この記事では、アカウント全体の高度な設定機能をカスタマイズする方法を説明します。
高度な設定 ページのオプションは、アカウント内のさまざまな設定に対してより詳細な制御を提供します。 画面には無効化された各設定のデフォルト値も表示されます。
高度な設定を無効にすると、デフォルト値に戻ります。 ただし、カスタム値は保存され、後で設定を有効にすると、そのカスタム値を使用できます。
アカウントの高度な設定機能を設定するには:
- ナビゲーションメニューから、リソース > 高度な設定をクリックします。
- ステータス 列で、各設定のステータスを有効化または無効化するにはトグルを使用します(緑色は有効、灰色は無効)。
-
設定の値を設定または編集するには、名前列の設定名をクリックします。
編集 <設定名> パネルが開きます。
-
In the Edit panel, you can:
- 値を入力または選択します
- この高度な設定の理由を説明するための コメントを入力または編集します(推奨)
- 適用 をクリックします。 高度な設定の変更が画面に追加されます。
- 保存をクリックしてください。 設定の構成が保存されます。
サイトまたはSDPユーザーに対して高度な機能を設定すると、高度な設定 ページでのアカウントの設定が上書きされます。 以下の表は、各高度な機能とそれがサイトまたはSDPユーザーに適用されるかどうかを示しています。
以下の設定は、個々のサイトでのみ設定でき (アカウントのグローバル設定としてはできません):
- ソケットからPoP最大MTU(物理ソケットにのみ適用)
サイトの高度な設定の詳細については、サイトの高度な設定を参照してください。
SDPユーザーがCato ソケットの背後にあるオフィスで作業している場合、Cato クライアントは自動的にそのサイトに接続します。 この動作はVPNオフィスモードと呼ばれ、すべてのアカウントに対してデフォルトで有効になっています。 オフィスモードがない場合、Cato クライアントがCato ソケットの背後にあるVPNに接続するとき、クライアントはトンネル内のトンネルVPNで接続され、しばしばパフォーマンスに悪影響を及ぼします。
オフィスモードでは、Cato クライアントはソケットトンネルを使用してCato Cloudに接続し、そのサイトの通常のホストとして扱われます。 クライアントはネットワークとセキュリティの設定をサイトから受け取り、トンネル-イントンネルの使用を防ぎます。
オフィスモードでは、支社を訪れる人が別のオフィス、本社などのリソースに接続するのを妨げることがあります。 SDPユーザーがCato クライアントのオフィスモードの動作を設定できるようにすることができます。
SDPユーザーがクライアントのOfficeモードを設定する方法についての詳細は、Officeモードの設定を参照してください。
あなたのネットワークのレジリエンスを向上させるため、Catoクラウドで接続性の問題が発生し、Catoソケットが他のサイトにWANトラフィックを送信できない場合、WANリカバリ機能がサポートを提供します。 この機能は、他のソケットサイトとの接続性を維持するためにバイパストンネルを自動で使用します。 ソケットがCatoクラウドへの接続を再確立すると、通常の運用に自動的に戻ります。
注意
注意: オフクラウドトラフィックは、WANリカバリをサポートするためにソケット WAN リンクで有効にする必要があります。
ネットワークリカバリーの間、WANトラフィックはCatoクラウドをバイパスし、トラフィックに以下の変更があります:
- Cato管理画面は接続性のデータを分析せず、ネットワークの健全性や品質に関するアラートも生成しません
- WANとインターネットファイアウォールは、このトラフィックに適用されません
- 脅威保護サービスは、このトラフィックに適用されません
WANリカバリー設定を構成するには、上記のアカウントの高度な機能を構成するを次の値と共に参照してください:
- 無効 - デフォルトのグローバル設定。 ソケットは他のソケットサイトとトンネルを確立し、トンネルを保持するためにキープアライブメッセージを使用します。 アカウントのすべてのソケットサイトで、デフォルトでリカバリーが有効になっています。
- 有効およびオン - アカウントは他のサイトへのWANトラフィックのリカバリーを提供するように設定されています。 この機能は無効と同じです。
- 有効およびオフ - このアカウントについてリカバリーは有効にはなっておらず、バイパストンネルはサポートされておらず維持もされていません。
注意
注意: WANリカバリー機能によって生成されたイベントはオフクラウドリカバリーとして記述されます。
特定のサイトのためのグローバルWANリカバリ設定の構成についての詳細は、サイトの高度な設定を参照してください。
インターネットトラフィックの回復力を向上させるために、インターネットによるリカバリー機能は、Cato Cloudへの接続に問題がある場合にサポートを提供し、Catoソケットがトラフィックをインターネットに送信するためにそれを使用できません。 有効にすると、この機能は自動的にISPリンクによるインターネット接続を回復し、インターネットにトラフィックを送信します。
一時的なインターネットリカバリ中、インターネットトラフィックはCato Cloudをバイパスし、トラフィックに以下の変更があります:
- インターネットファイアウォールルールはトラフィックに適用されません
- 脅威保護サービスはトラフィックに適用されません
- Cato管理アプリケーションは、接続性のデータを分析せず、インターネットトラフィックの警告を生成しません
インターネットリカバリー設定を構成するには、上記を参照してください。アカウントの高度な機能設定でこれらの値を使用します。
- 無効 - デフォルトのグローバル設定。 リカバリーはアカウント内のすべてのソケットサイトでデフォルトで有効です。 この設定を使用することをお勧めします。
- 有効およびオン - アカウントはインターネットへのすべてのトラフィックのリカバリーを提供するように構成されています。 この機能は無効と同じです。
- 有効およびオフ - このアカウントのインターネットによるリカバリー機能は無効です。
注意
重要! インターネットトラフィックのリカバリーを管理するため、インターネットによるリカバリー機能を常に有効にし、オンまたはオフオプションを選択することをお勧めします。 この機能が無効になっている場合、ソケットがCato Cloudに接続できないときはインターネットへトラフィックをルーティングしません。
特定のサイトのグローバルリカバリーモード設定の構成についての詳細は、高度な設定を参照してください。
UCaaS を使用し、VoIP または SIP トラフィック用のネットワークルールがある場合、IPアドレス が変更されると、一部の UCaaS(例えば RingCentral)は問題が発生することがあります。 SIP トラフィックの推奨 IPアドレス 機能が有効になっていると、VoIP および SIP トラフィックは常に同じ出力 IPアドレス を使用します。
注意
注意: この機能を使用するには、VoIP または SIP トラフィック用の出力ネットワークルールが必要です。
子 SA を作成する際、Cato は RFC 7295 に従って同じ TS ペイロード内に複数のトラフィックセレクタ(TS)を送信します。 Cisco ASA などの一部のサードパーティソリューションは、各子 SA において単一 TS のみをサポートします。 Cisco ASA は、複数の TS を持つ子 SA を作成する Cato 提案に対して、TS_UNACCEPTABLE メッセージを送信します。
IKEv2 ペイロードあたりの単一 TS 送信 が有効に設定され、オン にすると、各子 SA には単一の TS のみが送信されます。 それはデフォルトで無効になっています。
デフォルトでは、サイト内のトラフィック(例えば、VLAN 間)は Cato PoP 経由でルートされ、PoP がトラフィックを検査します。 トラフィックは VLAN から Cato クラウドの PoP へ流れ、そこで他の VLAN へ送られます。
サイトが一時的に Cato クラウドから切断されると、デフォルト動作はフェイルオープンです。 トラフィックは検査されずに VLAN から他の VLAN へ直接流れます。 デフォルトのグローバル アカウント レベルの動作をフェイルクローズに変更でき、これによりデフォルトで全てのソケット サイトが PoP からの切断時にローカルルーティングトラフィックをブロックします。 Socket v15.0 以上が必要です。
注意
注意: LAN ファイアウォール またはローカルルーティング ルールで設定された サイト では、これらのルールが PoP から切断されたときにローカルルーティングをブロック 設定よりも優先されます。 したがって、この設定はそれらのルールに一致するトラフィックには適用されません。
PoPから切断されたときにローカルルーティングをブロックする設定については、上記のアカウントの高度な設定の概要をご覧ください。
次の図はローカルルーティングの動作を示しています:
デバイス証明書でOIDを検証するはデバイス証明書チェックを強化します。 有効にすると、ネットワークに接続可能なデバイス証明書OIDのリストを定義できます。 定義済みOIDと一致する証明書で認証するデバイスのみが接続可能です。 複数のOIDをセミコロンで区切り、次のフォーマットで:
- cert_ext_obj(cert, "<extension_key>") == "<OID_value1>;<OID_value2>";
拡張キーとOID値はcertutilまたはopenssl x509証明書ツールを使用して見つけることができます。
この機能はデフォルトで無効です。 デバイスの証明書を正しく設定せずにこの設定を有効にすると、SDPユーザーがネットワークに接続できない場合があります。
シリアル番号による証明書の取り消しはデバイス証明書チェックを強化します。 有効にすると、ブロックされた証明書シリアル番号のリストを定義できます。 定義済みシリアル番号と一致する証明書で認証するデバイスはブロックされます。
- 各シリアル番号はデリミタ付きフォーマットでなければなりません(1a:2b:3c:4d …)
-
複数のシリアル番号はコンマで区切ってください
取り消すことができるシリアル番号の数に制限はありません
この機能はデフォルトで無効化されています。 デバイスの証明書を正しく構成せずにこの設定を有効化すると、SDPユーザーはネットワークに接続できない可能性があります。
TCPプロキシを使うと、各接続の最初のSYNパケットでWAN TCPプロキシモードを開始することや、TCPハンドシェイク完了後にWAN TCPプロキシを遅らせて開始することができます。 TCPプロキシモードの詳細については、Cato TCPアクセラレーションとベストプラクティスの説明をご覧ください。
SYNのWANトラフィックに対するTCPアクセラレーション設定については、上記のアカウントの高度な設定の概要をご覧ください。
- オン - フルWAN TCPプロキシ。
- オフ - 元のWAN TCP交渉を保持し、TCPプロキシを遅らせます。
マイクロバーストは、非常に短期間で発生するパケットやデータフレームの急激な増加を特徴としています。
マイクロバーストが短期間にサイトのレート制限を超えると、最後の区間のプロバイダ(ISP)による過剰なパケットドロップにより、パケットロスが発生する可能性があります。
下りバースティネス値および上りバースティネス値を調整することで、ネットワーク上でのマイクロバーストの処理方法を、下りや上りの方向に応じてバースティネスレベル値を変更することにより調整できます。 バースティネスレベルの値を変更すると、より積極的またはより寛容なマイクロバーストのポリシーを適用することにより、バースティネスによって引き起こされるパケットロスを軽減できます。 デフォルトのバースティネス値は、インタフェースの帯域幅に依存します:
- インタフェース帯域幅が40 Mbpsおよびそれ以上の場合、デフォルト値は0.2
- インタフェース帯域幅が40 Mbps未満の場合、デフォルト値は0.1
バースティネスとパケットロスについての詳細は、ソケットサイトのパケットロスのトラブルシューティング方法をご覧ください。
注意
注:
- すべてのソケットはバージョン12.0以上で実行され、バースト性の設定をサポートする必要があります。
- 新しい値はトンネルをリセットした後にのみ適用されます。
0件のコメント
サインインしてコメントを残してください。