Este artigo discute o recurso de Recuperação WAN para sites de Socket que proporciona resiliência na improvável circunstância de haver um problema de conectividade com a Nuvem da Cato.
O recurso de Recuperação WAN é uma das múltiplas opções de recuperação que oferecem resiliência se seus sites de Socket não conseguirem se comunicar usando a Nuvem da Cato. A Recuperação WAN usa túneis VPN entre sites de Socket pela Internet para preservar a conectividade para o tráfego WAN entre seus sites caso ocorra um problema de conectividade com a Nuvem da Cato.
A Recuperação WAN é baseada em uma topologia mesh completa e é ativada por padrão para todos os sites de Socket. Cada Socket cria um túnel DTLS direto para todos os outros através da Internet pública. Eles enviam regularmente mensagens keep-alive através do túnel e mantêm um túnel ativo aberto para reduzir o tempo de recuperação. Essa topologia oferece a máxima resiliência para os sites de Socket na sua conta.
O diagrama a seguir mostra um exemplo onde um Socket está desconectado da Nuvem da Cato. A Recuperação WAN está ativada para esse site para fornecer uma conexão direta entre os dois Sockets:
Para garantir a transição mais suave para sites com Recuperação WAN, você pode usar um IP Estático para o site e definir as configurações do Socket IP Público e Porta Estática para melhorar o estabelecimento dos túneis fora da nuvem entre os sites.
Para contas onde é difícil configurar as configurações de IP Estático para todos os Sockets, recomendamos usar configurações de IP Estático para alguns sites principais, como centros de dados, que atuam como hubs para a Recuperação WAN. O endereço IP para os sites hubs é enviado aos PoPs e propagado para os outros Sockets na sua conta que estão configurados para Recuperação WAN.
O Socket mantém um túnel aberto para Recuperação WAN, então se ele perder a conectividade com a Nuvem da Cato, o Socket recupera as conexões com os outros sites e minimiza o tempo de desconexão. O Socket então imediatamente começa a enviar o tráfego WAN através do link de recuperação WAN.
Você pode usar o Aplicativo de Gerenciamento Cato para desabilitar a Recuperação WAN para um site específico ou para toda a conta. Para mais informações, veja Trabalhando com Configuração Avançada para a Conta.
Uma vez que a conectividade com a Nuvem da Cato é restaurada, a recuperação termina e o tráfego é enviado através da Nuvem da Cato.
A página do Socket para um site mostra o Status Fora da Nuvem para os links WAN. Quando o status é Ativado, os links estão prontos para a Recuperação WAN.
Recomendamos que você use endereços de IP Estático para sites principais, como centros de dados, que atuam como hubs para a Recuperação WAN. Defina o IP Público e a Porta Estática fora da nuvem para cada link WAN nos sites hubs.
Você pode usar a página de Melhores Práticas para confirmar que todos os sites estão ativados nas Configurações Avançadas para suportar Recuperação WAN.
Para configurar um site para Recuperação WAN:
-
No menu de navegação, selecione Rede > Sites, e selecione o site.
-
No menu de navegação, selecione Configurações do Site > Socket.
-
Configure o link WAN para Recuperação WAN:
-
Clique no link WAN. O painel Editar Interface de Soquete é aberto.
-
Defina o Status do Tráfego como Ativado.
-
(Opcional) Defina o IP Público estático e a Porta Estática para o link. Recomendamos essa configuração para sites hubs principais.
-
-
Repita o passo 3 para todos os links WAN do Socket.
-
Clique em Aplicar, e então clique em Salvar.
O site está configurado para Recuperação WAN.
Eventos de Recuperação WAN são gerados quando um site envia tráfego para outro site usando os túneis DTLS pela Internet em vez da Cato Cloud. A CMA mostra os seguintes eventos para recuperação WAN:
-
Recuperação Fora da Nuvem Ativada – este evento é gerado quando o Socket começa a enviar o tráfego WAN através do transporte de Recuperação WAN.
-
Recuperação Fora da Nuvem Parada – este evento é gerado quando a conexão com a Nuvem da Cato é restaurada e o Socket para de enviar o tráfego WAN através do transporte de Recuperação WAN.
Nenhum evento é gerado quando a Recuperação WAN está funcionando para um site e nenhum tráfego é enviado usando os túneis DTLS.
A Recuperação WAN é ativada por padrão para todos os sites Socket para fornecer resiliência usando tráfego fora da nuvem. Se estiver desativada para um ou mais sites, estes não poderão se comunicar com os outros. Por exemplo, se a recuperação WAN estiver ativada nos sites A e B, mas não no site C, durante a recuperação, o site C não poderá se comunicar com os outros sites, e os sites A e B não poderão se comunicar com o site C.
A política do Firewall LAN não é impactada e continua funcionando normalmente durante a Recuperação WAN porque o Socket aplica a política.
Nota
Nota: Por motivos regulatórios, a Recuperação WAN não é suportada na China.
Durante a Recuperação WAN, certifique-se de que você NÃO reinicia o Socket, caso contrário, pode haver um impacto negativo no local e ele pode não ser capaz de restabelecer a conectividade com outros sites.
Para todos os implantações, quando a Recuperação WAN é ativada, cada Socket estabelece túneis DTLS seguros para o site remoto em todas as interfaces WAN que estão ativadas para tráfego fora da nuvem. Para a configuração de link ativo/ativo, o Socket seleciona aleatoriamente um dos links ativos para a recuperação WAN. Para ativo/passivo, o Socket usa o link ativo.
O Aplicativo de Gerenciamento Cato (CMA) não recebe todos os dados do site porque não está conectado ao PoP e não está ciente do status dos sites impactados.
Você pode iniciar sessão na Interface Web do Socket e usar a aba SD-WAN para monitorar tráfego e túneis fora da nuvem. Este é um exemplo de monitoramento de tráfego com a Interface Web do Socket:
O tráfego que é passado pelo transporte fora da nuvem de Recuperação WAN não é processado pelos PoPs na Nuvem Cato. Isso significa que durante a Recuperação WAN, os serviços PoP não são aplicados ao tráfego, incluindo os seguintes itens:
-
Segurança
-
Políticas de firewall WAN e Internet
-
Serviços de Prevenção de Ameaças (ou seja, IPS, Anti-Malware)
-
Serviços XDR Gerenciado
-
-
Redes
-
Política NAT
-
Regras de Rede Complexas
-
Encaminhamento DNS
-
Relay DHCP
-
Tradução de Intervalo Estático (SRT)
-
-
Acesso
-
Acesso do Cliente (ou seja, Política de Conectividade do Cliente)
-
Postura do Dispositivo
-
Para contas que ativam recuperação via ALT. WAN (ou seja, MPLS), se o Socket se desconectar da Nuvem Cato, o Alt. O link WAN tem uma prioridade mais alta do que a Recuperação WAN. Portanto, o Socket primeiro move o tráfego para o Alt. Link WAN. Se o Alt. O link WAN estiver indisponível, o Socket então move o tráfego WAN para o link de Recuperação WAN. Em geral, a Recuperação WAN tem a prioridade mais baixa como opção de transporte e é usada apenas quando as outras opções de transporte não estão disponíveis.
A Recuperação WAN se baseia no NAT punching para estabelecer a conectividade WAN entre seus sites. Quando um Socket se conecta à Nuvem Cato, o PoP informa o Socket sobre todos os outros pontos finais, e o Socket abre um túnel DTLS para cada um deles. O Socket usa a técnica de NAT punching para estabelecer uma conexão direta com os outros Sockets.
Nota: A negociação do NAT punching começa sobre a Nuvem Cato. Portanto, os Sockets devem estar conectados à Nuvem Cato para permitir o NAT punching.
O diagrama a seguir mostra o fluxo para estabelecer uma conexão direta entre dois Sockets para a Recuperação WAN:
A técnica de NAT punching funciona para cada par de Sockets da seguinte maneira:
-
O PoP seleciona um dos Sockets como o iniciador para estabelecer uma conexão direta (Socket 1) com base no ID do local (o site com o valor de ID mais alto é o iniciador).
-
O Socket iniciador envia uma solicitação à Nuvem Cato para os seguintes detalhes: endereço IP e número da porta, por exemplo: endereço IP 82.128.1.1 e número da porta 4444 (Passo #2)
-
O PoP de Cato envia o endereço IP de origem e a porta para o Socket 1
-
Socket 1 envia seu endereço IP e porta para o Socket 2 através do túnel Cato
-
Socket 2 envia uma solicitação à Nuvem Cato para os seguintes detalhes: endereço IP e porta
-
O PoP da Cato envia o endereço IP de origem e a porta para o Socket 2
-
Socket 2 envia seu endereço IP e porta para o Socket 1 através do túnel Cato
-
Socket 1 envia 32 pacotes para Socket 2 no intervalo da porta de origem, cada pacote com um número de porta diferente
-
Socket 2 envia 32 pacotes para Socket 1 no intervalo da porta de origem, cada pacote com um número de porta diferente
-
Uma vez que a porta correta é encontrada, os Sockets abrem um túnel DTLS com o endereço IP de origem e o número da porta
Quando o Socket 2 se conecta com o Socket 1, o roteador adiciona a entrada NAT à sua tabela de roteamento
-
A partir desse ponto, os Sockets enviam mensagens de keep-alive a cada 15 segundos para manter a conexão aberta
Após o sucesso do NAT punching, o Socket salva esses dados NAT. No caso de uma reinicialização do Socket, ele pode reconectar imediatamente aos outros Sockets com esses dados NAT. Salvar os dados NAT reduz significativamente o tempo de reconexão do Socket. Para Sockets que estão atrás de um firewall de rede ou um roteador, se seu firewall ou roteador reiniciar, as entradas NAT são alteradas. Os dados NAT não são mais relevantes, e os Sockets devem realizar novamente o processo de NAT punching.
0 comentário
Por favor, entre para comentar.