Routage du trafic vers un lien hors cloud

Vue d'ensemble du transport hors cloud

Le trafic envoyé via le Cato Cloud bénéficie des améliorations de réseau et de sécurité de Cato. Cependant, il existe des scénarios spécifiques où les entreprises peuvent avoir besoin d'utiliser la connectivité VPN directe Socket à Socket sur Internet. La fonctionnalité de transport hors cloud vous permet de configurer les Sockets pour envoyer le trafic hors cloud sur Internet au lieu du Cato Cloud. Par exemple, lorsqu'il y a des sauvegardes régulières entre différents sites dans la même région, vous pouvez désigner ces sauvegardes comme transport hors cloud.

Les Sockets créent une topologie de maillage complet entre eux pour le trafic hors cloud. Le trafic est chiffré et envoyé sur Internet à l'aide de tunnels DTLS.

Pour les Sockets avec plusieurs liens, vous pouvez activer ou désactiver chaque lien pour envoyer du trafic hors cloud. Hors cloud peut être configuré dans ces déploiements :

  • Actif/Actif - le trafic hors-cloud est équilibré et distribué entre les liens actifs de manière pondérée en fonction de la bande passante disponible pour chaque lien
  • Actif/Passif (et Actif/Actif/Passif) - le lien passif fournit une redondance au cas où le lien actif serait désactivé, ou si la qualité du lien décline considérablement

Note : Le trafic hors du cloud est exclu de la licence de bande passante pour le site. Le débit maximum du Socket d'un lien WAN est pour tout le trafic combiné (WAN, hors du cloud, contournement). Ainsi, si une prise X1500 (débit maximal de 500 Mbps) envoie 400 Mbps de trafic WAN, alors 100 Mbps sont disponibles pour le trafic hors cloud et le trafic de contournement.

 

Limitations connues

  • Le trafic hors-cloud n'est pas inspecté par les moteurs de Protection contre les menaces Cato.
  • Les sockets prennent en charge un maximum de trois liens pour le trafic hors cloud.
  • Vous ne pouvez pas router le mode passif FTP avec le trafic hors-cloud, vous pouvez uniquement le router sur le cloud Cato.
  • Les tunnels hors-cloud (site-à-site) ne peuvent pas être établis entre des sites qui sont connectés au même routeur ISP. Chaque site doit avoir une adresse IP publique unique.
  • Alt-WAN n'est pas pris en charge pour le Hors-Cloud en tant que transport secondaire. Vous ne pouvez pas configurer une règle réseau avec Alt-WAN comme transport primaire qui passe à Hors-Cloud.

Travailler avec le trafic hors cloud

Les Sockets Cato prennent en charge deux types de trafic hors cloud, le transport et la récupération WAN. La récupération WAN fournit la résilience s'il y a des problèmes de connectivité dans le Cato Cloud et utilise automatiquement des tunnels VPN de dérivation pour maintenir la connectivité avec les autres sites de Socket. Lorsque vous configurez un lien pour envoyer du trafic hors cloud, ce lien est activé pour envoyer à la fois le trafic de transport et de récupération. Vous ne pouvez pas désigner un lien pour le transport hors cloud et un autre pour la récupération dans un Socket.

Remarque

Remarques :

  • Le transport hors cloud est officiellement pris en charge uniquement pour les règles réseau simples. Si vous configurez une règle complexe en utilisant le hors cloud comme transporte, le trafic est quand même envoyé au PoP pour analyse. Une règle réseau complexe est une règle que le Socket lui-même ne peut pas évaluer. Par conséquent, le Socket doit envoyer le trafic au PoP pour choisir la bonne règle de réseau, ce qui à son tour active le Proxy TCP. Une règle complexe peut contenir des applications, des catégories d'applications, des services, des applications personnalisées ou des objets de domaine/FQDN.

    Parfois, ce trafic déclenchera le mode d'accélération TCP, auquel cas le trafic sera envoyé via le PoP et non le hors cloud, comme prévu. Dans d'autres cas, même lorsque le trafic est envoyé hors cloud, il peut sembler passer par le PoP en raison de l'analyse mentionnée précédemment.

  • Cato recommande de configurer toutes les règles simples Hors-Cloud en haut de la base de règles réseau.

Pour plus d’informations sur la récupération WAN, voir Travailler avec la configuration avancée pour le compte.

Configurer le transport hors cloud

Cette section explique comment configurer des sites et des règles de réseau pour le transport hors cloud.

Activer les Sites pour le Transport Hors Cloud

Activez le transport hors cloud sur chaque site qui envoie et reçoit du trafic hors cloud. Pour les déploiements Socket avec plusieurs liens, configurez les liens pour prendre en charge le trafic hors cloud.

Par défaut, le transport hors cloud est activé pour les liens WAN sur les sites Socket. Cependant, lorsque vous définissez la Précédence WAN pour un lien à 3 (Dernier recours), alors le transport hors cloud est automatiquement désactivé pour ce lien.

off-cloud.png

L'exemple ci-dessus montre un site avec les liens WAN1 et WAN2 configurés pour envoyer du trafic hors cloud. Vous pouvez également choisir de configurer un site où l'un des liens WAN n'envoie du trafic que via le Cato Cloud.

Pour en savoir plus sur les sites avec plusieurs liens, consultez ci-dessous Configuration d'un site Hors-Cloud avec plusieurs liens.

Configuration de l'IP publique et du port statique

En général, les paramètres de IP Publique et de Port Statique pour les liens qui envoient du trafic hors cloud sont automatiquement configurés par le Socket et ne sont pas configurés dans l'application de gestion Cato. Le Socket choisit un port source aléatoire et utilise l'adresse IP publique du routeur Internet pour initier la connexion.

Vous pouvez également utiliser l'application de gestion Cato pour configurer manuellement une adresse IP publique statique et un numéro de port pour chaque lien qui envoie du trafic hors cloud. En procédant ainsi, assurez-vous que le routeur Internet du site a une adresse IP publique fixe attribuée et est configuré avec une règle de redirection de port correspondante. Sinon, ne configurez pas manuellement les paramètres IP Publique et Port Statique.

Cependant, dans certaines situations, vous devez configurer ces paramètres. Par exemple, lorsque vous utilisez des règles de redirection de port comme solution aux problèmes liés au NAT avec le routeur local.

Pour activer le transport hors-cloud pour un site :

  1. Dans le menu de navigation, sélectionnez Réseau > Sites, et sélectionnez le site.
  2. Dans le menu de navigation, sélectionnez Configuration du Site > Socket.
  3. Configurez le lien actif qui sera activé pour le trafic hors-cloud :

    1. Cliquez sur le lien.

      Le panneau Modifier l'interface du Socket s'ouvre.

    2. Développez la section Hors-Cloud.
    3. Dans le menu déroulant Statut du trafic, sélectionnez Activé.
    4. (Optionnel) Entrez l’IP publique et le numéro de port Statique pour le lien hors-cloud.
  4. Cliquez sur Appliquer.
  5. Répétez les étapes précédentes pour chaque site qui envoie et reçoit du trafic hors-cloud.

Configurer les règles réseau pour le transport hors cloud

Créez une règle de réseau qui définit le type de trafic WAN envoyé à l'aide du transport hors cloud. Ensuite, configurez cette règle pour router le trafic sur le transport hors cloud.

Vous ne pouvez pas configurer les options de rôle d'interface pour le transport hors cloud. Désactivez également l'accélération TCP pour les règles de réseau qui utilisent le hors cloud comme transport principal.

Pour en savoir plus sur les règles réseau, consultez Configuration des règles réseau.

Pour configurer une règle réseau pour le transport hors-cloud :

  1. Dans le menu de navigation, cliquez sur Réseau > Règles réseau.
  2. Cliquez sur Nouveau. Le panneau Ajouter une règle de réseau s'ouvre.
  3. Créez une nouvelle règle de réseau WAN :
    1. Dans la section Général, entrez le Nom de la règle.
    2. Dans le menu déroulant Type de Règle, sélectionnez WAN.
    3. Configurez l'Ordre des Règles qui définit où la règle apparaît dans la base de règles réseau.
  4. Développez la section Source et sélectionnez un ou plusieurs objets pour la source de trafic de cette règle (ou vous pouvez entrer une adresse IP).
  5. Développez la section Destination et entrez une chaîne ou sélectionnez un ou plusieurs objets pour la destination de trafic de cette règle.
  6. Développez la section App/Catégorie et sélectionnez une ou plusieurs applications pour la règle.
  7. Configurez les paramètres de transport pour la règle réseau :

    1. Développez la section Configuration.

      "Off-Cloud_Routing.png"
    2. Assurez-vous que Accélération TCP Active est désactivée.
    3. Dans Transport Primaire, configurez Hors Cloud comme Transport primaire.

    4. Dans Transport Secondaire, configurez le Transport secondaire :

      • Automatique - Le Socket choisit automatiquement l'option de transport secondaire
      • Aucun - Envoyer uniquement le trafic via le transport primaire (les transports hors cloud)
      • Cato - Le Socket utilise le Cloud Cato comme option de transport secondaire
  8. Cliquez sur Appliquer.

  9. Cliquez sur Enregistrer.

    Les modifications sont enregistrées dans votre révision non publiée et sont disponibles pour modification jusqu'à ce qu'elles soient publiées ou annulées.

Travailler avec des liens multiples pour le trafic hors nuage

Pour les Sockets avec plusieurs liens, vous pouvez configurer des déploiements actifs/actifs et actifs/passifs pour le trafic hors nuage. Si vous choisissez d'activer uniquement un lien pour le trafic Hors-Cloud, si ce lien ne peut pas envoyer de trafic, alors les connexions Hors-Cloud suivent l'option Transport Secondaire dans les Paramètres de transport pour la Règle réseau.

Pour un aperçu technique approfondi sur les Sockets avec plusieurs liens, voir Partie 1 : Interfaces Socket et Précédence.

Trafic hors nuage et déploiements actifs/passifs

Dans les déploiements actifs/passifs, les liens du Socket sont définis à différentes précédences et fournissent une haute disponibilité pour le site. Toutes les quelques secondes, le Socket évalue la qualité du lien actif ; si l'état du lien actif se détériore, le Socket déplace progressivement le trafic vers le lien passif. Lorsque la qualité du lien est rétablie, le Socket reprend l'envoi du trafic via le lien actif. De même, si le lien actif tombe, les flux de trafic sont transférés au lien passif jusqu'à ce que le lien actif soit rétabli. Ceux-ci sont les métriques minimales de qualité du lien :

  • Perte de Paquets - 3 %
  • Gigue - 30 ms
  • Latence - 600 ms

Si un lien ne peut pas respecter une des métriques ci-dessus, le trafic est graduellement déplacé vers l'autre lien. Toutes les 10 secondes, le Socket évalue les liens et choisit le meilleur lien pour le trafic. Donc, si le Socket bascule vers le lien passif, il attend au moins 10 secondes avant de revenir au lien actif.

Dans certaines situations, le basculement vers le lien passif peut créer un trafic asymétrique entre deux sites. Par exemple, site1 et site2 sont tous deux configurés pour des déploiements actifs/passifs. Si le site1 échoue vers le lien passif, le site1 envoie du trafic sur WAN2, et le site2 envoie du trafic sur WAN1. Une autre situation est lorsque l'un des sites est configuré en déploiement actif/actif et l'autre côté est actif/passif. Le lien actif unique sur un site envoie du trafic aux deux liens actifs sur l'autre site.

Trafic hors nuage et déploiements actifs/actifs

Dans les déploiements actifs/actifs, les deux liens du Socket sont définis à la même précédence et fournissent une haute disponibilité et un équilibrage de charge pour le site. Pour chaque flux de trafic, le Socket surveille continuellement chaque lien et choisit la meilleure option.

Configurer un site pour Hors Nuage avec plusieurs liens

Définissez les paramètres du Socket pour configurer les liens afin d'envoyer le trafic hors nuage comme un déploiement actif/actif ou actif/passif.

Pour configurer un site pour le trafic hors-cloud actif/actif ou actif/passif :

  1. Dans le menu de navigation, sélectionnez Réseau > Sites, et sélectionnez le site.
  2. Dans le menu de navigation, sélectionnez Configuration du Site > Socket.

  3. Activez le trafic Hors Nuage pour ce site.

    Le curseur est gris lorsque cette option est désactivée.

  4. Configurez les paramètres pour le lien WAN 1 :

    1. Cliquez sur le lien.

      Le panneau Éditer Interface Socket s'ouvre.

    2. Dans la section Général, définissez la Priorité sur 1 (Actif).
    3. Développez la section Hors-Cloud.
    4. Dans le menu déroulant Statut du trafic, sélectionnez Activé.
    5. (Optionnel) Entrez l’IP publique et le numéro de port Statique pour le lien hors-cloud.
    6. Cliquez sur Appliquer. Les paramètres hors-cloud pour le lien WAN1 sont mis à jour.

  5. Répétez l'étape 4 et configurez les paramètres pour le lien WAN 2 :

    • Pour le mode actif/passif, définissez la Priorité sur 2 (Passif).
    • Pour le mode actif/actif, définissez la Priorité sur 1 (Actif).
  6. Cliquez sur Enregistrer. Les paramètres hors-cloud pour le site sont configurés.

Analytique Hors Nuage

Vous pouvez afficher les analyses et l'état pour le trafic et les tunnels hors nuage, dans l'écran Hors Nuage.

Pour afficher les analyses Hors-Cloud pour un site :

  1. Dans le menu de navigation, cliquez sur Réseau > Sites et sélectionnez le site.
  2. Dans le menu de navigation, cliquez sur Surveillance du Site > Hors-Cloud.

Événements de Transport Hors Nuage

L'écran Événements montre tous les événements de transport hors nuage pour votre compte. Les outils de recherche puissants vous permettent de creuser et d'identifier les quelques événements qui contiennent les données pertinentes dont vous avez besoin.

Vous pouvez en apprendre plus sur l'utilisation de l'écran des événements ici. Vous pouvez utiliser le préréglage SaaS Security API Data Protection pour filtrer les événements.

Événement Sous-Type Description
Connexion de Transport Hors-Cloud Le site se connecte au tunnel hors-cloud (généralement la connexion initiale)
Déconnexion de Transport Hors-Cloud Le transport hors-cloud pour le site se déconnecte

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 3 sur 3

0 commentaire