अवलोकन
सुनिश्चित करना कि सटीक नेटवर्क नियम मूल्यांकन निर्णय लेने में महत्वपूर्ण है। यह समस्या निवारण मार्गदर्शिका विभिन्न सामान्य लक्षणों को व्यापक रूप से संबोधित करने, संभावित कारणों का पता लगाने और नेटवर्क नियम मूल्यांकन से संबंधित मुद्दों को हल करने के लिए प्रणालीबद्ध कदम प्रदान करने का लक्ष्य रखती है।
लक्षण
नेटवर्क नियमों के विरुद्ध ट्रैफ़िक का मूल्यांकन करने में विफलता विभिन्न तरीकों से प्रकट हो सकती है। एक प्रशासक निम्नलिखित लक्षण देख सकता है:
- गलत सार्वजनिक स्रोत IP
- नेटवर्क नियम बेमेल
- गलत WAN इंटरफ़ेस चुना गया
- TCP त्वरण लागू किया गया या छोड़ा गया
- QoS प्राथमिकता बेमेल
- ऑफ़-क्लाउड या वैकल्पिक WAN ट्रैफ़िक कनेक्शनों को तोड़ता है
संभावित कारण
- कस्टम या बिल्ट-इन एप्लिकेशन बेमेल
- बेमेल डोमेन
- गलत चुनी गई निर्गम PoP
- अस्वस्थ WAN कनेक्शन
- रुका हुआ या अवर्गीकृत ऐप फिक्स्ड QoS प्राथमिकता की ओर ले जाता है
- गलत नेटवर्क नियम क्रम
प्रारंभिक आकलन
नोट
नोट: सुनिश्चित करें कि आपके पास एक फ़ायरवॉल नियम है (यहाँ तक कि अस्थायी रूप से समस्या निवारण के लिए बनाया गया हो) जिसमें घटना ट्रैकिंग सक्रिय शामिल हो जो मुझे उम्मीद है कि कॉन्फ़िगर किए गए नेटवर्क नियम से मेल खाने वाला ट्रैफ़िक शामिल होगा।
CMA में इंटरनेट फ़ायरवॉल या WAN फ़ायरवॉल प्रीसेट का चयन करके फ़ायरवॉल इवेंट्स की समीक्षा करें। दिलचस्प ट्रैफ़िक को संकीर्ण करने के लिए फ़िल्टर सेट करें। संभावित मूल कारण की पहचान करने में आपकी सहायता करने वाले संबंधित ऐप्स, एप्लिकेशन, कैटो एप्लिकेशन, निर्गम PoP नाम, सार्वजनिक स्रोत IP, गंतव्य IP, डोमेन नाम, नेटवर्क नियम, और TCP त्वरण जैसे प्रासंगिक क्षेत्रों का विश्लेषण करें।
उपयोगकर्ताओं द्वारा रिपोर्ट किए गए लक्षणों की पहचान करके उपयुक्त समस्या निवारण अनुभाग सुनिश्चित करें:
- वेब अनुप्रयोग एक सार्वजनिक स्रोत IP पता बता सकते हैं जो नेटवर्क नियम में कॉन्फ़िगर किए गए एक से भिन्न होता है। यदि फ़ायरवॉल घटना में निर्गम PoP नाम, और सार्वजनिक स्रोत IP फ़ील्ड अपेक्षित नहीं हैं, तो देखें गलत सार्वजनिक स्रोत IP समस्या निवारण
- जाँच करें कि फ़ायरवॉल घटना के नेटवर्क नियम फ़ील्ड अपेक्षित हैं या नहीं। यदि नहीं, तो नेटवर्क नियम बेमेल समस्या निवारण जारी रखें
- यदि ट्रैफ़िक प्रवाह कॉन्फ़िगर किए गए प्राथमिक WAN लिंक का उपयोग नहीं करते हैं या नेटवर्क नियम के प्राथमिक परिवहन अनुभाग में कॉन्फ़िगर किए गए अनुसार संतुलित नहीं होते हैं, तो देखें गलत WAN इंटरफ़ेस चयनित समस्या निवारण
- यदि फ़ायरवॉल घटना मेंTCP त्वरण फ़ील्ड नेटवर्क नियम में कॉन्फ़िगर किए गए अपेक्षित मान के अनुरूप नहीं है, तो देखें TCP त्वरण लागू या छोड़ा गया समस्या निवारण
- यदि ट्रैफ़िक को फ़ायरवॉल घटना के अनुसार गलत QoS प्राथमिकता 255 सौंपी जाती है, तो QoS प्राथमिकता असंगति का समाधान देखें
- यदि नेटवर्क नियम में परिवहन के रूप में ऑफ-क्लाउड या वैकल्पिक WAN का चयन किया गया है और TLS कनेक्शन विफल हो रहे हैं, तो ऑफ-क्लाउड या Alt-WAN ट्रैफ़िक कनेक्शन समस्या निवारण देखें
मुद्दे का समाधान
गलत सार्वजनिक स्रोत IP समस्या निवारण
जैसा कि निरगम नियम को कॉन्फ़िगर कैसे करें में बताया गया है, कुछ मामलों में प्रतिबंधित इंटरनेट सेवा तक पहुँचने के लिए एक विशिष्ट स्रोत सार्वजनिक IP को परिभाषित करना आवश्यक है। यदि सेवा एक अप्रत्याशित स्रोत सार्वजनिक IP की रिपोर्ट करती है, तो नीचे दिए गए चरणों का पालन करें।
कई निरगम IP की समीक्षा
विभिन्न निरगम IP पतों वाले नेटवर्क नियमों के लिए, Cato Cloud उस स्रोत के सबसे नजदीकी PoP के लिए निरगम IP पते का उपयोग करता है। यदि पहला निर्गम IP पता उपलब्ध नहीं है, तो Cato Cloud स्वचालित रूप से दूसरे निर्गम IP पते को स्थानांतरित होता है। निम्नलिखित स्क्रीनशॉट दो निरगम IP पतों वाले नेटवर्क नियम का एक उदाहरण दिखाता है।
इस उदाहरण में, एक नेटवर्क नियम न्यूयॉर्क PoP या शिकागो PoP से ट्रैफ़िक को निर्गम कर सकता है। यदि स्रोत न्यूयॉर्क PoP के भौतिक रूप से नजदीक होता है, तो Cato न्यूयॉर्क के PoP से विशेष ट्रैफ़िक को निर्गम करने का प्रयास करेगा। यदि गंतव्य न्यूयॉर्क PoP से पहुँच योग्य नहीं है, तो Cato शिकागो के PoP से ट्रैफ़िक को निर्गम करता है।
इस व्यवहार को बदलने के लिए, निर्गम PoP चयन परिवर्तन देखें।
अनुपलब्ध निर्गम IP
यह संभव हो सकता है कि एकल निर्गम IP वाला नेटवर्क नियम एक Cato सार्वजनिक IP का उपयोग करते हुए ट्रैफ़िक को निर्गम करेगा जो कि कॉन्फ़िगर किया गया से अलग है। यह तब हो सकता है जब निर्गम IP से जुड़ा PoP मेंटेनेंस विंडो के दौरान अस्थायी रूप से अनुपलब्ध होता है। यह स्थिति विशेष रूप से VoIP अनुप्रयोगों के लिए गंभीर हो सकती है।
इस व्यवहार को बदलने के लिए, निर्गम PoP चयन परिवर्तन देखें।
नेटवर्क नियम परिवर्तन की जाँच
यदि हाल ही में नेटवर्क नियम को एक निर्गम IP पते के साथ संपादित किया गया था। ध्यान दें कि केवल नए निर्मित ट्रैफ़िक प्रवाह नए निर्गम IP का उपयोग करेंगे। मौजूदा ट्रैफ़िक प्रवाह उस निर्गम IP को बनाए रखेंगे जो प्रवाह के निर्माण के समय सम्बंधित था।
ऊपर का व्यवहार आमतौर पर VoIP ट्रैफ़िक में होता है जहाँ SIP प्रवाह लंबे समय तक सक्रिय रहता है। इस समस्या का समाधान करने के लिए, VoIP फोन को पुनः आरंभ किया जा सकता है, जिससे एक नया SIP प्रवाह निर्माण होगा जो अद्यतन नेटवर्क नियम के निर्गम IP के अनुसार रूट किया जाएगा।
नेटवर्क नियम विंदुविभाजन का समाधान
नेटवर्क नियम कॉन्फ़िगर करते समय यह संभव हो सकता है कि ट्रैफ़िक गलत नेटवर्क नियम के विपरीत मूल्यांकन हो। यह अनुभाग सभी संभावित असंगति परिस्थितियों और इस समस्या को निदान करने के तरीके शामिल करता है।
फ़ायरवॉल घटना विश्लेषण
फ़ायरवॉल घटना से संबंधित ऐप्स, अनुप्रयोग, कैटो अनुप्रयोग, गंतव्य IP, डोमेन नाम, और नेटवर्क नियम जैसे संबद्ध क्षेत्रों की पहचान करें। यह जानकारी आपको नेटवर्क नियम बेमेल का कारण पता लगाने में मदद करेगी।
नेटवर्क नियम अपवाद की जाँच करना
नेटवर्क नियम में जोड़े गए किसी भी अपवाद की पहचान करें। यदि ट्रैफ़िक प्रवाह जोड़े गए अपवाद से मेल खाता है, तो नेटवर्क नियम अनदेखा कर दिया जाएगा और नियम खोजना जारी रहेगा जब तक कोई मेल नहीं मिलता है।
कस्टम एप्लिकेशन की जाँच
यदि अपेक्षित ट्रैफ़िक एक कस्टम एप्लिकेशन से मिलती है और फ़ायरवाल घटना में मिले एप्लिकेशन फ़ील्ड उससे मेल नहीं खाता है, तो पुष्टि करें कि कस्टम ऐप सही ढंग से कॉन्फ़िगर है। ध्यान रखें कि जब ओवरलैपिंग कस्टम ऐप्स मौजूद होते हैं, तो Cato केवल ट्रैफ़िक को कस्टम ऐप्स में से एक के रूप में पहचानता है।
इस समस्या से बचने के लिए कृपया ओवरलैपिंग कस्टम एप्लिकेशन को सुलझाना सेक्शन देखें।
बिल्ट-इन एप्लिकेशन की जांच
यदि अपेक्षित ट्रैफ़िक एक बिल्ट-इन एप्लिकेशन से मेल खाता है और ट्रैफ़िक गलत नेटवर्क नियम से मेल खा रहा है, तो निम्नलिखित की जांच करें:
- कौन से एप्लिकेशन 'गलत' मिलान नेटवर्क नियम में कॉन्फ़िगर हैं।
- क्या इनमें से कोई भी एप्लिकेशन फ़ायरवॉल इवेंट में संबंधित ऐप्स फ़ील्ड में सूचीबद्ध है।
ऐप पहचान एक बहु-चरणीय प्रक्रिया है जिसमें प्रोटोकॉल की पहचान के साथ शुरू होता है और फिर संबंधित ऐप्स फ़ील्ड में शामिल सभी संभावित मिलान एप्लिकेशन्स। फ्लो में पहचाना गया कोई भी 'संबंधित ऐप' एप्लिकेशन, भले ही अंतिम ऐप (एप्लिकेशन फ़ील्ड) निर्णय हो, एक नेटवर्क नियम से मेल खाएगा।
नीचे दिए गए उदाहरण में, portal.azure.com तक पहुंच नियम #7 से मैच करती है, न कि नियम #8 से। यह इसलिए है क्योंकि नियम #7 में Microsoft Azure एप्लिकेशन (जिसे संबंधित ऐप्स में शामिल किया गया है) शामिल है, भले ही अंतिम एप्लिकेशन (एप्लिकेशन फ़ील्ड) Azure Front Door है।
इस अपेक्षित व्यवहार को हल करने के लिए नेटवर्क नियम ऑर्डरिंग देखें
डोमेन नाम की जाँच
यदि किसी नेटवर्क नियम में एक डोमेन या FQDN ऑब्जेक्ट होता है, तो जाँचें कि फ़ायरवॉल इवेंट में डोमेन नाम फ़ील्ड क्या है। नेटवर्क नियम में डोमेन/FQDN ऑब्जेक्ट को इस फ़ील्ड के समान होना चाहिए।
भले ही रखें कि एक FQDN पूर्ण रूप से योग्य डोमेन का सही मेल है। उदाहरण के लिए, पूर्ण डोमेन नाम (FQDN) example.com केवल example.com. से मेल खाता है।
दूसरी ओर, ए डोमेन एक शीर्ष-स्तरीय (TLD) या द्वितीय-स्तरीय डोमेन (SLD) है जो सभी सबडोमेन्स का मिलान करता है। उदाहरण के लिए, डोमेन example.com www.example.com और host.example.com से मेल खाता है।
ऐसे मामले हो सकते हैं जहाँ Cato HTTP, TLS, या DNS फ्लो से सही डोमेन नाम निर्धारित नहीं कर सकता। इन प्रकार की समस्याओं को हल करने के लिए देखें डोमेन नाम समस्याएं सुलझाना
गलत WAN इंटरफ़ेस चयनित होने की सम्पर्क-सलझाना
यह खंड उस परिदृश्य को सम्बोधित करता है जहां Cato को परिवहन के रूप में चयनित किया गया है और दोनों WAN इंटरफेस एक सक्रिय/सक्रिय तैनाती में विन्यस्त किए गए हैं। नीति-आधारित रूटिंग के बारे में अधिक जानकारी के लिए, देखें Cato कैसे सबसे अच्छा परिवहन या लिंक चुनता है
नोट
नोट: FW नियम में आईएसपी का नाम और स्रोत आईएसपी आईपी फ़ील्ड्स ट्रैफ़िक द्वारा कौन सा WAN लिंक उपयोग किया जा रहा है, यह निर्धारित करने के लिए एक अच्छा संकेत नहीं हो सकता है। यह इसलिए है क्योंकि ट्रैफ़िक प्रवाह अपने जीवनकाल के दौरान कई बार सुरंगों को बदल सकता है।
नेटवर्क नियम परिवहन कॉन्फ़िगरेशन की समीक्षा करना
यदि सक्रिय/सक्रिय परिनियोजन को प्राप्त करना है, तो प्राथमिक इंटरफेस भूमिका को स्वचालित पर सेट किया जाना चाहिए या स्क्रीनशॉट में दिखाए अनुसार प्राथमिक और द्वितीयक इंटरफेस भूमिकाओं को कॉन्फ़िगर करना चाहिए। द्वितीयक इंटरफेस भूमिका को कोई नहीं के रूप में सेट करने से तब कोई ट्रैफ़िक फेलओवर नहीं होगा जब प्राथमिक इंटरफेस अनुपलब्ध हो जाएगा। सॉकेट इंटरफेस के माध्यम से ट्रैफ़िक रूट करना देखें
नेटवर्क विश्लेषिकी की समीक्षा करना
औसत थ्रूपुट विजेट प्रत्येक WAN लिंक के लिए औसत बैंडविड्थ उपयोग दिखाएगा। यह एक संकेतक के रूप में सेवा कर सकता है कि नेटवर्क नियम सही WAN कनेक्शन का चयन कर रहा है या ट्रैफ़िक को सही ढंग से संतुलित कर रहा है। नीचे स्क्रीनशॉट में, नेटवर्क नियम को प्राथमिक परिवहन के रूप में WAN2 का चयन करने के लिए संशोधित किया गया था।
WAN लिंक प्रदर्शन की निगरानी करना महत्वपूर्ण है, विशेष रूप से पैकेट नुकसान, जिटर, और दूरी के लिए। सक्रिय/सक्रिय ट्रैफ़िक वितरण में समझाया गया है कि यदि कोई लिंक न्यूनतम लिंक गुणवत्ता सीमा को पूरा नहीं करता है, तो उसे अस्वस्थ माना जाएगा और ट्रैफ़िक वितरण के लिए नहीं चुना जाएगा, भले ही WAN लिंक को प्राथमिक परिवहन के रूप में चुना गया हो।
सॉकेट वेब यूआई की समीक्षा करना
यह पता लगाने का एक सरल तरीका है कि सॉकेट एक लिंक को अस्वस्थ मान रहा है या नहीं, सॉकेट वेब यूआई में निगरानी पृष्ठ है। यदि विलंबता, जिटर, या पैकेट नुकसान मीट्रिक न्यूनतम आवश्यकताओं को पूरा नहीं करते हैं, तो अस्वस्थ मूल्य को लाल रंग में चिह्नित किया जाएगा।
नीचे दिए गए उदाहरण में, WAN1 की विलंबता काफी उच्च है जो सॉकेट को लिंक को अस्वस्थ मानने पर मजबूर करता है। यह मुद्दा आपके आईएसपी के साथ उठाना चाहिए।
WAN लिंक कॉन्फ़िगरेशन की जांच
यदि सभी सक्रिय/सक्रिय लिंक स्वस्थ हैं, तो CMA में प्रत्येक WAN लिंक के लिए बैंडविड्थ कॉन्फ़िगरेशन की जांच करें। नीचे के उदाहरण में, WAN1 लिंक 100 Mbps डाउन/अप बैंडविड्थ के साथ कॉन्फ़िगर किया गया है, और WAN2 लिंक 20 Mbps डाउन/अप के साथ। इससे दोनों अपस्ट्रीम और डाउनस्ट्रीम दिशाओं में 100:20 या 5:1 अनुपात में WAN1 को अधिक ट्रैफ़िक भेजने का परिणाम होगा।
टीसीपी त्वरण लागू हो रहा है या छोड़ा जा रहा है की समस्या का निवारण
Cato TCP गति वर्धन को समझाना में चर्चा की गई है कि WAN पर TCP कनेक्शन को तेज करने के लिए एक नेटवर्क नियम में TCP Acceleration को सक्षम किया जा सकता है। यह सुविधा आमतौर पर कुछ परिदृश्यों में लागू होती है और व्यवस्थापक इसे निष्क्रिय नहीं कर सकता, भले ही नियम में सक्रिय TCP गति वर्धन विकल्प को अनचेक कर दिया गया हो। यह अनुभाग उन परिदृश्यों को संबोधित करता है और जब इसे आवश्यक होता है तो सुविधा को कैसे निष्क्रिय किया जाए।
जब TCP गति वर्धन लागू होता है
टीसीपी गति वर्धन लागू होता है जब नेटवर्क नियम एक निर्गम आईपी या एक निर्गम स्थान का उपयोग करता है। यह PoP को एक प्रॉक्सी के रूप में कार्य करने के लिए मजबूर करता है जो बदले में नियम से मेल खाने वाले सभी ट्रैफिक प्रवाह पर TCP गति वर्धन लागू करता है। नेटवर्क नियम में चेकबॉक्स धूसर हो जाएगा।
जब निम्नलिखित में से कोई स्थिति उत्पन्न होती है तब नेटवर्क नियम में टीसीपी गति वर्धन को अक्षम करने से यह सुविधा निष्क्रिय नहीं होगी:
- TLS निरीक्षण खाता के लिए सक्रिय है, जो सभी TLS ट्रैफ़िक पर TCP गति वर्धन को सक्रिय करेगा, भले ही वह TLS बाईपास कर चुका हो। यह इसलिए क्योंकि PoP को ट्रैफिक में दुर्विनियम फ़ाइलों और खतरों की जांच करने के लिए एक प्रॉक्सी के रूप में कार्य करना पड़ता है।
- एक जटिल नेटवर्क नियम TCP गति वर्धन अक्षम वाले मेल खाने वाले नेटवर्क नियम से ऊपर मौजूद है
- जिस नेटवर्क नियम में TCP गति वर्धन अक्षम है, वह स्वयं जटिल है।
