Este artículo explica cómo funciona la plataforma Cato Cloud en China, incluyendo el cumplimiento de las regulaciones y restricciones del gobierno chino.
Todo el tráfico de Internet en China es inspeccionado por el gobierno y redirigido a través de una puerta de enlace local. Cato sigue todas las regulaciones en China, y el servicio SASE de Cato está completamente disponible en China al igual que en otras regiones.
Nota
Nota: Desde China restringe ciertos sitios web de ser accedidos desde dentro de China, salir cierto tráfico para omitir el Gran Firewall de China hacia un PoP de Cato fuera de China infringe el MSA (Acuerdo de Servicios Maestro) de Cato. Consulte la sección 5.2 del MSA de Cato para preguntas sobre las restricciones en China.
Cato proporciona una experiencia de usuario óptima dentro de China a través de sus PoPs y permite a las empresas distribuidas globalmente con oficinas en China tener una conexión coherente y segura a través de la red troncal de Cato. Hay múltiples Ubicaciones de Cato en China, por ejemplo, Beijing, Shanghái, Shenzhen y Urumqi. Estos PoPs se comunican con el Cato Cloud a través de Hong Kong. Es decir, los PoPs chinos establecen un enmallado completo entre ellos dentro de China, y la comunicación con otros PoPs se realiza a través de Hong Kong y viceversa.
El gobierno chino restringe el acceso a algunos sitios y recursos fuera de China, lo que requiere que las empresas extranjeras se adapten a estas regulaciones.
Nota
Nota: El gobierno chino puede cambiar sus restricciones y prohibir el acceso a una aplicación o sitio web en cualquier momento. Si el tráfico está bloqueado, revise esta lista para ver si el destino no está disponible en China.
Limitaciones de servicios para Sitios o Usuarios Remotos ubicados en China
- El RPF no es soportado en China
- Acceso del navegador no está soportado en China
- RBI no es soportado en China. Para más información, consulte Configuración del Servicio RBI para Sesiones de Navegación
Los Sockets que están ubicados en China descargan el archivo de actualización de Sockets desde un Servidor en Ali Cloud, lo que mejora el tiempo de descarga del archivo, reduce la latencia y mejora la tasa de éxito de las actualizaciones de Sockets.
Dentro de China, los servicios DNS más comúnmente usados no están disponibles. Por lo tanto, Cato utiliza un mecanismo interno para determinar el mejor servidor DNS disponible y el servidor DNS de Cato, 10.254.254.1, actúa como un proxy.
Debería configurar sus interfaces WAN para usar los servidores DNS proporcionados por su ISP local, o los servidores DNS públicos disponibles en China, tales como 114.114.114.114 o 114.114.115.115.
Las direcciones web predefinidas para el monitoreo de última milla son servicios web de China como QQ.com, baidu.com y weibo.com (esto se puede configurar en Red > Probes de Monitoreo de Última Milla).
Por defecto, el tráfico de Internet en China sale del PoP de China al que estás conectado, a través de la puerta de enlace local y luego al destino. Es decir, si intentas acceder a sitios restringidos, el PoP de Cato permitiría que el tráfico pase, y luego sería bloqueado debido a las regulaciones locales, el Gran Cortafuegos de China.
Puerto UDP 1337 para Tráfico de Socket y Cliente DTLS en China
Cato recomienda como una mejor práctica, configurar el puerto UDP alternativo para cuentas con sitios Socket y usuarios Cliente en China. Los túneles DTLS usando el puerto UDP 443 pueden experimentar problemas de conectividad como pérdida de paquetes. Configurar el puerto UDP 1337 como el puerto DTLS preferido para el tráfico de Socket y Cliente para mejorar la conectividad. Para más información, vea Entendiendo el Networking de Cato en China.
Licencias
Al comprar una licencia para un sitio en China, los clientes deben determinar qué porcentaje de ese ancho de banda de licencia está asignado al tráfico regional y qué porcentaje está dedicado al tráfico global.
- El tráfico regional es cualquier tráfico enviado dentro de la región de China, por ejemplo, de un sitio en Shenzhen a un sitio en Beijing
- El tráfico global es cualquier tráfico enviado fuera de la región, por ejemplo, de un sitio en Shenzhen a un sitio en Europa.
Nota
Nota: El tráfico global es inherentemente más caro que el tráfico regional. Asegúrese de asignar ambos de acuerdo a sus necesidades.
Cuando configura un sitio en la Aplicación de Gestión de Cato, debe asignar una licencia a ese sitio. Los detalles del sitio muestran los detalles de la licencia que combina las licencias regionales y globales que ha comprado.
El valor que debe ingresar en Ancho de Banda de Última Milla para la configuración del sitio es el ancho de banda total regional y global para el sitio. Si, por ejemplo, compró 100 Mbps, 70% de esa regional y 30% global, entonces debe configurar 100 Mbps para un sitio ubicado en Shenzhen.
La QoS en Cato está controlada por dos aspectos:
- Gestión de Ancho de Banda
- Reglas de Red
Para más información, consulte Reglas de Red y QoS.
Dado que el mecanismo de Gestión de Ancho de Banda no está al tanto de ninguna limitación de licencia, cuando crea sus perfiles, debe tener en cuenta lo que permite su licencia.
Por ejemplo, si compró un total de 100 Mbps de ancho de banda, con 70% regional y 30% global, al crear sus perfiles de gestión de ancho de banda, establezca límites que se alineen con esos valores. Como buena práctica, use porcentajes y no límites estrictos de valores en Mbps para evitar asignar más de lo que se le permite usar.
Su empresa tiene sitios en Shenzhen, Shanghai, Beijing y Europa. Desea asegurarse de que cuando tengan reuniones de videoconferencia (VC), puedan comunicarse sin ningún problema.
Puede crear el siguiente perfil para asignar al menos el 15% de sus recursos al tráfico P15.
Puede luego crear una Regla de Red que use el perfil P15 para el tráfico VC. Cuando el tráfico es entre las oficinas dentro de China, por ejemplo, Shanghai y Beijing, el 15% del ancho de banda asignado se basará en su licencia regional. Si Shenzhen está en VC con el sitio de Europa, será el 15% de la licencia global. Sin embargo, dado que utilizó porcentajes y no límites estrictos en Mbps, no corre el riesgo de superar su asignación de licencia.
Con base en el escenario descrito anteriormente, también puede crear dos perfiles diferentes, uno para VC regional y otro para VC global, que utilicen límites estrictos de ancho de banda. Para videoconferencias regionales, tiene un perfil que asigna 10 Mbps. Y para videoconferencias globales, un perfil que asigna 5 Mbps.
En tus Reglas de Red, crea luego dos reglas separadas para implementar cada uno de los perfiles dependiendo del destino del tráfico VC.
0 comentarios
Inicie sesión para dejar un comentario.