Работа с расширенной конфигурацией для учетной записи

В этой статье объясняется, как настроить функцию расширенной конфигурации для всей учетной записи.

Обзор расширенной конфигурации для учетной записи

Опции на странице расширенной конфигурации предоставляют вам более детальный контроль над различными настройками вашей учетной записи. Экран также показывает значение по умолчанию для каждого из отключенных настроек.

Когда вы отключаете расширенную настройку, она возвращается к значению по умолчанию. Однако пользовательское значение сохраняется, и если вы включите настройку позже, пользовательское значение будет использоваться.

AdvConfig.png

Чтобы настроить функции расширенной конфигурации для учетной записи:

  1. В меню навигации нажмите Ресурсы > Расширенная Конфигурация.

  2. В колонке Статус используйте переключатель для включения или отключения статуса каждой настройки (зелёный - включено, серый - отключено).

  3. Чтобы настроить или изменить значение настройки, нажмите на название настройки в колонке Имя.

    Откроется панель Редактировать <Название Настройки>.

  4. В панели Редактировать вы можете:

    • Введите или выберите Значение

    • Введите или измените Комментарий, чтобы объяснить причину этой расширенной настройки (рекомендуется)

  5. Нажмите Применить. Изменение для расширенной конфигурации добавлено на экран.

  6. Нажмите Сохранить. Настройки конфигурации сохранены.

Приоритеты для расширенной конфигурации с настройками сайтов и пользователей VPN

Когда вы настраиваете расширенную функцию для сайта или пользователя SDP, она переопределяет настройку для учетной записи на странице Расширенная Конфигурация. Следующая таблица показывает каждую расширенную функцию и указывает, применяется ли она к сайту или пользователю SDP.

Название функции

Применяется к

Блокировать локальную маршрутизацию при отключении от PoP

Сайты (только для сокетов)

Значение входящего трафика

Сайты (только для сокетов)

Значение исходящего трафика

Сайты (только для сокетов)

IKEv2 Отправка одного TS на каждый payload

Сайты (только IPsec IKEv2)

Предпочтительный IP для SIP-трафика

Сайты

Восстановление через Интернет

Сайты (только для сокетов)

Отозвать сертификаты по серийному номеру

Все пользователи SDP

SIP ALG

Сайты

Ускорение TCP на SYN для трафика WAN

Сайты и пользователи SDP

Алгоритм перегрузки TCP

Только глобальный

Проверка OID в сертификате устройства

Все пользователи SDP

Режим офиса VPN

Все пользователи SDP

Частота WAN Keep-alive

Сайты (только для сокетов)

Восстановление WAN

Сайты (только для сокетов)

Вы можете настроить следующие параметры только для отдельных сайтов (не как глобальную настройку для учетной записи):

  • Максимальный размер MTU от сокета до PoP (применяется только к физическим сокетам)

Подробнее о расширенной конфигурации для сайтов смотрите в Расширенные конфигурации для сайта.

Включение пользователям SDP возможности конфигурировать режим Office для VPN

Когда пользователь SDP работает в офисе, находящемся за Cato Socket, Клиент Cato автоматически подключается к этому сайту. Это поведение называется режимом офиса VPN, и он включен по умолчанию для всех учетных записей. Без режима офиса, когда Клиент Cato подключается к VPN за Cato Socket, Клиент подключается через туннель-в-туннеле, что часто негативно сказывается на производительности.

С режимом офиса Клиент Cato подключается к Cato Cloud, используя туннель Сокета и рассматривается как обычный хост для этого сайта. Клиент получает сетевые и настройки безопасности с сайта и предотвращает использование туннеля-в-туннеле VPN.

Иногда режим офиса может помешать кому-то, кто посещает филиал, подключиться к ресурсам в другом офисе, например, в главный офис. Вы можете выбрать включение Пользователей SDP для настройки поведения Клиента Cato в режиме офиса.

Подробнее о том, как включить пользователям SDP возможность настройки режима Office для своих клиентов, смотрите в Конфигурация режима Office.

Конфигурация восстановления WAN для учетной записи

Чтобы улучшить устойчивость вашей сети, функция восстановления WAN предоставляет поддержку, если возникают проблемы с подключением в Cato Cloud, и Сокеты Cato не могут использовать его для отправки трафика WAN на другие сайты. Эта функция автоматически использует обходные туннели для поддержания подключения с другими сайтами Сокета. Когда Сокеты восстанавливают подключение к Cato Cloud, они автоматически возобновляют обычную работу.

Примечание

Примечание: Трафик вне облака должен быть включен на WAN-связях Socket для поддержки восстановления WAN.

Во время восстановления сети трафик WAN обходит Cato Cloud, и это изменения в трафике:

  • Приложение управления Cato не анализирует данные для подключения и не генерирует оповещения о состоянии или качестве сети

  • Межсетевые экраны WAN и Интернета не применяются к трафику

  • Службы защиты от угроз не применяются к трафику

Чтобы настроить параметр Восстановление WAN, ознакомьтесь с вышеуказанной Настройки расширенных функций учетной записи с этими значениями:

  • Отключено - Параметр по умолчанию для всех глобальных настроек. Сокеты устанавливают туннели с другими сайтами Сокета и используют keep-alive сообщения для поддержания туннелей. Восстановление включено по умолчанию для всех сайтов Сокета в учетной записи.

  • Включено и Вкл. - Учетная запись настроена для обеспечения восстановления трафика WAN на другие сайты. Функциональность такая же, как и у Отключено.

  • Включено и Выкл. - Восстановление НЕ включено для этой учетной записи, и обходные туннели НЕ поддерживаются и не обслуживаются.

Примечание

Примечание: События, создаваемые функцией восстановления WAN, описываются как Восстановление вне Облака.

Подробнее о настройке глобальной конфигурации восстановления WAN для определенных сайтов смотрите в Расширенные конфигурации для сайта.

Конфигурация восстановления через Интернет для учетной записи

Чтобы улучшить устойчивость к интернет-трафику, функция Восстановление через Интернет предоставляет поддержку, если возникают проблемы с подключением к Cato Cloud, и Сокет Cato не может использовать его для трафика в Интернет. Когда включена, эта функция автоматически восстанавливает подключение к Интернету с использованием связей провайдера для отправки трафика в Интернет.

Во время временного восстановления Интернета трафик Интернета обходит Cato Cloud, и это изменения в трафике:

  • Правила межсетевых экранов Интернета не применяются к трафику

  • Услуги Защиты от угроз не применяются к трафику

  • Приложение Управления Cato не анализирует данные соединения и не генерирует оповещения для интернет-трафика

Чтобы настроить параметр Восстановление Интернета, смотрите выше, Конфигурация расширенных функций учетной записи с этими значениями:

  • Отключен - Глобальная настройка по умолчанию. Восстановление включено по умолчанию для всех Площадок в учетной записи. Мы рекомендуем использовать эту настройку.

  • Включен и Вкл. - Аккаунт настроен для обеспечения восстановления для всего трафика в Интернет. Функционал такой же, как у Отключено.

  • Включен и Выкл - Функция Восстановление через интернет отключена для этой учетной записи.

Примечание

ВАЖНО! Мы рекомендуем всегда включать функцию Восстановление через интернет и выбирать опцию Вкл. или Выкл. для управления восстановлением интернет-трафика. Когда эта функция отключена, если Socket не может подключиться к Cato Cloud, он не маршрутизирует трафик в Интернет.

Подробнее о настройке глобальной конфигурации восстановления через Интернет для определенного сайта смотрите в Расширенные конфигурации для сайта.

Использование одного и того же (предпочтительного) исходящего IP-адреса для трафика VoIP и SIP

Если вы работаете с UCaaS и имеете сетевое правило исходящего трафика для VoIP или SIP трафика, то иногда у UCaaS (таких как RingCentral) возникают проблемы, если IP-адрес меняется. Когда функция Предпочтительный IP для SIP трафика активирована, VoIP и SIP трафик всегда используют один и тот же исходящий IP-адрес.

 

Примечание

Примечание: Для использования этой функции необходимо иметь сетевое правило исходящего трафика для VoIP или SIP трафика.

Сайты IKEv2, отправляющие один TS на каждую полезную нагрузку

При создании дочернего SA, Cato отправляет несколько селекторов трафика (TS) в одну и ту же полезную нагрузку TS в соответствии с RFC 7295. Некоторые сторонние решения, такие как Cisco ASAs, поддерживают только один TS в каждом дочерней SA. Cisco ASA отправит сообщение TS_UNACCEPTABLE в ответ на предложение Cato создать дочерний SA с несколькими TS.

Когда IKEv2 Отправка одного TS на одну полезную нагрузку включено и установлено в Вкл., в каждом дочернем SA отправляется только один TS. Он выключен по умолчанию.

Блокировка локальной маршрутизации при отключении сайтов от PoP

По умолчанию трафик в пределах Площадки (например, между VLANs) маршрутизируется через PoP Cato, который инспектирует трафик. Трафик течет из VLAN к PoP в облаке Cato, а затем к другому VLAN.

Если Площадка временно отключена от облака Cato, поведение по умолчанию - неудача с открытием. Трафик течет из VLAN прямо к другому VLAN без инспекций. Вы можете изменить поведение учетной записи на уровне по умолчанию с неудачи с открытием на неудачу с закрытием, так что по умолчанию все Площадки блокируют локальный трафик маршрутизации, когда они отключаются от PoP. Требуется Socket v15.0 или выше.

Примечание

Примечание: Для Площадок, которые настроены с правилами брандмауэра LAN или Локальной Маршрутизации, эти правила имеют приоритет перед настройкой Блокировать Локальную Маршрутизацию, когда отключено от PoP. Таким образом, эта настройка не применяется к трафику, который соответствует правилам.

Чтобы настроить параметр Блокировать локальную маршрутизацию при отключении от PoP, смотрите выше Обзор расширенной конфигурации для учетной записи с этими значениями:

  • Отключен - Глобальная настройка по умолчанию. Маршрутизация трафика внутри поддерживаемой Площадки разрешена, когда Площадка отключена от PoP. Это поведение с открытым отказом.

  • Включено и Вкл. - Маршрутизация трафика в поддерживаемом сайте блокируется, если сайт отключен от PoP. Это поведение с закрытым отказом.

  • Включено и Выкл. - Маршрутизация трафика в поддерживаемом сайте разрешена, если сайт отключен от PoP. Это поведение с открытым отказом. Функциональность такая же, как у Отключено.

Следующая диаграмма показывает поведение локальной маршрутизации:

Block_Local_Routing.png

Проверка OID в сертификатах устройств

Проверка OID в сертификате устройства улучшает проверку сертификата устройства. Когда включено, можно задать список OID сертификатов устройства, которые могут подключаться к вашей сети. Только устройства, аутентифицирующиеся с помощью сертификата, соответствующего заданному OID, могут подключаться. Разделяйте несколько OID точкой с запятой, и в следующем формате:

  • cert_ext_obj(cert, "&lt;extension_key&gt;") == "&lt;OID_value1&gt;;&lt;OID_value2&gt;"

Ключ расширения и значения OID можно найти с помощью инструментов сертификатов certutil или openssl x509.

Эта функция по умолчанию отключена. Пользователи SDP могут не иметь возможности подключиться к вашей Сети, если вы активируете эту настройку, не настроив правильно сертификаты вашего устройства.

Аннулирование сертификатов по серийному номеру

Отзыв сертификатов по серийному номеру улучшает проверку Сертификатов устройства. Когда включено, можно задать список заблокированных серийных номеров сертификатов. Устройства, аутентифицирующиеся с помощью сертификата, соответствующего заданному серийному номеру, блокируются.

  • Каждый серийный номер должен быть в формате с разделителем (1a:2b:3c:4d ...)

  • Разделяйте несколько серийных номеров запятой

    Количество серийных номеров, которые можно отозвать, не ограничено

Эта функция по умолчанию отключена. Пользователи SDP могут не иметь возможности подключиться к вашей Сети, если вы активируете эту настройку, не настроив правильно сертификаты вашего устройства.

Изменение режима WAN TCP Proxy

TCP Proxy позволяет вам изменить режим развертывания WAN TCP proxy, чтобы запустить на первых пакетах SYN для каждого соединения ИЛИ отложить и запустить WAN TCP proxy после завершения TCP handshake. Подробнее о моде TCP proxy смотрите в Объяснение ускорения TCP Кейто и передовая практика.

Чтобы настроить ускорение TCP на SYN для WAN-трафика, смотрите выше Обзор расширенной конфигурации для учетной записи с этими значениями:

  • Вкл - Полный WAN TCP Proxy.

  • Выкл - Сохранение оригинальной TCP-переговоры WAN и задержка TCP-прокси.

Изменение значения плаща

Микро-всплески характеризуются внезапным увеличением пакетов или кадров данных, происходящим в очень короткий промежуток времени.

Когда микровзрывы превышают лимит скорости сайта за короткое время, может произойти потеря пакетов из-за чрезмерного сброса пакетов последней милей Провайдера (ISP).

Значение Взрывопроизводительности входящего трафика и Значение Взрывопроизводительности исходящего трафика позволяет вам регулировать, как ваши сайты обрабатывают микровзрывы в сети, изменяя значения уровня взрывопроизводительности в направлениях приема или передачи. Изменение значений уровня взрывопроизводительности может уменьшить потерю пакетов, вызванную взрывопроизводительностью, применяя более агрессивную или более допустимую политику формирования для микровзрывов. Значение взрывопроизводительности по умолчанию зависит от пропускной способности интерфейса:

  • Для пропускной способности интерфейса 40 Мбит/с и выше, значение по умолчанию составляет 0,2

  • Для пропускной способности интерфейса ниже 40 Мбит/с, значение по умолчанию составляет 0,1

Для получения дополнительной информации о взрывном характере и потере пакетов, смотрите Как устранить потерю пакетов на сайте Socket.

Примечание

Примечания:

  • Все сокеты должны работать на версии 12.0 и выше, чтобы поддерживать настройку взрывного характера.

  • Новое значение применяется только после сброса туннеля.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев