ऑफ-क्लाउड या Alt-WAN लिंक्स पर TLS कनेक्शन विफलता

समस्या

दो सॉकेट्स के पीछे के दो साइट्स के बीच एक ऑफ-क्लाउड या Alt-WAN लिंक पर जाते समय एक TLS कनेक्शन विफल हो सकता है। 

पर्यावरण

• दो Cato साइट्स के बीच TLS कनेक्शन।
• TLS निरीक्षण सक्षम है
• ट्रैफ़िक जिस नेटवर्क नियम से मिलता है वह एक जटिल नियम के नीचे है (अधिक जानकारी नीचे)

समस्या निवारण

• जब एक सरल ऑफ-क्लाउड या Alt-WAN नेटवर्क नियम के ऊपर एक जटिल नेटवर्क नियम मौजूद होता है तो TCP प्रॉक्सी को मजबूर किया जाएगा जैसा कि जटिल नेटवर्क नियमों के साथ कार्य करना में बताया गया है
• नीचे एक उदाहरण है जिसमें एक सरल ऑफ-क्लाउड नियम एक जटिल नियम के नीचे रखा गया है। नियम जटिल है क्योंकि इसमें एक परिभाषित अनुप्रयोग शामिल है।

• इस परिदृश्य में, सॉकेट SYN पैकेट पर नेटवर्क नियम का मूल्यांकन नहीं कर सकता है और इसे PoP पर भेजता है। TCP प्रॉक्सी केवल क्लाइंट पक्ष (साइट ए) पर ही TCP हैंडशेक पूरा करता है, जैसा कि नीचे दिए गए आरेख में दिखाया गया है।

• नेटवर्क प्रोफ़ाइल साइट ए सॉकेट पर निर्धारित होती है, और यह ऑफ-क्लाउड परिवहन में बदल जाती है। इसके बाद, SSL हैंडशेक की शुरुआत होती है, और सॉकेट ए ऑफ-क्लाउड पर क्लाइंट हैलो भेजता है।

• क्लाइंट हैलो सर्वर पर पहुंचता है, लेकिन सर्वर ने अभी तक क्लाइंट के साथ TCP हैंडशेक पूरा नहीं किया है। परिणामस्वरूप, सर्वर ने क्लाइंट को एक रीसेट भेजा, जिससे कनेक्शन समाप्त हो गया।

• उपरोक्त व्यवहार को सर्वर पक्ष से पैकेट कैप्चर चलाकर देखा जा सकता है। देखें कि सॉकेट पर ट्रैफ़िक कैसे कैप्चर करें

समाधान

जैसा कि ऑफ-क्लाउड ट्रैफ़िक के साथ काम करना में उल्लेख किया गया है, समाधान यह है कि किसी भी जटिल नियम के ऊपर सरल ऑफ-क्लाउड या Alt-WAN नियम को स्थानांतरित करें। ऐसा करने पर, सॉकेट्स नेटवर्क नियम का मूल्यांकन कर सकते हैं और पैकेट्स को ऑफ क्लाउड या Alt-WAN पर तुरंत भेज सकते हैं।

PoP और TCP प्रॉक्सी को दोनों दिशाओं में पथ से हटा दिया जाता है। पैकेट्स सीधे दोनों सॉकेट्स के बीच भेजे जाते हैं।

वैकल्पिक रूप से, हालांकि अनुशंसित नहीं है, खाता स्तर पर TLS निरीक्षण को अक्षम करना समस्या को हल कर सकता है क्योंकि यह TCP प्रॉक्सी प्रवर्तन को अक्षम कर देगा।