Настройка сетевых правил

Эта статья рассказывает, как использовать экран Сетевые правила для управления и приоритизации трафика в вашем аккаунте.

Для получения дополнительной информации о сетевых правилах и Cato, см. Что такое Cato Network Rulebase.

Работа с несколькими объектами в одном правиле

Столбцы Источник, Приложение/Категория и Назначение образуют связь И: правило срабатывает, только если трафик соответствует критериям, определенным во всех трех столбцах.

Когда в одном столбце несколько элементов, существует связь ИЛИ: правило применяется, если трафик соответствует критериям, определенным для любого из элементов. Например, правило, которое определяет Приложение/Категория как TCP с портом 443, соответствует всему TCP-трафику ИЛИ трафику, использующему порт 443, как для TCP, так и для UDP.

Создание сетевого правила

Сетевые правила оцениваются согласно их порядку в списке сетевых правил; лучше всего пролистать список до требуемой позиции нового правила и добавлять его выше или ниже существующего правила. Или можно добавить новое правило в конец списка и переместить его в нужную позицию.

При настройке Источника (тип трафика) для сетевого правила вы можете использовать глобальные объекты, такие как категории приложений или глобальные диапазоны, чтобы определить тип трафика, который соответствует правилу.

NetworkRules.png

Чтобы создать сетевое правило WAN или Интернет:

  1. В навигационном меню нажмите Сеть > Сетевые правила.

  2. Нажмите Новый. Откроется панель Добавить сетевое правило.

  3. В разделе Общие настройки настройте следующие параметры для правила:

    1. Введите Имя для правила.

    2. В раскрывающемся меню Тип Правила выберите, для какого трафика данное правило: WAN или Интернет.

    3. Активируйте или деактивируйте правило с помощью ползунка (зеленый - активирован, серый - деактивирован).

    4. Настройте Порядок правил, который определяет, где правило появляется в базе сетевых правил.

      Новые правила добавляются в конец базы правил. Вы можете изменить порядок применения этого правила.

  4. Разверните раздел Источник и выберите один или несколько объектов для источника трафика для этого правила (или вы можете ввести IP-адрес).

    1. Выберите тип (например: Хост, Сетевой интерфейс, IP, Диапазон IP-адресов или Любой). Значение по умолчанию — Любой.

    2. При необходимости выберите конкретный объект из выпадающего списка для этого типа.

  5. Для правил трафика WAN разверните раздел Назначение и выберите один или несколько объектов для назначения трафика для этого правила.

  6. Разверните раздел Приложение/Категория и выберите одно или несколько приложений для правила.

    Когда в правиле более одного объекта Приложение/Категория, между ними существует ИЛИ-отношение. Значение по умолчанию — Любой.

    Для подробного объяснения каждой из опций в разделе Приложение/Категория, см. Справочник по объектам правил.

  7. В разделе Конфигурация вы можете настроить следующие параметры для сетевого правила (см. пояснения ниже):

  8. Нажмите Применить. Панель закрывается, и настройки обновляются в базе правил.

  9. Нажмите Сохранить. Новое сетевое правило сохранено.

Изменение приоритетов пропускной способности (QoS) для правила

По умолчанию новым правилам присваивается приоритет по умолчанию, который вы можете изменить в соответствии с потребностями QoS вашей сети.

Чем меньше номер приоритета, тем выше приоритет QoS для правила. Например, правило с приоритетом 10 имеет более высокий приоритет QoS, чем правило с приоритетом 40.

Для получения дополнительной информации о определении политик пропускной способности для вашей учетной записи, см. Настройка профилей управления пропускной способностью.

Чтобы изменить приоритет пропускной способности для правила:

  1. В меню навигации нажмите Сеть > Сетевые правила.

  2. Кликните по сетевому правилу. Откроется панель Редактировать правило сети.

  3. Разверните раздел Конфигурация.

  4. В разделе Управление пропускной способностью из раскрывающегося списка Приоритет пропускной способности выберите приоритет QoS для этого правила.

  5. Нажмите Применить. Панель закрывается, и настройки обновляются в базе правил.

  6. Нажмите Сохранить. Приоритет пропускной способности для правила сохранен.

Настройка транспортных и маршрутизационных опций

Этот раздел объясняет, как настроить транспортные опции для сетевого правила и вывести трафик на конкретное местоположение или IP-адрес.

Настройка транспортных опций для правила

Сетевые правила настраиваются глобально. Если на определенной площадке нет указанного транспорта, сокет Cato трактует такую конфигурацию как настроенную для Автоматического режима.

Если вы выберете явные транспорты/NIC, движок QoS будет контролировать потерю пакетов, джиттер и задержку. если произойдет перегрузка, пакеты будут отброшены. Если вы выберете автоматический транспорт, движок QoS будет контролировать перегрузку в дополнение к потере пакетов, джиттеру и задержке.

Альтернативный WAN не поддерживается для Вне Облака как вторичный транспорт. Вы не можете настроить сетевое правило с Альтернативным WAN как основным транспортом, который переключается на Вне Облака.

TransportOptions.png

  • Правила WAN имеют следующие настройки по умолчанию:

    • Основной транспорт: Cato.

    • Вторичный транспорт: Автоматический (учитываются дополнительные транспорты, такие как MPLS, если применимо).

    • Роль Основного Интерфейса: Автоматический.

    • Роль Вторичного Интерфейса: Нет (отключено, так как обработано Автоматической настройкой для Основного NIC).

    • Маршрут/NAT: - (не применимо для правил WAN).

  • Правила интернета имеют следующие настройки по умолчанию:

    • Основной транспорт: Cato.

    • Вторичный транспорт: Нет (другие транспорты в данный момент не могут быть использованы).

    • Роль Основного Интерфейса: Автоматически.

    • Роль Вторичного Интерфейса: Нет (отключено, так как управляется автоматической настройкой для Основного Интерфейса).

    • Маршрут/NAT: Нет.

Чтобы настроить параметры транспорта для сетевого правила:

  1. Из меню навигации, нажмите Сеть > Сетевые Правила.

  2. Нажмите на сетевое правило. Открывается панель Редактировать Правило Сети.

  3. Разверните раздел Конфигурация.

  4. Настройте поля транспорта по мере необходимости: чтобы маршрутизировать трафик через конкретный транспорт, вы можете настроить свои основной и вторичный транспорты.

    Основной транспорт будет использоваться, пока он включен и доступен, как определено движком QoS от Cato. Если основной транспорт недоступен, используется вторичный транспорт.

  5. Настройте поля Роль Интерфейса (применимо только для трафика, маршрутизируемого через Cato Cloud) по мере необходимости.

    Чтобы маршрутизировать трафик через конкретную связь, вы можете настроить свои основные и вторичные NIC. Основная Роль Интерфейса будет использоваться, пока она включена и доступна, как определено движком QoS от Cato. Если основная Роль Интерфейса недоступна, используется вторичная Роль Интерфейса.

  6. Нажмите Применить. Панель закрывается, и настройки обновляются в базе правил.

  7. Нажмите Сохранить. Параметры транспорта для правила сохраняются в учетной записи.

Установка метода маршрутизации для интернет-сетевого правила

Вы можете настроить Сетевое Правило Интернет с различными опциями для исходящего трафика.

Лучшие практики: Для сетевых правил интернет, которые исходящий трафик (с NAT или Маршрут через опцию), мы рекомендуем вам определить конкретный Источник или Приложение/Категория для правила. Выбор Любое в качестве Источника или Приложение/Категория маршрутизирует весь интернет-трафик и может вызывать непредсказуемую производительность.

  • Маршрут через - позволяет выбрать место выхода PoP, из которого трафик направляется в Интернет
    Примечание: При выходе трафика в Токио, выбирая одно местоположение PoP Токио (например, Tokyo_DC2), все местоположения PoP Токио автоматически добавляются в сетевое правило. Диапазоны IP-адресов разделяются между размещениями PoP Токио и обеспечивают бесшовное качество работы для учетных записей.

  • NAT - позволяет вам исходить трафик через конкретный выделенный IP-адрес Cato и его расположение PoP. Трафик, который соответствует этому правилу, переводится на этот IP и исходится через соответствующий PoP. Оба NAT и Маршрут через маршрутизируют трафик через конкретный PoP, однако NAT позволяет вам указать IP, на который переводится трафик.

  • Обратная передача через - выводит интернет-трафик через один или сайты обратной передачи

    Для получения дополнительной информации см. эти статьи о Обратной Передаче интернет-трафика.

Для Маршрут через и NAT, когда вы конфигурируете несколько исходящих IPs, трафик использует исходящий IP для расположения PoP, которое наиболее близко к источнику.

Метод Маршрутизации NAT - Сохранение Исходного Порта

По умолчанию, когда PoP выполняет NAT на интернет-трафике, он изменяет исходный порт и исходный IP в заголовке IP. В некоторых случаях приложение требует сохранения оригинального исходного порта в заголовке IP, например, для трафика SIP. Когда вы выбираете опцию Сохранить исходный порт, PoP сохраняет оригинальный исходный порт в заголовке IP переводимого пакета.

Routing_Method_Preserve_Source_Port.png

Примечание

Примечание: Если существует более одного потока с одинаковым исходным портом, это создает конфликт при сохранении исходного порта для обоих потоков во время NAT перевода. В таких сценариях PoP сохраняет исходный порт первого потока и назначает случайный порт для последующего потока.

Чтобы установить Метод Маршрутизации для правила сети Интернет:

  1. В навигационном меню нажмите Сеть > Сетевые правила.

  2. Нажмите на сетевое правило. Откроется панель Редактировать сетевое правило.

  3. Разверните раздел Конфигурация.

  4. Из раскрывающегося меню Маршрут/NAT, выберите опцию маршрутизации для трафика, соответствующего правилу:

    • Маршрут через - чтобы маршрутизировать трафик через определенное расположение PoP облака Cato, нажмите Domain_plus.png и выберите расположения, из которых вы исходите трафик.

    • NAT - чтобы исходить трафик для этого правила через определенный IP, нажмите Domain_plus.png и выберите выделенные IP-адреса, из которых вы исходите трафик.

  5. (Необязательно) Чтобы использовать исходный порт для преобразованного трафика, выберите Сохранить исходный порт.

  6. Нажмите Применить. Панель закрывается, и настройки обновляются в базе правил.

  7. Нажмите Сохранить. Опции маршрутизации для правила сохранены.

Просмотр Событий по Правилу

Вы можете показать события для определенного Сетевого правила, используя Просмотр Событий Правила. Когда вы выбираете это действие, открывается страница Событий, фильтрованная по всем событиям, соответствующим этому правилу.

Чтобы просмотреть события по правилу:

  1. В навигационном меню нажмите Сеть > Сетевые правила.

  2. На правой стороне нажмите more.png и выберите Просмотр Событий Правил.

Страница Событий отображается с уже отфильтрованными событиями для соответствующего правила.

rule-event.png

Настройка Ускорения & Оптимизации для Правила

  • Ускорение TCP не влияет на трафик, не относящийся к TCP (трафик на базе UDP), который является частью сетевого правила.

  • Когда активированы настройки Маршрут/NAT или инспекция TLS, это означает, что Cato включает TCP-прокси на трафике.

  • Имплицитное сетевое правило по умолчанию для Cato Cloud - действовать как TCP-прокси. Таким образом, если ни одно предыдущее правило не соответствовало трафику, применяется TCP-прокси.

  • Ускорение TCP отключено (помечено серым) для правил, которые используют Альтернативный WAN как основной или вторичный транспорт.

Для получения дополнительной информации об ускорении трафика в Cato Cloud, см. Ускорение и Оптимизация Трафика.

Для получения дополнительной информации о снижении потерь пакетов, см. Снижение Потерь Пакетов для Связей с Множественными Туннелями.

Чтобы установить ускорение и оптимизацию для правила:

  1. В навигационном меню нажмите Сеть > Сетевые правила.

  2. Нажмите на сетевое правило. Откроется панель Редактировать сетевое правило.

