本文解释了 Cato Cloud 平台在中国如何工作,包括遵循中国政府的法规和限制。
中国的所有互联网流量都由政府检查并通过当地网关回传。 Cato 遵循中国的所有法规,Cato SASE 服务在中国和其他地区一样完全可用。
注意
注意: 自从中国限制访问某些网站以来,绕过中国防火墙上传到非中国CATO POP的出口流量违反了Cato MSA(主控服务协议)。 有关中国限制的疑问,请参见 Cato MSA 第 5.2 节。
Cato 通过其 PoP 在中国提供最佳的用户体验,并允许在中国设有办公室的全球分布的公司通过 Cato 主干网拥有一致、安全的连接。 在中国有多个Cato PoPs,例如,北京、上海、深圳及乌鲁木齐。 这些 PoP 通过香港与 Cato Cloud 进行通信。 这意味着中国的 PoP 在中国内部之间建立一个完整的网状结构,并通过香港与其他 PoP 进行通信,反之亦然。
中国政府限制访问中国境外的某些站点和资源,这需要外国公司适应这些规定。
注意
注意: 中国政府可以随时更改其限制,并禁止访问某个应用程序或网站。 如果流量被阻止,请检查此列表查看目的地是否在中国不可用。
在中国的站点或远程用户的限制
- 在中国不支持 RPF
- 浏览器访问不支持中国
- RBI在中国不支持。 有关更多信息,请参见配置浏览会话的RBI服务
在中国,大多数常用的 DNS 服务不可用。 因此,Cato使用内部机制来确定最佳可用DNS服务器,并且Cato DNS服务器10.254.254.1充当代理。
您应配置您的WAN接口以使用本地ISP提供的DNS服务器,或中国可用的公共DNS服务器,例如114.114.114.114或114.114.115.115。
默认情况下,中国的互联网流量从您所连接的中国 PoP 出口,通过本地网关然后到达目的地。 这意味着,如果您试图访问受限网站,Cato PoP 允许流量通过,然后由于本地法规,即中国防火长城而被阻止。
UDP 端口 1337 用于中国 Socket 和客户端 DTLS 流量
Cato 推荐最佳实践,配置备用 UDP 端口用于在中国拥有 Socket 站点和客户端用户的账户。 使用 UDP 端口 443 的 DTLS 通道可能会遇到诸如数据包丢失之类的连接问题。 配置 UDP 端口 1337 作为首选 DTLS 端口,以便在 Socket 和客户端流量中提高连接性。 有关更多信息,请参见理解中国的 Cato 网络。
许可
在为中国的站点购买许可证时,客户必须确定分配给区域流量的许可证带宽百分比以及专用于全球流量的百分比。
- 区域流量是指在中国区域内发送的任何流量,例如从深圳的一个站点发送到北京的站点。
- 全球流量是指区域外的任何流量,例如从深圳的站点发送到欧洲的站点。
注意
注意: 全球流量本质上比区域流量更昂贵。 请务必根据您的需求分配两者。
当您在Cato管理应用程序中配置网站时,必须为该网站分配许可证。 网站详情会显示您购买的区域和全球许可证的组合许可证详情。
您需要在网站配置中的最后一英里带宽中输入的值是网站的总区域和全球带宽。 例如:如果您购买了100 Mbps,其中70%是区域带宽,30%是全球带宽,那么您需要为位于深圳的网站配置100 Mbps。
在Cato中,有两个方面控制QoS:
- 带宽管理
- 网络规则
有关更多信息,请参阅网络规则和QoS。
由于带宽管理机制不了解任何许可限制,因此在创建配置文件时,您应考虑您的许可证允许的范围。
例如,如果您购买了总共100 Mbps的带宽,其中70%是区域带宽,30%是全球带宽,那么在创建带宽管理配置文件时,应根据这些值设定限制。 作为一种最佳实践,请使用百分比而不是固定的带宽值,以避免分配超过您被允许使用的量。
您的公司在深圳、上海、北京和欧洲设有站点。 您希望确保在进行视频会议(VC)时,能够顺利沟通。
您可以创建以下配置文件,将至少15% 的资源分配给P15流量。
然后,您可以创建网络规则,使用P15配置文件用于VC流量。 如果流量是在中国的办公室之间,例如在上海和北京之间,分配的带宽的15%将基于您的区域许可证。 如果深圳与欧洲站点进行视频会议(VC),则将占用全球许可证的15%。 然而,由于您使用了百分比而不是固定的Mbps限制,因此没有超出您的许可证配额的风险。
0 条评论
请登录写评论。