Configurations Avancées pour un Site

Cet article explique comment personnaliser une Configuration Avancée pour un site spécifique.

Utiliser des Configurations Avancées pour un Site

La section de Configuration Avancée pour un site vous permet de configurer des fonctionnalités et paramètres avancés pour ce site. Les fonctionnalités disponibles dans la section dépendent du Type de Connexion pour le site. Pour en savoir plus sur l'utilisation des fonctionnalités avancées, voir Travailler avec la Configuration Avancée pour le Compte.

Lorsqu'un paramètre avancé est désactivé, vous le configurez pour utiliser le paramètre global.

Pour configurer une fonctionnalité avancée pour un Site :

  1. Dans le menu de navigation, cliquez sur Network > Sites et sélectionnez le site.

  2. Dans le menu de navigation, cliquez sur Configuration Avancée.

  3. Dans la colonne Status, utilisez l'interrupteur pour activer ou désactiver le statut de chaque paramètre (vert est activé, gris est désactivé).

  4. Pour configurer ou éditer la valeur d'un paramètre, cliquez sur le nom du paramètre dans la colonne Name.

    Le panneau Edit <Setting Name> s'ouvre.

  5. Dans le panneau Edit, vous pouvez :

    • Entrer ou sélectionner une Valeur

    • Entrer ou éditer un Commentaire pour expliquer la raison de ce paramètre avancé (Recommandé)

  6. Cliquez sur Appliquer. Le changement pour la configuration avancée est ajouté à l'écran.

  7. Cliquez sur Sauvegarder. Les paramètres de configuration sont sauvegardés.

Travailler avec les Paramètres de Compte et de Site

Certaines fonctionnalités de la section de Configuration Avancée peuvent être configurées soit pour un site spécifique, soit pour tous les sites de votre compte. Lorsque vous configurez la fonctionnalité avancée pour un site, elle remplace le paramètre pour le compte (dans Assets > Configuration Avancée). Certaines fonctionnalités sont uniquement compatibles avec les sites Socket. Par exemple, la fonctionnalité alpha est uniquement compatible avec les Sockets. Si vous configurez la fonctionnalité alpha pour l'ensemble du compte, elle ne concerne que les sites Socket.

Configurer la Récupération WAN pour un Site

Pour améliorer la résilience de votre Network, la fonctionnalité de Récupération WAN fournit un Support si des problèmes de connectivité surviennent dans le Cato Cloud, et les Sockets ne peuvent pas l'utiliser pour envoyer du trafic WAN vers les autres sites. Cette fonctionnalité utilise automatiquement des tunnels de contournement pour maintenir la connectivité avec les autres sites Socket. Lorsque les Sockets rétablissent la connectivité avec le Cato Cloud, ils reprennent automatiquement le fonctionnement normal.

Remarque

Remarque: Le trafic Off-Cloud doit être activé sur les liens WAN Socket pour permettre la Récupération WAN.

Lors de la récupération temporaire WAN, le trafic WAN contourne le Cato Cloud et ce sont les changements apportés au trafic :

  • L'Application de Gestion Cato n'analyse pas les données de connectivité et ne génère pas d'alertes pour la santé ou la qualité du réseau

  • La pile de sécurité Cato (pare-feu et services de Sécurité) n'est pas appliquée au trafic

Pour configurer le paramètre de Récupération WAN, voir ci-dessus Utiliser des Configurations Avancées pour un Site avec ces valeurs :

  • Désactivé - Ce site utilise le paramètre configuré pour le compte.

  • Activé et On - Ce site est configuré pour fournir une récupération du trafic WAN vers d'autres sites. La fonctionnalité est la même que Désactivé.

  • Activé et Off - La récupération n'est PAS activée pour ce site, et les tunnels de contournement ne sont PAS pris en charge ou maintenus.

Pour en savoir plus sur la configuration du paramètre global de récupération WAN pour tous les sites, consultez Travailler avec la Configuration Avancée pour le Compte.

Configurer la Récupération via Internet pour un Site

Pour améliorer la résilience du trafic Internet, la fonctionnalité Récupération via Internet fournit un Support si des problèmes de connexion au Cato Cloud surviennent et que le Cato Socket ne peut pas l'utiliser pour le trafic vers Internet. Lorsque activée, cette fonctionnalité rétablit automatiquement la connectivité Internet avec les liens ISP pour envoyer du trafic vers Internet.

Pendant la récupération temporaire d'Internet, le trafic Internet contourne le Cato Cloud et ce sont les changements apportés au trafic :

  • Les pare-feux Internet et les règles de filtrage d'URL ne sont pas appliqués au trafic

  • Les services de Protection Contre les Menaces ne sont pas appliqués au trafic

  • L'Application de Gestion Cato n'analyse pas les données de connectivité et ne génère pas d'alertes pour le trafic Internet

Pour configurer le paramètre de Récupération Internet, voir ci-dessus Utiliser des Configurations Avancées pour un Site avec ces valeurs :

  • Désactivé - Ce site utilise le paramètre configuré pour le compte.

  • Activé et On - Ce site est configuré pour fournir une récupération pour tout le trafic vers Internet. La fonctionnalité est la même que Désactivé.

  • Activé et Off - La fonctionnalité Récupération via Internet est DÉSACTIVÉE pour ce site.

Remarque

IMPORTANT! Nous vous recommandons d'activer toujours la fonctionnalité Récupération via Internet et de sélectionner l'option On ou Off pour gérer la récupération du trafic Internet. Lorsque cette fonctionnalité est désactivée, des problèmes peuvent survenir avec les paramètres configurés en utilisant l'interface Web Socket.

Configurer le MTU pour les Tunnels DTLS vers le Cato Cloud

Vous pouvez configurer le MTU maximum pour les tunnels DTLS entre le Socket et le PoP dans le Cato Cloud. Pour le trafic à l'intérieur de ces tunnels DTLS, cette valeur remplace le MTU configuré dans l'interface Web Socket. Ce paramètre est uniquement pertinent pour les Sockets physiques, et il ne s'applique pas aux vSockets.

Utilisez le champ Socket to PoP max MTU pour configurer le MTU pour les tunnels DTLS, voir ci-dessus Utiliser des Configurations Avancées pour un Site.

Blocage du Routage Local lorsque le Site est Déconnecté du PoP

Par défaut, le trafic à l'intérieur du site (par exemple, entre VLANs) est dirigé via le PoP Cato, qui inspecte le trafic. Le trafic circule de la VLAN au PoP dans le Cato Cloud puis vers l'autre VLAN.

Si un site est temporairement déconnecté du Cato Cloud, le comportement par défaut est fail-open. Le trafic circule de la VLAN directement à l'autre VLAN sans être inspecté. Vous pouvez personnaliser ce comportement pour un site spécifique, de manière à ce qu'il soit différent du paramètre global par défaut pour le compte. Nécessite Socket v15.0 ou une version supérieure.

Vous pouvez également choisir de définir le comportement global au niveau du compte comme fail-closed, de sorte que par défaut, tous les sites Socket bloquent le trafic de routage local lorsqu'ils se déconnectent du PoP.

Remarque

Remarque: Pour les sites configurés avec des règles de pare-feu LAN ou de Routage Local, ces règles ont la priorité sur le paramètre Blocage du Routage Local lorsque déconnecté du PoP. Par conséquent, ce paramètre ne s'applique PAS au trafic qui correspond aux règles.

Pour configurer le paramètre Blocage du Routage Local lorsque déconnecté du PoP, voir ci-dessus Utiliser des Configurations Avancées pour un Site avec ces valeurs :

  • Désactivé - Ce site utilise le paramètre configuré pour le compte.

  • Activé et On - Le routage du trafic à l'intérieur de ce site est bloqué lorsque ce site est déconnecté du PoP. C'est un comportement de type fail-closed.

  • Activé et Off - Le routage du trafic à l'intérieur de ce site est autorisé lorsque ce site est déconnecté du PoP. C'est un comportement de type fail-open.

Le schéma suivant montre le comportement du routage local :

Blocage_Routage_Local.png

Modification du Mode Proxy TCP WAN

TCP Proxy vous permet de modifier votre mode proxy TCP WAN pour démarrer sur les premiers paquets SYN de chaque connexion OU de retarder et de lancer le proxy TCP WAN après que la poignée de main TCP ait été complétée. Vous pouvez en lire plus sur les deux modes de proxy TCP dans Explaining the Cato TCP Acceleration and Best Practices.

Pour changer le Mode Proxy TCP WAN :

  1. Sur la page Advanced Configuration, cliquez sur la configuration TCP Proxy. Le panneau Edit Configuration s'ouvre.

  2. Activez la configuration et sélectionnez la valeur du mode :

    1. On - Proxy TCP WAN complet.

    2. Off - Préserver la négociation TCP WAN originale et retarder le proxy TCP.

Modification de la Valeur de Burstiness

Les micro-explosions se caractérisent par une soudaine vague de paquets ou de trames de données qui se produisent dans un laps de temps très court.

Lorsque les micro-explosions dépassent la limite de taux d'un site dans un court laps de temps, une perte de paquets peut se produire en raison de chutes excessives de paquets par le fournisseur de dernière mile (ISP).

Les valeurs Burstiness downstream et Burstiness upstream vous permettent d'ajuster la manière dont vos sites gèrent les micro-explosions sur le Network en modifiant les valeurs de niveau de burstiness selon les directions downstream ou upstream. Modifier les valeurs du niveau de burstiness peut atténuer la perte de paquets causée par le burstiness en appliquant une politique de façonnage plus agressive ou plus permissive pour les micro-explosions. La valeur par défaut de burstiness dépend de la bande passante de l'interface :

  • Pour une bande passante d'interface de 40 Mbps et plus, la valeur par défaut est 0,2

  • Pour une bande passante d'interface inférieure à 40 Mbps, la valeur par défaut est 0,1

Pour en savoir plus sur le burstiness et la perte de paquets, consultez Comment dépanner la perte de paquets d'un site Socket.

Pour configurer le paramètre Valeur de Burstiness pour le trafic upstream ou downstream, voir ci-dessus Utilisation de configurations avancées pour un site.

Remarque

Remarques:

  • Tous les Sockets doivent fonctionner sur la version 12,0 et au-delà pour supporter la configuration du burstiness.

  • La nouvelle valeur est appliquée uniquement après une réinitialisation du tunnel.

Modification des valeurs de durée de vie IPsec

Les phases IPsec ont une durée de vie, qui est la période pendant laquelle l'Association de Sécurité (SA) est valide.

Les secondes de durée de vie IPsec P1 et IPsec P2 sont deux paramètres de configuration avancée qui vous permettent de modifier la durée de vie de chaque phase pour correspondre aux paramètres distants pour IKEv1 et IKEv2, respectivement. Les valeurs par défaut de la durée de vie dépendent de la phase :

  • Pour la phase 1, les valeurs par défaut sont :

    • Pour IKEv1 : 86400

    • Pour IKEv2 : 19800

    Remarque

    Remarque : Par défaut, ces valeurs ne sont pas affichées dans la Cato Management Application. Si vous souhaitez définir ces valeurs, suivez la procédure décrite ci-dessus.

  • Pour la phase 2, la valeur par défaut est de 3600 pour IKEv1 et IKEv2.

La configuration est appliquée après le redémarrage du tunnel, ou après l'expiration de la durée de vie actuelle de SA.

Pour plus d'informations, consultez les articles de Sites IPsec.

Saisie d'une Adresse MAC Statique

Certains dispositifs n'ont pas ARP activé pour des raisons de sécurité. Pour activer la découverte de ces dispositifs, vous pouvez maintenant les ajouter manuellement à votre site en fournissant une chaîne JSON au format suivant :

{ \"ifc_id\": \"LAN1\", \"ip\": \"10.10.10.1\", \"mac\": \"7c:05:1e:11:11:12\" }

Chacun des champs présente les paramètres suivants : 'ifc_id' spécifie l'interface LAN, 'ip' est l'adresse IP du dispositif et 'mac' est l'adresse MAC du dispositif

  • ifc_id est l'interface LAN. Dans l'exemple ci-dessus, LAN1

  • ip est l'adresse IP du dispositif. Dans l'exemple ci-dessus, 10.10.10.1

  • mac est l'adresse MAC du dispositif. Dans l'exemple ci-dessus, 7c:05:1e:11:11:12

La configuration est disponible pour tous les sites Socket version 20 et ultérieures.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire