Cato站点类型的恢复机制

概览

即使在站点和PoP之间出现连接问题时,Cato也能保持流量连续性。 站点连接到PoP,然后流量要么通过Cato云出口到WAN,要么进入互联网以访问SaaS和互联网应用程序。 通过弹性保证在出现连接问题时,流量流动持续,不会对最终用户产生或仅产生微小影响。

本文解释了Cato如何实现不同站点类型的弹性,以及在PoP连接问题期间流量的行为。

Cato PoP架构

Cato PoP是一个由多个处理服务器组成的云位置。 每个PoP都建造来处理客户隧道,应用安全服务,并转发流量,而不依赖于单一处理节点。

每个PoP节点:

  • 终止客户隧道(DTLS或IPsec)

  • 处理并转发网络流量

  • 运行完整的Cato软件堆栈,包括路由、优化和安全服务,如WAN和互联网防火墙、IPS和TLS检查等。

这种基于PoP节点的架构使Cato云能够维护流量处理和安全执行,同时最大限度地减少与基础设施相关的问题影响。

WAN和互联网的Socket和vSocket流量弹性

Socket和vSocket站点提供保持WAN连接的最具弹性的模型,通过Cato云和互联网连接站点,以便将流量传输到SaaS应用程序。 该部署模型设计用于流量连续性和可预见的恢复行为在运行中至关重要的站点,如数据中心和主要分支位置,并且在连接到PoP出现问题时最终用户应体验到最小的影响。

PoP连接问题的弹性

当站点与PoP存在连接问题时,Socket会自动保持流量流动,最大限度地减少干扰,无需管理员干预。 逐步处理恢复,以最大限度减少干扰并避免不必要的拓扑更改。

功能包括:

  1. 检测到节点级问题时自动重新连接到不同的PoP节点

  2. PoP级连接问题持续时自动切换到不同的PoP

这些行为降低了临时PoP连接问题的影响,并帮助保持最终用户的流量连续性。 有关更多信息,请参见理解站点的可接受和不可接受的SLA

最后一公里和ISP弹性

Socket和vSocket站点主动监控最后一公里连接性,以保持稳定的隧道与Cato云。 流量转向决策基于实时链路状况而非静态偏好。

功能包括:

  1. 对每个WAN链路的质量和连接性指标进行持续监控

  2. 为每个Socket支持最多四个WAN接口,以提供ISP冗余

  3. 主动使用多个WAN链路以提高可用性和弹性

此模型减少对单一ISP的依赖,并在最后一公里故障期间改善恢复结果。

特定流量的恢复行为

当PoP连接出现问题时,Socket对WAN流量和互联网流量应用不同的恢复逻辑。 这种区别确保PoP连接的丢失不会不必要地影响站点间通信或互联网访问。

对于WAN流量,Socket优先保持站点间的连接性:

  1. 当PoP不可达时,WAN流量重定向到离线DTLS隧道(WAN恢复)

  2. 现有站点间会话继续通过恢复路径而无需重新建立

对于互联网流量,Socket应用不同的恢复路径:

  1. 互联网流量直接路由到本地ISP(互联网恢复)

  2. 流量从Socket出口使用Socket的公共IP地址而不是PoP的IP地址

这种特定流量处理限制了故障的范围,允许WAN和互联网流量根据中断类型独立恢复。

Socket弹性操作最佳实践

正确的Socket部署直接影响恢复效果。 应用这些实践有助于确保可预见的行为并在PoP连接问题期间对用户影响最小。

一般部署最佳实践

最佳实践包括:

  1. 在每个站点至少部署两个ISP进行活跃/活跃配置以避免单一提供商依赖

  2. 使用Socket高可用性(HA)来防止本地硬件故障

  3. 确保站点与上游ISP之间的物理路径多样性

  4. 为WAN接口配置静态公共IP地址,尤其是数据中心站点

有关更多信息,请参见Cato Socket连接的前提条件和已知限制

计划WAN恢复

WAN恢复在站点失去与PoP的连接时通过路由离线DTLS隧道来保持站点间连接。 稳定的WAN接口配置对于确保快速收敛和可靠的恢复行为至关重要。

最佳实践包括:

  1. 在参与WAN恢复的WAN接口上配置静态IP地址以提高离线隧道稳定性

    这对于数据中心和枢纽站点尤其重要。

  2. 使用CMA中的网络>站点页面在WAN接口或路由更改后验证WAN恢复隧道的状态

更多信息,请参见具有WAN恢复功能的Socket站点弹性

计划互联网恢复

在互联网恢复期间,流量直接从Socket出口到互联网而不是PoP。 此行为影响到SaaS访问和基于IP的安全策略。

运营考虑包括:

  1. 恢复期间互联网流量来源于Socket公共IP地址

  2. PoP基础的公共IP地址在互联网恢复活跃时不会被使用

  3. 为关键的SaaS应用程序将Socket公共IP地址列入允许名单以保持访问

  4. 例如,如果应用程序也使用PoP出口,请允许分配的Cato IP地址和Socket公共IP地址

更多信息,请参见使用Cato Networks的互联网恢复

IPsec和云互联站点弹性

IPsec和云互联站点依赖PoP级冗余来保持流量连续性,在PoP连接问题期间保持。 与基于Socket的站点不同,这些站点类型不使用离线恢复机制。 弹性依赖于进入Cato云的冗余连接路径。

IPsec站点弹性

IPsec站点通过与多个PoP地点建立隧道来保持弹性。 故障切换的行为由客户管理的第三方IPsec设备的配置和功能决定。

功能包括:

  1. 支持主要和次要隧道到不同的PoP地点

  2. 活跃/被动或活跃/活跃隧道配置,取决于设备支持

运营考虑包括:

  1. 只有连接到至少两个不同PoP地点的IPsec站点才能保证99.999%的SLA,正如在Cato MSA中定义的那样

  2. 不支持IPsec站点的互联网恢复和WAN恢复。 这意味着在PoP中断期间站点之间的WAN连接不可用

云互联站点弹性

云互联站点使用提供商支持的连接来连接到Cato云。 通过冗余提供商基础设施和PoP连接实现弹性。

功能包括:

  1. 通过提供商主干网的冗余连接性

  2. 基于云互联设计的主动和被动PoP连接

运营考虑包括:

  1. 不支持互联网恢复和WAN恢复

  2. 流量可用性取决于提供商的SLA和站点连接到多个PoP

与BGP的路由弹性

动态路由对于在PoP连接问题和网络变更期间保持流量连续性至关重要。 BGP提供自适应路由行为,使站点能够快速收敛并在路径改变时继续转发流量。

也可以使用静态路由来实现稳定的预定义路径。

基于BGP的路由弹性

BGP控制路径的学习和撤回在连接变化时,使流量在故障发生时自动转向可达路径。

功能包括:

  1. 基于实时可达性的动态路径选择

  2. 链路、路径或PoP连接变化时的自动路由收敛

  3. 支持单向转发检测(BFD)以减少故障检测时间

运营考虑包括:

  1. 必须在站点路由器上配置BGP,并与Cato路由设置进行协调

  2. 我们建议在需要动态和弹性路由行为时使用BGP与BFD。

有关更多信息,请参见为BGP邻居配置BFD

按站点类型总结的恢复机制总结

下表总结了在站点与PoP之间出现连接问题时,不同站点类型如何保持流量连续性。 关注点在于哪些流量继续流动以及如何实现恢复,不涉及功能配置细节。

弹性方面

Socket和vSocket站点

IPsec站点

云互联站点

连接到多个PoP

当当前PoP不可达时重新连接到备用PoP

是(依赖于第三方设备的行为)

PoP连接问题期间WAN流量的弹性

是(WAN恢复)

在 PoP 连接性问题期间的互联网流量弹性

是(恢复模式)

在 PoP 连接性问题期间的 ALT WAN 弹性(MPLS)

是(ALT WAN 恢复)

依赖第三方设备或提供商行为

恢复期间的平台行为

当流量在恢复模式或 WAN 恢复期间绕过 PoP 时,某些平台服务未应用。

运营考虑包括:

  1. 安全检查和威胁防护服务未应用于离线流量

  2. PoP 服务在连接到 PoP 恢复后自动恢复

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论