مرونة موقع Socket مع استرداد الشبكة العريضة

تناقش هذه المقالة ميزة استرداد الشبكة العريضة لمواقع Socket التي توفر المرونة في حالة احتمال وجود مشكلة اتصال مع Cato Cloud.

نظرة عامة على استعادة الشبكة WAN

The WAN Recovery feature is one of multiple recovery options that provide resiliency if your Socket sites can't communicate using the Cato Cloud. WAN Recovery uses VPN tunnels between Socket sites over the Internet to preserve the connectivity for the WAN traffic between your sites if there is a connectivity issue with the Cato Cloud.

كيف تعمل استعادة الشبكة WAN؟

WAN Recovery is based on a full mesh topology and is enabled by default for all Socket sites. Each Socket creates a direct DTLS tunnel to every other one over the public Internet. They regularly send keep-alive messages over the tunnel and keep an open live tunnel to reduce the recovery time. توفر هذه البنية أقصى قدر من المرونة لمواقع Socket في حسابك.

The following diagram shows an example where one Socket is disconnected from the Cato Cloud. تم تمكين استرداد الشبكة العريضة لهذا الموقع لتوفير اتصال مباشر بين Socketين:

blobid0.png

استعادة الشبكة WAN هي مكون حاسم من مقاومة Cato Cloud والحفاظ على الاتصال للمواقع. لمزيد من المعلومات، شاهد هذه الفيديوهات:

منفذ ثابت للموقع واستعادة الشبكة WAN

To ensure the smoothest transition for sites to WAN Recovery, you can use a static IP for the site and define the Socket interface Public IP and Static Port settings for a site to improve establishing the off-cloud tunnels between the sites.

بالنسبة للحسابات التي يصعب فيها تكوين إعدادات IP ثابتة لجميع Socket، نوصي باستخدام إعدادات IP ثابتة لبعض المواقع الرئيسية، مثل مراكز البيانات، التي تعمل كمحاور لاسترداد الشبكة العريضة. The IP address for the hub sites is sent to the PoPs and propagated to the other Sockets in your account that are configured for WAN Recovery.

استخدام تقنية Hub & Spoke

التوصيل الشبكي الكامل لاستعادة الشبكة WAN مناسب بشكل أساسي للنشرات الصغيرة والمتوسطة، ومع ذلك، فإن هذا السلوك يولد حركة غير ضرورية ويزيد من حمل وحدة المعالجة المركزية في بيئات واسعة النطاق. لهذه البيئات، يمكنك الانتقال إلى تقنية hub & spoke لتقليل عدد الأنفاق والتحقيقات، مما يحافظ على الأداء والكفاءة المثلى. لمزيد من المعلومات، انظر تقنية Hub & Spoke خارج السحابة لاستعادة الشبكة WAN.

استعادة الشبكة WAN لمواقع الصين

مواقع Socket في الصين تدعم الاتصال عبر الأنفاق المباشرة خارج السحابة. يسمح هذا بتوجيه حركة المرور العالية الحجم مباشرة بين المواقع داخل الصين، واستخدامات استمرارية الأعمال.

استعادة حركة مرور الشبكة الواسعة

The Socket keeps an open tunnel for WAN Recovery, so if it loses connectivity with the Cato Cloud, the Socket recovers the connections with the other sites and minimizes the disconnection time. Socket يبدأ مباشرة بإرسال حركة مرور الشبكة العريضة عبر رابط استرداد الشبكة العريضة.

يمكنك استخدام تطبيق إدارة Cato (CMA) لتعطيل استرداد WAN إما لموقع محدد أو للحساب بأكمله. لمزيد من المعلومات، انظر العمل مع التكوين المتقدم للحساب.

بمجرد استعادة الاتصال بـ Cato Cloud، ينتهي الاسترداد ويتم إرسال الحركة عبر Cato Cloud.

تهيئة المواقع لاسترداد الشبكة الواسعة

نوصي باستخدام عناوين IP ثابتة للمواقع الرئيسية، مثل مراكز البيانات، التي تعمل كمحاور لاسترداد الشبكة العريضة. Define the off-cloud Public IP and Static Port for each WAN link in the hub sites.

يمكنك استخدام صفحة أفضل الممارسات لتأكيد تمكين جميع المواقع في إعدادات التكوين المتقدم لدعم استرداد WAN.

لتهيئة موقع لاسترداد الشبكة الواسعة:

  1. من قائمة التنقل، اختر الشبكة > المواقع، وحدد الموقع.

  2. من قائمة التنقل، اختر تهيئة الموقع > مقبس.

  3. تهيئة رابط الشبكة الواسعة لاسترداد الشبكة الواسعة:

    1. انقر فوق رابط الشبكة العريضة. يفتح لوحة تعديل واجهة Socket.

      off_cloud_publicIP_port.png

    2. تعيين حالة الحركة إلى مفعلة.

    3. (Optional) Define the static Public IP and Static Port for the link.

      أفضل ممارسة: نوصي بتكوين هذا الإعداد للمواقع الأساسية الرئيسية.

  4. كرر الخطوة 3 لجميع روابط الشبكة الواسعة المأخذ.

  5. انقر فوق تطبيق، ثم انقر فوق حفظ.

    تم تكوين الموقع لاسترداد الشبكة العريضة.

تحليل أحداث استرداد الشبكة الواسعة

WAN Recovery events are generated when a site sends traffic to another site using the DTLS tunnels over the Internet instead of the Cato Cloud. CMA تعرض الأحداث التالية لاسترداد الشبكة العريضة:

  • استعادة خارج السحابة مفعّلة - يتم إنشاء هذا الحدث عندما يبدأ المقبس في إرسال حركة مرور الشبكة الواسعة عبر النقل لاسترداد الشبكة الواسعة.

  • استعادة خارج السحابة توقفت - يتم توليد هذا الحدث عند استعادة الاتصال بسحابة Cato، ويتوقف Socket عن إرسال حركة الشبكة WAN عبر هيئة استعادة الشبكة WAN.

لا يتم إنشاء أحداث عندما يعمل استرداد WAN لموقع (الحالة هي جاهز)، ولكن الموقع لا يرسل حركة مرور عبر الأنفاق DTLS للاسترداد.

مراقبة حالة استرداد الشبكة الواسعة

يوفر CMA رؤية جاهزية استرداد WAN لمواقع Socket الخاصة بك. يمكنك تحديد المواقع بشكل استباقي التي تواجه مشاكل تعيق استرداد WAN واتخاذ إجراءات تصحيحية للحفاظ على مرونة WAN.

أفضل ممارسة: قم بتكوين كل واجهة WAN بعنوان IP ثابت أو ديناميكي لضمان كشف الأنفاق بشكل موثوق ودقة تقارير الحالة.

يمكنك مراقبة استرداد WAN في عمود أنفاق استرداد WAN في صفحة الشبكة > المواقع. تشير الحالة في الوقت الفعلي لكل موقع إلى حالة جاهزية وصلات WAN لاسترداد WAN:

  • جاهز (X/X): هذا الموقع لاسترداد الشبكة الواسعة ومتصلة بجميع مواقع المقابس

  • جزئي (X/Y): الموقع جاهز جزئيًا لاستعادة الشبكة WAN (أي 16/20 يعني أن هذا الموقع متصل بـ 16 من 20 موقعًا لاستعادة الشبكة WAN)

  • غير جاهز (0/Y): هذا الموقع غير جاهز لاسترداد الشبكة الواسعة، ولا يوجد اتصال بأي مواقع مأخذ. سيفقد هذا الموقع الاتصال بالشبكة الواسعة إذا كان هناك انقطاع مع سحابة كاتو

wan_recovery_status.png

لمراجعة حالة استرداد الشبكة الواسعة لجميع المواقع:

  • من القائمة التنقلية، حدد الشبكة > المواقع، وراجع الحالة في عمود أنفاق استرداد WAN.

    يمكنك أيضًا رؤية الحالة لموقع محدد في هذه الصفحات:

    • الرئيسي > الطوبولوجيا واختر موقعًا

    • تهيئة الموقع > {site name} > مأخذ

معالجة حالة جزئي أو غير جاهز

إذا أظهر موقع حالة جزئي أو غير جاهز، اتبع الخطوات التالية لاستعادة جاهزية الاسترداد الكاملة:

  1. التحقق من إعدادات واجهة الشبكة الواسعة: تأكد من أن كل واجهة شبكة واسعة لديها عنوان IP ثابت أو ديناميكي صحيح وأن وصلات الشبكة واسعة النطاق عملياتية.

  2. التحقق من إنشاء النفق: استخدم CMA أو واجهة الويب للمأخذ لتأكيد أن الأنفاق خارج السحابة تم إنشاؤها ويتم الحفاظ عليها مع المواقع البعيدة.

  3. استكشاف مشاكل الشبكة المحلية: تحقق من الأسباب المحتملة مثل:

    • قواعد الجدار الناري الواردة/الصادرة تمنع حركة المرور

    • سلوك NAT غير صحيح أو قيود المنافذ

    • إعادة توجيه أخطاء التوجيه

  4. تطبيق أفضل الممارسات: حيثما كان ذلك ممكنًا، قم بتهيئة عناوين IP ثابتة للمواقع الحرجة (مثل مراكز البيانات أو المحاور) لتعزيز استقرار النفق ودقة الحالة.

القيود المعروفة لمراقبة استرداد الشبكة الواسعة

  • مشكلات محددة للموقع: عادةً ما تشير حالة غير جاهز إلى مشكلة محلية في الموقع (مثل فشل وصلات الشبكة الواسعة، مشكلات التهيئة، أو مشاكل تعيين IP) بدلاً من المشاكل مع المواقع البعيدة.

  • نطاق رؤية الشبكة المترابطة: تعكس الحالة شبكة الأنفاق الإجمالي بين المواقع. لا يظهر فورًا أي الأنفاق المحددة معطلة. قد تحتاج إلى التحقيق لكل موقع أو واجهة.

  • شروط الشبكة: قد تؤدي مشكلات الشبكة المؤقتة، سلوك NAT، أو قواعد الجدار الناري إلى تعطيل إنشاء الأنفاق وتأخير أو التأثير على دقة الحالة.

التأثير على الحساب خلال استرداد الشبكة الواسعة

WAN Recovery is enabled by default for all Socket sites to provide resiliency using off-cloud traffic, if it is disabled for one or more sites, then they can't communicate with the other. For example, if WAN recovery is enabled on sites A and B, but not for site C, during the recovery, site C can't communicate with the other sites, and sites A and B can't communicate with site C.

لا تتأثر سياسة جدار الحماية LAN وتستمر في العمل بشكل طبيعي أثناء استرداد WAN لأن Socket يطبق السياسة.

لا تعيد تشغيل المقبس

أثناء استرداد WAN، تأكد من عدم إعادة تشغيل Socket، وإلا فقد يكون هناك تأثير سلبي على الموقع وقد لا يتمكن من إعادة الاتصال بالمواقع الأخرى.

استرداد الشبكة الواسعة في النشاط/النشاط أو النشاط/الإحتياطي

For all deployments, when WAN Recovery is enabled, each Socket establishes secure DTLS tunnels to the remote Socket site on all WAN interfaces that are enabled for off-cloud traffic. For active/active link configuration, the Socket randomly selects one of the active links for WAN recovery. For active/passive, the Socket uses the active link.

التأثير على CMA خلال استرداد الشبكة الواسعة

The Cato Management Application (CMA) does not receive all site data because it is not connected to the PoP and is not aware of the status of the impacted sites.

يمكنك تسجيل الدخول إلى واجهة الويب الخاصة بـ Socket واستخدام علامة التبويب SD-WAN لمراقبة الحركة والأنفاق خارج السحابة. هذا مثال لمراقبة الحركة باستخدام واجهة الويب الخاصة بـ Socket:

sokcet_webui_sdWAN.png

BGP واسترداد الشبكة الواسعة

أثناء استرداد الشبكة العريضة، يتم تجميد جدول توجيه Socket، مما يعني أن جميع مجالات BGP الموجودة قبل بدء الاسترداد ستكون قابلة للتوجيه عبر حركة مرور خارج السحابة إلى المواقع الأخرى. المجالات BGP التي تم تقديمها بعد بدء استرداد الشبكة العريضة غير قابلة للوصول حتى يخرج Socket من الاسترداد ويتصل بـ PoP.

قيود PoP أثناء استرداد الشبكة الواسعة

Traffic that is passed over the WAN Recovery off-cloud transport isn’t processed by PoPs in the Cato Cloud. وهذا يعني أنه أثناء استرداد الشبكة العريضة، لا يتم تطبيق خدمات PoP على الحركة، بما في ذلك العناصر التالية:

  • الأمان

    • سياسات جدار الحماية للشبكة الواسعة والإنترنت

    • خدمات منع التهديدات (مثل IPS، مكافحة البرمجيات الضارة)

    • خدمات XDR المدارة

  • التواصل الشبكي

    • سياسة NAT

    • قواعد الشبكة المعقدة

    • إعادة توجيه DNS

    • ترحيل DHCP

    • ترجمة المدى الثابت (SRT)

  • الوصول

    • وصول العميل (مثل سياسة اتصال العميل)

    • حالة الجهاز

استرداد الشبكة الواسعة والبديل. استرداد الشبكة الواسعة

لحسابات التي تمكّن الاسترداد عبر الروابط البديلة WAN (مثل MPLS)، إذا انقطع اتصال Socket عن Cato Cloud، فإن Alt. WAN link has a higher priority than WAN Recovery. Therefore, the Socket first moves the traffic to the Alt. WAN link. If the Alt. WAN link is unavailable, the Socket then moves the WAN traffic to the WAN Recovery link. بشكل عام، فإن استرداد الشبكة العريضة له الأولوية الأقل كخيار نقل، ويستخدم فقط عندما لا تتوفر خيارات النقل الأخرى.

فهم NAT للبداية في ربط المقابس

WAN Recovery relies on NAT punching to establish the WAN connectivity between your sites. عندما يتصل Socket بـ Cato Cloud، يبلغ PoP Socket بجميع النقاط النهائية الأخرى، ويفتح Socket نفق DTLS لكل واحد منها. The Socket uses the NAT punching technique to establish a direct connection with the other Sockets.

ملاحظة: تبدأ مفاوضات نفاذ NAT عبر Cato Cloud. لذلك، يجب أن تكون Sockets متصلة بـ Cato Cloud للسماح بنفاذ NAT.

يوضح المخطط التالي تدفق إنشاء اتصال مباشر بين Socketين لاسترداد الشبكة العريضة:

blobid1.png

The NAT punching technique works for each pair of Sockets in the following way:

  1. تقوم PoP باختيار أحد المقابس كبادئ لإنشاء اتصال مباشر (المقبس 1) بناءً على هوية الموقع (الموقع الذي لديه أعلى قيمة هوية هو البادئ).

  2. يرسل المقبس البادئ طلبًا إلى سحابة كاتو للحصول على التفاصيل التالية: عنوان IP ورقم المنفذ، على سبيل المثال، عنوان IP 82.128.1.1 ورقم المنفذ 4444 (الخطوة #2)

  3. ترسل PoP الخاصة بكاتو عنوان IP المصدر والمنفذ إلى المقبس 1

  4. يرسل المقبس 1 عنوان IP الخاص به والمنفذ إلى المقبس 2 عبر نفق كاتو

  5. يرسل المقبس 2 طلبًا إلى سحابة كاتو للحصول على التفاصيل التالية: عنوان IP ورقم المنفذ

  6. ترسل PoP الخاصة بكاتو عنوان IP المصدر والمنفذ إلى المقبس 2

  7. يرسل المقبس 2 عنوان IP الخاص به والمنفذ إلى المقبس 1 عبر نفق كاتو

  8. يرسل المقبس 1 32 حزمًا إلى المقبس 2 في نطاق منفذ المصدر، كل حزمة برقم منفذ مختلف

  9. يرسل المقبس 2 32 حزمًا إلى المقبس 1 في نطاق منفذ المصدر، كل حزمة برقم منفذ مختلف

  10. بمجرد العثور على المنفذ الصحيح، تفتح Sockets نفق DTLS مع عنوان IP المصدر ورقم المنفذ

    عندما يتصل Socket 2 بـ Socket 1، يقوم الموجّه بإضافة مدخل NAT إلى جدول توجيهاته

  11. من هذه النقطة، ترسل المقابس رسائل إبقاء الاتصال مفتوحًا كل 15 ثانية للحفاظ على الاتصال مفتوحًا

تقليل وقت إعادة الاتصال باستخدام NAT

بعد نجاح تقنية NAT Punching، يقوم Socket بحفظ بيانات NAT هذه. في حالة إعادة تشغيل Socket، يمكنه إعادة الاتصال فورًا بـ Sockets الأخرى باستخدام بيانات NAT هذه. حفظ بيانات NAT يقلل بشكل كبير من وقت إعادة الاتصال لـ Socket. بالنسبة للSockets التي تكون خلف جدار حماية شبكة أو موجّه، إذا تمت إعادة تشغيل جدار الحماية أو الموجّه، يتم تغيير مدخلات NAT. لم تعد بيانات NAT ذات صلة، ويجب على Sockets تنفيذ عملية NAT punching مرة أخرى.

هل كان هذا المقال مفيداً؟

1 من 2 وجدوا هذا مفيداً

لا توجد تعليقات