Cet article explique comment la plate-forme Cato Cloud fonctionne en Chine, y compris le respect des réglementations et restrictions du gouvernement chinois.
Tout le trafic Internet en Chine est inspecté par le gouvernement et dirigé vers une passerelle locale. Cato respecte toutes les réglementations en Chine, et le service Cato SASE est entièrement disponible en Chine comme dans d'autres régions.
Remarque
Note : Depuis que la Chine restreint l'accès à certains sites Web à partir de la Chine, le fait de faire sortir certains trafics pour contourner le Grand Pare-feu de Chine vers un PoP Cato non-Chine viole l'accord de service maître Cato MSA (Master Service Agreement). Consultez le Cato MSA, section 5,2 pour des questions concernant les restrictions en Chine.
Cato offre une expérience utilisateur optimale en Chine grâce à ses PoP et permet aux entreprises distribuées mondialement avec des bureaux en Chine de bénéficier d'une connexion cohérente et sécurisée à travers le backbone de Cato. Il y a plusieurs Points de présence Cato en Chine, par exemple, Pékin, Shanghai, Shenzhen, et Urumqi. Ces PoP communiquent avec le Cato Cloud via Hong Kong. Cela signifie que les PoP chinois établissent un maillage complet entre eux en Chine, et la communication avec d'autres PoP se fait via Hong Kong et vice-versa.
Le gouvernement chinois restreint l'accès à certains sites et ressources hors de Chine, ce qui oblige les entreprises étrangères à s'adapter à ces règles.
Remarque
Remarque : Le gouvernement chinois peut modifier ses restrictions et interdire l'accès à une application ou un site web à tout moment. Si le trafic est bloqué, vérifiez cette liste pour voir si la destination est indisponible en Chine.
Limitations pour Sites ou Utilisateurs distants situés en Chine
- Le RPF n'est pas pris en charge en Chine
- L'accès au navigateur n'est pas pris en charge en Chine
- RBI n'est pas pris en charge en Chine. Pour plus d'informations, voir Configurer le service RBI pour les sessions de navigation.
Les Sockets situés en Chine téléchargent le fichier de mise à niveau des Sockets depuis un serveur dans Ali Cloud, ce qui améliore le temps de téléchargement du fichier, réduit la latence et augmente le taux de réussite des mises à jour des Sockets.
En Chine, les services DNS les plus couramment utilisés ne sont pas disponibles. C'est pourquoi Cato utilise un mécanisme interne pour déterminer le meilleur serveur DNS disponible et le serveur DNS de Cato, 10.254.254.1, agit comme un proxy.
Vous devriez configurer vos interfaces WAN pour utiliser les serveurs DNS fournis par votre fournisseur d'accès local, ou les serveurs DNS publics disponibles en Chine, tels que 114.114.114.114 ou 114.114.115.115.
Les adresses web prédéfinies pour la surveillance du dernier kilomètre sont des services web chinois tels que QQ.com, baidu.com et weibo.com (cela est configurable sous Réseau > Sonde de surveillance du dernier kilomètre).
Par défaut, le trafic Internet en Chine sort du PoP de Chine auquel vous êtes connecté, passe par la passerelle locale, puis atteint la destination. Cela signifie que si vous tentez d'accéder à des sites restreints, le PoP de Cato permettrait au trafic de passer, puis il serait bloqué en raison des réglementations locales, à savoir le Grand Pare-feu de Chine.
Port UDP 1337 pour Socket Chine et Trafic DTLS Client
Cato recommande comme une meilleure pratique, de configurer le port UDP alternatif pour les comptes avec sites Socket et utilisateurs Client situés en Chine. Les tunnels DTLS utilisant le port UDP 443 peuvent rencontrer des problèmes de connectivité tels que la perte de paquets. Configurer le port UDP 1337 comme port DTLS préféré pour le trafic Socket et Client pour améliorer la connectivité. Pour plus d'informations, consultez Comprendre le réseau Cato en Chine.
Licence
Lors de l'achat d'une licence pour un site en Chine, les clients doivent déterminer quel pourcentage de la bande passante de cette licence est alloué au trafic régional et quel pourcentage est dédié au trafic global.
- Le trafic régional est tout trafic envoyé au sein de la région de Chine, par exemple, d'un site à Shenzhen à un site à Pékin
- Le trafic global est tout trafic envoyé hors de la région, par exemple, d'un site à Shenzhen à un site en Europe.
Remarque
Remarque : Le trafic global est intrinsèquement plus cher que le trafic régional. Assurez-vous d'allouer les deux selon vos besoins.
Lorsque vous configurez un site dans l'application de gestion Cato, vous devez attribuer une licence à ce site. Les détails du site montrent les détails de la licence qui combine les licences régionales et globales que vous avez achetées.
La valeur que vous devez entrer dans la bande passante de la dernière liaison pour la configuration du site est la bande passante totale régionale et globale pour le site. Si, par exemple, vous avez acheté 100 Mbps, 70 % étant régional et 30 % global, alors vous devez configurer 100 Mbps pour un site situé à Shenzhen.
La QoS dans Cato est contrôlée par deux aspects :
- Gestion de la bande passante
- Règles réseau
Pour plus d'informations, consultez Règles réseau et QoS.
Comme le mécanisme de gestion de la bande passante n'est pas informé de toutes les limitations de licence, lors de la création de vos profils, vous devriez prendre en compte ce que votre licence permet.
Par exemple, si vous avez acheté un total de 100 Mbps de bande passante, avec 70 % régional et 30 % global, lors de la création de vos profils de gestion de la bande passante, définissez des limites qui s'alignent avec ces valeurs. Comme bonne pratique, utilisez des pourcentages et non des limites strictes en Mbps pour éviter d'allouer plus que ce que vous êtes autorisé à utiliser.
Votre entreprise possède des sites à Shenzhen, Shanghai, Pékin et en Europe. Vous voulez vous assurer que lorsqu'elles ont des réunions de vidéoconférence (VC), elles puissent communiquer sans aucun problème.
Vous pouvez créer le profil suivant pour allouer au moins 15 % de vos ressources au trafic P15.
Vous pouvez ensuite créer une règle réseau qui utilise le profil P15 pour le trafic VC. Lorsque le trafic est entre les bureaux en Chine, par exemple Shanghai et Pékin, les 15 % de la bande passante allouée seront basés sur votre licence régionale. Si Shenzhen est en VC avec le site en Europe, ce sera 15 % de la licence globale. Cependant, comme vous avez utilisé des pourcentages et non des limites strictes en Mbps, vous ne courez pas le risque de dépasser votre allocation de licence.
Sur la base du scénario que nous avons décrit ci-dessus, vous pouvez également créer deux profils différents, un pour la VC régionale et un pour la VC globale, qui utilisent des limites de bande passante strictes. Pour la vidéoconférence régionale, vous avez un profil qui alloue 10 Mbps. Et pour la vidéoconférence globale, un profil qui alloue 5 Mbps.
Dans vos règles réseau, vous créez ensuite deux règles distinctes pour appliquer chacun des profils selon la destination du trafic VC.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.