Les règles réseau vous permettent de diriger et de prioriser le trafic sur vos connexions WAN et Internet, vous offrant un contrôle granulaire sur la performance, le routage et l'utilisation des liens. En créant des règles basées sur l'application, la source et la destination, vous pouvez garantir que le trafic critique reçoit le bon QoS, optimiser la latence ou la perte de paquets, et choisir les meilleurs chemins de transport. Utilisez la page des règles réseau pour définir l'ordre des règles, appliquer les paramètres d'accélération et configurer les comportements de routage avancés qui s'alignent avec vos besoins professionnels et techniques.
Pour plus d'informations sur les règles réseau et Cato, consultez Qu'est-ce que la base de règles réseau de Cato?.
Les colonnes Source, App/Catégorie, et Destination forment une relation ET : la règle est déclenchée uniquement si le trafic correspond aux critères définis dans les trois colonnes.
Lorsqu'il y a plusieurs éléments dans une colonne, il y a une relation OU: la règle est appliquée si le trafic correspond aux critères définis pour l'un des éléments. Par exemple, une règle qui définit App/Catégorie avec Service pour TCP et pour UDP, cette règle correspond au trafic TCP ou UDP.
La page des Règles de Réseau permet à différents administrateurs de modifier la politique en parallèle. Chaque admin peut modifier les règles et sauvegarder les changements dans la base de règles dans leur propre révision privée, puis les publier dans la politique de compte (la révision publiée). Pour plus d'informations sur la gestion des révisions de politique, voir Travailler avec les révisions de politique.
Contrôlez si la politique de règle réseau est appliquée en utilisant le bouton de bascule Règles réseau activées dans la page des règles réseau. Lorsque la politique est activée, les règles configurées sont appliquées pour acheminer et prioriser le trafic dans votre compte. Désactiver la politique stoppe immédiatement l'application de ces règles.
Pour appliquer un acheminement de trafic personnalisé ou QoS aux flux de trafic WAN ou Internet spécifiques, créez une règle réseau qui définit le trafic et comment il doit être géré. Les règles réseau sont une politique ordonnée, et elles sont évaluées conformément à leur ordre. Créez une nouvelle règle à la position correcte, telle qu'avant ou après une règle existante.
Lors de la configuration de la Source, vous définissez à quel trafic la règle s'applique. Vous pouvez choisir parmi une variété d'objets globaux, tels que des plages IP, des catégories d'application ou des groupes d'utilisateurs, pour correspondre au trafic concerné.
Chaque règle inclut les options de configuration suivantes :
- Priorité de bande passante - Attribue une priorité QoS au trafic pour garantir les performances des flux critiques pour l'entreprise pendant la congestion.
- Accélération et optimisation - Active l'accélération TCP et la duplication des paquets pour réduire la latence et la perte de paquets.
- Transport Principal et Secondaire - Définit les types de transport préférés pour le routage du trafic (Cato Cloud, Hors-Cloud, ou Alt. WAN)
- Méthode de routage - Sortez du trafic d'un PoP spécifique, attribuez des adresses IP NAT, ou réacheminez le trafic Internet via des sites passerelles.
Pour créer une règle réseau WAN ou Internet :
- Dans le menu de navigation, cliquez sur Réseau > Règles réseau.
- Cliquez sur Nouveau > Nouvelle Règle. Le panneau Ajouter une Règle Réseau s'ouvre.
- Depuis la section Général, configurez les paramètres suivants pour la règle :
- Saisissez le Nom de la règle.
- Activez ou désactivez la règle à l'aide du curseur (vert est activé, gris est désactivé).
- Sélectionnez la Position pour la nouvelle règle.
- Dans le menu déroulant Type de Règle, sélectionnez si cette règle concerne le trafic WAN ou Internet.
- Développez la section Source et sélectionnez un ou plusieurs objets pour la source de trafic de cette règle (ou vous pouvez entrer une adresse IP).
- Sélectionnez le type (par exemple : Hôte, Interface Réseau, IP, Plage d'IP, ou N'importe lequel). La valeur par défaut est N'importe lequel.
- Le cas échéant, sélectionnez un objet spécifique dans la liste déroulante pour ce type.
- Développez la section Critères et ajoutez les conditions de l'appareil à la règle. Pour plus d'informations, voir Ajout des Conditions d'Appareil aux Règles de Pare-feu. Les valeurs par défaut sont N'importe lequel.
- Pour les règles de trafic WAN, développez la section Destination et sélectionnez un ou plusieurs objets pour la destination de trafic de cette règle.
-
Développez la section App/Catégorie et sélectionnez une ou plusieurs applications pour la règle.
Lorsqu'il y a plus d'un objet App/Catégorie dans une règle, il y a une relation OU entre eux. La valeur par défaut est Tout.
Pour une explication détaillée de chacune des options dans la section App/Catégorie, voir Référence pour Objets de Règle.
-
Dans la section Configuration, vous pouvez configurer les réglages suivants pour la règle réseau (voir les explications ci-dessous):
- Priorité de la Bande Passante
- Transport Principal et Transport Secondaire
-
Cliquez sur Sauvegarder. Le panneau se ferme et les paramètres sont mis à jour dans la base de règles.
Les modifications sont enregistrées dans votre révision non publiée et sont disponibles pour modification jusqu'à leur publication ou leur rejet.
- Cliquez sur Publier. Une fenêtre de confirmation s'ouvre, cliquez sur Publier.
Par défaut, les nouvelles règles sont assignées à la priorité par défaut (p255), que vous pouvez modifier selon les besoins QoS de votre réseau.
Plus le numéro de priorité est bas, plus la priorité QoS de la règle est élevée. Par exemple, une règle avec priorité 10 a une priorité QoS supérieure à une règle avec priorité 40.
Pour plus d'informations sur la définition des politiques de bande passante pour votre compte, consultez Configuration des Profils de Gestion de Bande Passante.
Pour changer la priorité de la bande passante pour une règle :
- Dans le menu de navigation, cliquez sur Réseau > Règles réseau.
- Cliquez sur la règle réseau. Le panneau Modifier la Règle Réseau s'ouvre.
- Développez la section Configuration.
- Dans la section Gestion de la Bande Passante, depuis le menu déroulant Priorité de la Bande Passante, sélectionnez la priorité QoS pour cette règle.
-
Cliquez sur Sauvegarder. Le panneau se ferme et les paramètres sont mis à jour dans la base de règles.
Les modifications sont enregistrées dans votre révision non publiée et sont disponibles pour modification jusqu'à leur publication ou leur rejet.
- Cliquez sur Publier. Une fenêtre de confirmation s'ouvre, cliquez sur Publier.
Cette section explique comment configurer les options de transport pour une règle réseau et sortir le trafic vers un emplacement ou une adresse IP spécifique.
Les règles réseau sont configurées globalement. Si un site spécifique n'a pas le transport spécifié, le Socket traite une telle configuration comme si elle était configurée sur Automatique.
Si vous sélectionnez des transports / NIC explicites, le moteur QoS surveille la perte de paquets, le jitter et la latence. En cas de congestion, les paquets sont supprimés. Sélectionner Automatique pour les transports, puis le moteur QoS surveille la congestion en plus de la perte de paquets, de la gigue et de la latence.
Alt-WAN n'est pas pris en charge pour Off-Cloud en tant que transport secondaire. Vous ne pouvez pas configurer une règle réseau avec Alt-WAN en tant que transport principal basculant vers Off-Cloud.
-
Les règles WAN ont les paramètres par défaut suivants:
- Transport Principal : Cato
- Transport Secondaire : Automatique (en tenant compte des transports supplémentaires tels que le MPLS, si applicable)
- Rôle de l'Interface Principale : Automatique
- Rôle de l'Interface Secondaire : Aucun (désactivé comme géré par le paramètre Automatique pour la NIC Principale)
- Route/NAT : - (non applicable pour les règles WAN)
-
Les règles Internet ont les paramètres par défaut suivants :
- Transport Principal : Cato
- Transport Secondaire : Aucun (n'utilisez pas d'autres transports)
- Rôle de l'Interface Principale : Automatique
- Rôle de l'Interface Secondaire : Aucun (désactivé comme géré par le paramètre Automatique pour la NIC Principale)
- Route/NAT : Aucun
Pour personnaliser les options de transport pour une règle de réseau :
- Dans le menu de navigation, cliquez sur Réseau > Règles réseau.
- Cliquez sur la règle réseau. Le panneau Modifier la Règle Réseau s'ouvre.
- Développez la section Configuration.
-
Configurez les champs de transport selon les besoins : pour acheminer le trafic via un transport spécifique, vous pouvez configurer vos transports principal et secondaire.
Le transport principal sera utilisé tant qu'il est activé et disponible, tel que déterminé par le moteur QoS de Cato. Si le transport principal n'est pas disponible, le transport secondaire est utilisé.
-
Configurez les champs Rôle de l'interface (applicable uniquement au trafic routé via Cato Cloud) selon les besoins.
Pour acheminer le trafic via un lien spécifique, vous pouvez configurer vos NICs principaux et secondaires. Le rôle de l'interface principale est utilisé tant qu'il est actif et disponible, tel que déterminé par le moteur QoS de Cato.
Si le rôle de l'interface principale n'est pas disponible, le rôle de l'interface secondaire est utilisé. Lorsque le Rôle de l'Interface Secondaire est défini sur Aucun, le comportement est basé sur le paramètre pour le Rôle de l'Interface Principale :
- Automatique - la Socket fait de son mieux pour envoyer le trafic via le transport principal.
- Tout autre rôle d'interface - la Socket supprime le trafic lorsque le transport principal n'est pas disponible.
-
Cliquez sur Sauvegarder. Le panneau se ferme et les paramètres sont mis à jour dans la base de règles.
Les modifications sont enregistrées dans votre révision non publiée et sont disponibles pour modification jusqu'à leur publication ou leur rejet.
- Cliquez sur Publier. Une fenêtre de confirmation s'ouvre, cliquez sur Publier.
Vous pouvez configurer une règle de réseau Internet avec différentes options pour sortir le trafic.
Meilleure pratique : Pour les règles de réseau Internet qui sortent le trafic (avec l'option NAT ou Route via), nous vous recommandons de définir une Source ou une App/Catégorie spécifique pour la règle. Sélectionner N'importe quel comme Source ou App/Catégorie achemine tout le trafic Internet et peut entraîner des performances imprévisibles.
-
Router via - Vous permet de sélectionner l'emplacement PoP de sortie par lequel le trafic est envoyé vers l'Internet.
Note : Lorsque le trafic sort vers Tokyo, en sélectionnant un emplacement PoP Tokyo (tel que Tokyo_DC2), tous les emplacements PoP Tokyo sont automatiquement ajoutés à la règle réseau. Les plages IP sont partagées entre les emplacements PoP Tokyo et assurent une expérience transparente pour les comptes.
- NAT - Vous permet de faire sortir le trafic via une adresse IP allouée par Cato et son emplacement PoP. Le trafic correspondant à cette règle est traduit en cette IP et sort via le PoP pertinent. Les deux, NAT et Route, permettent de routage du trafic via un PoP spécifique, cependant, NAT vous permet de spécifier l'IP vers laquelle le trafic est traduit.
-
Backhaul via - Acheminer le trafic Internet via un ou plusieurs sites de passerelle de backhaul
Pour plus d'informations, consultez ces articles sur le réacheminement du trafic Internet.
Note : Parfois, toutes les IPs de sortie dans la règle réseau ne sont pas disponibles, comme pendant la fenêtre de maintenance du PoP, et le PoP utilise une adresse IP différente pour le flux de trafic. Ce scénario peut affecter la connectivité et l'expérience utilisateur. Nous vous recommandons de définir plusieurs adresses IP de sortie pour une règle afin de minimiser l'impact.
Pour Route via et NAT, lorsque vous configurez plusieurs IPs de sortie, le trafic utilise l'IP de sortie pour l'emplacement PoP le plus proche de la source.
Méthode de routage NAT - Préserver le port source
Par défaut, lorsque le PoP effectue NAT sur le trafic Internet, il modifie le port source et l'IP source dans l'en-tête IP. Dans certains cas, une application nécessite de préserver le port source original dans l'en-tête IP, par exemple, le trafic SIP. Lorsque vous sélectionnez l'option Préserver le port source, le PoP préserve le port source original dans l'en-tête de paquet IP traduit.
Remarque : Si plusieurs flux ont le même port source, cela crée un conflit dans la préservation du port source pour les deux flux lors de la traduction NAT. Dans de tels scénarios, le PoP préserve le port source du premier flux et attribue un port aléatoire pour le flux suivant.
Pour définir la Méthode de Routage pour une Règle de Réseau Internet :
- Dans le menu de navigation, cliquez sur Réseau > Règles réseau.
- Cliquez sur la règle réseau. Le panneau Modifier la Règle Réseau s'ouvre.
- Développez la section Configuration.
-
Dans le menu déroulant Route/NAT, sélectionnez l'option de routage pour le trafic qui correspond à la règle :
- Route Via - pour acheminer le trafic via un emplacement spécifique de PoP Cato Cloud, sélectionnez les Emplacements à partir desquels vous faites sortir le trafic.
-
NAT - pour sortir le trafic de cette règle via une IP spécifique via NAT, sélectionnez les IPs Allouées à partir desquelles vous sortez le trafic.
(Optionnel) Pour utiliser le port source d'origine pour le trafic traduit, sélectionnez Préserver le port source.
-
Cliquez sur Sauvegarder. Le panneau se ferme et les paramètres sont mis à jour dans la base de règles.
Les modifications sont enregistrées dans votre révision non publiée et sont disponibles pour modification jusqu'à leur publication ou leur rejet.
- Cliquez sur Publier. Une fenêtre de confirmation s'ouvre, cliquez sur Publier.
Routage avec les PoPs pour un Débit de 10 Gbps
Pour les sites connectés aux emplacements PoP qui supportent un débit de 10 Gbps, nous recommandons que vous configurez des Règles de Réseau Route Via ou NAT pour faire sortir le trafic via un autre emplacement PoP à 10 Gbps. Sinon, il peut y avoir un impact sur le débit du site.
Vous pouvez afficher les événements pour une règle réseau spécifique en utilisant Afficher les événements de la règle. Lorsque vous sélectionnez cette action, la page des événements s'ouvre et est pré-filtrée pour tous les événements qui correspondent à cette règle.
Pour afficher les événements pour une règle :
- Dans le menu de navigation, cliquez sur Network > Network Rules.
- Sur le côté droit, cliquez sur
et sélectionnez Voir les Événements de la Règle.
La page des événements s'affiche avec les événements pour la règle concernée déjà filtrés.
- L'accélération TCP n'affecte pas le trafic non-TCP (trafic basé sur UDP) qui fait partie d'une règle réseau.
- Lorsque les paramètres Route/NAT ou l'inspection TLS sont en vigueur, cela implique que Cato active un proxy TCP sur le trafic.
- La règle par défaut implicite du réseau pour Cato Cloud est d'agir en tant que proxy TCP. Ainsi, si aucune règle antérieure ne correspond au trafic, le proxy TCP est appliqué.
- L'accélération TCP est désactivée (grisée) pour les règles qui utilisent l'Alternative WAN comme transport principal ou secondaire.
Pour en savoir plus sur l'accélération du trafic dans le Cato Cloud, consultez Accélérer et optimiser le trafic.
Pour plus d'informations sur la mitigation de la perte de paquets, consultez Mitigation de la perte de paquets pour les liens multi-tunnels.
Pour configurer l'accélération et l'optimisation pour une règle :
- Dans le menu de navigation, cliquez sur Network > Network Rules.
- Cliquez sur la règle réseau. Le panneau Edit Network Rule s'ouvre.
- Développez la section Configuration.
- Sélectionnez Active TCP Acceleration pour activer le PoP à agir comme un serveur proxy TCP pour le trafic qui correspond à cette règle.
- Sélectionnez Packet Loss Mitigation pour activer la duplication de paquets et aider à atténuer l'impact de la perte de paquets pour le trafic correspondant à cette règle.
-
Cliquez sur Sauvegarder. Le panneau se ferme et les paramètres sont mis à jour dans la base de règles.
Les modifications sont enregistrées dans votre révision non publiée et sont disponibles pour modification jusqu'à leur publication ou leur rejet.
- Cliquez sur Publier. Une fenêtre de confirmation s'ouvre, cliquez sur Publier.
Vous définissez le trafic qui fait exception à la règle de réseau, et la règle ne s'applique pas à ce trafic. Définissez l'exception de trafic avec l'objet (entité) pour le Source, App/Category, et Destination. Les exceptions avec plusieurs objets ont le même comportement que les règles réseau, voir ci-dessus Travailler avec plusieurs objets dans une seule règle.
L'exemple ci-dessus a une règle réseau pour tout trafic qui correspond à la catégorie VoIP Vidéo. Il existe une exception à cette règle pour le trafic qui correspond à CES DEUX conditions :
- Le Source est le site échantillon 1500
- L'Application est Skype et MS Teams
Pour ajouter une exception à une règle réseau :
- Dans le menu de navigation, cliquez sur Network > Network Rules.
- Identifiez la règle à laquelle vous créez une exception et à la fin de la règle, cliquez sur l'icône plus
- Définissez les exceptions pour la section :
-
Dans le menu déroulant, sélectionnez le type de trafic pour l'exception.
L'exemple ci-dessous montre l'ajout d'une exception pour un hôte spécifique.
- Sélectionnez un objet spécifique dans la liste déroulante pour ce type.
-
Répétez les deux étapes précédentes pour définir des objets supplémentaires pour l'exception.
Plusieurs objets dans une section ont une relation OU.
-
-
Si nécessaire, répétez l'étape 3 pour définir des exceptions pour les autres sections.
Les objets dans plusieurs sections ont une relation ET.
-
Cliquez sur Sauvegarder. Le panneau se ferme et les paramètres sont mis à jour dans la base de règles.
Les modifications sont enregistrées dans votre révision non publiée et sont disponibles pour modification jusqu'à leur publication ou leur rejet.
- Cliquez sur Publier. Une fenêtre de confirmation s'ouvre, cliquez sur Publier.
Vous pouvez générer un fichier CSV qui contient toutes les données des règles réseau par la base de règles de votre compte.
Remarque
Note : Seuls les administrateurs CMA avec rôle Éditeur ont les permissions pour exporter vers un fichier CSV. Pour plus sur la configuration des rôles administrateurs, voir Gestion des Administrateurs.
Pour exporter la politique de Règles Réseau :
- Dans le menu de navigation, cliquez sur Réseau > Règles réseau.
- Cliquez sur Export, et dans la fenêtre contextuelle cliquez sur OK.
- Sélectionnez l'emplacement pour le fichier CSV et sauvegardez le fichier.
La ligne supérieure du fichier CSV exporté énumère les noms des champs et les options des règles dans la base de règles pertinente. Ensuite, les règles elles-mêmes sont énumérées selon la priorité, en commençant par la valeur numérique la plus basse.
Le fichier CSV contient les colonnes suivantes :
| Élément | Description |
|---|---|
| Priorité | Priorité de la règle dans la base de règles |
| État de la règle | La règle est activée ou désactivée |
| Type | Le type de règle est WAN ou Internet |
| Nom | Nom de la règle réseau |
| Source | Source de trafic pour cette règle |
| App/Category | Éléments qui s'appliquent à cette règle (applications, catégories, services, etc.) |
| Destination | Destination de trafic pour cette règle |
| Priorité de BW | Le profil de Gestion de BW pour cette règle |
| Enrutement | Le type de routage appliqué pour cette règle (NAT, Backhauling, etc.). Pertinent uniquement pour les règles réseau de Internet |
| Transport | Le type de transport pour cette règle (transport d'interface WAN, transport primaire et secondaire) |
| Accélération & Optimisation | Les paramètres d'optimisation sont activés ou désactivés (Accélération TCP et Atténuation de la Perte de Paquets) |
0 commentaire
Vous devez vous connecter pour laisser un commentaire.