एक जटिल नेटवर्क नियम (जिसे NG नियम भी कहा जाता है) एक नेटवर्क नियम है जिसे सॉकेट स्वयं मूल्यांकन नहीं कर सकता है। इसलिए, सॉकेट को TCP त्वरक को सक्षम करने वाले सही नेटवर्क नियम चुनने के लिए यातायात को PoP में भेजने की आवश्यकता होती है। यह शामिल हो सकता है: एप्लिकेशन, एप्लिकेशन श्रेणियाँ, सेवाएं, कस्टम एप्लिकेशन, या डोमेन/FQDN वस्तुएं।
दूसरी ओर, एक सरल नियम में निम्नलिखित इकाईयां शामिल हो सकती हैं जिन्हें सॉकेट द्वारा मूल्यांकन किया जा सकता है और जिन्हें PoP की भागीदारी की आवश्यकता नहीं होती:
- स्रोत/गंतव्य फ़ील्ड में: साइट्स, IP पते, नेटवर्क इंटरफ़ेस, IP रेंज, या कोई भी।
- ऐप/श्रेणी फ़ील्ड में: पोर्ट रेंज या एक कस्टम सेवा।
जब TCP त्वरण छोड़ दिया जाता है
TCP त्वरण केवल TCP ट्रैफ़िक पर लागू होगा। अगर नेटवर्क नियम में TCP सक्षम है या पूर्व अनुभाग में वर्णित के अनुसार लागू किया गया है, लेकिन CMA घटना में TCP फ़ील्ड 0 है, तो यह संभव है कि काटो क्लाउड पर विषम रूटिंग के कारण ट्रैफ़िक प्रवाह को खुला मोड के रूप में पहचाना जा रहा हो।
जैसा कि Cato पर विषम रूटिंग में बताया गया है, ओपन मोड एक कनेक्शन मोड है जिसमें Cato Cloud TCP प्रवाह (3-तरफ़ा हैंडशेक) की शुरुआत से अनजान है, जिससे TCP त्वरण को लागू किया जाने से रोका जाता है। हम ओपन मोड प्रवाह के निर्माण का मूल कारण निर्धारित करने के लिए Cato सहायता के साथ काम करने की सलाह देते हैं।
TCP त्वरण को अक्षम करना
TCP त्वरण को अक्षम करने के लिए, जैसा कि नेटवर्क नियम क्रम में वर्णित है, निर्गम IP या स्थान के बिना एक सरल नियम को नेटवर्क नियम बेस के शीर्ष पर रखा जा सकता है। जैसा कि ऊपर बताया गया है, यदि ट्रैफ़िक TLS है, तो पूरे खाते के लिए TLS निरीक्षण को अक्षम किया जाना चाहिए।
QoS प्राथमिकता बेमेल का समाधान
जैसा कि जब एक प्रवाह को QoS प्राथमिकता 255 सौंपी जाती है में समझाया गया है, कुछ मामले हो सकते हैं जहाँ नेटवर्क नियम में कॉन्फ़िगर की गई QoS प्राथमिकता, FW घटना में दिखाई गई प्राथमिकता से भिन्न हो सकती है।
QoS प्राथमिकता 255 को बैंडविड्थ प्रबंधन के लिए डिफ़ॉल्ट प्राथमिकता के रूप में संदर्भित किया जाता है। तपास डेटा प्रवाह को QoS प्राथमिकता 255 सौंपने के कई कारण हैं, नेटवर्क नियम की बैंडविड्थ प्राथमिकता संरचना की परवाह किए बिना:
- Cato प्रत्येक प्रवाह के लिए नेटवर्क प्रोफाइल का मूल्यांकन करता है, और QoS प्राथमिकता 255 असाइन की जाती है जब विशिष्ट अनुप्रयोग की अभी पहचान नहीं की गई है।
- पहले पैकेट (प्रवाह की पहचान से पहले) QoS प्राथमिकता 255 को सौंपे जाते हैं।
- अवरुद्ध प्रवाहों को QoS प्राथमिकता 255 सौंपी जाती है।
ऑफ़-क्लाउड या Alt-WAN की ट्रैफ़िक कनेक्शन विघटन की समस्या का समाधान
इस खंड में उस परिदृश्य का समाधान किया गया है जब WAN नेटवर्क नियम ऑफ-क्लाउड या Alt-WAN को प्राथमिक परिवहन के रूप में कॉन्फ़िगर होने पर साइट्स के बीच TLS कनेक्शन स्थापित करने में विफल होते हैं। इस समस्या का समाधान करने के लिए नीचे दिए गए चरणों का पालन करें।
प्रवाह विश्लेषण
जब ट्रैफ़िक को ऑफ-क्लाउड या Alt-WAN के माध्यम से सही ढंग से रूट किया जाता है, तो यह ट्रैफ़िक PoP के माध्यम से नहीं जाता है इसलिए CMA में FW घटनाएँ उत्पन्न नहीं होंगी।
यह पुष्टि करने का एक तरीका कि ट्रैफ़िक ऑफ-क्लाउड या Alt-WAN के माध्यम से सफलतापूर्वक रूट किया जा रहा है, सॉकेट वेब UI के SDWAN टैब से है। सक्रिय ट्रैफ़िक प्रवाह की पहचान करें और चुना NIC के तहत आप दिलचस्प ट्रैफ़िक के लिए चयनित परिवहन देखेंगे। यदि अपेक्षित परिवहन नहीं चुना गया है, तो पुष्टि करें कि ऑफ-क्लाउड या Alt-WAN सही तरीके से कॉन्फ़िगर किया गया है।
नेटवर्क नियम क्रम सत्यापित कर रहा है
जैसा कि ऑफ-क्लाउड या Alt-WAN लिंक्स पर TLS कनेक्शन विफलता में समझाया गया है, जब ट्रैफ़िक TLS है और TLS निरीक्षण सक्षम है, नेटवर्क नियम क्रम यह सुनिश्चित करने के लिए एक महत्वपूर्ण कारक है कि ट्रैफ़िक ऑफ-क्लाउड या Alt-WAN लिंक्स पर सही से प्रवाहित हो।
जब ट्रैफ़िक जिस नेटवर्क नियम से टकराता है वह एक जटिल नियम के नीचे होता है, तो सॉकेट्स नेटवर्क नियमों का मूल्यांकन नहीं कर सकते और ऑफ क्लाउड या Alt-WAN पर पैकेट्स को रूट नहीं कर सकते। इस अपेक्षित व्यवहार को हल करने के लिए, नियम क्रम देखें
खोजी गई समस्याएं निपटाना
ओवरलैपिंग कस्टम एप्लिकेशन का समाधान
सुनिश्चित करें कि कस्टम एप्लिकेशन सही IP पते, डोमेन, पोर्ट और प्रोटोकॉल शामिल करता है। पहचान के लिए कौन सा कस्टम ऐप चुना जाता है, इसमें कोई तर्क नहीं है, इसलिए एक अन्य कस्टम ऐप के साथ ओवरलैपिंग से बचने के लिए कस्टम ऐप को अनन्य रूप से परिभाषित किया जाना चाहिए। अधिक जानकारी के लिए, देखें कस्टम एप्लिकेशंस के साथ काम करना
नेटवर्क नियम क्रम
ध्यान रखें कि नेटवर्क नियमों का मूल्यांकन उनके क्रम के अनुसार होता है, इसलिए यह महत्वपूर्ण है कि अधिक सामान्य नियमों से ऊपर अधिक विशिष्ट नियमों को परिभाषित किया जाए। उदाहरण के लिए, कस्टम एप्लिकेशन, बिल्ट-इन एप्लिकेशन, डोमेन, FQDN, या कस्टम सेवा को परिभाषित करने वाले नेटवर्क नियमों को नेटवर्क नियमों से ऊपर रखा जाना चाहिए जिनमें श्रेणियाँ, कस्टम श्रेणियाँ, या सेवाएँ शामिल हैं
नीचे के स्क्रीनशॉट में, नियम #1 में ट्विटर डॉट कॉम के लिए IP रेंज शामिल करने वाली एक कस्टम सेवा शामिल है और इसे एप्लिकेशन श्रेणियों वाले नियम #2 के ऊपर रखा गया है। नियम #1 नियम #2 की तुलना में अधिक विशिष्ट है और ट्विटर डॉट कॉम के लिए लक्षित ट्रैफ़िक के लिए एक बेहतर मिलान होगा। इससे TCP त्वरण भी अक्षम हो जाएगा और किसी भी ऑफ-क्लाउड या Alt-WAN रूटिंग समस्याओं का समाधान होगा, क्योंकि नियम #1 एक सरल नियम है।
डोमेन नाम समस्याओं का समाधान
डोमेन/FQDN के आधार पर नेटवर्क नियम मिलान समस्याओं को निम्नलिखित तरीके से हल किया जा सकता है:
- प्रोटोकॉल जैसे HTTP/S के लिए, Cato निम्नलिखित स्रोतों का उपयोग करके गंतव्य डोमेन निर्धारित कर सकता है:
HTTP होस्ट का नाम हेडर (जब TLS निरीक्षण सक्षम हो)
TLS हैंडशेक के दौरान SNI फ़ील्ड
DNS समाधान, जहाँ डोमेन नाम DNS प्रश्नों और प्रतिक्रियाओं से सीखा जाता है
यह सुनिश्चित करना महत्वपूर्ण है कि नेटवर्क नियम में निर्दिष्ट डोमेन सभी इन स्रोतों के बीच सुसंगत है। नोट करें कि केवल सबसे अच्छा मिलान डोमेन नाम (शीर्ष से नीचे तक मूल्यांकन) फ़ायरवॉल घटनाओं में डोमेन नाम के रूप में प्रदर्शित होता है।
- अन्य प्रोटोकॉल, जैसे SSH या SMB, जो सामान्य पाठ में डोमेन नहीं भेजते हैं, उनके लिए Cato विशेष रूप से DNS इंटरसेप्शन पर निर्भर करता है ताकि ट्रैफ़िक को एक डोमेन या पूर्ण डोमेन नाम (FQDN) से संबद्ध किया जा सके। यह विशेष रूप से महत्वपूर्ण है जब एक निजी DNS का उपयोग करते हैं, क्योंकि हमें यह सुनिश्चित करने की आवश्यकता होती है कि DNS प्रश्न/प्रतिक्रिया Cato के माध्यम से जाएं। देखें DNS और आपके Cato खाते के लिए सर्वोत्तम प्रथाएं
निर्गम PoP चयन परिवर्तन
यदि आप खाते के लिए सभी निर्गम नियमों को गंतव्य के सबसे निकटतम PoP के माध्यम से मार्ग करने की इच्छाशक्ति रखते हैं, बजाय स्रोत के (डिफ़ॉल्ट व्यवहार), तो कृपया Cato समर्थन में एक मामला उठाकर Cato Networks समर्थन से संपर्क करें।
VoIP एप्लिकेशनों के लिए जो SIP प्रोटोकॉल का उपयोग करते हैं जिनके लिए हमेशा समान निर्गम IP का उपयोग करना आवश्यक होता है, उन्नत सेटिंग्स में SIP ट्रैफ़िक के लिए प्राथमिकता IP विकल्प सक्षम करें।
यदि एक अलग VoIP प्रोटोकॉल या कोई अन्य एप्लिकेशन हमेशा एक ही निर्गम IP का उपयोग करने की आवश्यकता होती है, तो कृपया Cato Networks समर्थन से एक मामला उठाएं द्वारा संपर्क करें।
Cato समर्थन के लिए मामला उठाएं
ऊपर दिए गए समस्या निवारण चरणों के परिणामों के साथ समर्थन टिकट जमा करें। कृपया निम्नलिखित जानकारी टिकट में शामिल करें:
- अनुभव किए गए समस्या का विवरण और उपयोगकर्ताओं पर कुल प्रभाव।
- संबंधित फ़ायरवॉल घटनाएँ और नेटवर्क नियम कॉन्फ़िगरेशन।
- समस्या को पुनः उत्पादन करें और स्वयं सेवा समर्थन चलाएँ। उपकरण द्वारा उत्पन्न टिकट संख्या शामिल करें।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.