路由流量到离线云链接

离线云传输概览

通过Cato Cloud发送的流量受益于Cato网络和安全性的增强。然而，在某些特定情况下，公司可能需要使用Socket通过互联网实现直接VPN连接。离线云传输功能使您可以配置Sockets将离线云流量通过互联网发送，而不是通过Cato Cloud。例如，当同一区域的不同站点之间有定期备份时，可以将这些备份指定为离线云运输。

Sockets为离线云交通相互创建了完整的网状拓扑。流量被加密并通过DTLS隧道在互联网上发送。

对于有多个连接的Sockets，您可以启用或禁用每个连接以发送离线云流量。可以在以下部署中配置离线云：

活动/活动 - 离线云流量在活动链路之间按可用带宽的权重方式进行负载平衡和分配
活动/被动 - 被动链路在活动链路中断或链路质量显著下降时提供冗余

已知限制

离线云流量不受Cato威胁防护引擎检查。
您无法使用离线云流量路由FTP被动模式，仅能通过Cato Cloud路由。
离线云（站点到站点）隧道无法在连接到相同ISP路由器的站点之间建立。每个站点都需要一个唯一的公共IP地址。
离线云不支持作为次要传输使用Alt-WAN。您无法配置以Alt-WAN作为主要传输并故障转移到离线云的网络规则。

处理离线云流量

Cato Sockets支持两种类型的离线云流量，传输和WAN恢复。如果Cato Cloud出现连接性问题，WAN恢复提供弹性，并自动使用绕过VPN隧道与其他Socket站点保持连接。当您配置链接以发送离线云流量时，该链接被启用以发送传输和恢复流量。您无法在Socket中指定一个链接用于离线云传输而另一个链接用于恢复。

注意

注意：

离线云传输仅正式支持用于简单网络规则。如果您使用离线云作为传输配置复杂规则，流量仍将被发送到PoP进行分析。复杂网络规则是Socket本身无法评估的网络规则。因此，Socket需要将流量发送到PoP以选择正确的网络规则，从而启用TCP代理。复杂规则可能包含应用程序、应用类别、服务、自定义应用程序或域/FQDN对象。

有时，这些流量会触发TCP加速模式，在这种情况下，流量将通过PoP发送而非离线云。在其他情况下，即使流量被发送离线云，由于前面提到的分析，它可能看起来像是经过PoP。
Cato建议您在网络规则库顶部配置所有简单的离线云规则。

有关WAN恢复的更多信息，请参阅账户的高级配置。

配置离线云传输

本节介绍如何为离线云传输配置站点和网络规则。

为离线云传输启用站点

在每个发送和接收离线云流量的站点启用离线云传输。对于具有多个链接的Socket部署，配置链接以支持离线云流量。

默认情况下，Socket站点上的WAN链接启用离线云传输。然而，当您将链接的WAN优先级定义为3（最后手段）时，该链接的离线云传输会自动禁用。

上面的示例显示了一个站点，其中WAN1和WAN2链接被已配置为发送离线云流量。您还可以选择配置一个站点，其中一个WAN链接仅通过Cato Cloud发送流量。

有关多个链接站点的更多信息，请查看下面的配置具有多个链接的离线云站点。

配置公共IP和静态端口

通常，发送离线云流量的链接的公共IP和静态端口设置由Socket自动配置，并未在Cato管理应用程序中配置。 Socket选择一个随机源端口，并使用互联网路由器的公共IP地址来发起连接。

您还可以使用Cato管理应用程序为每个发送离线云流量的链接手动配置一个静态公共IP地址和端口号。在执行此操作时，请确保该站点的互联网路由器分配有固定的公共IP地址，并配置有匹配的端口转发规则。否则，不要手动配置公共IP和静态端口设置。

然而，在某些情况下您需要配置这些设置。例如，当您使用端口转发规则作为解决与本地路由器相关的NAT问题的解决方案时。

要为站点启用离线云传输：

从导航菜单中选择网络 > 站点，然后选择该站点。
从导航菜单中选择站点配置 > Socket。
配置将被启用的离线云流量的活动链接：
1. 点击链接。
  
  编辑套接字接口面板打开。
2. 展开离线云部分。
3. 在流量状态下拉菜单中，选择已启用。
4. (可选) 输入离线云链接的公共IP和静态端口号。
点击应用。
对每个发送和接收离线云流量的站点重复前面的步骤。

配置离线云传输的网络规则

创建一个网络规则，定义使用离线云传输发送的WAN流量类型。然后配置此规则以通过离线云传输来路由流量。

您无法配置离线云传输的接口角色选项。此外，禁用使用离线云作为主要传输的网络规则的TCP加速。

有关网络规则的更多信息，请参见配置网络规则。

要为离线云传输配置网络规则：

从导航菜单中，点击网络 > 网络规则。
点击新建。 添加网络规则面板打开。
创建一个新的WAN网络规则：
1. 在常规部分，输入规则的名称。
2. 在规则类型下拉菜单中，选择WAN。
3. 配置规则顺序，以定义规则在网络规则库中的出现位置。
展开来源部分，选择一个或多个对象作为该规则的流量来源（或可以输入IP地址）。
展开目的地部分，输入一条字符串或者选择一个或多个对象作为该规则的流量目的地。
展开应用/类别部分，选择一个或多个应用程序作为规则。
配置网络规则的传输设置：
1. 展开配置部分。
2. 确保主动TCP加速已被禁用。
3. 在主要传输中，将离线云配置为主要传输。
4. 在次要传输中，配置次要传输：
  - 自动 - 套接字自动选择次要传输选项
  - 无 - 仅通过主要传输（离线云传输）发送流量
  - Cato - 套接字使用Cato Cloud作为次要传输选项
点击应用。

处理离线云流量的多重链接

对于有多个链接的套接字，您可以配置离线云流量的活跃/活跃和活跃/被动部署。如果您选择仅为离线云流量启用一个链接，如果该链接无法发送流量，则离线云连接将遵循网络规则的路由 > 传输设置。

有关具有多个链接的套接字的深入技术背景，请参阅第一部分：套接字接口和优先级。

离线云流量和活跃/被动部署

在活跃/被动部署中，套接字链接被设置为不同的优先级，为站点提供高可用性。每隔几秒钟，套接字评估活跃链接的质量 - 如果活跃链接的健康状况下降，套接字会逐渐将流量转移到被动链接。当链接质量恢复后，套接字恢复通过活跃链接发送流量。类似地，如果活跃链接掉线，则流量流动会转移到被动链接，直到活跃链接恢复。这是最低链接质量指标：

丢包率 - 3%
抖动 - 30 毫秒
延迟 - 600 毫秒

如果一个链接无法满足上述指标之一，则流量会逐渐移动到另一个链接。每隔10秒钟，套接字评估链接并选择流量的最佳链接。因此，如果套接字切换到被动链接，则它至少等待10秒钟才能切换回活跃链接。

在某些情况下，切换到被动链接会在两个站点之间产生不对称流量。例如，site1 和 site2 都配置为活跃/被动部署。如果 site1 切换到被动链接，site1 通过 WAN2 发送流量，而 site2 通过 WAN1 发送流量。另一个情况是一个站点配置为活跃/活跃部署，而另一侧为活跃/被动。一个站点的单一活跃链接将流量发送到另一个站点的两个活跃链接。

离线云流量和活跃/活跃部署

在活跃/活跃部署中，两个套接字链接被设置为相同的优先级，为站点提供高可用性和负载平衡。对于每个流量流，套接字持续监控每个链接并选择最佳选项。

为离线使用多链接配置站点

定义套接字设置，以配置链接为离线云流量的活跃/活跃或活跃/被动部署。

要为活跃/活跃或活跃/被动离线云流量配置站点：

从导航菜单中，选择网络 > 站点，然后选择站点。
从导航菜单中，选择站点配置 > 套接字。
为此站点启用离线云流量。

当此选项被禁用时，滑块是灰色的。
配置WAN 1链接的设置：
1. 点击链接。
  
  编辑套接字接口窗格打开。
2. 在常规部分，将优先级设置为1（活动）。
3. 展开离线云部分。
4. 在流量状态下拉菜单中，选择已启用。
5. （可选）输入离线云链接的公网IP和静态端口号。
6. 点击应用。 WAN1链接的离线云设置已更新。
重复步骤4，并配置WAN2链接的设置：
- 对于活跃/被动，将优先级设置为2（被动）。
- 对于活跃/活跃，将优先级设置为1（活动）。
点击保存。站点的离线云设置已配置。

离线云分析

您可以在离线云屏幕中显示离线云流量和隧道的分析和状态。

要显示某个站点的离线云分析：

在导航菜单中，点击网络 > 站点并选择该站点。
在导航菜单中，点击站点监控 > 离线云。

离线云传输事件

事件屏幕显示您账户的所有离线云传输事件。强大的搜索工具可让您深入挖掘并识别包含您所需相关数据的少数事件。

您可以在插入40个字符的证书指纹代码了解更多关于使用事件屏幕的信息。您可以使用SaaS安全API数据保护预设来过滤事件。

事件子类型	描述
离线云传输连接	站点连接到离线云隧道（通常为初始连接）
离线云传输断开	站点的离线云传输已断开