Socket站点的WAN恢复

本文讨论了Socket站点的WAN恢复功能,在极不可能出现Cato Cloud连接问题的情况下提供弹性。

WAN恢复概览

WAN恢复功能是多个恢复选项之一,如果您的Socket站点无法使用Cato Cloud进行通信,该功能提供弹性。 WAN恢复通过互联网在Socket站点之间使用VPN隧道,以保持站点之间的WAN流量连通性,避免Cato Cloud的连接问题。

WAN恢复如何工作?

WAN恢复基于全网状拓扑,默认为所有Socket站点启用。 每个Socket通过公共互联网创建一个直接的DTLS隧道。 他们定期通过隧道发送保持活动的信息,并保持一个开放的实时隧道以减少恢复时间。 这种拓扑为您账户中的Socket站点提供了最大的弹性。

下图显示了一个例子,其中一个Socket断开了与Cato Cloud的连接。 为该站点启用WAN恢复,以提供两个Socket之间的直接连接:

blobid0.png

WAN恢复的最佳实践

为了确保站点到WAN恢复的顺利过渡,您可以为站点使用静态IP,并定义站点的Socket接口公共IP静态端口设置,以改善站点之间的离线隧道建立。

对于难以为所有Socket配置静态IP设置的帐号,我们建议您为一些关键站点(如数据中心)使用静态IP设置,这些站点充当WAN恢复的枢纽。 枢纽站点的IP地址被发送到网络接入点,并传播到您账户中配置为WAN恢复的其他Socket。

恢复WAN流量

Socket保持一个开放的隧道进行WAN恢复,因此如果它失去与Cato Cloud的连接,Socket会恢复与其他站点的连接并最小化断开时间。 然后,Socket立即开始通过WAN恢复链路发送WAN流量。

您可以使用Cato管理应用程序禁用某个特定站点或整个账户的WAN恢复。 查看更多信息,请参阅账户的高级配置使用

一旦恢复到Cato Cloud的连接,恢复结束,流量通过Cato Cloud发送。

审查站点的WAN恢复状态

站点的Socket页面显示WAN链路的离线云状态。 当状态为已启用时,连接已准备好进行WAN恢复。

off_cloud_status.png

要查看站点的WAN恢复状态:

  1. 从导航菜单中选择网络>站点,并选择该站点。

  2. 从导航菜单中选择站点配置>Socket

配置站点以进行WAN恢复

我们建议您为关键站点(如数据中心)使用静态IP地址,这些站点充当WAN恢复的枢纽。 为每个枢纽站点的WAN链路定义离线的公共IP静态端口

您可以使用最佳实践页面来确认所有站点已在高级配置设置中启用,以支持WAN恢复。

要为站点配置WAN恢复:

  1. 从导航菜单中选择网络>站点,并选择该站点。

  2. 从导航菜单中选择站点配置>Socket

  3. 配置WAN链路以启用WAN恢复:

    1. 点击WAN链路。 编辑套接字接口面板打开。

      off_cloud_publicIP_port.png

    2. 流量状态设置为已启用

    3. (可选) 为链路定义静态 公共IP静态端口。 我们建议这种设置用于关键枢纽站点。

  4. 为所有Socket WAN链路重复步骤3。

  5. 点击应用,然后点击保存

    站点已为WAN恢复配置。

分析WAN恢复事件

当站点通过互联网使用DTLS隧道而不是Cato云发送流量时,会生成WAN恢复事件。 CMA显示以下用于WAN恢复的事件:

  • 离线恢复激活-当Socket开始通过WAN恢复传输发送WAN流量时生成此事件。

  • 离线恢复停止-当恢复到Cato Cloud的连接并且Socket停止通过WAN恢复传输发送WAN流量时生成此事件。

当WAN恢复在某个站点正常运行,并且没有使用DTLS隧道发送流量时,不会生成事件

WAN恢复期间对账户的影响

默认情况下,所有Socket站点都启用了WAN恢复功能,以使用离线流量提供弹性,如果某个站点或多个站点禁用了WAN恢复功能,则这些站点无法与其他站点通信。 例如,如果站点A和B上启用了WAN恢复,但站点C上未启用,在恢复期间,站点C无法与其他站点通信,站点A和B无法与站点C通信。

LAN防火墙策略不会受到影响,并在WAN恢复期间继续正常运行,因为Socket应用了该策略。

注意

注意:由于法规原因,中国不支持WAN恢复。

不要重启Socket

在WAN恢复期间,请确保不要重启Socket,否则可能会对站点产生负面影响,并且可能无法重新建立与其他站点的连接。

在主动/主动或主动/被动中的WAN恢复

对于所有部署,当启用 WAN 恢复时,每个 Socket 都会在所有启用于离线流量的 WAN 接口上与远程 Socket 站点建立安全的 DTLS 隧道。 对于活跃/活跃链接配置,Socket 随机选择一个活跃链接进行 WAN 恢复。 对于活跃/被动,Socket 使用活跃链接。

WAN 恢复期间对 CMA 的影响

Cato 管理应用程序(CMA)无法接收所有站点数据,因为它没有连接到 PoP,且不知道受影响站点的状态。

您可以登录Socket WebUI并使用SD-WAN标签页监控流量和离线隧道。 这是使用 Socket WebUI 监控流量的示例:

sokcet_webui_sdWAN.png

WAN 恢复期间对 PoP 的限制

通过 WAN 恢复离线传输传输的流量不会在 Cato 云中的 PoPs 进行处理。 这意味着在 WAN 恢复期间,包括以下项目在内的 PoP 服务不会应用于流量:

  • 安全性

    • WAN 和互联网防火墙策略

    • 威胁预防服务(即 IPS,反恶意软件)

    • 托管 XDR 服务

  • 网络设备

    • NAT 策略

    • 复杂的网络规则

    • DNS 转发

    • DHCP 中继

    • 静态范围转换(SRT)

  • 访问

    • 客户端访问(即客户端连接策略)

    • 设备姿态

WAN 恢复和备用 WAN 恢复

对于启用了通过备用WAN链接恢复连接的账户。 WAN(即 MPLS),如果 Socket 与 Cato 云断开连接,则备用 WAN 链接优先级高于 WAN 恢复。 因此,Socket 首先将流量转移到备用 WAN 链接。 如果备用 WAN 链接不可用,Socket 然后将 WAN 流量转移到 WAN 恢复链接。 通常,WAN 恢复作为一种传输选项优先级最低,只有在其他传输选项不可用时才使用。

了解 NAT Punching 以连接 Sockets

WAN 恢复依赖 NAT punching 来建立站点之间的 WAN 连接性。 当 Socket 连接到 Cato 云时,PoP 会通知该 Socket 所有其他端点,并为它们每一个打开一个 DTLS 隧道。 Socket 使用 NAT punching 技术与其他 Sockets 建立直接连接。

注意:NAT punching 的协商在 Cato 云上开始。 因此,Sockets 必须连接到 Cato 云才能允许 NAT punching。

下图显示了为 WAN 恢复在两个 Sockets 之间建立直接连接的流程:

blobid1.png

NAT punching 技术对每对 Sockets 的工作方式如下:

  1. PoP 根据站点 ID(ID 值最高的站点为发起者)选择其中一个 Sockets 作为发起者以建立直接连接(Socket 1)。

  2. 发起者 Socket 向 Cato 云发送请求以下详细信息:IP 地址和端口号,例如:IP 地址 82.128.1.1 和端口号 4444(步骤 #2)

  3. Cato PoP 将源 IP 地址和端口发送到 Socket 1

  4. Socket 1 通过 Cato 隧道将其 IP 地址和端口发送到 Socket 2

  5. Socket 2 向 Cato 云发送请求以下详细信息:IP 地址和端口

  6. Cato PoP 将源 IP 地址和端口发送到 Socket 2

  7. Socket 2 通过 Cato 隧道将其 IP 地址和端口发送到 Socket 1

  8. Socket 1 向 Socket 2 在源端口范围内发送 32 个数据包,每个数据包具有不同的端口号

  9. Socket 2 向 Socket 1 在源端口范围内发送 32 个数据包,每个数据包具有不同的端口号

  10. 找到正确的端口后,Sockets 使用源 IP 地址和端口号打开 DTLS 隧道

    当 Socket 2 与 Socket 1 连接时,路由器将 NAT 条目添加到其路由表中

  11. 从那时起,Sockets 每 15 秒发送一次保持活动状态的消息以保持连接

通过 NAT Punching 最小化重新连接时间

NAT punching 成功后,Socket 会保存这些 NAT 数据。 在 Socket 重启的情况下,它可以立即使用这些 NAT 数据重新连接到其他 Sockets。 保存 NAT 数据显著降低了 Socket 的重新连接时间。 对于位于网络防火墙或路由器后的 Sockets,如果您的防火墙或路由器重新启动,NAT 条目将更改。 NAT 数据不再相关,Sockets 必须再次执行 NAT punching 过程。

这篇文章有帮助吗?

2 人中有 1 人觉得有帮助

0 条评论