Enrutamiento de tráfico a un enlace fuera de la nube

Resumen del transporte fuera de la nube

El tráfico que se envía a través del Cato Cloud se beneficia de las mejoras de red y seguridad de Cato. Sin embargo, hay escenarios específicos donde las empresas pueden necesitar usar la conectividad VPN directa de Socket a Socket a través de Internet. La función de transporte fuera de la nube te permite configurar los Sockets para enviar tráfico fuera de la nube a través de Internet en lugar de a través del Cato Cloud. Por ejemplo, cuando hay copias de seguridad regulares entre diferentes sitios en la misma región, puedes designar estas copias como transporte fuera de la nube.

Los Sockets crean una topología de malla completa entre ellos para el tráfico fuera de la nube. El tráfico está cifrado y se envía a través de Internet usando túneles DTLS.

Para Sockets con múltiples enlaces, puedes habilitar o deshabilitar cada enlace para enviar tráfico fuera de la nube. Fuera de la Nube se puede configurar en estas implementaciones:

  • Activo/Activo - el tráfico fuera de la nube está equilibrado y distribuido entre los enlaces activos de una manera ponderada según el ancho de banda disponible para cada enlace

  • Activo/Pasivo - el enlace pasivo proporciona redundancia en caso de que el enlace activo se caiga o si la calidad del enlace disminuye significativamente

Limitaciones conocidas

  • El tráfico fuera de la nube no es inspeccionado por los motores de protección contra amenazas de Cato.

  • No puedes enrutar el modo pasivo FTP con tráfico fuera de la nube, solo puedes enrutarlo a través del Cato Cloud.

  • No se pueden establecer túneles fuera de la nube (de sitio a sitio) entre sitios que están conectados al mismo enrutador ISP. Cada sitio necesita tener una dirección IP pública única.

  • Alt-WAN no es compatible para fuera de la nube como un transporte secundario. No puedes configurar una regla de red con Alt-WAN como el transporte principal que falle hacia fuera de la nube.

Trabajando con Tráfico Fuera de la Nube

Los Sockets de Cato soportan dos tipos de tráfico fuera de la nube, transporte y recuperación WAN. La recuperación WAN proporciona resiliencia si hay problemas de conectividad en el Cato Cloud, y utiliza automáticamente túneles VPN de derivación para mantener la conectividad con los otros sitios de Socket. Cuando configuras un enlace para enviar tráfico fuera de la nube, ese enlace está habilitado para enviar tanto tráfico de transporte como de recuperación. No puedes designar un enlace para el transporte fuera de la nube y otro enlace para la recuperación en un Socket.

Nota

Notas:

  • El transporte fuera de la nube está oficialmente soportado solo para reglas de red simples. Si configuras una regla compleja usando fuera de la nube como transporte, el tráfico aún se envía al PoP para su análisis. Una regla de red compleja es una regla de red que el propio Socket no puede evaluar. Por lo tanto, el Socket necesita enviar el tráfico al PoP para elegir la regla de red correcta que a su vez habilita el Proxy TCP. Una regla compleja puede contener aplicaciones, categorías de aplicaciones, servicios, aplicaciones personalizadas u objetos de dominio/FQDN.

    A veces, este tráfico activará el modo de aceleración TCP, en cuyo caso el tráfico se enviará a través del PoP y no fuera de la nube, como se pretendía. En otras instancias, incluso cuando el tráfico se envía fuera de la nube, puede parecer que pasa por el PoP debido al análisis mencionado anteriormente.

  • Cato recomienda que configures todas las reglas simples fuera de la nube en la parte superior de la base de reglas de red.

Para más información sobre la recuperación WAN, ve a Trabajando con la Configuración Avanzada de la Cuenta.

Configuración del Transporte Fuera de la Nube

Esta sección explica cómo configurar sitios y reglas de red para el transporte fuera de la nube.

Habilitar los Sitios para el Transporte Fuera de la Nube

Habilita el transporte fuera de la nube en cada sitio que envíe y reciba tráfico fuera de la nube. Para implementaciones de Socket con múltiples enlaces, configura los enlaces para soportar tráfico fuera de la nube.

Por defecto, el transporte fuera de la nube está habilitado para los enlaces WAN en los sitios Socket. Sin embargo, cuando defines la Precedencia WAN para un enlace como 3 (Última Opción), entonces el transporte fuera de la nube está automáticamente deshabilitado para ese enlace.

Fuera de la Nube.png

El ejemplo anterior muestra un sitio con los enlaces WAN1 y WAN2 configurados para enviar tráfico fuera de la nube. También puedes elegir configurar un sitio donde uno de los enlaces WAN solo envía tráfico a través del Cato Cloud.

Para más información sobre sitios con múltiples enlaces, ve a continuación Configurando un Sitio para Fuera de la Nube con Múltiples Enlaces.

Configurando la IP Pública y el Puerto Estático

En general, la configuración de IP Pública y Puerto Estático para enlaces que envían tráfico fuera de la nube es configurada automáticamente por el Socket, y no se configura en la Aplicación de Gestión Cato. El Socket elige un puerto fuente aleatorio y usa la dirección IP pública del enrutador de Internet para iniciar la conexión.

También puedes usar la Aplicación de Gestión Cato para configurar manualmente una dirección IP pública estática y un número de puerto para cada enlace que envía tráfico fuera de la nube. Al hacerlo, asegúrate de que el enrutador de Internet del sitio tenga asignada una dirección IP pública fija y configurado con una regla de reenvío de puertos coincidente. De lo contrario, no configures manualmente la configuración de IP Pública y Puerto Estático.

Sin embargo, en algunas situaciones, necesitas configurar estos ajustes. Por ejemplo, cuando estés usando reglas de reenvío de puertos como una solución a problemas relacionados con NAT con el enrutador local.

Para habilitar el transporte fuera de la nube para un sitio:

  1. Desde el menú de navegación, selecciona Red > Sitios, y selecciona el sitio.

  2. Desde el menú de navegación, selecciona Configuración del Sitio > Socket.

  3. Configura el enlace activo que se habilitará para tráfico fuera de la nube:

    1. Haz clic en el enlace.

      Se abre el panel Editar Interface del Socket.

    2. Expande la sección Fuera de la Nube.

    3. En el menú desplegable Estado del Tráfico, selecciona Habilitado.

    4. (Opcional) Introduce el número de IP Pública y Puerto Estático para el enlace fuera de la nube.

  4. Haz clic en Aplicar.

  5. Repite los pasos anteriores para cada sitio que envíe y reciba tráfico fuera de la nube.

Configurando Reglas de Red para el Transporte Fuera de la Nube

Crea una regla de red que defina el tipo de tráfico WAN que se envía usando el transporte fuera de la nube. Luego configura esta regla para enrutar el tráfico sobre el transporte fuera de la nube.

No puedes configurar las opciones de rol de interfaz para el transporte fuera de la nube. Además, deshabilita la aceleración TCP para reglas de red que usan fuera de la nube como el transporte principal.

Para más información sobre las reglas de red, ve a Configurando Reglas de Red.

Para configurar una regla de red para el transporte fuera de la nube:

  1. Desde el menú de navegación, haz clic en Red > Reglas de Red.

  2. Haz clic en Nuevo. Se abre el panel Agregar Regla de Red.

  3. Crea una nueva regla de red WAN:

    1. En la sección General, introduce el Nombre de la regla.

    2. En el menú desplegable Tipo de Regla, selecciona WAN.

    3. Configura el Orden de la Regla que define dónde aparece la regla en la base de reglas de red.

  4. Expande la sección Fuente y selecciona uno o más objetos para la fuente de tráfico para esta regla (o puedes introducir una dirección IP).

  5. Expande la sección Destino e introduce una cadena o selecciona uno o más objetos para el destino del tráfico para esta regla.

  6. Expande la sección Aplicación/Categoría y selecciona una o más aplicaciones para la regla.

  7. Configura la configuración de transporte para la regla de red:

    1. Expande la sección Configuración.

      Fuera de la Nube_Routing.png

    2. Asegúrate de que Aceleración TCP Activo está deshabilitado.

    3. En Transporte Primario, configura Fuera de la Nube como el Transporte principal.

    4. En Transporte Secundario, configura el Transporte secundario:

      • Automático - El Socket elige automáticamente la opción de transporte secundaria

      • Ninguno - Solo envía tráfico a través del transporte primario (los transportes fuera de la nube)

      • Cato - El Socket utiliza el Cato Cloud como la opción de transporte secundaria

  8. Haz clic en Aplicar.

Trabajando con Múltiples Enlaces para el Tráfico Fuera de la Nube

Para Sockets con múltiples enlaces, puedes configurar implementaciones activas/activas y activas/pasivas para el tráfico fuera de la nube. Si eliges habilitar solo un enlace para tráfico fuera de la nube, si ese enlace no puede enviar tráfico, las conexiones fuera de la nube siguen la configuración Transporte > Enrutamiento de la regla de red.

Para un conocimiento técnico detallado sobre Sockets con múltiples enlaces, ve a Parte 1: Las Interfaces Socket y la Precedencia.

Tráfico Fuera de la Nube e Implementaciones Activas/Pasivas

En implementaciones activas/pasivas, los enlaces del Socket se establecen en diferentes precedencias y proporcionan alta disponibilidad para el sitio. Cada pocos segundos, el Socket evalúa la calidad del enlace activo; si el estado del enlace activo se degrada, entonces el Socket gradualmente mueve el tráfico al enlace pasivo. Cuando la calidad del enlace se restablece, el Socket reanuda el envío de tráfico a través del enlace activo. De manera similar, si el enlace activo se cae, los flujos de tráfico se transfieren al enlace pasivo hasta que el enlace activo se restaura. Estos son los mínimos métricos de calidad del enlace:

  • Pérdida de paquetes - 3%

  • Variación de retardo - 30 ms

  • Latencia - 600 ms

Si un enlace no puede cumplir una de las métricas anteriores, entonces el tráfico se mueve gradualmente al otro enlace. Cada 10 segundos el Socket evalúa los enlaces y elige el mejor enlace para el tráfico. Entonces, si el Socket cambia al enlace pasivo, espera al menos 10 segundos antes de volver al enlace activo.

En algunas situaciones, cambiar al enlace pasivo puede crear tráfico asimétrico entre dos sitios. Por ejemplo, el sitio1 y el sitio2 están configurados para implementaciones activas/pasivas. Si el sitio1 cambia al enlace pasivo, el sitio1 envía tráfico a través de WAN2 y el sitio2 envía tráfico a través de WAN1. Otra situación es cuando un sitio está configurado en una implementación activa/activa y el otro lado es activa/pasiva. El enlace activo único en un sitio envía tráfico a ambos enlaces activos en el otro sitio.

Tráfico Fuera de la Nube e Implementaciones Activas/Activas

En implementaciones activas/activas, ambos enlaces del Socket están configurados con la misma precedencia y proporcionan alta disponibilidad y equilibrio de carga para el sitio. Para cada flujo de tráfico, el Socket monitorea continuamente cada enlace y elige la mejor opción.

Configurando un Sitio para Fuera de la Nube con Múltiples Enlaces

Define la configuración del Socket para configurar los enlaces y enviar tráfico fuera de la nube como una implementación activa/activa o activa/pasiva.

Para configurar un sitio para tráfico fuera de la nube en modo activo/activo o activo/pasivo:

  1. Desde el menú de navegación, selecciona Network > Sites, y selecciona el sitio.

  2. Desde el menú de navegación, selecciona Site Configuration > Socket.

  3. Habilita el tráfico Off Cloud para este sitio.

    El control deslizante está gris cuando esta opción está deshabilitada.

  4. Configura la configuración para el enlace WAN 1:

    1. Haz clic en el enlace.

      Se abre el panel Edit Socket Interface.

    2. En la sección General, establece la Precedence a 1 (Active).

    3. Expande la sección Off-Cloud.

    4. En el menú desplegable Traffic Status, selecciona Enabled.

    5. (Optional) Ingresa la Public IP y el número de Static Port para el enlace off-cloud.

    6. Haz clic en Apply. La configuración off-cloud para el enlace WAN1 está actualizada.

  5. Repite el paso 4 y configura la configuración para el enlace WAN 2:

    • Para activo/pasivo, establece la Precedence a 2 (Passive).

    • Para activo/activo, establece la Precedence a 1 (Active).

  6. Haz clic en Guardar. La configuración off-cloud para el sitio está configurada.

Analíticas Off-Cloud

Puedes mostrar analíticas y estado para el tráfico y los túneles off-cloud en la pantalla Off-Cloud.

Para mostrar las analíticas off-cloud para un sitio:

  1. Desde el menú de navegación, haz clic en Network > Sites y selecciona el sitio.

  2. Desde el menú de navegación, haz clic en Site Monitoring > Off-Cloud.

Eventos de transporte Off-Cloud

La pantalla Eventos muestra todos los eventos de transporte fuera de la nube para tu cuenta. Las herramientas de búsqueda te permiten encontrar e identificar los eventos que contienen los datos relevantes que necesitas.

Puedes aprender más sobre el uso de la pantalla de Eventos aquí. Puedes usar el ajuste preestablecido de SaaS Security API Data Protection para filtrar los eventos.

Subtipo de evento

Descripción

Conexión de transporte Off-Cloud

El sitio se conecta al túnel off-cloud (generalmente la conexión inicial)

Desconexión de transporte Off-Cloud

El transporte off-cloud para el sitio se desconecta

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios