Las políticas de configuración de red permiten dirigir y priorizar el tráfico a través de tus conexiones WAN y acceso a Internet, brindándote un control detallado sobre el rendimiento, enrutamiento y uso de enlaces. Al crear reglas basadas en aplicación, fuente y destino, puedes asegurar que el tráfico crítico reciba el QoS adecuado, optimizar la latencia o pérdida de paquetes, y seleccionar las mejores rutas de transporte. Utiliza la página de Políticas de configuración de red para definir orden de reglas, aplicar configuraciones de aceleración y configurar comportamientos avanzados de enrutamiento que se alineen con tus necesidades empresariales y técnicas.
Para más información sobre las políticas de configuración de red y Cato, consulta ¿Qué son las Políticas de configuración de red?.
Las columnas Fuente, App/Categoría y Destino forman una relación Y: la regla se activa sólo si el tráfico coincide con los criterios definidos en las tres columnas.
Cuando hay múltiples elementos dentro de una columna, hay una relación OR: la regla se aplica si el tráfico coincide con los criterios definidos para cualquiera de los elementos. Por ejemplo, una regla que define App/Categoría con Servicio para TCP y para UDP, esta regla coincide con tráfico TCP o UDP.
La página de Reglas de Red permite a diferentes administradores editar la política en paralelo. Cada administrador puede editar reglas y guardar los cambios en la base de reglas en su propia revisión privada y luego publicarlos en la política de cuenta (la revisión publicada). Para más información sobre cómo gestionar revisiones de políticas, consulte Trabajando con Revisiones de Políticas.
Controle si la política de configuración de red está aplicada usando el interruptor Políticas de configuración de red Habilitadas en la página de Políticas de configuración de red. Cuando la política está activada, las reglas configuradas se aplican para enrutar y priorizar el tráfico en tu cuenta. Desactivar la política detiene inmediatamente la aplicación de estas reglas.
Para habilitar la política de implementación de reglas de red:
- Desde el menú de navegación, haz clic en Red > Políticas de configuración de red.
- Haz clic en el interruptor junto a Políticas de configuración de red desactivadas.
- Haz clic en Continuar en la ventana de confirmación. El interruptor es verde cuando la política está activada.
Para aplicar dirección de tráfico personalizada o QoS a flujos de tráfico específicos de WAN o Internet, crea una política de red que defina el tráfico y cómo debe manejarse. Las políticas de configuración de red son una política ordenada, y se evalúan según su orden. Cree una nueva regla en la posición correcta, antes o después de una regla existente.
Al configurar la Fuente, defines a qué tráfico se aplica la regla. Puedes seleccionar entre una variedad de objetos globales, como rangos IP, categorías de aplicaciones o grupos de usuarios, para que coincida con el tráfico relevante.
Cada regla incluye las siguientes opciones de configuración:
- Prioridad de ancho de banda - Asigna una prioridad QoS al tráfico para asegurar el rendimiento en flujos críticos de negocio durante la congestión
- Aceleración y optimización - Activa la aceleración TCP y la duplicación de paquetes para reducir la latencia y la pérdida de paquetes
- Transporte Primario y Secundario - Define los tipos de transporte preferidos para enrutar el tráfico (Cato Cloud, Fuera de la Nube, o Alt.) WAN
- Método de Enrutamiento - Tráfico de salida desde PoPs específicos, asignar IPs NAT, o trasladar el tráfico de Internet a través de sitios de puerta de enlace
Para crear una regla de red WAN o de Internet:
- Desde el menú de navegación, haz clic en Red > Políticas de configuración de red.
- Haz clic en Nuevo > Nueva Regla. Se abre el panel Agregar Regla de Red.
- Desde la sección General, configure los siguientes ajustes para la regla:
- Ingrese el Nombre para la regla.
- Habilite o deshabilite la regla usando el control deslizante (verde está habilitado, gris está deshabilitado).
- Seleccione la Posición para la nueva regla.
- En el menú desplegable Tipo de Regla, seleccione si esta regla es para WAN o Internet.
- Expanda la sección Fuente y seleccione uno o más objetos como fuentes de tráfico para esta regla (o puede ingresar una dirección IP).
- Seleccione el tipo (por ejemplo: Host, Interfaz de Red, IP, Rango de IP, o Cualquiera). El valor predeterminado es Cualquiera.
- Cuando sea necesario, seleccione un objeto específico de la lista desplegable para ese tipo.
- Expanda la sección Criterios y agregue las condiciones del dispositivo a la regla. Para más información, ver Añadiendo Condiciones de Dispositivo a Reglas de Firewall. Los valores predeterminados son Cualquiera.
- Para reglas de tráfico WAN, expanda la sección Destino y seleccione uno o más objetos para el destino de tráfico para esta regla.
-
Expande la sección App/Categoría y selecciona una o más aplicaciones para la regla.
Cuando hay más de un objeto de App/Categoría en una regla, hay una relación OR entre ellos. El valor predeterminado es Cualquiera.
Para una explicación detallada de cada una de las opciones en la sección App/Categoría, consulta Referencia para Objetos de Regla.
-
En la sección Configuración, puedes configurar los siguientes ajustes para la regla de red (consulta las explicaciones a continuación):
- Prioridad de Ancho de Banda
- Transporte Primario y Transporte Secundario
-
Haz clic en Guardar. El panel se cierra, y las configuraciones se actualizan en la base de reglas.
Los cambios se guardan en tu revisión sin publicar y están disponibles para edición hasta que se publiquen o se descarten.
- Haz clic en Publicar. Se abre una ventana de confirmación, haz clic en Publicar.
Por defecto, las nuevas reglas se asignan con prioridad predeterminada (p255), que puedes cambiar según las necesidades de QoS de tu red.
Cuanto más bajo sea el número de prioridad, mayor será la prioridad de QoS para la regla. Por ejemplo, una regla con prioridad 10 tiene una prioridad de QoS más alta que una regla con prioridad 40.
Para más información sobre la definición de las políticas de ancho de banda para tu cuenta, consulta Configuración de Perfiles de Gestión de Ancho de Banda.
Para modificar la prioridad de ancho de banda para una regla:
- Desde el menú de navegación, haz clic en Red > Políticas de configuración de red.
- Haz clic en la regla de red. Se abre el panel Editar Regla de Red.
- Expanda la sección Configuración.
- En la sección Gestión de Ancho de Banda, desde el menú desplegable Prioridad de Ancho de Banda, seleccione la prioridad de QoS para esta regla.
-
Haz clic en Guardar. El panel se cierra, y las configuraciones se actualizan en la base de reglas.
Los cambios se guardan en tu revisión sin publicar y están disponibles para edición hasta que se publiquen o se descarten.
- Haz clic en Publicar. Se abre una ventana de confirmación, haz clic en Publicar.
Esta sección explica cómo configurar las opciones de transporte para una regla de red y hacer egreso del tráfico a una ubicación IP específica.
Las reglas de red están configuradas globalmente. Si un sitio específico no tiene el transporte especificado, el Socket trata tal configuración como si fuera configurado para Automático.
Si seleccionas transportes/ NICs explícitos, el motor QoS monitorea la pérdida de paquetes, el jitter y la latencia. Si ocurre congestión, los paquetes se descartarán. Seleccionando Automático para transportes, entonces el motor QoS monitorea la congestión además de la pérdida de paquetes, fluctuación y latencia.
Alt-WAN no está soportado para Off-Cloud como un transporte secundario. No puedes configurar una regla de red con Alt-WAN como el transporte primario que pase a Off-Cloud.
-
Las reglas WAN tienen las siguientes configuraciones predeterminadas:
- Transporte Primario: Cato
- Transporte Secundario: Automático (teniendo en cuenta transportes adicionales como MPLS, si aplica)
- Rol de la Interfaz Primaria: Automático
- Rol de la Interfaz Secundaria: Ninguno (desactivado como se maneja por la configuración automática para NIC Primaria)
- Ruta/NAT: - (no aplicable para reglas WAN)
-
Las reglas de Internet tienen las siguientes configuraciones predeterminadas:
- Transporte Primario: Cato
- Transporte Secundario: Ninguno (no usar otros transportes)
- Rol de la Interfaz Primaria: Automático
- Rol de la Interfaz Secundaria: Ninguno (desactivado como se maneja por la configuración automática para NIC Primaria)
- Ruta/NAT: Ninguno
Para personalizar las opciones de transporte para una regla de red:
- Desde el menú de navegación, haz clic en Red > Políticas de configuración de red.
- Haz clic en la regla de red. Se abre el panel Editar Regla de Red.
- Expanda la sección Configuración.
-
Configura los campos de transporte según sea necesario: para enrutar tráfico a través de un transporte específico, puedes configurar tus transportes primarios y secundarios.
El transporte primario será utilizado mientras esté activo y disponible, según lo determinado por el motor QoS de Cato. Si el transporte primario no está disponible, se utiliza el transporte secundario.
-
Configura los campos de Papel de Interfaz (aplicable solo para tráfico enrutado a través de Cato Cloud) según sea necesario.
Para enrutar tráfico a través de un enlace específico, puedes configurar tus NICs primarios y secundarios. El Rol de la Interfaz Primaria se usa mientras esté activo y disponible, según determine el motor QoS de Cato.
Si el Rol de la Interfaz Primaria no está disponible, se usa el Rol de la Interfaz Secundaria. Cuando el Rol de la Interfaz Secundaria está configurado en Ninguno, el comportamiento se basa en la configuración para el Rol de la Interfaz Principal:
- Automático - el Socket hace el mejor esfuerzo para enviar el tráfico sobre el transporte primario
- Cualquier otro rol de interfaz - el Socket descarta el tráfico cuando el transporte primario no está disponible
-
Haz clic en Guardar. El panel se cierra, y las configuraciones se actualizan en la base de reglas.
Los cambios se guardan en tu revisión sin publicar y están disponibles para edición hasta que se publiquen o se descarten.
- Haz clic en Publicar. Se abre una ventana de confirmación, haz clic en Publicar.
Puedes configurar una Regla de Red de Internet con diferentes opciones para egresar el tráfico.
Mejor Práctica: Para Reglas de Red de Internet que egresan tráfico (con la opción NAT o Ruta vía), recomendamos que definas una Fuente o App/Categoría específica para la regla. Seleccionar Cualquiera como la Fuente o la App/Categoría enruta todo el tráfico de Internet y puede causar un rendimiento impredecible.
-
Enrutar vía - Te permite seleccionar la ubicación de salida PoP desde la cual se envía el tráfico a Internet.
Nota: Cuando egresas tráfico a Tokio, seleccionando una ubicación PoP de Tokio (como Tokyo_DC2), todas las ubicaciones PoP de Tokio se agregan automáticamente a la Regla de Red. Los rangos IP se comparten entre las ubicaciones PoP de Tokio y aseguran una experiencia perfecta para las cuentas.
- NAT - Permite egresar tráfico a través de una dirección IP asignada por Cato y su ubicación PoP. El tráfico que coincide con esta regla es traducido a esa IP y egresado a través del PoP relevante. Tanto NAT como Ruta rutean el tráfico vía un PoP específico, pero NAT te permite especificar la IP a la que se traduce el tráfico.
-
Backhaul via - Egresses the Internet traffic via one or backhauling gateway sites
Para más información, consulta estos artículos sobre Backhauling de Tráfico de Internet.
Nota: A veces, todas las IPs de salida en la Regla de Red no están disponibles, como durante la ventana de mantenimiento de PoP, y el PoP utiliza una dirección IP diferente para el flujo de tráfico. Este escenario puede afectar la conectividad y experiencia del usuario. Recomendamos que definas múltiples direcciones IP de egreso para una regla para minimizar el impacto.
Para Route via y NAT, cuando configuras múltiples IPs de salida, el tráfico usa la IP de salida para la ubicación de PoP que está más cerca de la fuente.
Método de Enrutamiento NAT - Preservar el Puerto de Origen
Por defecto, cuando el PoP realiza NAT en el tráfico de Internet, modifica el puerto de origen y la IP de origen en el encabezado IP. En algunos casos, una aplicación requiere preservar el puerto de origen original en el encabezado IP, por ejemplo, tráfico SIP. Cuando seleccionas la opción Preservar puerto de origen, el PoP preserva el puerto de origen original en el encabezado IP del paquete traducido.
Nota: Si hay más de un flujo con el mismo puerto de origen, esto crea un conflicto al preservar el puerto de origen para ambos flujos durante la traducción NAT. En tales escenarios, el PoP conserva el puerto de origen del primer flujo y asigna un puerto aleatorio para el flujo posterior.
Para establecer el Método de Enrutamiento para una Regla de Red de Internet:
- Desde el menú de navegación, haz clic en Red > Políticas de configuración de red.
- Haz clic en la regla de red. Se abre el panel Editar Regla de Red.
- Expanda la sección Configuración.
-
Desde el menú desplegable Ruta/NAT, selecciona la opción de enrutamiento para tráfico que coincide con la regla:
- Enrutar Vía - para enrutar el tráfico a través de una ubicación específica de PoP de Cato Cloud, seleccione las Ubicaciones de donde está egresando tráfico.
-
NAT - para egresar tráfico para esta regla a través de una IP específica vía NAT, selecciona las IPs Asignadas desde las que estás egresando tráfico.
(Optional) Para usar el puerto de origen original para el tráfico traducido, selecciona Preserve source port.
-
Haz clic en Guardar. El panel se cierra, y las configuraciones se actualizan en la base de reglas.
Los cambios se guardan en tu revisión sin publicar y están disponibles para edición hasta que se publiquen o se descarten.
- Haz clic en Publicar. Se abre una ventana de confirmación, haz clic en Publicar.
Enrutamiento con PoPs para un rendimiento de 10Gbps
Para sitios que están conectados a ubicaciones PoP que soportan un rendimiento de 10Gbps, recomendamos que configures Enrutar Vía o NAT Políticas de configuración de red para egresar el tráfico vía otra ubicación PoP de 10Gbps. De lo contrario, puede haber un impacto en el rendimiento del sitio.
Puedes mostrar los eventos para una regla de red específica usando View Rule Events. Cuando seleccionas esta acción, se abre la página de Eventos y está pre-filtrada para todos los eventos que coincidan con esa regla.
Para ver eventos para una regla:
- Desde el menú de navegación, haz clic en Network > Network Rules.
- En el lado derecho, haz clic en
y selecciona Ver Eventos de Regla.
La página de Eventos se muestra con los eventos para la regla relevante ya filtrados.
- La aceleración TCP no afecta al tráfico no TCP (tráfico basado en UDP) que es parte de una regla de red.
- Cuando la configuración de Route/NAT o TLS Inspection está en efecto, implica que Cato habilita el proxy TCP en el tráfico.
- La regla predeterminada de red implícita para el Cato Cloud es actuar como un proxy TCP. Por lo tanto, si ninguna regla anterior coincide con el tráfico, se aplica el proxy TCP.
- La Aceleración TCP está deshabilitada (en gris) para las reglas que usan WAN Alternativo como transporte primario o secundario.
Para más información sobre acelerar el tráfico en el Cato Cloud, consulte Aceleración y Optimización del Tráfico.
Para más información sobre mitigación de pérdida de paquetes, consulte Mitigación de Pérdida de Paquetes para Enlaces Multi-Túnel.
Para configurar la aceleración y optimización para una regla:
- Desde el menú de navegación, haz clic en Network > Network Rules.
- Haz clic en la regla de red. Se abre el panel Edit Network Rule.
- Expande la sección Configuration.
- Selecciona Active TCP Acceleration para habilitar que el PoP actúe como servidor proxy TCP para el tráfico que coincide con esta regla.
- Selecciona Packet Loss Mitigation, para habilitar la duplicación de paquetes para ayudar a mitigar el impacto de la pérdida de paquetes para el tráfico que coincide con esta regla.
-
Haz clic en Guardar. El panel se cierra, y las configuraciones se actualizan en la base de reglas.
Los cambios se guardan en tu revisión sin publicar y están disponibles para edición hasta que se publiquen o se descarten.
- Haga clic en Publicar. Se abre una ventana de confirmación, haga clic en Publicar.
Defines tráfico que es una excepción a la Regla de Red, y la regla no se aplica a ese tráfico. Define la excepción de tráfico con el objeto (entidad) para el Source, App/Category y Destination. Las excepciones con múltiples objetos tienen el mismo comportamiento que las Políticas de configuración de red, ver arriba Trabajar con Múltiples Objetos en una Sola Regla.
El ejemplo anterior tiene una regla de red para cualquier tráfico que coincide con la categoría de VoIP Video. Hay una excepción a esta regla para el tráfico que coincide con AMBAS de estas condiciones:
- El Source es el site de ejemplo 1500
- La Application es Skype y MS Teams
Para agregar una excepción a una regla de red:
- Desde el menú de navegación, haz clic en Network > Network Rules.
- Identifica la regla a la que estás creando una excepción y desde el final de la regla, haz clic en el icono de más
- Define las excepciones para la sección:
-
En el menú desplegable, selecciona el tipo de tráfico para la excepción.
El ejemplo a continuación muestra cómo agregar una excepción para un host específico.
- Selecciona un objeto específico de la lista desplegable para ese tipo.
-
Repite los dos pasos anteriores para definir objetos adicionales para la excepción.
Múltiples objetos en una sección tienen una relación OR.
-
-
Si es necesario, repite el paso 3 para definir excepciones para las otras secciones.
Los objetos en múltiples secciones tienen una relación AND.
-
Haz clic en Guardar. El panel se cierra, y las configuraciones se actualizan en la base de reglas.
Los cambios se guardan en tu revisión sin publicar y están disponibles para edición hasta que se publiquen o se descarten.
- Haga clic en Publicar. Se abre una ventana de confirmación, haga clic en Publicar.
Puedes generar un archivo CSV que contiene todos los datos de las reglas de red por base de reglas de tu cuenta.
Nota
Nota: Sólo los administradores CMA con rol de Editor tienen permisos para exportar a un archivo CSV. Para más información sobre configurar roles de administrador, consulte Administración de Administradores.
Para exportar la política de reglas de red:
- Desde el menú de navegación, haz clic en Red > Políticas de configuración de red.
- Haz clic en Export, y en la ventana emergente haz clic en OK.
- Selecciona la ubicación para el archivo CSV y guarda el archivo.
La fila superior en el archivo CSV exportado enumera los nombres de los campos y las opciones para las reglas en la base de reglas relevante. Luego, las reglas mismas se enumeran según la prioridad, comenzando con el valor de número más bajo.
El archivo CSV contiene las siguientes columnas:
| Elemento | Descripción |
|---|---|
| Prioridad | Prioridad de la regla dentro de la base de reglas |
| Estado de la Regla | La regla está habilitada o deshabilitada |
| Tipo | El tipo de regla es WAN o Internet |
| Nombre | Nombre de la regla de red |
| Source | Source de tráfico para esta regla |
| App/Category | Items que se aplican a esta regla (aplicaciones, categorías, servicios, etc.) |
| Destination | Destination de tráfico para esta regla |
| Prioridad de BW | El perfil de Gestión de BW para esta regla |
| Enrutamiento | El tipo de enrutamiento aplicado para esta regla (NAT, Backhauling, etc.). Relevante solo para reglas de red de Internet |
| Transporte | El tipo de transporte para esta regla (transporte de interfaz WAN, transporte primario y secundario) |
| Aceleración & Optimización | Las configuraciones de optimización están habilitadas o deshabilitadas (Aceleración TCP y Mitigación de Pérdida de Paquetes) |
0 comentarios
Inicie sesión para dejar un comentario.