ネットワークルールを設定

概要

ネットワークルールを使用すると、WANとインターネット接続を通じてトラフィックを誘導したり優先順位を設定したりすることができ、パフォーマンス、ルーティング、リンクの使用状況を細かく制御できます。 アプリケーション、ソース、および宛先に基づいてルールを作成することで、重要なトラフィックが正しいQoSを受け取ることを保証し、レイテンシーやパケットロスを最適化し、最適な輸送経路を選択できます。 ネットワークルールページを使用してルールの順序を定義し、加速設定を適用し、ビジネスおよび技術的要件に合わせた高度なルーティング動作を構成することができます。

ネットワークルールとCatoの詳細については、ネットワークルールとは何か? を参照してください。

単一ルール内で複数のオブジェクトを操作する

ソースアプリ/カテゴリー宛先の列はAND関係を形成します。トラフィックが3つの列すべてで定義された条件に一致する場合にのみルールが起動されます。

1つの列内に複数のアイテムが存在する場合、OR関係があります。トラフィックがいずれかのアイテムに対して定義された基準に一致する場合にルールが適用されます。 たとえば、アプリ/カテゴリーサービスとして定義し、TCPUDP用のルールを定義すると、このルールはTCPまたはUDPトラフィックに一致します。

ポリシーの改訂と複数の管理者による同時編集

ネットワークルールページでは、異なる管理者が並行してポリシーを編集できます。 それぞれの管理者はルールを編集し、変更をルールベースに自身のプライベートリビジョンとして保存した後、それをアカウントポリシーに公開します(公開されたリビジョン)。 ポリシーリビジョンの管理方法について詳しくは、ポリシーリビジョンの操作 を参照してください。

ネットワークルールポリシーの有効化

ネットワークルールページでネットワークルールの有効化切り替えを使用してネットワークルールポリシーが施行されるかどうかを制御します。 ポリシーが有効になると、設定されたルールがアカウントのトラフィックのルーティングと優先順位付けに適用されます。 ポリシーの無効化によってこれらのルールの施行は即座に停止されます。

ネットワークルールポリシーを有効化するには:

  1. ナビゲーションメニューから、ネットワーク > ネットワークルール をクリックします。
  2. ネットワークルール無効 の横にあるトグルをクリックします。
  3. 確認ウィンドウで、続行をクリックします。 ポリシーが有効になるとトグルは緑色になります。

ネットワークルールの作成

特定のWANまたはインターネットトラフィックフローにカスタムのトラフィック誘導やQoSを適用するには、トラフィックと処理方法を定義するネットワークルールを作成します。 ネットワークルールは順序によって評価される順序付けられたポリシーです。 既存のルールの前または後のように、正しい位置に新しいルールを作成します。

ソースを設定すると、ルールが適用されるトラフィックを定義します。 関連するトラフィックに一致させるために、IP範囲、アプリケーションカテゴリー、ユーザーグループなどのさまざまなグローバルオブジェクトから選択できます。

各ルールには以下の設定オプションが含まれます:

NetworkRules.png

WAN またはインターネットネットワークルールを作成するには:

  1. ナビゲーションメニューから、ネットワーク > ネットワークルール をクリックします。
  2. 新規 > 新規ルール をクリックします。 ネットワークルールの追加 パネルが開きます。
  3. 一般 セクションから、ルールの設定を構成します:
    1. ルールの 名前 を入力します。
    2. スライダーを使用してルールを有効または無効にします(緑が有効、灰色が無効)。
    3. 新しいルールの 位置 を選択します。
    4. ルールタイプ ドロップダウンメニューから、このルールが WAN または インターネット トラフィック用か選択します。
  4. ソース セクションを展開し、このルールのトラフィックソースとなる1つ以上のオブジェクトを選択します(またはIPアドレスを入力することも可能です)。
    1. タイプを選択します(例: ホスト、ネットワークインタフェース、IP、IP範囲、または全て)。 デフォルト値は 全て です。
    2. 必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
  5. 基準 セクションを展開し、ルールにデバイス条件を追加します。 詳細については、ファイアウォールルールにデバイス条件を追加するを参照してください。 デフォルト値は すべて です。
  6. WANトラフィックルールの場合は、宛先 セクションを展開し、このルールのトラフィック宛先となる1つ以上のオブジェクトを選択します。

  7. アプリ/カテゴリセクションを展開し、ルールのために1つ以上のアプリケーションを選択します。

    ルールに複数のアプリ/カテゴリオブジェクトがある場合、それらの間にまたは関係があります。 デフォルト値は全てです。

    アプリ/カテゴリセクションの各オプションの詳細な説明については、ルールオブジェクトの参照をご覧ください。

  8. 設定セクションでは、ネットワークルールのための以下の設定を構成できます(下記の説明を参照してください):

    • 帯域優先度
    • プライマリトランスポートセカンダリトランスポート

  9. 保存をクリックしてください。 パネルが閉じ、設定がルールベースで更新されます。

    変更は未公開の改訂に保存され、公開または破棄されるまで編集可能です。

  10. 公開 をクリックします。 確認ウィンドウが表示され、公開 をクリックします。

ルールにおける帯域優先度(QoS)の変更

デフォルトでは、新しいルールはデフォルトの優先度(p255)に割り当てられますが、自身のネットワークのQoSニーズに応じてこれを変更できます。

優先度の数字が低いほど、ルールのQoS優先度が高くなります。 例として、優先度が10のルールは優先度40のルールよりQoS優先度が高くなります。

アカウントの帯域幅ポリシーを定義する方法について詳しくは、帯域管理プロファイルの設定を参照してください。

ルールの帯域優先度を変更するには:

  1. ナビゲーションメニューから、ネットワーク > ネットワークルール をクリックします。
  2. ネットワークルールをクリックします。 ネットワークルールの編集 パネルが表示されます。
  3. 設定 セクションを展開します。
  4. 帯域管理 セクションで、帯域優先度 ドロップダウンメニューから、このルールのQoS優先度を選択します。

  5. 保存をクリックしてください。 パネルが閉じ、設定がルールベースで更新されます。

    変更は未公開の改訂に保存され、公開または破棄されるまで編集可能です。

  6. 公開 をクリックします。 確認ウィンドウが表示され、公開 をクリックします。

トランスポートとルーティングオプションの設定

このセクションでは、ネットワークルールのトランスポートオプションを設定し、トラフィックを特定の場所やIPアドレスに送信する方法を説明します。

ルールのトランスポートオプションをカスタマイズ

ネットワークルールはグローバルに設定されています。 特定のサイトに指定されたトランスポートがない場合、ソケットはその構成を自動として扱います。

明示的なトランスポート/NICを選択すると、QoSエンジンがパケット損失、ジッター、遅延を監視します。 輻輳が発生した場合、パケットはドロップされます。 トランスポートの自動を選択すると、QoSエンジンはパケットロス、ジッター、およびレイテンシーに加えて輻輳も監視します。

オフクラウドのセカンダリトランスポートとしてAlt-WANはサポートされていません。 Alt-WANを主要なトランスポートとしてオフクラウドへのフェイルオーバーが必要なネットワークルールを設定することはできません。

TransportOptions.png

  • WANルールには以下のデフォルト設定があります:

    • プライマリトランスポート: Cato
    • セカンダリトランスポート: 自動(適用可能な場合はMPLSなど他のトランスポートを考慮)
    • プライマリインターフェース役割: 自動
    • セカンダリインターフェース役割: なし(プライマリNICの自動設定で管理されるため無効化)
    • Route/NAT: -(WANルールには適用されません)

  • インターネットルールには以下のデフォルト設定があります:

    • プライマリトランスポート: Cato
    • セカンダリトランスポート: なし(他のトランスポートは使用しない)
    • プライマリインターフェース役割: 自動
    • セカンダリインターフェース役割: なし(プライマリNICの自動設定で管理されるため無効化)
    • Route/NAT: なし

ネットワークルールのトランスポートオプションをカスタマイズするには:

  1. ナビゲーションメニューから、ネットワーク > ネットワークルール をクリックします。
  2. ネットワークルールをクリックします。 ネットワークルールの編集 パネルが表示されます。
  3. 設定 セクションを展開します。

  4. 必要に応じてトランスポートフィールドを設定します: 特定のトランスポートでトラフィックをルートするには、プライマリトランスポートとセカンダリトランスポートを設定します。

    プライマリトランスポートが利用可能である限り使用され、Cato QoSエンジンによって決定されます。 プライマリトランスポートが利用できない場合は、セカンダリトランスポートが使用されます。

  5. 必要に応じてインタフェースの役割 フィールドを設定します (Catoクラウドを介してルートされたトラフィックにのみ適用されます)。

    特定のリンクでトラフィックをルートするには、プライマリおよびセカンダリNICを設定できます。 プライマリインターフェースロールは、CatoのQoSエンジンによって使用可能である限り使用されます。

    プライマリインターフェースロールが利用できない場合、セカンダリインターフェースロールが使用されます。 セカンダリ インタフェースの役割なしに設定されている場合、動作はプライマリ インタフェースの役割の設定に基づきます:

    • 自動 - ソケットがトラフィックをプライマリトランスポートで送信するよう最善を尽くします
    • 他のインターフェース役割 - プライマリトランスポートが利用できない場合、ソケットはトラフィックをドロップします

  6. 保存をクリックしてください。 パネルが閉じ、設定がルールベースで更新されます。

    変更は未公開の改訂に保存され、公開または破棄されるまで編集可能です。

  7. 公開 をクリックします。 確認ウィンドウが表示され、公開 をクリックします。

インターネットネットワークルールのルーティング方法の設定

あなたはさまざまなオプションを使用してインターネットネットワークルールを設定し、トラフィックを出口にすることができます。

ベストプラクティス: トラフィックを流出させるインターネットネットワークルール(NATまたはルート経由オプションを持つ)には、ルールに特定のソースまたはアプリ/カテゴリを定義することをお勧めします。 すべてソースまたはアプリ/カテゴリとして選択すると、すべてのインターネットトラフィックがルーティングされ、予測不可能なパフォーマンスにつながる可能性があります。

  • 経由地 - トラフィックがインターネットに送信される送信PoPロケーションを選択できます。

    注: トラフィックを東京に送信する場合、1つの東京PoPロケーションを選択すると(例:Tokyo_DC2)、すべての東京PoPロケーションがネットワークルールに自動で追加されます。 IP範囲は東京PoPロケーションに共有され、アカウントにシームレスな体験を保証します。

  • NAT - 特定のCato割り当てIPアドレスおよびそのPoPロケーションを経由してトラフィックを出力します。 このルールに一致するトラフィックは、そのIPに変換され、関連するPoPを経由して出力されます。 NATとルートの両方ともポップ経由でトラフィックをルーティングしますが、NATではトラフィックが変換されるIPを指定できます。

  • バックホール - 1つまたはバックホールゲートウェイとなる拠点を介してインターネットトラフィックを出力します

    詳細については、インターネットトラフィックのバックホールに関するこれらの記事を参照してください。

注: ゲートウェイサイトを介してインターネットトラフィックをバックホールトラフィックを送信する場合、ネットワークルールのすべての出力IPが利用可能でない場合があり、その場合PoPはトラフィックフローのために異なるIPアドレスを使用します。 このシナリオはユーザーの接続性と体験に影響を与える可能性があります。 影響を最小限に抑えるために、ルールに対して複数のエグレスIPを定義することをお勧めします。

経由地NATの両方で複数の出力IPを設定する場合、トラフィックはソースに最も近いPoPロケーションの出力IPを使用します。

ルーティング手法 NAT - ソースポートの保持

デフォルトでは、PoPがインターネットトラフィックに対してNATを実行する際に、ソースポートとソースIPをIPヘッダーで変更します。 場合によっては、アプリケーションがIPヘッダーの元のソースポートを保持する必要がある場合があります。例えばSIPトラフィックです。 ソースポートの保持オプションを選択すると、PoPは翻訳されたパケットのIPヘッダーで元のソースポートを保持します。

Routing_Method_Preserve_Source_Port.png

注: 同じ送信元ポートを持つフローが複数ある場合、NAT変換中に両方のフローの送信元ポートを維持することが競合を引き起こします。 このようなシナリオでは、PoPは最初のフローの送信元ポートを保持し、後続のフローにはランダムなポートを割り当てます。

インターネットネットワークルールのルーティング方法を設定するには:

  1. ナビゲーションメニューから、ネットワーク > ネットワークルール をクリックします。
  2. ネットワークルールをクリックします。 ネットワークルールの編集 パネルが表示されます。
  3. 設定 セクションを展開します。

  4. ルート/NATドロップダウンメニューからルールに一致するトラフィックのルーティングオプションを選択します:

    • 経由地 - 特定のCato Cloud PoPロケーションを経由してトラフィックをルーティングするには、出力するトラフィックの所在地を選択します。

    • NAT - 特定のIPでNATを経由してこのルールのトラフィックを送信するには、トラフィックを送信する割り当てIPを選択します。

      (オプション) 変換されたトラフィックに元の送信元ポートを使用するには、送信元ポートを保持を選択します。

  5. 保存をクリックしてください。 パネルが閉じ、設定がルールベースで更新されます。

    変更は未公開の改訂に保存され、公開または破棄されるまで編集可能です。

  6. 公開 をクリックします。 確認ウィンドウが表示され、公開 をクリックします。

10Gbpsスループット用のPoPsを用いたルーティング

10GbpsスループットをサポートするPoPロケーションに接続されているサイトに対して、別の10Gbps PoPロケーションを経由してトラフィックを出力するために、経由地またはNATネットワークルールを設定することをお勧めします。 そうでなければ、サイトスループットに影響がある可能性があります。

ルールのイベントの表示

ルールイベントを表示を使用して、特定のネットワークルールのイベントを表示できます。 このアクションを選択すると、イベントページが開き、そのルールに一致するすべてのイベントに事前フィルターが適用されます。

ルールのイベントを表示するには:

  1. ナビゲーションメニューから、ネットワーク > ネットワークルール をクリックします。
  2. 右側で、クリックし more.png を選択しルールイベントを表示 を選択します。

イベントページが表示され、関連ルールのイベントはすでにフィルタリングされています。

rule-event.png

Customizing the Acceleration & Optimization for a Rule

  • TCPアクセラレーションは、ネットワークルールの一部である非TCPトラフィック(UDPベースのトラフィック)には影響しません。
  • Route/NAT 設定またはTLSインスペクションが有効な場合、CatoがトラフィックでTCPプロキシを有効にすることを意味します。
  • Cato Cloudの暗黙のネットワークデフォルトルールは、TCPプロキシとして機能することです。 したがって、トラフィックに一致する以前のルールがない場合、TCPプロキシが適用されます。
  • プライマリまたはセカンダリトランスポートとして代替WANを使用するルールには、TCPアクセラレーションが無効(灰色の表示)になります。

Cato Cloudでのトラフィックの加速についての詳細は、トラフィックの加速と最適化を参照してください。

パケットロス緩和についての詳細は、マルチトンネルリンクのためのパケットロス緩和を参照してください。

To set the acceleration and optimization for a rule:

  1. ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。
  2. ネットワークルールをクリックします。 ネットワークルールの編集 パネルが表示されます。
  3. 設定 セクションを展開します。
  4. TCP アクセラレーション を選択して、このルールと一致するトラフィックのためのTCPプロキシサーバーとしてPoPを有効にします。
  5. パケットロス軽減 を選択し、パケットの複製を有効にして、このルールと一致するトラフィックのパケット損失の影響を軽減するのに役立てます。

  6. 保存をクリックしてください。 パネルが閉じ、設定がルールベースで更新されます。

    変更は未公開の改訂に保存され、公開または破棄されるまで編集可能です。

  7. 公開をクリックします。 確認ウィンドウが開きます。公開をクリックします。

例外の追加

ネットワークルールの例外となるトラフィックを定義し、そのトラフィックにはルールが適用されません。 送信元、アプリ/カテゴリ、宛先について、オブジェクト(エンティティ)を使用してトラフィックの例外を定義します。 複数のオブジェクトを持つ例外はネットワークルールと同様の動作をします。単一ルール内での複数オブジェクトの操作を参照してください。

NetworkRuleExceptions.png

上の例では、VoIPビデオカテゴリに一致するすべてのトラフィックに対するネットワークルールがあります。 これらの条件の両方に一致するトラフィックにはこのルールの例外があります。

  • 送信元はサンプル1500サイトです
  • アプリケーションはSkypeとMS Teamsです

ネットワークルールに例外を追加するには:

  1. ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。
  2. 例外を作成するルールを特定し、 ルールの最後から、追加アイコン more.png をクリックし、例外の追加を選択します。
  3. セクションに対する例外を定義します:

    1. ドロップダウンメニューから、例外のトラフィックタイプを選択します。

      以下の例は、特定のホストに対する例外の追加を示しています。

      addException.png
    2. その種類に対して、ドロップダウンリストから特定のオブジェクトを選択します。

    3. 例外のための追加のオブジェクトを定義するには、前の2つのステップを繰り返します。

      1つのセクションにある複数のオブジェクトには、または関係があります。

  4. 必要に応じて、ステップ3を繰り返して他のセクションに対する例外を定義します。

    複数のセクションにあるオブジェクトは、かつ関係があります。

  5. 保存をクリックしてください。 パネルが閉じ、設定がルールベースで更新されます。

    変更は未公開の改訂に保存され、公開または破棄されるまで編集可能です。

  6. 公開をクリックします。 確認ウィンドウが開きます。公開をクリックします。

ネットワークルールをCSVファイルにエクスポートする

アカウントのルールベースに基づいて、ネットワークルールのすべてのデータを含むCSVファイルを生成することができます。

注意

注: 編集者ロールを持つCMA管理者だけにCSVファイルへのエクスポート権限があります。 管理者の役割の設定について詳しくは、管理者の管理をご覧ください。

ネットワークルールポリシーをエクスポートするには:

  1. ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。
  2. エクスポートをクリックし、ポップアップウィンドウでOKをクリックします。
  3. CSVファイルの保存先を選択し、ファイルを保存します。

エクスポートされたファイルの内容を理解する

エクスポートされたCSVファイルの最上行には、関連するルールベースのフィールド名とオプションがリストされます。 次に、最小の数値から始めて、優先順位に従ってルール自体が列挙されます。

CSVファイルには次の列が含まれます:

アイテム 説明
優先順位 ルールがルールベース内で持つ優先順位
ルールのステータス ルールが有効か無効か
タイプ ルールタイプはWANまたはインターネット
名前 ネットワークルールの名前
ソース このルールのトラフィックソース
アプリケーション/カテゴリ このルールに適用されるアイテム(アプリ、カテゴリ、サービスなど)
宛先 このルールのトラフィック宛先
帯域幅優先度 このルールに対する帯域幅管理プロファイル
ルーティング このルールに適用されるルーティングタイプ(NAT、バックホーリングなど)。 インターネットネットワークルールにのみ関連する
トランスポート このルールのトランスポートタイプ(WANインターフェイストランスポート、プライマリおよびセカンダリトランスポート)
加速&最適化 最適化設定は有効または無効です(TCPアクセラレーションとパケットロス軽減)

この記事は役に立ちましたか?

2人中2人がこの記事が役に立ったと言っています

0件のコメント