Cato est conçu pour maintenir la continuité du trafic même lorsqu'il y a un problème de connectivité entre un site et un Point de Présence (PoP). Les sites se connectent aux PoP, et le trafic sort ensuite soit vers le WAN via le Cloud Cato, soit vers Internet pour accéder aux applications SaaS et Internet. La résilience garantit que lorsqu'il y a un problème de connectivité, les flux de trafic continuent avec un impact minimal ou nul sur les utilisateurs finaux.
Cet article explique comment Cato parvient à la résilience pour différents types de site et comment le trafic se comporte lors de problèmes de connectivité PoP.
Un PoP Cato est un emplacement cloud composé de plusieurs serveurs de traitement. Chaque PoP est construit pour gérer les tunnels de clients, appliquer des services de sécurité, et transférer le trafic sans dépendre d'un seul nœud de traitement.
Chaque nœud PoP :
-
Termine les tunnels de client (DTLS ou IPsec)
-
Traite et transmet le trafic réseau
-
Exécute la pile logicielle complète de Cato, incluant le routage, l'optimisation, et les services de sécurité tels que WAN et Internet Firewall, IPS, et inspection TLS, etc.
Cette architecture basée sur les nœuds PoP permet au Cloud Cato de maintenir le traitement du trafic et l'application de la sécurité tout en minimisant l'impact des problèmes liés à l'infrastructure.
Les sites Socket et vSocket fournissent le modèle le plus résilient pour maintenir la connectivité WAN entre les sites sur le Cloud Cato et la connectivité Internet pour le trafic vers les applications SaaS. Ce modèle de déploiement est conçu pour les sites où la continuité du trafic et le comportement de récupération prévisible sont opérationnellement critiques, tels que les centres de données et les emplacements de succursales principales, et où les utilisateurs finaux devraient ressentir un impact minimal lorsqu'il y a un problème de connectivité vers un PoP.
Lorsqu'un site a un problème de connectivité vers un PoP, le Socket fonctionne automatiquement pour maintenir les flux de trafic avec une perturbation minimale, sans intervention de l'administrateur. La récupération est gérée de manière progressive pour minimiser les perturbations et éviter les changements de topologie inutiles.
Les capacités incluent :
-
Reconnexion automatique à un nœud PoP différent lorsqu'un problème de niveau nœud est détecté
-
Basculage automatique vers un PoP différent lorsque les problèmes de connectivité de niveau PoP persistent
Ces comportements réduisent l'impact des problèmes de connectivité transitoires PoP et aident à maintenir la continuité du trafic pour les utilisateurs finaux. Pour plus d'informations, voir Understanding Acceptable and Unacceptable SLA for Sites.
Les sites Socket et vSocket surveillent activement la connectivité du dernier mile pour maintenir des tunnels stables vers le Cloud Cato. Les décisions de pilotage de trafic sont basées sur les conditions de lien en temps réel plutôt que sur des préférences statiques.
Les capacités incluent :
-
Surveillance continue des métriques de qualité et de connectivité sur chaque lien WAN
-
Support de jusqu'à quatre interfaces WAN par Socket pour fournir la redondance ISP
-
Utilisation active de plusieurs liens WAN pour améliorer la disponibilité et la résilience
Ce modèle réduit la dépendance à un seul ISP et améliore les résultats de récupération lors des défaillances du dernier mile.
Les sockets appliquent une logique de récupération distincte au trafic WAN et au trafic dirigé vers Internet lorsqu'il y a un problème de connectivité PoP. Cette distinction garantit que la perte de connectivité PoP n'impacte pas inutilement la communication inter-sites ou l'accès Internet.
Pour le trafic WAN, le Socket priorise le maintien de la connectivité entre les sites :
-
Le trafic WAN est redirigé vers des tunnels DTLS hors-cloud (Récupération WAN) lorsque le PoP est inaccessible
-
Les sessions inter-sites existantes continuent via le chemin de récupération sans nécessiter de rétablissement
Pour le trafic Internet, le Socket applique un chemin de récupération différent :
-
Le trafic dirigé vers Internet est routé directement vers l'ISP local (Récupération Internet)
-
Le trafic sort du Socket en utilisant l'adresse IP publique du Socket au lieu de l'adresse IP du PoP
Cette gestion spécifique au trafic limite la portée des pannes et permet au trafic WAN et Internet de se rétablir indépendamment selon le type de perturbation.
Un déploiement correct du Socket a un impact direct sur l'efficacité de la récupération. L'application de ces pratiques aide à garantir un comportement prévisible et un impact minimal sur les utilisateurs lors de problèmes de connectivité PoP.
Les bonnes pratiques incluent :
-
Déployez au moins deux ISP par site en configuration active/active pour éviter la dépendance à un seul fournisseur
-
Utilisez la Haute Disponibilité (HA) du Socket pour vous protéger contre les défaillances matérielles locales
-
Assurez-vous de la diversité des chemins physiques entre le site et les ISP en amont
-
Configurez des adresses IP publiques statiques pour les interfaces WAN, notamment pour les sites de centres de données
Pour plus d'informations, voir Cato Socket Connection Prerequisites and Known Limitations
La récupération WAN maintient la connectivité inter-sites lorsqu'un site perd la connectivité avec le PoP en routant le trafic WAN via des tunnels DTLS hors-cloud. Une configuration d'interface WAN stable est essentielle pour assurer une convergence rapide et un comportement de récupération fiable.
Les bonnes pratiques incluent :
-
Configurez des adresses IP statiques sur les interfaces WAN qui participent à la récupération WAN pour améliorer la stabilité des tunnels hors-cloud
Cela est particulièrement important pour les centres de données et les sites de hub.
-
Utilisez la page Réseau > Sites du CMA pour vérifier le statut des Tunnels de récupération WAN après les changements d'interface WAN ou de routage
Pour plus d'informations, consultez Resilience du site Socket avec récupération WAN.
Pendant la récupération Internet, le trafic sort directement vers Internet depuis le Socket au lieu du PoP. Ce comportement affecte l'accès SaaS et les politiques de sécurité basées sur IP.
Les considérations opérationnelles incluent :
-
Le trafic Internet provient de l'adresse IP publique du Socket pendant la récupération
-
Les adresses IP publiques basées sur PoP ne sont pas utilisées pendant que la récupération Internet est active
-
Autorisez l'adresse IP publique du Socket pour les applications SaaS critiques afin de maintenir l'accès
-
Par exemple, si les applications utilisent également la sortie PoP, autorisez à la fois l'adresse IP Cato attribuée et l'adresse IP publique du Socket
Pour plus d'informations, voir Using Cato Networks' Internet Recovery.
Les sites IPsec et interconnexion cloud reposent sur la redondance de niveau PoP pour maintenir la continuité du trafic lors de problèmes de connectivité PoP. Contrairement aux sites basés sur Socket, ces types de site n'utilisent pas de mécanismes de récupération hors-cloud. La résilience dépend de chemins de connectivité redondants vers le Cloud Cato.
Les sites IPsec maintiennent la résilience en établissant des tunnels vers plusieurs emplacements de PoP. Le comportement de basculement est déterminé par la configuration et les capacités du dispositif IPsec tiers géré par le client.
Les capacités incluent :
-
Support des tunnels primaires et secondaires vers différents emplacements de PoP
-
Configurations de tunnel Actif/Passif ou actif/actif, selon le support du dispositif
Les considérations opérationnelles incluent :
-
Un SLA de 99,999% est garanti uniquement pour les sites IPsec connectés à au moins deux emplacements PoP différents, comme défini dans le MSA Cato
-
La récupération Internet et la récupération WAN ne sont pas prises en charge pour les sites IPsec. Cela signifie que la connectivité WAN entre les sites est indisponible lors des pannes PoP
Les sites d'interconnexion cloud utilisent la connectivité soutenue par le fournisseur vers le Cloud Cato. La résilience est obtenue grâce à l'infrastructure redondante du fournisseur et la connectivité PoP.
Les capacités incluent :
-
Connectivité redondante sur l'infrastructure dorsale du fournisseur
-
Connectivité PoP_active et passive basée sur la conception d'interconnexion cloud
Les considérations opérationnelles incluent :
-
La récupération Internet et la récupération WAN ne sont pas prises en charge
-
La disponibilité du trafic dépend du SLA du fournisseur et du site étant connecté à plusieurs PoP
Le routage dynamique est essentiel pour maintenir la continuité du trafic lors des problèmes de connectivité PoP et des changements de réseau. Le BGP fournit un comportement de routage adaptatif qui permet aux sites de converger rapidement et de continuer à transmettre le trafic lorsque les chemins changent.
Il est également possible d'utiliser le routage statique pour des chemins stables et prédéfinis.
Le BGP contrôle comment les routes sont apprises et retirées lors des changements de connectivité, permettant ainsi au trafic de passer automatiquement vers des chemins accessibles lorsqu'une défaillance survient.
Les capacités incluent :
-
Sélection dynamique de chemin basée sur la disponibilité en temps réel
-
Convergence automatique des routes lors des changements de lien, de chemin ou de connectivité PoP
-
Support de la détection de transfert bidirectionnelle (BFD) pour réduire le temps de détection des défaillances
Les considérations opérationnelles incluent :
-
Le BGP doit être configuré sur le routeur du site et coordonné avec les paramètres de routage Cato
-
Nous recommandons d'utiliser le BGP avec le BFD là où un comportement de routage dynamique et résilient est requis.
Pour plus d'informations, voir Configuring BFD for BGP Neighbors.
Le tableau suivant résume la façon dont différents types de site maintiennent la continuité du trafic lorsqu'il y a un problème de connectivité entre un site et un PoP. L'accent est mis sur ce qui entraîne la poursuite du flux de trafic et sur comment la récupération est atteinte, pas sur les détails de configuration des fonctionnalités.
|
Aspect de résilience |
Sites Socket et vSocket |
Sites IPsec |
Sites d'interconnexion cloud |
|---|---|---|---|
|
Connexion à plusieurs PoP |
Oui |
Oui |
Oui |
|
Reconnexion à un PoP alternatif lorsque le PoP actuel n'est pas accessible |
Oui |
Oui (dépend du comportement du dispositif tiers) |
Oui |
|
Résilience du trafic WAN lors des problèmes de connectivité PoP |
Oui (Récupération WAN) |
Non |
Non |
|
Résilience du trafic Internet lors de problèmes de connectivité PoP |
Oui (Mode de récupération) |
Non |
Non |
|
Résilience ALT WAN (MPLS) lors de problèmes de connectivité PoP |
Oui (ALT WAN Recovery) |
Non |
Non |
|
Dépendance du comportement des appareils ou fournisseurs tiers |
Non |
Oui |
Oui |
Lorsque le trafic contourne le PoP pendant le mode de récupération ou la récupération WAN, certains services de plateformes ne sont pas appliqués.
Les considérations opérationnelles incluent :
-
Les services d'inspection de sécurité et de prévention des menaces ne sont pas appliqués au trafic hors-cloud
-
Les services basés sur le PoP sont automatiquement restaurés lorsque la connectivité au PoP est rétablie
0 commentaire
Cet article n'accepte pas de commentaires.