  3. Разверните раздел Конфигурация.

  4. Выберите Ускорение TCP, чтобы разрешить PoP действовать как сервер TCP прокси для трафика, соответствующего этому правилу.

  5. Выберите Снижение Потерь Пакетов для включения дублирования пакетов, чтобы помочь смягчить воздействие потерь пакетов для трафика, соответствующего этому правилу.

  6. Нажмите Применить. Панель закрывается, и настройки обновляются в базе правил.

  7. Нажмите Сохранить. Настройки ускорения и оптимизации сохранены.

Добавление Исключения

Вы определяете трафик, который является исключением для сетевого правила, и правило не применяется к исключению. Определите исключение трафика с использованием объекта (сущности) для Источника, Приложения/Категории и Назначения. Исключения с несколькими объектами имеют то же поведение, что и сетевые правила, см. выше Работа с несколькими объектами в одном правиле.

ИсключенияПравилСети.png

Пример выше имеет сетевое правило для любого трафика, который соответствует категории VoIP Video. Для этого правила существует исключение для трафика, который соответствует ОБЕИМ этим условиям:

  • Источник - это пример 1500 сайта

  • Приложение - это Skype и MS Teams

Чтобы добавить исключение к сетевому правилу:

  1. В меню навигации нажмите Сеть > Сетевые правила.

  2. Нажмите на сетевое правило. Открывается панель Редактировать Правило Сети.

  3. Разверните раздел Источник, Приложение/Категория или Назначение и нажмите Добавить исключения.

    ИсключениеИсточникаСети.png

  4. Определите исключения для этого раздела:

    1. В выпадающем меню выберите тип трафика для исключения.

      На приведенном выше скриншоте показано добавление исключения для конкретного хоста.

    2. Выберите конкретный объект из выпадающего списка для этого типа.

    3. Повторите предыдущие два шага, чтобы определить дополнительные объекты для исключения.

      Несколько объектов в одном разделе имеют отношение ИЛИ.

  5. При необходимости повторите шаг 4, чтобы определить исключения для других разделов.

    Объекты в нескольких разделах имеют отношение И.

  6. Нажмите Применить. Панель закрывается, и настройки обновляются в базе правил.

  7. Нажмите Сохранить. Исключения для правила сохранены.

Экспорт Сетевых Правил в CSV файл

Вы можете сгенерировать CSV файл, который содержит все данные сетевых правил по базе правил вашего аккаунта.

Примечание

Примечание: Только Администраторы приложения управления Cato с ролью Редактор имеют разрешения для экспорта в CSV файл. Для более подробной информации о настройке административных ролей, см. Управление Администраторами.

Чтобы экспортировать Политику Сетевых Правил:

  1. В меню навигации нажмите Сеть > Сетевые правила.

  2. Нажмите Экспорт, и в всплывающем окне нажмите ОК.

  3. Выберите местоположение для CSV файла и сохраните файл.

Понимание содержания экспортированного файла

Верхняя строка в экспортированном CSV файле перечисляет имена полей и параметры для правил в соответствующей базе правил. Затем сами правила перечисляются по приоритету, начиная с самого низкого цифрового значения.

CSV файл содержит следующие столбцы:

Элемент

Описание

Приоритет

Приоритет правила в базе правил

Статус Правила

Правило включено или отключено

Тип

Тип Правила - это WAN или Интернет

Имя

Название сетевого правила

Источник

Источник трафика для этого правила

Приложение/Категория

Объекты, которые применяются к этому правилу (приложения, категории, сервисы и т. д.)

Назначение

Назначение трафика для этого правила

Приоритет пропускной способности

Управление пропускной способностью профиль для этого правила

Маршрутизация

Тип маршрутизации, применяемый для этого правила (NAT, Обратный канал и т. д.). Актуально только для Интернет сетевых правил

Транспорт

Тип транспорта для этого правила (транспорт WAN интерфейс, основной и вторичный транспорт)

Ускорение & Оптимизации

Настройки оптимизации включены или отключены (Ускорение TCP и Снижение Потерь Пакетов)

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 2

0 комментариев