當(dāng)SD-WAN出現(xiàn)問題或者您懷疑它導(dǎo)致應(yīng)用程序出現(xiàn)問題時(shí)，您會(huì)怎么做?當(dāng)然是，排除故障。

[[253236]]

但SD-WAN故障排除要求IT團(tuán)隊(duì)非常了解他們正在處理的網(wǎng)絡(luò)設(shè)備、連接和拓?fù)?，以及許多其他因素。以下是IT團(tuán)隊(duì)在處理SD-WAN問題時(shí)可以遵循的一些有用的監(jiān)控和實(shí)際故障排除的步驟。

SD-WAN故障排除的第一步是了解網(wǎng)絡(luò)是什么時(shí)候開始無(wú)法正常運(yùn)行的。在大多數(shù)情況下，監(jiān)控SD-WAN與監(jiān)控常規(guī)網(wǎng)絡(luò)并沒有太大區(qū)別。物理組件通常最容易監(jiān)控的：他們要么工作，要么不工作。由于抽象會(huì)使得多個(gè)網(wǎng)絡(luò)鏈路看起來(lái)好像是一個(gè)，因此邏輯函數(shù)可能會(huì)更具挑戰(zhàn)性。

監(jiān)控SD-WAN

1. 事件處理。

一個(gè)好的網(wǎng)絡(luò)管理架構(gòu)中最有用的元素是檢查來(lái)自網(wǎng)絡(luò)設(shè)備(包括SD-WAN設(shè)備)的事件。把事件想象成是網(wǎng)絡(luò)讓你知道值得注意的事情發(fā)生了。該過程不需要輪詢，并且它可以隨著網(wǎng)絡(luò)的增長(zhǎng)而擴(kuò)展。

與簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)陷阱相比，我更喜歡使用syslog事件，因?yàn)樗鼈儾恍枰獙⑻囟ǖ墓芾硇畔?kù)加載到管理系統(tǒng)中來(lái)查看詳細(xì)信息。IT團(tuán)隊(duì)?wèi)?yīng)該配置SD-WAN設(shè)備，以便將事件發(fā)送到公共事件處理系統(tǒng)，在那里可以存儲(chǔ)、關(guān)聯(lián)和操作事件。

預(yù)算受限的組織可以使用開源收集器(如syslog-ng)以及各種分析工具來(lái)總結(jié)網(wǎng)絡(luò)可以生成的大量事件。有預(yù)算的組織可以研究ELK堆棧 - Elasticsearch，Logstash和Kibana。如果您需要廠商支持，則可以使用廠商支持的ELK版本、設(shè)備供應(yīng)商和日志處理供應(yīng)商的產(chǎn)品。

事件處理系統(tǒng)應(yīng)配置為在檢測(cè)到嚴(yán)重事件時(shí)自動(dòng)生成故障單或向IT組織發(fā)送實(shí)時(shí)警報(bào)。所有事件都應(yīng)該在每日或每周摘要中報(bào)告，以確保最終可以看到遺漏的事件 - 比如說，知道一半的冗余設(shè)計(jì)不起作用是件好事。

2. 活動(dòng)鏈路測(cè)試。

SD-WAN使用多鏈路提供可靠的端到端服務(wù)?；顒?dòng)鏈路監(jiān)控允許系統(tǒng)驗(yàn)證SD-WAN在提供所需可靠性方面成功與否?？赡苄枰啻螠y(cè)試來(lái)驗(yàn)證不同類型流量的路徑，例如實(shí)時(shí)數(shù)據(jù)與批量數(shù)據(jù)。隨著SD-WAN站點(diǎn)數(shù)量的增加，易于部署對(duì)于成功實(shí)施至關(guān)重要。

確保將測(cè)試配置為模擬實(shí)際應(yīng)用程序流量，包括數(shù)據(jù)包大小、傳輸速率和服務(wù)質(zhì)量標(biāo)記?；顒?dòng)鏈路測(cè)試的一個(gè)優(yōu)點(diǎn)是，它可以在沒有應(yīng)用程序流量時(shí)檢測(cè)正常工作時(shí)間之外的問題?；顒?dòng)鏈路測(cè)試模擬真實(shí)的應(yīng)用流量并測(cè)試整個(gè)端到端系統(tǒng)，包括鏈路選擇。

IT團(tuán)隊(duì)可以在概念驗(yàn)證評(píng)估期間通過禁用每個(gè)WAN鏈接并監(jiān)控測(cè)試結(jié)果如何變化來(lái)使用此類測(cè)試。這對(duì)于確定廉價(jià)寬帶鏈路在低延遲路徑關(guān)閉時(shí)處理高優(yōu)先級(jí)或?qū)崟r(shí)流量的能力特別有用。將測(cè)試配置為始終運(yùn)行，這樣您還可以了解應(yīng)用程序在一天中的不同時(shí)間運(yùn)行的可能性。您可能還想知道其他應(yīng)用程序運(yùn)行時(shí)的性能級(jí)別 - 如備份或數(shù)據(jù)庫(kù)同步，或?qū)拵ЬW(wǎng)絡(luò)繁忙時(shí)。

3. 物理狀態(tài)。

SD-WAN設(shè)備通?；诰哂袃?nèi)部CPU、內(nèi)存、接口、電源和冷卻的x86系統(tǒng)。網(wǎng)絡(luò)事件(通常是syslog)應(yīng)該報(bào)告這些組件的問題。使用SNMP進(jìn)行監(jiān)控可以提供有關(guān)這些資源使用的額外數(shù)據(jù)，并提供以下問題的答案：

• 每條路徑上使用多少個(gè)緩沖區(qū)?
• CPU是否在一天中的關(guān)鍵時(shí)刻處于飽和狀態(tài)?
• 電源是否正常工作，或者AC主輸入波動(dòng)是否超出了電源可以處理的規(guī)格?

緩沖等參數(shù)的默認(rèn)配置通常是正確的，但有時(shí)您需要能夠修改緩沖區(qū)的數(shù)量以適應(yīng)應(yīng)用程序的功能特性，例如處理大量非常小的數(shù)據(jù)包。確保可以根據(jù)需要修改隊(duì)列深度。

您應(yīng)該驗(yàn)證SD-WAN控制器在物理鏈路出現(xiàn)問題時(shí)提供警報(bào)和報(bào)告。它應(yīng)該能夠檢測(cè)到由于擁塞和雙工不匹配導(dǎo)致的振蕩鏈路、接口錯(cuò)誤、數(shù)據(jù)包丟失，雙工不匹配仍然是一個(gè)常見的問題，因此盡可能使用自動(dòng)協(xié)商。使用每日或每周報(bào)告來(lái)確定可能被忽略的警報(bào)問題。

4. 拓?fù)鋱D。

在進(jìn)行故障排除時(shí)，了解拓?fù)浜苤匾謩?dòng)更新拓?fù)鋱D是一個(gè)耗時(shí)且容易出錯(cuò)的過程。尋找SD-WAN控制系統(tǒng)，以提供物理和邏輯拓?fù)涞膭?dòng)態(tài)映射。基線就像SD-WAN物理拓?fù)涞恼鎸?shí)網(wǎng)絡(luò)源，了解實(shí)際狀態(tài)和期望狀態(tài)之間的差異可以使SD-WAN故障排除更加容易。

確定問題

解決網(wǎng)絡(luò)問題的關(guān)鍵是有條不紊。從一端開始，向另一端努力，或著采用分治策略。根據(jù)癥狀確定可能存在的問題類型。開放系統(tǒng)互連模型可以方便地確定問題的類型并在正確的方向上直接排除故障，例如：

• 物理問題，如失效的界面;
• 鏈接問題，如雙工不匹配;
• 路由問題，例如某些目的地可達(dá)，且單跳測(cè)試成功;
• 應(yīng)用程序問題，如防火墻或最大傳輸單元(MTU)不匹配。

如果某些數(shù)據(jù)通過了測(cè)試，則較低級(jí)別的功能就可能正常工作，因此您可以將工作重點(diǎn)放在更高級(jí)別上。

SD-WAN故障排除步驟

對(duì)問題的分析通常包含以下幾點(diǎn)：

• 驗(yàn)證SD-WAN節(jié)點(diǎn)的基本功能。此步驟檢查CPU、內(nèi)存和接口連接。節(jié)點(diǎn)應(yīng)該能夠與控制器通信并下載其配置。
• 檢查基本接口功能。所需的接口應(yīng)該啟動(dòng)并與鏈路另一端的設(shè)備通信。應(yīng)該與SD-WAN控制器建立基本連接，以便下載其配置。
• 驗(yàn)證VPN功能。 SD-WAN產(chǎn)品在物理拓?fù)渲蟿?chuàng)建邏輯VPN覆蓋。您需要了解VPN的加密過程是如何工作、如何失敗以及如何驗(yàn)證它是否正常工作的。
• 與整體路由架構(gòu)集成。 SD-WAN設(shè)備能夠使多個(gè)鏈路發(fā)揮作用，就像它們是一個(gè)鏈路一樣。每個(gè)站點(diǎn)的網(wǎng)絡(luò)可達(dá)性需要在不影響整體路由架構(gòu)的情況下與其他站點(diǎn)進(jìn)行通信 - 即，沒有路由黑洞、路由環(huán)路或不可達(dá)的子網(wǎng)。您需要了解路由分發(fā)的工作原理以及如何對(duì)其進(jìn)行故障排除。
• 驗(yàn)證轉(zhuǎn)發(fā)策略。數(shù)據(jù)包是否在SD-WAN設(shè)備之間采用了合適的路徑? SD-WAN設(shè)備測(cè)量它們之間的延遲、數(shù)據(jù)包丟失和抖動(dòng)，并使用策略來(lái)確定每個(gè)應(yīng)用程序應(yīng)使用哪個(gè)鏈路。當(dāng)一個(gè)應(yīng)用程序的鏈路失敗 - 或者它超出該流量類型的規(guī)范時(shí) - 流量將被移動(dòng)到另一個(gè)鏈路，這可能會(huì)影響移動(dòng)的應(yīng)用程序，以及使用仍在運(yùn)行的鏈路的應(yīng)用程序。這種分析可能需要一些低級(jí)命令來(lái)訪問詳細(xì)數(shù)據(jù)。

當(dāng)您需要低級(jí)別詳細(xì)信息時(shí)，命令行界面非常有用。這些命令將包含用于檢查系統(tǒng)狀態(tài)和測(cè)試命令的show命令，例如ping和traceroute。了解如何將它們應(yīng)用于單個(gè)鏈路以及應(yīng)用程序流的測(cè)試。

可能需要數(shù)據(jù)包捕獲技術(shù)來(lái)診斷應(yīng)用程序是否存在其他方法無(wú)法理解的問題。 Wireshark的TCP序列空間繪圖功能是一個(gè)依賴于數(shù)據(jù)包捕獲文件的有用工具。

WAN運(yùn)營(yíng)商 - 鏈路 - 問題

您需要了解丟包、延遲和抖動(dòng)的鏈路特性。它們是否符合您定義的策略?鏈路是否根據(jù)鏈路提供者定義的服務(wù)級(jí)別協(xié)議(SLA)執(zhí)行? MPLS鏈路可能有SLA，而廉價(jià)的寬帶鏈路則沒有。

這里可能需要采用分治法。有選擇地一次只啟用一個(gè)物理鏈路，并驗(yàn)證鏈路是否正常工作。然后，嘗試鏈路組合，最終得到所有鏈路運(yùn)行的點(diǎn)。不要忘記檢查策略是否正確。鏈路特征可能會(huì)發(fā)生變化，導(dǎo)致這些鏈路對(duì)任何策略都是不可接受的。

生成一個(gè)關(guān)于鏈路特征和使用情況的每周報(bào)告是一個(gè)好方法。對(duì)于大型SD-WAN實(shí)施，由于報(bào)告本身太大而無(wú)法使用，所以要過濾結(jié)果，僅顯示那些特征與任何策略都不匹配的鏈路。

檢查MTU不匹配。使用小數(shù)據(jù)包的應(yīng)用程序可以工作，但如果需要更大的數(shù)據(jù)包則不行。 ping和終端連接成功，但文件傳輸、備份和數(shù)據(jù)庫(kù)同步失敗，這時(shí)需要考慮MTU問題。

雙工不匹配。檢查接口統(tǒng)計(jì)信息以確定是否存在雙工不匹配，即使您無(wú)法檢查以太網(wǎng)鏈路上每個(gè)接口的配置。全雙工接口將顯示收到的runt數(shù)據(jù)包，半雙工接口將顯示延遲沖突。這些計(jì)數(shù)器應(yīng)包含較小的值，如果存在不匹配，則會(huì)在活動(dòng)鏈路上增加。

結(jié)論

故障排除一半是藝術(shù)，一半是科學(xué)。我建議可以學(xué)習(xí)特定SD-WAN產(chǎn)品的工作原理以及在初始概念驗(yàn)證階段存在哪些SD-WAN故障排除工具?？梢詣?chuàng)建一個(gè)簡(jiǎn)單的文本文檔，描述針對(duì)特定SD-WAN供應(yīng)商采取的基本步驟。當(dāng)網(wǎng)絡(luò)出現(xiàn)問題時(shí)，SD-WAN的故障排除過程就能夠得到簡(jiǎn)化。

原文鏈接：

https://searchnetworking.techtarget.com/feature/A-deep-dive-into-SD-WAN-troubleshooting-and-monitoring