Маршрутизация трафика по внеоблачной связи

Обзор внеоблачного транспорта

Трафик, отправляемый через Cato Cloud, получает преимущества от улучшений сети и безопасности Cato. Однако есть конкретные сценарии, в которых компаниям может понадобиться использовать прямое VPN-соединение Socket к Socket через Интернет. Функция внеоблачного транспорта позволяет настроить сокеты для отправки трафика вне облака через Интернет вместо Cato Cloud. Например, когда между различными Сайты в одном Регионе происходят регулярные резервные копии, вы можете обозначить эти резервные копии как внеоблачный транспорт.

Сокеты создают полную топологию сетки друг с другом для трафика вне облака. Трафик зашифрован и отправлен через Интернет с использованием туннелей DTLS.

Для сокетов с несколькими связями вы можете включать или отключать каждую связь для отправки трафика вне облака. Вне облака можно настроить в следующих развертываниях:

  • Активный/Активный - трафик вне облака сбалансирован и распределен между активными связями в взвешенной манере в соответствии с доступной пропускной способностью каждой связи

  • Активный/Пассивный - пассивная связь обеспечивает избыточность в случае отключения активной связи или значительного снижения качества связи

Известные ограничения

  • Трафик вне облака не проверяется движками защиты от угроз Cato.

  • Вы не можете маршрутизировать пассивный режим FTP с использованием трафика вне облака, вы можете маршрутизировать его только через Cato Cloud.

  • Внеоблачные (Сайты к Сайту) туннели не могут быть установлены между Сайты, подключенные к одному и тому же маршрутизатору ISP. Каждый Сайт должен иметь уникальный публичный IP-адрес.

  • Alt-WAN не поддерживается для Вне Облака в качестве вторичного транспорта. Вы не можете настроить сетевое правило с Alt-WAN в качестве основного транспорта, который переключается на Вне Облака.

Работа с трафиком вне облака

Сокеты Cato поддерживают два типа трафика вне облака: транспорт и восстановление WAN. Восстановление WAN обеспечивает устойчивость в случае проблем с соединением в Cato Cloud и автоматически использует обходные VPN-туннели для поддержания соединения с другими Сайты сокетов. Когда вы настраиваете связь для отправки трафика вне облака, эта связь включается для отправки как транспортного, так и восстановительного трафика. Вы не можете назначить одну связь для внеоблачного транспорта и другую связь для восстановления в сокете.

Примечание

Примечания:

  • Внеоблачный транспорт официально поддерживается только для простых сетевых правил. Если вы настраиваете сложное правило с использованием Внеоблака в качестве транспорта, трафик все еще будет отправляться в PoP для анализа. Сложное сетевое правило - это сетевое правило, которое сам сокет не может оценить. Поэтому сокет должен отправлять трафик в PoP, чтобы выбрать правильное сетевое правило, которое в свою очередь включает TCP Proxy. Сложное правило может содержать Приложения, Категории приложений, Услуги, Пользовательские приложения или объекты Домена/FQDN.

    Иногда этот трафик активирует режим ускорения TCP, и в этом случае трафик будет отправляться через PoP, а не Вне Облака, как планировалось. В других случаях, даже когда трафик отправляется Вне Облака, может показаться, что он проходит через PoP из-за вышеупомянутого анализа.

  • Cato рекомендует настроить все простые правила Вне Облака в верхней части сетевой базы правил.

Для получения дополнительной информации о восстановлении WAN смотрите Работа с расширенной конфигурацией для учётной записи.

Конфигурирование внеоблачного транспорта

Данный раздел объясняет, как настроить площадки и сетевые правила для внеоблачного транспорта.

Включение площадок для внеоблачного транспорта

Включите внеоблачный транспорт на каждой площадке, которая отправляет и получает трафик вне облака. Для развертываний сокетов с несколькими связями, настройте связи для поддержки трафика вне облака.

По умолчанию, внеоблачный транспорт включен для WAN-связей на площадках сокетов. Однако, когда вы определяете Приоритет WAN для связи как 3 (Последний резерв), то транспорт вне облака автоматически отключается для этой связи.

Вне Облака.png

В приведенном выше примере показан Сайт с конфигурацией ссылок WAN1 и WAN2 для отправки трафика вне облака. Вы также можете выбрать настройку Сайта, где одна из связей WAN отправляет трафик только через Cato Cloud.

