通过Cato Cloud发送的流量受益于Cato网络和安全性的增强。 然而,在某些特定情况下,公司可能需要使用Socket通过互联网实现直接VPN连接。 离线云传输功能使您可以配置Sockets将离线云流量通过互联网发送,而不是通过Cato Cloud。 例如,当同一区域的不同站点之间有定期备份时,可以将这些备份指定为离线云运输。
Sockets为离线云交通相互创建了完整的网状拓扑。 流量被加密并通过DTLS隧道在互联网上发送。
对于有多个连接的Sockets,您可以启用或禁用每个连接以发送离线云流量。 可以在以下部署中配置离线云:
- 活跃/活跃 - 离线流量在可用带宽的情况下,以加权方式在活跃链接之间负载均衡和分配
- 活跃/被动 (和 活跃/活跃/被动) - 被动链接在活跃链接断开或链接质量显著下降时提供冗余
注意: 离云流量不包含在站点的带宽许可中。WAN链路的最大Socket吞吐量是所有流量的总和(WAN、离云、旁路)。 因此,如果一个X1500插座(最大500 Mbps吞吐量)正在发送400 Mbps的WAN流量,则有100 Mbps可用于离云和旁路流量。
- 离线流量不由Cato威胁防护引擎检查。
- Sockets支持最多三个外部流量的链接。
- 你不能将FTP被动模式与离线流量路由,只能通过Cato Cloud路由。
- 连接到同一个ISP路由器的站点之间无法建立离线(站点到站点)隧道。 每个站点需要有一个唯一的公共IP地址。
- Alt-WAN不支持用作离线的次要传输。 你无法配置一条网络规则,使得主要传输为Alt-WAN并故障转移到离线。
Cato Sockets支持两种类型的离线云流量,传输和WAN恢复。 如果Cato Cloud出现连接性问题,WAN恢复提供弹性,并自动使用绕过VPN隧道与其他Socket站点保持连接。 当您配置链接以发送离线云流量时,该链接被启用以发送传输和恢复流量。 您无法在Socket中指定一个链接用于离线云传输而另一个链接用于恢复。
注意
注意:
-
离线云传输仅正式支持用于简单网络规则。 如果您使用离线云作为传输配置复杂规则,流量仍将被发送到PoP进行分析。 复杂网络规则是Socket本身无法评估的网络规则。 因此,Socket需要将流量发送到PoP以选择正确的网络规则,从而启用TCP代理。 复杂规则可能包含应用程序、应用类别、服务、自定义应用程序或域/FQDN对象。
有时,这些流量会触发TCP加速模式,在这种情况下,流量将通过PoP发送而非离线云。 在其他情况下,即使流量被发送离线云,由于前面提到的分析,它可能看起来像是经过PoP。
- Cato建议您将所有离线简单规则配置在网络规则库的顶部。
有关WAN恢复的更多信息,请参阅账户的高级配置。
本节介绍如何为离线云传输配置站点和网络规则。
在每个发送和接收离线云流量的站点启用离线云传输。 对于具有多个链接的Socket部署,配置链接以支持离线云流量。
默认情况下,Socket站点上的WAN链接启用离线云传输。 然而,当您将链接的WAN优先级定义为3(最后手段)时,该链接的离线云传输会自动禁用。
上面的示例显示了一个站点,其中WAN1和WAN2链接被已配置为发送离线云流量。 您还可以选择配置一个站点,其中一个WAN链接仅通过Cato Cloud发送流量。
有关具有多个链接的站点的更多信息,请参阅下面的配置离线的站点与多个链接。
配置公共IP和静态端口
通常,发送离线云流量的链接的公共IP和静态端口设置由Socket自动配置,并未在Cato管理应用程序中配置。 Socket选择一个随机源端口,并使用互联网路由器的公共IP地址来发起连接。
您还可以使用Cato管理应用程序为每个发送离线云流量的链接手动配置一个静态公共IP地址和端口号。 在执行此操作时,请确保该站点的互联网路由器分配有固定的公共IP地址,并配置有匹配的端口转发规则。 否则,不要手动配置公共IP和静态端口设置。
然而,在某些情况下您需要配置这些设置。 例如,当您使用端口转发规则作为解决与本地路由器相关的NAT问题的解决方案时。
创建一个网络规则,定义使用离线云传输发送的WAN流量类型。 然后配置此规则以通过离线云传输来路由流量。
您无法配置离线云传输的接口角色选项。 此外,禁用使用离线云作为主要传输的网络规则的TCP加速。
有关网络规则的更多信息,请参见配置网络规则。
配置离线传输的网络规则:
- 从导航菜单中点击网络 > 网络规则。
- 点击新建。 添加网络规则面板打开。
- 创建一个新的WAN网络规则:
- 在常规部分中,输入规则的名称。
- 在规则类型下拉菜单中,选择WAN。
- 配置规则顺序以定义该规则在网络规则库中的位置。
- 展开来源部分并选择一个或多个对象作为此规则的流量来源(或者可以输入一个IP地址)。
- 展开目的地部分并输入字符串或选择一个或多个对象作为此规则的流量目的地。
- 展开应用/类别部分并选择此规则的一个或多个应用程序。
- 配置网络规则的传输设置:
-
展开配置部分。
- 确保主动TCP加速已禁用。
- 在主要传输中,配置离线云为主要传输。
-
在次要传输中,配置次要传输:
- 自动 - 套接字自动选择次要传输选项
- 无 - 仅通过主要传输发送流量(离线云传输)
- Cato - 套接字使用Cato云作为次要传输选项
-
- 点击应用。
-
点击保存。
更改已保存至您的未发布修订,可以编辑直到发布或丢弃。
对于有多个链接的套接字,您可以配置离线云流量的活跃/活跃和活跃/被动部署。 如果您选择仅为离线流量启用一个链接,且该链接无法发送流量,则离线连接将遵循网络规则的传输设置中的次要传输选项。
有关具有多个链接的套接字的深入技术背景,请参阅第一部分:套接字接口和优先级。
在活跃/被动部署中,套接字链接被设置为不同的优先级,为站点提供高可用性。 每隔几秒钟,套接字评估活跃链接的质量 - 如果活跃链接的健康状况下降,套接字会逐渐将流量转移到被动链接。 当链接质量恢复后,套接字恢复通过活跃链接发送流量。 类似地,如果活跃链接掉线,则流量流动会转移到被动链接,直到活跃链接恢复。 这是最低链接质量指标:
- 丢包率 - 3%
- 抖动 - 30 ms
- 延迟 - 600 ms
如果一个链接无法满足上述指标之一,则流量会逐渐移动到另一个链接。 每10秒,套接字评估链接并选择最适合流量的链接。 因此,如果套接字切换到被动链接,则它至少等待10秒钟才能切换回活跃链接。
在某些情况下,切换到被动链接会在两个站点之间产生不对称流量。 例如,site1 和 site2 都配置为活跃/被动部署。 如果site1故障转移到被动链接,site1通过WAN2发送流量,而site2通过WAN1发送流量。 另一种情况是,当一个站点配置为活跃/活跃部署,另一个站点为活跃/被动。 一个站点的单一活跃链接将流量发送到另一个站点的两个活跃链接。
定义套接字设置,以配置链接为离线云流量的活跃/活跃或活跃/被动部署。
配置活跃/活跃或活跃/被动的离线流量站点:
- 在导航菜单中,选择网络 > 站点,然后选择站点。
- 在导航菜单中,选择站点配置 > 套接字。
-
为此站点启用离线云流量。
当此选项被禁用时,滑块是灰色的。
- 配置WAN 1链接的设置:
-
点击链接。
编辑套接字接口窗格打开。
- 在常规部分中,将优先级设置为1(活动)。
- 展开离线部分。
- 在流量状态下拉菜单中,选择已启用。
- (可选) 输入离线链接的公共IP和静态端口号码。
- 点击应用。 WAN1链接的离线设置已更新。
-
-
重复步骤4,并配置WAN2链接的设置:
- 对于活跃/被动,将优先级设置为2(被动)。
- 对于活跃/活跃,将优先级设置为1(活动)。
- 点击保存。 该站点的离线设置已配置。
您可以在离线云屏幕中显示离线云流量和隧道的分析和状态。
事件屏幕显示您账户的所有离线云传输事件。 强大的搜索工具可让您深入挖掘并识别包含您所需相关数据的少数事件。
您可以在 此处 了解更多关于使用事件屏幕的信息。 您可以使用SaaS安全API数据保护预设来过滤事件。
| 事件子类型 | 描述 |
|---|---|
| 离线传输连接 | 站点连接到离线隧道(通常为初始连接) |
| 离线传输断开连接 | 站点的离线传输断开连接 |
0 条评论
请登录写评论。