Cet article explique comment personnaliser une fonctionnalité de Configuration Avancée pour l'ensemble du compte.
Les options de la page Configuration Avancée vous donnent un contrôle granulaire accru sur différents paramètres de votre compte. L'écran montre également la valeur par défaut pour chacun des paramètres désactivés.
Lorsque vous désactivez un paramètre avancé, il revient à la valeur par défaut. Cependant, la valeur personnalisée est enregistrée et si vous activez le paramètre plus tard, la valeur personnalisée peut être utilisée.
Pour configurer les fonctionnalités de configuration avancée pour un compte :
- Dans le menu de navigation, cliquez sur Ressources > Configuration Avancée.
- Dans la colonne Statut, utilisez le commutateur pour activer ou désactiver le statut de chaque paramètre (vert est activé, gris est désactivé).
-
Pour configurer ou modifier la valeur d'un paramètre, cliquez sur le nom du paramètre dans la colonne Nom.
Le panneau Modifier <Nom du Paramètre> s'ouvre.
-
Dans le panneau Modifier, vous pouvez :
- Saisir ou sélectionner une Valeur
- Saisir ou modifier un Commentaire pour expliquer la raison de ce paramètre avancé (Recommandé)
- Cliquez sur Appliquer. La modification pour la configuration avancée est ajoutée à l'écran.
- Cliquez sur Sauvegarder. Les paramètres de configuration sont sauvegardés.
Lorsque vous configurez la fonctionnalité avancée pour un site ou un utilisateur SDP, cela remplace le paramètre pour le compte sur la page Configuration Avancée. Le tableau suivant montre chaque fonctionnalité avancée et si elle s'applique à un site ou à un utilisateur SDP.
Vous pouvez configurer les paramètres suivants uniquement pour des sites individuels (pas comme un paramètre global pour le compte) :
- Socket vers PoP Max MTU (s'applique uniquement aux Sockets physiques)
Pour plus de détails sur la Configuration avancée pour sites, consultez Configurations avancées pour un Site.
Lorsqu'un utilisateur SDP travaille dans un bureau qui est derrière un Socket de Cato, le Client Cato se connecte automatiquement à ce site. Ce comportement s'appelle le mode bureau VPN et il est activé par défaut pour tous les comptes. Sans mode bureau, lorsque le Client Cato se connecte au VPN derrière un Socket de Cato, le Client se connecte avec un tunnel VPN-dans-tunnel qui a souvent un impact négatif sur les performances.
Avec le mode bureau, le Client Cato se connecte à la Cato Cloud en utilisant le tunnel Socket et est traité comme un hôte régulier pour ce site. Le Client reçoit les paramètres réseau et de sécurité du site et empêche l'utilisation d'un tunnel VPN-dans-tunnel.
Parfois, le mode bureau peut empêcher quelqu'un qui visite une succursale de bureau de se connecter à des ressources dans un autre bureau, tel que le siège social. Vous pouvez choisir de permettre aux utilisateurs SDP de configurer le comportement du Client Cato pour le mode bureau.
Pour plus de détails sur comment activer les utilisateurs SDP pour configurer le Mode Bureau pour leurs clients, consultez Configuration du Mode Bureau.
Pour améliorer la résilience de votre réseau, la fonctionnalité de Récupération WAN fournit un support s'il y a des problèmes de connectivité dans la Cato Cloud, et les Sockets de Cato ne peuvent pas l'utiliser pour envoyer du trafic WAN aux autres sites. Cette fonctionnalité utilise automatiquement des tunnels de contournement pour maintenir la connectivité avec les autres sites Socket. Lorsque les Sockets rétablissent la connectivité à la Cato Cloud, ils reprennent automatiquement leur fonctionnement normal.
Note
Remarque: Le trafic Hors-Cloud doit être activé sur les liens WAN Socket pour permettre la Récupération WAN.
Pendant la récupération du réseau, le trafic WAN contourne la Cato Cloud et voici les changements pour le trafic :
- L'Application de Gestion Cato n'analyse pas les données pour la connectivité et ne génère pas d'alertes pour la santé ou la qualité du réseau
- Les pare-feu WAN et Internet ne sont pas appliqués au trafic
- Les services de Protection contre les Menaces ne sont pas appliqués au trafic
Pour configurer le paramètre Récupération WAN, consultez ci-dessus Configuration des Fonctionnalités Avancées pour le Compte avec ces valeurs :
- Désactivé - Paramètre global par défaut. Les Sockets établissent des tunnels avec d'autres sites Socket et utilisent des messages de maintien en activité pour maintenir les tunnels. La Récupération est activée par défaut pour tous les sites Socket dans le compte.
- Activé et En Marche - Le compte est configuré pour offrir une récupération pour le trafic WAN vers d'autres sites. La fonctionnalité est la même que Désactivé.
- Activé et Éteint - La récupération N'EST PAS activée pour ce compte, et les tunnels de contournement NE sont PAS pris en charge ou maintenus.
Note
Remarque : Les événements générés par la fonctionnalité de Récupération WAN sont décrits comme Récupération Hors-Cloud.
Pour plus de détails sur la configuration du paramètre de Récupération WAN global pour des sites spécifiques, voir Configurations avancées pour un site.
Pour améliorer la résilience du trafic Internet, la fonctionnalité Récupération via Internet offre un support s'il y a des problèmes de connexion au Cato Cloud, et que le Socket de Cato ne peut pas l'utiliser pour le trafic vers Internet. Lorsque cette fonctionnalité est activée, elle rétablit automatiquement la connectivité Internet avec les liens ISP pour envoyer le trafic vers Internet.
Pendant la récupération temporaire d'Internet, le trafic Internet contourne le Cato Cloud et voici les modifications apportées au trafic :
- Les règles du pare-feu Internet ne sont pas appliquées au trafic
- Les services de Protection contre les Menaces ne s'appliquent pas au trafic
- L'application de gestion de Cato n'analyse pas les données pour la connectivité et ne génère pas d'alertes pour le trafic Internet
Pour configurer le paramètre Récupération Internet, voir ci-dessus, Configuration des fonctionnalités avancées pour le compte avec ces valeurs :
- Désactivé - Paramètre global par défaut. La récupération est activée par défaut pour tous les sites Socket dans le compte. Nous vous recommandons d'utiliser ce paramètre.
- Activé et Allumé - Le compte est configuré pour fournir une récupération pour tout le trafic vers Internet. La fonctionnalité est la même que Désactivé.
- Activé et Éteint - La fonctionnalité Récupération via Internet est DÉSACTIVÉE pour ce compte.
Note
IMPORTANT ! Nous vous recommandons d'activer toujours la fonction Récupération via Internet et de sélectionner l'option Allumé ou Éteint pour gérer la récupération du trafic Internet. Lorsque cette fonctionnalité est désactivée, si le Socket ne peut pas se connecter au Cloud Cato, il ne route pas le trafic vers Internet.
Pour plus de détails sur la configuration du mode de récupération Internet global pour un site spécifique, voir Configurations avancées pour un site.
Si vous travaillez avec un UCaaS et que vous disposez d'une règle réseau de sortie pour le trafic VoIP ou SIP, parfois l'UCaaS (tel que RingCentral) a des problèmes si l'adresse IP change. Lorsque la fonction IP préférée pour le trafic SIP est activée, le trafic VoIP et SIP utilise toujours la même adresse IP de sortie.
Note
Remarque : Vous devez avoir une règle réseau de sortie pour le trafic VoIP ou SIP pour utiliser cette fonction.
Lors de la création d'un SA enfant, Cato envoie plusieurs sélecteurs de trafic (TS) dans la même charge utile TS conformément à la RFC 7295. Certaines solutions tierces, telles que les Cisco ASA, ne prennent en charge qu'un seul TS dans chaque SA enfant. Un Cisco ASA enverra un message TS_UNACCEPTABLE en réponse à une proposition de Cato de créer un SA enfant avec plusieurs TS.
Lorsque IKEv2 envoyer un seul TS par charge utile est activé et réglé sur Allumé, un seul TS est envoyé dans chaque SA enfant. Il est désactivé par défaut.
Par défaut, le trafic au sein d'un site (par exemple, entre les VLAN) est acheminé via le PoP de Cato, qui inspecte le trafic. Le trafic circule du VLAN vers le PoP dans le Cato Cloud puis vers l'autre VLAN.
Si un site est temporairement déconnecté du Cato Cloud, le comportement par défaut est le fail-open. Le trafic circule du VLAN directement vers l'autre VLAN sans être inspecté. Vous pouvez changer le comportement global par défaut au niveau du compte en fail-closed, pour que par défaut tous les sites Socket bloquent le trafic de routage local lorsqu'ils se déconnectent du PoP. Nécessite Socket v15.0 ou supérieur.
Note
Remarque : Pour les sites configurés avec des règles de pare-feu LAN ou de routage local, ces règles prennent le pas sur le paramètre Bloquer le routage local lorsqu'ils sont déconnectés du PoP. Par conséquent, ce paramètre ne s'applique pas au trafic qui correspond aux règles.
Pour configurer les paramètres Bloquer le routage local lorsqu'il est déconnecté du PoP, voir ci-dessus Vue d'ensemble de la Configuration avancée pour le compte avec ces valeurs :
- Désactivé - Paramètre global par défaut. L'acheminement du trafic au sein d'un site pris en charge est autorisé lorsque le site est déconnecté du PoP. Il s'agit d'un comportement fail-open.
- Activé et Allumé - L'acheminement du trafic au sein d'un site pris en charge est bloqué lorsque le site est déconnecté du PoP. Il s'agit d'un comportement fail-closed.
- Activé et Éteint - L'acheminement du trafic au sein d'un site pris en charge est autorisé lorsque le site est déconnecté du PoP. Il s'agit d'un comportement fail-open. La fonctionnalité est la même que Désactivé.
Le diagramme suivant montre le comportement du routage local :
Vérifier l'OID dans le certificat de dispositif améliore les vérifications des certificats de dispositif. Lorsque activé, vous pouvez définir une liste d'OID de certificats de dispositif pouvant se connecter à votre réseau. Seuls les dispositifs s'authentifiant avec un certificat correspondant à un OID défini peuvent se connecter. Séparez plusieurs OID par un point-virgule et dans le format suivant :
- cert_ext_obj(cert, "<clé_extension>") == "<valeur_OID1>;<valeur_OID2>"
La clé d'extension et les valeurs OID peuvent être trouvées à l'aide des outils de certificat certutil ou openssl x509.
Cette fonctionnalité est désactivée par défaut. Les utilisateurs SDP peuvent ne pas être en mesure de se connecter à votre réseau si vous activez ce paramètre sans avoir correctement configuré les certificats de votre dispositif.
Révoquer les certificats par numéro de série améliore les vérifications des certificats de dispositif. Lorsque activé, vous pouvez définir une liste de numéros de série de certificats bloqués. Les dispositifs s'authentifiant avec un certificat correspondant à un numéro de série défini sont bloqués.
- Chaque numéro de série doit être dans un format avec un délimiteur (1a:2b:3c:4d ...)
-
Séparez plusieurs numéros de série par une virgule
Il n'y a pas de limite quant au nombre de numéros de série que vous pouvez révoquer
Cette fonctionnalité est désactivée par défaut. Les utilisateurs SDP peuvent ne pas être en mesure de se connecter à votre réseau si vous activez ce paramètre sans avoir correctement configuré les certificats de votre dispositif.
Le Proxy TCP vous permet de modifier votre mode de proxy TCP WAN pour démarrer sur les premiers paquets SYN pour chaque connexion OU pour retarder et démarrer le proxy TCP WAN après la complétion de l'échange de clés TCP. Pour plus de détails sur le mode de proxy TCP, voir Explication de l'accélération TCP de Cato et bonnes pratiques.
Pour configurer les paramètres Accélération TCP sur SYN pour le trafic WAN, voir ci-dessus Vue d'ensemble de la Configuration avancée pour le compte avec ces valeurs :
- Allumé - Proxy TCP WAN complet.
- Éteint - Préserver la négociation TCP WAN originale et retarder le proxy TCP.
Les micro-extinctions se caractérisent par une montée soudaine de paquets ou de trames de données qui se produisent dans un laps de temps très court.
Lorsque des micro-explosions dépassent la limite de débit d'un site en peu de temps, une perte de paquets peut se produire en raison de chutes excessives de paquets par le fournisseur de dernière ligne (ISP).
Valeur de l'explosivité descendante et Valeur de l'explosivité montante vous permettent d'ajuster comment vos sites gèrent les micro-explosions sur le réseau en modifiant les valeurs du niveau d'explosivité selon les directions descendante ou montante. La modification des valeurs de niveau d'explosivité peut atténuer la perte de paquets causée par l'explosivité en appliquant une politique de suivi plus agressive ou plus permissive pour les micro-explosions. La valeur par défaut de l'explosivité dépend de la bande passante de l'interface :
- Pour une bande passante d'interface de 40 Mbps et plus, la valeur par défaut est de 0,2
- Pour une bande passante d'interface inférieure à 40 Mbps, la valeur par défaut est de 0,1
Pour plus de détails sur le burstiness et la perte de paquets, consultez Comment dépanner la perte de paquets d'un site Socket.
Note
Remarques :
- Tous les Sockets doivent fonctionner sur la version 12.0 et supérieure pour prendre en charge la configuration de l'explosivité.
- La nouvelle valeur est appliquée uniquement après la réinitialisation du tunnel.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.