네트워크 규칙 구성

개요

네트워크 규칙을 사용하면 WAN 및 인터넷 연결을 통해 트래픽을 유도하고 우선 순위를 지정하여 성능, 라우팅 및 링크 사용량을 세밀하게 제어할 수 있습니다. 애플리케이션, 소스 및 목적지를 기준으로 규칙을 생성하여 중요한 트래픽이 올바른 QoS를 받을 수 있도록 보장하고, 지연 시간 또는 패킷 손실을 최적화하고, 최적의 전송 경로를 선택할 수 있습니다. 네트워크 규칙 페이지를 사용하여 규칙 순서를 정의하고, 가속 설정을 적용하며, 비즈니스 및 기술 요구 사항에 맞춘 고급 라우팅 동작을 구성할 수 있습니다.

네트워크 규칙과 Cato에 대한 더 자세한 내용은 What are Network Rules?를 참조하세요.

단일 규칙에서 다수의 객체와 작업

소스, 앱/카테고리, 및 목적지 열은 AND 관계를 형성합니다: 트래픽이 모든 세 개의 열에 정의된 기준을 만족할 경우에만 규칙이 트리거됩니다.

열에 여러 항목이 있는 경우, 또는 관계가 있습니다: 트래픽이 항목 중 하나에 대해 정의된 기준을 충족하면 규칙이 적용됩니다. 예를 들어, 앱/카테고리서비스로 정의되고 TCPUDP에 대한 규칙이 있는 경우, 이 규칙은 TCP 또는 UDP 트래픽에 적용됩니다.

다수 관리자에 의한 정책 수정 및 동시 편집

네트워크 규칙 페이지에서는 여러 관리자가 정책을 병렬로 편집할 수 있습니다. 각 관리자는 규칙을 편집하고 변경 사항을 자신의 개인 개정본으로 저장한 후 계정 정책(게시된 개정본)에 게시할 수 있습니다. 정책 개정본을 관리하는 방법에 대한 자세한 정보는 Working with Policy Revisions를 참조하세요.

네트워크 규칙 정책 활성화

네트워크 규칙 페이지에서 네트워크 정책 활성화됨 토글을 사용하여 네트워크 규칙 정책이 적용되는지 여부를 제어할 수 있습니다. 정책이 활성화되면 구성된 규칙이 계정의 트래픽 라우팅 및 우선 순위 지정에 적용됩니다. 정책을 비활성화하면 이들 규칙의 적용이 즉시 중지됩니다.

네트워크 규칙 정책을 활성화하려면:

  1. 네비게이션 메뉴에서 네트워크 > 네트워크 정책을 클릭하십시오.
  2. 네트워크 정책 비활성화됨 옆의 토글을 클릭하십시오.
  3. 확인 창에서 계속하기를 클릭하십시오. 정책이 활성화되었을 때 토글이 녹색으로 표시됩니다.

네트워크 규칙 생성

특정 WAN 또는 인터넷 트래픽 플로우에 맞춤형 트래픽 스티어링 또는 QoS를 적용하려면, 트래픽을 정의하고 처리 방법을 명시하는 네트워크 규칙을 생성하십시오. 네트워크 정책은 순서가 있는 정책이며, 순서에 따라 평가됩니다. 예를 들어 기존 규칙의 앞이나 뒤에 올바른 위치에 새로운 규칙을 생성하십시오.

소스를 구성할 때 규칙이 적용되는 트래픽을 정의합니다. IP 범위, 애플리케이션 카테고리 또는 사용자 그룹 등 다양한 글로벌 객체에서 선택하여 관련 트래픽과 일치시킬 수 있습니다.

각 규칙에는 다음 구성 옵션이 포함됩니다:

NetworkRules.png

WAN 또는 인터넷 네트워크 규칙을 생성합니다:

  1. 네비게이션 메뉴에서 네트워크 > 네트워크 정책을 클릭하십시오.
  2. 새로운 > 새 규칙을 클릭하십시오. 네트워크 규칙 추가 패널이 열립니다.
  3. 일반 섹션에서 규칙에 대한 다음 설정을 구성하십시오:
    1. 규칙에 대한 이름을 입력하십시오.
    2. 슬라이더를 사용하여 규칙을 활성화하거나 비활성화하십시오 (녹색은 활성화됨, 회색은 비활성화됨).
    3. 새 규칙에 대한 위치를 선택하십시오.
    4. 규칙 유형 드롭다운 메뉴에서 이 규칙이 WAN 또는 인터넷 트래픽에 대한 것인지 선택하십시오.
  4. 소스 섹션을 확장하고 트래픽 소스에 대한 객체 하나 이상을 선택하십시오 (또는 IP 주소를 입력할 수 있습니다).
    1. 유형을 선택하십시오 (예: 호스트, 네트워크 인터페이스, IP, IP 범위 또는 임의). 기본값은 모든입니다.
    2. 필요할 때 해당 유형에 대해 드롭다운 목록에서 특정 객체를 선택하십시오.
  5. 기준 섹션을 확장하고 규칙에 장치 조건을 추가하십시오. 추가 정보는 방화벽 규칙에 장치 조건 추가하기를 참조하십시오. 기본값은 모든입니다.
  6. WAN 트래픽 규칙에 대해 목적지 섹션을 확장하고 규칙에 대해 트래픽 목적지를 위한 객체 하나 이상을 선택하십시오.

  7. 앱/카테고리 섹션을 확장하고 규칙에 대한 하나 이상의 애플리케이션을 선택합니다.

    규칙에 두 개 이상의 앱/카테고리 객체가 있는 경우, 그들 사이에는 OR 관계가 있습니다. 기본값은 아무나입니다.

    앱/카테고리 섹션의 각 옵션에 대한 자세한 설명은 객체 참고를 참조하십시오.

  8. 구성 섹션에서 네트워크 규칙에 대한 다음 설정을 구성할 수 있습니다 (아래 설명 참조):

    • 대역폭 우선순위
    • 기본 전송보조 전송

  9. 저장을 클릭하십시오. 패널이 닫히고 설정이 규칙 기초에 업데이트됩니다.

    변경 사항은 게시되지 않은 수정본으로 저장되며, 그것들이 게시되거나 폐기될 때까지 편집 가능합니다.

  10. 게시를 클릭하십시오. 확인 창이 열리고 게시를 클릭하십시오.

규칙에 대한 대역폭 우선순위 (QoS)를 변경하기

기본적으로, 새로운 규칙에는 기본 우선순위(p255)가 할당되며, 네트워크의 QoS 요구에 따라 이를 변경할 수 있습니다.

우선순위 숫자가 낮을수록 규칙에 대한 QoS 우선순위가 높습니다. 예를 들어, 우선순위가 10인 규칙은 우선순위가 40인 규칙보다 더 높은 QoS 우선순위를 갖습니다.

계정에 대한 대역폭 정책 정의에 대한 자세한 내용은 대역폭 관리 프로필 구성을 참조하십시오.

규칙에 대한 대역폭 우선순위를 변경합니다:

  1. 네비게이션 메뉴에서 네트워크 > 네트워크 정책을 클릭하십시오.
  2. 네트워크 규칙을 클릭하십시오. 네트워크 규칙 편집 패널이 열립니다.
  3. 구성 섹션을 확장하십시오.
  4. 대역폭 관리 섹션에서 대역폭 우선순위 드롭다운 메뉴를 사용하여 이 규칙에 대한 QoS 우선순위를 선택하십시오.

  5. 저장을 클릭하십시오. 패널이 닫히고 설정이 규칙 기초에 업데이트됩니다.

    변경 사항은 게시되지 않은 수정본으로 저장되며, 그것들이 게시되거나 폐기될 때까지 편집 가능합니다.

  6. 게시를 클릭하십시오. 확인 창이 열리고 게시를 클릭하십시오.

전송 및 라우팅 옵션 구성

이 섹션에서는 네트워크 규칙의 전송 옵션을 구성하고 특정 위치 또는 IP 주소로 트래픽을 송신하는 방법을 설명합니다.

규칙에 대한 전송 옵션 맞춤화

네트워크 규칙은 전역적으로 구성됩니다. 특정 사이트에 지정된 전송이 없는 경우, 소켓은 해당 구성을 자동으로 구성된 것으로 처리합니다.

명시적인 전송/NIC를 선택하면 QoS 엔진이 패킷 손실, 지터 및 지연 시간을 모니터링합니다. 혼잡이 발생하면 패킷이 삭제됩니다. 전송에 대해 자동을 선택하면 QoS 엔진이 패킷 손실, 지터 및 지연 시간 외에도 혼잡을 모니터링합니다.

대체 WAN은 보조 전송으로 클라우드 외부에 대해 지원되지 않습니다. 네트워크 규칙을 대체 WAN을 기본 전송으로 구성하고 클라우드 외부로 전환할 수 없습니다.

TransportOptions.png

  • WAN 규칙의 기본 설정은 다음과 같습니다:

    • 기본 전송: Cato
    • 보조 전송: 자동 (적용 가능한 경우 MPLS와 같은 추가 전송 고를 고려)
    • 기본 인터페이스 역할: 자동
    • 보조 인터페이스 역할: 없음 (기본 NIC에 대한 자동 설정에 의해 처리되므로 비활성화됨)
    • 라우팅/NAT: - (WAN 규칙에는 적용되지 않음)

  • 인터넷 규칙의 기본 설정은 다음과 같습니다:

    • 기본 전송: Cato
    • 보조 전송: 없음 (다른 전송 사용하지 않음)
    • 기본 인터페이스 역할: 자동
    • 보조 인터페이스 역할: 없음 (기본 NIC에 대한 자동 설정에 의해 처리되므로 비활성화됨)
    • 라우팅/NAT: 없음

네트워크 규칙에 대한 전송 옵션을 맞춤화합니다:

  1. 네비게이션 메뉴에서 네트워크 > 네트워크 정책을 클릭하십시오.
  2. 네트워크 규칙을 클릭하십시오. 네트워크 규칙 편집 패널이 열립니다.
  3. 구성 섹션을 확장하십시오.

  4. 필요에 따라 전송 필드를 구성하십시오: 특정 전송을 통해 트래픽을 라우팅하려면 기본 및 보조 전송을 구성할 수 있습니다.

    기본 전송이 활성화되고 사용 가능할 때까지 Cato QoS 엔진에 의해 사용됩니다. 기본 전송을 사용할 수 없는 경우 보조 전송이 사용됩니다.

  5. 필요에 따라 인터페이스 역할 필드를 구성하십시오 (Cato 클라우드를 통해 라우팅된 트래픽에만 적용됨).

    특정 링크를 통해 트래픽을 라우팅하려면 기본 및 보조 NIC를 구성할 수 있습니다. 기본 인터페이스 역할은 Cato QoS 엔진에 의해 계속 작동 가능하고 사용 가능한 한 사용됩니다.

    기본 인터페이스 역할이 사용 불가능한 경우 보조 인터페이스 역할이 사용됩니다. 보조 인터페이스 역할없음으로 설정된 경우, 기본적으로 기본 인터페이스 역할의 설정에 기반한 동작입니다:

    • 자동 - 소켓이 트래픽을 기본 전송을 통해 보내기 위해 최선을 다합니다
    • 기타 인터페이스 역할 - 기본 전송이 사용 불가능할 때 소켓이 트래픽을 차단합니다

  6. 저장을 클릭하십시오. 패널이 닫히고 설정이 규칙 기초에 업데이트됩니다.

    변경 사항은 게시되지 않은 수정본으로 저장되며, 그것들이 게시되거나 폐기될 때까지 편집 가능합니다.

  7. 게시를 클릭하십시오. 확인 창이 열리고 게시를 클릭하십시오.

인터넷 네트워크 규칙에 대한 라우팅 방법 설정

인터넷 네트워크 규칙을 다양한 옵션으로 구성하여 트래픽을 송신할 수 있습니다.

모범 사례: 트래픽을 Egress하기 위한 인터넷 네트워크 규칙(옵션 NAT 또는 경로 통해)의 경우 규칙에 대한 특정 소스 또는 앱/카테고리를 정의하는 것이 좋습니다. 모든출처 또는 앱/카테고리로 선택하면 모든 인터넷 트래픽이 라우팅되고, 예측할 수 없는 성능을 초래할 수 있습니다.

  • 경로 지정 - egress PoP 위치를 선택하여 트래픽을 인터넷으로 전송할 수 있습니다.

    참고: 트래픽을 도쿄로 송신할 때, 도쿄 PoP 위치 하나를 선택하면 (예를 들어 Tokyo_DC2, 모든 도쿄 PoP 위치가 자동으로 네트워크 규칙에 추가됩니다. IP 범위는 도쿄 PoP 위치에 공유되며 계정에 원활한 경험을 보장합니다.

  • NAT - 특정 Cato 할당 IP 주소 및 그 PoP 위치를 통해 트래픽을 송신하도록 합니다. 이 규칙과 일치하는 트래픽은 해당 IP로 변환되어 관련 PoP를 통해 송신됩니다. 모두 NAT와 라우트 트래픽은 특정 PoP를 통해 경로를 재지정하지만, NAT는 트래픽이 변환될 IP를 지정하도록 합니다.

  • 백홀 경로 - 한 개 또는 여러 개의 백홀링 게이트웨이 사이트를 통해 인터넷 트래픽을 송신합니다

    추가 정보는 인터넷 트래픽 백홀링에 대한 이 문서를 참조하세요.

참고: 때로는 네트워크 규칙의 모든 송신 IP가 사용 불가능할 경우, PoP 유지 관리 기간 동안 트래픽 흐름에 대해 PoP가 다른 IP 주소를 사용합니다. 이 경우 사용자 연결 및 경험에 영향을 줄 수 있습니다. 영향을 최소화하기 위해 여러 출구 IP를 규칙에 정의하는 것을 권장합니다.

경로 지정NAT의 경우, 여러 송신 IP를 구성할 때 트래픽은 소스에 가장 가까운 PoP 위치의 송신 IP를 사용합니다.

라우팅 방식 NAT - 소스 포트 유지

기본적으로 PoP가 인터넷 트래픽에 대해 NAT를 수행할 때, IP 헤더에서 소스 포트와 소스 IP를 수정합니다. 일부 애플리케이션은 예를 들어 SIP 트래픽의 경우 IP 헤더에서 원본 소스 포트를 유지해야 합니다. 소스 포트 유지 옵션을 선택하면, PoP가 번역된 패킷 IP 헤더에서 원본 소스 포트를 유지합니다.

Routing_Method_Preserve_Source_Port.png

참고: 동일한 소스 포트를 가지는 흐름이 두 개 이상 있을 경우, NAT 번역 중에 두 흐름의 소스 포트를 유지하는 데 충돌이 발생합니다. 이러한 시나리오에서는 PoP가 첫 번째 흐름의 소스 포트를 유지하고 나중에 오는 흐름에 대해 무작위 포트를 할당합니다.

인터넷 네트워크 규칙에 대한 라우팅 방법을 설정합니다:

  1. 네비게이션 메뉴에서 네트워크 > 네트워크 정책을 클릭하십시오.
  2. 네트워크 규칙을 클릭하십시오. 네트워크 규칙 편집 패널이 열립니다.
  3. 구성 섹션을 확장하십시오.

  4. 경로/NAT 드롭다운 메뉴에서 규칙과 일치하는 트래픽의 라우팅 옵션을 선택하십시오:

    • 경로 지정 - 특정 Cato 클라우드 PoP 위치를 통해 트래픽을 라우팅하기 위한 위치를 선택하십시오.

    • NAT - 특정 IP를 통해 이 규칙에 대한 트래픽을 송신하려면 NAT를 사용하여 송신하는 할당된 IP를 선택하십시오.

      (선택사항) 변환된 트래픽에 대해 원래 소스 포트를 사용하려면 소스 포트 유지를 선택합니다.

  5. 저장을 클릭합니다. 패널이 닫히고 설정이 규칙 기초에 업데이트됩니다.

    변경 사항은 게시되지 않은 수정본으로 저장되며, 그것들이 게시되거나 폐기될 때까지 편집 가능합니다.

  6. 게시를 클릭하십시오. 확인 창이 열리고 게시를 클릭하십시오.

10Gbps 처리량을 위한 PoP 라우팅

10Gbps 처리량을 지원하는 PoP 위치에 연결된 사이트의 경우, 다른 10Gbps PoP 위치를 통해 트래픽을 송신하도록 경로 지정 또는 NAT 네트워크 규칙을 구성할 것을 권장합니다. 그렇지 않으면, 사이트 처리량에 영향을 미칠 수 있습니다.

규칙의 이벤트 보기

규칙 이벤트 보기를 사용하여 특정 네트워크 규칙에 대한 이벤트를 표시할 수 있습니다. 이 작업을 선택하면 이벤트 페이지가 열리며, 해당 규칙에 맞는 모든 이벤트에 대해 사전 필터링됩니다.

규칙의 이벤트를 보려면:

  1. 네이게이션 메뉴에서 네트워크 > 네트워크 규칙을 클릭하세요.
  2. 오른쪽에서 more.png를 클릭한 다음 규칙 이벤트 보기를 선택하십시오.

관련 규칙의 이벤트가 이미 필터링된 상태로 이벤트 페이지가 표시됩니다.

rule-event.png

규칙에 대한 활성화 & 최적화를 사용자 정의

  • TCP 가속은 네트워크 규칙의 일부인 비TCP 트래픽 (UDP 기반 트래픽)에 영향을 미치지 않습니다.
  • 라우팅/NAT 설정 또는 TLS 검사가 적용될 때, 이는 카토가 트래픽에 TCP 프록시를 활성화함을 의미합니다.
  • 카토 클라우드에 대한 암묵적 네트워크 기본 규칙은 TCP 프록시로 작동하는 것입니다. 따라서 이전 규칙과 트래픽이 일치하지 않는 경우, TCP 프록시가 적용됩니다.
  • 대체 WAN을 주요 또는 보조 전송으로 사용하는 규칙에는 TCP 가속이 비활성화되어 있습니다 (회색).

카토 클라우드에서 트래픽을 가속화하는 방법에 대한 자세한 내용은 트래픽 가속 및 최적화를 참조하세요.

패킷 손실 완화에 대한 자세한 정보는 다중 터널 링크에 대한 패킷 손실 완화를 참조하세요.

규칙에 대한 가속과 최적화를 설정하려면:

  1. 네비게이션 메뉴에서 네트워크 > 네트워크 규칙을 클릭하세요.
  2. 네트워크 규칙을 클릭하세요. 네트워크 규칙 편집 패널이 열립니다.
  3. 구성 섹션을 확장하세요.
  4. 활성 TCP 가속을 선택하여 이 규칙에 해당하는 트래픽에 대한 TCP 프록시 서버로 PoP가 작동하도록 합니다.
  5. 패킷 손실 완화를 선택하여 이 규칙에 해당하는 트래픽의 패킷 손실 영향을 완화하는 데 도움이 되도록 패킷 중복을 활성화합니다.

  6. 저장을 클릭하세요. 패널이 닫히고 설정이 규칙 기초에 업데이트됩니다.

    변경 사항은 게시되지 않은 수정본으로 저장되며, 그것들이 게시되거나 폐기될 때까지 편집 가능합니다.

  7. 게시를 클릭하십시오. 확인 창이 열리면 게시를 클릭하십시오.

예외 추가

네트워크 규칙에 대한 예외인 트래픽을 정의하고, 해당 트래픽에는 규칙이 적용되지 않습니다. 소스, 앱/카테고리 및 목적지에 대한 객체(엔터티)로 트래픽 예외를 정의하세요. 여러 객체가 있는 예외는 네트워크 정책과 같은 동작을 하며, 위의 하나의 규칙에서 다중 객체 처리를 참조하십시오.

NetworkRuleExceptions.png

위의 예는 VoIP Video 카테고리에 해당하는 모든 트래픽에 대한 네트워크 규칙이 있습니다. 이 규칙에 대해 다음 두 가지 조건을 모두 만족하는 트래픽에 대한 예외가 있습니다.

  • 소스는 예시 1500 사이트
  • 애플리케이션은 Skype와 MS Teams

네트워크 규칙에 예외를 추가하려면:

  1. 네비게이션 메뉴에서 네트워크 > 네트워크 규칙을 클릭합니다.
  2. 예외를 만드는 규칙을 식별하고, 규칙 끝에서 더보기 아이콘 more.png을 클릭한 다음 예외 추가를 선택하십시오.
  3. 섹션의 예외를 정의합니다:

    1. 드롭다운 메뉴에서 예외에 대한 트래픽 유형을 선택합니다.

      아래 예시는 특정 호스트에 대한 예외를 추가하는 것을 보여줍니다.

      addException.png
    2. 해당 유형에 대해 드롭다운 목록에서 특정 객체를 선택합니다.

    3. 예외에 대한 추가 객체를 정의하려면 이전 두 단계를 반복합니다.

      하나의 섹션에서 여러 객체는 OR 관계를 가집니다.

  4. 필요한 경우, 다른 섹션에 대한 예외를 정의하기 위해 3단계를 반복하십시오.

    여러 섹션의 객체는 AND 관계를 가집니다.

  5. 저장을 클릭합니다. 패널이 닫히고 설정이 규칙 기초에 업데이트됩니다.

    변경 사항은 게시되지 않은 수정본으로 저장되며, 그것들이 게시되거나 폐기될 때까지 편집 가능합니다.

  6. 게시를 클릭하십시오. 확인 창이 열리면 게시를 클릭하십시오.

네트워크 규칙을 CSV 파일로 내보내기

계정의 규칙 기반에 따른 모든 네트워크 규칙 데이터를 포함하는 CSV 파일을 생성할 수 있습니다.

참고

참고: 편집자 역할이 있는 CMA 관리자만 CSV 파일로 내보낼 권한이 있습니다. 관리자 역할 구성을 자세히 알아보려면 관리자 관리를 참조하세요.

네트워크 규칙 정책을 내보내려면:

  1. 탐색 메뉴에서 네트워크 > 네트워크 정책을 클릭하십시오.
  2. 내보내기를 클릭하고, 팝업 창에서 확인을 클릭합니다.
  3. CSV 파일의 위치를 선택하고 파일을 저장합니다.

내보낸 파일의 내용 이해하기

내보낸 CSV 파일의 맨 위 행에는 관련 규칙 기반의 규칙에 대한 필드 이름과 옵션이 나열됩니다. 이어서 규칙 자체가 우선순위에 따라 나열되며, 가장 낮은 숫자 값부터 시작합니다.

CSV 파일에는 다음 열이 포함되어 있습니다:

항목 설명
우선순위 규칙 기반 내의 규칙 우선순위
규칙 상태 규칙이 활성화되어 있거나 비활성화됨
유형 규칙 유형은 WAN 또는 인터넷입니다
이름 네트워크 규칙의 이름
소스 이 규칙의 트래픽 소스
앱/카테고리 이 규칙에 적용되는 항목(앱, 카테고리, 서비스 등)
목적지 이 규칙의 트래픽 목적지
대역폭 우선순위 이 규칙에 대한 BW 관리 프로필
라우팅 이 규칙에 적용된 라우팅 유형(NAT, 백홀링 등). 인터넷 네트워크 규칙에만 관련 있음
전송 이 규칙의 전송 유형 (WAN 인터페이스 전송, 기본 및 보조 전송)
가속 & 최적화 최적화 설정이 활성화됨 또는 비활성화됨 (TCP 가속 및 패킷 손실 완화)

도움이 되었습니까?

2명 중 2명이 도움이 되었다고 했습니다.

댓글 0개