Резервирование сайта сокетов с восстановлением WAN

В этой статье рассматривается функция восстановления WAN для сайтов сокетов, обеспечивающая резервацию в крайне маловероятном случае проблемы с подключением к Cato Cloud.

Обзор восстановления WAN

Функция восстановления WAN является одной из нескольких опций восстановления, обеспечивающих резервацию, если ваши сайты сокетов не могут общаться через Cato Cloud. Восстановление WAN использует VPN-туннели между сайтами сокетов через Интернет, чтобы сохранить подключение для трафика WAN между вашими сайтами в случае проблем с подключением к Cato Cloud.

Как работает восстановление WAN?

Восстановление WAN основано на полной сетевой топологии и включено по умолчанию для всех сайтов сокетов. Каждый сокет создает прямой DTLS-туннель к остальным через публичный Интернет. Они регулярно отправляют keep-alive сообщения по туннелю и поддерживают открытый активный туннель для сокращения времени восстановления. Эта топология обеспечивает максимальную резервацию для сайтов сокетов в вашем аккаунте.

Следующая диаграмма показывает пример, где один сокет отключен от Cato Cloud. Восстановление WAN включено для этого сайта для обеспечения прямого соединения между двумя сокетами:

Лучшие практики для восстановления WAN

Чтобы гарантировать плавный переход для сайтов на восстановление WAN, вы можете использовать статический IP-адрес для сайта и определить настройки интерфейса сокета Публичный IP-адрес и Статический Порт, чтобы улучшить установление туннелей вне облака между сайтами.

Для учетных записей, где сложно настроить статические IP-адреса для всех сокетов, мы рекомендуем использовать статические IP-адреса для нескольких ключевых сайтов, таких как дата-центры, которые функционируют как узлы для восстановления WAN. Адреса IP для узловых сайтов отправляются в точки присутствия и распространяются на остальные сокеты в вашем аккаунте, которые настроены для восстановления WAN.

Восстановление трафика WAN

Сокет поддерживает открытый туннель для восстановления WAN, поэтому, если он теряет подключение к Cato Cloud, сокет восстанавливает соединения с другими сайтами и минимизирует время отключения. Затем сокет сразу начинает передавать трафик WAN через восстановительный канал WAN.

Вы можете использовать Приложение Управления Cato, чтобы отключить восстановление WAN как для конкретного сайта, так и для всей учетной записи. Для получения дополнительной информации смотрите Работа с расширенной конфигурацией для учетной записи.

После восстановления подключения к Cato Cloud восстановление завершается, и трафик передается через Cato Cloud.

Проверка статуса восстановления WAN для сайта

Страница сокета для сайта отображает Статус вне облака для соединений WAN. Когда статус Включен, соединения готовы к восстановлению WAN.

Чтобы просмотреть состояние восстановления WAN для сайта:

Из меню навигации выберите Сеть > Сайты, и выберите сайт.
Из меню навигации выберите Настройки Сайта > Сокет.

Настройка сайтов для восстановления WAN

Мы рекомендуем использовать статические IP-адреса для ключевых сайтов, таких как дата-центры, которые служат узлами для восстановления WAN. Определите внеоблачный Публичный IP-адрес и Статический Порт для каждого соединения WAN в узловых сайтах.

Вы можете использовать страницу Лучшие практики, чтобы подтвердить, что все сайты включены в настройках расширенной конфигурации для поддержки восстановления WAN.

Чтобы настроить сайт на восстановление WAN:

Из меню навигации выберите Сеть > Сайты, и выберите сайт.
Из меню навигации выберите Настройки Сайта > Сокет.
Настройте соединение WAN для восстановления WAN:
1. Нажмите на связь WAN. Открывается панель Редактировать сетевой интерфейс.
2. Установите Статус Трафика на Включен.
3. (Необязательно) Определите статический Публичный IP и Статический Порт для связи. Мы рекомендуем эту настройку для ключевых хаб-площадок.
Повторите шаг 3 для всех WAN-связей Socket.
Нажмите Применить, затем нажмите Сохранить.

Площадка настроена для восстановления WAN.

Анализ событий восстановления WAN

События восстановления WAN генерируются, когда сайт отправляет трафик на другой сайт с использованием туннелей DTLS через Интернет вместо Cato Cloud. CMA показывает следующие события для восстановления WAN:

Активация восстановления Вне Облака — это событие создается, когда Socket начинает отправлять WAN-трафик через транспорт восстановления WAN.

Остановка восстановления Вне Облака — это событие создается, когда соединение с Cato Cloud восстанавливается, и Socket прекращает отправку WAN-трафика через транспорт восстановления WAN.

Событие не генерируется, когда восстановление WAN работает для сайта, и трафик не отправляется через туннели DTLS

Влияние на учётную запись во время восстановления WAN

Восстановление WAN включено по умолчанию для всех площадок Socket для обеспечения устойчивости с использованием трафика вне облака. Если оно отключено для одной или нескольких площадок, они не смогут общаться с другими. Например, если восстановление WAN включено на площадках A и B, но не на площадке C, во время восстановления площадка C не может общаться с другими площадками, а площадки A и B не могут общаться с площадкой C.

Политика LAN Firewall не затрагивается и продолжает функционировать нормально во время восстановления WAN, так как Socket применяет политику.

Примечание

Примечание: По причинам регулирования, восстановление WAN не поддерживается в Китае.

Не перезагружайте сокет

Во время восстановления WAN убедитесь, что вы НЕ перезагружаете сокет, иначе это может негативно повлиять на площадку, и она не сможет заново установить соединение с другими площадками.

Восстановление WAN в активном/активном или активном/пассивном режиме

Для всех развертываний, когда восстановление WAN включено, каждый сокет устанавливает безопасные DTLS-туннели к удаленной площадке сокета на всех WAN-интерфейсах, которые включены для трафика вне облака. Для конфигурации активных/активных связей Socket случайным образом выбирает одну из активных связей для восстановления WAN. Для активных/пассивных Socket использует активную связь.

Влияние на CMA во время восстановления WAN

Приложение Управления Cato (CMA) не получает все данные площадок, так как оно не подключено к PoP и не осведомлено о статусе затронутых площадок.

Вы можете войти в веб-интерфейс сокета и использовать вкладку SD-WAN для мониторинга трафика и туннелей вне облака. Это пример мониторинга трафика с веб-интерфейсом сокета:

Ограничения PoP во время восстановления WAN

Трафик, передаваемый через транспорт восстановления WAN вне облака, не обрабатывается точками присутствия в облаке Cato. Это означает, что во время восстановления WAN службы PoP не применяются к трафику, включая следующие элементы:

Безопасность
- Политики Firewall для WAN и Интернета
- Сервисы предотвращения угроз (например, IPS, Антивирус)
- Управляемый XDR-сервисы
Сетевое оборудование
- Политика NAT
- Сложные сетевые правила
- Перенаправление DNS
- Ретрансляция DHCP
- Статический перевод диапазонов IP-адресов (SRT)
Доступ
- Доступ клиента VPN (например, Политика подключения клиента)
- Состояние устройства

Восстановление WAN и Alt. Восстановление WAN

Для аккаунтов, которые позволяют восстановление через Alt. WAN (например, MPLS), если Socket отключается от облака Cato, то Alt. WAN-канал имеет более высокий приоритет, чем WAN Recovery. Поэтому Socket сначала перемещает трафик на Alt. WAN-канал. Если Alt. WAN-канал недоступен, тогда Socket перемещает WAN-трафик на связь WAN Recovery. Как правило, WAN Recovery имеет самый низкий приоритет как вариант транспорта и используется только тогда, когда другие варианты транспортировки недоступны.

Понимание NAT Punching для подключения Socket

WAN Recovery полагается на NAT punching для установления WAN-соединения между вашими сайтами. Когда Socket подключается к Cato Cloud, PoP информирует Socket обо всех других конечных точках, и Socket открывает DTLS туннель для каждого из них. Socket использует технику NAT punching для установления прямого соединения с другими Socket.

Примечание: Переговоры по NAT punching начинаются через Cato Cloud. Следовательно, Sockets должны быть подключены к Cato Cloud, чтобы разрешить NAT punching.

Следующая диаграмма показывает порядок для установления прямого соединения между двумя Sockets для WAN Recovery:

Техника NAT punching работает для каждой пары Sockets следующим образом:

PoP выбирает один из Sockets как инициатора для установления прямого соединения (Socket 1) на основе ID сайта (сайт с наибольшим значением ID является инициатором).
Инициатор Socket отправляет запрос в Cato Cloud для следующих сведений: IP-адрес и номер порта, например: IP-адрес 82.128.1.1 и номер порта 4444 (Шаг №2)
PoP Cato отправляет IP-адрес источника и порт в Socket 1
Socket 1 отправляет свой IP-адрес и порт в Socket 2 через туннель Cato
Socket 2 отправляет запрос в Cato Cloud для следующих сведений: IP-адрес и порт
PoP Cato отправляет IP-адрес источника и порт в Socket 2
Socket 2 отправляет свой IP-адрес и порт в Socket 1 через туннель Cato
Socket 1 отправляет 32 пакета в Socket 2 в диапазоне исходного порта, каждый пакет с другим номером порта
Socket 2 отправляет 32 пакета в Socket 1 в диапазоне исходного порта, каждый пакет с другим номером порта
Как только правильный порт найден, Sockets открывают DTLS туннель с IP-адресом источника и номером порта

Когда Socket 2 соединяется с Socket 1, маршрутизатор добавляет запись NAT в свою таблицу маршрутизации
С этого момента Sockets отправляют keep-alive сообщения каждые 15 секунд, чтобы поддерживать соединение открытым

Минимизация времени повторного подключения с помощью NAT Punching

После успешного завершения NAT punching, Socket сохраняет эти данные NAT. В случае перезапуска Socket, он может сразу же переподключиться к другим Sockets с этими данными NAT. Сохранение данных NAT значительно снижает время переподключения Socket. Для Sockets, находящихся за сетевым файерволом или маршрутизатором, если ваш файервол или маршрутизатор перезапускается, записи NAT изменяются. Данные NAT больше не актуальны, и Sockets должны снова выполнить процесс NAT punching.