WAAS - Identificação e solução de problemas de clusters seriais em linha

Capítulo: Solução de problemas de clusters seriais em linha

Este artigo descreve como solucionar problemas do Serial Inline Cluster.

Contents

• 1 Verificando a conectividade entre os pares seriais
• 2 Verificando se os pares seriais estão configurados corretamente
• 3 Verificando se um cluster serial em linha está operacional
• 4 Detectando Incompatibilidade de Configuração de Peer Serial
• 5 Troubleshooting de Aceleração de MAPI
  • 5.1 Verificar Políticas Dinâmicas do EPM e MAPI
  • 5.2 Verificar estatísticas de filtragem e descoberta automática
  • 5.3 Ativando o registro de depuração
• 6 Troubleshooting de Listas de Acesso de Interceptação
  • 6.1 As conexões não são otimizadas
  • 6.2 As conexões não estão sendo ignoradas como esperado
  • 6.3 Ativando o registro de depuração

NOTE: O clustering em linha serial entre correspondentes não otimizadores e ACLs de interceptação foram introduzidos no WAAS versão 4.2.1. Esta seção não se aplica a versões anteriores do WAAS.

Verificando a conectividade entre os pares seriais

Para ver quais dispositivos estão conectados às interfaces em linha, use o comando show cdp neighbors, da seguinte maneira:

WAE#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                 S - Switch, H - Host, I - IGMP, r - Repeater
Device ID        Local Intrfce    Holdtme    Capability  Platform  Port ID
BBSw-R32-R62     Inline 1/1/lan   154             S I    WS-C3750G-Gig 3/0/17
BBSw-R32-R62     Inline 1/0/lan   154             S I    WS-C3750G-Gig 2/0/18
BBSw-R32-R62     Gig 1/0          126             S I    WS-C3750G-Gig 2/0/22
PLT-32-08-7301   Inline 1/1/wan   148              R     7301      Gig 0/2
PLT-32-08-7301   Inline 1/0/wan   147              R     7301      Gig 0/1
WAE-32-08-7341   Inline 1/1/wan   145             T H    OE7341    Inline 1/1/w
WAE-32-08-7341   Inline 1/0/wan   145             T H    OE7341    Inline 1/0/w

Se os pares seriais forem separados por um ou mais switches, o peer não aparecerá na saída acima.

Verificando se os pares seriais estão configurados corretamente

Para verificar se os pares seriais estão configurados corretamente, use o comando show peer otimization, da seguinte maneira:

WAE#show peer optimization
Configured Non-optimizing Peers:
        Peer Device Id: 00:1a:64:c2:40:8c

Execute esse comando em ambos os pares e verifique se cada dispositivo aparece corretamente no outro.

Use o comando show device-id para verificar a ID do dispositivo, como a seguir:

WAE#show device-id
System Device ID is: 00:21:5e:57:e9:d4

Verificando se um cluster serial em linha está operacional

Dado o seguinte exemplo de topologia:

BR-WAE —WAN— DC-WAE2 — DC-WAE1

or

BR-WAE1 — BR-WAE2 — WAN — DC-WAE2 — DC-WAE1

Normalmente, a otimização deve ocorrer entre os WAEs mais externos, ou seja, BR-WAE e DC-WAE1, ou BR-WAE1 e DC-WAE1. Para garantir isso, verifique as IDs dos dispositivos nas conexões usando o comando show statistics connection. O PeerID no BR-WAE deve indicar que está sendo otimizado com DC-WAE1 e o PeerID no DC-WAE1 deve indicar que está sendo otimizado com BR-WAE.

BR-WAE#show statistics connection

Current Active Optimized Flows:                      7552
  Current Active Optimized TCP Plus Flows:          7563
  Current Active Optimized TCP Only Flows:          0
  Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 12891
Current Reserved Flows:                              100
Current Active Pass-Through Flows:                   3053
Historical Flows:                                    429


D:DRE,L:LZ,T:TCP Optimization RR:Total Reduction Ratio
A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO

ConnID        Source IP:Port          Dest IP:Port            PeerID Accel RR
786432   190.190.3.175:19268      155.155.7.208:80 00:21:5e:52:25:5c THDL  00.0%
786435   190.190.5.115:19283      155.155.0.144:80 00:21:5e:52:25:5c THDL  86.0%
786438     199.199.3.0:58436      155.155.9.15:443 00:21:5e:52:25:5c TSDL  00.0%
786440   190.190.2.231:19312      155.155.0.112:80 00:21:5e:52:25:5c THDL  86.0%

O PeerID na saída acima deve corresponder ao DC-WAE1.

Todas as conexões em DC-WAE2 devem estar no estado "PT Intermediário".

Se DC-WAE1 falhar ou entrar em sobrecarga, novas conexões devem ser otimizadas entre BR-WAE1 e DC-WAE2. Você pode verificar isso usando o comando show statistics connection otimized em DC-WAE2. As conexões otimizadas devem ser vistas em DC-WAE2, com o ID do peer do BR-WAE1 como o dispositivo do peer.

Se o BR-WAE1 falhar ou entrar em sobrecarga, não deve haver otimização entre DC-WAE2 e DC-WAE1. Todas as conexões devem estar no estado "PT Non-otimizing Peer" no DC-WAE1 e "PT No Peer" no DC-WAE2. Um exemplo da saída esperada do comando show statistics connection:

DC-WAE1# sh stat conn

Current Active Optimized Flows:                      0
   Current Active Optimized TCP Plus Flows:          0
   Current Active Optimized TCP Only Flows:          0
   Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 0
Current Reserved Flows:                              100
Current Active Pass-Through Flows:                   1
Historical Flows:                                    1


Local IP:Port         Remote IP:Port        Peer ID           ConnType
2.74.2.162:37116      2.74.2.18:80          00:21:5e:27:ae:14 PT Non-optimizing Peer
2.74.2.18:80          2.74.2.162:37116      00:21:5e:27:ae:14 PT Non-optimizing Peer

DC-WAE2# sh stat conn

Current Active Optimized Flows:                      0
   Current Active Optimized TCP Plus Flows:          0
   Current Active Optimized TCP Only Flows:          0
   Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 0
Current Reserved Flows:                              100
Current Active Pass-Through Flows:                   1
Historical Flows:                                    1


Local IP:Port         Remote IP:Port        Peer ID           ConnType
2.74.2.162:37116      2.74.2.18:80          N/A               PT No Peer
2.74.2.18:80          2.74.2.162:37116      N/A               PT No Peer

Você também pode usar o relatório de Estatísticas de Conexão do Central Manager (Dispositivo > Monitor > Otimização > Estatísticas de Conexões) para exibir estatísticas de conexão de dispositivos em uma tabela, como mostrado na Figura 1. As IDs de peer são indicadas pelo nome do dispositivo.

Figura 1. Relatório de Estatísticas de Conexão de Dispositivos do Gerenciador Central

Detectando Incompatibilidade de Configuração de Peer Serial

Os peers seriais devem ser configurados para que cada um seja designado como um peer não otimizador com o outro. Se o dispositivo A estiver configurado como um par de B, mas B não estiver configurado como um par de A, isso será uma incompatibilidade. Para descobrir uma incompatibilidade, você pode usar a página Central Manager My WAN > Configure > Peer Settings, que relata o status de todos os pares seriais, como mostrado na Figura 2. Todos os peers seriais configurados corretamente têm uma marca de seleção verde na coluna Par mútuo. Qualquer dispositivo sem uma marca de seleção verde está configurado incorretamente com um peer serial que não está configurado com o dispositivo como seu peer serial.

Figura 2. Configurações de peer do Central Manager

Para detectar uma incompatibilidade de configuração de peer serial, você também pode procurar mensagens de syslog como:

%WAAS-SYS-4-900000: AD: Serial Mode configuration mismatch with peer_id=00:21:5e:27:a8:80

Esse erro indica que a configuração do peer serial não é simétrica em ambos os dispositivos do peer.

Troubleshooting de Aceleração de MAPI

A solução de problemas MAPI AO geral é abordada na seção "MAPI Accelerator" no artigo Troubleshooting Application Acceleration .

Os seguintes problemas podem ocorrer com a aceleração MAPI em clusters seriais em linha:

• A conexão do Outlook com o servidor Exchange está desconectada e restaurada
• A conexão do Outlook com o servidor Exchange está desconectada e permanece assim
• O Outlook tem problemas ao estabelecer conexões com o servidor Exchange
• A conexão do Outlook com o servidor Exchange não é otimizada pelo WAAS (está em passagem ou não há otimização MAPI AO)
• O MAPI escapou das conexões devido ao tempo limite da política do EPM no DC WAE

Verificar Políticas Dinâmicas do EPM e MAPI

Use o comando show policy-engine application dynamic para verificar as políticas dinâmicas do EPM e do MAPI, como a seguir:

WAE34#show policy-engine application dynamic
Dynamic Match Freelist Information:
  Allocated: 32768  In Use: 3  Max In Use: 4  Allocations: 14

Dynamic Match Type/Count Information:
  None                    0
  Clean-Up                0
  Host->Host              0
  Host->Local             0
  Local->Host             0
  Local->Any              0
  Any->Host               3
  Any->Local              0
  Any->Any                0

Individual Dynamic Match Information:
  Number:     1   Type: Any->Host (6)  User Id: EPM (3)      <------ EPM Policy
    Src: ANY:ANY  Dst: 10.56.45.68:1067
    Map Name: uuid1544f5e0-613c-11d1-93df-00c04fd7bd09
    Flags: TIME_LMT REPLACE FLOW_CNT 
    Seconds: 1200  Remaining: 8  DM Index: 32765
    Hits: 1  Flows: 0  Cookie: 0x00000000
    DM Ref Index: -None-  DM Ref Cnt: 0

  Number:     2   Type: Any->Host (6)  User Id: EPM (3)      <------ EPM Policy
    Src: ANY:ANY  Dst: 10.56.45.68:1025
    Map Name: uuidf5cc5a18-4264-101a-8c59-08002b2f8426
    Flags: TIME_LMT REPLACE FLOW_CNT 
    Seconds: 1200  Remaining: 10  DM Index: 32766
    Hits: 1  Flows: 0  Cookie: 0x00000000
    DM Ref Index: -None-  DM Ref Cnt: 0

   Number:     3   Type: Any->Host (6)  User Id: EPM (3)
    Src: ANY:ANY  Dst: 10.56.45.68:1163
    Map Name: uuida4f1db00-ca47-1067-b31f-00dd010662da
    Flags: TIME_LMT REPLACE FLOW_CNT 
    Seconds: 1200  Remaining: 509  DM Index: 32767
    Hits: 5  Flows: 0  Cookie: 0x00000000
    DM Ref Index: -None-  DM Ref Cnt: 0

WAE33#show policy-engine application dynamic
Dynamic Match Freelist Information:
 Allocated: 32768  In Use: 2  Max In Use: 5  Allocations: 12

Dynamic Match Type/Count Information:
  None                    0
  Clean-Up                0
  Host->Host              1
  Host->Local             0
  Local->Host             0
  Local->Any              0
  Any->Host               1
  Any->Local              0
  Any->Any                0

Individual Dynamic Match Information:
 Number:     1   Type: Host->Host (2)  User Id: MAPI (5)       <------ MAPI Policy
   Src: 10.56.45.246:ANY  Dst: 10.56.45.68:1163
   Map Name: uuida4f1db00-ca47-1067-b31f-00dd010662da
   Flags: REPLACE FLOW_CNT RSRVD_POOL REF_SRC_ANY_DM 
   Seconds: 0  Remaining: - NA -  DM Index: 32764
   Hits: 12  Flows: 5  Cookie: 0x00000000
   DM Ref Index: 32767  DM Ref Cnt: 0

 Number:     2   Type: Any->Host (6)  User Id: EPM (3)
   Src: ANY:ANY  Dst: 10.56.45.68:1163
   Map Name: uuida4f1db00-ca47-1067-b31f-00dd010662da
   Flags: TIME_LMT REPLACE FLOW_CNT 
   Seconds: 1200  Remaining: - NA -  DM Index: 32767
   Hits: 2  Flows: 0  Cookie: 0x00000000
   DM Ref Index: -None-  DM Ref Cnt: 1

Verificar estatísticas de filtragem e descoberta automática

Verifique a saída dos comandos a seguir para ver se os contadores MAPI relevantes são incrementados.

WAE#show stat auto-discovery
Auto discovery structure:
      Allocation Failure:                            0
      Allocation Success:                            12886550
      Deallocations:                                 12872245
      Timed Out:                                     1065677
.
.
.
Auto discovery Miscellaneous:
      RST received:                                  87134
      SYNs found with our device id:                 0
      SYN retransmit count resets:                   0
      SYN-ACK sequence number resets (syncookies):   0
      SYN-ACKs found with our device id:             0
      SYN-ACKs found with mirrored options:          0
      Connections taken over for MAPI optimization:  0     <----- MAPI & Serial Inline cluster statistic

WAE#show stat filtering
Number of filtering tuples:                             44892
Number of filtering tuple collisions:                   402
Packets dropped due to filtering tuple collisions:      3
Number of transparent packets locally delivered:        287133100
Number of transparent packets dropped:                  0
Packets dropped due to ttl expiry:                      0
Packets dropped due to bad route:                       589
Syn packets dropped with our own id in the options:     0
In ternal client syn packets dropped:                    0
Syn packets received and dropped on estab. conn:        1
Syn-Ack packets received and dropped on estab. conn:    22016
Syn packets dropped due to peer connection alive:       0
Syn-Ack packets dropped due to peer connection alive:   4
Packets recvd on in progress conn. and not handled:     0
Packets dropped due to peer connection alive:           1806742
Packets dropped due to invalid TCP flags:               0
Packets dropped by FB packet input notifier:            0
Packets dropped by FB packet output notifier:           0
Number of errors by FB tuple create notifier:           0
Number of errors by FB tuple delete notifier:           0
Dropped WCCP GRE packets due to invalid WCCP service:   0
Dropped WCCP L2 packets due to invalid WCCP service:    0
Number of deleted tuple refresh events:                 0
Number of times valid tuples found on refresh list:     0
SYN packets sent with non-opt option due to MAPI:       0    <----- MAPI & Serial Inline Cluster statistic
Internal Server conn. not optimized due to Serial Peer: 0
Duplicate packets to synq dropped:                      8

Ativando o registro de depuração

Se observar as políticas dinâmicas e as estatísticas de filtragem e descoberta automática não ajudarem, ative o registro de depuração para que um engenheiro de suporte técnico possa solucionar o problema com conexões MAPI aceleradas em um cluster serial em linha.

Ative a depuração executando os seguintes comandos:

WAE#debug policy-engine connection
WAE#debug auto-discovery connection
WAE#debug filtering connection
WAE#debug connection acl 

Como sempre, o registro em disco precisa ser ativado e o nível de registro do disco precisa ser definido como debug.

NOTE: O registro de depuração exige muito da CPU e pode gerar uma grande quantidade de saída. Use-o de forma inteligente e moderna em um ambiente de produção.

Troubleshooting de Listas de Acesso de Interceptação

Esta seção descreve como solucionar os seguintes problemas relacionados a ACLS de interceptação:

• As conexões não são otimizadas
• As conexões não estão sendo ignoradas como esperado

As conexões não são otimizadas

Se as conexões não forem otimizadas como esperado, isso pode ser devido às seguintes causas.

1. A interface pode estar inativa. Se for uma interface em linha, todo o tráfego será ignorado no hardware. Use o seguinte comando para verificar o status da interface:

WAE#show interface inlinegroup 1/0
Interface is in intercept operating mode.       <------ Interface must be in intercepting mode
Standard NIC mode is off.

2. Se a interface estiver ativa, verifique o estado das conexões e, se estiverem em passagem, verifique o motivo usando o seguinte comando:

WAE#show stat connection pass-through
Current Active Optimized Flows:                      9004
   Current Active Optimized TCP Plus Flows:          9008
   Current Active Optimized TCP Only Flows:          0
   Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 10294
Current Reserved Flows:                              100
Current Active Pass-Through Flows:                   2994
Historical Flows:                                    443
Local IP:Port         Remote IP:Port        Peer ID           ConnType
155.155.14.9:21       199.199.1.200:28624   N/A               PT App Cfg
155.155.13.92:21      199.199.1.147:26564   N/A               PT App Cfg   <----- Pass-through reason

3. Se o motivo aparecer como "PT Interception ACL", então é devido à ACL de interceptação negando os pacotes SYN.

Você pode observar a seguinte saída para detalhar a ACL para ver qual condição correspondia:

WAE#show ip access-list
Space available:
   49 access lists
  499 access list conditions
Standard IP access list test
  1 permit any (1296 matches)
    (implicit deny any: 0 matches)
  total invocations: 1296
Interface access list references:
 None Configured
 Application access list references:
  INTERCEPTION                    Standard        test
    Any IP Protocol

As conexões não estão sendo ignoradas como esperado

Se as conexões não estiverem sendo ignoradas como esperado, verifique se a configuração da ACL de interceptação entrou em vigor usando o seguinte comando:

WAE#show ip access-list
Space available:
   49 access lists
  499 access list conditions
Standard IP access list test
  1 permit any (1296 matches)
    (implicit deny any: 0 matches)
  total invocations: 1296
Interface access list references:
 None Configured
 Application access list references:
  INTERCEPTION                    Standard        test
    Any IP Protocol

Verifique as contagens de acertos da saída acima para ver se estão aumentando conforme esperado.

Ativando o registro de depuração

Se tudo parecer correto usando os comandos acima, mas ainda houver um problema, ative o registro de depuração a seguir e procure a decisão do mecanismo de política no pacote SYN de interesse.

 WAE#debug policy-engine connection

Como sempre, o registro em disco precisa ser ativado e o nível de registro do disco precisa ser definido como debug.

NOTE: O registro de depuração exige muito da CPU e pode gerar uma grande quantidade de saída. Use-o de forma inteligente e moderna em um ambiente de produção.