Este artículo explica cómo personalizar una función de Configuración Avanzada para toda la cuenta.
Las opciones en la página de Configuración Avanzada te dan un control granular aumentado sobre diferentes configuraciones en tu cuenta. La pantalla también muestra el valor por defecto para cada una de las configuraciones deshabilitadas.
Cuando deshabilitas una configuración avanzada, vuelve al valor por defecto. Sin embargo, el valor personalizado se guarda y si habilitas la configuración más tarde, se puede usar el valor personalizado.
Para configurar funciones de configuración avanzada para una cuenta:
-
Desde el menú de navegación, haz clic en Recursos > Configuración Avanzada.
-
En la columna de Estado, utiliza el interruptor para habilitar o deshabilitar el estado de cada configuración (verde está habilitado, gris está deshabilitado).
-
Para configurar o editar el valor de una configuración, haz clic en el nombre de la configuración en la columna de Nombre.
Se abre el panel Editar <Nombre de Configuración>.
-
En el panel de Editar, puedes:
-
Ingresa o selecciona un Valor
-
Ingresa o edita un Comentario para explicar la razón de esta configuración avanzada (Recomendado)
-
-
Haz clic en Aplicar. El cambio para la configuración avanzada se agrega a la pantalla.
-
Haz clic en Guardar. Se guardan las configuraciones de configuración.
Cuando configuras la función avanzada para un sitio o un usuario SDP, anula la configuración para la cuenta en la página de Configuración Avanzada. La tabla a continuación muestra cada función avanzada y si se aplica a un sitio o a un usuario SDP.
Nombre de la función |
Se aplica a |
---|---|
Bloquear Enrutamiento Local cuando está Desconectado del PoP |
|
Valor de Burstiness Downstream |
Sitios (solo para Sockets) |
Valor de Burstiness Upstream |
Sitios (solo para Sockets) |
IKEv2 Enviar un único TS por Carga |
Sitios (solo IPsec IKEv2) |
IP Preferida para Tráfico SIP |
Sitios |
Recuperación a través de Internet |
Sitios (solo para Sockets) |
Revocar Certificados por Número de Serie |
Todos los usuarios SDP |
SIP ALG |
Sitios |
Aceleración TCP en SYN para tráfico WAN |
Sitios y Usuarios SDP |
Algoritmo de Congestión TCP |
Solo Global |
Verificar OID en Certificado de Dispositivo |
Todos los usuarios SDP |
Modo Oficina VPN |
Todos los usuarios SDP |
Frecuencia de Keep-alive WAN |
Sitios (solo para Sockets) |
Recuperación WAN |
Sitios (solo para Sockets) |
Puedes configurar las siguientes configuraciones solo para sitios individuales (no como una configuración global para la cuenta):
-
Socket a PoP Max MTU (solo aplica a Sockets físicos)
Para obtener más información sobre la Configuración Avanzada para sitios, consulte Configuraciones avanzadas para un sitio.
Cuando un usuario SDP está trabajando en una oficina que está detrás de un Socket de Cato, el Cliente de Cato se conecta automáticamente a ese sitio. Este comportamiento se llama modo oficina VPN y está habilitado por defecto para todas las cuentas. Sin el modo oficina, cuando el Cliente de Cato se conecta al VPN detrás de un Socket de Cato, el Cliente se conecta con un túnel VPN-dentro-de-túnel que a menudo tiene un impacto negativo en el rendimiento.
Con el modo oficina, el Cliente de Cato se conecta a la Nube de Cato usando el túnel de Socket y es tratado como un host regular para ese sitio. El Cliente recibe las configuraciones de red y de seguridad del sitio y previene el uso de un túnel VPN-dentro-de-túnel.
A veces, el modo oficina puede impedir que alguien que está visitando una oficina filial se conecte a recursos en una oficina diferente, como la sede corporativa. Puedes elegir habilitar a los usuarios SDP para configurar el comportamiento del Cliente de Cato para el modo oficina.
Para obtener más información sobre cómo habilitar a los usuarios SDP para configurar el modo oficina para sus clientes, consulte Configuración del modo oficina.
Para mejorar la resiliencia de tu red, la función de Recuperación WAN proporciona soporte si hay problemas de conectividad en la Nube de Cato y los Sockets de Cato no pueden usarlo para enviar tráfico WAN a otros sitios. Esta función utiliza automáticamente túneles de bypass para mantener la conectividad con otros sitios de Socket. Cuando los Sockets restablecen la conectividad a la Nube de Cato, automáticamente reanudan la operación regular.
Nota
Nota: El tráfico de Off-Cloud debe estar habilitado en los enlaces WAN de Socket para soportar la recuperación de WAN.
Durante la recuperación de red, el tráfico WAN evita la Nube de Cato y estos son los cambios al tráfico:
-
La Aplicación de Gestión de Cato no analiza datos para conectividad y no genera alertas para la salud o calidad de la red
-
Los firewalls WAN e Internet no se aplican al tráfico
-
Los servicios de Protección de Amenazas no se aplican al tráfico
Para configurar la configuración de Recuperación WAN, consulta arriba Configuración de Funciones Avanzadas para la Cuenta con estos valores:
-
Deshabilitado - Configuración global por defecto. Los Sockets establecen túneles con otros sitios de Socket y utilizan mensajes de keep-alive para mantener los túneles. La Recuperación está habilitada por defecto para todos los sitios de Socket en la cuenta.
-
Habilitado y Encendido - La cuenta está configurada para proporcionar recuperación para el tráfico WAN a otros sitios. La funcionalidad es la misma que Deshabilitado.
-
Habilitado y Apagado - La recuperación NO está habilitada para esta cuenta, y los túneles de bypass NO son admitidos o mantenidos.
Nota
Nota: Los Eventos generados por la función de Recuperación WAN se describen como Recuperación fuera de la nube.
Para obtener más información sobre cómo configurar la configuración global de recuperación de WAN para sitios específicos, consulte Configuraciones avanzadas para un sitio.
Para mejorar la resiliencia del tráfico de Internet, la función de Recuperación a través de Internet proporciona soporte si hay problemas para conectarse a la Nube de Cato y el Socket de Cato no puede usarlo para tráfico a Internet. Cuando está habilitado, esta función recupera automáticamente la conectividad a Internet con los enlaces ISP para enviar tráfico a Internet.
Durante la recuperación temporal de Internet, el tráfico de Internet evita la Nube de Cato y estos son los cambios al tráfico:
-
Las reglas de los firewalls de Internet no se aplican al tráfico
-
Los servicios de Protección de Amenazas no se aplican al tráfico
-
La Aplicación de Gestión de Cato no analiza los datos para la conectividad y no genera alertas para el tráfico de Internet
Para configurar la opción de Recuperación de Internet, consulte la sección anterior, Configuración de características avanzadas de la cuenta con estos valores:
-
Deshabilitado - Configuración global por defecto. La Recuperación está habilitada por defecto para todos los sitios de Socket en la cuenta. Recomendamos que uses esta configuración.
-
Habilitado y Encendido - La cuenta está configurada para proporcionar recuperación para todo el tráfico a Internet. La funcionalidad es la misma que Deshabilitado.
-
Habilitado y Apagado - La función de Recuperación a través de Internet está DESHABILITADA para esta cuenta.
Nota
IMPORTANTE! Recomendamos que siempre habilites la función Recuperación a través de Internet y selecciones la opción Encendido o Apagado para gestionar la recuperación para el tráfico de Internet. Cuando esta función está deshabilitada, si el Socket no puede conectarse al Cato Cloud, entonces no redirige el tráfico a Internet.
Para obtener más información sobre cómo configurar la opción global de Recuperación de Internet para un sitio específico, consulte Configuraciones avanzadas para un sitio.
Si trabajas con un UCaaS y tienes una regla de red de salida para tráfico VoIP o SIP, a veces el UCaaS (como RingCentral) tiene problemas si cambia la dirección IP. Cuando la función de IP Preferida para Tráfico SIP está habilitada, el tráfico VoIP y SIP siempre utiliza la misma dirección IP de salida.
Nota
Nota: Debes tener una regla de red de salida para tráfico VoIP o SIP para usar esta función.
Al crear un SA secundario, Cato envía múltiples selectores de tráfico (TS) en la misma carga de TS de acuerdo con RFC 7295. Algunas soluciones de terceros, como los Cisco ASAs, solo admiten un único TS en cada SA secundario. Un Cisco ASA enviará un mensaje TS_NO-ACEPTADO en respuesta a una propuesta de Cato para crear un SA secundario con múltiples TS.
Cuando IKEv2 Enviar Un Único TS por Carga está habilitado y configurado en Encendido, solo se envía un único TS en cada SA secundario. Está deshabilitado por defecto.
Por defecto, el tráfico dentro de un sitio (por ejemplo, entre VLANs) se enruta a través de Cato PoP, que inspecciona el tráfico. El tráfico fluye desde la VLAN hasta el PoP en la nube de Cato y luego a la otra VLAN.
Si un sitio está temporalmente desconectado de la nube de Cato, el comportamiento predeterminado es de fallo abierto. El tráfico fluye desde la VLAN directamente a la otra VLAN sin ser inspeccionado. Puedes cambiar el comportamiento predeterminado a nivel global de la cuenta a fallo cerrado, para que por defecto todos los sitios de Socket bloqueen el tráfico de enrutamiento local cuando se desconectan del PoP. Requiere Socket v15.0 o superior.
Nota
Nota: Para los sitios que están configurados con reglas de LAN Firewall o Enrutamiento Local, estas reglas tienen precedencia sobre la configuración de Bloquear Enrutamiento Local cuando están desconectados del PoP. Por lo tanto, esta configuración NO se aplica al tráfico que coincide con las reglas.
Para configurar la opción de Bloquear enrutamiento local cuando se desconecta de PoP, consulte la sección anterior Descripción general de la configuración avanzada de la cuenta con estos valores:
-
Deshabilitado - Configuración global predeterminada. El enrutamiento del tráfico dentro de un sitio compatible está permitido cuando el sitio está desconectado del PoP. Este es un comportamiento de fallo abierto.
-
Habilitado y En - El enrutamiento del tráfico dentro de un sitio compatible está bloqueado cuando el sitio está desconectado del PoP. Este es un comportamiento de fallo cerrado.
-
Habilitado y Apagado - El enrutamiento del tráfico dentro de un sitio compatible está permitido cuando el sitio está desconectado del PoP. Este es un comportamiento de fallo abierto. La funcionalidad es la misma que Deshabilitado.
El siguiente diagrama muestra el comportamiento del enrutamiento local:
Verificar OID en certificados de dispositivo mejora las comprobaciones de certificados de dispositivo. Cuando está habilitado, puedes definir una lista de OIDs de certificados de dispositivo que pueden conectarse a tu red. Solo los dispositivos que se autentican con un certificado que coincide con un OID definido pueden conectarse. Separa múltiples OIDs con un punto y coma, y en el siguiente formato:
-
cert_ext_obj(cert, "<extension_key>") == "<OID_value1>;<OID_value2>"
La clave de extensión y los valores OID se pueden encontrar usando las herramientas de certificados certutil o openssl x509.
Esta característica está deshabilitada por defecto. Los usuarios de SDP pueden no poder conectarse a tu red si activas esta configuración sin configurar correctamente los certificados de tu dispositivo.
Revocar Certificados por Número de Serie mejora las comprobaciones de certificados de dispositivo. Cuando está habilitado, puedes definir una lista de números de serie de certificados bloqueados. Los dispositivos que se autentican con un certificado que coincide con un número de serie definido son bloqueados.
-
Cada número de serie debe estar en un formato con un delimitador (1a:2b:3c:4d ...)
-
Separa múltiples números de serie con una coma
No hay límite para la cantidad de números de serie que puedes revocar
Esta característica está deshabilitada por defecto. Los usuarios de SDP pueden no poder conectarse a tu red si activas esta configuración sin configurar correctamente los certificados de tu dispositivo.
TCP Proxy te permite modificar tu modo de proxy TCP de WAN para iniciar en los primeros paquetes SYN para cada conexión O para retrasar e iniciar el proxy TCP de WAN después de que se haya completado el handshake TCP. Para obtener más información sobre el modo proxy TCP, consulte Explicación de la aceleración TCP de Cato y mejores prácticas.
Para configurar la opción de Aceleración TCP en SYN para tráfico WAN, consulte la sección anterior Descripción general de la configuración avanzada de la cuenta con estos valores:
-
Activado - Proxy TCP de WAN completo.
-
Desactivado - Conserva la negociación original de TCP de WAN y retrasa el proxy TCP.
Las micro explosiones se caracterizan por un aumento repentino de paquetes o tramas de datos que ocurren dentro de un período de tiempo muy corto.
Cuando las micro explosiones exceden el límite de velocidad de un sitio en un corto tiempo, puede ocurrir una pérdida de paquetes debido a caídas excesivas de paquetes por parte del proveedor de última milla (ISP).
Valor de explosividad saliente y Valor de explosividad entrante te permiten ajustar cómo manejan tus sitios las micro explosiones a través de la red modificando los valores del nivel de explosividad según las direcciones saliente o entrante. La modificación de los valores del nivel de explosividad puede mitigar la pérdida de paquetes causada por la explosividad aplicando una política de modelado más agresiva o más permisiva para micro explosiones. El valor predeterminado de explosividad depende del ancho de banda de la interfaz:
-
Para el ancho de banda de la interfaz de 40 Mbps y superior, el valor predeterminado es 0,2
-
Para el ancho de banda de la interfaz por debajo de 40 Mbps, el valor predeterminado es 0,1
Para más sobre explosividad y pérdida de paquetes, consulta Cómo solucionar la pérdida de paquetes en el sitio de Socket.
Nota
Notas:
-
Todos los Sockets deben ejecutarse en la versión 12,0 y superior para admitir la configuración de explosividad.
-
El nuevo valor se aplica solo después del reinicio del túnel.
0 comentarios
Inicie sesión para dejar un comentario.