Configurando Regras de Rede

Visão geral

As Políticas de Configuração de Rede permitem direcionar e priorizar o tráfego nas suas conexões WAN e Internet, proporcionando controle detalhado sobre o desempenho, roteamento e uso dos links. Ao criar regras baseadas em aplicação, fonte e destino, você pode garantir que o tráfego crítico receba o QoS adequado, otimizar para latência ou perda de pacotes, e escolher os melhores caminhos de transporte. Use a página Políticas de Configuração de Rede para definir a ordem das regras, aplicar configurações de aceleração e configurar comportamentos avançados de roteamento que se alinhem com seus requisitos de negócios e técnicos.

Para mais informações sobre regras de rede e Cato, veja O que são Políticas de Configuração de Rede?.

Trabalhando com Múltiplos Objetos em uma Única Regra

As colunas Fonte, App/Categoria e Destino formam uma relação E: a regra é ativada somente se o tráfego corresponder aos critérios definidos em todas as três colunas.

Quando há múltiplos itens dentro de uma coluna, há uma relação OU: a regra é aplicada se o tráfego corresponder aos critérios definidos para qualquer um dos itens. Por exemplo, uma regra que define App/Categoria com Serviço para TCP e para UDP, esta regra corresponde ao tráfego TCP ou UDP.

Revisões de Políticas e Edição Concorrente por Múltiplos Administradores

A página de Regras de Rede permite que diferentes admins editem a política em paralelo. Cada administrador pode editar regras e salvar as alterações na base de regras em sua própria revisão privada e, em seguida, publicá-las na política de conta (a revisão publicada). Para mais informações sobre como gerenciar revisões de política, consulte Trabalhando com Revisões de Política.

Ativando a Política de Regra de Rede

Controle se a política de Regra de Rede é aplicada usando a alternância Políticas de Configuração de Rede Ativada na página Políticas de Configuração de Rede. Quando a política está ativada, as regras configuradas são aplicadas para rotear e priorizar o tráfego em sua conta. Desativar a política interrompe imediatamente a aplicação dessas regras.

Para ativar a política de Regras de Rede:

No menu de navegação, clique em Rede > Políticas de Configuração de Rede.
Clique no interruptor ao lado de Políticas de Configuração de Rede Desativado.
Clique em Continuar na janela de confirmação. O interruptor fica verde quando a política está ativada.

Criando uma Regra de Rede

Para aplicar direcionamento de tráfego personalizado ou QoS para fluxos de tráfego WAN ou Internet específicos, crie uma regra de rede que defina o tráfego e como ele deve ser tratado. Políticas de Configuração de Rede são uma política ordenada, e eles são avaliados de acordo com sua ordem. Crie uma nova regra na posição correta, como antes ou depois de uma regra existente.

Ao configurar a Fonte, você define qual tráfego a regra se aplica. Você pode selecionar entre uma variedade de objetos globais, como faixas de IP, categorias de aplicação ou grupos de usuários, para corresponder ao tráfego relevante.

Cada regra inclui as seguintes opções de configuração:

Prioridade de Largura de Banda - Atribui uma prioridade de QoS ao tráfego para garantir o desempenho de fluxos críticos durante a congestão
Aceleração e otimização - Ativa a aceleração TCP e duplicação de pacotes para reduzir latência e perda de pacotes
Transporte Primário e Secundário - Define os tipos preferidos de transporte para roteamento de tráfego (Cato Cloud, Fora da Nuvem, ou Alt. WAN)
Método de Roteamento - O tráfego de saída de PoPs específicos, aloca IPs NAT, ou encaminhar o tráfego de Internet através de sites de gateway

Para criar uma regra de rede WAN ou Internet:

No menu de navegação, clique em Rede > Políticas de Configuração de Rede.
Clique em Novo > Nova Regra. O painel Adicionar Regra de Rede é aberto.
Na seção Geral, configure as seguintes configurações para a regra:
1. Insira o Nome para a regra.
2. Ative ou desative a regra usando o controle deslizante (verde é ativado, cinza é desativado).
3. Selecione a Posição para a nova regra.
4. No menu suspenso Tipo de Regra, selecione se essa regra é para tráfego WAN ou Internet.
Expanda a seção Fonte e selecione um ou mais objetos para a fonte de tráfego desta regra (ou você pode inserir um endereço IP).
1. Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Intervalo de IP, ou Qualquer). O valor padrão é Qualquer.
2. Quando necessário, selecione um objeto específico da lista suspensa para esse tipo.
Expanda a seção Critérios e adicione as condições do dispositivo à regra. Para mais informações, veja Adicionando Condições de Dispositivo às Regras de Firewall. Os valores padrão são Qualquer.
Para regras de tráfego WAN, expanda a seção Destino e selecione um ou mais objetos para o destino do tráfego desta regra.
Expanda a seção App/Categoria e selecione um ou mais aplicativos para a regra.

Quando há mais de um objeto de App/Categoria em uma regra, há uma relação OU entre eles. O valor padrão é Qualquer.

Para uma explicação detalhada de cada uma das opções na seção App/Categoria, veja Referência para Objetos de Regra.
Na seção Configuração, você pode configurar as seguintes configurações para a regra de rede (veja as explicações abaixo):
- Prioridade de Largura de Banda
- Transporte Primário e Transporte Secundário
Clique em Salvar. O painel fecha, e as configurações são atualizadas na base de regras.

As alterações são salvas na sua revisão não publicada e estão disponíveis para edição até serem publicadas ou descartadas.
Clique em Publicar. Uma janela de confirmação é aberta, clique em Publicar.

Alterando as Prioridades de Largura de Banda (QoS) para uma Regra

Por padrão, novas regras são atribuídas a prioridade padrão (p255), que você pode alterar de acordo com as necessidades de QoS da sua rede.

Quanto menor o número da prioridade, maior a prioridade de QoS para a regra. Por exemplo, uma regra com prioridade 10 tem uma prioridade de QoS maior do que uma regra com prioridade 40.

Para mais informações sobre como definir as políticas de largura de banda para sua conta, consulte Configuração de Perfis de Gerenciamento de Largura de Banda.

Para alterar a prioridade de largura de banda para uma regra:

No menu de navegação, clique em Rede > Políticas de Configuração de Rede.
Clique na regra de rede. O painel Editar Regra de Rede é aberto.
Expanda a seção Configuração.
Na seção Gerenciamento de Largura de Banda, no menu suspenso Prioridade de Largura de Banda, selecione a prioridade de QoS para esta regra.
Clique em Salvar. O painel fecha, e as configurações são atualizadas na base de regras.

As alterações são salvas na sua revisão não publicada e estão disponíveis para edição até serem publicadas ou descartadas.
Clique em Publicar. Uma janela de confirmação é aberta, clique em Publicar.

Configurando as Opções de Transporte e Roteamento

Esta seção explica como configurar as opções de transporte para uma regra de rede e fazer a saída do tráfego para uma localização ou endereço IP específico.

Personalizando as Opções de Transporte para uma Regra

As regras de rede são configuradas globalmente. Se um site específico não tiver o transporte especificado, o Socket trata essa configuração como se estivesse configurada para Automático.

Se você selecionar transportes/NICs explícitos, o mecanismo QoS monitora perda de pacotes, jitter e latência. Se ocorrer congestionamento, os pacotes são descartados. Selecionando Automático para os transportes, o mecanismo de QoS monitora o congestionamento além da perda de pacotes, variação e latência.

WAN Alternativa não é suportada para Fora da Nuvem como um transporte secundário. Você não pode configurar uma regra de rede com WAN Alternativa como o transporte primário que muda para Fora da Nuvem.

Regras de WAN têm as seguintes configurações padrão:
- Transporte Primário: Cato
- Transporte Secundário: Automático (considerando transportes adicionais como MPLS, se aplicável)
- Função da Interface Primária: Automático
- Função da Interface Secundária: Nenhum (desativado conforme configurado automaticamente para NIC Primária)
- Rota/NAT: - (não aplicável para regras WAN)
Regras de Internet têm as seguintes configurações padrão:
- Transporte Primário: Cato
- Transporte Secundário: Nenhum (não utilize outros transportes)
- Função da Interface Primária: Automático
- Função da Interface Secundária: Nenhum (desativado conforme configurado automaticamente para NIC Primária)
- Rota/NAT: Nenhum

Para personalizar as opções de transporte de uma regra de rede:

No menu de navegação, clique em Rede > Políticas de Configuração de Rede.
Clique na regra de rede. O painel Editar Regra de Rede é aberto.
Expanda a seção Configuração.
Configure os campos de transporte conforme necessário: para encaminhar o tráfego via um transporte específico, você pode configurar seus transportes primário e secundário.

O transporte primário será utilizado enquanto estiver ativo e disponível, conforme determinado pelo mecanismo de QoS da Cato. Se o transporte primário não estiver disponível, o transporte secundário é usado.
Configure os campos Função da Interface (aplicável somente para tráfego roteado pela Nuvem Cato) conforme necessário.

Para rotear o tráfego via um link específico, você pode configurar suas NICs primária e secundária. O Papel da Interface Primária é usado enquanto estiver ativo e disponível, conforme determinado pelo mecanismo QoS da Cato.

Se o Papel da Interface Primária não estiver disponível, o Papel da Interface Secundária é usado. Quando a Função da Interface Secundária está definida como Nenhuma, o comportamento é baseado na configuração para a Função da Interface Primária:
- Automático - o Socket faz o melhor esforço para enviar o tráfego sobre o transporte primário
- Qualquer outra função de interface - o Socket descarta o tráfego quando o transporte primário não está disponível
Clique em Salvar. O painel fecha, e as configurações são atualizadas na base de regras.

As alterações são salvas na sua revisão não publicada e estão disponíveis para edição até serem publicadas ou descartadas.
Clique em Publicar. Uma janela de confirmação é aberta, clique em Publicar.

Definindo o Método de Roteamento para uma Regra de Rede de Internet

Você pode configurar uma Regra de Rede de Internet com diferentes opções para saída do tráfego.

Melhor Prática: Para Regras de Rede de Internet que emitem tráfego (com a opção de NAT ou Roteamento via), recomendamos que você defina um Fonte ou App/Categoria específico para a regra. Selecionar Qualquer como a Fonte ou App/Categoria roteia todo o tráfego da Internet e pode causar desempenho imprevisível.

Rota via - Permite selecionar a localização do PoP de saída a partir do qual o tráfego é enviado para a Internet.

Nota: Ao enviar tráfego para Tóquio, selecionando uma localização PoP de Tóquio (como Tokyo_DC2), todas as localizações PoP de Tóquio são automaticamente adicionadas à Regra de Rede. As faixas de IP são compartilhadas entre as localizações PoP de Tóquio e garantem uma experiência sem interrupções para as contas.
NAT - Permite que você saia tráfego por um endereço IP alocado pela Cato específico e sua localização PoP. O tráfego que corresponde a esta regra é traduzido para aquele IP e sai via o PoP relevante. Tanto o NAT quanto a Rota via roteiam o tráfego por um PoP específico, no entanto, o NAT permite que você especifique o IP para o qual o tráfego é traduzido.
Backhaul via - Sai o tráfego da Internet por um ou mais Sites de Gateway de Retorno

Para mais informações, veja estes artigos sobre Encaminhamento de Tráfego de Internet.

Nota: Às vezes, todos os IPs de saída na Regra de Rede não estão disponíveis, como durante a janela de manutenção do PoP, e o PoP usa um endereço IP diferente para o fluxo de tráfego. Este cenário pode impactar a conectividade e a experiência do usuário. Recomendamos que você defina múltiplos IPs de saída para uma regra para minimizar o impacto.

Para Rota via e NAT, quando você configura múltiplos IPs de saída, o tráfego usa o IP de saída para a Localização do PoP que é mais próxima da fonte

Método de Roteamento NAT - Preservando a Porta de Origem

Por padrão, quando o PoP realiza NAT no tráfego da Internet, ele modifica a porta fonte e o IP fonte no cabeçalho IP. Em alguns casos, uma aplicação requer preservar a porta fonte original no cabeçalho IP, por exemplo, tráfego SIP. Quando você seleciona a opção Preservar porta de origem, o PoP preserva a porta de origem original no cabeçalho IP do pacote traduzido.

Nota: Se houver mais de um fluxo com a mesma porta de origem, isso cria um conflito na preservação da porta de origem para ambos os fluxos durante a tradução NAT. Em tais cenários, o PoP preserva a porta de origem do primeiro fluxo e aloca uma porta aleatória para o fluxo posterior.

Para definir o Método de Roteamento para uma Regra de Rede de Internet:

No menu de navegação, clique em Rede > Políticas de Configuração de Rede.
Clique na regra de rede. O painel Editar Regra de Rede é aberto.
Expanda a seção Configuração.
No menu suspenso Rota/NAT, selecione a opção de roteamento para tráfego que corresponde à regra:
- Rota Via - para rotear o tráfego por uma localização específica de PoP do Cato Cloud, selecione as Localizações de onde você está saindo o tráfego.
- NAT - para saída de tráfego para esta regra via um IP específico através de NAT, selecione os IPs Alocados de onde você está enviando tráfego.
  
  (Opcional) Para usar a Porta de Origem original para o tráfego traduzido, selecione Preservar Porta de Origem.
Clique em Salvar. O painel fecha, e as configurações são atualizadas na base de regras.

As alterações são salvas na sua revisão não publicada e estão disponíveis para edição até serem publicadas ou descartadas.
Clique em Publicar. Uma janela de confirmação é aberta, clique em Publicar.

Roteamento com PoPs para Throughput de 10Gbps

Para sites conectados a localizações PoP que suportam throughput de 10Gbps, recomendamos que você configure Rota Via ou NAT Regras de Rede para sair tráfego por outra localização PoP de 10Gbps. Caso contrário, pode haver impacto sobre o throughput do site.

Visualizando Eventos para uma Regra

Você pode mostrar os Eventos para uma Regra de Rede específica usando Ver Eventos da Regra. Quando você seleciona esta ação, a página de Eventos se abre e está pré-filtrada para todos os Eventos que correspondem a essa Regra.

Para ver Eventos para uma Regra:

No menu de Navegação, clique em Rede > Políticas de Configuração de Rede.
No lado direito, clique em e selecione Ver Eventos da Regra.

A página de Eventos é exibida com os Eventos para a regra relevante já filtrados.

Personalizar a Aceleração & Otimização para uma Regra

A Aceleração TCP não afeta o tráfego não-TCP (tráfego baseado em UDP) que faz parte de uma Regra de Rede.
Quando as Configurações de Rota/NAT ou Inspeção TLS estão em vigor, isso implica que a Cato habilita o proxy TCP no tráfego.
A regra padrão de Rede implícita para o Cato Cloud é agir como um proxy TCP. Assim, se nenhuma regra anterior corresponder ao tráfego, o proxy TCP é aplicado.
A Aceleração TCP está desativada (acinzentada) para regras que utilizam WAN Alternativa como transporte principal ou secundário.

Para mais sobre acelerar o tráfego na Cato Cloud, consulte Acelerar e Otimizar o Tráfego.

Para mais sobre mitigação de perda de pacotes, veja Mitigação de Perda de Pacotes para Links Multi-Túnel.

Para definir a Aceleração e Otimização para uma Regra:

No menu de navegação, clique em Rede > Políticas de Configuração de Rede.
Clique na Regra de Rede. O painel Editar Regra de Rede é aberto.
Expanda a Seção Configuração.
Selecione Aceleração TCP Ativa para habilitar o PoP para atuar como um Servidor Proxy TCP para tráfego que corresponda a esta Regra.
Selecione Mitigação de Perda de Pacotes, para habilitar a duplicação de Pacotes para ajudar a mitigar o Impacto da perda de Pacotes para o tráfego que corresponda a esta Regra.
Clique em Salvar. O painel fecha, e as configurações são atualizadas na base de regras.

As alterações são salvas na sua revisão não publicada e estão disponíveis para edição até serem publicadas ou descartadas.
Clique em Publicar. Uma janela de confirmação abre, clique em Publicar.

Adicionando uma Exceção

Você define tráfego que é uma exceção à Regra de Rede, e a regra não é aplicada a esse tráfego. Defina a Exceção de tráfego com o Objeto (entidade) para a Fonte, Aplicativo/Categoria e Destino. Exceções com múltiplos objetos têm o mesmo comportamento que Políticas de Configuração de Rede, veja acima Trabalhando com Múltiplos Objetos em uma Única Regra.

O Exemplo acima tem uma Regra de Rede para qualquer tráfego que corresponda à Categoria VoIP Video. Há uma exceção a esta regra para tráfego que corresponde a AMBAS essas condições:

Fonte é o site de exemplo 1500
Aplicação é Skype e MS Teams

Para adicionar uma exceção a uma regra de rede:

No menu de navegação, clique em Rede > Políticas de Configuração de Rede.
Identifique a regra para a qual você está criando uma exceção e, no final da regra, clique no ícone de mais e selecione Adicionar Exceção.
Defina as exceções para a seção:
1. No menu suspenso, selecione o tipo de tráfego para a exceção.
  
  O exemplo abaixo mostra adicionar uma exceção para um host específico.
2. Selecione um objeto específico da lista suspensa para esse tipo.
3. Repita os dois passos anteriores para definir objetos adicionais para a exceção.
  
  Múltiplos objetos em uma seção têm uma relação OU.
Se necessário, repita a etapa 3 para definir exceções para as outras seções.

Os objetos em múltiplas seções têm uma relação E.
Clique em Salvar. O painel fecha, e as configurações são atualizadas na base de regras.

As alterações são salvas na sua revisão não publicada e estão disponíveis para edição até serem publicadas ou descartadas.
Clique em Publicar. Uma janela de confirmação abre, clique em Publicar.

Exportando Regras de Rede para um Arquivo CSV

Você pode gerar um arquivo CSV que contém todos os dados das regras de rede de acordo com a base de regras da sua conta.

Nota

Nota: Apenas administradores CMA com função Editor têm permissões para exportar para um arquivo CSV. Para mais sobre configurar funções de administrador, veja Gerenciando Administradores.

Para exportar a política de Regras de Rede:

No menu de navegação, clique em Rede > Políticas de Configuração de Rede.
Clique em Exportar, e na janela pop-up clique em OK.
Selecione o local para o arquivo CSV e salve o arquivo.

Entendendo o Conteúdo do Arquivo Exportado

A linha superior no arquivo CSV exportado lista os nomes dos campos e opções para as regras na base de regras relevante. Então as regras em si são listadas de acordo com a prioridade, começando pelo menor valor numérico.

O arquivo CSV contém as seguintes colunas:

Item	Descrição
Prioridade	Prioridade da regra dentro da base de regras
Status da Regra	A Regra está habilitada ou desabilitada
Tipo	Tipo de Regra é WAN ou Internet
Nome	Nome da regra de rede
Fonte	Fonte de tráfego para esta regra
App/Categoria	Itens que se aplicam a esta regra (aplicações, categorias, serviços, etc.)
Destino	Destino de tráfego para esta regra
Prioridade de Largura de Banda	O perfil de Gerenciamento de Largura de Banda para esta regra
Roteamento	O tipo de roteamento aplicado para esta regra (NAT, Backhauling, etc.). Relevante apenas para regras de rede de Internet
Transporte	O tipo de transporte para esta regra (transporte de interface WAN, transporte principal e secundário)
Aceleração & Otimizações	As configurações de otimização estão habilitadas ou desabilitadas (Aceleração TCP e Mitigação de Perda de Pacotes)