ThousandEyes: Введение в NAT Transversal
-
[Введение]
[Требования и ограничения NAT Transversal]
[Требования:]
[Ограничения:]
[Практический сценарий] Введение Тест ThousandEyes Agent-to-Agent (A2A) обеспечивает возможности мониторинга для двух конечных точек и визуализацию сетевого пути в обоих направлениях. Однако для клиентов, использующих частные IP-адреса или имеющих несколько локаций для мониторинга, которые не связаны напрямую, может возникнуть ситуация, когда конечная точка не может принимать сетевой трафик, инициированный другими хостами, либо из общедоступного Интернета, либо из других сетевых локаций. Поскольку частные IP-адреса не могут маршрутизироваться через Интернет, устройство с частным IP-адресом не может быть целью теста A2A. Исторически, для устранения этой проблемы требовалось изменить настройки правил преобразования сетевых адресов (NAT), преобразования портов (PAT) и/или фильтрации пакетов с учетом состояния (SPF, т. е. брандмауэр). Чтобы сэкономить ваше время (и избавить вас от головной боли), ThousandEyes предоставляет функцию NAT-траверса, которая устраняет необходимость в микроуправлении настройками. Для этого ThousandEyes использует собственный метод, аналогичный методам NAT-траверса, описанным в стандартах IETF, таких как RFC 5382. Агенты за устройствами NAT регистрируются на сервере NAT-траверса ThousandEyes, чтобы определить характеристики NAT и PAT агентов, а затем используют полученную информацию при выполнении тестов A2A. Требования и ограничения NAT Transversal Требования: Сеть агента позволяет связываться с сервером NAT-траверса ThousandEyes (
ntrav.thousandeyes.com)
на портах назначения 9119 и 9120 через TCP и UDP.
NAT не является симметричным
Устройство брандмауэра/NAT поддерживает TCP keep-alives
Только для тестов на основе TCP: устройство брандмауэра/NAT поддерживает одновременное открытие TCP Ограничения: Чтобы нацелиться на Enterprise Agent за NAT, он должен иметь публичный IP-адрес, если используется UDP (
подробности здесь
).
Enterprise Agents, установленные на устройствах Meraki, не поддерживаются в качестве
целевого агента
теста A2A/RTP (
подробности здесь
). Практический сценарий Давайте посмотрим, как это работает! В следующем примере два агента с частными IP-адресами используются в тесте A2A. Оба агента используют сервер NAT через своего интернет-провайдера. Каждый агент может подключиться к Интернету и облаку ThousandEyes. ![erikaa_0-1754002237234.png] ![erikaa_1-1754002237347.png] ![erikaa_2-1754002237316.png] В этом конкретном примере одна и та же подсеть (192.168.100.0/24) существует в двух разных местах: Пачука и Аскапотсалько. Это частный IP-блок, который не маршрутизируется через Интернет. Все попытки подключиться к устройству в той же подсети останутся в своем собственном местоположении. Для мониторинга соединения между сайтами предполагается, что два агента будут взаимодействовать друг с другом. В случае, когда невозможно использовать назначенные частные IP-адреса, мы можем полагаться на NAT/PAT местоположений. Когда реализована функция NAT Transversal, мы можем использовать публичные IP-адреса и порты, назначенные местными интернет-провайдерами/сервером NAT, для перехода через Интернет и завершения этого соединения. С помощью функции NAT Transversal от ThousandEyes агенты, находящиеся за NAT, регистрируются на сервере трансверсального доступа, чтобы обнаружить характеристики NAT и PAT агентов, а затем используют обнаруженную информацию при выполнении тестов между агентами. Для этого сначала необходимо включить функцию NAT Transversal, установив флажок
«Behind a NAT» (За NAT)
на вкладке
«Advanced Settings» (Дополнительные настройки)
агента на странице
«Network & App Synthetics» (Синтетические сети и приложения) > «Agent Settings» (Настройки агента) > «Enterprise Agents» (Корпоративные агенты)
. После запуска теста агенты попытаются подключиться к ntrav.thousandeyes.com по портам 9119 и 9120. В зависимости от конфигурации теста это может быть TCP или UDP. ![erikaa_3-1754002237339.png] В нашем сценарии в этом тесте используется TCP, поэтому подключение к серверу траверса происходит через TCP 9119-9120. ![erikaa_4-1754002237340.png] Тест настроен на запуск каждые две минуты. Обратите внимание, что на отметке двух минут в следующем снимке мы видим сеанс агента с сервером NAT transversal. Он находится по TCP-портам 9119 и 9120. Примечание:
после завершения тестового цикла агенты закроют соединение с трансверсальным сервером. ![erikaa_5-1754002237482.png] После успешного установления сеанса с трансверсальным сервером агенты отправят поток из 50 пакетов для тестирования сети. ![erikaa_6-1754002237337.png] После установления сеанса агенты теперь имеют информацию NAT/PAT на дальнем конце, поэтому они могут подключиться. Агент Azcapo-Rasp будет использовать публичный IP-адрес NAT-сервера в Пачуке (
187.190.XX.XX
) для подключения к агенту Pachuca-Rasp. Аналогично, агент Pachuca-Rasp будет использовать публичный IP-адрес NAT-сервера в Ацкапотсалько (
187.191.XX.XX
) для подключения к агенту Azcapo-Rasp. Чтобы проверить успешность пересечения, найдите и проверьте фактический поток сетевого теста. Совет от профессионала:
При настройке конфигураций теста вручную установите MSS на определенное значение (в этом примере используется 632). Это полезно для отслеживания потока для теста A2A, поскольку ни одна другая сессия в этих агентах не использует этот MSS. Затем используйте фильтр захвата пакетов
tcp.len == 632
, чтобы найти поток сетевого теста. Фильтрация TCP-обмена обеспечит визуализацию TCP-рукопожатия и преамбулы синхронизации часов. ![erikaa_7-1754002237301.png] После открытия обычного TCP-соединения исходный и целевой агенты запускают процесс измерения, обмениваясь начальным набором пакетов (5 в каждом направлении) для синхронизации своих внутренних часов. Эта часть теста иногда называется «преамбулой синхронизации часов». После учета смещения и дрейфа часов фактические пробные пакеты (50) отправляются целевому агенту. ![erikaa_8-1754002237495.png] Теперь агенты используют NAT-серверы друг друга для подключения. Пакеты, которые покидают Pachuca-Rasp (192.168.100.2) в направлении NAT-сервера в Azcapo (187.191.XX.XX), принимаются агентом Azcapo-Rasp (192.168.100.47) с использованием NAT-сервера в Pachuca (187.190.XX.XX). Обратный трафик идет в обратном направлении. На захваченных пакетах это утверждение подтверждается с помощью IP-идентификатора. Пакет, отправленный агентом Pachuca-Rasp, содержит тот же идентификатор, что и пакеты, которые достигают агента Azcapo-Rasp.
![erikaa_9-1754002237502.png] Ссылки: https://docs.thousandeyes.com/product-documentation/global-vantage-points/enterprise-agents/configuring/nat-traversal-for-agent-to-agent-tests
https://docs.thousandeyes.com/product-documentation/tests/network-tests/agent-to-agent-test-overview
https://docs.thousandeyes.com/product-documentation/tests/network-tests/network-tests-explained#agent-to-agent-measurements
-
Очень полезная и интересная информация, позволяющая лучше понять, что такое ThousandEyes и каковы его возможности. Спасибо за то, что поделились
@erika.a
! С уважением, Гас -
Спасибо за предоставление обучения и поддержку.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти