Trabalhando com Configuração Avançada para a Conta

Este artigo explica como personalizar um recurso de Configuração Avançada para a conta inteira.

Visão Geral da Configuração Avançada para a Conta

As opções na página de Configuração Avançada oferecem controle granular aumentado sobre diferentes configurações na sua conta. A tela também mostra o valor padrão para cada uma das configurações desativadas.

Quando você desativa uma configuração avançada, ela retorna ao valor padrão. No entanto, o valor personalizado é salvo e se você habilitar a configuração mais tarde, o valor personalizado pode ser usado.

AdvConfig.png

Para configurar recursos de configuração avançada para uma conta:

  1. No menu de navegação, clique em Recursos > Configuração Avançada.

  2. Na coluna Status, use a opção de alternância para habilitar ou desabilitar o status de cada configuração (verde está habilitado, cinza está desabilitado).

  3. Para configurar ou editar o valor de uma configuração, clique no nome da configuração na coluna Nome.

    O painel de Editar <Nome da Configuração> abre.

  4. No painel Editar, você pode:

    • Digitar ou selecionar um Valor

    • Digite ou edite um Comentário para explicar o motivo dessa configuração avançada (Recomendado)

  5. Clique em Aplicar. A alteração para a configuração avançada é adicionada à tela.

  6. Clique em Salvar. As configurações de configuração são salvas.

Precedência para Configuração Avançada com Sites e Configurações de Usuários VPN

Quando você configura o recurso avançado para um site ou um usuário SDP, ele substitui a configuração para a conta na página de Configuração Avançada. A tabela a seguir mostra cada recurso avançado e se ele se aplica a um site ou um usuário SDP.

Nome do Recurso

Aplica-se a

Bloquear Roteamento Local quando Desconectado do PoP

Sites (apenas para Sockets)

Valor de Tráfego Recebido

Sites (apenas para Sockets)

Valor de Enviada

Sites (apenas para Sockets)

IKEv2 Enviar Única TS por Carga

Sites (apenas IPsec IKEv2)

Endereço IP Preferido para Tráfego SIP

Locais

Recuperação via Internet

Sites (apenas para Sockets)

Revogar Certificados por Número de Série

Todos os Usuários SDP

SIP ALG

Locais

Aceleração TCP em SYN para Tráfego WAN

Sites e Usuários SDP

Algoritmo de Congestionamento TCP

Apenas Global

Verificar OID no Certificado de Dispositivo

Todos os Usuários SDP

Modo de Escritório VPN

Todos os Usuários SDP

Frequência de Manter Vivo da WAN

Sites (apenas para Sockets)

Recuperação WAN

Sites (apenas para Sockets)

Você pode configurar as seguintes configurações apenas para sites individuais (não como uma configuração global para a conta):

  • Socket para PoP Máx MTU (aplica-se apenas a Sockets físicos)

Para mais informações sobre Configuração Avançada para sites, veja Configurações Avançadas para um Site.

Habilitando Usuários SDP para Configurar o Modo de Escritório VPN

Quando um usuário SDP está trabalhando em um escritório que está atrás de um Socket Cato, o Cliente Cato conecta-se automaticamente a esse site. Este comportamento é chamado de modo de escritório VPN e é habilitado por padrão para todas as contas. Sem o modo de escritório, quando o Cliente Cato conecta-se à VPN atrás de um Socket Cato, o Cliente conecta-se com um túnel VPN-dentro-do-túnel que geralmente tem um impacto negativo no desempenho.

Com o modo de escritório, o Cliente Cato conecta-se à Nuvem Cato usando o túnel de Socket e é tratado como um host regular para esse site. O Cliente recebe as configurações de redes e segurança do site e impede o uso de um túnel VPN-dentro-do-túnel.

Às vezes, o modo de escritório pode impedir que alguém que está visitando um escritório filial se conecte a recursos em um escritório diferente, como a sede. Você pode optar por permitir que Usuários SDP configurem o comportamento do Cliente Cato para o modo de escritório.

Para mais informações sobre como permitir que Usuários SDP configurem o Modo de Escritório para seus clientes, consulte Configurando o Modo de Escritório.

Configurando Recuperação WAN para a Conta

Para melhorar a resiliência da sua rede, o recurso de Recuperação WAN fornece suporte se houver problemas de conectividade na Nuvem Cato, e os Sockets Cato não puderem usá-la para enviar tráfego WAN para outros sites. Esta funcionalidade usa automaticamente túneis de contorno para manter a conectividade com os outros sites de Socket. Quando os Sockets restabelecem conectividade com a Nuvem Cato, eles retomam automaticamente a operação regular.

Nota

Nota: O tráfego Fora da Nuvem deve ser ativado nos links WAN do Socket para suportar a Recuperação WAN.

Durante a recuperação da rede, o tráfego WAN contorna a Nuvem Cato e estas são as mudanças no tráfego:

  • O Aplicativo de Gerenciamento Cato não analisa dados de conectividade e não gera alertas para a saúde ou qualidade da rede

  • Os firewalls de WAN e Internet não são aplicados ao tráfego

  • Os Serviços de Proteção contra Ameaças não são aplicados ao tráfego

Para configurar a configuração de Recuperação WAN, veja acima Configurações avançadas da conta com estes valores:

  • Desabilitado - Configuração global padrão. Sockets estabelecem túneis com outros sites de Socket e usam mensagens keep-alive para manter os túneis. A recuperação está ativada por padrão para todos os sites de Socket na conta.

  • Ativado e Ligado - A conta está configurada para fornecer recuperação para tráfego WAN para outros sites. A funcionalidade é a mesma de Desabilitado.

  • Ativado e Desligado - A recuperação NÃO está habilitada para essa conta e túneis de contorno NÃO são suportados ou mantidos.

Nota

Nota: Os eventos gerados pelo recurso de Recuperação WAN são descritos como Recuperação Fora da Nuvem.

Para mais informações sobre como configurar a configuração global de Recuperação WAN para sites específicos, consulte Configurações Avançadas para um Site.

Configurando Recuperação via Internet para a Conta

Para melhorar a resiliência do tráfego de Internet, o recurso Recuperação via Internet fornece suporte se houver problemas de conexão com a Nuvem Cato, e o Socket Cato não puder usá-la para tráfego para a Internet. Quando ativado, este recurso recupera automaticamente a conectividade com a Internet com os links do ISP para enviar tráfego para a Internet.

Durante a recuperação temporária da Internet, o tráfego de Internet contorna a Nuvem Cato e estas são as mudanças no tráfego:

  • As regras do Firewall de Internet não são aplicadas ao tráfego

  • Os Serviços de Proteção contra Ameaças não são aplicados ao tráfego

  • O Aplicativo de Gerenciamento Cato não analisa dados de conectividade e não gera alertas para tráfego de Internet

Para configurar a definição de Recuperação de Internet, veja acima, Configurando Configurações Avançadas para a Conta com estes valores:

  • Desabilitado - Configuração global padrão. A recuperação está ativada por padrão para todos os sites de Socket na conta. Recomendamos que você use essa configuração.

  • Ativado e Ligado - A conta está configurada para fornecer recuperação para todo o tráfego para a Internet. A funcionalidade é a mesma de Desabilitado.

  • Ativado e Desligado - O recurso de Recuperação via Internet está DESABILITADO para essa conta.

Nota

IMPORTANTE! Recomendamos que você sempre ative o recurso Recuperação via Internet e selecione a opção Ligado ou Desligado para gerenciar a recuperação para tráfego da Internet. Quando este recurso está desativado, se o Socket não puder se conectar à Nuvem Cato, então ele não roteia o tráfego para a Internet.

Para mais informações sobre como configurar a configuração global de Recuperação de Internet para um site específico, consulte Configurações Avançadas para um Site.

Usando o Mesmo Endereço IP de Saída (Preferido) para Tráfego VoIP e SIP

Se você trabalha com um UCaaS e tem uma regra de rede de saída para tráfego VoIP ou SIP, às vezes o UCaaS (como o RingCentral) tem problemas se o endereço IP mudar. Quando o recurso IP Preferido para Tráfego SIP está habilitado, o tráfego VoIP e SIP sempre utiliza o mesmo endereço IP de saída.

 

Nota

Nota: Você deve ter uma Regra de Rede de Saída para tráfego VoIP ou SIP para usar este recurso.

Sites IKEv2 Enviando um TS Único por Payload

Ao criar um SA filho, a Cato envia múltiplos seletivos de tráfego (TS) na mesma carga de TS de acordo com o RFC 7295. Algumas soluções de terceiros, como o Cisco ASA, suportam apenas um único TS em cada SA filho. Um Cisco ASA enviará uma mensagem TS_INACEITÁVEL em resposta a uma proposta da Cato para criar um SA filho com múltiplos TS.

Quando o Enviar Único TS por Carga no IKEv2 está ativado e definido como Ligado, apenas um único TS é enviado em cada SA filho. Está desativada por padrão.

Bloqueando Roteamento Local quando Sites estão Desconectados de um PoP

Por padrão, o tráfego dentro de um site (por exemplo, entre VLANs) é roteado via o PoP da Cato, que inspeciona o tráfego. O tráfego flui do VLAN para o PoP na Cato Cloud e depois para o outro VLAN.

Se um site estiver temporariamente desconectado da Cato Cloud, o comportamento padrão é fail-open. O tráfego flui do VLAN diretamente para o outro VLAN sem ser inspecionado. Você pode alterar o comportamento padrão a nível global da conta para fail-closed, de modo que por padrão todos os sites Socket bloqueiem o tráfego de roteamento local quando se desconectarem do PoP. Requer Socket v15.0 ou superior.

Nota

Nota: Para locais configurados com regras de Firewall LAN ou Roteamento Local, essas regras têm precedência sobre a configuração Bloqueie o Roteamento Local quando desconectado do PoP. Portanto, esta configuração NÃO se aplica a tráfego que corresponda às regras.

Para configurar a definição de Bloquear Roteamento Local quando desligado de PoP, veja acima Visão geral da Configuração Avançada para a Conta com estes valores:

  • Desabilitado - Configuração global padrão. O roteamento de tráfego dentro de um site compatível é permitido quando o site está desconectado do PoP. Este é um comportamento de fail-open.

  • Habilitado e Ligado - O roteamento de tráfego dentro de um site compatível é bloqueado quando o site está desconectado do PoP. Este é um comportamento de fail-closed.

  • Habilitado e Desligado - O roteamento de tráfego dentro de um site compatível é permitido quando o site está desconectado do PoP. Este é um comportamento de fail-open. A funcionalidade é a mesma que Desabilitado.

O diagrama a seguir mostra o comportamento do roteamento local:

Block_Local_Routing.png

Verificando OID em Certificados de Dispositivos

Verificar OID em Certificado de Dispositivo melhora as verificações de Certificado de Dispositivo. Quando ativado, você pode definir uma lista de OIDs de certificados de dispositivos que podem se conectar à sua rede. Apenas dispositivos que se autenticam com um certificado que corresponda a um OID definido podem se conectar. Separe múltiplos OIDs com um ponto e vírgula e no seguinte formato:

  • cert_ext_obj(cert, "&lt;extension_key&gt;") == "&lt;OID_value1&gt;;&lt;OID_value2&gt;"

A chave de extensão e os valores OID podem ser encontrados usando as ferramentas de certificado certutil ou openssl x509.

Este recurso está desabilitado por padrão. Os usuários SDP podem não conseguir se conectar à sua Rede se você ativar esta configuração sem configurar corretamente os certificados do seu dispositivo.

Revogando Certificados por Número de Série

Revogar Certificados por Número de Série melhora as verificações de Certificado de Dispositivo. Quando ativado, você pode definir uma lista de números de série de certificados bloqueados. Dispositivos que se autenticam com um certificado que corresponde a um número de série definido são bloqueados.

  • Cada número de série deve estar em um formato com um delimitador (1a:2b:3c:4d ...)

  • Separe múltiplos números de série com uma vírgula

    Não há limite para a quantidade de números de série que você pode revogar

Este recurso está desabilitado por padrão. Os usuários SDP podem não conseguir se conectar à sua Rede se você ativar esta configuração sem configurar corretamente os certificados do seu dispositivo.

Modificando Modo de Proxy TCP WAN

TCP Proxy permite que você modifique o modo de proxy TCP do seu WAN para iniciar nos primeiros pacotes SYN para cada conexão OU para atrasar e iniciar o proxy TCP do WAN após a realização do handshake TCP. Para mais informações sobre o modo de proxy TCP, veja Explicação da Aceleração TCP da Cato e Melhores Práticas.

Para configurar a definição de Aceleração TCP no SYN para tráfego WAN, veja acima Visão geral da Configuração Avançada para a Conta com estes valores:

  • Ligado - Proxy TCP WAN completo.

  • Desligado - Preservar a negociação TCP WAN original e atrasar o proxy TCP.

Modificando Valor de Burstiness

Micro-explosões são caracterizadas por um súbito aumento de pacotes ou quadros de dados que ocorrem em um período de tempo muito curto.

Quando as micro-explosões excedem o limite de taxa de um site em um curto tempo, pode ocorrer perda de pacotes devido a descartes excessivos de pacotes pelo Provedor da Última Milha (ISP).

Valor da explosividade downstream e Valor da explosividade upstream permitem que você ajuste como seus sites lidam com micro-explosões na rede, modificando os valores dos níveis de explosividade nas direções downstream ou upstream. Modificar os valores do nível de explosividade pode mitigar a perda de pacotes causada por explosividade, aplicando uma política de modelagem mais agressiva ou mais permissiva para micro-explosões. O valor padrão de explosividade depende da largura de banda da interface:

  • Para largura de banda de interface de 40 Mbps e acima, o valor padrão é 0,2

  • Para largura de banda de interface abaixo de 40 Mbps, o valor padrão é 0,1

Para mais sobre explosividade e perda de pacotes, consulte Como solucionar perda de pacotes no site de Socket.

Nota

Notas:

  • Todos os Sockets devem estar em execução na versão 12.0 e acima para suportar a configuração de explosividade.

  • O novo valor é aplicado somente após reiniciar o túnel.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário