فشل الاتصال بـ TLS عبر الروابط خارج السحابة أو Alt-WAN

مشكلة

قد يفشل اتصال TLS عند الانتقال عبر رابط خارج السحابة أو Alt-WAN بين موقعين خلف مقابس Cato. 

البيئة

  • اتصال TLS بين موقعين لـ Cato.
  • تمكين فحص TLS
  • قاعدة الشبكة التي يصطدم بها المرور تكون تحت قاعدة معقدة (مزيد من المعلومات أدناه)

استكشاف الأخطاء وإصلاحها

  • سيتم فرض وكيل TCP عندما توجد قاعدة شبكة معقدة فوق القاعدة البسيطة خارج السحابة أو Alt-WAN كما هو موضح في التعامل مع قواعد الشبكة المعقدة
  • فيما يلي مثال على سيناريو يتم فيه وضع قاعدة بسيطة خارج السحابة تحت قاعدة معقدة. القاعدة معقدة لأنها تحتوي على تطبيق محدد.

  • في هذا السيناريو، لا يمكن للمقبس تقييم قاعدة الشبكة على حزمة SYN ويرسلها إلى PoP. يكمل وكيل TCP المصافحة TCP على جانب العميل (الموقع A) فقط، كما هو موضح في الرسم التخطيطي أدناه.

  • يتم تحديد ملف الشبكة على مقبس الموقع A، ويتحول إلى النقل خارج السحابة. بعد ذلك، يتم بدء مصافحة SSL، ويرسل المقبس A تحية العميل عبر خارج السحابة.

  • تصل تحية العميل إلى الخادم، لكن الخادم لم يكمل حتى الآن مصافحة TCP مع العميل. نتيجة لذلك، أرسل الخادم إعادة تعيين للعميل، مما أنهى الاتصال.

  • يمكن رؤية السلوك أعلاه من جانب الخادم عن طريق تشغيل التقاط الحزمة. انظر كيفية التقاط المرور على مقبس

الحل

كما هو مذكور في التعامل مع المرور خارج السحابة، الحل هو نقل القاعدة البسيطة خارج السحابة أو Alt-WAN فوق أي قواعد معقدة. عند القيام بذلك، يمكن للمقابس تقييم قاعدة الشبكة وتوجيه الحزم عبر خارج السحابة أو Alt-WAN فورًا.

يتم إزالة PoP ووكيل TCP من المسار في كلا الاتجاهين. يتم إرسال الحزم مباشرة بين كلا المقبسين.

بدلاً من ذلك، على الرغم من أنه غير مستحسن، يمكن أن تحل تعطيل فحص TLS على مستوى الحساب المشكلة لأنه سيعطل فرض وكيل TCP.

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات