تناقش هذه المقالة ميزة التعافي من الشبكة الواسعة لمواقع سوكيت التي توفر الاستمرارية في حالة غير محتملة للغاية لوجود مشكلة اتصال مع كاتو كلاود.
ميزة التعافي من الشبكة الواسعة واحدة من خيارات الاسترداد المتعددة التي توفر استمرارية إذا لم تستطع مواقع سوكيت التواصل باستخدام كاتو كلاود. يستخدم التعافي من الشبكة الواسعة الأنفاق الافتراضية بين مواقع سوكيت عبر الإنترنت للحفاظ على الاتصال لحركة المرور الشبكة الواسعة بين مواقعك إذا كان هناك مشكلة اتصال مع كاتو كلاود.
يعتمد التعافي من الشبكة الواسعة على طوبولوجيا الشبكة المتكاملة ويكون مفعّل بشكل افتراضي لجميع مواقع سوكيت. كل سوكيت تنشئ نفق DTLS مباشر لكل سوكيت آخر عبر الإنترنت العام. يرسلون بشكل منتظم رسائل المحافظة على الحياة عبر النفق ويحافظون على نفق حي مفتوح لتقليل وقت الاسترداد. يوفر هذا الطوبولوجيا أقصى استمرارية لمواقع سوكيت في حسابك.
يوضح الرسم البياني التالي مثالًا حيث يتم فصل سوكيت عن كاتو كلاود. يتم تفعيل التعافي من الشبكة الواسعة لهذا الموقع لتوفير اتصال مباشر بين السوكيتين:
لضمان انتقال سلس للمواقع إلى التعافي من الشبكة الواسعة، يمكنك استخدام عنوان IP ثابت للموقع وتحديد إعدادات الواجهة لسوكيت العنوان العام والمنفذ الثابت للموقع لتحسين إنشاء الأنفاق خارج السحابة بين المواقع.
بالنسبة للحسابات حيث يصعب تكوين إعدادات IP ثابت لجميع السوكيتات، نوصي باستخدام إعدادات IP ثابت لبعض المواقع الرئيسية، مثل مراكز البيانات، التي تعمل كمحاور للتعافي من الشبكة الواسعة. يُرسل عنوان IP للمواقع المحورية إلى نقاط التجمع وينقل إلى السوكيتات الأخرى في حسابك التي تم تكوينها للتعافي من الشبكة الواسعة.
يحافظ سوكيت على نفق مفتوح للتعافي من الشبكة الواسعة، لذلك إذا فقد الاتصال مع كاتو كلاود، يقوم سوكيت باسترداد الاتصالات مع المواقع الأخرى ويقلل من وقت الانقطاع. ثم يبدأ سوكيت فورًا بإرسال حركة الشبكة الواسعة عبر رابط التعافي من الشبكة الواسعة.
يمكنك استخدام تطبيق إدارة كاتو لتعطيل التعافي من الشبكة الواسعة سواء لموقع محدد أو للحساب بالكامل. لمزيد من المعلومات، راجع العمل مع التكوين المتقدم للحساب.
بمجرد استعادة الاتصال مع كاتو كلاود، ينتهي الاسترداد وتُرسل حركة المرور عبر كاتو كلاود.
تعرض صفحة سوكيت لموقع حالة خارج السحابة للروابط الشبكة الواسعة. عندما تكون الحالة مفعلة، تكون الروابط جاهزة للتعافي من الشبكة الواسعة.
ننصح باستخدام عناوين IP ثابتة للمواقع الرئيسية، مثل مراكز البيانات، التي تعمل كمحاور للتعافي من الشبكة الواسعة. حدد العنوان العام والمنفذ الثابت لكل رابط شبكة واسعة في المواقع المحورية.
يمكنك استخدام صفحة أفضل الممارسات للتأكد من أن جميع المواقع مفعلة في إعدادات التكوين المتقدم لدعم التعافي من الشبكة الواسعة.
لتكوين موقع للتعافي من الشبكة الواسعة:
-
من قائمة التنقل، اختر الشبكة > المواقع، واختر الموقع.
-
من قائمة التنقل، اختر تكوين الموقع > سوكيت.
-
قم بتكوين رابط الشبكة الواسعة للتعافي من الشبكة الواسعة:
-
انقر على رابط الشبكة الواسعة. تفتح لوحة التحرير واجهة سوكيت.
-
اضبط حالة الحركة إلى مفعلة.
-
(اختياري) تعريف العنوان العام الثابت والمنفذ الثابت للرابط. نوصي بهذا الإعداد للمواقع المحورية الرئيسية.
-
-
كرر الخطوة 3 لجميع روابط سوكيت الشبكة الواسعة.
-
انقر تطبيق، ثم انقر حفظ.
تم تكوين الموقع للتعافي من الشبكة الواسعة.
تُنشأ أحداث التعافي من الشبكة الواسعة عندما يرسل موقع حركة إلى موقع آخر باستخدام أنفاق DTLS عبر الإنترنت بدلاً من كاتو كلاود. يظهر CMA الأحداث التالية للتعافي من الشبكة الواسعة:
-
تم تفعيل التعافي خارج السحابة - يتم إنشاء هذا الحدث عندما يبدأ سوكيت في إرسال حركة الشبكة الواسعة عبر النقل التعافي من الشبكة الواسعة.
-
توقف التعافي خارج السحابة - يتم إنشاء هذا الحدث عند استعادة الاتصال مع كاتو كلاود وتوقف سوكيت عن إرسال حركة الشبكة الواسعة عبر النقل التعافي من الشبكة الواسعة.
لن يتم إنشاء أي حدث عندما يعمل التعافي من الشبكة الواسعة لموقع، ولا يتم إرسال حركة باستخدام أنفاق DTLS
يتم تفعيل التعافي من الشبكة الواسعة بشكل افتراضي لجميع مواقع سوكيت لتوفير الاستمرارية باستخدام حركة خارجة عن السحابة، إذا كان معطلًا لموقع أو أكثر، فإنهم لا يستطيعون التواصل مع الآخرين. على سبيل المثال، إذا كان التعافي من الشبكة الواسعة مفعّلًا على المواقع A وB، ولكن ليس على الموقع C، خلال التعافي، لا يستطيع الموقع C التواصل مع المواقع الأخرى، ولا تستطيع المواقع A وB التواصل مع الموقع C.
سياسة جدار الحماية للشبكة LAN لا تتأثر وتستمر بالعمل بشكل طبيعي خلال استعادة شبكة WAN لأن الجهاز يطبق السياسة.
ملاحظة
ملاحظة: نظرًا لأسباب تنظيمية، لا يتم دعم التعافي من الشبكة الواسعة في الصين.
أثناء التعافي من الشبكة الواسعة، تأكد من عدم إعادة تشغيل سوكيت، وإلا قد يحدث تأثير سلبي على الموقع وقد لا يتمكن من إعادة إنشاء الاتصال مع المواقع الأخرى.
بالنسبة لجميع النشرات، عندما يتم تفعيل التعافي من الشبكة الواسعة، يقوم كل سوكيت بإنشاء أنفاق DTLS آمنة لموقع سوكيت عن بعد على جميع واجهات الشبكة الواسعة التي تم تفعيلها لحركة خارج السحابة. بالنسبة لتكوين الرابط النشط/الفعال، يختار سوكيت بشكل عشوائي واحدة من الروابط الفعالة للتعافي من الشبكة الواسعة. بالنسبة للنشط/السلبي، يستخدم سوكيت الرابط الفعال.
لا يتلقى تطبيق إدارة كاتو (CMA) جميع بيانات الموقع لأنه غير متصل بنقطة التجمع وغير مدرك لحالة المواقع المتأثرة.
يمكنك تسجيل الدخول إلى واجهة ويب Socket واستخدام علامة تبويب SD-WAN لمراقبة حركة المرور والأنفاق خارج السحابة. هذا مثال على حركة المراقبة باستخدام واجهة ويب سوكيت:
استرداد BGP وWAN
خلال استرداد WAN، يتم تجميد جدول التوجيه في SOCKET، مما يعني أن جميع مدى BGP الذي كان موجودًا قبل بدء الاسترداد سيكون قابلًا للتوجيه عبر حركة المرور غير السحابية إلى المواقع الأخرى. مدى BGP الذي يتم تقديمه بعد بدء استرداد WAN غير قابلة للوصول حتى يخرج SOCKET من الاسترداد ويتصل مرة أخرى بـPoP.
قيود نقاط التجمع أثناء التعافي من الشبكة الواسعة
لا تتم معالجة الحركة التي تم تمريرها عبر نقل التعافي من الشبكة الواسعة خارج السحابة بواسطة نقاط التجمع في كاتو كلاود. هذا يعني أنه أثناء التعافي من الشبكة الواسعة، لا يتم تطبيق خدمات نقاط التجمع على الحركة، بما في ذلك العناصر التالية:
-
الأمان
-
سياسات جدار الحماية للشبكة الواسعة والإنترنت
-
خدمات منع التهديدات (أي IPS، مكافحة البرمجيات الخبيثة)
-
خدمات XDR المدارة
-
-
الشبكات
-
سياسة NAT
-
قواعد الشبكة المعقدة
-
توجيه DNS
-
ترحيل DHCP
-
ترجمة نطاق ثابت (SRT)
-
-
الوصول
-
الوصول للعميل (أي سياسة الاتصال للعميل)
-
وضع الجهاز
-
يعتمد التعافي من الشبكة الواسعة على اختراق NAT لتأسيس الاتصال الشبكي الواسع بين مواقعك. عندما يتصل سوكيت بكتو كلاود، يقوم نقطة التجمع بإعلام سوكيت بجميع النقاط الأخرى، ويفتح سوكيت نفق DTLS لكل واحد منها. يستخدم سوكيت تقنية اختراق NAT لإنشاء اتصال مباشر مع سوكيتات الأخرى.
ملاحظة: تبدأ عملية التفاوض لاختراق NAT عبر كاتو كلاود. لذلك، يجب على السوكيتات أن تكون متصلة بكتو كلاود للسماح باختراق NAT.
يوضح الرسم البياني التالي التدفق لإنشاء اتصال مباشر بين سوكيتين لأغراض التعافي من الشبكة الواسعة:
تعمل تقنية اختراق NAT لكل زوج من السوكيتات بالطريقة التالية:
-
يختار نقطة التجمع واحدًا من السوكيتات كمنشئ لإنشاء اتصال مباشر (سوكيت 1) استنادًا إلى معرف الموقع (الموقع ذو قيمة المعرف الأعلى هو المنشئ).
-
يرسل سوكيت المنشئ طلب إلى كتو كلاود للحصول على التفاصيل التالية: عنوان IP ورقم المنفذ، على سبيل المثال: عنوان IP 82.128.1.1 ورقم المنفذ 4444 (الخطوة #2)
-
يرسل نقطة التجمع عنوان IP المصدر والمنفذ إلى سوكيت 1
-
يرسل سوكيت 1 عنوان IP الخاص به والمنفذ إلى سوكيت 2 عبر نفق كاتو
-
يرسل سوكيت 2 طلبًا إلى كاتو كلاود للحصول على التفاصيل التالية: عنوان IP ورقم المنفذ
-
يرسل نقطة التجمع عنوان IP المصدر والمنفذ إلى سوكيت 2
-
يرسل سوكيت 2 عنوان IP الخاص به والمنفذ إلى سوكيت 1 عبر نفق كاتو
-
يرسل سوكيت 1 32 حزمة إلى سوكيت 2 في نطاق منفذ المصدر، كل حزمة برقم منفذ مختلف
-
يرسل سوكيت 2 32 حزمة إلى سوكيت 1 في نطاق منفذ المصدر، كل حزمة برقم منفذ مختلف
-
بمجرد العثور على المنفذ الصحيح، تفتح السوكيتات نفق DTLS مع عنوان IP المصدر ورقم المنفذ
عندما يتصل سوكيت 2 بسوكيت 1، يضيف الراوتر نات إدخال إلى جدول التوجيه الخاص به
-
من تلك اللحظة، ترسل السوكيتات رسائل المحافظة على الحياة كل 15 ثانية للحفاظ على الاتصال مفتوحًا
بعد نجاح اختراق NAT، يحفظ سوكيت هذه بيانات NAT. في حالة إعادة تشغيل سوكيت، يمكنه إعادة الاتصال على الفور بالسوكيتات الأخرى باستخدام تلك بيانات NAT. حفظ بيانات NAT يقلل بشكل كبير من الوقت لإعادة الاتصال بسوكيت. بالنسبة للسوكيتات التي خلف جدار حماية الشبكة أو راوتر، إذا قام جدار الحماية أو الراوتر بإعادة التشغيل، يتم تغيير إدخالات NAT. لم تعد بيانات NAT ذات صلة، ويجب على السوكيتات تنفيذ عملية اختراق NAT مرة أخرى.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.