Configuration des Règles Réseau

Cet article explique comment utiliser l'écran Règles Réseau pour gérer et prioriser le trafic dans votre compte.

Pour plus d'informations sur les règles réseau et Cato, consultez Qu'est-ce que la base de règles réseau de Cato?.

Travailler avec plusieurs objets dans une seule règle

Les colonnes Source, App/Catégorie, et Destination forment une relation ET: la règle est déclenchée uniquement si le trafic répond aux critères définis dans les trois colonnes.

Lorsqu'il y a plusieurs éléments dans une colonne, il y a une relation OU: la règle est appliquée si le trafic correspond aux critères définis pour l'un des éléments. Par exemple, une règle qui définit App/Catégorie comme TCP avec port 443, cette règle correspond à tout le trafic TCP OU au trafic qui utilise le port 443, à la fois TCP et UDP.

Créer une règle réseau

Les règles réseau sont évaluées selon leur ordre d'apparition dans la liste des règles réseau. La meilleure pratique consiste à défiler vers la position requise de la nouvelle règle et à l'ajouter au-dessus ou en dessous d'une règle existante. Alternativement, vous pouvez ajouter une nouvelle règle à la fin de la liste et la déplacer à la position requise.

Lorsque vous configurez la Source (type de trafic) pour une règle réseau, vous pouvez utiliser des objets globaux, tels que des catégories d'applications ou des gammes mondiales, pour définir le type de trafic correspondant à la règle.

NetworkRules.png

Pour créer une règle réseau WAN ou Internet:

  1. Dans le menu de navigation, cliquez sur Network > Network Rules.

  2. Cliquez sur Nouveau. Le panneau Ajouter Règle Réseau s'ouvre.

  3. Depuis la section Général, configurez les réglages suivants pour la règle:

    1. Entrez le Nom pour la règle.

    2. Dans le menu déroulant Type de Règle, sélectionnez si cette règle est pour le trafic WAN ou Internet.

    3. Activez ou désactivez la règle en utilisant le curseur (vert est activé, gris est désactivé).

    4. Configurez l'Ordre de la Règle qui définit où la règle apparaît dans la base de règles réseau.

      Les nouvelles règles sont ajoutées au bas de la base de règles. Vous pouvez changer l'ordre dans lequel cette règle est appliquée.

  4. Développez la section Source et sélectionnez un ou plusieurs objets pour la source de trafic pour cette règle (ou vous pouvez entrer une adresse IP).

    1. Sélectionnez le type (par exemple : Hôte, Interface Réseau, IP, Plage IP, ou Tout). La valeur par défaut est Tout.

    2. Lorsque nécessaire, sélectionnez un objet spécifique dans la liste déroulante pour ce type.

  5. Pour les règles de trafic WAN, développez la section Destination et sélectionnez un ou plusieurs objets pour la destination du trafic pour cette règle.

  6. Développez la section App/Catégorie et sélectionnez une ou plusieurs applications pour la règle.

    Lorsqu'il y a plus d'un objet App/Catégorie dans une règle, il y a une relation OU entre eux. La valeur par défaut est Tout.

    Pour une explication détaillée de chacune des options dans la section App/Catégorie, voir Référence pour Objets de Règle.

  7. Dans la section Configuration, vous pouvez configurer les réglages suivants pour la règle réseau (voir les explications ci-dessous):

  8. Cliquez sur Appliquer. Le panneau se ferme et les réglages sont mis à jour dans la base de règles.

  9. Cliquez sur Sauvegarder. La nouvelle règle réseau est sauvegardée.

Modifier les priorités de bande passante (QoS) pour une règle

Par défaut, les nouvelles règles sont assignées à la priorité par défaut, que vous pouvez changer selon les besoins QoS de votre réseau.

Plus le numéro de priorité est bas, plus la priorité QoS de la règle est élevée. Par exemple, une règle avec une priorité de 10 a une priorité QoS plus élevée qu'une règle avec une priorité de 40.

Pour plus d'informations sur la définition des politiques de bande passante pour votre compte, consultez Configuration des Profils de Gestion de Bande Passante.

Pour changer la priorité de la bande passante d'une règle:

  1. Dans le menu de navigation, cliquez sur Network > Network Rules.

  2. Cliquez sur la règle réseau. Le panneau Modifier Règle Réseau s'ouvre.

  3. La section Configuration se développe.

  4. Dans la section Gestion de la Bande Passante, dans le menu déroulant Priorité de la Bande Passante, sélectionnez la priorité QoS pour cette règle.

  5. Cliquez sur Appliquer. Le panneau se ferme et les réglages sont mis à jour dans la base de règles.

  6. Cliquez sur Sauvegarder. La priorité de bande passante pour la règle est sauvegardée.

Configurer les options de transport et de routage

Cette section explique comment configurer les options de transport pour une règle réseau et sortir le trafic vers un emplacement ou une adresse IP spécifique.

Personnaliser les options de transport pour une règle

Les règles réseau sont configurées globalement. Si un site spécifique n'a pas le transport spécifié, le Socket de Cato traite une telle configuration comme si elle était configurée pour Automatique.

Si vous sélectionnez des transports/CNI explicites, le moteur QoS surveille la perte de paquets, le jitter et la latence. si une congestion se produit, les paquets sont abandonnés. Si vous sélectionnez des transports automatiques, le moteur QoS surveille la congestion en plus de la perte de paquets, du jitter et de la latence.

Alt-WAN n'est pas pris en charge pour Off-Cloud en tant que transport secondaire. Vous ne pouvez pas configurer une règle réseau avec Alt-WAN en tant que transport principal basculant vers Off-Cloud.

TransportOptions.png

  • Les règles WAN ont les paramètres par défaut suivants:

    • Transport Principal: Cato.

    • Transport Secondaire: Automatique (en tenant compte des transports supplémentaires tels que MPLS, si applicable).

    • Rôle de l'Interface Principale: Automatique.

    • Secondary Interface Role: None (disabled as handled by the Automatic setting for Primary NIC).

    • Route/NAT : - (non applicable pour les règles WAN).

  • Les règles Internet ont les paramètres par défaut suivants :

    • Transport principal : Cato.

    • Transport secondaire : Aucun (d'autres transports ne peuvent actuellement pas être utilisés).

    • Rôle de l'interface principale : Automatique.

    • Rôle de l'interface secondaire : Aucun (désactivé car géré par le paramètre Automatique pour le NIC principal).

    • Route/NAT : Aucun.

Pour personnaliser les options de transport pour une règle réseau :

  1. Dans le menu de navigation, cliquez sur Network > Network Rules.

  2. Cliquez sur la règle réseau. Le panneau Edit Network Rule s'ouvre.

  3. Développez la section Configuration.

  4. Configurez les champs de transport selon les besoins : pour acheminer le trafic via un transport spécifique, vous pouvez configurer vos transports principal et secondaire.

    Le transport principal sera utilisé tant qu'il est actif et disponible comme déterminé par le moteur QoS de Cato. Si le transport principal n'est pas disponible, le transport secondaire est utilisé.

  5. Configurez les champs Rôle de l'interface (applicable uniquement au trafic routé via Cato Cloud) selon les besoins.

    Pour acheminer le trafic via un lien spécifique, vous pouvez configurer vos NICs principaux et secondaires. Le rôle de l'interface principale sera utilisé tant qu'il est actif et disponible comme déterminé par le moteur QoS de Cato. Si le rôle de l'interface principale n'est pas disponible, le rôle de l'interface secondaire est utilisé.

  6. Cliquez sur Appliquer. Le panneau se ferme et les paramètres sont mis à jour dans la base de règles.

  7. Cliquez sur Sauvegarder. Les options de transport pour la règle sont sauvegardées dans le compte.

Définir la méthode de routage pour une règle réseau Internet

Vous pouvez configurer une règle de réseau Internet avec différentes options pour sortir le trafic.

Meilleure Pratique : Pour les règles de réseau Internet qui sortent du trafic (avec le NAT ou l'option Route via), nous vous recommandons de définir une Source spécifique ou une App/Catégorie spécifique pour la règle. Sélectionner N'importe quel comme Source ou App/Catégorie achemine tout le trafic Internet et peut entraîner des performances imprévisibles.

  • Route via - Vous permet de sélectionner l'emplacement de sortie PoP depuis lequel le trafic est envoyé vers l'Internet
    Note : Lorsqu'il s'agit de faire sortir le trafic vers Tokyo, sélectionner un emplacement PoP de Tokyo (comme Tokyo_DC2) ajoute automatiquement tous les emplacements PoP de Tokyo à la règle réseau. Les plages IP sont partagées entre les emplacements PoP de Tokyo et assurent une expérience fluide pour les comptes.

  • NAT - Vous permet de sortir le trafic via une adresse IP allouée par Cato et sa localisation PoP. Le trafic qui correspond à cette règle est traduit vers cette IP et acheminé via le PoP concerné. Tant NAT que Route via routent le trafic via un PoP spécifique, cependant, NAT vous permet de spécifier l'IP à laquelle le trafic est traduit.

  • Backhaul via - Acheminer le trafic Internet via un ou plusieurs sites de passerelle de backhaul

    Pour plus d'informations, consultez ces articles sur le backhaul du trafic Internet.

Pour Route via et NAT, lorsque vous configurez plusieurs IPs de sortie, le trafic utilise l'IP de sortie pour l'emplacement PoP le plus proche de la source.

Méthode de routage NAT - Préserver le port source

Par défaut, lorsque le PoP effectue un NAT sur le trafic Internet, il modifie le port source et l'IP source dans l'en-tête IP. Dans certains cas, une application nécessite de préserver le port source d'origine dans l'en-tête IP, par exemple le trafic SIP. Lorsque vous sélectionnez l'option Préserver le port source, le PoP conserve le port source d'origine dans l'en-tête IP du paquet traduit.

Routing_Method_Preserve_Source_Port.png

Remarque

Remarque : Si plusieurs flux ont le même port source, cela crée un conflit dans la préservation du port source pour les deux flux lors de la traduction NAT. Dans de tels scénarios, le PoP préserve le port source du premier flux et attribue un port aléatoire pour le flux suivant.

Pour définir la méthode de routage pour une règle de réseau Internet :

  1. Dans le menu de navigation, cliquez sur Network > Network Rules.

  2. Cliquez sur la règle réseau. Le panneau Edit Network Rule s'ouvre.

  3. Développez la section Configuration.

  4. Dans le menu déroulant Route/NAT, sélectionnez l'option de routage pour le trafic qui correspond à la règle :

    • Route Via - pour acheminer le trafic via un emplacement PoP spécifique du Cato Cloud, cliquez sur Domain_plus.png et sélectionnez les emplacements depuis lesquels vous faites sortir le trafic.

    • NAT - pour sortir le trafic pour cette règle via une IP spécifique, cliquez sur Domain_plus.png et sélectionnez les IPs allouées depuis lesquelles vous faites sortir le trafic.

  5. (Optionnel) Pour utiliser le port source d'origine pour le trafic traduit, sélectionnez Préserver le port source.

  6. Cliquez sur Appliquer. Le panneau se ferme et les paramètres sont mis à jour dans la base de règles.

  7. Cliquez sur Sauvegarder. Les options de routage pour la règle sont sauvegardées.

Visualisation des événements pour une règle

Vous pouvez afficher les événements pour une règle réseau spécifique en utilisant Afficher les événements de la règle. Lorsque vous sélectionnez cette action, la page des événements s'ouvre et est pré-filtrée pour tous les événements qui correspondent à cette règle.

Pour afficher les événements pour une règle :

  1. Dans le menu de navigation, cliquez sur Network > Network Rules.

  2. Sur le côté droit, cliquez sur more.png et sélectionnez Afficher les Règles d'Événements.

La page des événements s'affiche avec les événements pour la règle concernée déjà filtrés.

rule-event.png

Personnalisation de l'accélération & optimisation pour une règle

  • L'accélération TCP n'affecte pas le trafic non-TCP (trafic basé sur UDP) qui fait partie d'une règle réseau.

  • Lorsque les paramètres Route/NAT ou l'inspection TLS sont en vigueur, cela implique que Cato active un proxy TCP sur le trafic.

  • La règle par défaut implicite du réseau pour Cato Cloud est d'agir en tant que proxy TCP. En tant que tel, si aucune règle antérieure ne correspondait au trafic, le proxy TCP est appliqué.

  • L'accélération TCP est désactivée (grisée) pour les règles qui utilisent l'Alternative WAN comme transport principal ou secondaire.

Pour en savoir plus sur l'accélération du trafic dans le Cato Cloud, consultez Accélérer et optimiser le trafic.

Pour plus d'informations sur la mitigation de la perte de paquets, consultez Mitigation de la perte de paquets pour les liens multi-tunnels.

Pour configurer l'accélération et l'optimisation pour une règle :

  1. Dans le menu de navigation, cliquez sur Network > Network Rules.

  2. Cliquez sur la règle réseau. Le panneau Edit Network Rule s'ouvre.

  3. Développez la section Configuration.

  4. Sélectionnez Active TCP Acceleration pour activer le PoP à agir comme un serveur proxy TCP pour le trafic qui correspond à cette règle.

  5. Sélectionnez Packet Loss Mitigation pour activer la duplication de paquets et aider à atténuer l'impact de la perte de paquets pour le trafic correspondant à cette règle.

  6. Cliquez sur Appliquer. Le panneau se ferme et les paramètres sont mis à jour dans la base de règles.

  7. Cliquez sur Sauvegarder. Les paramètres d'accélération et d'optimisation sont sauvegardés.

Ajout d'une Exception

Vous définissez le trafic qui est une exception pour la règle réseau et la règle n'est pas appliquée à l'exception. Définissez l'exception de trafic avec l'objet (entité) pour le Source, App/Category, et Destination. Les exceptions avec plusieurs objets ont le même comportement que les règles réseau, voir ci-dessus Travailler avec plusieurs objets dans une seule règle.

NetworkRuleExceptions.png

L'exemple ci-dessus a une règle réseau pour tout trafic qui correspond à la catégorie VoIP Vidéo. Il y a une exception pour cette règle pour le trafic qui correspond à CES DEUX conditions :

  • Le Source est le site échantillon 1500

  • L'Application est Skype et MS Teams

Pour ajouter une exception à une règle réseau :

  1. Dans le menu de navigation, cliquez sur Network > Network Rules.

  2. Cliquez sur la règle réseau. Le panneau Edit Network Rule s'ouvre.

  3. Développez la section Source, App/Category ou Destination, et cliquez sur Add Exceptions.

    Network_Source_Exception.png

  4. Définissez les exceptions pour la section :

    1. Dans le menu déroulant, sélectionnez le type de trafic pour l'exception.

      La capture d'écran ci-dessus montre comment ajouter une exception pour un hôte spécifique.

    2. Sélectionnez un objet spécifique dans la liste déroulante pour ce type.

    3. Répétez les deux étapes précédentes pour définir des objets supplémentaires pour l'exception.

      Plusieurs objets dans une section ont une relation OU.

  5. Si nécessaire, répétez l'étape 4 pour définir des exceptions pour les autres sections.

    Les objets dans plusieurs sections ont une relation ET.

  6. Cliquez sur Appliquer. Le panneau se ferme et les paramètres sont mis à jour dans la base de règles.

  7. Cliquez sur Sauvegarder. Les exceptions pour la règle sont sauvegardées.

Exportation des Règles Réseau vers un Fichier CSV

Vous pouvez générer un fichier CSV qui contient toutes les données des règles réseau par la base de règles de votre compte.

Remarque

Remarque : Seuls les administrateurs de l'Application de Gestion Cato avec un rôle Éditeur ont les permissions pour exporter vers un fichier CSV. Pour plus sur la configuration des rôles administrateurs, voir Gestion des Administrateurs.

Pour exporter la politique de Règles Réseau :

  1. Dans le menu de navigation, cliquez sur Network > Network Rules.

  2. Cliquez sur Export, et dans la fenêtre contextuelle cliquez sur OK.

  3. Sélectionnez l'emplacement pour le fichier CSV et sauvegardez le fichier.

Comprendre le Contenu du Fichier Exporté

La ligne supérieure du fichier CSV exporté énumère les noms des champs et les options des règles dans la base de règles pertinente. Ensuite, les règles elles-mêmes sont énumérées selon la priorité, en commençant par la valeur numérique la plus basse.

Le fichier CSV contient les colonnes suivantes :

Élément

Description

Priorité

Priorité de la règle dans la base de règles

État de la règle

La règle est activée ou désactivée

Type

Le type de règle est WAN ou Internet

Nom

Nom de la règle réseau

Source

Source de trafic pour cette règle

App/Category

Éléments qui s'appliquent à cette règle (applications, catégories, services, etc.)

Destination

Destination de trafic pour cette règle

Priorité de BW

Le profil de Gestion de BW pour cette règle

Enrutement

Le type de routage appliqué pour cette règle (NAT, Backhauling, etc.). Pertinent uniquement pour les règles réseau de Internet

Transport

Le type de transport pour cette règle (transport d'interface WAN, transport primaire et secondaire)

Accélération & Optimisation

Les paramètres d'optimisation sont activés ou désactivés (Accélération TCP et Atténuation de la Perte de Paquets)

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 2

0 commentaire