이 문서는 전체 계정에 대한 고급 구성 기능을 어떻게 사용자 정의하는지 설명합니다.
고급 구성 페이지의 옵션은 계정의 다양한 설정에 대해 더 세밀한 제어를 제공합니다. 화면에는 비활성화된 각 설정의 기본값도 표시됩니다.
고급 설정을 비활성화하면 기본값으로 돌아갑니다. 그러나 사용자 정의 값은 저장되고, 나중에 설정을 활성화하면 사용자 정의 값을 사용할 수 있습니다.
계정에 대한 고급 구성 기능을 설정하려면:
-
네비게이션 메뉴에서 자원 > 고급 구성을 클릭하세요.
-
상태 열에서, 각 설정의 상태를 활성화 또는 비활성화하려면 토글을 사용하세요 (초록색은 활성화됨, 회색은 비활성화됨).
-
설정의 값을 구성하거나 편집하려면, 이름 열의 설정 이름을 클릭하세요.
편집 <설정 이름> 패널이 열립니다.
-
편집 패널에서 다음을 할 수 있습니다:
-
값을 입력하거나 선택하세요
-
이 고급 설정의 이유를 설명하기 위해 코멘트를 입력하거나 편집하세요 (추천)
-
-
적용을 클릭하세요. 고급 구성에 대한 변경이 화면에 추가됩니다.
-
저장을 클릭하세요. 구성 설정이 저장됩니다.
사이트 또는 SDP 사용자에 대한 고급 기능을 구성할 때, 이는 고급 구성 페이지의 계정 설정을 덮어씁니다. 다음 테이블은 각 고급 기능과 그것이 사이트나 SDP 사용자에게 적용되는지를 보여줍니다.
|
기능 이름 |
적용 대상 |
|---|---|
|
PoP에서 연결이 끊어졌을 때 로컬 라우팅 차단 |
|
|
Burstiness 하향 값 |
사이트 (소켓 전용) |
|
Burstiness 상향 값 |
사이트 (소켓 전용) |
|
IKEv2 각 페이로드에 단일 TS 보내기 |
사이트 (IPsec IKEv2 전용) |
|
SIP 트래픽에 대한 선호 IP |
사이트 |
|
인터넷을 통한 복구 |
사이트 (소켓 전용) |
|
시리얼 번호로 인증서 취소 |
모든 SDP 사용자 |
|
SIP ALG |
사이트 |
|
WAN 트래픽에 대한 SYN에서의 TCP 가속 |
사이트 및 SDP 사용자 |
|
TCP 혼잡 알고리즘 |
글로벌 전용 |
|
장치 인증서에서 OID 검증 |
모든 SDP 사용자 |
|
VPN 사무실 모드 |
모든 SDP 사용자 |
|
WAN 유지 빈도 |
사이트 (소켓 전용) |
|
WAN 복구 |
사이트 (소켓 전용) |
다음 설정은 개별 사이트에 대해서만 구성할 수 있습니다(계정에 대한 전역 설정은 아님):
-
소켓에서 PoP까지 최대 MTU (물리적 소켓에만 적용)
사이트의 고급 구성에 대한 자세한 내용은 사이트의 고급 구성을 참조하십시오.
SDP 사용자가 Cato 소켓 뒤에 있는 오피스에서 작업할 때,Cato 클라이언트는 자동으로 그 사이트에 연결됩니다. 이 동작을 VPN 오피스 모드라고 하며,모든 계정에 대해 기본적으로 활성화되어 있습니다. 오피스 모드가 없으면,Cato 클라이언트가 Cato 소켓 뒤의 VPN에 연결될 때,클라이언트는 터널 내 터널의 VPN 연결을 만들어 성능에 종종 부정적인 영향을 미칩니다.
오피스 모드에서는 Cato 클라이언트가 소켓 터널을 사용하여 Cato 클라우드에 연결되며 해당 사이트의 일반 호스트로 처리됩니다. 클라이언트는 네트워킹 및 보안 설정을 사이트에서 수신하고 터널 내 터널 VPN 사용을 방지합니다.
때때로 오피스 모드는 지사를 방문하는 사람이 본사와 같은 다른 오피스의 리소스에 연결하는 것을 방지할 수 있습니다. SDP 사용자가 오피스 모드에서 Cato 클라이언트의 동작을 설정할 수 있도록 허용할 수 있습니다.
SDP 사용자가 클라이언트를 위한 오피스 모드를 구성할 수 있도록 활성화하려면 오피스 모드 구성을 참조하십시오.
네트워크의 탄력성을 개선하기 위해 WAN 복구 기능은 Cato 클라우드에 연결 문제가 있을 때 지원을 제공하며,Cato 소켓이 다른 사이트로 WAN 트래픽을 보낼 수 없습니다. 이 기능은 다른 소켓 사이트와의 연결성을 유지하기 위해 우회 터널을 자동으로 사용합니다. 소켓이 Cato 클라우드에 대한 연결을 재구축하면 자동으로 정상 운영을 재개합니다.
참고
참고: 오프 클라우드 트래픽은 WAN 복구를 지원하기 위해 소켓 WAN 링크에서 활성화되어야 합니다.
네트워크 복구 중,WAN 트래픽은 Cato 클라우드를 우회하며,트래픽에 다음과 같은 변동 사항이 발생됩니다:
-
Cato 관리 애플리케이션은 연결성에 대한 데이터를 분석하지 않으며 네트워크 상태나 품질에 대한 알림을 생성하지 않습니다
-
WAN 및 인터넷 방화벽은 트래픽에 적용되지 않습니다
-
위협 방지 서비스는 트래픽에 적용되지 않습니다
WAN 복구 설정을 구성하려면,위의 고급 기능 계정 구성을 이 값들로 참조하세요:
-
비활성화됨 - 기본 전역 설정입니다. 소켓은 다른 소켓 사이트와 터널을 설정하며,터널 유지 관리를 위해 keep-alive 메시지를 사용합니다. 계정의 모든 소켓 사이트에 대해 기본적으로 복구가 활성화됩니다.
-
활성화됨 및 켜짐 - 계정은 다른 사이트로의 WAN 트래픽에 대한 복구를 제공하도록 구성되어 있습니다. 기능은 비활성화됨과 동일합니다.
-
활성화됨 및 꺼짐 - 이 계정에 대해 복구가 활성화되지 않으며, 우회 터널은 지원되지 않거나 유지되지 않습니다.
참고
참고: WAN 복구 기능에서 생성된 이벤트는 클라우드 외부 복구로 설명됩니다.
특정 사이트에 대한 글로벌 WAN 복구 설정 구성에 대한 자세한 내용은 사이트를 위한 고급 구성을 참조하십시오.
인터넷 트래픽의 복원력을 향상시키기 위해, 복구 모드 기능은 Cato 클라우드에 연결하는 데 문제가 있고, Cato 소켓이 인터넷으로 트래픽을 보내는 데 사용할 수 없는 경우 지원을 제공합니다. 활성화되면, 이 기능은 인터넷으로 트래픽을 보내기 위해 ISP 링크와의 인터넷 연결을 자동으로 복구합니다.
임시 인터넷 복구 중에는 인터넷 트래픽이 Cato 클라우드를 우회하고 트래픽에 다음과 같은 변경이 발생합니다:
-
인터넷 방화벽 및 URL 필터링 규칙이 트래픽에 적용되지 않습니다
-
위협 방지 서비스가 트래픽에 적용되지 않습니다
-
Cato 관리 애플리케이션은 연결성 데이터를 분석하지 않으며 인터넷 트래픽에 대한 알림을 생성하지 않습니다
복구 모드 설정을 구성하려면 위의 고급 기능 구성을 이러한 값으로 참조하세요:
-
비활성화됨 - 기본 글로벌 설정. 복구는 계정의 모든 소켓 사이트에 대해 기본적으로 활성화됩니다. 이 설정을 사용할 것을 권장합니다.
-
활성화됨 및 켜짐 - 계정이 인터넷으로의 모든 트래픽을 복구하도록 구성됩니다. 기능은 비활성화됨과 동일합니다.
-
활성화됨 및 꺼짐 - 이 계정에 대해 복구 모드 기능이 비활성화됩니다.
참고
중요! 우리는 항상 복구 모드 기능을 활성화하고 인터넷 트래픽의 복구를 관리하기 위해 켜짐 또는 꺼짐 옵션을 선택할 것을 권장합니다. 이 기능이 비활성화되면 소켓 웹 UI를 사용하여 구성된 설정에 문제가 발생할 수 있습니다.
특정 사이트에 대한 글로벌 인터넷 복구 설정 구성을 더 알아보려면 사이트를 위한 고급 구성을 참조하십시오.
UCaaS와 함께 작업하며 VoIP 또는 SIP 트래픽에 대한 송신 네트워크 규칙을 사용하는 경우, IP 주소가 변경되면 RingCentral과 같은 일부 UCaaS에서 문제가 발생할 수 있습니다. SIP 트래픽 우선 IP 기능이 활성화되면, VoIP 및 SIP 트래픽은 항상 동일한 송신 IP 주소를 사용합니다.
참고
참고: 이 기능을 사용하려면 VoIP 또는 SIP 트래픽에 대한 송신 네트워크 규칙이 있어야 합니다.
하위 SA를 생성할 때, Cato는 RFC 7295에 따라 동일한 TS 페이로드에 여러 트래픽 셀렉터(TS)를 전송합니다. Cisco ASA와 같은 일부 타사 솔루션은 각 하위 SA에 단일 TS만 지원합니다. Cisco ASA는 다중 TS로 하위 SA를 생성하라는 Cato의 제안에 대해 TS_UNACCEPTABLE 메시지를 보냅니다.
IKEv2 싱글 TS 전송 페이로드당 활성화 및 켜짐으로 설정되면, 각 자식 SA에서 단일 TS만 전송됩니다. 기본적으로 비활성화되어 있습니다.
기본적으로 사이트 내 트래픽(예: VLAN 간)은 Cato PoP를 통해 라우팅되며, PoP는 트래픽을 검사합니다. 트래픽은 VLAN에서 Cato 클라우드의 PoP로, 그리고 다른 VLAN으로 흐릅니다.
사이트가 Cato 클라우드에서 일시적으로 연결 해제되면, 기본 동작은 fail-open입니다. 트래픽은 검사를 받지 않고 VLAN에서 다른 VLAN으로 직접 흐릅니다. 기본 전역 계정 수준 동작을 fail-closed로 변경할 수 있으며, 이렇게 하면 기본적으로 모든 소켓 사이트가 PoP에서 연결 해제될 때 로컬 라우팅 트래픽을 차단합니다. 소켓 v15.0 이상 필요.
참고
참고: LAN 방화벽 또는 로컬 라우팅 규칙이 구성된 사이트의 경우, 이러한 규칙은 PoP에서 연결 해제될 때 로컬 라우팅 차단 설정보다 우선합니다. 따라서 이 설정은 규칙에 맞는 트래픽에 적용되지 않습니다.
PoP 연결 해제 시 로컬 라우팅 차단 설정을 구성하려면, 이러한 값들과 함께 위의 계정에 대한 고급 구성 개요를 참조하십시오:
다음 다이어그램은 로컬 라우팅 동작을 보여줍니다:
장치 인증서의 OID 검증은 장치 인증서 검사를 강화합니다. 활성화되면, 네트워크에 연결할 수 있는 장치 인증서 OID 목록을 정의할 수 있습니다. 정의된 OID와 일치하는 인증서로 인증하는 장치만 연결할 수 있습니다. 여러 OID는 세미콜론으로 구분하고 다음 형식을 사용하십시오:
-
cert_ext_obj(cert, "<extension_key>") == "<OID_value1>;<OID_value2>"
확장 키와 OID 값은 certutil 또는 openssl x509 인증서 도구를 사용하여 찾을 수 있습니다.
이 기능은 기본적으로 비활성화되어 있습니다. 장치의 인증서를 올바르게 구성하지 않고 이 설정을 활성화하면, SDP 사용자가 네트워크에 연결할 수 없을 수 있습니다.
시리얼 번호로 인증서 해지은 장치 인증서 검사를 강화합니다. 활성화되면, 차단된 인증서 시리얼 번호 목록을 정의할 수 있습니다. 정의된 시리얼 번호와 일치하는 인증서로 인증하는 장치는 차단됩니다.
-
각 시리얼 번호는 구분자를 포함한 형식이어야 합니다 (1a:2b:3c:4d ...)
-
여러 시리얼 번호는 쉼표로 구분하십시오
취소할 수 있는 시리얼 번호의 양에는 제한이 없습니다
이 기능은 기본적으로 비활성화되어 있습니다. 기기의 인증서를 올바르게 구성하지 않고 이 설정을 활성화하면 SDP 사용자가 네트워크에 연결할 수 없을 수 있습니다.
TCP 프록시는 각 연결의 첫 번째 SYN 패킷에서 WAN TCP 프록시 모드를 시작하거나 TCP 핸드셰이크가 완료된 후 WAN TCP 프록시를 지연하고 시작하도록 수정할 수 있습니다. TCP 프록시 모드에 대한 자세한 내용은 카토 TCP 가속화 및 모범 사례 설명을 참조하세요.
WAN 트래픽에 대해 SYN에서 TCP 가속화 설정을 구성하려면, 위의 계정의 고급 구성 개요를 참조하세요.
-
켜짐 - 전체 WAN TCP 프록시.
-
꺼짐 - 원래 WAN TCP 협상을 유지하고 TCP 프록시를 지연합니다.
마이크로 버스트는 매우 짧은 시간 내에 발생하는 갑작스러운 패킷 또는 데이터 프레임의 급증으로 특징지어집니다.
마이크로 버스트가 짧은 시간에 사이트의 비율 제한을 초과하면 마지막 마일 제공업체 (ISP)가 패킷을 과도하게 드롭하여 패킷 손실이 발생할 수 있습니다.
버스티니스 하향 값 및 버스티니스 상향 값을 사용하여 하향 또는 상향 방향에 따라 버스티니스 수준 값을 수정하여 사이트가 네트워크를 통해 마이크로 버스트를 처리하는 방식을 조정할 수 있습니다. 버스티니스 수준 값을 수정하면 마이크로 버스트에 대해 더 공격적이거나 허용적인 셰이핑 정책을 적용하여 버스티니스로 인한 패킷 손실을 완화할 수 있습니다. 기본 버스티니스 값은 인터페이스 대역폭에 따라 다릅니다:
-
인터페이스 대역폭이 40 Mbps 이상인 경우 기본값은 0.2
-
인터페이스 대역폭이 40 Mbps 미만인 경우 기본값은 0.1
버스티니스 및 패킷 손실에 대한 자세한 내용은 Socket 사이트 패킷 손실 문제 해결 방법을 참조하세요.
참고
참고:
-
모든 소켓은 버전 12.0 이상에서 실행되어야 버스티니스 구성을 지원할 수 있습니다.
-
새 값은 터널 재설정 후에만 적용됩니다.
댓글 0개
댓글을 남기려면 로그인하세요.