Для получения дополнительной информации о сайтах с несколькими ссылками смотрите ниже Настроить сайт для Вне Облака с несколькими ссылками.

Настройка Публичного IP и Статического Порта

Как правило, настройки Публичного IP и Статического Порта для связей, которые отправляют трафик Вне Облака, автоматически настроены Сокетом и не настраиваются в Приложении Управления Cato. Сокет выбирает случайный исходный порт и использует публичный IP-адрес интернет-маршрутизатора для установления подключения.

Вы также можете использовать Приложение Управления Cato, чтобы вручную настроить статический публичный IP-адрес и номер порта для каждой связи, отправляющей трафик Вне Облака. При выполнении этой операции убедитесь, что для интернет-маршрутизатора сайта задан фиксированный публичный IP-адрес и настроено соответствующее правило перенаправления портов. В противном случае не настраивайте вручную настройки Публичного IP и Статического Порта.

Тем не менее, в некоторых ситуациях вам необходимо настроить эти параметры. Например, когда вы используете правила перенаправления портов как решение для проблем, связанных с NAT, используемым локальным маршрутизатором.

Чтобы активировать транспорт Вне Облака для сайта:

  1. В навигационном меню выберите Сеть > Сайты и выберите сайт.

  2. В навигационном меню выберите Настройки Сайта > Сокет.

  3. Настройте активную связь, которая будет включена для трафика Вне Облака:

    1. Нажмите на ссылку.

      Панель Редактировать сетевой интерфейс открывается.

    2. Разверните раздел Вне Облака.

    3. В выпадающем меню Статус Трафика выберите Включен.

    4. (Опционально) Введите Публичный IP и номер Статического Порта для связи Вне Облака.

  4. Нажмите Применить.

  5. Повторите предыдущие шаги для каждого сайта, который отправляет и получает трафик Вне Облака.

Настройка Сетевых Правил для Транспорта Вне Облака

Создайте сетевое правило, которое определяет тип трафика WAN, отправляемого с использованием транспорта Вне Облака. Затем настройте это правило для маршрутизации трафика через транспорт Вне Облака.

Вы не можете настроить параметры Роли Интерфейса для транспорта Вне Облака. Также отключите ускорение TCP для сетевых правил, которые используют Вне Облака как основной транспорт.

Для получения дополнительной информации о сетевых правилах смотрите Настройка Сетевых Правил.

Для настройки сетевого правила для транспорта Вне Облака:

  1. На навигационном меню нажмите Сеть > Сетевые Правила.

  2. Нажмите Новый. Панель Добавить Правило Сети открывается.

  3. Создайте новое WAN сетевое правило:

    1. В разделе Общие введите Имя для правила.

    2. В выпадающем меню Тип Правила выберите WAN.

    3. Настройте Порядок Правил, который определяет, где правило появляется в базе сетевых правил.

  4. Разверните раздел Источник и выберите один или несколько объектов для источника трафика для этого правила (или вы можете ввести IP-адрес).

  5. Разверните раздел Назначение и введите строку или выберите один или несколько объектов для пункта назначения трафика для этого правила.

  6. Разверните раздел Приложение/Категория и выберите одно или несколько приложений для правила.

  7. Настройте транспортные настройки для сетевого правила:

    1. Разверните раздел Конфигурация.

      "Off-Cloud_Routing.png"

    2. Убедитесь, что Ускорение TCP отключено.

    3. В Основной транспорт настройте Вне облака как основной Транспорт.

    4. В Вторичный транспорт настройте вторичный Транспорт:

      • Автоматический - Сокет автоматически выбирает вариант вторичного транспорта

      • Нет - Переправлять трафик только через основной транспорт (транспорты вне облака)

      • Cato - Сокет использует Cato Cloud как вариант вторичного транспорта

  8. Нажмите Применить.

Работа с несколькими ссылками для трафика вне облака

Для сокетов с несколькими ссылками вы можете настроить активные/активные и активные/пассивные разгортания для трафика вне облака. Если вы выберете включить только одну ссылку для трафика вне облака и эта ссылка не может переправлять трафик, то соединения вне облака следует установкам Сетевое правило > Транспорт для сетевого правила.

Для получения глубокого технического background о сокетах с несколькими ссылками, смотрите Часть 1: Интерфейсы Сокета и Приоритет.

Трафик вне облака и активные/пассивные разгортания

В активных/пассивных разгортаниях, ссылки сокета устанавливаются на разные приоритеты и обеспечивают высокую доступность для сайта. Каждые несколько секунд сокет оценивает качество связи активной ссылки - если состояние активной ссылки ухудшается, сокет постепенно перемещает трафик на пассивную ссылку. Когда качество связи восстанавливается, сокет возобновляет отправку трафика через активную ссылку. Аналогично, если активная ссылка выходит из строя, потоки трафика переносятся на пассивную ссылку до восстановления активной ссылки. Это минимальные метрики качества связи:

  • Потеря пакетов - 3%

  • Джиттер - 30 мс

  • Задержка - 600 ms

Если ссылка не может соответствовать одному из вышеперечисленных показателей, трафик постепенно перемещается на другую ссылку. Каждые 10 секунд сокет оценивает ссылки и выбирает лучшую ссылку для трафика. Таким образом, если сокет переключается на пассивную ссылку, он ждет как минимум 10 секунд, прежде чем вернуться к активной ссылке.

В некоторых случаях, переключение на пассивную ссылку может создать асимметричный трафик между двумя сайтами. Например, сайт1 и сайт2 оба настроены для активных/пассивных разгортаний. Если сайт1 переключается на пассивную ссылку, сайт1 отправляет трафик через WAN2, а сайт2 отправляет трафик через WAN1. Другая ситуация - когда один сайт настроен в активном/активном разгортании, а другая сторона - активная/пассивная. Единичная активная ссылка на одном сайте отправляет трафик на обе активные ссылки на другом сайте.

Трафик вне облака и активные/активные разгортания

В активных/активных разгортаниях обе ссылки сокета устанавливаются на одинаковый приоритет и обеспечивают высокую доступность и балансировку нагрузки для сайта. Для каждого потока трафика сокет непрерывно мониторит каждую ссылку и выбирает лучший вариант.

Конфигурирование сайта для трафика вне облака с несколькими ссылками

Определите Настройки сокета для настройки ссылок для отправки трафика вне облака как активного/активного или активного/пассивного разгортания.

Чтобы настроить сайт для активного/активного или активного/пассивного трафика вне облака:

  1. В меню навигации выберите Сети > Сайты и выберите сайт.

  2. В меню навигации выберите Настройки Сайта > Сокет.

  3. Включите Вне облака трафик для этого сайта.

    Слайдер серый, когда этот параметр отключен.

  4. Настройте установки для ссылки WAN 1:

    1. Нажмите на ссылку.

      Открывается панель Редактировать сетевой интерфейс.

    2. В разделе Общие установите Приоритет на 1 (Активный).

    3. Расширьте раздел Вне Облака.

    4. В меню Статус Трафика выберите Включен.

    5. (Опционально) Введите Публичный IP и номер Статический Порт для связи вне облака.

    6. Нажмите Применить. Настройки вне облака для связи WAN1 обновлены.

  5. Повторите шаг 4 и настройте параметры для связи WAN 2:

    • Для активного/пассивного установите Приоритет на 2 (Пассивный).

    • Для активного/активного установите Приоритет на 1 (Активный).

  6. Нажмите Сохранить. Настройки вне облака для сайта настроены.

Аналитика Вне Облака

Вы можете показать аналитику и статус для трафика и туннелей вне облака на экране Вне Облака.

Чтобы показать аналитику Вне Облака для сайта:

  1. В меню навигации нажмите Сеть > Сайты и выберите сайт.

  2. В меню навигации нажмите Мониторинг Сайта > Вне Облака.

События Транспорта Вне Облака

Экран События показывает все события транспорта вне облака для вашей учетной записи. Мощные инструменты поиска позволяют углубиться и идентифицировать несколько событий, содержащих нужные вам данные.

Вы можете узнать больше о здесь. Вы можете использовать предварительную настройку Защита данных SaaS Security API для фильтрации событий.

Подтип События

Описание

Транспортное Соединение Вне Облака

Сайт подключается к туннелю вне облака (обычно начальное подключение)

Отключение Транспорта Вне Облака

Транспорт вне облака для сайта отключается

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев