ネットワークルールを設定

この記事では、ネットワークルール画面を使用してアカウント内のトラフィックを管理し、優先順位を設定する方法を説明します。

ネットワークルールとCatoに関する詳細については、Catoネットワークルールベースとはをご覧ください。

単一ルールで複数のオブジェクトを扱う

ソース、アプリ/カテゴリ、および宛先列はAND関係を形成します。このルールは、トラフィックが3つの列すべてで定義された条件に一致する場合にのみトリガーされます。

1つの列内に複数のアイテムが存在する場合、OR関係があります。トラフィックがいずれかのアイテムに対して定義された基準に一致する場合にルールが適用されます。例えば、アプリ/カテゴリをTCPおよびポート443として定義したルールは、すべてのTCPトラフィックまたはポート443を使用するトラフィック（TCPおよびUDPの両方）と一致します。

ネットワークルールの作成

ネットワークルールは、その出現順序に従って評価されます。ベストプラクティスは、新しいルールの必要な位置までリストをスクロールし、既存のルールの上または下に追加することです。または、新しいルールをリストの末尾に追加してから、必要な位置に移動することもできます。

ネットワークルールのソース（トラフィックタイプ）を設定する際には、アプリケーションカテゴリやグローバルレンジなどのグローバルオブジェクトを使用して、ルールに一致するトラフィックの種類を定義できます。

WANまたはインターネットネットワークルールを作成するには：

ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。
新規をクリックします。 ネットワークルールの追加パネルを開きます。
一般セクションで、ルールの次の設定を構成します：
1. ルールの名前を入力します。
2. ルールタイプドロップダウンメニューで、このルールがWANまたはインターネットトラフィックのどちらに適用されるかを選択します。
3. スライダーを使用してルールを有効または無効にします（緑は有効、灰色は無効）。
4. ルールの順序を設定して、ネットワークルールベース内でルールが表示される場所を定義してください。
  
  新しいルールはルールベースの下部に追加されます。このルールが適用される順序を変更できます。
ソースセクションを展開し、このルールのトラフィック送信元のために1つ以上のオブジェクトを選択するか（またはIPアドレスを入力することができます）。
1. 種類を選択します (例えば：ホスト、ネットワークインタフェース、IP、IP 範囲、または全て)。デフォルト値は全てです。
2. 必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
WANトラフィックルールの場合、宛先セクションを展開し、このルールのトラフィック宛先のために1つ以上のオブジェクトを選択します。
アプリ/カテゴリセクションを展開し、ルールのために1つ以上のアプリケーションを選択します。

ルールに複数のアプリ/カテゴリオブジェクトがある場合、それらの間にまたは関係があります。デフォルト値は全てです。

アプリ/カテゴリセクションの各オプションの詳細な説明については、ルールオブジェクトの参照をご覧ください。
設定セクションでは、ネットワークルールのための以下の設定を構成できます（下記の説明を参照してください）：
- 帯域幅優先度
- 加速&最適化設定
- プライマリおよびセカンダリトランスポートオプション
- ルーティングオプション
保存をクリックします。パネルが閉じられ、設定がルールベースに更新されます。
保存をクリックしてください。新しいネットワークルールが保存されます。

ルールに対する帯域幅優先度 (QoS) の変更

デフォルトでは、新しいルールはデフォルトの優先度に割り当てられ、ネットワークのQoSニーズに応じて変更できます。

優先度の数字が低いほど、ルールのQoS優先度が高くなります。例えば、優先度10のルールは、優先度40のルールよりも高いQoS優先度を持ちます。

アカウントの帯域幅ポリシーを定義する方法について詳しくは、帯域管理プロファイルの設定を参照してください。

ルールの帯域幅優先順位を変更するためには：

ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。
ネットワークルールをクリックしてください。 ネットワークルールの編集パネルが表示されます。
設定セクションを展開してください。
帯域管理セクションで、帯域優先度ドロップダウンメニューからこのルールのQoS優先度を選択してください。
保存をクリックします。パネルが閉じられ、設定がルールベースに更新されます。
保存をクリックしてください。ルールの帯域優先度が保存されます。

トランスポートとルーティングオプションの設定

このセクションでは、ネットワークルールのトランスポートオプションを設定し、トラフィックを特定の場所やIPアドレスに送信する方法を説明します。

ルールのトランスポートオプションのカスタマイズ

ネットワークルールはグローバルに設定されています。特定のサイトで指定されたトランスポートがない場合、Catoソケットは自動として構成されたものと見なします。

明示的なトランスポート/NICを選択した場合、QoSエンジンはパケットロス、ジッター、レイテンシーを監視します。混雑が発生した場合、パケットがドロップされます。自動トランスポートを選択した場合、QoSエンジンはパケットロス、ジッター、レイテンシーに加えて混雑も監視します。

オフクラウドのセカンダリトランスポートとしてAlt-WANはサポートされていません。 Alt-WANを主要なトランスポートとしてオフクラウドへのフェイルオーバーが必要なネットワークルールを設定することはできません。

WANルールには以下のデフォルト設定があります：
- プライマリトランスポート: Cato。
- セカンダリトランスポート: 自動 (MPLSなどの追加トランスポートがある場合)。
- プライマリインタフェースの役割: 自動。
- セカンダリ インタフェースの役割: なし (プライマリNICの自動設定で処理されるため)。
- Route/NAT: - (WANルールには適用されません)。
インターネットルールには以下のデフォルト設定があります：
- プライマリトランスポート: Cato。
- セカンダリトランスポート: なし (他のトランスポートは現在使用できません)。
- プライマリインタフェースの役割: 自動。
- セカンダリインタフェースの役割: なし (プライマリNICの自動設定で処理されるため)。
- Route/NAT: なし。

ネットワークルールのトランスポートオプションをカスタマイズするには：

ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。
ネットワークルールをクリックします。 ネットワークルールの編集 パネルが表示されます。
設定セクションを展開します。
必要に応じてトランスポートフィールドを設定します: 特定のトランスポートでトラフィックをルートするには、プライマリトランスポートとセカンダリトランスポートを設定します。

プライマリトランスポートは、Cato QoSエンジンによって決定されたように、常に有効かつ利用可能である限り使用されます。プライマリトランスポートが利用できない場合は、セカンダリトランスポートが使用されます。
必要に応じてインタフェースの役割 フィールドを設定します (Catoクラウドを介してルートされたトラフィックにのみ適用されます)。

特定のリンクでトラフィックをルートするには、プライマリおよびセカンダリNICを設定できます。プライマリインタフェースの役割は、Cato QoSエンジンによって決定されたように、常に有効かつ利用可能である限り使用されます。プライマリインタフェースの役割が利用できない場合、セカンダリインタフェースの役割が使用されます。
適用をクリックします。パネルが閉じられ、設定がルールベースに更新されます。
保存をクリックしてください。ルールのトランスポートオプションがアカウントに保存されます。

インターネットネットワークルールのためのルーティング手法の設定

あなたはさまざまなオプションを使用してインターネットネットワークルールを設定し、トラフィックを出口にすることができます。

ベストプラクティス： 出力トラフィックを持つインターネットネットワークルール（NAT または 経由地 オプションの場合）、ルールには特定の ソース または アプリ/カテゴリを定義することをお勧めします。 すべてをソースまたはアプリ/カテゴリとして選択すると、すべてのインターネットトラフィックがルーティングされ、予測不可能なパフォーマンスにつながる可能性があります。

経由地 - トラフィックをインターネットに送信するための出口PoPロケーションを選択できます
注意: トラフィックを東京に出力するとき、東京PoPロケーション（例えば、Tokyo_DC2）を一つ選択すると、全ての東京PoPロケーションがネットワークルールに自動的に追加されます。 IP範囲は東京のPoPロケーション間で共有されており、アカウントに対してシームレスなエクスペリエンスを確保します。
NAT - 特定の Cato割り当てIPアドレスおよびそのPoPロケーションを経由してトラフィックを出力できます。このルールに一致するトラフィックはそのIPに変換され、関連するPoPを通じて出力されます。 NATと経由地の両方が特定のPoPを介してトラフィックをルート化しますが、NATはトラフィックを変換するIPを指定することを可能にします。
バックホール - 1つまたはバックホールゲートウェイとなる拠点を介してインターネットトラフィックを出力します

詳細については、インターネットトラフィックのバックホールに関するこれらの記事を参照してください。

経由地とNATの両方で複数の出力IPを設定する場合、トラフィックはソースに最も近いPoPロケーションの出力IPを使用します。

ルーティング手法 NAT - ソースポートの保持

デフォルトでは、PoPがインターネットトラフィックにNATを実行すると、IPヘッダーの送信元ポートおよび送信元IPが変更されます。場合によっては、アプリケーションがIPヘッダーで元の送信元ポートを保持する必要があります。例えば、SIPトラフィックなどです。 ソースポートの保持オプションを選択すると、PoPは変換されたパケットのIPヘッダーで元の送信元ポートを保持します。

注意

注: 同じ送信元ポートを持つフローが複数ある場合、NAT変換中に両方のフローの送信元ポートを維持することが競合を引き起こします。このようなシナリオでは、PoPは最初のフローの送信元ポートを保持し、後続のフローにはランダムなポートを割り当てます。

インターネットネットワークルールのルーティング手法を設定するには：

ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。
ネットワークルールをクリックします。 ネットワークルールの編集パネルが表示されます。
構成セクションを展開します。
Route/NATドロップダウンメニューで、ルールに一致するトラフィックのルーティングオプションを選択します：
- 経由地 - 特定のCato Cloud PoPロケーションを経由してトラフィックをルーティングするには、クリックして、出力するトラフィックのロケーションを選択する。
- NAT - このルールのために特定のIPを経由してトラフィックを出力するには、クリックして、出力する割り当てIPを選択する。
（オプション） 変換されたトラフィックに元の送信元ポートを使用するには、送信元ポートを保持を選択します。
保存をクリックします。パネルが閉じ、設定がルールベースに更新されます。
保存をクリックしてください。ルールのルーティングオプションが保存されます。

ルールのイベントの表示

ルールイベントを表示を使用して、特定のネットワークルールのイベントを表示できます。このアクションを選択すると、イベントページが開き、そのルールに一致するすべてのイベントに事前フィルターが適用されます。

ルールのイベントを表示するには：

ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。
右側で、をクリックし、イベントルールを表示を選択します。

イベントページが表示され、関連ルールのイベントはすでにフィルタリングされています。

Customizing the Acceleration & Optimization for a Rule

TCPアクセラレーションは、ネットワークルールの一部である非TCPトラフィック（UDPベースのトラフィック）には影響しません。
Route/NAT 設定またはTLSインスペクションが有効な場合、CatoがトラフィックでTCPプロキシを有効にすることを意味します。
Cato Cloudの暗黙のネットワークデフォルトルールは、TCPプロキシとして機能することです。したがって、以前のルールがトラフィックに一致しない場合、TCPプロキシが適用されます。
プライマリまたはセカンダリトランスポートとして代替WANを使用するルールには、TCPアクセラレーションが無効（灰色の表示）になります。

Cato Cloudでのトラフィックの加速についての詳細は、トラフィックの加速と最適化を参照してください。

パケットロス緩和についての詳細は、マルチトンネルリンクのためのパケットロス緩和を参照してください。

To set the acceleration and optimization for a rule:

ナビゲーションメニューから、ネットワーク > ネットワークルール をクリックします。
ネットワークルールをクリックします。 ネットワークルールの編集 パネルが表示されます。
設定セクションを展開します。
TCP アクセラレーション を選択して、このルールと一致するトラフィックのためのTCPプロキシサーバーとしてPoPを有効にします。
パケットロス軽減 を選択し、パケットの複製を有効にして、このルールと一致するトラフィックのパケット損失の影響を軽減するのに役立てます。
保存をクリックします。パネルが閉じられ、設定がルールベースに更新されます。
保存をクリックしてください。加速と最適化の設定が保存されます。

例外の追加

ネットワークルールに対する例外としてトラフィックを定義し、そのルールは例外には適用されません。送信元、アプリ/カテゴリ、宛先について、オブジェクト（エンティティ）を使用してトラフィックの例外を定義します。複数のオブジェクトを持つ例外はネットワークルールと同じ動作をします。上記の単一ルールで複数のオブジェクトを扱うを参照してください単一ルールで複数のオブジェクトを扱う。

上の例では、VoIPビデオカテゴリに一致するすべてのトラフィックに対するネットワークルールがあります。このルールには、次の両方の条件に一致するトラフィックに対して例外があります：

送信元はサンプル1500サイトです
アプリケーションはSkypeとMS Teamsです

ネットワークルールに例外を追加するには：

ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。
ネットワークルールをクリックします。 ネットワークルールの編集パネルが表示されます。
送信元、アプリ/カテゴリまたは宛先セクションを展開し、例外を追加をクリックします。
セクションに対する例外を定義します：
1. ドロップダウンメニューから、例外のトラフィックタイプを選択します。
  
  上のスクリーンショットは、特定のホストに対して例外を追加する方法を示しています。
2. その種類に対して、ドロップダウンリストから特定のオブジェクトを選択します。
3. 例外のための追加のオブジェクトを定義するには、前の2つのステップを繰り返します。
  
  1つのセクションにある複数のオブジェクトには、または関係があります。
必要に応じて、他のセクションの例外を定義するためにステップ4を繰り返します。

複数のセクションにあるオブジェクトは、かつ関係があります。
保存をクリックします。パネルが閉じられ、設定がルールベースに更新されます。
保存をクリックしてください。ルールの例外が保存されます。

ネットワークルールをCSVファイルにエクスポートする

アカウントのルールベースに基づいて、ネットワークルールのすべてのデータを含むCSVファイルを生成することができます。

注意事項

注意: 編集者 ロールを持つCato管理画面の管理者のみCSVファイルへのエクスポート権限があります。管理者の役割の設定について詳しくは、管理者の管理をご覧ください。

ネットワークルールポリシーをエクスポートするには：

ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。
エクスポートをクリックし、ポップアップウィンドウでOKをクリックします。
CSVファイルの保存先を選択し、ファイルを保存します。

エクスポートされたファイルの内容を理解する

エクスポートされたCSVファイルの最上行には、関連するルールベースのフィールド名とオプションがリストされます。次に、最小の数値から始めて、優先順位に従ってルール自体が列挙されます。

CSVファイルには次の列が含まれます：

アイテム	説明
優先順位	ルールがルールベース内で持つ優先順位
ルールのステータス	ルールが有効か無効か
タイプ	ルールタイプはWANまたはインターネット
名前	ネットワークルールの名前
ソース	このルールのトラフィックソース
アプリケーション/カテゴリ	このルールに適用されるアイテム（アプリ、カテゴリ、サービスなど）
宛先	このルールのトラフィック宛先
帯域幅優先度	このルールに対する帯域幅管理プロファイル
ルーティング	このルールに適用されるルーティングタイプ（NAT、バックホーリングなど）。インターネットネットワークルールにのみ関連する
トランスポート	このルールのトランスポートタイプ（WANインターフェイストランスポート、プライマリおよびセカンダリトランスポート）
加速&最適化	最適化設定は有効または無効です（TCPアクセラレーションとパケットロス軽減）