Расширенные конфигурации для сайта

Эта статья объясняет, как настроить расширенную конфигурацию для конкретного сайта.

Использование расширенной конфигурации для сайта

Раздел расширенной конфигурации для сайта позволяет настраивать расширенные функции и параметры для этого сайта. Доступные функции в разделе зависят от типа соединения для сайта. Чтобы узнать больше о использовании расширенных функций, см. Работа с расширенной конфигурацией для учетной записи.

Когда расширенная настройка отключена, вы настраиваете её для использования глобальной настройки.

Чтобы настроить расширенную функцию для сайта:

  1. В меню навигации щелкните Network > Сайты и выберите нужный сайт.

  2. В меню навигации щелкните Расширенная конфигурация.

  3. В столбце Статус используйте переключатель, чтобы включить или отключить статус каждой настройки (зелёный - включено, серый - отключено).

  4. Чтобы настроить или отредактировать значение настройки, щелкните по названию настройки в столбце Имя.

    Открывается панель Редактировать <Имя настройки>.

  5. В панели Редактировать вы можете:

    • Введите или выберите Значение

    • Введите или отредактируйте Комментарий для объяснения причины этой расширенной настройки (Рекомендуется)

  6. Щелкните Применить. Изменение расширенной конфигурации добавляется на экран.

  7. Щелкните Сохранить. Настройки конфигурации сохранены.

Работа с настройками учетной записи и сайта

Есть некоторые функции в разделе Расширенная конфигурация, которые можно настроить как для конкретного сайта, так и для всех сайтов в вашей учетной записи. Если вы настраиваете расширенную функцию для сайта, она заменяет настройки для учетной записи (в Активы > Расширенная конфигурация). Некоторые функции поддерживаются только для сокетов сайтов. Например, функция альфа поддерживается только для сокетов. Если вы настроили функцию альфа для всей учетной записи, она имеет значение только для сокетов сайтов.

Настройка восстановления WAN для сайта

Чтобы повысить устойчивость вашей сети, функция восстановления WAN предоставляет поддержку при возникновении проблем с подключением в облаке Cato, и сокеты не могут использовать его для отправки трафика WAN на другие сайты. Эта функция автоматически использует обходные туннели для поддержания подключения с другими сокетами сайтов. Когда сокеты восстанавливают подключение к облаку Cato, они автоматически возобновляют обычную работу.

Примечание

Примечание: Трафик Вне Облака должен быть включен на WAN-каналах сокетов для поддержки восстановления WAN.

Во время временного восстановления WAN трафик WAN обходит облако Cato, и это приведёт к следующим изменениям в трафике:

  • Приложение Управления Cato не анализирует данные на предмет подключения и не генерирует оповещения о состоянии или качестве сети

  • Стек безопасности Cato (файервол и сервисы безопасности) не применяется к трафику

Чтобы настроить параметр Восстановление WAN, см. выше Использование расширенной конфигурации для сайта с следующими значениями:

  • Отключено - Этот сайт использует настройку, которая сконфигурирована для учетной записи.

  • Включено и Включено - Этот сайт настроен для предоставления восстановления трафика WAN на другие сайты. Функциональность такая же, как и Отключено.

  • Включено и Выкл. - Восстановление НЕ включено для этого сайта, и обходные туннели НЕ поддерживаются или не обслуживаются.

Для получения дополнительной информации о настройке глобального параметра восстановления WAN для всех сайтов, см. Работа с расширенной конфигурацией для учетной записи.

Настройка восстановления через Интернет для сайта

Для улучшения устойчивости интернет-трафика функция Режим восстановления обеспечивает поддержку в случае проблем с подключением к Cato Cloud, и Cato Socket не может использовать его для интернет-трафика. Когда эта функция включена, она автоматически восстанавливает подключение к Интернету с помощью ссылок провайдера для передачи трафика в Интернет.

Во время временного восстановления Интернета интернет-трафик обходит Cato Cloud, и это приводит к следующим изменениям в трафике:

  • Межсетевые экраны Интернета и правила фильтрации URL не применяются к трафику

  • Сервисы защиты от угроз не применяются к трафику

  • Приложение управления Cato не анализирует данные для подключения и не генерирует оповещения для интернет-трафика

Чтобы настроить параметр Режим восстановления, см. выше Использование расширенной конфигурации для сайта с этими значениями:

  • Отключено - Этот сайт использует настройки, которые настроены для учетной записи.

  • Включено и Вкл. - Этот сайт настроен для обеспечения восстановления всего трафика в Интернет. Функциональность такая же, как Отключено.

  • Включено и Выкл. - Функция Режим восстановления ОТКЛЮЧЕНО для этого сайта.

Примечание

ВАЖНО! Мы рекомендуем всегда включать функцию Режим восстановления и выбирать опцию Вкл. или Выкл. для управления восстановлением интернет-трафика. Когда эта функция отключена, могут возникнуть проблемы с настройками, которые настроены через веб-интерфейс сокета.

Настройка MTU для DTLS туннелей до Cato Cloud

Вы можете настроить максимальное значение MTU для DTLS туннелей между сокетом и PoP в Cato Cloud. Для трафика внутри этих DTLS туннелей это значение переопределяет MTU, который настроен через веб-интерфейс сокета. Эта настройка актуальна только для физических сокетов и не применяется к vSockets.

Используйте поле Максимум MTU для сокета к PoP для настройки MTU для DTLS туннелей, см. выше Использование расширенной конфигурации для сайта.

Блокировка локальной маршрутизации, когда сайт отключен от PoP

По умолчанию трафик внутри сайта (например, между VLANs) направляется через PoP Cato, который инспектирует трафик. Потоки трафика идут от VLAN к PoP в Cato Cloud, а затем к другой VLAN.

Если сайт временно отключен от Cato Cloud, предустановленное поведение заключается в открытии на отказ. Трафик идет от VLAN напрямую к другой VLAN, не проходя инспекцию. Вы можете настроить это поведение для конкретного сайта так, чтобы поведение было отличным от глобальной настройки учетной записи по умолчанию. Требуется сокет версии 15.0 или выше.

Вы также можете выбрать установку поведения уровня глобальной учетной записи на закрытие на отказ, чтобы по умолчанию все сайты сокетов блокировали локальный трафик маршрутизации, когда они отключаются от PoP.

Примечание

Примечание: Для сайтов, настроенных с правилами LAN Firewall или локальной маршрутизации, эти правила имеют приоритет над настройкой Блокировка локальной маршрутизации при отключении от PoP. Таким образом, эта настройка НЕ применяется к трафику, который соответствует правилам.

Чтобы настроить параметр Блокировать локальную маршрутизацию при отключении от PoP, см. выше Использование расширенной конфигурации для сайта с этими значениями:

  • Отключено - Этот сайт использует конфигурацию, настроенную для учетной записи.

  • Включено и Вкл. - Маршрутизация трафика в рамках этого сайта блокируется, когда сайт отключен от PoP. Это поведение fail-closed.

  • Включено и Выкл. - Маршрутизация трафика в рамках этого сайта разрешена, когда сайт отключен от PoP. Это поведение fail-open.

На следующей диаграмме показано поведение локальной маршрутизации:

Block_Local_Routing.png

Изменение режима WAN TCP-прокси

TCP Proxy позволяет вам изменить режим вашего WAN TCP-прокси, чтобы он начинал работать на первых SYN-пакетах каждого соединения или задерживал запуск WAN TCP-прокси до завершения TCP-рукопожатия. Вы можете прочитать больше о двух режимах TCP-прокси в Объяснение ускорения TCP Cato и лучшие практики.

Чтобы изменить режим WAN TCP Proxy:

  1. На странице Расширенная Конфигурация, нажмите на конфигурацию TCP Proxy. Панель Редактирование конфигурации откроется.

  2. Активируйте конфигурацию и выберите значение режима:

    1. Вкл. - Полный WAN TCP Proxy.

    2. Выкл. - Сохранение оригинальной переговоров WAN TCP и задержка TCP-прокси.

Изменение значения Burstiness

Микро-всплески характеризуются резким напором пакетов или кадров данных, который происходит в очень короткий промежуток времени.

Когда микровсплески превышают лимит скорости сайта за короткое время, может возникнуть потеря пакетов из-за чрезмерного сбрасывания пакетов Провайдером (ISP).

Значение входящего трафика burstiness и значение исходящего трафика burstiness позволяют вам регулировать, как ваши сайты справляются с микровсплесками в сети, изменяя уровни burstiness для входящих или исходящих направлений. Изменение уровней значений burstiness может смягчить потерю пакетов, вызванную всплесками, путем применения более агрессивной или более подготовительной политики управления формой трафика для микровсплесков. По умолчанию значение burstiness зависит от пропускной способности интерфейса:

  • Для интерфейсов с пропускной способностью 40 Мбит/с и выше, значение по умолчанию - 0,2

  • Для интерфейсов с пропускной способностью ниже 40 Мбит/с, значение по умолчанию - 0,1

Подробнее о burstiness и потере пакетов см. в статье Как решить проблему потерь пакетов на сокет-сайте.

Чтобы настроить параметр значение burstiness для исходящего или входящего трафика, см. выше Использование расширенной конфигурации для сайта.

Примечание

Примечания:

  • Все Sockets должны работать на версии 12,0 и выше для поддержки настройки burstiness.

  • Новое значение применяется только после сброса туннеля.

Изменение значений времени существования IPsec

Фазы IPsec имеют срок действия, который определяет, как долго Ассоциация Безопасности (SA) является действительной.

IPsec P1 Lifetime Seconds и IPsec P2 Lifetime Seconds - это два параметра расширенной конфигурации, которые позволяют изменить срок действия каждой фазы, чтобы соответствовать удаленным настройкам для IKEv1 и IKEv2 соответственно. Значения времени существования по умолчанию зависят от фазы:

  • Для Фазы 1 значения по умолчанию:

    • Для IKEv1: 86400

    • Для IKEv2: 19800

    Примечание

    Примечание: По умолчанию эти значения не отображаются в Приложение Управления Cato. Если вы хотите установить эти значения, следуйте процедуре, изложенной выше.

  • Для Фазы 2 значение по умолчанию равно 3600 для IKEv1 и IKEv2.

Конфигурация применяется после перезапуска туннеля или по окончании срока действия текущей SA.

Для получения дополнительной информации см. статьи о Площадки IPsec.

Ввод статического MAC-адреса

Некоторые устройства не имеют включенного ARP по соображениям безопасности. Чтобы включить обнаружение этих устройств, вы можете вручную добавить их на ваш сайт, предоставив строку JSON в следующем формате:

{ \"ifc_id\": \"LAN1\", \"ip\": \"10.10.10.1\", \"mac\": \"7c:05:1e:11:11:12\" }

Каждое из Поля представляет собой следующие параметры: 'ifc_id' указывает LAN Интерфейс, 'ip' это IP-адрес Устройства, и 'mac' - это MAC-адрес Устройства

  • ifc_id - это интерфейс LAN. В приведенном выше примере, LAN1

  • ip - это IP-адрес устройства. В приведенном выше примере, 10.10.10.1

  • mac - это MAC-адрес устройства. В приведенном выше примере, 7c:05:1e:11:11:12

Конфигурация доступна для всех Сайты Socket версии 20 и позже.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев