В этой статье рассматривается функция восстановления WAN для площадок Socket, обеспечивающая устойчивость в крайне маловероятной ситуации, когда возникает проблема с подключением к облаку Cato.
Функция восстановления WAN — это одна из нескольких опций восстановления, обеспечивающая устойчивость, если ваши площадки Socket не могут обмениваться данными с облаком Cato. Восстановление WAN использует VPN-туннели между площадками Socket через Интернет для сохранения подключения для WAN-трафика между вашими площадками при возникновении проблемы с подключением к облаку Cato.
Восстановление WAN основано на топологии полной сетки и включено по умолчанию для всех площадок Socket. Каждый Socket создает прямой DTLS-туннель к каждому другому через публичный Интернет. Они регулярно отправляют keep-alive сообщения через туннель и поддерживают открытый живой туннель, чтобы сократить время восстановления. Эта топология обеспечивает максимальную устойчивость для площадок Socket в вашем аккаунте.
Следующая схема показывает пример, когда один Socket отключен от облака Cato. Восстановление WAN включено для этой площадки, чтобы обеспечить прямое соединение между двумя Socket:
Восстановление WAN является критическим компонентом устойчивости Cato Cloud и поддержания соединения для сайтов. Для получения дополнительной информации смотрите эти видео:
Чтобы обеспечить максимально плавный переход для площадок к восстановлению WAN, вы можете использовать статический IP для площадки и определить настройки интерфейса Socket Public IP и Static Port для площадки, чтобы улучшить установление туннелей вне облака между площадками.
Для аккаунтов, где сложно настроить статические IP-адреса для всех Socket, мы рекомендуем использовать статические IP-адреса для нескольких ключевых площадок, таких как дата-центры, которые действуют как хабы для восстановления WAN. IP-адрес для хабов отправляется на PoP и распространяется на другие Socket в вашем аккаунте, которые настроены для восстановления WAN.
Полная топология mesh для восстановления WAN в первую очередь подходит для небольших и среднесрочных внедрений, однако такое поведение создает ненужный трафик и увеличивает загрузку CPU в крупных средах. Для таких сред вы можете перейти к топологии hub & spoke, чтобы сократить количество туннелей и зондов, поддерживая оптимальную производительность и эффективность. Для получения дополнительной информации см. Топология Hub & Spoke вне облака для восстановления WAN.
Socket поддерживает открытый туннель для восстановления WAN, поэтому, если он теряет подключение к облаку Cato, Socket восстанавливает соединения с другими площадками и минимизирует время отключения. Socket затем немедленно начинает отправлять WAN-трафик по каналу восстановления WAN.
Вы можете использовать Приложение для Управления Cato (CMA), чтобы отключить восстановление WAN как для конкретного сайта, так и для всего аккаунта. Для получения дополнительной информации, см. Работа с расширенной конфигурацией аккаунта.
Как только подключение к Cato Cloud восстановлено, восстановление заканчивается, и трафик отправляется через Cato Cloud.
Мы рекомендуем использовать статические IP-адреса для ключевых площадок, таких как дата-центры, которые действуют как хабы для восстановления WAN. Определите внеоблачный Public IP и Static Port для каждой WAN-ссылки в хабах.
Вы можете использовать страницу Лучшие практики, чтобы подтвердить, что все сайты включены в настройки расширенной конфигурации для поддержки восстановления WAN.
Чтобы настроить сайт для восстановления WAN:
-
В меню навигации выберите Сеть > Сайты и выберите сайт.
-
В меню навигации выберите Конфигурация сайта > Socket.
-
Настройте WAN-соединение для восстановления WAN:
-
Нажмите на WAN-ссылку. Откроется панель Редактировать интерфейс сокета.
-
Установите Статус трафика в Включено.
-
(Необязательно) Определите статический Public IP и Static Port для ссылки.
Лучшие практики: Рекомендуем настроить этот параметр для ключевых хабов.
-
-
Повторите шаг 3 для всех WAN-соединений Socket.
-
Нажмите Применить и затем Сохранить.
Площадка настроена для восстановления WAN.
События восстановления WAN генерируются, когда площадка отправляет трафик на другую площадку, используя DTLS туннели по Интернету вместо облака Cato. CMA показывает следующие события для восстановления WAN:
-
Активация восстановления вне облака - это событие генерируется, когда Socket начинает отправку трафика WAN через транспорт восстановления WAN.
