Настройка Обратной передачи интернет-трафика

Эта статья объясняет, как настроить сайт как шлюз обратной передачи и создать сетевые правила для маршрутизации трафика на этот сайт.

Обзор Обратной передачи интернет-трафика

По умолчанию, Cato выводит интернет-трафик из PoP в облаке Cato. В некоторых сценариях клиенты хотят передать интернет-трафик через конкретный сайт, чтобы он обрабатывался на месте или выводился с локальным публичным IP адрессом провайдера интернет-услуг сайта.

Обратная передача интернет-трафика Cato позволяет вам назначать эти сайты в качестве шлюзов для интернет-трафика и использовать сетевые правила для обратной передачи соответствующего трафика на эти сайты.

После того как вы определили сайты шлюзов обратной передачи, создайте интернет-сетевые правила для обратной передачи соответствующего трафика на эти сайты. Вы можете использовать всю функциональность сетевых правил, которые обеспечивают детальность для маршрутизации трафика в соответствии с вашими специфическими потребностями. Например, вы можете создать сетевое правило, которое передает трафик для конкретного приложения и для конкретных пользователей на сайты шлюзов.

Любой тип сайта или пользователя SDP может быть определен в сетевом правиле как источник обратного интернет-трафика.

Для резервирования вы также можете определить дополнительные резервные сайты как шлюзы обратной передачи. В этом случае, если основной сайт шлюза недоступен, трафик маршрутизируется к резервному сайту в соответствии с порядком сайтов шлюзов в сетевом правиле.

Если все сайты шлюзов отключены от облака Cato, трафик маршрутизируется из облака Cato напрямую в интернет.

Примечание

Примечание: Cato поддерживает пассивный FTP для обратной передачи, активный FTP не поддерживается.

Опции обратной передачи интернет-трафика

Это опции обратной передачи, которые Cato поддерживает:

Обратная передача интернет-трафика на LAN-устройство за Socket - Вы можете использовать эту опцию, если вам нужно инспектировать часть интернет-трафика с помощью локального устройства.
- Для получения дополнительной информации, см. Обратная передача трафика на LAN-устройство за Socket
Обратная передача через WAN IP-адрес Socket - Вы можете использовать эту опцию, если вам нужно выводить часть интернет-приложений через публичный IP, используемый Socket. Например, доступ к SaaS-приложению, которое уже добавило этот публичный IP в список разрешенных.
- Поддерживается с версии Socket v16.0 и выше
- Для получения дополнительной информации, см. Обратная передача трафика через IP-адрес интерфейса WAN Socket
Петлевая маршрутизация трафика на тот же сайт Socket - Вы можете использовать эту опцию, если вам нужно отправлять интернет-трафик с сайта Socket в PoP (для служб безопасности Cato) и затем обратно на тот же сайт для дальнейшей обработки.
- Поддерживается с версии Socket v16.0 и выше
- Для получения дополнительной информации, см. Петлевая маршрутизация трафика на тот же сайт
Обратная передача через сайты IPsec - Вы можете использовать эту опцию, если вам нужно выводить интернет-трафик на сторонний облачный/проксисервис безопасности (например, безопасный веб-шлюз). Это функция EA.
- Для получения дополнительной информации, см. Обратная передача трафика через сайт IPsec

Примеры конфигураций обратной передачи

Это пример конфигурации обратного канала, в котором используется сайт Socket для передачи трафика на устройство ЛВС (файервол), а сайт IPsec используется для передачи трафика на безопасный веб-шлюз.

Настройка обратной передачи интернета для аккаунта

Этот раздел показывает обзор настройки вашего аккаунта для обратной передачи интернет-трафика на сайт шлюза.

Определите один или несколько сайтов шлюзов обратной передачи.
Создайте интернет-правила сети, которые перенаправляют интернет-трафик на гейтвейные сайты.

Пример сетевых правил для обратной передачи интернет-трафика

Этот раздел показывает пример конфигурации гранулярных сетевых правил для обратной передачи интернет-трафика (правила №8 - №10 в политике правил).

Для получения дополнительной информации о параметрах маршрутизации, вы также можете посмотреть этот видеоурок.

Сетевое правило №8 (Bloomberg-app-Backhaul) — это пример сетевого правила, которое перенаправляет трафик определенного интернет-приложения для пользователя SDP, как указано ниже:
- Источник интернет-трафика — это пользователь SDP Sample Admin
- Совпадающий трафик относится к приложению Bloomberg Professional (определенному как Приложение/Категория для правила).
- Трафику присвоен Приоритет Пропускной Способности P20.
- Трафик перенаправляется через основной гейтвейный сайт BERLIN-DC2. Если основной гейтвейный сайт недоступен, то трафик перенаправляется через вторичный гейтвейный сайт MILAN (определенный как Маршрутизация для правила).
Сетевое правило №9 (US-Backhaul) - это пример регионального обратного канала. Это правило передает HTTP(S) трафик с группы сайтов обратно к гейтвейным сайтам следующим образом:
- Источник интернет-трафика — это группа США, и участники этой группы — это сайты, расположенные в Соединенных Штатах.
- Совпадающий трафик — это весь HTTP и HTTPS трафик (определенный как Приложение/Категория для правила)
- Трафику присвоен Приоритет Пропускной Способности P30.
- Трафик перенаправляется через основной гейтвейный сайт NYC-DC1. Если основной гейтвейный сайт недоступен, то трафик перенаправляется через вторичный гейтвейный сайт BOSTON-DC2 (определенный как Маршрутизация для правила).
Сетевое правило №10 похоже на правило №9 выше, и оно перенаправляет трафик для группы сайтов в регионе EMEA.
Вы можете создавать сетевые правила для любой комбинации исходных сайтов, пользователей SDP, групп для Источник правила. Кроме того, вы можете использовать Любой для Приложение/Категория для перенаправления всего интернет-трафика.
Для сетевых правил, которые используют опцию Обратная передача через, вы можете использовать комбинацию сайтов обратной передачи Socket и IPsec в одном правиле.