Configuraciones avanzadas para un Site

Este artículo explica cómo personalizar una configuración avanzada para un Site específico.

Usando configuraciones avanzadas para un Sitio

La sección de configuración avanzada para un Site te permite configurar funciones y opciones avanzadas para ese Site. Las funciones disponibles en la sección dependen del Connection Type para el Site. Para más información sobre el uso de funciones avanzadas, consulta el artículo Trabajando con la configuración avanzada para la cuenta.

Cuando una configuración avanzada está desactivada, estás configurándola para usar la configuración global.

Para configurar una característica avanzada para un Sitio:

  1. Desde el menú de navegación, haz clic en Red > Sitios y selecciona el sitio.
  2. Desde el menú de navegación, haz clic en Configuración avanzada.
  3. En la columna Estado, utiliza el interruptor para habilitar o deshabilitar el estado de cada configuración (verde está habilitado, gris está deshabilitado).

  4. Para configurar o editar el valor de una configuración, haz clic en el nombre de la configuración en la columna Name.

    Se abre el panel Edit <Setting Name>.

  5. En el panel Edit, puedes:

    • Ingresa o selecciona un Valor
    • Ingresa o edita un Comentario para explicar la razón de esta configuración avanzada (Recomendado)
  6. Haz clic en Aplicar. El cambio para la configuración avanzada se agrega a la pantalla.
  7. Haz clic en Guardar. Las configuraciones de configuración se guardan.

Trabajando con configuraciones de Cuenta y Sitio

Hay algunas funciones en la sección de configuración avanzada que puedes configurar ya sea para un Site específico o una configuración para todos los Sites en tu cuenta. Cuando configuras la función avanzada para un Site, anula la configuración de la cuenta (en Assets > Advanced Configuration). Algunas funciones solo son compatibles con los Sites de Socket. Por ejemplo, la función alfa solo es compatible con Sockets. Si configuraste la función alfa para toda la cuenta, solo es relevante para los Sites de Socket.

Configurando recuperación WAN para un Sitio

Para mejorar la resiliencia de tu Network, la función de recuperación WAN proporciona soporte si hay problemas de conectividad en el Cato Cloud, y los Sockets no pueden usarlo para enviar el tráfico WAN a los otros Sites. Esta función usa automáticamente túneles de bypass para mantener la conectividad con los otros Sites de Socket. Cuando los Sockets restablecen la conectividad con el Cato Cloud, vuelven automáticamente a la operación regular.

Nota

Nota: El tráfico Off-Cloud debe estar habilitado en los enlaces WAN de Socket para soportar la recuperación WAN.

Durante la recuperación temporal de WAN, el tráfico WAN evita el Cato Cloud y estos son los cambios en el tráfico:

  • La aplicación de gestión de Cato no analiza datos para conectividad y no genera alertas para la salud o calidad de la red
  • La pila de seguridad Cato (firewall y servicios de seguridad) no se aplica al tráfico

Para configurar el ajuste WAN Recovery, consulta el apartado Usar configuraciones avanzadas para un Site con estos valores:

  • Desactivado - Este sitio utiliza la configuración que está configurada para la cuenta.
  • Activado y Encendido - Este sitio está configurado para proporcionar recuperación de tráfico WAN a otros sitios. La funcionalidad es la misma que Desactivado.
  • Activado y Apagado - La recuperación NO está habilitada para este sitio, y los túneles de bypass NO están soportados ni mantenidos.

Para más información sobre la configuración global de recuperación WAN para todos los Sites, consulta el artículo Trabajando con la configuración avanzada para la cuenta.

Configurando recuperación vía Internet para un Sitio

Para mejorar la resiliencia del tráfico de Internet, la función Recovery via Internet proporciona soporte si hay problemas al conectar con el Cato Cloud, y el Socket de Cato no puede usarlo para traficar a Internet. Cuando se habilita, esta función automáticamente recupera la conectividad a Internet con los enlaces ISP para enviar tráfico a Internet.

Durante la recuperación temporal de Internet, el tráfico evita el Cato Cloud y estos son los cambios en el tráfico:

  • Los cortafuegos de Internet y las reglas de filtrado de URL no se aplican al tráfico
  • Los servicios de Protección contra Amenazas no se aplican al tráfico
  • La aplicación de gestión de Cato no analiza datos de conectividad y no genera alertas para el tráfico de Internet

Para configurar el ajuste Internet Recovery, consulta el apartado Usar configuraciones avanzadas para un Site con estos valores:

  • Desactivado - Este sitio utiliza la configuración que está configurada para la cuenta.
  • Activado y Encendido - Este sitio está configurado para proporcionar recuperación de todo el tráfico hacia Internet. La funcionalidad es la misma que Desactivado.
  • Activado y Apagado - La característica Recuperación vía Internet está DESACTIVADA para este sitio.

Nota

¡IMPORTANTE! Recomendamos que siempre habilites la función Recovery via Internet y selecciones la opción On o Off para gestionar la recuperación para el tráfico de Internet. Cuando esta función está desactivada, pueden surgir problemas con configuraciones hechas usando Socket Web UI.

Configurando el MTU para los túneles DTLS hacia la nube de Cato

Puedes configurar el MTU máximo para los túneles DTLS entre el Socket y el PoP en el Cato Cloud. Para el tráfico dentro de estos túneles DTLS, este valor anula el MTU que está configurado en el Socket WebUI. Esta configuración solo es relevante para Sockets físicos y no se aplica a vSockets.

Usa el campo Socket to PoP max MTU para configurar el MTU para los túneles DTLS, consulta el apartado Usar configuraciones avanzadas para un Site.

Bloqueando enrutamiento local cuando un Sitio está desconectado del PoP

Por defecto, el tráfico dentro del Site (por ejemplo, entre VLANs) es dirigido a través del PoP de Cato, que inspecciona el tráfico. El tráfico fluye desde la VLAN al PoP en el Cato Cloud y luego a la otra VLAN.

Si un Site se desconecta temporalmente del Cato Cloud, el comportamiento por defecto es fail-open. El tráfico fluye desde la VLAN directamente a la otra VLAN sin ser inspeccionado. Puedes personalizar este comportamiento para un Site específico, de modo que el comportamiento sea diferente al ajuste de defecto global para la cuenta. Requiere Socket v15.0 o superior.

También puedes optar por establecer el comportamiento a nivel de cuenta global a fail-closed, de modo que por defecto todos los Sites Socket bloqueen el tráfico de enrutamiento local cuando se desconecten del PoP.

Nota

Nota: Para los Sites configurados con reglas de LAN Firewall o Local Routing, estas reglas tienen prioridad sobre la configuración Bloqueo de enrutamiento local cuando desconectado del PoP. Por lo tanto, esta configuración NO se aplica al tráfico que coincide con estas reglas.

Para configurar la configuración Bloqueo de enrutamiento local cuando desconectado del PoP, consulta el apartado Usar configuraciones avanzadas para un Site con estos valores:

  • Desactivado - Este sitio utiliza la configuración que está configurada para la cuenta.
  • Activado y Encendido - El enrutamiento de tráfico dentro de este sitio está bloqueado cuando este sitio está desconectado del PoP. Este es el comportamiento cerrado por error.
  • Activado y Apagado - El enrutamiento de tráfico dentro de este sitio está permitido cuando este sitio está desconectado del PoP. Este es el comportamiento abierto por error.

El siguiente diagrama muestra el comportamiento del enrutamiento local:

Bloqueo_Enrutamiento_Local.png

Modificando el modo de Proxy TCP WAN

TCP Proxy te permite modificar tu modo proxy TCP WAN para empezar en los primeros paquetes SYN de cada conexión O retrasar e iniciar el proxy TCP WAN después de completar el handshake TCP. Puedes leer más sobre los dos modos de proxy TCP en el artículo Explicando la aceleración de TCP de Cato y mejores prácticas.

Para cambiar el modo proxy TCP WAN:

  1. En la página de Configuración avanzada, haz clic en la configuración de Proxy TCP. El panel de Editar configuración se abre.
  2. Habilita la configuración y selecciona el valor del modo:
    1. Activado - Proxy TCP WAN completo.
    2. Apagado - Preservando la negociación TCP WAN original y retrasando el proxy TCP.

Modificando el valor de Burstiness

Micro-explosiones se caracterizan por un repentino aumento de paquetes o tramas de datos que ocurren en un muy corto periodo de tiempo.

Cuando las micro-explosiones superan el límite de tasa de un Site en un corto tiempo, puede ocurrir pérdida de paquetes debido a caídas excesivas de paquetes por parte del Último Proveedor de Milla (ISP).

Los valores Burstiness downstream y Burstiness upstream te permiten ajustar cómo tus Sites manejan las micro-explosiones en la Network modificando los valores del nivel de burstiness según las direcciones downstream o upstream. Modificar los valores del nivel de burstiness puede mitigar la pérdida de paquetes causada por burstiness al aplicar una política de modelado más agresiva o más permisiva para las micro-explosiones. El valor por defecto de burstiness depende del ancho de banda de la interfaz:

  • Para ancho de banda de interfaz de 40 Mbps y superior, el valor predeterminado es 0.2
  • Para ancho de banda de interfaz por debajo de 40 Mbps, el valor predeterminado es 0.1

Para más información sobre burstiness y la pérdida de paquetes, consulta el artículo Cómo solucionar la pérdida de paquetes en el Site de Socket.

Para configurar la configuración del valor de burstiness para el tráfico upstream o downstream, consulta el apartado Usar configuraciones avanzadas para un Site.

Nota

Notas:

  • Todos los Socket deben ejecutar la versión 12.0 y superior para soportar la configuración de burstiness.
  • El nuevo valor se aplica sólo después del reinicio del túnel.

Modificando valores de vida útil de IPsec

Las fases de IPsec tienen una vida útil, que es la duración en que la Asociación de Seguridad (SA) es válida.

IPsec P1 Lifetime Seconds e IPsec P2 Lifetime Seconds son dos parámetros de configuración avanzada que te permiten cambiar la vida útil de cada fase para coincidir con la configuración remota tanto para IKEv1 como para IKEv2, respectivamente. Los valores de vida útil por defecto dependen de la fase:

  • Para la Fase 1, los valores por defecto son:

    • Para IKEv1: 86400
    • Para IKEv2: 19800

    Nota

    Nota: Por defecto, los valores P1 no se muestran en la aplicación de gestión de Cato. Si desea establecer estos valores, siga el procedimiento descrito arriba.

  • Para la fase 2, el valor predeterminado es 3600 para ambos IKEv1 e IKEv2.

La configuración se aplica después de que el túnel se reinicie, o después de la expiración del tiempo de vida actual de SA.

Para más información, consulte los artículos de Sitios IPsec.

Ingresando una dirección MAC estática

Algunos dispositivos no tienen ARP habilitado por motivos de seguridad. Para habilitar el descubrimiento de estos dispositivos, ahora puede agregarlos manualmente a su sitio proporcionando una cadena JSON en el siguiente formato:

{ \"ifc_id\": \"LAN1\", \"ip\": \"10.10.10.1\", \"mac\": \"7c:05:1e:11:11:12\" }

Cada uno de los campos presenta los siguientes parámetros: 'ifc_id' especifica la interfaz LAN, 'ip' es la dirección IP del dispositivo, y 'mac' es la dirección MAC del dispositivo

  • ifc_id es la interfaz LAN. En el ejemplo anterior, LAN1
  • ip es la dirección IP del dispositivo. En el ejemplo anterior, 10.10.10.1
  • mac es la dirección MAC del dispositivo. En el ejemplo anterior, 7c:05:1e:11:11:12

La configuración está disponible para todos los sitios Socket versión 20 y posteriores.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios