Este artículo analiza la función de Recuperación WAN para sitios Socket que proporciona resiliencia en la muy improbable circunstancia de que haya un problema de conectividad con la Nube de Cato.
La función de Recuperación WAN es una de las múltiples opciones de recuperación que ofrecen resiliencia si tus sitios Socket no pueden comunicarse mediante la Nube de Cato. La Recuperación WAN utiliza túneles VPN entre sitios Socket a través de Internet para preservar la conectividad del tráfico WAN entre tus sitios si hay un problema de conectividad con la Nube de Cato.
La Recuperación WAN se basa en una topología de malla completa y está habilitada por defecto para todos los sitios Socket. Cada Socket crea un túnel DTLS directo a cada uno de los demás a través de Internet público. Regularmente envían mensajes de keep-alive a través del túnel y mantienen un túnel vivo abierto para reducir el tiempo de recuperación. Esta topología proporciona la máxima resiliencia para los sitios Socket en tu cuenta.
El siguiente diagrama muestra un ejemplo donde un Socket está desconectado de la Nube de Cato. La Recuperación WAN está habilitada para ese sitio para proporcionar una conexión directa entre los dos Sockets:
Para asegurar la transición más fluida de los sitios a la Recuperación WAN, puedes usar una IP estática para el sitio y definir los ajustes de IP Pública y Puerto Estático para mejorar el establecimiento de los túneles fuera de la nube entre los sitios.
Para cuentas donde es difícil configurar las configuraciones de IP estática para todos los Sockets, recomendamos que uses configuraciones de IP estática para algunos sitios clave, como centros de datos, que actúan como centros para la Recuperación WAN. La dirección IP para los sitios de concentradores se envía a los PoPs y se propaga a los otros Sockets en tu cuenta que están configurados para Recuperación WAN.
El Socket mantiene un túnel abierto para Recuperación WAN, por lo que si pierde conectividad con la Nube de Cato, el Socket recupera las conexiones con los otros sitios y minimiza el tiempo de desconexión. Luego, el Socket comienza inmediatamente a enviar el tráfico WAN sobre el enlace de recuperación WAN.
Puedes usar la Aplicación de Gestión de Cato para deshabilitar la Recuperación WAN ya sea para un sitio específico o para toda la cuenta. Para más información, consulte Trabajando con Configuración Avanzada para la Cuenta.
Una vez que se restaura la conectividad con la Nube de Cato, la recuperación termina y el tráfico se envía a través de la Nube de Cato.
La página de Socket para un sitio muestra el Estado Fuera de la Nube para los enlaces WAN. Cuando el estado es Habilitado, los enlaces están listos para la Recuperación WAN.
Recomendamos que uses direcciones IP estáticas para sitios clave, como centros de datos, que actúan como concentradores para la Recuperación WAN. Define la IP Pública y el Puerto Estático para cada enlace WAN en los sitios de concentradores.
Puede usar la página de Mejores Prácticas para confirmar que todos los sitios están habilitados en la configuración avanzada para soportar la Recuperación de WAN.
Para configurar un sitio para Recuperación WAN:
-
Desde el menú de navegación, selecciona Network > Sites, y selecciona el sitio.
-
Desde el menú de navegación, selecciona Site Configuration > Socket.
-
Configura el enlace WAN para Recuperación WAN:
-
Haz clic en el enlace WAN. Se abre el panel Editar Interfaz de Socket.
-
Establece el Estado del Tráfico a Habilitado.
-
(Opcional) Define la IP Pública estática y Puerto Estático para el enlace. Recomendamos esta configuración para sitios concentradores clave.
-
-
Repite el paso 3 para todos los enlaces WAN de Socket.
-
Haz clic en aplicar y, a continuación, en Guardar.
El sitio está configurado para Recuperación WAN.
Se generan eventos de Recuperación de WAN cuando un sitio envía tráfico a otro sitio usando los túneles DTLS sobre Internet en lugar de la Nube de Cato. La CMA muestra los siguientes eventos para la recuperación de WAN:
-
Recuperación Fuera de la Nube Activada: este evento se genera cuando el Socket comienza a enviar el tráfico WAN a través del transporte de Recuperación WAN.
-
Recuperación Fuera de la Nube Detenida: este evento se genera cuando se restablece la conexión a la Nube de Cato y el Socket deja de enviar tráfico WAN a través del transporte de Recuperación WAN.
No se genera ningún evento cuando la Recuperación de WAN funciona para un sitio y no se envía tráfico usando los túneles DTLS
La Recuperación WAN está habilitada por defecto para todos los sitios Socket para proporcionar resiliencia usando tráfico fuera de la nube. Si está deshabilitada para uno o más sitios, entonces no podrán comunicarse con los demás. Por ejemplo, si la recuperación WAN está habilitada en los sitios A y B, pero no para el sitio C, durante la recuperación, el sitio C no puede comunicarse con los otros sitios, y los sitios A y B no pueden comunicarse con el sitio C.
La política de firewall de LAN no se ve afectada y sigue funcionando normalmente durante la Recuperación de WAN porque el Socket aplica la política.
Nota
Nota: Por razones regulatorias, la Recuperación WAN no es compatible en China.
Durante la Recuperación WAN, asegúrate de NO reiniciar el Socket, de lo contrario, puede haber un impacto negativo en el sitio y podría no ser capaz de restablecer la conectividad con los otros sitios.
Para todas las implementaciones, cuando la Recuperación WAN está habilitada, cada Socket establece túneles DTLS seguros al sitio remoto de Socket en todas las interfaces WAN que están habilitadas para tráfico fuera de la nube. Para la configuración de enlace activo/activo, el Socket selecciona al azar uno de los enlaces activos para la recuperación WAN. Para activo/pasivo, el Socket utiliza el enlace activo.
La Aplicación de Gestión de Cato (CMA) no recibe todos los datos del sitio porque no está conectada al PoP y no está al tanto del estado de los sitios afectados.
Puede iniciar sesión en la Interfaz Web del Socket y usar la pestaña SD-WAN para monitorear el tráfico y los túneles fuera de la nube. Este es un ejemplo del monitoreo de tráfico con el Socket WebUI:
El tráfico que se transmite a través del transporte fuera de la nube de Recuperación WAN no es procesado por los PoPs en la Nube de Cato. Esto significa que durante la Recuperación WAN, los servicios del PoP no se aplican al tráfico, incluidos los siguientes elementos:
-
Seguridad
-
Políticas de firewall WAN e Internet
-
Servicios de Prevención de Amenazas (es decir, IPS, Anti-Malware)
-
Servicios XDR Gestionados
-
-
Redes
-
Política NAT
-
Reglas de Red Complejas
-
Redirección DNS
-
Relevación DHCP
-
Traducción de Rango Estático (SRT)
-
-
Acceso
-
Acceso de Cliente (p. ej., política de conectividad de clientes)
-
Postura del Dispositivo
-
Para cuentas que habilitan recuperación vía ALT. WAN (es decir, MPLS), si el Socket se desconecta de la Nube de Cato, el Alt. El enlace WAN tiene una prioridad más alta que la recuperación WAN. Por lo tanto, el Socket primero mueve el tráfico al Alt. Enlace WAN. Si el Alt. El enlace WAN no está disponible, entonces el Socket mueve el tráfico WAN al enlace de recuperación WAN. En general, la recuperación WAN tiene la prioridad más baja como opción de transporte y solo se utiliza cuando las otras opciones de transporte no están disponibles.
La recuperación WAN se basa en el golpe NAT para establecer la conectividad WAN entre tus sitios. Cuando un Socket se conecta a la Nube de Cato, el PoP le informa al Socket sobre todos los otros puntos finales, y el Socket abre un túnel DTLS a cada uno de ellos. El Socket utiliza la técnica de golpe NAT para establecer una conexión directa con los otros Sockets.
Nota: La negociación del golpe NAT comienza sobre la Nube de Cato. Por lo tanto, los Sockets deben estar conectados a la Nube de Cato para permitir el golpe NAT.
El siguiente diagrama muestra el flujo para establecer una conexión directa entre dos Sockets para la Recuperación WAN:
La técnica de golpe NAT funciona para cada par de Sockets de la siguiente manera:
-
El PoP selecciona uno de los Sockets como iniciador para establecer una conexión directa (Socket 1) basado en el ID de sitio (el sitio con el valor de ID más alto es el iniciador).
-
El Socket iniciador envía una solicitud a la Nube de Cato para los siguientes detalles: dirección IP y número de puerto, por ejemplo: dirección IP 82.128.1.1 y número de puerto 4444 (Paso #2)
-
El PoP de Cato envía la dirección IP de origen y el puerto al Socket 1
-
Socket 1 envía su dirección IP y puerto al Socket 2 a través del túnel Cato
-
Socket 2 envía una solicitud a la Nube de Cato para los siguientes detalles: dirección IP y puerto
-
El PoP de Cato envía la dirección IP de origen y el puerto al Socket 2
-
Socket 2 envía su dirección IP y puerto al Socket 1 a través del túnel Cato
-
Socket 1 envía 32 paquetes al Socket 2 en el rango del puerto de origen, cada paquete con un número de puerto diferente
-
Socket 2 envía 32 paquetes al Socket 1 en el rango del puerto de origen, cada paquete con un número de puerto diferente
-
Una vez se encuentra el puerto correcto, los Sockets abren un túnel DTLS con la dirección IP de origen y el número de puerto
Cuando el Socket 2 se conecta con el Socket 1, el enrutador agrega la entrada NAT a su tabla de enrutamiento
-
Desde ese punto en adelante, los Sockets envían mensajes de keep-alive cada 15 segundos para mantener la conexión abierta
Después de que el golpe NAT tiene éxito, el Socket guarda estos datos NAT. En el caso de un reinicio de Socket, puede inmediatamente reconectar a los otros Sockets con esos datos NAT. Guardar los datos NAT reduce significativamente el tiempo de reconexión del Socket. Para Sockets que están detrás de un firewall de red o un enrutador, si tu firewall o enrutador se reinicia, las entradas NAT se cambian. Los datos de NAT ya no son relevantes, y los Sockets deben realizar nuevamente el proceso de perforación de NAT.
0 comentarios
Inicie sesión para dejar un comentario.