ignorato nell'hardware. Per controllare lo stato dell'interfaccia, usare il comando seguente:

WAE#show interface inlinegroup 1/0
Interface is in intercept operating mode.       <------ Interface must be in intercepting mode
Standard NIC mode is off.

2. Se l'interfaccia è attiva, controllare lo stato delle connessioni e se sono in pass-through, controllare il motivo usando il seguente comando:

WAE#show stat connection pass-through
Current Active Optimized Flows:                      9004
   Current Active Optimized TCP Plus Flows:          9008
   Current Active Optimized TCP Only Flows:          0
   Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 10294
Current Reserved Flows:                              100
Current Active Pass-Through Flows:                   2994
Historical Flows:                                    443
Local IP:Port         Remote IP:Port        Peer ID           ConnType
155.155.14.9:21       199.199.1.200:28624   N/A               PT App Cfg
155.155.13.92:21      199.199.1.147:26564   N/A               PT App Cfg   <----- Pass-through reason

3. Se il motivo è "PT Interception ACL", è dovuto all'ACL di intercettazione che nega i pacchetti SYN.

È possibile esaminare l'output seguente per espandere l'ACL e verificare quale condizione corrisponde:

WAE#show ip access-list
Space available:
   49 access lists
  499 access list conditions
Standard IP access list test
  1 permit any (1296 matches)
    (implicit deny any: 0 matches)
  total invocations: 1296
Interface access list references:
 None Configured
 Application access list references:
  INTERCEPTION                    Standard        test
    Any IP Protocol

Le connessioni non vengono ignorate come previsto

Se le connessioni non vengono ignorate come previsto, verificare che la configurazione degli ACL di intercettazione sia stata applicata utilizzando il comando seguente:

WAE#show ip access-list
Space available:
   49 access lists
  499 access list conditions
Standard IP access list test
  1 permit any (1296 matches)
    (implicit deny any: 0 matches)
  total invocations: 1296
Interface access list references:
 None Configured
 Application access list references:
  INTERCEPTION                    Standard        test
    Any IP Protocol

Controllare i conteggi delle corrispondenze dall'output precedente per verificare se aumentano come previsto.

Abilitazione della registrazione di debug

Se tutto sembra corretto utilizzando i comandi descritti in precedenza ma il problema persiste, abilitare la registrazione di debug seguente e cercare la decisione del motore dei criteri sul pacchetto SYN di interesse.

 WAE#debug policy-engine connection

Come sempre, è necessario abilitare la registrazione su disco e impostare il livello di registrazione per il disco su debug.

NOTA: La registrazione del debug richiede un utilizzo intensivo della CPU e può generare un'elevata quantità di output. Utilizzarlo con cautela e moderazione in un ambiente di produzione.