サイトの高度な設定

この記事では、特定のサイトに対する高度な設定をカスタマイズする方法を説明します。

サイトに関する高度な設定の使用

サイトの高度な設定セクションでは、そのサイトの高度な機能と設定を構成することができます。 セクション内で利用可能な機能は、サイトの接続タイプに依存します。 高度な機能の使用について詳しくは、アカウントのための高度な構成の作業を参照してください。

高度な設定が無効になっている場合、それはグローバル設定を使用するように構成されています。

サイトの高度な機能を設定するには:

  1. ナビゲーションメニューから ネットワーク > サイト を選択し、サイトを選択します。
  2. ナビゲーションメニューから、高度な設定をクリックします。
  3. ステータス列で、切り替えを使用して各設定のステータスを有効化または無効化します(緑が有効、灰色が無効)。

  4. 設定の値を構成または編集するには、名前列の設定名をクリックします。

    編集 <設定名>パネルが開きます。

  5. 編集パネルでは、次のことができます:

    • を入力または選択
    • この高度な設定の理由を説明するために、コメントを入力または編集します(推奨)
  6. 適用をクリックします。 高度な設定の変更が画面に追加されます。
  7. 保存をクリックしてください。 設定項目が保存されます。

アカウントとサイト設定の操作

高度な設定セクションには、特定のサイトまたはアカウント内のすべてのサイトに対して設定できる機能があります。 サイトに対して高度な機能を構成すると、そのアカウントの設定を上書きします(アセット > 高度な設定で)。 一部の機能はSocketサイトのみに対応しています。 例えば、機能アルファはSocketのみに対応しています。 アカウント全体に対して機能アルファを構成した場合、それはSocketサイトにのみ関連があります。

サイトに対するWAN回復を設定する

ネットワークのレジリエンシーを向上させるために、WAN リカバリ機能はCato Cloudでの接続問題が発生した場合のサポートを提供し、ソケットが他のサイトへのWANトラフィックを送信できない場合に支援します。 この機能は、他のソケットサイトとの接続を維持するためにバイパストンネルを自動的に使用します。 ソケットがCato Cloudとの接続を再確立すると、自動的に通常の操作を再開します。

注意

注意: オフクラウドトラフィックは、WANリカバリをサポートするためにソケット WAN リンクで有効にする必要があります。

一時的なWANリカバリの間、WANトラフィックはCato Cloudをバイパスし、トラフィックの変更は次のとおりです:

  • Cato管理アプリケーションは接続性に関するデータを分析せず、ネットワークの健全性や品質に関するアラートを生成しません
  • Catoセキュリティスタック(ファイアウォールとセキュリティサービス)はトラフィックに適用されていません

WANリカバリ設定を構成するには、上記のサイトの高度な設定の使用を次の値で参照してください:

  • 無効 - このサイトはアカウントに設定された設定を使用します。
  • 有効およびオン - このサイトは他のサイトに対してWANトラフィックの回復を提供するために設定されています。 この機能は無効と同じです。
  • 有効およびオフ - 回復はこのサイトに対して有効化されておらず、バイパストンネルはサポートされておらず、維持されません。

すべてのサイトのグローバルWANリカバリ設定の構成について詳しくは、アカウントの高度な設定の使用をご覧ください。

サイトに対するインターネット経由での回復を設定する

インターネットトラフィックのレジリエンシーを向上させるために、インターネット経由でのリカバリ機能は、Cato Cloudへの接続に問題がある場合にサポートを提供し、Catoソケットがインターネットへのトラフィックに使用できない場合に支援します。 この機能を有効にすると、ISPリンクとのインターネット接続が自動で回復し、インターネットへのトラフィックを送信します。

一時的なインターネット回復中に、インターネットトラフィックはCato Cloudをバイパスします。トラフィックの変更は次のとおりです:

  • インターネットファイアウォールとURLフィルタリングルールはトラフィックに適用されていません
  • 脅威保護サービスはトラフィックに適用されていません
  • Cato管理アプリケーションは接続性に関するデータを分析せず、インターネットトラフィックに関するアラートを生成しません

リカバリーモード設定を構成するには、上記のサイトのための高度な設定を使用するを参照し、これらの値を使用してください:

  • 無効 - このサイトはアカウントに設定された設定を使用します。
  • 有効およびオン - このサイトはすべてのトラフィックをインターネットに対して回復するために設定されています。 この機能は無効と同じです。
  • 有効およびオフ - インターネット経由での回復機能はこのサイトで無効になっています。

注意

重要! インターネットトラフィックの回復を管理するために、常にインターネット経由でのリカバリー機能を有効化し、オンまたはオフオプションを選択することをお勧めします。 この機能が無効になっていると、ソケット Web UIを使用して構成された設定に問題が生じる可能性があります。

CatoクラウドへのDTLSトンネルのMTUを設定する

SocketとCato CloudのPoP間のDTLSトンネルの最大MTUを構成できます。 これらのDTLSトンネル内のトラフィックに対して、この値はソケットWebUIで設定されたMTUを上書きします。 この設定は、物理的なソケットのみに関連し、vSocketsには適用されません。

PoPの最大MTUへのソケットフィールドを使用して、DTLSトンネル用のMTUを構成します。上記のサイトのための高度な設定を使用するを参照してください。

サイトがPoPから切断されたときのローカルルーティングのブロック

デフォルトでは、サイト内のトラフィック(たとえば、VLAN間)はCato PoPを介してルーティングされ、トラフィックを検査します。 トラフィックはVLANからCato CloudのPoPに流れ、次に他のVLANに流れます。

