オフクラウドリンクへのトラフィックルーティング

オフクラウドトランスポートの概要

カトクラウドを経由して送信されたトラフィックは、カトネットワークとセキュリティの強化の恩恵を受けます。 ただし、特定の状況では、企業がインターネット上でソケット間の直接VPN接続を使用する必要がある場合があります。 オフクラウドトランスポート機能により、ソケットを設定して、カトクラウドではなくインターネットを介してオフクラウドトラフィックを送信できます。 例えば、同じ地域の異なるサイト間で定期的なバックアップが行われる場合、これらのバックアップをオフクラウドトランスポートとして指定できます。

ソケットはオフクラウドトラフィックのために相互に完全なメッシュトポロジーを作成します。 トラフィックは暗号化され、DTLSトンネルを使用してインターネット上で送信されます。

複数のリンクを持つソケットの場合、各リンクをオフクラウドトラフィックの送信のために有効または無効にできます。 オフクラウドは以下の展開で構成できます:

  • アクティブ/アクティブ - オフクラウドトラフィックは、各リンクの利用可能な帯域幅に応じて重み付けされた方法でアクティブなリンク間で負荷分散および分配されます。
  • アクティブ/パッシブ(およびアクティブ/アクティブ/パッシブ)- パッシブリンクは、アクティブリンクがダウンした場合、またはリンク品質が著しく低下した場合に冗長性を提供します。

注意: オフクラウドのトラフィックは、サイトの帯域幅ライセンスから除外されます。WANリンクの最大ソケットスループットは、WAN、オフクラウド、バイパストラフィックを合わせたものです。 つまり、X1500ソケット(最大500 Mbpsのスループット)が400 MbpsのWANトラフィックを送信している場合、オフクラウドおよびバイパストラフィックには100 Mbpsが利用可能です。

 

既知の制限事項

  • オフクラウドトラフィックはCato脅威保護エンジンによって検査されません。
  • ソケットは、オフクラウドトラフィックに最大3つのリンクをサポートします。
  • オフクラウドトラフィックでFTPパッシブモードをルーティングすることはできません。Catoクラウドでのみルーティングできます。
  • オフクラウド(サイト間)トンネルは、同じISPルーターに接続されているサイト間で確立することはできません。 各サイトには固有の公開IPアドレスが必要です。
  • Alt-WANはセカンダリトランスポートとしてオフクラウドではサポートされていません。 ネットワークルールのAlt-WANをプライマリトランスポートとし、オフクラウドへのフェイルオーバーを設定することはできません。

オフクラウドトラフィックの取り扱い

Catoソケットは、トランスポートとWAN復旧という2種類のオフクラウドトラフィックをサポートしています。 WAN復旧は、Catoクラウドで接続性の問題がある場合にレジリエンスを提供し、他のソケットサイトとの接続を維持するために自動的にバイパスVPNトンネルを使用します。 リンクを設定してオフクラウドトラフィックを送信すると、そのリンクはトランスポートトラフィックと復旧トラフィックの両方を送信できるようになります。 ソケットでオフクラウドトランスポート用のリンクと復旧用のリンクを一つずつ指定することはできません。

注記

注意:

  • オフクラウドトランスポートは、単純なネットワークルールにのみ正式にサポートされています。 オフクラウドをトランスポートとして使用して複雑なルールを設定した場合でも、トラフィックは分析のためにPoPに送信されます。 複雑なネットワークルールとは、Socket自体が評価できないネットワークルールです。 したがって、SocketはPoPにトラフィックを送信し、正しいネットワークルールを選択し、TCPプロキシを有効化する必要があります。 複雑なルールには、アプリケーション、アプリケーションカテゴリ、サービス、カスタムアプリケーション、またはドメイン/FQDNオブジェクトが含まれる場合があります。

    場合によっては、このトラフィックがTCPアクセラレーションモードをトリガーし、その場合、トラフィックはPoPを経由し、本来の意図とは異なりオフクラウドを通過しません。 他のインスタンスでは、トラフィックがオフクラウドで送信された場合でも、前述の分析によりPoPを経由しているように見えることがあります。

  • Catoは、すべてのオフクラウドの単純ルールをネットワークルールベースのトップに設定することを推奨します。

WAN の復旧について詳しくは アカウントの高度な設定を使用する を参照してください。

オフクラウドトランスポートの設定

このセクションでは、オフクラウドトランスポートのためのサイトとネットワークルールの設定方法について説明します。

オフクラウドトランスポート用のサイトを有効化

オフクラウドトラフィックを送受信する各サイトでオフクラウドトランスポートを有効にします。 複数のリンクを持つSocketデプロイメントの場合、オフクラウドトラフィックをサポートするようにリンクを構成します。

