Configurando Regras de Rede

Este artigo discute como usar a tela Regras de Rede para gerenciar e priorizar o tráfego em sua conta.

Para mais informações sobre regras de rede e Cato, veja O que é o Banco de Regras da Rede Cato.

Trabalhando com Múltiplos Objetos em uma Única Regra

As colunas Origem, App/Categoria, e Destino formam uma relação E: a regra é acionada somente se o tráfego corresponder aos critérios definidos nas três colunas.

Quando há múltiplos itens dentro de uma coluna, há uma relação OU: a regra é aplicada se o tráfego corresponder aos critérios definidos para qualquer um dos itens. Por exemplo, uma regra que definiu App/Categoria como TCP com porta 443, essa regra corresponde a todo o tráfego TCP OU tráfego que usa a porta 443 tanto TCP quanto UDP.

Criando uma Regra de Rede

As regras de rede são avaliadas de acordo com sua ordem de aparecimento na lista de regras de rede, a melhor prática é rolar pela lista até a posição requerida da nova regra e adicioná-la acima ou abaixo de uma regra existente. Alternativamente, você pode adicionar uma nova regra ao final da lista e movê-la para a posição desejada.

Quando você configura a Origem (tipo de tráfego) para uma regra de rede, você pode usar objetos globais, como categorias de aplicações ou alcances globais, para definir o tipo de tráfego que corresponde à regra.

NetworkRules.png

Para criar uma regra de rede WAN ou Internet:

  1. No menu de navegação, clique em Rede > Regras de Rede.

  2. Clique em Novo. O painel Adicionar Regra de Rede é aberto.

  3. Na seção Geral, configure as seguintes configurações para a regra:

    1. Digite o Nome para a regra.

    2. No menu suspenso Tipo de Regra, selecione se esta regra é para tráfego WAN ou Internet.

    3. Habilite ou desabilite a regra usando o controle deslizante (verde está habilitado, cinza está desabilitado).

    4. Configure a Ordem da Regra que define onde a regra aparece na base de regras de rede.

      Novas regras são adicionadas ao fim da base de regras. Você pode alterar a ordem em que esta regra é aplicada.

  4. Expanda a seção Origem e selecione um ou mais objetos para a origem do tráfego para esta regra (ou você pode inserir um endereço IP).

    1. Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Faixa de IP, ou Qualquer). O valor padrão é Qualquer.

    2. Quando necessário, selecione um objeto específico na lista suspensa para esse tipo.

  5. Para regras de tráfego WAN, expanda a seção Destino e selecione um ou mais objetos para o destino do tráfego para esta regra.

  6. Expanda a seção App/Categoria e selecione um ou mais aplicativos para a regra.

    Quando há mais de um objeto de App/Categoria em uma regra, há uma relação OU entre eles. O valor padrão é Qualquer.

    Para uma explicação detalhada de cada uma das opções na seção App/Categoria, veja Referência para Objetos de Regra.

  7. Na seção Configuração, você pode configurar as seguintes configurações para a regra de rede (veja as explicações abaixo):

  8. Clique em Aplicar. O painel se fecha e as configurações são atualizadas na base de regras.

  9. Clique em Salvar. A nova regra de rede é salva.

Alterando as Prioridades de Largura de Banda (QoS) para uma Regra

Por padrão, novas regras são atribuídas à prioridade padrão, a qual você pode alterar conforme as necessidades de QoS da sua rede.

Quanto menor o número da prioridade, maior a prioridade de QoS para a regra. Por exemplo, uma regra com prioridade 10 tem uma prioridade de QoS maior do que uma regra com prioridade 40.

Para mais informações sobre como definir as políticas de largura de banda para sua conta, consulte Configuração de Perfis de Gerenciamento de Largura de Banda.

Para alterar a prioridade da largura de banda para uma regra:

  1. No menu de navegação, clique em Network > Network Rules.

  2. Clique na regra de rede. O painel Editar Regra de Rede é aberto.

  3. Expanda a seção Configuração.

  4. Na seção Gerenciamento de Largura de Banda, no menu suspenso Prioridade de Largura de Banda, selecione a prioridade de QoS para esta regra.

  5. Clique em Aplicar. O painel se fecha e as configurações são atualizadas na base de regras.

  6. Clique em Salvar. A prioridade de largura de banda para a regra é salva.

Configurando as Opções de Transporte e Roteamento

Esta seção explica como configurar as opções de transporte para uma regra de rede e fazer a saída do tráfego para uma localização ou endereço IP específico.

Personalizando as Opções de Transporte para uma Regra

As regras de rede são configuradas globalmente. Se um site específico não tiver o transporte especificado, o Socket da Cato trata essa configuração como se estivesse configurada para Automático.

Se você selecionar transportes/NICs explícitos, o motor QoS monitora a perda de pacotes, variação e latência. se ocorrer congestionamento, os pacotes serão descartados. Se você selecionar transportes automáticos, o motor QoS monitora o congestionamento além da perda de pacotes, variação e latência.

WAN Alternativa não é suportada para Fora da Nuvem como um transporte secundário. Você não pode configurar uma regra de rede com WAN Alternativa como o transporte primário que muda para Fora da Nuvem.

TransportOptions.png

  • Regras de WAN têm as seguintes configurações padrão:

    • Transporte Primário: Cato.

    • Transporte Secundário: Automático (considerando transportes adicionais como MPLS, se aplicável).

    • Função do Interface Principal: Automático.

    • Função da Interface Secundária: Nenhum (desativada conforme tratada pela configuração Automático para NIC Principal).

    • Rota/NAT: - (não aplicável para regras WAN).

  • Regras de Internet têm as seguintes configurações padrão:

    • Transporte Primário: Cato.

    • Transporte Secundário: Nenhum (outros transportes não podem ser usados atualmente).

    • Função do Interface Principal: Automático.

    • Função da Interface Secundária: Nenhum (desativado conforme tratado pela configuração Automática para NIC Principal).

    • Rota/NAT: Nenhum.

Para personalizar as opções de transporte para uma regra de rede:

  1. No menu de navegação, clique em Network > Network Rules.

  2. Clique na regra de rede. O painel Editar Regra de Rede é aberto.

  3. Expanda a seção Configuração.

  4. Configure os campos de transporte conforme necessário: para encaminhar o tráfego via um transporte específico, você pode configurar seus transportes primário e secundário.

    O transporte primário será usado enquanto estiver ativo e disponível conforme determinado pelo motor de QoS da Cato. Se o transporte primário não estiver disponível, o transporte secundário é usado.

  5. Configure os campos Função da Interface (aplicável somente para tráfego roteado pela Nuvem Cato) conforme necessário.

    Para rotear o tráfego via um link específico, você pode configurar suas NICs primária e secundária. A Função da Interface Principal será usada enquanto estiver ativa e disponível conforme determinado pelo motor de QoS da Cato. Se a Função da Interface Principal não estiver disponível, a Função da Interface Secundária é usada.

  6. Clique em Aplicar. O painel se fecha e as configurações são atualizadas na base de regras.

  7. Clique em Salvar. As opções de transporte para a regra são salvas na conta.

Definindo o Método de Roteamento para uma Regra de Rede de Internet

Você pode configurar uma Regra de Rede de Internet com diferentes opções para saída do tráfego.

Melhores práticas: Para Regras de Rede de Internet que saem tráfego (com o NAT ou Rota via opção), recomendamos que você defina uma Fonte ou App/Categoria específica para a regra. Selecionar Qualquer como a Fonte ou App/Categoria roteia todo o tráfego da Internet e pode causar desempenho imprevisível.

  • Rota via - Permite que você selecione a localização do PoP de saída de onde o tráfego é enviado para a Internet
    Nota: Quando estiver saindo tráfego para Tóquio, ao selecionar uma localização PoP de Tóquio (como Tokyo_DC2) todas as localizações PoP de Tóquio são automaticamente adicionadas à Regra de Rede. As Faixas de IP são compartilhadas entre as Localizações PoP de Tóquio e garantem uma Experiência contínua para as Contas.

  • NAT - Permite que você saia tráfego por um endereço IP alocado pela Cato específico e sua localização PoP. O tráfego que corresponde a esta regra é traduzido para esse IP e saído pelo PoP relevante. Tanto o NAT quanto a Rota via roteam o tráfego por um PoP específico, no entanto, o NAT permite que você especifique o IP para o qual o tráfego é traduzido.

  • Backhaul via - Sai o tráfego da Internet por um ou mais Sites de Gateway de Retorno

    Para mais informações, veja estes artigos sobre Encaminhamento de Tráfego de Internet.

Para Rota via e NAT, quando você configura múltiplos IPs de saída, o tráfego usa o IP de saída para a Localização do PoP que é mais próxima da fonte

Método de Roteamento NAT - Preservando a Porta de Origem

Por padrão, quando o PoP realiza o NAT sobre o tráfego da Internet, ele modifica a porta de origem e o IP de origem no cabeçalho IP. Em alguns casos, uma aplicação requer a preservação da porta de origem original no cabeçalho IP, por exemplo, o tráfego SIP. Quando você seleciona a opção Preservar porta de origem, o PoP preserva a porta de origem original no cabeçalho IP do pacote traduzido.

Routing_Method_Preserve_Source_Port.png

Nota

Nota: Se houver mais de um fluxo com a mesma porta de origem, isso cria um conflito na preservação da porta de origem para ambos os fluxos durante a tradução NAT. Em tais cenários, o PoP preserva a porta de origem do primeiro fluxo e aloca uma porta aleatória para o fluxo posterior.

Para definir o Método de Roteamento para uma regra de rede de Internet:

  1. No menu de navegação, clique em Rede > Regras de Rede.

  2. Clique na regra de rede. O painel Editar Regra de Rede se abre.

  3. Expanda a seção Configuração.

  4. No menu suspenso Rota/NAT, então selecione a opção de roteamento para o tráfego que coincide com a regra:

    • Rota via - para rotear tráfego via uma Localização do PoP específica da Cato Cloud, clique Domain_plus.png e selecione as Localizações de onde você está saindo com o tráfego.

    • NAT - para saída de tráfego para esta regra via um IP específico, clique Domain_plus.png e selecione os IPs Alocados dos quais você está saindo com o tráfego.

  5. (Opcional) Para usar a Porta de Origem original para o tráfego traduzido, selecione Preservar Porta de Origem.

  6. Clique em Aplicar. O painel se fecha e as Configurações são atualizadas na regra base.

  7. Clique em Salvar. As opções de Roteamento para a Regra são salvas.

Visualizando Eventos para uma Regra

Você pode mostrar os Eventos para uma Regra de Rede específica usando Ver Eventos da Regra. Quando você seleciona esta ação, a página de Eventos se abre e está pré-filtrada para todos os Eventos que correspondem a essa Regra.

Para ver Eventos para uma Regra:

  1. No menu de Navegação, clique em Rede > Regras de Rede.

  2. No lado direito, clique em more.png e selecione Ver Regras de Eventos.

A página de Eventos é exibida com os Eventos para a regra relevante já filtrados.

rule-event.png

Personalizar a Aceleração & Otimização para uma Regra

  • A Aceleração TCP não afeta o tráfego não-TCP (tráfego baseado em UDP) que faz parte de uma Regra de Rede.

  • Quando as Configurações de Rota/NAT ou Inspeção TLS estão em vigor, isso implica que a Cato habilita o proxy TCP no tráfego.

  • A regra padrão de Rede implícita para o Cato Cloud é agir como um proxy TCP. Assim, se nenhuma regra anterior corresponder ao tráfego, o proxy TCP é aplicado.

  • A Aceleração TCP está desativada (acinzentada) para regras que utilizam WAN Alternativa como transporte principal ou secundário.

Para mais sobre acelerar o tráfego na Cato Cloud, consulte Acelerar e Otimizar o Tráfego.

Para mais sobre mitigação de perda de pacotes, veja Mitigação de Perda de Pacotes para Links Multi-Túnel.

Para definir a Aceleração e Otimização para uma Regra:

  1. No menu de Navegação, clique em Rede > Políticas de Configuração de Rede.

  2. Clique na Regra de Rede. O painel Editar Regra de Rede é aberto.

  3. Expanda a Seção Configuração.

  4. Selecione Aceleração TCP Ativa para habilitar o PoP para atuar como um Servidor Proxy TCP para tráfego que corresponda a esta Regra.

  5. Selecione Mitigação de Perda de Pacotes, para habilitar a duplicação de Pacotes para ajudar a mitigar o Impacto da perda de Pacotes para o tráfego que corresponda a esta Regra.

  6. Clique em Aplicar. O painel se fecha e as Configurações são atualizadas na regra base.

  7. Clique em Salvar. As Configurações de Aceleração e Otimização são salvas.

Adicionando uma Exceção

Você define o tráfego que é uma Exceção para a Regra de Rede e a Regra não é aplicada à Exceção. Defina a Exceção de tráfego com o Objeto (entidade) para a Fonte, Aplicativo/Categoria e Destino. Exceções com múltiplos objetos têm o mesmo comportamento que as regras de rede, veja acima Trabalhando com Múltiplos Objetos em uma Única Regra.

NetworkRuleExceptions.png

O Exemplo acima tem uma Regra de Rede para qualquer tráfego que corresponda à Categoria VoIP Video. Há uma exceção para esta regra para o tráfego que corresponde a AMBAS as condições:

  • Fonte é o site de exemplo 1500

  • Aplicação é Skype e MS Teams

Para adicionar uma exceção a uma regra de rede:

  1. No menu de navegação, clique em Rede > Políticas de Configuração de Rede.

  2. Clique na regra de rede. O painel Editar Regra de Rede é aberto.

  3. Expanda a seção Fonte, Aplicação/Categoria ou Destino, e clique em Adicionar Exceções.

    Network_Source_Exception.png

  4. Defina as exceções para a seção:

    1. No menu suspenso, selecione o tipo de tráfego para a exceção.

      A captura de tela acima, mostra como adicionar uma exceção para um host específico.

    2. Selecione um objeto específico da lista suspensa para esse tipo.

    3. Repita os dois passos anteriores para definir objetos adicionais para a exceção.

      Múltiplos objetos em uma seção têm uma relação OU.

  5. Se necessário, repita o passo 4 para definir exceções para as outras seções.

    Os objetos em múltiplas seções têm uma relação E.

  6. Clique em Aplicar. O painel se fecha e as configurações são atualizadas na base de regras.

  7. Clique em Salvar. As exceções para a regra são salvas.

Exportando Regras de Rede para um Arquivo CSV

Você pode gerar um arquivo CSV que contém todos os dados das regras de rede de acordo com a base de regras da sua conta.

Nota

Note: Only Cato Management Application admins with Editor role have permissions to export to a CSV file. For more about configuring admin roles, see Managing Administrators.

Para exportar a política de Regras de Rede:

  1. No menu de navegação, clique em Rede > Políticas de Configuração de Rede.

  2. Clique em Exportar, e na janela pop-up clique em OK.

  3. Selecione o local para o arquivo CSV e salve o arquivo.

Entendendo o Conteúdo do Arquivo Exportado

A linha superior no arquivo CSV exportado lista os nomes dos campos e opções para as regras na base de regras relevante. Então as regras em si são listadas de acordo com a prioridade, começando pelo menor valor numérico.

O arquivo CSV contém as seguintes colunas:

Item

Descrição

Prioridade

Prioridade da regra dentro da base de regras

Status da Regra

A Regra está habilitada ou desabilitada

Tipo

Tipo de Regra é WAN ou Internet

Nome

Nome da regra de rede

Fonte

Fonte de tráfego para esta regra

App/Categoria

Itens que se aplicam a esta regra (aplicações, categorias, serviços, etc.)

Destino

Destino de tráfego para esta regra

Prioridade de Largura de Banda

O perfil de Gerenciamento de Largura de Banda para esta regra

Roteamento

O tipo de roteamento aplicado para esta regra (NAT, Backhauling, etc.). Relevante apenas para regras de rede de Internet

Transporte

O tipo de transporte para esta regra (transporte de interface WAN, transporte principal e secundário)

Aceleração & Otimizações

As configurações de otimização estão habilitadas ou desabilitadas (Aceleração TCP e Mitigação de Perda de Pacotes)

Esse artigo foi útil?

Usuários que acharam isso útil: 2 de 2

0 comentário