Este artículo trata sobre la función de Recuperación WAN para los sitios de Socket que proporciona resiliencia en la circunstancia muy poco probable de que haya un problema de conectividad con Cato Cloud.
La función de Recuperación WAN es una de las múltiples opciones de recuperación que proporcionan resiliencia si sus sitios de Socket no pueden comunicarse utilizando Cato Cloud. Recuperación WAN utiliza túneles VPN entre los sitios de Socket a través de Internet para preservar la conectividad del tráfico WAN entre sus sitios si hay un problema de conectividad con Cato Cloud.
La Recuperación WAN se basa en una topología de malla completa y está habilitada de forma predeterminada para todos los sitios de Socket. Cada Socket crea un túnel DTLS directo a cada uno de los otros a través de la Internet pública. Regularmente envían mensajes de mantenimiento activo a través del túnel y mantienen un túnel en vivo abierto para reducir el tiempo de recuperación. Esta topología proporciona la máxima resiliencia para los sitios de Socket en su cuenta.
El siguiente diagrama muestra un ejemplo donde un Socket está desconectado de Cato Cloud. La Recuperación WAN está habilitada para ese sitio para proporcionar una conexión directa entre los dos Sockets:
La recuperación WAN es un componente crítico de la resiliencia de Cato Cloud y el mantenimiento de la conectividad para los sitios. Para más información, vea estos videos:
Para asegurar una transición más fluida de los sitios a la Recuperación WAN, puede usar una IP estática para el sitio y definir la configuración de Dirección IP Pública y Puerto Estático para mejorar el establecimiento de los túneles fuera de la nube entre los sitios.
Para cuentas donde es difícil configurar las configuraciones de IP estática para todos los Sockets, recomendamos usar configuraciones de IP estática para algunos sitios clave, como centros de datos, que actúan como hubs para la Recuperación WAN. La Dirección IP para los sitios hub se envía a los PoPs y se propaga a los otros Sockets en su cuenta que están configurados para Recuperación WAN.
La topología de malla completa para la recuperación WAN es principalmente adecuada para despliegues pequeños y medianos, sin embargo, este comportamiento genera tráfico innecesario y aumenta la carga de la CPU en entornos de gran escala. Para estos entornos, puede cambiar a una topología de hub y radio para reducir el número de túneles y sondas, manteniendo un rendimiento y eficiencia óptimos. Para más información, consulte Topología de Hub y Radio Fuera de la Nube para Recuperación WAN.
El Socket mantiene un túnel abierto para la Recuperación WAN, por lo que si pierde conectividad con Cato Cloud, el Socket recupera las conexiones con los otros sitios y minimiza el tiempo de desconexión. El Socket luego comienza inmediatamente a enviar el tráfico WAN sobre el enlace de recuperación WAN.
Puede usar la Aplicación de Gestión Cato (CMA) para deshabilitar la Recuperación WAN ya sea para un sitio específico o para toda la cuenta. Para más información, consulte Working with Advanced Configuration for the Account.
Una vez que se restablece la conectividad con el Cato Cloud, la recuperación termina, y el tráfico se envía a través del Cato Cloud.
Recomendamos que use direcciones IP estáticas para sitios clave, como centros de datos, que actúan como hubs para la Recuperación WAN. Defina la Dirección IP Pública y Puerto Estático fuera de la nube para cada enlace WAN en los sitios hub.
Puede usar la página de Mejores Prácticas para confirmar que todos los sitios estén habilitados en la Configuración Avanzada para soportar la Recuperación WAN.
Para configurar un sitio para la Recuperación WAN:
-
En el menú de navegación, seleccione Red > Sitios, y seleccione el sitio.
-
En el menú de navegación, seleccione Configuración de Sitio > Socket.
-
Configure el enlace WAN para la Recuperación WAN:
-
Haga clic en el enlace WAN. Se abre el panel Editar Interfaz de Socket.
-
Configure el Estado del Tráfico en Habilitado.
-
(Opcional) Defina la Dirección IP Pública y Puerto Estático para el enlace.
Mejor Práctica: Recomendamos que configure esta opción para los sitios centrales clave.
-
-
Repita el paso 3 para todos los enlaces WAN de Socket.
-
Haga clic en Aplicar, y luego haga clic en Guardar.
El sitio está configurado para la Recuperación WAN.
Se generan eventos de Recuperación WAN cuando un sitio envía tráfico a otro sitio usando los túneles DTLS sobre el Internet en lugar de Cato Cloud. La CMA muestra los siguientes eventos para la recuperación WAN:
-
Recuperación Fuera de la Nube Activada - este evento se genera cuando el Socket comienza a enviar el tráfico WAN sobre el transporte de Recuperación WAN.
-
La Recuperación Fuera de la Nube Detenida - este evento se genera cuando se restaura la conexión con el Cato Cloud, y el Socket deja de enviar tráfico WAN a través del transporte de recuperación WAN.
No se generan eventos cuando la Recuperación WAN está funcionando para un sitio (el estado es Listo), pero el sitio no está enviando tráfico a través de los túneles DTLS de recuperación.
El CMA proporciona visibilidad sobre la preparación de recuperación WAN de sus sitios Socket. Puede identificar proactivamente sitios con problemas que impiden la Recuperación WAN y tomar medidas correctivas para mantener la resiliencia de WAN.
Mejor Práctica: Configure cada interfaz WAN con una dirección IP estática o dinámica para asegurar una detección de túneles confiable y un informe de estado preciso.
Puede monitorear la recuperación WAN en la columna WAN Recovery Tunnels en la página Network > Sites. El estado en tiempo real de cada sitio indica el estado de preparación de los enlaces WAN para la recuperación WAN:
-
Listo (X/X): Este sitio está para la Recuperación WAN y conectado a todos los sitios Socket.
-
Parcial (X/Y): El sitio está parcialmente listo para la recuperación WAN (es decir, 16/20 significa que este sitio está conectado a 16 de 20 sitios para recuperación WAN)
-
No Listo (0/Y): Este sitio no está listo para la Recuperación WAN, y no está conectado a ningún sitio Socket. Este sitio perderá conectividad WAN si hay una interrupción con el Cato Cloud
Para revisar el estado de Recuperación WAN para todos los sitios:
-
Desde el menú de navegación, seleccione Network > Sites, y revise el estado en la columna WAN Recovery Tunnels.
También puede ver el estado de un sitio específico en estas páginas:
-
Inicio > Topología y seleccione un sitio
-
Configuración de Sitio > {site name} > Socket
-
Si un sitio muestra un estado Parcial o No Listo, siga los siguientes pasos para restaurar la preparación completa para la recuperación:
-
Verifique la Configuración de la Interfaz WAN: Asegúrese de que cada interfaz WAN tenga una dirección IP estática o dinámica válida y que los enlaces WAN estén operativos.
-
Verifique el Establecimiento del Túnel: Utilice el CMA o el WebUI de Socket para confirmar que los túneles fuera de la nube están creados y mantenidos con sitios remotos.
-
Solucione Problemas de la Red Local: Investigue posibles causas tales como:
-
Las reglas del firewall de entrada/salida están bloqueando el tráfico
-
Comportamiento NAT incorrecto o restricciones de puerto
-
Configuraciones erróneas de enrutamiento
-
-
Aplicar Mejores Prácticas: Cuando sea posible, configure IPs WAN estáticas en sitios críticos (por ejemplo, centros de datos o hubs) para mejorar la estabilidad del túnel y la precisión del estado.
-
Problemas Específicos del Sitio: Un estado No Listo usualmente indica un problema local en el sitio (como fallo del enlace WAN, problemas de configuración, o asignación de IP) más que problemas con los sitios remotos.
-
Alcance de Visibilidad de Mesh: El estado refleja la malla de túneles general entre los sitios. No muestra de inmediato cuáles túneles específicos están caídos. Es posible que deba investigar por sitio o interfaz.
-
Condiciones de Red: Problemas de red temporales, comportamiento NAT, o reglas de firewall pueden interferir con el establecimiento de túneles y retrasar o afectar la precisión del estado.
La Recuperación WAN está habilitada de forma predeterminada para todos los sitios de Socket para proporcionar resiliencia utilizando tráfico fuera de la nube, si está deshabilitada para uno o más sitios, entonces no pueden comunicarse con los demás. Por ejemplo, si la recuperación WAN está habilitada en los sitios A y B, pero no para el sitio C, durante la recuperación, el sitio C no puede comunicarse con los otros sitios, y los sitios A y B no pueden comunicarse con el sitio C.
La política del cortafuegos LAN no se ve afectada y continúa funcionando normalmente durante la Recuperación WAN porque el Socket aplica la política.
Durante la Recuperación WAN, asegúrese de NO reiniciar el Socket, de lo contrario, puede haber un impacto negativo en el sitio y puede que no sea capaz de restablecer la conectividad con los otros sitios.
Para todas las implementaciones, cuando la Recuperación WAN está habilitada, cada Socket establece túneles DTLS seguros con el sitio remoto de Socket en todas las interfaces WAN que están habilitadas para el tráfico fuera de la nube. Para la configuración de enlace activo/activo, el Socket selecciona aleatoriamente uno de los enlaces activos para la recuperación WAN. Para activo/pasivo, el Socket utiliza el enlace activo.
La Aplicación de Gestión de Cato (CMA) no recibe todos los datos del sitio porque no está conectada al PoP y no tiene conocimiento del estado de los sitios afectados.
Puede iniciar sesión en la WebUI de Socket y usar la pestaña SD-WAN para monitorizar el tráfico y los túneles fuera de la nube. Este es un ejemplo de monitoreo de tráfico con la WebUI de Socket:
Durante la Recuperación WAN, la tabla de enrutamiento del Socket se congela, lo que significa que todos los rangos BGP que existían antes de que comenzara la recuperación serán ruteables vía el tráfico fuera de la nube a otros sitios. Los rangos BGP que se introducen después de que la Recuperación WAN comenzó son inalcanzables hasta que el Socket sale de la recuperación y se vuelve a conectar al PoP.
El tráfico que pasa por el transporte fuera de la nube de Recuperación WAN no es procesado por los PoPs en Cato Cloud. Esto significa que durante la Recuperación WAN, los servicios PoP no son aplicados al tráfico, incluyendo los siguientes elementos:
-
Seguridad
-
Políticas de firewall WAN e Internet
-
Servicios de Prevención de Amenazas (por ejemplo, IPS, Anti-Malware)
-
Servicios de XDR administrados
-
-
Redes
-
Política NAT
-
Reglas de Red Complejas
-
Reenvío DNS
-
Relevo DHCP
-
Traducción de Rango Estático (SRT)
-
-
Acceso
-
Acceso de Cliente (por ejemplo, política de Conectividad de Cliente)
-
Postura del Dispositivo
-
Para cuentas que habilitan recuperación vía Alt. WAN (es decir, MPLS), si el Socket se desconecta de Cato Cloud, el enlace Alt. WAN tiene una prioridad más alta que la Recuperación WAN. Por lo tanto, el Socket primero mueve el tráfico al enlace Alt. WAN. Si el enlace Alt. WAN no está disponible, el Socket luego mueve el tráfico WAN al enlace de Recuperación WAN. Generalmente, la Recuperación WAN tiene la menor prioridad como opción de transporte, y sólo se utiliza cuando las otras opciones de transporte no están disponibles.
La Recuperación WAN se basa en la técnica NAT punching para establecer la conectividad WAN entre sus sitios. Cuando un Socket se conecta al Cato Cloud, el PoP informa al Socket de todos los otros puntos terminales, y el Socket abre un túnel DTLS a cada uno de ellos. El Socket utiliza la técnica NAT punching para establecer una conexión directa con los otros Sockets.
Nota: La negociación de la técnica NAT punching comienza sobre Cato Cloud. Por lo tanto, los Sockets deben estar conectados a Cato Cloud para permitir la técnica NAT punching.
El siguiente diagrama muestra el flujo para establecer una conexión directa entre dos Sockets para la Recuperación WAN:
La técnica NAT punching funciona para cada par de Sockets de la siguiente manera:
-
El PoP selecciona uno de los Sockets como el iniciador para establecer una conexión directa (Socket 1) basado en el ID del sitio (el sitio con el valor de ID más alto es el iniciador).
-
El Socket iniciador envía una solicitud al Cato Cloud para los siguientes detalles: dirección IP y número de puerto, por ejemplo, dirección IP 82.128.1.1 y número de puerto 4444 (Paso #2)
-
El PoP de Cato envía la dirección IP de origen y el puerto al Socket 1
-
El Socket 1 envía su dirección IP y puerto al Socket 2 a través del túnel de Cato
-
Socket 2 envía una solicitud al Cato Cloud para los siguientes detalles: dirección IP y puerto
-
El PoP de Cato envía la dirección IP de origen y el puerto al Socket 2
-
Socket 2 envía su dirección IP y puerto al Socket 1 a través del túnel de Cato
-
El Socket 1 envía 32 paquetes al Socket 2 en el rango del puerto de origen, cada paquete con un número de puerto diferente
-
El Socket 2 envía 32 paquetes al Socket 1 en el rango del puerto de origen, cada paquete con un número de puerto diferente
-
Una vez que se encuentra el puerto correcto, los Sockets abren un túnel DTLS con la Dirección IP de origen y el número de puerto
Cuando Socket 2 se conecta con Socket 1, el router agrega la entrada NAT a su tabla de enrutamiento
-
A partir de ese momento, los Sockets envían mensajes de mantenimiento cada 15 segundos para mantener la conexión abierta
Después de que el golpeo NAT tenga éxito, el Socket guarda estos datos NAT. En el caso de un reinicio de Socket, puede reconectarse inmediatamente con los otros Sockets utilizando esos datos NAT. Guardar los datos NAT reduce significativamente el tiempo de reconexión del Socket. Para Sockets que están detrás de un firewall de red o un router, si su firewall o router se reinicia, las entradas NAT se cambian. Los datos NAT ya no son relevantes, y los Sockets deben realizar nuevamente el proceso de golpeo NAT.
0 comentarios
Inicie sesión para dejar un comentario.