この記事では、Catoクラウドとの接続に問題が発生する可能性が極めて低い状況で、Socketサイトにレジリエンシーを提供するWANリカバリー機能について説明します。
WANリカバリー機能は、Catoクラウドを使用して通信できない場合に、Socketサイトにレジリエンシーを提供する複数のリカバリーオプションの1つです。 WANリカバリーは、Catoクラウドとの接続に問題がある場合に、インターネットを介してSocketサイト間のVPNトンネルを使用して、サイト間のWANトラフィックの接続を維持します。
WANリカバリーはフルメッシュトポロジーに基づいており、すべてのSocketサイトにデフォルトで有効化されています。 各Socketは、パブリックインターネット上で他のすべてのSocketへの直接DTLSトンネルを作成します。 定期的にトンネル上でキープアライブメッセージを送信し、ライブトンネルをオープン状態にしてリカバリー時間を短縮します。 このトポロジーは、アカウント内のSocketサイトに最大のレジリエンシーを提供します。
次の図は、1つのSocketがCatoクラウドと切断された場合の例を示しています。 そのサイトにWANリカバリーが有効化されていて、2つのSocket間に直接接続を提供します。
WANリカバリーはCato Cloudの回復力とサイトの接続性を維持するための重要な要素です。 詳細情報はこれらのビデオをご覧ください:
サイトのスムーズなWANリカバリーへの移行を保証するために、静的IPを使用し、オフクラウドトンネルのセットアップを改善するためにサイトのSocketインターフェースパブリックIPと静的ポート設定を定義できます。
すべてのSocketに対する静的IP設定が困難なアカウントに対しては、データセンターのような主要なサイトに静的IP設定を使用することをお勧めします。これらのデータセンターはWANリカバリーのハブとして機能します。 ハブサイトのIPアドレスはPoPに送信され、WANリカバリーに設定されたアカウント内の他のSocketに伝播されます。
WANリカバリー用のフルメッシュ接続構成は小規模および中規模展開に主に適していますが、この動作は不要なトラフィックを生成し、大規模環境でCPU負荷を増加させます。 これらの環境では、ハブ&スポーク接続構成に移行してトンネルとプローブの数を減少させ、最適なパフォーマンスと効率を維持します。 詳細情報はWANリカバリー用オフクラウド接続構成-Hub & Spokeを参照してください。
SocketはWANリカバリーのためにオープントンネルを維持し、Catoクラウドとの接続が失われた場合に、他のサイトとの接続を復元し、切断時間を最小限に抑えます。 その後、SocketはすぐにWANリカバリーリンクを介してWANトラフィックの送信を開始します。
Cato Management Application (CMA) を使用して、特定のサイトまたは全アカウント 詳細については、アカウントの高度な設定の操作を参照してください。
Cato Cloudへの接続が回復すると、回復が終了し、トラフィックはCato Cloudを経由して送信されます。
WANリカバリーのハブとして機能するデータセンターなどの主要なサイトには静的IPアドレスの使用をお勧めします。 ハブサイト内の各WANリンクに対してオフクラウドパブリックIPと静的ポートを定義します。
ベストプラクティスページを使用して、すべてのサイトがWANリカバリーをサポートするために高度な設定で有効になっていることを確認できます。
WAN回復のためにサイトを設定するには:
-
ナビゲーションメニューからネットワーク > サイトを選択し、サイトを選択します。
-
ナビゲーションメニューからサイト設定 > ソケットを選択します。
-
WAN回復のためにWANリンクを設定します:
-
WANリンクをクリックします。 Socketインターフェースの編集パネルが開きます。
-
トラフィックステータスを有効に設定します。
-
(オプション)リンクの静的パブリックIPと静的ポートを定義します。
ベストプラクティス: 主要なハブサイトにこの設定を構成することをお勧めします。
-
-
すべてのソケットWANリンクに対してステップ3を繰り返します。
-
適用をクリックし、保存をクリックします。
サイトがWANリカバリーに設定されます。
WANリカバリーイベントは、Catoクラウドではなくインターネット経由でDTLSトンネルを使用して他のサイトにトラフィックが送信される場合に生成されます。 CMAはWANリカバリーについて次のイベントを表示します。
-
オフクラウド回復がアクティブ化されました - このイベントは、ソケットがWAN回復トランスポートを介してWANトラフィックを送信し始めたときに生成されます。
-
オフクラウドリカバリー停止 - このイベントはCato Cloudへの接続が復元され、SocketがWANリカバリートランスポート経由でWANトラフィックの送信を停止する際に生成されます。
サイトのWANリカバリーが機能している場合(ステータスが準備完了)、回復のDTLSトンネルを介してトラフィックを送信していないときはイベントは生成されません。
CMAは、ソケットサイトのWANリカバリー準備状況を可視化します。 WANリカバリーを妨げる問題を抱えるサイトを事前に特定し、修正を行ってWANのレジリエンスを維持できます。
ベストプラクティス: 各WANインタフェースを静的または動的IPアドレスで構成して、確実なトンネル検出と正確なステータス報告を保証します。
ネットワーク > サイトページのWANリカバリートンネル列でWANリカバリーを監視できます。 各サイトのリアルタイムステータスは、WANリカバリーのためのWANリンクの準備状態を示します。
-
準備完了 (X/X): このサイトはWAN回復用で、すべてのソケットサイトと接続されています
-
部分的(X/Y): サイトはWANリカバリーの準備が部分的に完了しています(たとえば、16/20は、このサイトがWANリカバリー用に20サイトのうち16サイトに接続されていることを意味します)
-
準備未完了 (0/Y): このサイトはWAN回復の準備ができておらず、ソケットサイトと接続されていません。 このサイトは、Cato Cloudの障害が発生した場合、WAN接続を失います
すべてのサイトのWAN回復ステータスを確認するには:
-
ナビゲーションメニューからネットワーク > サイトを選択し、WANリカバリートンネル列でステータスを確認します。
特定のサイトのステータスは、これらのページで確認できます。
-
ホーム > トポロジーを選択し、サイトを選択します
-
サイト設定 > {サイト名} > ソケット
-
サイトが部分的または未準備のステータスを示している場合、完全な回復準備を復元するために次の手順を実行します。
-
WANインターフェイス設定を確認: 各WANインターフェイスに有効な静的または動的IPアドレスがあり、WANリンクが動作していることを確認します。
-
トンネルの確立を確認: CMAまたはソケットWebUIを使用して、オフクラウドトンネルがリモートサイトとの間で作成および維持されていることを確認します。
-
ローカルネットワークの問題をトラブルシューティングします。可能性のある原因を調査します。
-
インバウンド/アウトバウンドのファイアウォールルールがトラフィックをブロックしている
-
NATの動作不正またはポートの制限
-
ルーティングの誤設定
-
-
ベストプラクティスを適用: 実行可能な場合は、トンネルの安定性とステータスの正確性を向上させるために、重要なサイト(例: データセンターやハブ)に静的WAN IPを設定します。
WANリカバリーは、すべてのSocketサイトでデフォルトで有効になっており、オフクラウドトラフィックを使用してレジリエンシーを提供しますが、1つ以上のサイトで無効化されている場合、これらのサイトは他と通信することができません。 例えば、サイトAとBでWANリカバリーが有効化されていて、サイトCでは有効化されていない場合、リカバリー中にサイトCは他のサイトと通信することができず、サイトAとBはサイトCと通信することができません。
LANファイアウォールポリシーは、Socketがポリシーを適用するため、WANリカバリー中も影響を受けず、通常通り機能し続けます。
すべてのデプロイメントで、WANリカバリーが有効化されると、各Socketは、オフクラウドトラフィックに対して有効化されたすべてのWANインターフェース上で、リモートSocketサイトへの安全なDTLSトンネルを確立します。 アクティブ/アクティブリンク構成の場合、SocketはWANリカバリー用にアクティブリンクの1つをランダムに選択します。 アクティブ/パッシブでは、Socketはアクティブリンクを使用します。
Cato管理アプリケーション (CMA) は、PoPに接続されていないため、影響を受けたサイトのステータスを認識せず、サイトデータを完全に受信しません。
Socket WebUIにログインし、SD-WANタブを使用してトラフィックとオフクラウドトンネルを監視できます。 これはSocket WebUIを使用してトラフィックを監視する例です。
WANリカバリー中、Socketのルーティングテーブルは固定され、リカバリーが開始される前に存在していたすべてのBGPレンジは、他のサイトへのオフクラウドトラフィック経由でルーティング可能です。 WANリカバリー開始後に導入されたBGPレンジは、Socketがリカバリーを終了してPoPに再接続するまで到達不可能です。
Alt WANリンクを介した回復を有効にしたアカウントの場合、 Socketは最初にトラフィックを代替WANリンクに移します。 代替WANリンクが利用できない場合、SocketはWANトラフィックをWANリカバリーリンクに移します。 一般的に、WANリカバリーは輸送オプションとして最も低い優先順位であり、他の輸送オプションが利用できない場合にのみ使用されます。 理解するためのNATパンチング、Socketを接続するために WANリカバリーは、サイト間のWAN接続を確立するためにNATパンチングに依存しています。 SocketがCatoクラウドに接続すると、PoPはSocketに他のすべてのエンドポイントを通知し、SocketはそれぞれにDTLSトンネルを開きます。 Socketは他のSocketと直接接続を確立するためにNATパンチング技術を使用します。
したがって、SocketがNATパンチングを許可するためにCatoクラウドに接続されている必要があります。 ソケットがCato Cloudに接続すると、PoPはソケットに他のすべてのエンドポイントを通知し、ソケットはそれぞれにDTLSトンネルを開きます。 blobid1.png
NATパンチング技術は次の方法で各Socketペアに機能します。 PoPはサイトIDに基づいて直接接続を確立するイニシエータ (Socket 1) を選択します (最も高いID値を持つサイトがイニシエータ)。
イニシエータSocketは次の詳細をCatoクラウドに要求します: IPアドレスとポート番号、例: IPアドレス82.128.1.1とポート番号4444 (ステップ #2)。
NATパンチング技術は、各ソケットペアに対して次の方法で機能します。
-
PoPはサイトIDに基づいて、1つのソケットをイニシエータとして選択し、直接接続(ソケット1)を確立します(最高ID値のサイトがイニシエータです)。
-
イニシエータソケットは、次の詳細についてCato Cloudにリクエストを送信します: IPアドレスとポート番号、例として、IPアドレス82.128.1.1とポート番号4444(ステップ#2)
-
Cato PoPはソケット1にソースIPアドレスとポートを送信します
-
ソケット1は自分のIPアドレスとポートをCatoトンネルを通してソケット2に送信します
-
ソケット2は、次の詳細についてCato Cloudにリクエストを送信します: IPアドレスとポート
-
Cato PoPはソケット2にソースIPアドレスとポートを送信します
-
ソケット2は自分のIPアドレスとポートをCatoトンネルを通してソケット1に送信します
-
ソケット1は、ソースポートの範囲内で、異なるポート番号を持つ32個のパケットをソケット2に送信します
-
ソケット2は、ソースポートの範囲内で、異なるポート番号を持つ32個のパケットをソケット1に送信します
-
正しいポートが見つかると、ソケットは送信元IPアドレスとポート番号でDTLSトンネルを開きます。
ソケット2がソケット1に接続すると、ルーターはNATエントリをそのルーティングテーブルに追加します。
-
その時点から、ソケットは接続を開いたままに保つために15秒ごとにキープアライブメッセージを送信します
0件のコメント
サインインしてコメントを残してください。