Configurações Avançadas para um Site

Este artigo explica como personalizar uma Configuração Avançada para um site específico.

Usando Configurações Avançadas para um Site

A seção de Configuração Avançada para um site permite configurar funcionalidades e configurações avançadas para esse site. Os recursos disponíveis na seção dependem do Tipo de Conexão para o site. Para mais informações sobre o uso de funcionalidades avançadas, veja Trabalhar com Configuração Avançada para a Conta.

Quando uma configuração avançada é desativada, ela está sendo configurada para usar a configuração global.

Para configurar uma funcionalidade avançada para um Site:

  1. No menu de navegação, clique em Network > Sites e selecione o site.

  2. No menu de navegação, clique em Configuração Avançada.

  3. Na coluna Status, use o toggle para habilitar ou desabilitar o status de cada configuração (verde está ativado, cinza está desativado).

  4. Para configurar ou editar o valor de uma configuração, clique no nome da configuração na coluna Nome.

    O painel Editar <Nome da Configuração> se abre.

  5. No painel Editar, você pode:

    • Digite ou selecione um Valor

    • Digite ou edite um Comentário para explicar o motivo desta configuração avançada (Recomendado)

  6. Clique em Aplicar. A mudança para a configuração avançada é adicionada à tela.

  7. Clique em Salvar. As configurações de configuração são salvas.

Trabalhando com Configurações de Conta e Site

Existem alguns recursos na seção de Configuração Avançada que você pode configurar para um site específico ou para todos os sites em sua conta. Quando você configura a funcionalidade avançada para um site, ela substitui a configuração da conta (em Ativos > Configuração Avançada). Alguns recursos são suportados apenas para sites Socket. Por exemplo, a funcionalidade alpha é suportada apenas para Sockets. Se você configurar a funcionalidade alpha para toda a conta, ela é relevante apenas para sites Socket.

Configurando Recuperação WAN para um Site

Para melhorar a resiliência da sua rede, o recurso de Recuperação WAN fornece suporte se houver problemas de conectividade na Cato Cloud e os Sockets não puderem usá-la para enviar tráfego WAN para outros sites. Este recurso usa automaticamente túneis de bypass para manter a conectividade com os outros sites Socket. Quando os Sockets restabelecem a conectividade com a Cato Cloud, eles automaticamente retomam a operação regular.

Nota

Nota: O tráfego Fora da Nuvem deve estar habilitado nos links WAN do Socket para suportar a Recuperação WAN.

Durante a recuperação temporária da WAN, o tráfego WAN ignora o Cato Cloud e estas são as mudanças no tráfego:

  • O Aplicativo de Gerenciamento Cato não analisa dados para conectividade e não gera alertas para saúde ou qualidade da rede

  • A pilha de segurança Cato (firewall e serviços de Segurança) não é aplicada ao tráfego

Para configurar a configuração Recuperação WAN, veja acima Usando Configurações Avançadas para um Site com estes valores:

  • Desativado - Este site usa a configuração que está configurada para a conta.

  • Ativado e Ligado - Este site é configurado para fornecer recuperação para tráfego WAN para outros sites. A funcionalidade é a mesma que Desativado.

  • Ativado e Desligado - A recuperação NÃO está habilitada para este site, e túneis de bypass NÃO são suportados ou mantidos.

Para mais informações sobre como configurar a configuração global de Recuperação WAN para todos os sites, veja Trabalhando com Configuração Avançada para a Conta.

Configurando Recuperação via Internet para um Site

Para melhorar a resiliência do tráfego de Internet, o recurso Recuperação via Internet fornece suporte se houver problemas para conectar ao Cato Cloud e o Cato Socket não puder usá-lo para tráfego para a Internet. Quando ativado, este recurso recupera automaticamente a conectividade com a Internet com os links ISP para enviar tráfego para a Internet.

Durante a recuperação temporária da Internet, o tráfego de Internet ignora o Cato Cloud e estas são as mudanças no tráfego:

  • Os firewalls de Internet e as regras de Filtragem de URL não são aplicadas ao tráfego

  • Os serviços de Proteção contra Ameaças não são aplicados ao tráfego

  • O Aplicativo de Gerenciamento Cato não analisa dados para conectividade e não gera alertas para o tráfego de Internet

Para configurar a configuração Modo de Recuperação, veja acima Usando Configurações Avançadas para um Site com estes valores:

  • Desativado - Este Site usa a configuração que está configurada para a conta.

  • Ativado e Ligado - Este Site está configurado para fornecer recuperação para todo o tráfego para a Internet. A funcionalidade é a mesma que Desativado.

  • Ativado e Desligado - A funcionalidade Modo de Recuperação está DESABILITADA para este Site.

Nota

IMPORTANTE! Recomendamos que você sempre ative a função Modo de Recuperação e selecione a opção Ligado ou Desligado para gerenciar a recuperação para o tráfego da Internet. Quando esta função está desabilitada, pode haver problemas com as configurações que são configuradas usando a Interface Web do Socket.

Configurando o MTU para Túneis DTLS para a Cato Cloud

Você pode configurar o MTU máximo para os túneis DTLS entre o Socket e o PoP na Cato Cloud. Para o tráfego dentro desses túneis DTLS, esse valor substitui o MTU configurado na Interface Web do Socket. Esta configuração é relevante apenas para Sockets físicos, e não se aplica a vSockets.

Use o campo Socket para PoP MTU máx. para configurar o MTU para os túneis DTLS, veja acima Usando Configurações Avançadas para um Site.

Bloqueando o Roteamento Local quando um Site está Desconectado do PoP

Por padrão, o tráfego dentro do site (por exemplo, entre VLANs) é roteado via o Cato PoP, que inspeciona o tráfego. Os fluxos de tráfego vão da VLAN para o PoP na Cato Cloud e depois para outra VLAN.

Se um site estiver temporariamente desconectado da Cato Cloud, o comportamento padrão é fail-open. O tráfego flui da VLAN diretamente para outra VLAN sem ser inspecionado. Você pode personalizar esse comportamento para um Site específico, de modo que o comportamento seja diferente da configuração padrão global para a conta. Requer Socket v15.0 ou superior.

Você também pode optar por definir o comportamento global a nível de conta para fail-closed, de modo que, por padrão, todos os sites Socket bloqueiem o tráfego de roteamento local quando se desconectam do PoP.

Nota

Nota: Para os Sites configurados com regras de Firewall LAN ou Roteamento Local, essas regras têm prioridade sobre a configuração Bloquear Roteamento Local quando Desconectado do PoP. Portanto, essa configuração NÃO se aplica ao tráfego que corresponde às regras.

Para configurar a configuração Bloquear Roteamento Local quando Desconectado do PoP, veja acima Usando Configurações Avançadas para um Site com estes valores:

  • Desativado - Este Site usa a configuração que está configurada para a conta.

  • Ativado e Ligado - O roteamento de tráfego dentro deste Site é bloqueado quando este Site está desconectado do PoP. Este é um comportamento fail-closed.

  • Ativado e Desligado - O roteamento de tráfego dentro deste Site é permitido quando este Site está desconectado do PoP. Este é um comportamento fail-open.

O diagrama a seguir mostra o comportamento do roteamento local:

Bloqueio_de_Roteamento_Local.png

Modificando o Modo Proxy WAN TCP

TCP Proxy permite que você modifique seu modo proxy WAN TCP para iniciar no primeiro pacote SYN de cada conexão OU para atrasar e iniciar o proxy WAN TCP após a conclusão do handshake TCP. Você pode ler mais sobre os dois modos de proxy TCP em Explicando a Aceleração TCP de Cato e Melhores Práticas.

Para alterar o Modo Proxy WAN TCP:

  1. Na página Configuração Avançada, clique na configuração TCP Proxy. O painel Editar configuração será aberto.

  2. Ative a configuração e selecione o valor do modo:

    1. Ligado - Proxy WAN TCP completo.

    2. Desligado - Preservando a negociação WAN TCP original e adiando o proxy TCP.

Modificando o Valor de Burstiness

Micro-bursts são caracterizados por um súbito aumento de pacotes ou quadros de dados que ocorrem dentro de um Período de Tempo muito curto.

Quando micro-bursts excedem o limite de taxa de um site em um curto período, pode ocorrer perda de pacotes devido a descartes excessivos de pacotes pelo Última Milha Provedor (ISP).

Valor de Burstiness Downstream e Valor de Burstiness Upstream permitem ajustar como seus sites lidam com micro-bursts na rede, modificando os valores de nível de burstiness para as direções de Downstream ou Upstream. Modificar os valores de nível de burstiness pode mitigar a perda de pacotes causada por burstiness aplicando uma política de modelagem mais agressiva ou mais permissiva para micro-bursts. O valor padrão de burstiness depende da largura de banda da Interface:

  • Para largura de banda de interface de 40 Mbps e acima, o valor padrão é 0,2

  • Para largura de banda de interface abaixo de 40 Mbps, o valor padrão é 0,1

Para mais informações sobre burstiness e perda de pacotes, veja Como Depurar Perda de Pacote em um Site de Sockets.

Para configurar a configuração de Valor de Burstiness para tráfego Upstream ou Downstream, veja acima Usando Configurações Avançadas para um Site.

Nota

Notas:

  • Todos os Sockets devem rodar na versão 12.0 ou superior para suportar a configuração de burstiness

  • O novo valor é aplicado somente após a reinicialização do túnel.

Modificando os Valores de Duração do IPsec

Fases do IPsec têm uma duração, que é o tempo durante o qual a Associação de Segurança (SA) é válida.

IPsec P1 Lifetime Seconds e IPsec P2 Lifetime Seconds são dois parâmetros de Configuração Avançada que permitem alterar a duração de cada fase para corresponder às configurações remotas para IKEv1 e IKEv2, respectivamente. Os valores de duração padrão dependem da fase:

  • Para Fase 1, os valores padrão são:

    • Para IKEv1: 86400

    • Para IKEv2: 19800

    Nota

    Nota: Por padrão, esses valores não são exibidos no Aplicativo de Gerenciamento Cato. Se você deseja definir esses valores, siga o procedimento descrito acima.

  • Para Fase 2, o valor padrão é 3600 para ambos IKEv1 e IKEv2.

A configuração é aplicada após a reinicialização do túnel ou após a expiração do tempo de vida atual da SA.

Para mais informações, veja os artigos de Sites IPsec.

Inserindo um Endereço MAC Estático

Alguns Dispositivos não têm ARP ativado por razões de Segurança. Para habilitar a Descoberta desses Dispositivos, agora você pode adicioná-los manualmente ao seu site fornecendo uma string JSON no seguinte Formato:

{ \"ifc_id\": \"LAN1\", \"ip\": \"10.10.10.1\", \"mac\": \"7c:05:1e:11:11:12\" }

Cada um dos Campos apresenta os seguintes parâmetros: 'ifc_id' especifica a Interface LAN, 'ip' é o Endereço IP do Dispositivo, e 'mac' é o Endereço MAC do Dispositivo."

  • ifc_id é a Interface LAN. No exemplo acima, LAN1

  • ip é o Endereço IP do Dispositivo. No exemplo acima, 10.10.10.1

  • mac é o Endereço MAC do Dispositivo. No exemplo acima, 7c:05:1e:11:11:12

A Configuração está Disponível para todos os Sites Socket versão 20 e posteriores.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário