Configurations Avancées pour un Site

Cet article explique comment personnaliser une Configuration Avancée pour un site spécifique.

Utilisation de configurations avancées pour un site

La section de Configuration Avancée pour un site vous permet de configurer des fonctionnalités et paramètres avancés pour ce site. Les fonctionnalités disponibles dans la section dépendent du Type de Connexion pour le site. Pour en savoir plus sur l'utilisation des fonctionnalités avancées, voir Travailler avec la Configuration Avancée pour le Compte.

Lorsqu'un paramètre avancé est désactivé, vous le configurez pour utiliser le paramètre global.

Pour configurer une fonctionnalité avancée pour un site :

  1. À partir du menu de navigation, cliquez sur Réseau > Sites et sélectionnez le site.
  2. À partir du menu de navigation, cliquez sur Configuration avancée.
  3. Dans la colonne Statut, utilisez le bouton bascule pour activer ou désactiver le statut de chaque paramètre (vert activé, gris désactivé).

  4. Pour configurer ou éditer la valeur d'un paramètre, cliquez sur le nom du paramètre dans la colonne Name.

    Le panneau Edit <Setting Name> s'ouvre.

  5. Dans le panneau Edit, vous pouvez :

    • Entrez ou sélectionnez une Valeur
    • Entrez ou modifiez un Commentaire pour expliquer la raison de ce paramètre avancé (recommandé)
  6. Cliquez sur Appliquer. La modification pour la configuration avancée est ajoutée à l'écran.
  7. Cliquez sur Sauvegarder. Les paramètres de configuration sont enregistrés.

Travailler avec les paramètres de compte et de site

Certaines fonctionnalités de la section de Configuration Avancée peuvent être configurées soit pour un site spécifique, soit pour tous les sites de votre compte. Lorsque vous configurez la fonctionnalité avancée pour un site, elle remplace le paramètre pour le compte (dans Assets > Configuration Avancée). Certaines fonctionnalités sont uniquement compatibles avec les sites Socket. Par exemple, la fonctionnalité alpha est uniquement compatible avec les Sockets. Si vous configurez la fonctionnalité alpha pour l'ensemble du compte, elle ne concerne que les sites Socket.

Configurer la récupération WAN pour un site

Pour améliorer la résilience de votre Network, la fonctionnalité de Récupération WAN fournit un Support si des problèmes de connectivité surviennent dans le Cato Cloud, et les Sockets ne peuvent pas l'utiliser pour envoyer du trafic WAN vers les autres sites. Cette fonctionnalité utilise automatiquement des tunnels de contournement pour maintenir la connectivité avec les autres sites Socket. Lorsque les Sockets rétablissent la connectivité avec le Cato Cloud, ils reprennent automatiquement le fonctionnement normal.

Remarque

Remarque: Le trafic Off-Cloud doit être activé sur les liens WAN Socket pour permettre la Récupération WAN.

Lors de la récupération temporaire WAN, le trafic WAN contourne le Cato Cloud et ce sont les changements apportés au trafic :

  • L'application de gestion Cato n'analyse pas les données de connectivité et ne génère pas d'alertes pour la santé ou la qualité du réseau
  • La pile de sécurité Cato (pare-feu et services de sécurité) n'est pas appliquée au trafic

Pour configurer le paramètre de Récupération WAN, voir ci-dessus Utiliser des Configurations Avancées pour un Site avec ces valeurs :

  • Désactivé - Ce site utilise le paramètre configuré pour le compte.
  • Activé et Activé - Ce site est configuré pour fournir la récupération du trafic WAN vers d'autres sites. La fonctionnalité est la même que Désactivé.
  • Activé et Désactivé - La récupération n'est pas activée pour ce site, et les tunnels de contournement ne sont pas pris en charge ni maintenus.

Pour en savoir plus sur la configuration du paramètre global de récupération WAN pour tous les sites, consultez Travailler avec la Configuration Avancée pour le Compte.

Configurer la récupération via Internet pour un site

Pour améliorer la résilience du trafic Internet, la fonctionnalité Récupération via Internet fournit un Support si des problèmes de connexion au Cato Cloud surviennent et que le Cato Socket ne peut pas l'utiliser pour le trafic vers Internet. Lorsque activée, cette fonctionnalité rétablit automatiquement la connectivité Internet avec les liens ISP pour envoyer du trafic vers Internet.

Pendant la récupération temporaire d'Internet, le trafic Internet contourne le Cato Cloud et ce sont les changements apportés au trafic :

  • Les pare-feu Internet et les règles de filtrage URL ne sont pas appliqués au trafic
  • Les services de protection contre les menaces ne sont pas appliqués au trafic
  • L'application de gestion Cato n'analyse pas les données de connectivité et ne génère pas d'alertes pour le trafic Internet

Pour configurer le paramètre de Récupération Internet, voir ci-dessus Utiliser des Configurations Avancées pour un Site avec ces valeurs :

  • Désactivé - Ce site utilise le paramètre configuré pour le compte.
  • Activé et Activé - Ce site est configuré pour fournir la récupération pour tout le trafic Internet. La fonctionnalité est la même que Désactivé.
  • Activé et Désactivé - La fonctionnalité Récupération via Internet est DÉSACTIVÉE pour ce site.

Remarque

IMPORTANT! Nous vous recommandons d'activer toujours la fonctionnalité Récupération via Internet et de sélectionner l'option On ou Off pour gérer la récupération du trafic Internet. Lorsque cette fonctionnalité est désactivée, des problèmes peuvent survenir avec les paramètres configurés en utilisant l'interface Web Socket.

Configurer le MTU pour les tunnels DTLS vers le Cloud Cato

Vous pouvez configurer le MTU maximum pour les tunnels DTLS entre le Socket et le PoP dans le Cato Cloud. Pour le trafic à l'intérieur de ces tunnels DTLS, cette valeur remplace le MTU configuré dans l'interface Web Socket. Ce paramètre est uniquement pertinent pour les Sockets physiques, et il ne s'applique pas aux vSockets.

Utilisez le champ Socket to PoP max MTU pour configurer le MTU pour les tunnels DTLS, voir ci-dessus Utiliser des Configurations Avancées pour un Site.

Bloquer le routage local lorsqu'un site est déconnecté du PoP

Par défaut, le trafic à l'intérieur du site (par exemple, entre VLANs) est dirigé via le PoP Cato, qui inspecte le trafic. Le trafic circule de la VLAN au PoP dans le Cato Cloud puis vers l'autre VLAN.

Si un site est temporairement déconnecté du Cato Cloud, le comportement par défaut est fail-open. Le trafic circule de la VLAN directement à l'autre VLAN sans être inspecté. Vous pouvez personnaliser ce comportement pour un site spécifique, de manière à ce qu'il soit différent du paramètre global par défaut pour le compte. Nécessite Socket v15.0 ou une version supérieure.

Vous pouvez également choisir de définir le comportement global au niveau du compte comme fail-closed, de sorte que par défaut, tous les sites Socket bloquent le trafic de routage local lorsqu'ils se déconnectent du PoP.

Remarque

Remarque: Pour les sites configurés avec des règles de pare-feu LAN ou de Routage Local, ces règles ont la priorité sur le paramètre Blocage du Routage Local lorsque déconnecté du PoP. Par conséquent, ce paramètre ne s'applique PAS au trafic qui correspond aux règles.

Pour configurer le paramètre Blocage du Routage Local lorsque déconnecté du PoP, voir ci-dessus Utiliser des Configurations Avancées pour un Site avec ces valeurs :

  • Désactivé - Ce site utilise le paramètre configuré pour le compte.
  • Activé et Activé - Le routage du trafic au sein de ce site est bloqué lorsque ce site est déconnecté du PoP. Ceci est un comportement fail-closed.
  • Activé et Désactivé - Le routage du trafic au sein de ce site est autorisé lorsque ce site est déconnecté du PoP. Ceci est un comportement fail-open.

Le schéma suivant montre le comportement du routage local :

Blocage_Routage_Local.png

Modifier le mode proxy TCP WAN

TCP Proxy vous permet de modifier votre mode proxy TCP WAN pour démarrer sur les premiers paquets SYN de chaque connexion OU de retarder et de lancer le proxy TCP WAN après que la poignée de main TCP ait été complétée. Vous pouvez en lire plus sur les deux modes de proxy TCP dans Explaining the Cato TCP Acceleration and Best Practices.

Pour changer le Mode Proxy TCP WAN :

  1. Dans la page Configuration avancée, cliquez sur la configuration Proxy TCP. Le volet Modifier la configuration s'ouvre.
  2. Activer la configuration et sélectionner la valeur du mode :
    1. Activé - Proxy TCP WAN complet.
    2. Désactivé - Préserver la négociation TCP WAN originale et retarder le proxy TCP.

Modifier la valeur de la Burstiness

Les micro-explosions se caractérisent par une soudaine vague de paquets ou de trames de données qui se produisent dans un laps de temps très court.

Lorsque les micro-explosions dépassent la limite de taux d'un site dans un court laps de temps, une perte de paquets peut se produire en raison de chutes excessives de paquets par le fournisseur de dernière mile (ISP).

Les valeurs Burstiness downstream et Burstiness upstream vous permettent d'ajuster la manière dont vos sites gèrent les micro-explosions sur le Network en modifiant les valeurs de niveau de burstiness selon les directions downstream ou upstream. Modifier les valeurs du niveau de burstiness peut atténuer la perte de paquets causée par le burstiness en appliquant une politique de façonnage plus agressive ou plus permissive pour les micro-explosions. La valeur par défaut de burstiness dépend de la bande passante de l'interface :

  • Pour une bande passante d'interface de 40 Mbps et plus, la valeur par défaut est 0.2
  • Pour une bande passante d'interface inférieure à 40 Mbps, la valeur par défaut est 0.1

Pour en savoir plus sur le burstiness et la perte de paquets, consultez Comment dépanner la perte de paquets d'un site Socket.

Pour configurer le paramètre Valeur de Burstiness pour le trafic upstream ou downstream, voir ci-dessus Utilisation de configurations avancées pour un site.

Remarque

Remarques:

  • Tous les sockets doivent fonctionner sous la version 12.0 et supérieure pour prendre en charge la configuration de la burstiness.
  • La nouvelle valeur est appliquée uniquement après la réinitialisation du tunnel.

Modification des valeurs de durée de vie IPsec

Les phases IPsec ont une durée de vie, qui est la période pendant laquelle l'Association de Sécurité (SA) est valide.

Les secondes de durée de vie IPsec P1 et IPsec P2 sont deux paramètres de configuration avancée qui vous permettent de modifier la durée de vie de chaque phase pour correspondre aux paramètres distants pour IKEv1 et IKEv2, respectivement. Les valeurs par défaut de la durée de vie dépendent de la phase :

  • Pour la phase 1, les valeurs par défaut sont :

    • Pour IKEv1 : 86400
    • Pour IKEv2 : 19800

    Remarque

    Remarque : Par défaut, les valeurs P1 ne sont pas affichées dans l'application de gestion Cato. Si vous souhaitez définir ces valeurs, suivez la procédure décrite ci-dessus.

  • Pour la phase 2, la valeur par défaut est 3600 pour IKEv1 et IKEv2.

La configuration est appliquée après le redémarrage du tunnel, ou après l'expiration de la durée de vie actuelle de SA.

Pour plus d'informations, consultez les articles de Sites IPsec.

Entrer une adresse MAC statique

Certains dispositifs n'ont pas ARP activé pour des raisons de sécurité. Pour activer la découverte de ces dispositifs, vous pouvez maintenant les ajouter manuellement à votre site en fournissant une chaîne JSON au format suivant :

{ \"ifc_id\": \"LAN1\", \"ip\": \"10.10.10.1\", \"mac\": \"7c:05:1e:11:11:12\" }

Chacun des champs présente les paramètres suivants : 'ifc_id' spécifie l'interface LAN, 'ip' est l'adresse IP du dispositif et 'mac' est l'adresse MAC du dispositif

  • ifc_id est l'interface LAN. Dans l'exemple ci-dessus, LAN1
  • ip est l'adresse IP de l'appareil. Dans l'exemple ci-dessus, 10.10.10.1
  • mac est l'adresse MAC de l'appareil. Dans l'exemple ci-dessus, 7c:05:1e:11:11:12

La configuration est disponible pour tous les sites Socket version 20 et ultérieures.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire