Configuración de Reglas de Red

Este artículo discute cómo usar la página Reglas de Red para gestionar y priorizar el tráfico en tu cuenta.

Para más información sobre las reglas de red y Cato, ver ¿Qué es la Base de Reglas de Red de Cato?.

Trabajando con Objetos Múltiples en una Sola Regla

Las columnas Fuente, App/Categoría y Destino forman una relación AND: la regla se activa solo si el tráfico coincide con los criterios definidos en las tres columnas.

Cuando hay múltiples elementos dentro de una columna, hay una relación OR: la regla se aplica si el tráfico coincide con los criterios definidos para cualquiera de los elementos. Por ejemplo, una regla que define App/Categoría como TCP con puerto 443, esta regla coincide con todo el tráfico TCP O tráfico que usa el puerto 443 tanto TCP como UDP.

Revisiones de Política y Edición Concurrente por Múltiples Administradores

La página de Reglas de Red permite a diferentes administradores editar la política en paralelo. Cada administrador puede editar reglas y guardar los cambios en la base de reglas en su propia revisión privada, y luego publicarlos en la política de cuenta (la revisión publicada). Para más información sobre cómo gestionar las revisiones de políticas, ver Trabajando con Revisions de Políticas.

Creando una Regla de Red

Las reglas de red se evalúan según su orden de aparición en la lista de reglas de red, la mejor práctica es desplazarse a través de la lista hasta la posición requerida de la nueva regla y agregarla por encima o por debajo de una regla existente. Alternativamente, puedes agregar una nueva regla al final de la lista y moverla a la posición requerida.

Cuando configuras la Fuente (tipo de tráfico) para una regla de red puedes usar objetos globales, tales como categorías de aplicaciones o rangos globales, para definir el tipo de tráfico que coincide con la regla.

NetworkRules.png

Para crear una regla de red WAN o de Internet:

  1. Desde el menú de navegación, haz clic en Network > Network Rules.

  2. Haz clic en Nuevo. El panel Agregar Regla de Red se abre.

  3. Desde la sección General, configura los siguientes ajustes para la regla:

    1. Introduce el Nombre para la regla.

    2. En el menú desplegable Tipo de Regla, selecciona si esta regla es para tráfico WAN o Internet.

    3. Habilita o deshabilita la regla usando el deslizador (verde es habilitado, gris es deshabilitado).

    4. Configura el Orden de la Regla que define dónde aparece la regla en la base de reglas de red.

      Las nuevas reglas se añaden al final de la base de reglas. Puedes cambiar el orden en el que se aplica esta regla.

  4. Expande la sección Fuente y selecciona uno o más objetos para la fuente de tráfico para esta regla (o puedes ingresar una dirección IP).

    1. Selecciona el tipo (por ejemplo: Host, Interfaz de Red, IP, Rango de IP, o Cualquiera). El valor predeterminado es Cualquiera.

    2. Cuando sea necesario, selecciona un objeto específico de la lista desplegable para ese tipo.

  5. Para reglas de tráfico WAN, expande la sección Destino y selecciona uno o más objetos para el destino del tráfico para esta regla.

  6. Expande la sección App/Categoría y selecciona una o más aplicaciones para la regla.

    Cuando hay más de un objeto de App/Categoría en una regla, hay una relación OR entre ellos. El valor predeterminado es Cualquiera.

    Para una explicación detallada de cada una de las opciones en la sección App/Categoría, ver Referencia para Objetos de Regla.

  7. En la sección Configuración, puedes configurar los siguientes ajustes para la regla de red (consulta las explicaciones a continuación):

  8. Haz clic en Aplicar. El panel se cierra y los ajustes se actualizan en la base de reglas.

  9. Haz clic en Guardar.

    Los cambios se guardan en tu revisión no publicada, y están disponibles para editar hasta que sean publicados o descartados.

Cambiar las prioridades de ancho de banda (QoS) para una Regla

Por defecto, las nuevas reglas se asignan la prioridad predeterminada, que puedes cambiar según las necesidades de QoS de tu red.

Cuanto más bajo sea el número de prioridad, mayor será la prioridad de QoS para la regla. Por ejemplo, una regla con prioridad 10, tiene una prioridad de QoS mayor que una regla con prioridad 40.

Para más información sobre cómo definir las políticas de ancho de banda para tu cuenta, ver Configuración de Perfiles de Gestión de Ancho de Banda.

Para cambiar la prioridad de ancho de banda para una regla:

  1. Desde el menú de navegación, haz clic en Network > Network Rules.

  2. Haz clic en la regla de red. El panel Editar Regla de Red se abre.

  3. La sección Configuración se expande.

  4. En la sección Gestión de Ancho de Banda, desde el menú desplegable Prioridad de Ancho de Banda, selecciona la prioridad de QoS para esta regla.

  5. Haz clic en Aplicar. El panel se cierra y los ajustes se actualizan en la base de reglas.

  6. Haz clic en Guardar.

    Los cambios se guardan en tu revisión no publicada, y están disponibles para editar hasta que sean publicados o descartados.

Configuración de las Opciones de Transporte y Enrutamiento

Esta sección explica cómo configurar las opciones de transporte para una regla de red y hacer egreso del tráfico a una ubicación IP específica.

Personalizar las Opciones de Transporte para una Regla

Las reglas de red están configuradas globalmente. Si un sitio específico no tiene el transporte especificado, el Socket trata tal configuración como si fuera configurado para Automático.

Si seleccionas transportes/ NICs explícitos, el motor QoS monitorea la pérdida de paquetes, el jitter y la latencia. si ocurre congestión, se descartan paquetes. Si seleccionas transportes automáticos, el motor QoS monitorea la congestión además de la pérdida de paquetes, el jitter y la latencia.

Alt-WAN no está soportado para Off-Cloud como un transporte secundario. No puedes configurar una regla de red con Alt-WAN como el transporte primario que pase a Off-Cloud.

TransportOptions.png
  • Las reglas WAN tienen las siguientes configuraciones predeterminadas:

    • Transporte Primario: Cato

    • Transporte Secundario: Automático (teniendo en cuenta transportes adicionales como MPLS, si aplica)

    • Rol de la Interfaz Primaria: Automático

    • Rol de Interfaz Secundaria: Ninguno (deshabilitado como manejado por la configuración Automática para NIC Primario)

    • Ruta/NAT: - (no aplicable para reglas WAN)

  • Las reglas de Internet tienen las siguientes configuraciones predeterminadas:

    • Transporte Primario: Cato

    • Transporte Secundario: Ninguno (no usar otros transportes)

    • Rol de la Interfaz Primaria: Automático

    • Rol de la Interfaz Secundaria: Ninguno (deshabilitado como manejado por la configuración Automática para NIC Primario)

    • Ruta/NAT: Ninguno

Para personalizar las opciones de transporte para una regla de red:

  1. Desde el menú de navegación, haz clic en Network > Network Rules.

  2. Haz clic en la regla de red. El panel Editar Regla de Red se abre.

  3. Expande la sección Configuración.

  4. Configura los campos de transporte según sea necesario: para enrutar tráfico a través de un transporte específico, puedes configurar tus transportes primarios y secundarios.

    El transporte primario se usará siempre que esté activo y disponible según lo determine el motor de QoS de Cato. Si el transporte primario no está disponible, se utiliza el transporte secundario.

  5. Configura los campos de Papel de Interfaz (aplicable solo para tráfico enrutado a través de Cato Cloud) según sea necesario.

    Para enrutar tráfico a través de un enlace específico, puedes configurar tus NICs primarios y secundarios. El Rol de la Interfaz Primaria se usa mientras esté activo y disponible, según determine el motor QoS de Cato.

    Si el Rol de la Interfaz Primaria no está disponible, se usa el Rol de la Interfaz Secundaria.

  6. Haz clic en Aplicar. El panel se cierra y los ajustes se actualizan en la base de reglas.

  7. Haz clic en Guardar.

    Los cambios se guardan en tu revisión no publicada, y están disponibles para editar hasta que sean publicados o descartados.

Establecer el Método de Enrutamiento para una Regla de Red de Internet

Puedes configurar una Regla de Red de Internet con diferentes opciones para egresar el tráfico.

Mejor Práctica: Para Reglas de Red de Internet que egresan tráfico (con la opción NAT o Ruta vía), recomendamos que definas una Fuente o App/Categoría específica para la regla. Seleccionar Cualquiera como la Fuente o la App/Categoría enruta todo el tráfico de Internet y puede causar un rendimiento impredecible.

  • Ruta vía - Te permite seleccionar la ubicación de egress PoP desde la cual el tráfico es enviado a Internet.

    Nota: Al egresar tráfico a Tokio, seleccionando una ubicación de Tokio PoP (como Tokyo_DC2) todas las ubicaciones de Tokio PoP se agregan automáticamente a la Regla de Red. Los rangos de IP se comparten entre las ubicaciones del PoP de Tokio y aseguran una experiencia fluida para las cuentas.

  • NAT - Te permite egresar tráfico vía una dirección IP asignada por Cato y su ubicación PoP. El tráfico que coincide con esta regla se traduce a esa IP y se realiza el egreso a través del PoP relevante. Tanto NAT como Ruta vía enrutamiento del tráfico a través de un PoP específico, sin embargo, NAT te permite especificar la IP a la cual se traduce el tráfico.

  • Backhaul via - Egresses the Internet traffic via one or backhauling gateway sites

    Para más información, consulta estos artículos sobre Backhauling de Tráfico de Internet.

Para Route via y NAT, cuando configuras múltiples IPs de salida, el tráfico usa la IP de salida para la ubicación de PoP que está más cerca de la fuente.

Método de Enrutamiento NAT - Preservar el Puerto de Origen

Por defecto, cuando el PoP realiza NAT en el tráfico de Internet, modifica el puerto de origen y la IP de origen en el encabezado IP. En algunos casos, una aplicación requiere preservar el puerto de origen original en el encabezado IP, por ejemplo, el tráfico SIP. Cuando seleccionas la opción Preserve source port, el PoP conserva el puerto de origen original en el encabezado IP del paquete traducido.

Routing_Method_Preserve_Source_Port.png

Nota

Nota: Si hay más de un flujo con el mismo puerto de origen, esto crea un conflicto al preservar el puerto de origen para ambos flujos durante la traducción NAT. En tales escenarios, el PoP conserva el puerto de origen del primer flujo y asigna un puerto aleatorio para el flujo posterior.

Para establecer el Método de Enrutamiento para una regla de red de Internet:

  1. Desde el menú de navegación, haz clic en Network > Network Rules.

  2. Haz clic en la regla de red. Se abre el panel Edit Network Rule.

  3. Expande la sección Configuration.

  4. Desde el menú desplegable Route/NAT, selecciona la opción de enrutamiento para el tráfico que coincide con la regla:

    • Ruta Vía - para enrutar tráfico vía una ubicación específica de Cato Cloud PoP, ingresa al click Domain_plus.png y selecciona las ubicaciones desde las cuales estás egresando tráfico.

    • NAT - para egresar tráfico por esta regla vía una IP específica, haz click Domain_plus.png y selecciona las IPs asignadas desde las cuales estás egresando tráfico.

  5. (Optional) Para usar el puerto de origen original para el tráfico traducido, selecciona Preserve source port.

  6. Haz clic en Apply. El panel se cierra y la configuración se actualiza en la base de reglas.

  7. Haz clic en Guardar.

    Los cambios se guardan en tu revisión no publicada, y están disponibles para editar hasta que sean publicados o descartados.

Visualización de Eventos para una Regla

Puedes mostrar los eventos para una regla de red específica usando View Rule Events. Cuando seleccionas esta acción, se abre la página de Eventos y está pre-filtrada para todos los eventos que coincidan con esa regla.

Para ver eventos para una regla:

  1. Desde el menú de navegación, haz clic en Network > Network Rules.

  2. En el lado derecho, haz click more.png y selecciona Ver Reglas de Evento.

La página de Eventos se muestra con los eventos para la regla relevante ya filtrados.

rule-event.png

Personalización de la Aceleración & Optimización para una Regla

  • La aceleración TCP no afecta al tráfico no TCP (tráfico basado en UDP) que es parte de una regla de red.

  • Cuando la configuración de Route/NAT o TLS Inspection está en efecto, implica que Cato habilita el proxy TCP en el tráfico.

  • La regla predeterminada de red implícita para el Cato Cloud es actuar como un proxy TCP. Como tal, si ninguna regla previa coincidía con el tráfico, se aplica el proxy TCP.

  • La Aceleración TCP está deshabilitada (en gris) para las reglas que usan WAN Alternativo como transporte primario o secundario.

Para más información sobre cómo acelerar el tráfico en la Cato Cloud, ver Aceleración y Optimización del Tráfico.

Para más información sobre la mitigación de pérdida de paquetes, ver Mitigación de Pérdida de Paquetes para Enlaces Multi-Túnel.

Para configurar la aceleración y optimización para una regla:

  1. Desde el menú de navegación, haz clic en Network > Network Rules.

  2. Haz clic en la regla de red. Se abre el panel Edit Network Rule.

  3. Expande la sección Configuration.

  4. Selecciona Active TCP Acceleration para habilitar que el PoP actúe como servidor proxy TCP para el tráfico que coincide con esta regla.

  5. Selecciona Packet Loss Mitigation, para habilitar la duplicación de paquetes para ayudar a mitigar el impacto de la pérdida de paquetes para el tráfico que coincide con esta regla.

  6. Haz clic en Apply. El panel se cierra y la configuración se actualiza en la base de reglas.

  7. Haz clic en Guardar.

    Los cambios se guardan en tu revisión no publicada, y están disponibles para editar hasta que sean publicados o descartados.

Agregar una Excepción

Defines el tráfico que es una excepción para la regla de red y la regla no se aplica a la excepción. Define la excepción de tráfico con el objeto (entidad) para el Source, App/Category y Destination. Las excepciones con múltiples objetos tienen el mismo comportamiento que las reglas de red, ver Trabajando con Objetos Múltiples en una Sola Regla.

NetworkRuleExceptions.png

El ejemplo anterior tiene una regla de red para cualquier tráfico que coincide con la categoría de VoIP Video. Hay una excepción para esta regla para el tráfico que coincide con AMBAS de estas condiciones:

  • El Source es el site de ejemplo 1500

  • La Application es Skype y MS Teams

Para agregar una excepción a una regla de red:

  1. Desde el menú de navegación, haz clic en Network > Network Rules.

  2. Haz clic en la regla de red. Se abre el panel Edit Network Rule.

  3. Expande la sección Source, App/Category o Destination, y haz clic en Add Exceptions.

    Network_Source_Exception.png
  4. Define las excepciones para la sección:

    1. En el menú desplegable, selecciona el tipo de tráfico para la excepción.

      La captura de pantalla anterior, muestra cómo agregar una excepción para un host específico.

    2. Selecciona un objeto específico de la lista desplegable para ese tipo.

    3. Repite los dos pasos anteriores para definir objetos adicionales para la excepción.

      Múltiples objetos en una sección tienen una relación OR.

  5. Si es necesario, repite el paso 4 para definir excepciones para las otras secciones.

    Los objetos en múltiples secciones tienen una relación AND.

  6. Haz clic en Apply. El panel se cierra y la configuración se actualiza en la base de reglas.

  7. Haz clic en Guardar.

    Los cambios se guardan en tu revisión no publicada, y están disponibles para editar hasta que sean publicados o descartados.

Exportación de Reglas de Red a un Archivo CSV

Puedes generar un archivo CSV que contiene todos los datos de las reglas de red por base de reglas de tu cuenta.

Nota

Nota: Solo los administradores de la Aplicación de Gestión de Cato con Editor tienen permisos para exportar a un archivo CSV. Para más información sobre cómo configurar roles de administrador, ver Gestión de Administradores.

Para exportar la política de reglas de red:

  1. Desde el menú de navegación, haz clic en Network > Network Rules.

  2. Haz clic en Export, y en la ventana emergente haz clic en OK.

  3. Selecciona la ubicación para el archivo CSV y guarda el archivo.

Comprendiendo el Contenido del Archivo Exportado

La fila superior en el archivo CSV exportado enumera los nombres de los campos y las opciones para las reglas en la base de reglas relevante. Luego, las reglas mismas se enumeran según la prioridad, comenzando con el valor de número más bajo.

El archivo CSV contiene las siguientes columnas:

Elemento

Descripción

Prioridad

Prioridad de la regla dentro de la base de reglas

Estado de la Regla

La regla está habilitada o deshabilitada

Tipo

El tipo de regla es WAN o Internet

Nombre

Nombre de la regla de red

Source

Source de tráfico para esta regla

App/Category

Items que se aplican a esta regla (aplicaciones, categorías, servicios, etc.)

Destination

Destination de tráfico para esta regla

Prioridad de BW

El perfil de Gestión de BW para esta regla

Enrutamiento

El tipo de enrutamiento aplicado para esta regla (NAT, Backhauling, etc.). Relevante solo para reglas de red de Internet

Transporte

El tipo de transporte para esta regla (transporte de interfaz WAN, transporte primario y secundario)

Aceleración & Optimización

Las configuraciones de optimización están habilitadas o deshabilitadas (Aceleración TCP y Mitigación de Pérdida de Paquetes)

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 2 de 2

0 comentarios