サイトがCato Cloudから一時的に切断された場合、デフォルトの動作はfail-openです。 トラフィックは検査されることなく、VLANから直接他のVLANに流れます。 特定のサイトに対するこの動作をカスタマイズして、アカウントのグローバルデフォルト設定と異なるようにすることができます。 Socket v15.0以上が必要です。

グローバルなアカウントレベルの動作をfail-closedに設定することも選択でき、デフォルトでPoPから切断されたときにすべてのソケットサイトがローカルルーティングトラフィックをブロックします。

注意

注意: LANファイアウォールまたはローカルルーティングのルールで構成されたサイトでは、これらのルールがPoPから切断されたときにローカルルーティングをブロック設定よりも優先されます。 したがって、この設定はルールに一致するトラフィックには適用されません。

PoPから切断されたときにローカルルーティングをブロック設定を構成するには、上記のサイトに高度な設定を使用するを参照し、次の値を使用します:

  • 無効 - このサイトはアカウントに設定された設定を使用します。
  • 有効およびオン - このサイトがPoPから切断されると、このサイト内のトラフィックルーティングはブロックされます。 これはフェイルクローズ動作です。
  • 有効およびオフ - このサイトがPoPから切断されたとき、サイト内のトラフィックルーティングが許可されます。 これはフェイルオープン動作です。

次の図はローカルルーティングの動作を示しています:

Block_Local_Routing.png

WAN TCPプロキシモードの変更

TCPプロキシにより、各接続の最初のSYNパケットで開始するか、TCPハンドシェイク完了後にWAN TCPプロキシを開始するために遅延させるWAN TCPプロキシモードを変更できます。 Cato TCPのアクセラレーションとベストプラクティスを説明で、2つのTCPプロキシモードの詳細を参照できます。

WAN TCPプロキシモードを変更するには:

  1. 高度な設定ページで、TCPプロキシ設定をクリックします。 設定を編集パネルが開きます。
  2. 設定を有効化してモード値を選択します:
    1. オン - フルWAN TCPプロキシ。
    2. オフ - 元のWAN TCPネゴシエーションを保持し、TCPプロキシを遅延させます。

バースティネス値の変更

マイクロバーストは、非常に短い時間枠で発生するパケットまたはデータフレームの急な増加によって特徴付けられます。

マイクロバーストが短時間でサイトのレート制限を超えると、最終区間プロバイダー(ISP)による過剰なパケットドロップのためにパケットロスが発生する可能性があります。

下りバースト性の値上りバースト性の値を使用して、下りまたは上りの方向に応じてバースト性レベル値を変更することで、ネットワーク上でのマイクロバーストの処理を調整できます。 バースト性レベルの値を変更することで、マイクロバーストに対してより攻撃的またはより寛容な形状ポリシーを適用することで、バースト性によって引き起こされるパケットロスを緩和することができます。 デフォルトのバースト性の値はインターフェースの帯域幅に依存します:

  • インタフェース帯域幅が40 Mbps以上の場合、デフォルト値は0.2です
  • インタフェース帯域幅が40 Mbps未満の場合、デフォルト値は0.1です

バースティネスとパケットロスの詳細については、ソケットサイトのパケットロスのトラブルシューティング方法をご覧ください。

上りまたは下りトラフィックのためにバースト性の値の設定を構成するには、上記サイトのために高度な設定を使用を参照してください。

注意

注意:

  • すべてのソケットはバースティネスの設定をサポートするために、バージョン12.0以上で動作する必要があります。
  • 新しい値はトンネルのリセット後にのみ適用されます。

IPsecの寿命値を変更する

IPsecフェーズには寿命があり、これはセキュリティアソシエーション(SA)が有効である期間です。

IPsec P1ライフタイム秒数とIPsec P2ライフタイム秒数は、IKEv1およびIKEv2のリモート設定に合わせて各フェーズのライフタイムをそれぞれ変更できる2つの高度な設定パラメータです。 デフォルトのライフタイム値はフェーズに依存します:

  • フェーズ1の場合、デフォルト値は次のとおりです:

    • IKEv1の場合: 86400
    • IKEv2の場合: 19800

    注意

    注: デフォルトで、P1値はCato管理アプリケーションに表示されません。 これらの値を設定する場合は、上記の手順に従ってください。

  • フェーズ2の場合、IKEv1およびIKEv2の両方でデフォルト値は3600です。

設定はトンネル再起動後、または現在のSAライフタイムの期限が切れた後に適用されます。

詳しい情報については、IPsecサイトの記事を参照してください。

スタティックMACアドレスの入力

一部のデバイスでは、セキュリティの理由からARPが有効になっていません。 これらのデバイスの探索を有効にするために、次のフォーマットのJSON文字列を提供して、手動でサイトに追加できます:

{ \"ifc_id\": \"LAN1\", \"ip\": \"10.10.10.1\", \"mac\": \"7c:05:1e:11:11:12\" }

各項目は次のパラメータを示しています: 'ifc_id'はLANインタフェースを指定し、 'ip'はデバイスのIPアドレスで、 'mac'はデバイスのMACアドレスです。

  • ifc_idはLANインタフェースです。 上記の例では、LAN1
  • ipはデバイスのIPアドレスです。 上記の例では、10.10.10.1
  • macはデバイスのMACアドレスです。 上記の例では、7c:05:1e:11:11:12

この構成はすべてのソケットサイトバージョン20以降で利用可能です。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント