Маршрутизация трафика по внеоблачной связи

Обзор транспорта вне облака

Трафик, отправляемый через Cato Cloud, получает преимущества от улучшений сети и безопасности Cato. Однако есть конкретные сценарии, в которых компаниям может понадобиться использовать прямое VPN-соединение Socket к Socket через Интернет. Функция внеоблачного транспорта позволяет настроить сокеты для отправки трафика вне облака через Интернет вместо Cato Cloud. Например, когда между различными Сайты в одном Регионе происходят регулярные резервные копии, вы можете обозначить эти резервные копии как внеоблачный транспорт.

Сокеты создают полную топологию сетки друг с другом для трафика вне облака. Трафик зашифрован и отправлен через Интернет с использованием туннелей DTLS.

Для сокетов с несколькими связями вы можете включать или отключать каждую связь для отправки трафика вне облака. Вне облака можно настроить в следующих развертываниях:

  • Активный/Активный - трафик Вне Облака распределяется и сбалансирован между активными связями взвешенным образом в соответствии с доступной пропускной способностью каждой связи
  • Активный/Пассивный (и Активный/Активный/Пассивный) - пассивная связь обеспечивает резерв в случае отключения активной связи или значительного ухудшения качества связи

Примечание: Трафик вне облака исключен из лицензии на пропускную способность для сайта. Максимальная пропускная способность Socket через WAN-соединение рассчитана для всего трафика (WAN, вне облака, обход). Если сокет X1500 (максимальная пропускная способность 500 Мбит/с) отправляет 400 Мбит/с трафика WAN, то 100 Мбит/с доступно для трафика вне облака и обходного трафика.

 

Известные ограничения

  • Трафик Вне Облака не инспектируется движками Защиты от угроз Cato.
  • Сокеты поддерживают максимум три связи для трафика вне облака.
  • Вы не можете маршрутизировать FTP в пассивном режиме с трафиком Вне Облака, вы можете маршрутизировать его только через облако Cato.
  • Туннели Вне Облака (от сайта к сайту) не могут быть установлены между сайтами, подключенными к одному и тому же маршрутизатору ISP. Каждый сайт должен иметь уникальный публичный IP-адрес.
  • Alt-WAN не поддерживается для Вне Облака в качестве вторичного транспорта. Вы не можете настроить сетевое правило с Alt-WAN в качестве основного транспорта, который переключается на Вне Облака.

Работа с трафиком вне облака

Сокеты Cato поддерживают два типа трафика вне облака: транспорт и восстановление WAN. Восстановление WAN обеспечивает устойчивость в случае проблем с соединением в Cato Cloud и автоматически использует обходные VPN-туннели для поддержания соединения с другими Сайты сокетов. Когда вы настраиваете связь для отправки трафика вне облака, эта связь включается для отправки как транспортного, так и восстановительного трафика. Вы не можете назначить одну связь для внеоблачного транспорта и другую связь для восстановления в сокете.

Примечание

Примечания:

  • Внеоблачный транспорт официально поддерживается только для простых сетевых правил. Если вы настраиваете сложное правило с использованием Внеоблака в качестве транспорта, трафик все еще будет отправляться в PoP для анализа. Сложное сетевое правило - это сетевое правило, которое сам сокет не может оценить. Поэтому сокет должен отправлять трафик в PoP, чтобы выбрать правильное сетевое правило, которое в свою очередь включает TCP Proxy. Сложное правило может содержать Приложения, Категории приложений, Услуги, Пользовательские приложения или объекты Домена/FQDN.

    Иногда этот трафик активирует режим ускорения TCP, и в этом случае трафик будет отправляться через PoP, а не Вне Облака, как планировалось. В других случаях, даже когда трафик отправляется Вне Облака, может показаться, что он проходит через PoP из-за вышеупомянутого анализа.

  • Cato рекомендует настраивать все простые правила Вне Облака в верхней части базы сетевых правил.

Для получения дополнительной информации о восстановлении WAN смотрите Работа с расширенной конфигурацией для учётной записи.

Настройка транспорта вне облака

Данный раздел объясняет, как настроить площадки и сетевые правила для внеоблачного транспорта.

Включение сайтов для транспорта вне облака

Включите внеоблачный транспорт на каждой площадке, которая отправляет и получает трафик вне облака. Для развертываний сокетов с несколькими связями, настройте связи для поддержки трафика вне облака.

По умолчанию, внеоблачный транспорт включен для WAN-связей на площадках сокетов. Однако, когда вы определяете Приоритет WAN для связи как 3 (Последний резерв), то транспорт вне облака автоматически отключается для этой связи.

off-cloud.png

В приведенном выше примере показан Сайт с конфигурацией ссылок WAN1 и WAN2 для отправки трафика вне облака. Вы также можете выбрать настройку Сайта, где одна из связей WAN отправляет трафик только через Cato Cloud.

Для получения дополнительной информации о сайтах с несколькими связями смотрите ниже Конфигурирование сайта для Вне Облака с несколькими связями.

Настройка Публичного IP и Статического Порта

Как правило, настройки Публичного IP и Статического Порта для связей, которые отправляют трафик Вне Облака, автоматически настроены Сокетом и не настраиваются в Приложении Управления Cato. Сокет выбирает случайный исходный порт и использует публичный IP-адрес интернет-маршрутизатора для установления подключения.

Вы также можете использовать Приложение Управления Cato, чтобы вручную настроить статический публичный IP-адрес и номер порта для каждой связи, отправляющей трафик Вне Облака. При выполнении этой операции убедитесь, что для интернет-маршрутизатора сайта задан фиксированный публичный IP-адрес и настроено соответствующее правило перенаправления портов. В противном случае не настраивайте вручную настройки Публичного IP и Статического Порта.

Тем не менее, в некоторых ситуациях вам необходимо настроить эти параметры. Например, когда вы используете правила перенаправления портов как решение для проблем, связанных с NAT, используемым локальным маршрутизатором.

Для включения транспорта Вне Облака для сайта:

  1. Из меню навигации выберите Сеть > Сайты и выберите сайт.
  2. Из меню навигации выберите Настройка сайта > Socket.
  3. Настройте активное соединение, которое будет включено для трафика вне облака:

    1. Нажмите на ссылку.

      Панель Редактировать сетевой интерфейс открывается.

    2. Разверните раздел Вне Облака.
    3. В выпадающем меню Статус Трафика выберите Включено.
    4. (Опционально) Введите Публичный IP и номер Статического Порта для связи вне облака.
  4. Нажмите Применить.
  5. Повторите предыдущие шаги для каждого сайта, который отправляет и принимает трафик вне облака.

Настройка сетевых правил для транспорта вне облака

Создайте сетевое правило, которое определяет тип трафика WAN, отправляемого с использованием транспорта Вне Облака. Затем настройте это правило для маршрутизации трафика через транспорт Вне Облака.

Вы не можете настроить параметры Роли Интерфейса для транспорта Вне Облака. Также отключите ускорение TCP для сетевых правил, которые используют Вне Облака как основной транспорт.

Для получения дополнительной информации о сетевых правилах смотрите Настройка Сетевых Правил.

Для настройки сетевого правила для транспорта вне облака:

  1. Из меню навигации нажмите Сеть > Сетевые Правила.
  2. Нажмите Новый. Откроется панель Добавить Сетевое Правило.
  3. Создайте новое сетевое правило WAN:
    1. В разделе Общие настройки введите Имя для правила.
    2. В выпадающем меню Тип Правила выберите WAN.
    3. Настройте Порядок правил, который определяет, где правило появляется в базе сетевых правил.
  4. Разверните раздел Источник и выберите один или несколько объектов источника трафика для этого правила (или введите IP-адрес).
  5. Разверните раздел Назначение и введите строку или выберите один или несколько объектов назначения трафика для этого правила.
  6. Разверните раздел Приложение/Категория и выберите одно или несколько приложений для правила.
  7. Настройте транспортные настройки для сетевого правила:

    1. Разверните раздел Конфигурация.

      "Off-Cloud_Routing.png"
    2. Убедитесь, что Активное Ускорение TCP отключено.
    3. В Основном Транспорте настройте Вне Облака как основной Транспорт.

    4. В Вторичный транспорт настройте вторичный Транспорт:

      • Автоматический - Socket автоматически выбирает вторичный транспортный вариант
      • Нет - Отправлять трафик только через основной транспорт (вне облака)
      • Cato - Socket использует Cato Cloud как вторичный транспортный вариант
  8. Нажмите Применить.

  9. Нажмите Сохранить.

    Изменения сохраняются в неопубликованной ревизии и доступны для редактирования, пока не будут опубликованы или отменены.

Работа с несколькими ссылками для трафика вне облака

Для сокетов с несколькими ссылками вы можете настроить активные/активные и активные/пассивные разгортания для трафика вне облака. Если вы решили включить только одну связь для трафика вне Облака, и если эта связь не может отправлять трафик, тогда соединения вне Облака будут следовать опции Вторичный Транспорт в настройках Транспорта для сетевого правила.

Для подробного технического background о сокетах с несколькими связями смотрите Часть 1: Интерфейсы Сокета и Приоритет.

Трафик вне облака и активные/пассивные разгортания

В активных/пассивных разгортаниях, ссылки сокета устанавливаются на разные приоритеты и обеспечивают высокую доступность для сайта. Каждые несколько секунд сокет оценивает качество связи активной ссылки - если состояние активной ссылки ухудшается, сокет постепенно перемещает трафик на пассивную ссылку. Когда качество связи восстанавливается, сокет возобновляет отправку трафика через активную ссылку. Аналогично, если активная ссылка выходит из строя, потоки трафика переносятся на пассивную ссылку до восстановления активной ссылки. Это минимальные метрики качества связи:

  • Потеря пакетов - 3%.
  • Джиттер - 30 мс
  • Задержка - 600 мс

Если ссылка не может соответствовать одному из вышеперечисленных показателей, трафик постепенно перемещается на другую ссылку. Каждые 10 секунд Socket оценивает связи и выбирает лучшую связь для трафика. Таким образом, если сокет переключается на пассивную ссылку, он ждет как минимум 10 секунд, прежде чем вернуться к активной ссылке.

В некоторых случаях, переключение на пассивную ссылку может создать асимметричный трафик между двумя сайтами. Например, сайт1 и сайт2 оба настроены для активных/пассивных разгортаний. Если site1 переходит на пассивную связь, site1 отправляет трафик через WAN2, а site2 отправляет трафик через WAN1. Другая ситуация - когда один сайт настроен в режиме активный/активный, а другая сторона - активный/пассивный. Единичная активная ссылка на одном сайте отправляет трафик на обе активные ссылки на другом сайте.

Трафик вне облака и активные/активные разгортания

В активных/активных разгортаниях обе ссылки сокета устанавливаются на одинаковый приоритет и обеспечивают высокую доступность и балансировку нагрузки для сайта. Для каждого потока трафика сокет непрерывно мониторит каждую ссылку и выбирает лучший вариант.

Конфигурирование сайта для трафика вне облака с несколькими ссылками

Определите Настройки сокета для настройки ссылок для отправки трафика вне облака как активного/активного или активного/пассивного разгортания.

Для настройки сайта на активный/активный или активный/пассивный трафик вне облака:

  1. Из меню навигации выберите Сеть > Сайты и выберите сайт.
  2. Из меню навигации выберите Настройка сайта > Socket.

  3. Включите Вне облака трафик для этого сайта.

    Слайдер серый, когда этот параметр отключен.

  4. Настройте настройки для связи WAN 1:

    1. Нажмите на ссылку.

      Открывается панель Редактировать сетевой интерфейс.

    2. В разделе Общие настройки установите Приоритет на 1 (Активный).
    3. Разверните раздел Вне Облака.
    4. В выпадающем меню Статус Трафика выберите Включено.
    5. (Опционально) Введите Публичный IP и номер Статического Порта для связи вне облака.
    6. Нажмите Применить. Настройки вне облака для связи WAN1 обновлены.

  5. Повторите шаг 4 и настройте параметры для связи WAN 2:

    • Для активный/пассивный, установите Приоритет на 2 (Пассивный).
    • Для активный/активный, установите Приоритет на 1 (Активный).
  6. Нажмите Сохранить. Настройки вне облака для сайта настроены.

Аналитика Вне Облака

Вы можете показать аналитику и статус для трафика и туннелей вне облака на экране Вне Облака.

Чтобы показать аналитику Вне Облака для сайта:

  1. Из меню навигации нажмите Сеть > Сайты и выберите сайт.
  2. Из меню навигации нажмите Мониторинг Сайта > Вне Облака.

События Транспорта Вне Облака

Экран События показывает все события транспорта вне облака для вашей учетной записи. Мощные инструменты поиска позволяют углубиться и идентифицировать несколько событий, содержащих нужные вам данные.

Вы можете узнать больше о использовании экрана Событий здесь. Вы можете использовать предварительную настройку Защита данных SaaS Security API для фильтрации событий.

Тип Подтипа События Описание
Подключение Транспорта Вне Облака Сайт подключается к внеоблачному туннелю (обычно это начальное соединение)
Отключение Транспорта Вне Облака Отключается транспорт вне облака для сайта

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 3

0 комментариев