この記事では、SocketサイトのWANリカバリ機能について説明します。この機能は、Cato Cloudとの接続問題が発生した場合にレジリエンスを提供します。
WANリカバリ機能は、SocketサイトがCato Cloudを使用して通信できない場合にレジリエンスを提供するための、複数のリカバリオプションの1つです。 WANリカバリは、Socketサイト間のインターネットを介したVPNトンネルを使用して、Cato Cloudとの接続問題が発生した場合でも、サイト間のWANトラフィックの接続を維持します。
WANリカバリは、フルメッシュトポロジを基にしており、すべてのSocketサイトでデフォルトで有効化されています。 各Socketは、パブリックインターネットを介して他のすべてのSocketに直接DTLSトンネルを作成します。 彼らは定期的にトンネルを介してキープアライブメッセージを送り、回復時間を短縮するために常時ライブトンネルを保持します。 このトポロジは、アカウント内のSocketサイトに最大のレジリエンスを提供します。
以下の図は、1つのSocketがCato Cloudから切断されている例を示しています。 そのサイトにはWANリカバリが有効で、2つのSocket間の直接接続を提供します:
SocketはWANリカバリのためにオープントンネルを維持します。したがって、Cato Cloudとの接続が失われた場合、Socketは他のサイトとの接続を回復し、切断時間を最小限に抑えます。 その後、Socketは直ちにWANリカバリリンクを介してWANトラフィックの送信を開始します。
Cato管理画面を使用して、特定のサイトまたはアカウント全体のいずれかに対してWANリカバリを無効化することができます。 さらに詳しくはアカウントの高度な設定での作業を参照してください。
Cato Cloudへの接続が復元されると、リカバリは終了し、トラフィックはCato Cloudを介して送信されます。
サイトのソケットページはWANリンクのオフクラウドステータスを表示します。 ステータスが有効である場合、リンクはWAN復旧の準備が整っています。
重要なサイト、例えばデータセンタのように、WAN復旧のハブとして機能するサイトには、静的IPアドレスを使用することをお勧めします。 ハブサイトの各WANリンクに対して、オフクラウドの公開IPと固定インタフェースを定義します。
ベストプラクティスページを使用して、高度な設定で全てのサイトがWANリカバリーをサポートするように有効になっていることを確認できます。
WAN復旧のためのサイトを設定するには:
-
ナビゲーションメニューから ネットワーク > サイト を選択し、サイトを選択します。
-
ナビゲーションメニューから、サイト設定 > ソケットを選択します。
-
WAN復旧のためのWANリンクを設定します:
-
WANリンクをクリックします。 ソケットのインタフェースの編集パネルが開きます。
-
トラフィックステータスを有効に設定します。
-
(オプション) リンクのために静的な公開IP と 固定インタフェースを定義します。 この設定は主要なハブサイトにお勧めします。
-
-
全てのソケットWANリンクについて3を繰り返します。
-
適用をクリックし、その後保存をクリックします。
サイトはWAN復旧のために設定されています。
インターネット経由でDTLSトンネルを使用して、サイトが別のサイトにトラフィックを送信する場合にWANリカバリーイベントが生成されます。 CMAはWANリカバリーの以下のイベントを表示します:
-
オフクラウドリカバリーがアクティブ化されました—このイベントは、ソケットがWANリカバリートランスポートを介してWANトラフィックを送信し始めたときに生成されます。
-
オフクラウドリカバリー停止—このイベントは、Catoクラウドへの接続が復旧し、ソケットがWANリカバリートランスポートを介してWANトラフィックの送信を停止したときに生成されます。
サイトのWANリカバリーが正常に機能し、DTLSトンネルを使用してトラフィックが送信されない場合、イベントは生成されません
オフクラウドトラフィックを使用してレジリエンスを提供するために、WANリカバリーはすべてのソケットサイトでデフォルトで有効になっています。一つ以上のサイトで無効にされた場合、それらのサイトは他との通信ができません。 例えば、サイトAとBでWANリカバリーが有効で、サイトCで有効でない場合、リカバリー中、サイトCは他のサイトと通信できず、サイトAとBはサイトCと通信できません。
LANファイアウォールポリシーは影響を受けず、WANリカバリー中も正常に機能し続けます。これは、ソケットがポリシーを適用するためです。
注意
注: 規制上の理由により、WANリカバリーは中国ではサポートされていません。
すべてのデプロイメントにおいて、WANリカバリーが有効になると、各ソケットはオフクラウドトラフィックに有効化されているすべてのWANインターフェースでリモートソケットサイトに安全なDTLSトンネルを確立します。 アクティブ/アクティブリンク構成の場合、ソケットはWANリカバリーのためにアクティブリンクの中からランダムに選択します。 アクティブ/パッシブの場合、ソケットはアクティブリンクを使用します。
Cato管理アプリケーション(CMA)はPoPに接続していないため、影響を受けたサイトのステータスを把握しておらず、すべてのサイトデータを受信しません。
ソケットWebUIにログインし、SD-WANタブを使用してトラフィックとオフクラウドトンネルを監視することができます。 これはソケットWebUIを使用したトラフィック監視の例です:
WANリカバリーオフクラウドトランスポートを介して通過するトラフィックは、Catoクラウド内のPoPでは処理されません。 つまり、WAN復旧中に、次のアイテムを含むトラフィックにPoPサービスが適用されないことを意味します:
-
セキュリティ
-
WANとインターネットファイアウォールポリシー
-
脅威防御サービス(例:IPS、アンチマルウェア)
-
マネージド XDR サービス
-
-
ネットワーク機器
-
NATポリシー
-
複雑なネットワークルール
-
DNS フォワード
-
DHCPリレー
-
スタティックレンジ変換 (SRT)
-
-
アクセス
-
クライアントアクセス(例:クライアント接続ポリシー)
-
デバイスポスチャー
-
ALT WANリンクでの復旧を有効にするアカウントに対して。 WAN(例:MPLS)、ソケットがCatoクラウドから切断された場合、代替。 WANリンクは、WAN復旧よりも高い優先順位を持っています。 したがって、ソケットは最初にトラフィックを代替。 WANリンクに移動します。 代替。 WANリンクが利用できない場合、ソケットはWANトラフィックをWAN復旧リンクに移動します。 通常、WAN復旧は輸送オプションとして最も低い優先順位を持っており、他の輸送オプションが利用できない場合にのみ使用されます。
WAN復旧は、拠点間のWAN接続を確立するためにNATパンチングに依存しています。 ソケットがCatoクラウドに接続されると、PoPは他のすべてのエンドポイントをソケットに通知し、ソケットはそれぞれにDTLSトンネルを開きます。 ソケットは、他のソケットと直接接続を確立するためにNATパンチング技術を使用します。
注意: NATパンチングの交渉はCatoクラウド上で開始されます。 したがって、NATパンチングを許可するために、ソケットはCatoクラウドに接続されている必要があります。
以下の図は、WAN復旧のために2つのソケット間で直接接続を確立する流れを示しています:
NATパンチング技術は、それぞれのソケットペアに対して以下のように機能します:
-
PoPは、サイトIDに基づいて(ID値が最も高いサイトがイニシエーターである)、直接接続を確立するためのイニシエーターとしてソケットの1つを選択します(ソケット1)。
-
イニシエーターソケットは、以下の詳細を求めてCatoクラウドにリクエストを送信します: IPアドレスとポート番号。例: IPアドレス 82.128.1.1 とポート番号 4444 (ステップ #2)
-
Cato PoPは送信元IPアドレスとポートをソケット1に送信します
-
ソケット1はそのIPアドレスとポートをCatoトンネルを介してソケット2に送信します
-
ソケット2は、以下の詳細を求めてCatoクラウドにリクエストを送信します: IPアドレスとポート
-
Cato PoPは送信元IPアドレスとポートをソケット2に送信します
-
ソケット2はそのIPアドレスとポートをCatoトンネルを介してソケット1に送信します
-
ソケット1は送信元ポートの範囲内でソケット2に32のパケットを送信し、それぞれ異なるポート番号を持っています
-
ソケット2は送信元ポートの範囲内でソケット1に32のパケットを送信し、それぞれ異なるポート番号を持っています
-
一度正しいポートが見つかると、ソケットは送信元IPアドレスとポート番号を使用してDTLSトンネルを開きます
ソケット2がソケット1に接続すると、ルーターはそのルーティングテーブルにNATエントリを追加します
-
その時点から、ソケットは接続を維持するため15秒ごとにキープアライブメッセージを送信します
0件のコメント
サインインしてコメントを残してください。