-
Восстановление вне облака остановлено - это событие генерируется, когда подключение к Cato Cloud восстановлено и Socket прекращает отправку трафика WAN через транспорт восстановления WAN.
События не создаются, когда восстановление WAN функционирует для сайта (статус Готов), но сайт не отправляет трафик через восстановительные DTLS туннели.
CMA предоставляет информацию о готовности вашего Socket-сайта к восстановлению WAN. Вы можете проактивно выявлять сайты с проблемами, которые препятствуют восстановлению WAN, и принимать коррективные меры для поддержания устойчивости WAN.
Лучшие практики: Конфигурируйте каждый интерфейс WAN со статическим или динамическим IP-адресом для обеспечения надежного обнаружения туннелей и точного отчета о статусе.
Вы можете мониторить восстановление WAN в колонке WAN Recovery Tunnels на странице Network > Sites. Реальное время по каждому сайту указывает состояние готовности WAN-соединений для восстановления WAN:
-
Готово (X/X): Этот сайт для восстановления WAN и подключен ко всем сайтам Socket.
-
Частичный (X/Y): Сайт частично готов к восстановлению WAN (например, 16/20 означает, что этот сайт подключен к 16 из 20 сайтов для восстановления WAN)
-
Не готово (0/Y): Этот сайт не готов для восстановления WAN и не подключен ни к одному из сайтов Socket. Этот сайт потеряет подключение WAN, если произойдет сбой с облаком Cato.
Чтобы просмотреть состояние восстановления WAN для всех сайтов:
-
Из меню навигации выберите Network > Sites и проверьте статус в колонке WAN Recovery Tunnels.
Вы также можете увидеть статус конкретного сайта на этих страницах:
-
Домой > Топология и выберите сайт.
-
Конфигурация сайта > {site name} > Socket
-
Если сайт показывает статус Частично или Не готов, выполните следующие шаги для восстановления полной готовности восстановления:
-
Проверьте настройки интерфейса WAN: Убедитесь, что каждый интерфейс WAN имеет действительный статический или динамический IP-адрес, и что связи WAN работают.
-
Проверьте установку туннелей: Используйте CMA или Socket WebUI, чтобы подтвердить, что туннели вне облака создаются и поддерживаются с удаленными сайтами.
-
Устранение проблем локальной сети: Исследуйте возможные причины, такие как:
-
Правила брандмауэра на вход/выход блокируют трафик.
-
Некорректное поведение NAT или ограничения портов.
-
Ошибки конфигурации маршрутизации.
-
-
Применяйте лучшие практики: Где это возможно, настройте статические IP WAN на критических сайтах (например, центры обработки данных или узлы) для повышения стабильности туннелей и точности состояния.
-
Проблемы, специфичные для сайта: Статус Не готово обычно указывает на местную проблему на сайте (например, сбой соединения WAN, проблемы с конфигурацией или проблемы с назначением IP), нежели чем проблемы с удаленными сайтами.
-
Область видимости сетки: Статус отображает общую сетку туннелей между сайтами. Он не сразу показывает, какие именно туннели не работают. Возможно, потребуется исследовать каждый сайт или интерфейс.
-
Состояние сети: Временные проблемы сети, поведение NAT или правила брандмауэра могут мешать установлению туннелей и задерживать или влиять на точность статуса.
Восстановление WAN включено по умолчанию для всех площадок Socket, чтобы обеспечить устойчивость с использованием трафика вне облака; если оно отключено для одной или нескольких площадок, они не могут обмениваться данными с другими. Например, если восстановление WAN включено на площадках A и B, но не для площадки C, во время восстановления площадка C не может обмениваться данными с другими площадками, а площадки A и B не могут обмениваться данными с площадкой C.
Политика межсетевого экрана LAN не подвергается влиянию и функционирует нормально во время восстановления WAN, так как Socket применяет политику.
Во время восстановления WAN убедитесь, что вы НЕ перезагружаете Socket, в противном случае это может негативно сказаться на сайте, и он может не восстановить подключение с другими сайтами.
Для всех развертываний, при включенном восстановлении WAN, каждый Socket устанавливает безопасные DTLS туннели к удаленной площадке Socket на всех WAN-интерфейсах, которые включены для трафика вне облака. Для активной/активной конфигурации ссылок Socket случайным образом выбирает одну из активных ссылок для восстановления WAN. Для активной/пассивной конфигурации Socket использует активную ссылку.
Приложение управления Cato (CMA) не получает все данные площадок, поскольку нет подключения к PoP и информации о статусе затронутых площадок.
Вы можете войти в WebUI Socket и использовать вкладку SD-WAN для мониторинга трафика и облачных туннелей. Это пример мониторинга трафика с помощью WebUI Socket:
Во время восстановления WAN таблица маршрутизации Socket замораживается, что означает, что все диапазоны BGP, существовавшие до начала восстановления, будут доступны через трафик вне облака к другим площадкам. Диапазоны BGP, которые введены после начала восстановления WAN, недоступны до тех пор, пока Socket не выйдет из режима восстановления и не подключится снова к PoP.
Трафик, который проходит через канал восстановления WAN вне облака, не обрабатывается PoP в облаке Cato. Это означает, что во время восстановления WAN услуги PoP не применяются к трафику, включая следующие элементы:
-
Безопасность
-
Политики брандмауэра WAN и Интернет
-
Сервисы предотвращения угроз (например, IPS, Антивирус)
-
Управляемые услуги XDR
-
-
Сетевые
-
Политика NAT
-
Сложные сетевые правила
-
Перенаправление DNS
-
Ретрансляция DHCP
-
Перевод статического диапазона (SRT)
-
-
Доступ
-
Доступ клиентов (например, политика подключения клиентов)
-
Положение устройства
-
Для аккаунтов, которые включают восстановление с помощью альтернатив. WAN (например, MPLS), если Socket отключается от облака Cato, Alt. Связь WAN имеет более высокий приоритет, чем восстановление WAN. Следовательно, Socket сначала перемещает трафик на Alt. Связь WAN. Если Alt. Связь WAN недоступна, Socket затем перемещает WAN-трафик на связь восстановления WAN. Как правило, восстановление WAN имеет самый низкий приоритет в качестве транспортного варианта и используется только тогда, когда другие транспортные варианты недоступны.
Восстановление WAN полагается на технику NAT, чтобы установить соединение WAN между вашими площадками. Когда Socket подключается к Cato Cloud, PoP информирует Socket обо всех других конечных точках, и Socket открывает DTLS-туннель к каждому из них. Socket использует технику пробивки NAT для установки прямого соединения с другими Socket.
Примечание: Переговоры по пробивке NAT начинаются через облако Cato. Следовательно, Sockets должны быть подключены к облаку Cato, чтобы позволить пробивку NAT.
Следующая схема показывает поток для установления прямого соединения между двумя Sockets для восстановления WAN:
Техника пробивки NAT работает для каждой пары Sockets следующим образом:
-
PoP выбирает один из Sockets как инициатор для установления прямого соединения (Socket 1) на основании ID сайта (сайт с наибольшим значением ID является инициатором).
-
Инициатор Socket отправляет запрос в облако Cato на предоставление следующих деталей: IP-адрес и номер порта, например, IP-адрес 82.128.1.1 и номер порта 4444 (Шаг #2)
-
PoP Cato отправляет исходный IP-адрес и порт Socket 1.
-
Socket 1 отправляет свой IP-адрес и порт Socket 2 через туннель Cato.
-
Socket 2 отправляет запрос в облако Cato на предоставление следующих деталей: IP-адрес и номер порта.
-
PoP Cato отправляет исходный IP-адрес и порт Socket 2.
-
Socket 2 отправляет свой IP-адрес и порт Socket 1 через туннель Cato.
-
Socket 1 отправляет 32 пакета Socket 2 в диапазоне исходного порта, каждый пакет с разным номером порта.
-
Socket 2 отправляет 32 пакета Socket 1 в диапазоне исходного порта, каждый пакет с разным номером порта.
-
Когда найден правильный порт, Sockets открывают DTLS-туннель с IP-адресом источника и номером порта
Когда сокет 2 соединяется с сокетом 1, маршрутизатор добавляет запись NAT в свою таблицу маршрутизации.
-
С этого момента Sockets отправляют сообщения о поддержании связи каждые 15 секунд, чтобы связь оставалась открытой.
После успешного выполнения NAT punching сокет сохраняет эти данные NAT. В случае перезапуска сокета он может мгновенно подключиться к другим сокетам, используя эти данные NAT. Сохранение данных NAT значительно сокращает время переподключения сокета. Для сокетов, которые находятся за сетевым файерволом или маршрутизатором, если ваш файервол или маршрутизатор перезагружается, записи NAT изменяются. Данные NAT больше не актуальны, и сокеты должны повторить процесс NAT punching.
0 комментариев
Войдите в службу, чтобы оставить комментарий.