デフォルトでは、SocketサイトのWANリンクに対してオフクラウドトランスポートが有効になっています。 ただし、リンクのWANの優先度3 (ラストリゾート)として定義した場合、そのリンクのオフクラウドトランスポートは自動的に無効になります。

オフクラウド.png

上記の例では、WAN1およびWAN2リンクがオフクラウドトラフィックを送信するように構成されたサイトを示しています。 また、WANリンクの一つがCatoクラウドを通じてのみトラフィックを送信するサイトを構成することも選択できます。

複数リンクのあるサイトについて詳しくは、以下の複数リンクを持つオフクラウド用のサイト設定を参照してください。

パブリックIPと設定インタフェースの構成

通常、オフクラウドトラフィックを送信するリンクの公開IP固定インタフェース設定はSocketにより自動的に設定され、Cato 管理画面で設定されることはありません。 ソケットはランダムに送信元ポートを選び、インターネットルーターの公開IPアドレスを使用して接続を開始します。

Cato管理画面を使用して、オフクラウドトラフィックを送信する各リンクのために、手動で静的公開IPアドレスとポート番号を設定することもできます。 この作業を行う際、サイトのインターネットルーターに固定の公開IPアドレスが割り当てられ、対照的なポートフォワーディングルールで構成されていることを確認してください。 そうでない場合は、公開IP固定インタフェースの設定を手動で構成しないでください。

ただし、いくつかの状況ではこれらの設定を構成する必要があります。 例えば、ローカルルーターでNATに関連する問題を解決するためにポートフォワーディングルールを利用する場合です。

サイトのオフクラウドトランスポートを有効にするには:

  1. ナビゲーションメニューから ネットワーク > サイト を選択し、サイトを選択します。
  2. ナビゲーションメニューから、サイト設定 > ソケットを選択します。
  3. サービスの提供手続に関する一般事項

    1. リンクをクリックします。

      ソケットのインタフェースの編集パネルが開きます。

    2. オフクラウドのセクションを展開します。
    3. トラフィックステータスのドロップダウンメニューで、有効を選択します。
    4. (オプション)オフクラウドリンクの公開IPと静的ポート番号を入力します。
  4. 保存をクリックします。
  5. オフクラウドトラフィックを送受信する各サイトに対して前述の手順を繰り返します。

オフクラウドトランスポート用のネットワークルールの設定

オフクラウドトランスポートを使用して送信されるWANトラフィックの種類を定義するネットワークルールを作成します。 次に、このルールを構成して、オフクラウドトランスポート経由でトラフィックをルートします。

オフクラウドトランスポートのインタフェースの役割オプションを設定することはできません。 また、オフクラウドを主なトランスポートとして使用するネットワークルールについては、TCPアクセラレーションを無効にしてください。

ネットワークルールの詳細については、ネットワークルールの設定を参照してください。

オフクラウドトランスポートのネットワークルールを構成するには:

  1. ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。
  2. 名前を入力します。 新規ルール パネルが表示されます。
  3. 新しいWANネットワークルールを作成するには:
    1. 一般セクションにルールの名前を入力してください。
    2. ルールタイプドロップダウンメニューで、WANを選択します。
    3. ネットワークルールベース内でのルール表示場所を決定するルール順序を設定します。
  4. ソースセクションを展開し、このルールのトラフィックソースに対して1つ以上のオブジェクトを選択する(またはIPアドレスを入力できます)。
  5. 宛先セクションを展開し、文字列を入力するか、このルールのトラフィック宛先に対して1つ以上のオブジェクトを選択します。
  6. アプリ/カテゴリセクションを展開し、ルールに対して1つ以上のアプリケーションを選択します。
  7. ネットワークルールのトランスポート設定を構成します。

    1. 設定セクションを展開します。

      Off-Cloud_Routing.png
    2. TCPアクセラレーションが無効であることを確認してください。
    3. プライマリトランスポートで、オフクラウドをプライマリトランスポートとして設定します。

    4. セカンダリ トランスポートで、セカンダリトランスポートを設定します:

      • 自動 - ソケットは自動的にセカンダリトランスポートオプションを選択します
      • なし - プライマリトランスポート(オフクラウドトランスポート)でのみトラフィックを送信します
      • Cato - ソケットはセカンダリトランスポートオプションとしてCatoクラウドを使用します
  8. 保存をクリックします。

  9. 保存をクリックしてください。

    変更は未公開の改訂に保存され、公開または破棄されるまで編集可能です。

オフクラウドトラフィック用の複数リンクの操作

複数のリンクを持つソケット用に、オフクラウドトラフィックのアクティブ/アクティブおよびアクティブ/パッシブ配置を設定できます。 オフクラウドトラフィック用に1つのリンクのみを有効化することを選択した場合、そのリンクがトラフィックを送信できない場合、オフクラウド接続はネットワークルールのトランスポート設定でセカンダリトランスポートオプションに従います。

複数リンクのソケットに関する詳細な技術的背景については、パート1: ソケットインタフェースと優先度を参照してください。

オフクラウドトラフィックとアクティブ/パッシブデプロイメント

アクティブ/パッシブデプロイメントでは、ソケットリンクは異なる優先度に設定され、サイトの高可用性を提供します。 数秒ごとに、ソケットはアクティブリンクのリンク品質を評価し、アクティブリンクの健全性が劣化すると、ソケットは徐々にトラフィックをパッシブリンクに移動させます。 リンク品質が回復すると、ソケットはアクティブリンクを介してトラフィックの送信を再開します。 同様に、アクティブリンクがダウンした場合、トラフィックフローはアクティブリンクが復帰するまでパッシブリンクに転送されます。 これが最低限のリンク品質メトリックです:

  • パケットロス - 3%
  • ジッター - 30 ms
  • レイテンシー - 600 ms

リンクが上記のメトリックのいずれかを満たせない場合、トラフィックは徐々に他のリンクに移されます。 ソケットは10秒ごとにリンクを評価し、トラフィックに最適なリンクを選択します。 したがって、ソケットがパッシブリンクにフェイルオーバーした場合、アクティブリンクに戻るまでに少なくとも10秒待機します。

一部の状況では、パッシブリンクへのフェイルオーバーが2つのサイト間で非対称のトラフィックを引き起こす可能性があります。 例えば、サイト1とサイト2は両方ともアクティブ/パッシブデプロイメントに設定されています。 サイト1がパッシブリンクにフェイルオーバーした場合、サイト1はWAN2経由でトラフィックを送信し、サイト2はWAN1経由でトラフィックを送信します。 もう一つの状況は、一方のサイトがアクティブ/アクティブ展開で構成され、他方のサイトがアクティブ/パッシブである場合です。 一つのサイトの単一のアクティブリンクが、他のサイトの両方のアクティブリンクにトラフィックを送信します。

オフクラウドトラフィックとアクティブ/アクティブデプロイメント

アクティブ/アクティブデプロイメントでは、両方のソケットリンクが同じ優先度に設定され、サイトの高可用性と負荷分散を提供します。 各トラフィックフローについて、ソケットは各リンクを継続的に監視し、最適なオプションを選択します。

複数のリンクを用いたオフクラウドのためのサイトの設定

オフクラウドトラフィックをアクティブ/アクティブまたはアクティブ/パッシブデプロイメントとして送信するためにリンクを設定するには、ソケット設定を定義します。

オフクラウドトラフィックのアクティブ/アクティブまたはアクティブ/パッシブ向けにサイトを設定するには:

  1. ナビゲーションメニューから ネットワーク > サイト を選択し、サイトを選択します。
  2. ナビゲーションメニューから、サイト設定 > ソケットを選択します。

  3. このサイトのオフクラウドトラフィックを有効にする。

    このオプションが無効の場合、スライダーは灰色になります。

  4. WAN1リンクの設定を行います。

    1. リンクをクリックします。

      ソケットのインタフェースの編集パネルが開きます。

    2. 一般セクションで優先度を1 (アクティブ)に設定します。
    3. オフクラウドのセクションを展開します。
    4. トラフィックステータスのドロップダウンメニューで、有効を選択します。
    5. (オプション)オフクラウドリンクの公開IPと静的ポート番号を入力します。
    6. 保存をクリックします。 WAN1リンクのオフクラウド設定が更新されます。

  5. ステップ4を繰り返し、WAN 2リンクの設定を構成します:

    • アクティブ/パッシブの場合、優先度を2 (パッシブ)に設定します。
    • アクティブ/アクティブの場合、優先度を1 (アクティブ)に設定します。
  6. 保存をクリックしてください。 サイトのオフクラウド設定が設定されます。

オフクラウドアナリティクス

オフクラウド画面で、オフクラウドトラフィックとトンネルの分析と状態を表示できます。

サイトのオフクラウド分析を表示するには:

  1. ナビゲーションメニューから ネットワーク > サイト を選択し、サイトを選択します。
  2. ナビゲーションメニューから サイト監視 > オフクラウド を選択します。

オフクラウドトランスポートイベント

イベント 画面は、アカウントに対するすべてのオフクラウドトランスポートイベントを表示します。 強力な検索ツールにより、必要な関連データを含むいくつかのイベントを絞り込んで特定することができます。

イベント画面の使用方法についてもっと知りたい方は、こちらをご覧ください。 イベントをフィルタリングするには、SaaSセキュリティAPIデータ保護 プリセットを使用できます。

イベントのサブタイプ 説明
オフクラウドトランスポート接続 サイトはオフクラウドトンネル(通常は初期接続)に接続します
オフクラウドトランスポート切断 サイトのオフクラウドトランスポートが切断されます

この記事は役に立ちましたか?

3人中3人がこの記事が役に立ったと言っています

0件のコメント