Сетевые правила позволяют вам направлять и приоритизировать трафик через ваши соединения WAN и Интернет, что дает вам детальный контроль над производительностью, маршрутизацией и использованием каналов. Создавая правила на основе приложения, источника и назначения, вы можете гарантировать, что критический трафик получает правильный QoS, оптимизировать задержку или потерю пакетов и выбирать лучшие транспортные пути. Используйте страницу Сетевых Правил для определения порядка правил, применения настроек ускорения и конфигурации расширенного поведения маршрутизации в соответствии с вашими бизнес и техническими требованиями.
Для получения дополнительной информации о сетевых правилах и Cato, см. Что такое Сетевые Правила?.
Колонки Источник, Прил./Категория и Назначение формируют отношение И: правило срабатывает только если трафик соответствует критериям, определенным во всех трех колонках.
Когда в одном столбце несколько элементов, существует связь ИЛИ: правило применяется, если трафик соответствует критериям, определенным для любого из элементов. Например, правило, определяющее Прил./Категория с Сервисом для TCP и для UDP, это правило соответствует TCP или UDP трафику.
Страница Правила Сети позволяет различным администраторам редактировать политику параллельно. Каждый администратор может редактировать правила и сохранять изменения в базу правил в своей собственной приватной ревизии, а затем публиковать их в политике аккаунта (опубликованная ревизия). Для получения дополнительной информации о том, как управлять ревизиями политики, см. Работа с Ревизиями Политики.
Контролируйте, применяется ли политика Сетевых Правил, используя переключатель Включены Сетевые Правила на странице Сетевых Правил. Когда политика включена, настроенные правила применяются для маршрутизации и приоритизации трафика в вашем аккаунте. Отключение политики немедленно останавливает применение этих правил.
Чтобы применить пользовательскую маршрутизацию трафика или QoS для конкретного трафика WAN или Интернет, создайте сетевое правило, которое определяет трафик и как с ним следует обращаться. Сетевые правила представляют собой упорядоченную политику, и они оцениваются в соответствии с их порядком. Создайте новое правило в правильной позиции, например, перед или после существующего правила.
При настройке Источник вы определяете, к какому трафику применяется правило. Вы можете выбрать из множества глобальных объектов, таких как диапазоны IP, категории приложений или группы пользователей, чтобы соответствовать соответствующему трафику.
Каждое правило включает следующие параметры конфигурации:
- Приоритет пропускной способности - Назначает приоритет QoS трафику, чтобы обеспечить производительность для бизнес-критических потоков при перегрузке.
- Ускорение и оптимизация - Включает TCP ускорение и дублирование пакетов, чтобы уменьшить задержку и потерю пакетов.
- Основной и вторичный транспорт - Определяет предпочтительные типы транспорта для маршрутизации трафика (облако Cato, вне облака или альт. WAN)
- Метод маршрутизации - Исходящий трафик от определенных точек PoPs, выделение NAT IP, или обратная передача интернет трафика через сайты шлюзов.
Чтобы создать WAN или интернет-сетевое правило:
- В меню навигации нажмите Сеть > Сетевые правила.
- Нажмите Новое > Новое правило. Панель Добавить правило сети открывается.
- В разделе Общее настройте следующие параметры для правила:
- Введите Название для правила.
- Включите или отключите правило, используя ползунок (зеленый - включено, серый - отключено).
- Выберите Положение для нового правила.
- В меню Тип правила выберите, относится ли это правило к WAN или Интернет трафику.
- Разверните раздел Источник и выберите один или несколько объектов для источника трафика для этого правила (или вы можете ввести IP-адрес).
- Выберите тип (например: хост, сетевой интерфейс, IP, диапазон IP или любой другой). Значение по умолчанию - Любое.
- При необходимости выберите конкретный объект из выпадающего списка для этого типа.
- Разверните раздел Критерии и добавьте условия устройства в правило. Для получения дополнительной информации смотрите Добавление условий устройства в правила брандмауэра. Значения по умолчанию - Любые.
- Для WAN правил трафика разверните раздел Назначение и выберите один или несколько объектов для назначения трафика для этого правила.
-
Разверните раздел Приложение/Категория и выберите одно или несколько приложений для правила.
Когда в правиле более одного объекта Приложение/Категория, между ними существует ИЛИ-отношение. Значение по умолчанию — Любой.
Для подробного объяснения каждой из опций в разделе Приложение/Категория см. Справочник по Объектам Правил.
-
В разделе Конфигурация вы можете настроить следующие параметры для сетевого правила (см. пояснения ниже):
- Приоритет Пропускной Способности
- Основной транспорт и Вторичный транспорт
-
Нажмите Сохранить. Панель закрывается, и настройки обновляются в базе правил.
Изменения сохраняются в вашей неопубликованной ревизии и доступны для редактирования, пока не будут опубликованы или сброшены.
- Нажмите Опубликовать. Окно подтверждения открывается, нажмите Опубликовать.
По умолчанию, новым правилам назначается приоритет по умолчанию (p255), который вы можете изменить, в зависимости от потребностей вашей сети в QoS.
Чем меньше номер приоритета, тем выше приоритет QoS для правила. Например, правило с приоритетом 10 имеет более высокий приоритет QoS, чем правило с приоритетом 40.
Для получения дополнительной информации о определении политик пропускной способности для вашей учетной записи, см. Настройка профилей управления пропускной способностью.
Чтобы изменить приоритет пропускной способности для правила:
- В меню навигации нажмите Сеть > Сетевые правила.
- Нажмите сетевое правило. Панель Редактировать правило сети открывается.
- Разверните раздел Конфигурация.
- В разделе Управление полосой, из меню Приоритет пропускной способности, выберите приоритет QoS для этого правила.
-
Нажмите Сохранить. Панель закрывается, и настройки обновляются в базе правил.
Изменения сохраняются в вашей неопубликованной ревизии и доступны для редактирования, пока не будут опубликованы или сброшены.
- Нажмите Опубликовать. Окно подтверждения открывается, нажмите Опубликовать.
Этот раздел объясняет, как настроить транспортные опции для сетевого правила и вывести трафик на конкретное местоположение или IP-адрес.
Сетевые правила настраиваются глобально. Если определённый сайт не имеет указанного транспорта, то Socket рассматривает такую конфигурацию как настроенную для Автоматически.
Если вы выбираете явные транспорты/NICs, то механизм QoS мониторит потерю пакетов, джиттер и задержку. Если возникает перегрузка, пакеты отбрасываются. При выборе Автоматический для транспортов движок QoS контролирует перегрузку в дополнение к потере пакетов, джиттеру и задержке.
Альтернативный WAN не поддерживается для Вне Облака как вторичный транспорт. Вы не можете настроить сетевое правило с Альтернативным WAN как основным транспортом, который переключается на Вне Облака.
-
Правила WAN имеют следующие настройки по умолчанию:
- Основной транспорт: Cato
- Вторичный транспорт: Автоматический (учитывая дополнительные транспорты, такие как MPLS, если применимо)
- Основная роль интерфейса: Автоматический
- Вторичная роль интерфейса: Нет (отключено в соответствии с автоматическими настройками для основного сетевого интерфейса)
- Маршрут/NAT: - (не применимо для WAN правил)
-
Правила интернета имеют следующие настройки по умолчанию:
- Основной транспорт: Cato
- Вторичный транспорт: Нет (не использовать другие транспорты)
- Основная роль интерфейса: Автоматический
- Вторичная роль интерфейса: Нет (отключено в соответствии с автоматическими настройками для основного сетевого интерфейса)
- Маршрут/NAT: Нет
Чтобы настроить параметры транспорта для сетевого правила:
- В меню навигации нажмите Сеть > Сетевые правила.
- Нажмите сетевое правило. Панель Редактировать правило сети открывается.
- Разверните раздел Конфигурация.
-
Настройте поля транспорта по мере необходимости: чтобы маршрутизировать трафик через конкретный транспорт, вы можете настроить свои основной и вторичный транспорты.
Основной транспорт будет использоваться до тех пор, пока он активен и доступен, как определено движком QoS Cato. Если основной транспорт недоступен, используется вторичный транспорт.
-
Настройте поля Роль Интерфейса (применимо только для трафика, маршрутизируемого через Cato Cloud) по мере необходимости.
Чтобы маршрутизировать трафик через конкретную связь, вы можете настроить свои основные и вторичные NIC. Роль основного интерфейса используется, пока он доступен, как определено механизмом QoS Cato.
Если Роль основного интерфейса недоступна, используется Роль вторичного интерфейса. Когда Вторичная Роль Интерфейса установлена на Нет, поведение основано на настройке для Основной Роли Интерфейса:
- Автоматический - соккет делает все возможное для отправки трафика по основному транспорту
- Любая другая роль интерфейса - соккет сбрасывает трафик, когда основной транспорт недоступен
-
Нажмите Сохранить. Панель закрывается, и настройки обновляются в базе правил.
Изменения сохраняются в вашей неопубликованной ревизии и доступны для редактирования, пока не будут опубликованы или сброшены.
- Нажмите Опубликовать. Окно подтверждения открывается, нажмите Опубликовать.
Вы можете настроить Сетевое Правило Интернет с различными опциями для исходящего трафика.
Лучшие практики: Для правил сети Интернет, которые выводят трафик (с опцией NAT или Маршрут через), мы рекомендуем определить конкретный Источник или Приложение/Категория для правила. Выбор Любое в качестве Источника или Приложение/Категория маршрутизирует весь интернет-трафик и может вызывать непредсказуемую производительность.
-
Маршрут через - позволяет выбрать исходное местоположение PoP, из которого трафик отправляется в Интернет.
Примечание: При отправке трафика в Токио, выбирая одно местоположение PoP Токио (например, Tokyo_DC2), все местоположения PoP Токио автоматически добавляются в Сетевое Правило. Диапазоны IP-адресов разделяются между местоположениями PoP Токио и обеспечивают бесперебойную работу аккаунтов.
- NAT - позволяет вам выходить трафик через конкретный выделенный IP-адрес Cato и его местоположение PoP. Трафик, который соответствует этому правилу, переводится на тот IP и выходится через соответствующий PoP. И NAT, и маршрут через route traffic через конкретный PoP, однако, NAT позволяет вам указать IP, на который переводится трафик.
-
Обратная передача через - выводит интернет-трафик через один или сайты обратной передачи
Для получения дополнительной информации см. эти статьи о Обратной Передаче интернет-трафика.
Примечание: Иногда все исходящие IP в Сетевом Правиле недоступны, например, во время окна тех. обслуживания PoP, и PoP использует другой IP-адрес для потока трафика. Этот сценарий может повлиять на подключение и опыт пользователей. Мы рекомендуем определить несколько выходных IP-адресов для правила, чтобы минимизировать воздействие.
Для Маршрут через и NAT, когда вы конфигурируете несколько исходящих IPs, трафик использует исходящий IP для расположения PoP, которое наиболее близко к источнику.
Метод Маршрутизации NAT - Сохранение Исходного Порта
По умолчанию, когда PoP выполняет NAT на интернет-трафике, он изменяет исходный порт и исходный IP в заголовке IP. В некоторых случаях приложение требует сохранения оригинального исходного порта в заголовке IP, например, SIP трафик. Когда вы выбираете опцию Сохранить исходный порт, PoP сохраняет оригинальный исходный порт в IP-заголовке трансляции пакета.
Примечание: Если существует более одного потока с одинаковым исходным портом, это создает конфликт при сохранении исходного порта для обоих потоков во время NAT перевода. В таких сценариях PoP сохраняет исходный порт первого потока и назначает случайный порт для последующего потока.
Чтобы установить метод маршрутизации для интернет-сетевого правила:
- В меню навигации нажмите Сеть > Сетевые правила.
- Нажмите сетевое правило. Панель Редактировать правило сети открывается.
- Разверните раздел Конфигурация.
-
В раскрывающемся меню Маршрут/NAT выберите опцию маршрутизации для трафика, который соответствует правилу.
- Маршрут через - чтобы маршрутизировать трафик через конкретное местоположение PoP облака Cato, выберите Расположения, из которых вы выводите трафик.
-
NAT - чтобы исходить трафик для этого правила через определенный IP через NAT, выберите Выделенные IP, из которых вы исходите трафик.
(Необязательно) Чтобы использовать исходный порт для преобразованного трафика, выберите Сохранить исходный порт.
-
Нажмите Сохранить. Панель закрывается, и настройки обновляются в базе правил.
Изменения сохраняются в вашей неопубликованной ревизии и доступны для редактирования, пока не будут опубликованы или сброшены.
- Нажмите Опубликовать. Окно подтверждения открывается, нажмите Опубликовать.
Маршрутизация с PoP для двухсторонней пропускной способности 10Gbps
Для сайтов, подключенных к местоположениям PoP, которые поддерживают двухстороннюю пропускную способность 10Gbps, мы рекомендуем настроить правила Маршрут через или NAT для выхода трафика через другое местоположение PoP с двухсторонней пропускной способностью 10Gbps. В противном случае может быть воздействие на пропускную способность сайта.
Вы можете показать события для определенного Сетевого правила, используя Просмотр Событий Правила. Когда вы выбираете это действие, открывается страница Событий, фильтрованная по всем событиям, соответствующим этому правилу.
Чтобы просмотреть события по правилу:
- В навигационном меню нажмите Сеть > Сетевые правила.
- С правой стороны нажмите
и выберите Просмотр событий правила.
Страница Событий отображается с уже отфильтрованными событиями для соответствующего правила.
- Ускорение TCP не влияет на трафик, не относящийся к TCP (трафик на базе UDP), который является частью сетевого правила.
- Когда активированы настройки Маршрут/NAT или инспекция TLS, это означает, что Cato включает TCP-прокси на трафике.
- Имплицитное сетевое правило по умолчанию для Cato Cloud - действовать как TCP-прокси. Таким образом, если никакое предыдущее правило не соответствует трафику, применяется TCP-прокси.
- Ускорение TCP отключено (помечено серым) для правил, которые используют Альтернативный WAN как основной или вторичный транспорт.
Для получения дополнительной информации об ускорении трафика в Cato Cloud, см. Ускорение и Оптимизация Трафика.
Для получения дополнительной информации о снижении потерь пакетов, см. Снижение Потерь Пакетов для Связей с Множественными Туннелями.
Чтобы установить ускорение и оптимизацию для правила:
- В меню навигации нажмите Сеть > Сетевые правила.
- Нажмите на сетевое правило. Откроется панель Редактировать сетевое правило.
- Разверните раздел Конфигурация.
- Выберите Ускорение TCP, чтобы разрешить PoP действовать как сервер TCP прокси для трафика, соответствующего этому правилу.
- Выберите Снижение Потерь Пакетов для включения дублирования пакетов, чтобы помочь смягчить воздействие потерь пакетов для трафика, соответствующего этому правилу.
-
Нажмите Сохранить. Панель закрывается, и настройки обновляются в базе правил.
Изменения сохраняются в вашей неопубликованной ревизии и доступны для редактирования, пока не будут опубликованы или сброшены.
- Нажмите Опубликовать. Открывается окно подтверждения, нажмите Опубликовать.
Вы определяете трафик, который является исключением для Сетевого Правила, и правило не применяется к этому трафику. Определите исключение трафика с использованием объекта (сущности) для Источника, Приложения/Категории и Назначения. Исключения с несколькими объектами ведут себя так же, как Сетевые Правила, см. выше Работа с Несколькими Объектами в Едином Правиле.
Пример выше имеет сетевое правило для любого трафика, который соответствует категории VoIP Video. Существует исключение для этого правила для трафика, который соответствует ОБЕИМ этим условиям:
- Источник - это пример 1500 сайта
- Приложение - это Skype и MS Teams
Чтобы добавить исключение к сетевому правилу:
- В меню навигации нажмите Сеть > Сетевые правила.
- Определите правило, для которого вы создаете исключение, и с конца правила нажмите значок подробнее
- Определите исключения для этого раздела:
-
В выпадающем меню выберите тип трафика для исключения.
Пример ниже показывает добавление исключения для специфического хоста.
- Выберите конкретный объект из выпадающего списка для этого типа.
-
Повторите предыдущие два шага, чтобы определить дополнительные объекты для исключения.
Несколько объектов в одном разделе имеют отношение ИЛИ.
-
-
При необходимости повторите шаг 3, чтобы определить исключения для других разделов.
Объекты в нескольких разделах имеют отношение И.
-
Нажмите Сохранить. Панель закрывается, и настройки обновляются в базе правил.
Изменения сохраняются в вашей неопубликованной ревизии и доступны для редактирования, пока не будут опубликованы или сброшены.
- Нажмите Опубликовать. Открывается окно подтверждения, нажмите Опубликовать.
Вы можете сгенерировать CSV файл, который содержит все данные сетевых правил по базе правил вашего аккаунта.
Примечание
Примечание: Только администраторы CMA с ролью Редактор имеют разрешения для экспорта в CSV-файл. Для более подробной информации о настройке административных ролей, см. Управление Администраторами.
Чтобы экспортировать Политику Сетевых Правил:
- Из меню навигации выберите Сеть > Сетевые Правила.
- Нажмите Экспорт, и в всплывающем окне нажмите ОК.
- Выберите местоположение для CSV файла и сохраните файл.
Верхняя строка в экспортированном CSV файле перечисляет имена полей и параметры для правил в соответствующей базе правил. Затем сами правила перечисляются по приоритету, начиная с самого низкого цифрового значения.
CSV файл содержит следующие столбцы:
| Элемент | Описание |
|---|---|
| Приоритет | Приоритет правила в базе правил |
| Статус Правила | Правило включено или отключено |
| Тип | Тип Правила - это WAN или Интернет |
| Имя | Название сетевого правила |
| Источник | Источник трафика для этого правила |
| Приложение/Категория | Объекты, которые применяются к этому правилу (приложения, категории, сервисы и т. д.) |
| Назначение | Назначение трафика для этого правила |
| Приоритет пропускной способности | Управление пропускной способностью профиль для этого правила |
| Маршрутизация | Тип маршрутизации, применяемый для этого правила (NAT, Обратный канал и т. д.). Актуально только для Интернет сетевых правил |
| Транспорт | Тип транспорта для этого правила (транспорт WAN интерфейс, основной и вторичный транспорт) |
| Ускорение & Оптимизации | Настройки оптимизации включены или отключены (Ускорение TCP и Снижение Потерь Пакетов) |
0 комментариев
Войдите в службу, чтобы оставить комментарий.