खाते के लिए उन्नत कॉन्फ़िगरेशन के साथ काम करना

यह लेख पूरे खाते के लिए उन्नत कॉन्फ़िगरेशन सुविधा को अनुकूलित करने का तरीका बताता है।

खाते के लिए उन्नत कॉन्फ़िगरेशन का अवलोकन

उन्नत कॉन्फ़िगरेशन पृष्ठ में विकल्प आपके खाते की विभिन्न सेटिंग्स पर अधिक ग्रैन्युलर नियंत्रण प्रदान करते हैं। स्क्रीन प्रत्येक अक्षम सेटिंग के लिए डिफ़ॉल्ट मान भी दिखाती है।

जब आप एक उन्नत सेटिंग को निष्क्रिय करते हैं, तो यह डिफ़ॉल्ट मान पर लौट आता है। हालाँकि, कस्टम मूल्य सहेजा जाता है और यदि आप सेटिंग को बाद में सक्षम करते हैं, तो कस्टम मूल्य का उपयोग किया जा सकता है।

AdvConfig.png

खाता के लिए उन्नत कॉन्फ़िगरेशन सुविधाओं को कॉन्फ़िगर करने के लिए:

  1. नेविगेशन मेनू से, संसाधन > उन्नत कॉन्फ़िगरेशन पर क्लिक करें।

  2. स्थिति कॉलम में, प्रत्येक सेटिंग की स्थिति को सक्षम या अक्षम करने के लिए टॉगल का उपयोग करें (हरी सक्रिय है, ग्रे अक्षम है)।

  3. एक सेटिंग का मान कॉन्फ़िगर करने या संपादित करने के लिए, नाम कॉलम में सेटिंग के नाम पर क्लिक करें।

    संपादित करें <सेटिंग का नाम> पैनल खुलता है।

  4. संपादित करें पैनल में, आप कर सकते हैं:

    • मान दर्ज करें या चुनें

    • इस उन्नत सेटिंग का कारण समझाने के लिए टिप्पणी दर्ज करें या संपादित करें (अनुशंसित)

  5. लागू करें पर क्लिक करें। उन्नत कॉन्फ़िगरेशन के लिए परिवर्तन स्क्रीन में जोड़ा जाता है।

  6. सहेजें पर क्लिक करें। कॉन्फ़िगरेशन सेटिंग्स सहेज ली गई हैं।

साइट्स और वीपीएन उपयोगकर्ता सेटिंग्स के साथ उन्नत कॉन्फ़िगरेशन के लिए प्राथमिकता

जब आप किसी साइट या एसडीपी उपयोगकर्ता के लिए उन्नत फीचर को कॉन्फ़िगर करते हैं, तो यह उन्नत कॉन्फ़िगरेशन पृष्ठ में खाता के लिए सेटिंग को ओवरराइड कर देता है। निम्न तालिका प्रत्येक उन्नत फीचर और यह साइट या एसडीपी उपयोगकर्ता पर लागू होता है या नहीं, को दिखाती है।

फ़ीचर का नाम

लागू किया गया

PoP से डिस्कनेक्ट होने पर स्थानीय रूटिंग को अवरुद्ध करें

साइट्स (केवल सॉकेट्स के लिए)

डाउनस्ट्रीम बर्स्टिनेस मान

साइट्स (केवल सॉकेट्स के लिए)

अपस्ट्रीम बर्स्टिनेस मान

साइट्स (केवल सॉकेट्स के लिए)

IKEv2 प्रत्येक पेलोड प्रति एकल TS भेजें

साइट्स (केवल IPsec IKEv2)

SIP ट्रैफ़िक के लिए प्राथमिक IP

साइट्स

इंटरनेट के माध्यम से पुनर्प्राप्ति

साइट्स (केवल सॉकेट्स के लिए)

क्रमिक संख्या द्वारा प्रमाणपत्र रद्द करें

सभी एसडीपी उपयोगकर्ता

SIP ALG

साइट्स

WAN ट्रैफ़िक के लिए SYN पर TCP त्वरण

साइट्स और एसडीपी उपयोगकर्ता

टीसीपी भीड़ एल्गोरिदम

केवल वैश्विक

डिवाइस प्रमाणपत्र में OID सत्यापित करें

सभी SDP उपयोगकर्ता

VPN ऑफिस मोड

सभी SDP उपयोगकर्ता

WAN कीप-अलाइव फ्रीक्वेंसी

साइट्स (केवल सॉकेट्स के लिए)

WAN पुनर्प्राप्ति

साइट्स (केवल सॉकेट्स के लिए)

आप केवल व्यक्तिगत साइट्स के लिए निम्नलिखित सेटिंग्स कॉन्फ़िगर कर सकते हैं (खाते के लिए वैश्विक सेटिंग्स के रूप में नहीं):

  • सॉकेट से PoP अधिकतम MTU (केवल भौतिक सॉकेट्स के लिए लागू होता है)

साइट्स के लिए उन्नत कॉन्फ़िगरेशन के बारे में अधिक जानकारी के लिए यहां देखें

SDP उपयोगकर्ताओं को VPN ऑफिस मोड कॉन्फ़िगर करने की अनुमति देना

जब एक SDP उपयोगकर्ता एक ऑफिस में काम करता है जो सॉकेट के पीछे है, तो Cato क्लाइंट स्वचालित रूप से उस साइट से जुड़ता है। इस व्यवहार को VPN ऑफिस मोड कहते हैं और यह सभी खातों के लिए डिफ़ॉल्ट रूप से सक्रिय होता है। ऑफिस मोड के बिना, जब Cato क्लाइंट एक सॉकेट के पीछे के VPN से जुड़ता है, तो वह एक टनल-इन-टनल का उपयोग करता है जो अक्सर प्रदर्शन पर नकारात्मक प्रभाव डालता है।

ऑफिस मोड के साथ, Cato क्लाइंट सॉकेट टनल का उपयोग करके Cato क्लाउड से जुड़ता है और उस साइट के लिए एक नियमित होस्ट के रूप में व्यवहार करता है। क्लाइंट को साइट से नेटवर्किंग और सुरक्षा सेटिंग्स प्राप्त होती हैं और वह टनल-इन-टनल VPN का उपयोग करने से रोकता है।

कभी-कभी ऑफिस मोड किसी शाखा कार्यालय का दौरा करने वाले व्यक्ति को अलग कार्यालय, जैसे कि कॉर्पोरेट मुख्यालय में संसाधनों से जुड़ने से रोक सकता है। आप SDP उपयोगकर्ताओं को Cato क्लाइंट के ऑफिस मोड के व्यवहार को कॉन्फ़िगर करने की अनुमति देने का विकल्प चुन सकते हैं।

SDP उपयोगकर्ताओं को उनके क्लाइंट्स के लिए ऑफिस मोड कॉन्फ़िगर करने की अनुमति देने के बारे में अधिक जानकारी के लिए, देखें ऑफिस मोड कॉन्फ़िगर करना

खाते के लिए WAN रिकवरी कॉन्फ़िगर करना

अपने नेटवर्क की लचीलापन बढ़ाने के लिए, जब Cato क्लाउड में कनेक्टिविटी समस्याएँ होती हैं और सॉकेट्स उसे अन्य साइट्स को WAN ट्रैफ़िक भेजने के लिए उपयोग नहीं कर सकते हैं, तो WAN पुनर्प्राप्ति सुविधा समर्थन प्रदान करता है। यह सुविधा अन्य सॉकेट साइट्स के साथ कनेक्टिविटी बनाए रखने के लिए बाईपास टनल्स का स्वचालित रूप से उपयोग करता है। जब सॉकेट्स Cato क्लाउड के साथ कनेक्टिविटी को फिर से स्थापित करते हैं, तो वे स्वचालित रूप से सामान्य संचालन फिर से शुरू करते हैं।

नोट

नोट: ऑफ-क्लाउड ट्रैफिक को WAN पुनर्प्राप्ति का समर्थन करने के लिए सॉकेट WAN लिंक पर सक्षम होना चाहिए।

नेटवर्क रिकवरी के दौरान, WAN ट्रैफ़िक Cato क्लाउड को बायपास करता है और यहाँ ट्रैफ़िक में बदलाव हैं:

  • Cato प्रबंधन अनुप्रयोग कनेक्टिविटी के लिए डेटा का विश्लेषण नहीं करता और नेटवर्क स्वास्थ्य या गुणवत्ता के लिए अलर्ट जनरेट नहीं करता

  • WAN और इंटरनेट फ़ायरवॉल को ट्रैफिक पर लागू नहीं किया गया है

  • खतरा सुरक्षा सेवाएं ट्रैफिक पर लागू नहीं की गई हैं

WAN पुनर्प्राप्ति सेटिंग्स कॉन्फ़िगर करने के लिए, ऊपर देखें खाता के लिए उन्नत सुविधाएँ कॉन्फ़िगर करना इन मानों के साथ:

  • अक्षम - डिफ़ॉल्ट वैश्विक सेटिंग्स। सॉकेट अन्य सॉकेट साइट्स के साथ सुरंग स्थापित करती है और सुरंग को बनाए रखने के लिए कीप-अलाइव संदेशों का उपयोग करती है। सभी सॉकेट साइट्स के लिए खाते में डिफ़ॉल्ट रूप से रिकवरी सक्रिय होती है।

  • सक्षम और चालू - खाता अन्य साइट्स के लिए WAN ट्रैफ़िक की रिकवरी प्रदान करने के लिए कॉन्फ़िगर किया गया है। फंक्शनलिटी अक्षम के समान है।

  • सक्षम और बंद - इस खाते के लिए रिकवरी सक्षम नहीं है, और बायपास सुरंगों का समर्थन या अनुरक्षण नहीं होता है।

नोट

नोट: WAN रिकवरी फीचर द्वारा उत्पन्न ईवेंट्स को ऑफ-क्लाउड रिकवरी के रूप में वर्णित किया गया है।

विशिष्ट साइट्स के लिए वैश्विक WAN रिकवरी सेटिंग्स कॉन्फ़िगर करने के बारे में अधिक जानकारी के लिए, उन्नत कॉन्फ़िगरेशन्स के एक साइट पर देखें।

खाते के लिए इंटरनेट के माध्यम से रिकवरी कॉन्फ़िगर करना

इंटरनेट ट्रैफ़िक को सहनशील बनाने के लिए, रिकवरी मोड फ़ीचर Cato Cloud को कनेक्ट करने में समस्या होने पर समर्थन प्रदान करता है, और Cato सॉकेट इंटरनेट पर ट्रैफ़िक के लिए इसका उपयोग नहीं कर सकता। सक्षम होने पर, यह फीचर इंटरनेट पर ट्रैफ़िक भेजने के लिए आईएसपी लिंक के साथ इंटरनेट कनेक्टिविटी को स्वचालित रूप से पुनर्स्थापित करता है।

अस्थायी इंटरनेट रिकवरी के दौरान, इंटरनेट ट्रैफ़िक Cato क्लाउड को बायपास करता है और यह ट्रैफ़िक में परिवर्तन हैं:

  • इंटरनेट फ़ायरवॉल नियम ट्रैफ़िक पर लागू नहीं होते हैं

  • खतरा सुरक्षा सेवाएँ ट्रैफ़िक पर लागू नहीं होती हैं

  • Cato प्रबंधन एप्लिकेशन कनेक्टिविटी के लिए डेटा का विश्लेषण नहीं करता है और इंटरनेट ट्रैफ़िक के लिए अलर्ट उत्पन्न नहीं करता है

इंटरनेट रिकवरी सेटिंग कॉन्फ़िगर करने के लिए, ऊपर देखें, खाते के लिए उन्नत फीचर्स कॉन्फ़िगर करना इन मानों के साथ:

