O tráfego que é enviado pela Cato Cloud se beneficia das melhorias de rede e segurança da Cato. No entanto, existem cenários específicos onde as empresas podem precisar usar a conectividade VPN direta de Socket para Socket pela Internet. O recurso de transporte fora da nuvem permite configurar Sockets para enviar tráfego fora da nuvem pela Internet, em vez de pela Cato Cloud. Por exemplo, quando existem backups regulares entre diferentes locais na mesma região, você pode designar esses backups como transporte fora da nuvem.
Os Sockets criam uma topologia de malha completa entre eles para o tráfego fora da nuvem. O tráfego é criptografado e enviado pela Internet usando túneis DTLS.
Para Sockets com múltiplos links, você pode habilitar ou desabilitar cada link para enviar tráfego fora da nuvem. Fora da Nuvem pode ser configurado nestes implantações:
- Ativo/Ativo - o tráfego Fora da Nuvem é balanceado e distribuído entre os links ativos de forma ponderada de acordo com a Largura de Banda disponível para cada link
- Ativo/Passivo (e Ativo/Ativo/Passivo) - o link passivo fornece redundância caso o link ativo caia ou a qualidade do link decline significativamente
Nota: O tráfego fora da nuvem é excluído da licença de largura de banda para o site. A taxa máxima de transferência de um link WAN é para todo o tráfego combinado (WAN, fora da nuvem, bypass). Portanto, se um X1500 Socket (500 Mbps de throughput máximo) estiver enviando 400Mbps de tráfego WAN, então 100Mbps estará disponível para o tráfego fora da nuvem e de bypass.
- O tráfego Fora da Nuvem não é inspecionado pelos motores de Proteção contra Ameaças Cato.
- Sockets suportam um máximo de três links para tráfego fora da nuvem.
- Você não pode rotear o modo passivo do FTP com tráfego Fora da Nuvem, você pode apenas roteá-lo pela Nuvem Cato.
- Túneis Fora da Nuvem (site a site) não podem ser estabelecidos entre sites que estão conectados ao mesmo roteador de ISP. Cada site precisa ter um Endereço IP público único.
- Alt-WAN não é suportado para Fora da Nuvem como um transporte secundário. Você não pode configurar uma Regra de Rede com Alt-WAN como transporte principal que falha para Fora da Nuvem.
Sockets Cato suportam dois tipos de tráfego fora da nuvem: transporte e recuperação WAN. Recuperação WAN oferece resiliência se houver problemas de conectividade na Cato Cloud e usa automaticamente túneis VPN de bypass para manter a conectividade com os outros sites do Socket. Quando você configura um link para enviar tráfego fora da nuvem, esse link está habilitado para enviar tanto tráfego de transporte quanto de recuperação. Você não pode designar um link para o transporte fora da nuvem e outro link para a recuperação em um Socket.
Nota
Notas:
-
O transporte fora da nuvem é oficialmente suportado apenas para regras de rede simples. Se você configurar uma regra complexa usando Fora da Nuvem como transporte, o tráfego ainda será enviado ao PoP para análise. Uma regra de rede complexa é uma regra de rede que o Socket em si não pode avaliar. Portanto, o Socket precisa enviar o tráfego ao PoP para escolher a regra de rede correta, o que, por sua vez, habilita o Proxy TCP. Uma regra complexa pode conter Aplicações, Categorias de Aplicações, Serviços, Aplicações Personalizadas ou objetos de Domínio/FQDN.
Às vezes, esse tráfego ativará o modo de aceleração TCP, caso em que o tráfego será enviado através do PoP e não fora da nuvem, conforme pretendido. Em outras instâncias, mesmo quando o tráfego é enviado Fora da Nuvem, ele pode parecer estar passando pelo PoP devido à análise mencionada anteriormente.
- A Cato recomenda que você configure todas as regras simples Fora da Nuvem no topo da Regra de Rede.
Para mais informações sobre recuperação WAN, veja Trabalhando com Configuração Avançada para a Conta.
Esta seção explica como configurar sites e regras de rede para transporte fora da nuvem.
Habilite o transporte fora da nuvem em cada local que está enviando e recebendo tráfego fora da nuvem. Para implantações de Sockets com múltiplos links, configure os links para suportar tráfego fora da nuvem.
Por padrão, o transporte fora da nuvem está habilitado para os links WAN nos sites de Sockets. No entanto, quando você define a Precedência WAN para um link como 3 (Último Recurso), então o transporte fora da nuvem é automaticamente desabilitado para esse link.
O exemplo acima mostra um Site com os links WAN1 e WAN2 configurados para enviar tráfego fora da nuvem. Você também pode escolher configurar um Site onde um dos links WAN apenas envia tráfego pela Cato Cloud.
Para mais detalhes sobre locais com múltiplos links, veja abaixo Configurando um Local para Fora da Nuvem com Múltiplos Links.
Configurando o Endereço IP Público e Porta Estática
Em geral, as configurações de Endereço IP Público e Porta Estática para links que enviam tráfego fora da nuvem são automaticamente configuradas pelo Socket e não são configuradas no Aplicativo de Gerenciamento Cato. O Socket escolhe uma porta de origem aleatória e usa o endereço IP público do roteador de Internet para iniciar a conexão.
Você também pode usar o Aplicativo de Gerenciamento Cato para configurar manualmente um endereço IP público estático e um número de porta para cada link que envia tráfego fora da nuvem. Ao fazer isso, certifique-se de que o roteador de Internet do site tenha atribuído um endereço IP público fixo e configurado com uma regra de encaminhamento de porta correspondente. Caso contrário, não configure manualmente as configurações de Endereço IP Público e Porta Estática.
No entanto, em algumas situações, você precisa configurar essas configurações. Por exemplo, quando você está usando regras de encaminhamento de porta como uma solução para problemas relacionados ao NAT com o roteador local.
Para ativar transporte fora da nuvem para um site:
- No menu de navegação, selecione Rede > Locais, e selecione o local.
- No menu de navegação, selecione Configurações do Site > Socket.
- Configure o link ativo que será ativado para tráfego fora da nuvem:
-
Clique no link.
O painel Editar Interface de Soquete abre.
- Expanda a seção Fora da Nuvem.
- No menu suspenso Status do Tráfego, selecione Ativado.
- (Opcional) Digite o IP Público e o número de Porta Estática para o link fora da nuvem.
-
- Clique em Aplicar.
- Repita os passos anteriores para cada site que envia e recebe tráfego fora da nuvem.
Crie uma regra de rede que define o tipo de tráfego WAN que é enviado usando o transporte fora da nuvem. Em seguida, configure esta regra para direcionar o tráfego pelo transporte fora da nuvem.
Você não pode configurar as opções de Função da Interface para transporte fora da nuvem. Além disso, desabilite a aceleração TCP para regras de rede que usam fora da nuvem como o transporte principal.
Para mais detalhes sobre regras de rede, veja Configuração de Regras de Rede.
Para configurar uma Regra de Rede para transporte fora da nuvem:
- No menu de navegação, clique em Rede > Políticas de Configuração de Rede.
- Clique em Novo. O painel Adicionar Regra de Rede é aberto.
- Crie uma nova regra de rede WAN:
- Na seção Geral, digite o Nome para a regra.
- No menu suspenso Tipo de Regra, selecione WAN.
- Configure a Ordem da Regra que define onde a regra aparece na base de políticas de configuração de rede.
- Expanda a seção Fonte e selecione um ou mais objetos para a fonte de tráfego para esta regra (ou você pode digitar um endereço IP).
- Expanda a seção Destino e digite uma cadeia de caracteres ou selecione um ou mais objetos para o destino de tráfego para esta regra.
- Expanda a seção App/Categoria e selecione um ou mais aplicativos para a regra.
- Configure as configurações de transporte para a Regra de Rede:
-
Expanda a seção Configuração.
- Certifique-se de que a Aceleração TCP Ativa esteja desativada.
- Em Transporte Principal, configure Fora da Nuvem como o transporte principal Transporte.
-
Em Transporte Secundário, configure o Transporte secundário:
- Automático - O Socket escolhe automaticamente a opção de transporte secundário
- Nenhum - Apenas envie tráfego pelo transporte principal (os transportes fora da nuvem)
- Cato - O Socket utiliza a Cloud Cato como a opção de transporte secundário
-
- Clique em Aplicar.
-
Clique em Salvar.
As mudanças são salvas na sua revisão não publicada e estão disponíveis para edição até que sejam publicadas ou descartadas.
Para Sockets com vários links, você pode configurar implantações ativas/ativas e ativas/passivas para tráfego fora da nuvem. Se você optar por ativar apenas um Link para tráfego Fora da Nuvem, e se esse Link não puder enviar tráfego, as conexões Fora da Nuvem seguem a opção de Transporte Secundário nas Configurações de Transporte para a Regra de Rede.
Para um conhecimento técnico detalhado sobre Sockets com vários links, veja Parte 1: As Interfaces Socket e a Precedência.
Em implantações ativas/passivas, os links do Socket são definidos em diferentes precedências e fornecem alta disponibilidade para o site. A cada poucos segundos, o Socket avalia a qualidade do link ativo - se a integridade do link ativo se degradar, então o Socket gradualmente move o tráfego para o link passivo. Quando a qualidade do link é restaurada, o Socket retoma o envio de tráfego pelo link ativo. Da mesma forma, se o link ativo cair, os fluxos de tráfego são transferidos para o link passivo até que o link ativo seja restaurado. Estas são as métricas mínimas de qualidade do link:
- Perda de Pacotes - 3%
- Variação - 30 ms
- Latência - 600 ms
Se um link não conseguir atender a uma das métricas acima, o tráfego é movido gradualmente para o outro link. A cada 10 segundos, o Socket avalia os links e escolhe o melhor link para o tráfego. Assim, se o Socket falhar para o link passivo, então ele espera pelo menos 10 segundos antes de retornar ao link ativo.
Em algumas situações, falhar para o link passivo pode criar tráfego assimétrico entre dois sites. Por exemplo, site1 e site2 estão ambos configurados para implantações ativas/passivas. Se site1 falhar sobre o link passivo, site1 envia tráfego sobre WAN2, e site2 envia tráfego sobre WAN1. Outra situação é quando um site está configurado em uma implantação ativa/ativa, e o outro lado é ativo/passivo. O link ativo único em um site envia tráfego para ambos os links ativos no outro site.
Em implantações ativas/ativas, ambos os links do Socket são definidos com a mesma precedência e fornecem alta disponibilidade e balanceamento de carga para o site. Para cada fluxo de tráfego, o Socket monitora continuamente cada link e escolhe a melhor opção.
Defina as Configurações do Socket para configurar os links para enviar tráfego fora da nuvem como uma implantação ativa/ativa ou ativa/passiva.
Para configurar um site para tráfego ativo/ativo ou ativo/passivo fora da nuvem:
- No menu de navegação, selecione Rede > Locais, e selecione o local.
- No menu de navegação, selecione Configurações do Site > Socket.
-
Ative o tráfego Fora da Nuvem para este site.
O controle deslizante fica cinza quando esta opção está desativada.
- Configure as configurações para o link WAN 1:
-
Clique no link.
O painel Editar Interface de Soquete abre.
- Na seção Geral, defina a Precedência como 1 (Ativo).
- Expanda a seção Fora da Nuvem.
- No menu suspenso Status do Tráfego, selecione Ativado.
- (Opcional) Digite o IP Público e o número de Porta Estática para o link fora da nuvem.
- Clique em Aplicar. As configurações fora da nuvem para o link WAN1 são atualizadas.
-
-
Repita a etapa 4, e configure as configurações para o link WAN 2:
- Para ativo/passivo, defina a Precedência como 2 (Passivo).
- Para ativo/ativo, defina a Precedência como 1 (Ativo).
- Clique em Salvar. As configurações fora da nuvem para o site estão configuradas.
Você pode mostrar análises e status para o tráfego e túneis fora da nuvem, na tela Fora da Nuvem.
Para mostrar as análises Fora da Nuvem para um site:
- No menu de navegação, clique em Rede > Locais e selecione o site.
- No menu de navegação, clique em Monitoramento do Site > Fora da Nuvem.
A tela Eventos mostra todos os eventos de transporte fora da nuvem para sua conta. As poderosas ferramentas de busca permitem fazer buscas profundas e identificar os poucos eventos que contêm os dados relevantes que você precisa.
Você pode saber mais sobre como usar a tela de Eventos aqui. Você pode usar a predefinição Proteção de Dados da API de Segurança SaaS para filtrar os eventos.
| Sub-Tipo de Evento | Descrição |
|---|---|
| Conexão de Transporte Fora da Nuvem | O site se conecta ao túnel fora da nuvem (geralmente a conexão inicial) |
| Desconexão de Transporte Fora da Nuvem | O transporte fora da nuvem para o site desconecta-se |
0 comentário
Por favor, entre para comentar.