تشرح هذه المقالة كيفية تخصيص ميزة التكوين المتقدم لكامل الحساب.
تمنحك الخيارات في صفحة التكوين المتقدم تحكمًا أكثر دقة في إعدادات مختلفة في حسابك. تظهر الشاشة أيضًا القيمة الافتراضية لكل من الإعدادات المعطلة.
عند تعطيل إعداد متقدم، يعود إلى القيمة الافتراضية. ومع ذلك، يتم حفظ القيمة المخصصة وإذا قمت بتمكين الإعداد لاحقًا، يمكن استخدام القيمة المخصصة.
لتكوين ميزات التكوين المتقدم لحساب:
-
من قائمة التنقل، انقر على الموارد > التكوين المتقدم.
-
في عمود الحالة، استخدم التبديل لتمكين أو تعطيل حالة كل إعداد (الأخضر يعني التمكين، الرمادي يعني التعطيل).
-
لتكوين أو تحرير قيمة إعداد، انقر على اسم الإعداد في عمود الاسم.
تفتح لوحة تحرير <اسم الإعداد>.
-
في لوحة تحرير، يمكنك:
-
ادخل أو اختر القيمة
-
ادخل أو حرر تعليق لشرح سبب هذا الإعداد المتقدم (يوصى بذلك)
-
-
انقر على تطبيق. يتم إضافة التغيير للتكوين المتقدم إلى الشاشة.
-
انقر على حفظ. يتم حفظ إعدادات التكوين.
عندما تقوم بتكوين ميزة متقدمة لموقع أو مستخدم شبكة SDP، يُلغى إعداد الحساب في صفحة التكوين المتقدم. يظهر الجدول التالي كل ميزة متقدمة وما إذا كانت تنطبق على موقع أو مستخدم SDP.
|
اسم الميزة |
ينطبق على |
|---|---|
|
حظر التوجيه المحلي عند قطع الاتصال بـ PoP |
|
|
قيمة تدفق الحركة الهابطة |
المواقع (فقط للمقابس) |
|
قيمة تدفق الحركة الصاعدة |
المواقع (فقط للمقابس) |
|
إرسال IKEv2 لمحدد TS واحد لكل حمولة |
المواقع (فقط IPsec IKEv2) |
|
عنوان IP المفضل لحركة مرور SIP |
المواقع |
|
الاسترجاع عبر الإنترنت |
المواقع (فقط للمقابس) |
|
إلغاء الشهادات برقم تسلسلي |
جميع مستخدمي SDP |
|
SIP ALG |
المواقع |
|
تسريع TCP على SYN لحركة مرور WAN |
المواقع ومستخدمي SDP |
|
خوارزمية ازدحام TCP |
فقط عالمي |
|
التحقق من OID في شهادة الجهاز |
جميع مستخدمي SDP |
|
وضع مكتب VPN |
جميع مستخدمي SDP |
|
تكرار مواصلة WAN |
المواقع (فقط للمقابس) |
|
الاسترجاع WAN |
المواقع (فقط للمقابس) |
يمكنك إعداد الإعدادات التالية فقط للمواقع الفردية (وليس كإعداد عالمي للحساب):
-
حد أقصى MTU لمقبس إلى PoP (ينطبق فقط على المقابس الفعلية)
لمزيد من المعلومات حول التكوين المتقدم للمواقع، انظر التكوينات المتقدمة لموقع.
عندما يعمل مستخدم SDP في مكتب خلف مقبس Cato، يتصل عميل Cato تلقائيًا بذلك الموقع. يُطلق على هذا السلوك اسم وضع مكتب VPN ويتم تمكينه افتراضيًا لجميع الحسابات. بدون وضع المكتب، عندما يتصل عميل Cato بشبكة VPN خلف مقبس Cato، يتصل العميل بنفق VPN داخل نفق غالبًا ما يكون له تأثير سلبي على الأداء.
مع وضع المكتب، يتصل عميل Cato بالسحابة Cato باستخدام نفق المقبس ويعتبر مضيفًا عاديا لذلك الموقع. يتلقى العميل إعدادات الشبكة والأمان من الموقع ويمنع استخدام نفق VPN داخل نفق.
أحيانًا يمكن أن يمنع وضع المكتب الذين يزورون مكتب فرعي من الاتصال بالموارد في مكتب آخر، مثل المقر الرئيسي. يمكنك اختيار تمكين مستخدمي SDP لتكوين سلوك عميل Cato لوضع المكتب.
لمزيد من المعلومات حول كيفية تمكين مستخدمي SDP من تكوين وضع المكتب لعملائهم، انظر تكوين وضع المكتب.
لتحسين استقرار شبكتك، يوفر ميزة استرجاع WAN الدعم إذا كانت هناك مشكلة في الاتصال بالسحابة Cato، ولا يمكن لمقبس Cato استخدامها لإرسال حركة مرور WAN إلى المواقع الأخرى. تستخدم هذه الميزة تلقائيًا أنفاق التحويل للحفاظ على الاتصال مع مواقع المقبس الأخرى. عندما تعيد المقابس الاتصال بالسحابة Cato، تستأنف تلقائيًا تشغيلها العادي.
أثناء استرجاع الشبكة، تتجاوز حركة مرور WAN السحابة Cato وهذه هي التغييرات لحركة المرور:
-
لا تحلل تطبيق إدارة Cato البيانات للاتصال ولا تولد تنبيهات لصحة أو جودة الشبكة
-
لا يتم تطبيق جدران الحماية WAN والإنترنت على حركة المرور
-
لا يتم تطبيق خدمات حماية التهديدات على حركة المرور
لتكوين إعداد استرجاع WAN، راجع أعلاه تكوين الميزات المتقدمة للحساب بهذه القيم:
-
معطل - إعداد عالمي افتراضي. تقوم المقابس بإنشاء أنفاق مع مواقع المقبس الأخرى وتستخدم رسائل المتابعة للحفاظ على الأنفاق. يتم تمكين الاسترجاع افتراضيًا لجميع مواقع المقبس في الحساب.
-
ممكّن وتشغيل - يتم تكوين الحساب لتوفير الاسترجاع لحركة مرور WAN إلى المواقع الأخرى. تكون الوظيفة مثل معطل.
-
ممكّن وإيقاف - الاسترداد غير ممكّن لهذا الحساب، ولا يتم دعم أو الحفاظ على أنفاق التحويل.
ملاحظة
ملاحظة: يتم وصف الأحداث التي تم إنشاؤها بواسطة ميزة استرجاع WAN بأنها استرجاع خارج السحابة.
لمزيد من المعلومات حول تكوين إعداد تعافي WAN العالمي لمواقع محددة، انظر التكوينات المتقدمة لموقع.
لتحسين استقرار حركة المرور عبر الإنترنت، يوفر ميزة الاسترجاع عبر الإنترنت الدعم إذا كانت هناك مشكلات في الاتصال بالسحابة Cato ولا يمكن لمقبس Cato استخدامها لحركة المرور إلى الإنترنت. عند التمكين، تتعافى هذه الميزة تلقائيًا اتصال الإنترنت باستخدام روابط ISP لإرسال حركة المرور إلى الإنترنت.
أثناء الاسترجاع المؤقت للإنترنت، تتجاوز حركة مرور الإنترنت السحابة Cato وهذه هي التغييرات لحركة المرور:
-
لا تُطبق قواعد جدران الحماية على الإنترنت على حركة المرور
-
لا يتم تطبيق خدمات حماية التهديدات على حركة المرور
-
لا تحلل تطبيق إدارة Cato البيانات للاتصال ولا تولد تنبيهات لحركة مرور الإنترنت
لتكوين إعداد التعافي عبر الإنترنت، انظر أعلاه، تكوين الميزات المتقدمة للحساب مع هذه القيم:
-
معطل - إعداد عالمي افتراضي. يتم تمكين الاسترجاع افتراضيًا لجميع مواقع المقبس في الحساب. نوصيك باستخدام هذا الإعداد.
-
مُمكّن وتشغيل - الحساب مُكوّّن لتوفير استرداد لجميع حركة مرور إلى الإنترنت. تكون الوظيفة مثل معطل.
-
ممكّن وإيقاف - ميزة الاسترجاع عبر الإنترنت غير ممكّنة لهذا الحساب.
ملاحظة
هام! نوصيك بتمكين ميزة الاسترجاع عبر الإنترنت دائمًا واختيار خيار تشغيل أو إيقاف لإدارة الاسترجاع لحركة مرور الإنترنت. عندما يتم تعطيل هذه الميزة، إذا لم يتمكن المقبس من الاتصال بسحابة Cato، فإنه لا يقوم بتوجيه حركة المرور إلى الإنترنت.
لمزيد من المعلومات حول تكوين إعداد التعافي عبر الإنترنت العالمي لموقع محدد، انظر التكوينات المتقدمة لموقع.
إذا كنت تعمل مع UCaaS ولديك قاعدة شبكة خروج لحركة مرور VoIP أو SIP، في بعض الأحيان تواجه UCaaS (مثل RingCentral) مشاكل إذا تغير عنوان IP. عندما يتم تمكين ميزة عنوان IP المفضل لحركة مرور SIP، تستخدم حركة مرور VoIP و SIP دائمًا نفس عنوان IP للخروج.
ملاحظة
ملاحظة: يجب أن يكون لديك قاعدة شبكة خروج لحركة مرور VoIP أو SIP لاستخدام هذه الميزة.
عند إنشاء SA للطفل، ترسل Cato عدة محددات حركة مرور (TS) في نفس حمولة TS وفقًا لـ RFC 7295. بعض الحلول من الطرف الثالث، مثل Cisco ASA، تدعم فقط TS واحد في كل SA للأطفال. سيقوم Cisco ASA بإرسال رسالة TS_UNACCEPTABLE ردًا على اقتراح Cato لإنشاء SA للطفل بوجود عدة TS.
عندما يتم تمكين إرسال IKEv2 محدد TS واحد لكل حمولة وتعيينها إلى تشغيل، يتم إرسال محدد TS واحد فقط في كل SA للأطفال. تم تعطيلها افتراضيًا.
افتراضيًا، يتم توجيه حركة المرور ضمن الموقع (على سبيل المثال، بين VLANs) عبر PoP كاتو، والذي يقوم بفحص حركة المرور. تتدفق حركة المرور من VLAN إلى PoP في سحابة كاتو ثم إلى VLAN أخرى.
إذا تم فصل موقع مؤقتًا عن سحابة كاتو، يكون السلوك الافتراضي هو الفتح عند الفشل. تتدفق حركة المرور من VLAN مباشرة إلى VLAN أخرى دون أن يتم فحصها. يمكنك تغيير السلوك الافتراضي على مستوى الحساب العالمي ليكون مغلقًا عند الفشل، بحيث يحظر جميع مواقع Socket توجيه حركة المرور المحلية بشكل افتراضي عند الفصل عن PoP. يتطلب Socket الإصدار 15.0 أو أكبر.
ملاحظة
ملاحظة: بالنسبة للمواقع التي تم تكوينها باستخدام جدار حماية LAN أو قواعد التوجيه المحلي، فإن هذه القواعد لها الأولوية على إعداد حظر التوجيه المحلي عند الفصل عن PoP. لذلك، لا ينطبق هذا الإعداد على حركة المرور التي تتوافق مع القواعد.
لتكوين إعداد حظر التوجيه المحلي عند عدم الاتصال بـPoP، انظر أعلاه نظرة عامة على التكوين المتقدم للحساب مع هذه القيم:
-
معطل - الإعداد الافتراضي العالمي. يُسمح بتوجيه حركة المرور ضمن موقع مدعوم عند فصل الموقع عن PoP. هذا هو السلوك عند الفشل في الفتح.
-
مفعل وتشغيل - يتم حظر توجيه حركة المرور ضمن موقع مدعوم عند فصل الموقع عن PoP. هذا هو السلوك عند الفشل في الإغلاق.
-
مفعل وإيقاف - يُسمح بتوجيه حركة المرور ضمن موقع مدعوم عند فصل الموقع عن PoP. هذا هو السلوك عند الفشل في الفتح. الوظيفة هي نفسها كما في معطل.
يظهر الرسم التوضيحي التالي سلوك التوجيه المحلي:
التحقق من OID في شهادة الجهاز يعزز فحوصات شهادة الجهاز. عند التفعيل، يمكنك تحديد قائمة بأرقام OID لشهادة الجهاز التي يمكنها الاتصال بشبكتك. يمكن للأجهزة التي تقوم بالتصديق بشهادة تتوافق من OID محدد أن تتصل فقط. افصل بين عدة أرقام OID بفاصلة منقوطة، وبالتنسيق التالي:
-
cert_ext_obj(cert, "<extension_key>") == "<OID_value1>؛<OID_value2>"
يمكن العثور على مفتاح التمديد وقيم OID باستخدام أدوات شهادة certutil أو openssl x509.
هذه الميزة تكون معطلة بشكل افتراضي. قد لا يتمكن مستخدمو SDP من الاتصال بشبكتك إذا فعلت هذا الإعداد دون تكوين صحيح لشهادات جهازك.
إلغاء الشهادات حسب الرقم التسلسلي يعزز فحوصات شهادة الجهاز. عند التفعيل، يمكنك تحديد قائمة بأرقام الشهادات التسلسلية المحظورة. يتم حظر الأجهزة التي تقوم بالتصديق بشهادة تتوافق مع رقم تسلسلي محدد.
-
يجب أن يكون كل رقم تسلسلي في تنسيق مع محدد (1a:2b:3c:4d ...)
-
افصل بين أرقام التسلسل المتعددة بفاصلة
لا يوجد حد على عدد الأرقام التسلسلية التي يمكنك إلغاؤها
هذه الميزة تكون معطلة بشكل افتراضي. قد لا يتمكن مستخدمو SDP من الاتصال بشبكتك إذا فعلت هذا الإعداد دون تكوين صحيح لشهادات جهازك.
يمكن لوكيل TCP أن يمكنك تعديل وضع وكيل TCP الخاص بـ WAN لبدء على حزم SYN الأولى لكل اتصال أو تأخير وبدء وكيل TCP الخاص بـ WAN بعد إتمام شرح TCP. لمزيد من المعلومات حول وضع وكيل TCP، انظر شرح تسريع Cato TCP وأفضل الممارسات.
لتكوين إعداد تسريع TCP على SYN لحركة مرور WAN، انظر أعلاه نظرة عامة على التكوين المتقدم للحساب مع هذه القيم:
-
تشغيل - وكيل TCP الكامل لـ WAN.
-
إيقاف - الحفاظ على التفاوض الأصلي لـ TCP لـ WAN وتأخير وكيل TCP.
تتميز الاندفاعات الصغيرة بزيادة مفاجئة للحزم أو إطارات البيانات التي تحدث ضمن إطار زمني قصير جدًا.
عندما تتجاوز الانفجارات الصغيرة حدود معدل الموقع في وقت قصير، قد تحدث فقدان للحزم بسبب إسقاط الحزم الزائدة بواسطة مزود المسافة الأخيرة (ISP).
تسمح لك قيم الانفجار النزولي وقيم الانفجار الصعودي بضبط كيفية تعامل مواقعك مع الانفجارات الصغيرة عبر الشبكة عن طريق تعديل قيم مستوى الانفجار بالنسبة للاتجاهات النزولية أو الصعودية. قد يقلل تعديل قيم مستوى الانفجار من فقدان الحزم الناتج عن الانفجارات عن طريق تطبيق سياسة تشكيل أكثر شدة أو أكثر تسامحًا للاندفاعات الصغيرة. تعتمد القيمة الافتراضية للانفجار على عرض واجهة الاتصال:
-
بالنسبة لعرض واجهة الاتصال 40 Mbps وما فوق، تكون القيمة الافتراضية 0.2
-
بالنسبة لعرض واجهة الاتصال أقل من 40 Mbps، تكون القيمة الافتراضية 0.1
لمزيد من المعلومات حول الانفجارات وفقدان الحزم، راجع كيفية استكشاف فقدان الحزم في الموقع Socket.
ملاحظة
ملاحظات:
-
يجب أن تعمل جميع Sockets على الإصدار 12.0 وما فوق لدعم تكوين الانفجار.
-
يتم تطبيق القيمة الجديدة فقط بعد إعادة ضبط نفق الاتصال.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.