  • अक्षम - डिफ़ॉल्ट वैश्विक सेटिंग्स। सभी सॉकेट साइट्स के लिए खाते में डिफ़ॉल्ट रूप से रिकवरी सक्रिय होती है। हम अनुशंसा करते हैं कि आप इस सेटिंग्स का उपयोग करें।

  • सक्षम और चालू - खाता इंटरनेट के लिए सभी ट्रैफ़िक की रिकवरी प्रदान करने के लिए कॉन्फ़िगर किया गया है। फंक्शनलिटी अक्षम के समान है।

  • सक्षम और बंद - इस खाते के लिए रिकवरी मोड फीचर अक्षम हैं।

नोट

महत्वपूर्ण! हम अनुशंसा करते हैं कि आप हमेशा रिकवरी मोड फ़ीचर को सक्रिय करें और इंटरनेट ट्रैफ़िक की रिकवरी प्रबंधित करने के लिए चालू या बंद विकल्प चुनें। जब यह फीचर अक्षम होता है, यदि सॉकेट कैटो क्लाउड से कनेक्ट नहीं हो सकता है, तो यह ट्रैफ़िक को इंटरनेट पर रूट नहीं करता है।

विशिष्ट साइट के लिए वैश्विक इंटरनेट रिकवरी सेटिंग्स कॉन्फ़िगर करने के बारे में अधिक जानकारी के लिए, देखें साइट के लिए उन्नत कॉन्फ़िगरेशन

VoIP और SIP ट्रैफ़िक के लिए समान (Preferred) निर्गम IP पता का उपयोग करना

यदि आप UCaaS के साथ काम करते हैं और VoIP या SIP ट्रैफ़िक के लिए एक निर्गम नेटवर्क नियम रखते हैं, तो कभी-कभी UCaaS (जैसे कि RingCentral) को IP पता बदलने पर समस्या होती है। जब SIP ट्रैफ़िक के लिए पसंदीदा IP फ़ीचर सक्रिय है, तो VoIP और SIP ट्रैफ़िक हमेशा समान निर्गम IP पता का उपयोग करता है।

 

नोट

नोट: इस फ़ीचर का उपयोग करने के लिए आपको VoIP या SIP ट्रैफ़िक के लिए निर्गम नेटवर्क नियम रखना आवश्यक है।

IKEv2 साइट्स प्रति पेलोड एकल TS भेजना

चाइल्ड SA बनाते समय, Cato कई ट्रैफ़िक चयनकर्ता (TS) को RFC 7295 के अनुसार समान TS पेलोड में भेजता है। कुछ तृतीय-पक्ष समाधान, जैसे कि Cisco ASA, प्रत्येक चाइल्ड SA में केवल एक TS का समर्थन करते हैं। Cisco ASA Cato के एक चाइल्ड SA बनाने के प्रस्ताव का जवाब देते हुए TS_UNACCEPTABLE संदेश भेजेगा।

जब IKEv2 प्रति पेलोड एकल TS भेजें सक्षम किया जाता है और चालू पर सेट किया जाता है, तो प्रत्येक चाइल्ड SA में केवल एकल TS भेजा जाता है। यह डिफ़ॉल्ट रूप से अक्षम है।

स्थानीय रूटिंग को अवरुद्ध करना जब साइट्स PoP से डिस्कनेक्ट हो जाती हैं

डिफ़ॉल्ट रूप से, साइट के भीतर ट्रैफ़िक (उदाहरण के लिए, VLANs के बीच) Cato PoP के माध्यम से रूट किया जाता है, जो ट्रैफ़िक का निरीक्षण करता है। ट्रैफ़िक VLAN से Cato क्लाउड के PoP तक और फिर अन्य VLAN तक बहता है।

यदि कोई साइट अस्थायी रूप से Cato क्लाउड से डिस्कनेक्ट होती है, तो डिफ़ॉल्ट व्यवहार फेल-ओपन होता है। ट्रैफ़िक बिना निरीक्षण के सीधे VLAN से दूसरे VLAN में बहता है। आप डिफ़ॉल्ट वैश्विक खाता-स्तरीय व्यवहार को फेल-क्लोज़ पर बदल सकते हैं, ताकि डिफ़ॉल्ट रूप से सभी सॉकेट साइट्स PoP से डिस्कनेक्ट होते समय स्थानीय रूटिंग ट्रैफ़िक को ब्लॉक करें। सॉकेट v15.0 या उच्चतर की आवश्यकता है।

नोट

नोट: जिन साइट्स को LAN फ़ायरवॉल या स्थानीय रूटिंग नियमों के साथ कॉन्फ़िगर किया गया है, वे नियम PoP से डिस्कनेक्ट होने पर स्थानीय रूटिंग ब्लॉक करें सेटिंग पर प्राथमिकता रखते हैं। इसलिए, यह सेटिंग उन ट्रैफ़िक पर लागू नहीं होती जो नियमों से मेल खाती है।

PoP से डिस्कनेक्ट होने पर स्थानीय रूटिंग ब्लॉक करें सेटिंग कॉन्फ़िगर करने के लिए, ऊपर देखें खाते के लिए उन्नत कॉन्फ़िगरेशन का अवलोकन इन मानों के साथ:

  • अक्षम - डिफ़ॉल्ट वैश्विक सेटिंग। जब साइट PoP से डिस्कनेक्ट होती है तो समर्थित साइट के भीतर ट्रैफ़िक रूटिंग की अनुमति है। यह फेल-ओपन व्यवहार है।

  • सक्षम और चालू - जब साइट PoP से डिस्कनेक्ट होती है तो समर्थित साइट के भीतर ट्रैफ़िक रूटिंग को ब्लॉक किया जाता है। यह फेल-क्लोज़ व्यवहार है।

  • सक्षम और बंद - PoP से साइट के डिस्कनेक्ट होने पर समर्थित साइट के भीतर यातायात मार्गदर्शन की अनुमति है। यह fail-open व्यवहार है। इसकी कार्यक्षमता अक्षम समान है।

निम्नलिखित आरेख स्थानीय मार्गदर्शन व्यवहार दिखाता है:

Block_Local_Routing.png

डिवाइस प्रमाणपत्रों में OID सत्यापित करना

उपकरण प्रमाणपत्र में OID सत्यापित करें से उपकरण प्रमाणपत्र परीक्षाएँ बढ़ जाती हैं। सक्रिय होने पर, आप ऐसे OID की सूची परिभाषित कर सकते हैं जो आपके नेटवर्क से कनेक्ट कर सकते हैं। केवल उपकरण जो परिभाषित OID के साथ मिल रहे प्रमाणपत्र से प्रमाणीकरण कर रहे हैं वे कनेक्ट कर पाएंगे। अनेक OID को सेमीकोलन से अलग करें, और निम्न प्रारूप में सूचीबद्ध करें:

  • cert_ext_obj(cert, "<extension_key>") == "<OID_value1>;<OID_value2>"

किसी उपकरण की सहायक कुंजी और OID मानों को certutil या openssl x509 प्रमाणपत्र उपकरणों का उपयोग करके खोजा जा सकता है।

यह विशेषता डिफ़ॉल्ट रूप से अक्षम है। यदि आप इस सेटिंग को सक्रिय करते हैं तो SDP उपयोगकर्ता आपके नेटवर्क से कनेक्ट नहीं हो सकते हैं अगर आप अपने उपकरण के प्रमाणपत्रों को सही ढंग से कॉन्फ़िगर नही कर रहे हैं।

क्रमिक संख्या द्वारा प्रमाणपत्र रद्द करना

क्रम संख्या द्वारा प्रमाणपत्र रद्द करें उपकरण प्रमाणपत्र परीक्षाओं को बढ़ाता है। सक्रिय होने पर, आप ब्लॉक किए गए प्रमाणपत्र क्रम संख्या की सूची परिभाषित कर सकते हैं। उन उपकरणों को ब्लॉक किया जाता है जो परिभाषित क्रम संख्या से मिलान करने वाले प्रमाणपत्र से प्रमाणीकरण करते हैं।

  • प्रत्येक क्रम संख्या को एक डेलिमिटर वाले प्रारूप में होना चाहिए (1a:2b:3c:4d ...)

  • अनेक क्रम संख्याओं को कॉमा से अलग करें

    आप जिन क्रम संख्याओं को रद्द करते हैं, उनकी मात्रा की कोई सीमा नहीं है

यह विशेषता डिफ़ॉल्ट रूप से अक्षम है। यदि आप इस सेटिंग को सक्रिय करते हैं तो SDP उपयोगकर्ता आपके नेटवर्क से कनेक्ट नहीं हो सकते हैं अगर आप अपने उपकरण के प्रमाणपत्रों को सही ढंग से कॉन्फ़िगर नही कर रहे हैं।

WAN TCP प्रॉक्सी मोड संशोधित करना

TCP प्रॉक्सी आपको आपके WAN TCP प्रॉक्सी मोड को हर कनेक्शन के पहले SYN पैकेट्स पर शुरू करने के लिए सक्षम करता है या TCP हैंडशेक पूरी होने के बाद WAN TCP प्रॉक्सी में देरी और प्रारंभ करता है। TCP प्रॉक्सी मोड के बारे में अधिक के लिए, देखें Cato TCP त्वरक और सर्वोत्तम प्रथाएं को समझाना

WAN ट्रैफ़िक के लिए SYN पर TCP त्वरक सेटिंग कॉन्फ़िगर करने के लिए, ऊपर देखें खाते के लिए उन्नत कॉन्फ़िगरेशन का अवलोकन इन मानों के साथ:

  • चालू - पूरी WAN TCP प्रॉक्सी।

  • बंद - मूल WAN TCP वार्ता को संरक्षित करना और TCP प्रॉक्सी में देरी करना।

बर्स्टनेस मान को संशोधित करना

माइक्रो-बर्स्ट्स की विशेषता अचानक पैकेटों या डेटा फ्रेम्स के उछाल द्वारा की जाती है जो बहुत कम समय सीमा में होती है।

जब माइक्रो-बर्स्ट्स साइट की दर सीमा को थोड़े समय में पार कर जाते हैं, तो इंटरनेट सेवा प्रदाता (ISP) द्वारा अत्यधिक पैकेट ड्रॉप के कारण पैकेट हानि हो सकती है।

डाउनस्ट्रीम फटना मान और अपस्ट्रीम फटना मान आपको अनुमति देते हैं कि आपके साइट्स पर कैसे माइक्रो-बर्स्ट्स नेटवर्क पर संभालें, इसके लिए डाउनस्ट्रीम या अपस्ट्रीम दिशाओं के अनुसार फटना स्तर मान परिवर्तित करके। बर्स्टिंग लेवल मानों को संशोधित करने से माइक्रो-बर्स्ट्स के लिए अधिक आक्रामक या अधिक अनुमति देने वाली नीति अपनाकर बर्स्टिंग के कारण होने वाली पैकेट हानि को कम किया जा सकता है। डिफ़ॉल्ट फटना मान इंटरफ़ेस बैंडविड्थ पर निर्भर करता है:

  • इंटरफ़ेस बैंडविड्थ 40 Mbps और उससे अधिक के लिए, डिफ़ॉल्ट मान 0.2 है

  • इंटरफ़ेस बैंडविड्थ 40 Mbps से कम के लिए, डिफ़ॉल्ट मान 0.1 है

बर्स्टिंग और पैकेट हानि के बारे में अधिक जानकारी के लिए, देखें सॉकेट साइट पैकेट हानि का समाधान कैसे करें

नोट

नोट:

  • सभी Sockets को वर्शन 12.0 और उससे ऊपर पर चलाना होगा ताकि फटना कॉन्फ़िगरिंग का समर्थन हो सके।

  • नया मान केवल टनल रीसेट के बाद लागू होता है।

क्या यह लेख उपयोगी था?

0 में से 0 के लिए उपयोगी रहा

0 टिप्पणियां