站点的高级配置

本文解释了如何为特定站点定制高级配置。

使用高级配置来配置站点

站点的高级配置部分允许您为该站点配置高级功能和设置。该部分中的可用功能取决于站点的连接类型。有关使用高级功能的更多信息，请参见账户的高级配置工作。

当高级设置被禁用时，您正在将其配置为使用全局设置。

配置站点的高级功能：

从导航菜单中，点击网络 > 站点，并选择该站点。
从导航菜单中，点击高级配置。
在状态列中，使用切换开关启用或禁用每个设置的状态（绿色为启用，灰色为禁用）。
要配置或编辑设置的值，请点击名称列中的设置名称。

编辑 <设置名称>面板打开。
在编辑面板中，您可以：
- 输入或选择一个值
- 输入或编辑一条评论，以解释这个高级设置的原因（推荐）。
点击应用。高级配置的变更已添加到屏幕中。
点击保存。配置设置已保存。

处理账户和站点设置

高级配置部分中的某些功能可以为特定站点或您账户中的所有站点进行配置。当您为一个站点配置高级功能时，它会覆盖账户的设置（在资产 > 高级配置中）。某些功能仅支持Socket站点。例如，功能alpha仅支持Socket。如果您为整个账户配置了功能alpha，它只对Socket站点有意义。

配置站点的广域网恢复

为了提高网络的弹性，WAN恢复功能在Cato Cloud中出现连接问题时提供支持，并且sockets无法使用它将WAN流量发送到其他站点。该功能会自动使用绕过隧道与其他Socket站点保持连接。当Sockets重新建立与Cato Cloud的连接后，它们会自动恢复正常操作。

注意

注意:必须在Socket WAN链接上启用离线云流量以支持WAN恢复。

在临时WAN恢复期间，WAN流量绕过Cato Cloud，以下是流量的变化：

Cato 管理应用程序不分析连接性数据，也不会为网络健康或质量生成警报。
Cato 安全套件（防火墙和安全服务）未应用于流量。

要配置WAN恢复设置，请参见上文为站点使用高级配置，使用如下值：

已禁用 - 该站点使用为账户配置的设置。
已启用 和开 - 该站点已配置为为其他站点的广域网流量提供恢复。该功能与已禁用相同。
已启用 和关闭 - 该站点的恢复功能未启用，并且不支持或维护绕过隧道。

有关为所有站点配置全局WAN恢复设置的更多信息，请参见账户的高级配置工作。

配置通过互联网进行站点恢复

为了提高互联网流量的弹性，通过互联网恢复功能在连接Cato Cloud出现问题时提供支持，并且Cato Socket无法使用它进行互联网流量。启用后，该功能会自动恢复与ISP链接的互联网连接以发送互联网流量。

在临时互联网恢复期间，互联网流量绕过Cato Cloud，以下是流量的变化：

互联网防火墙和URL过滤规则未应用于流量
威胁防护服务未应用于流量
Cato 管理应用程序不分析连接性数据，也不会为互联网流量生成警报。

要配置互联网恢复设置，请参见上文为站点使用高级配置，使用如下值：

已禁用 - 该站点使用为账户配置的设置。
已启用 和开 - 该站点已配置为为所有流量提供恢复到互联网。该功能与已禁用相同。
已启用 和关闭 - 通过互联网恢复功能对该站点已禁用。

注意

重要！我们建议您始终启用通过互联网恢复功能，并选择开或关选项来管理互联网流量的恢复。当此功能被禁用时，使用Socket Web UI配置的设置可能会出现问题。

为DTLS通道到Cato云配置MTU

您可以配置Socket和Cato Cloud中的PoP之间的DTLS隧道的最大MTU。对于这些DTLS隧道内的流量，此值会覆盖在Socket WebUI中配置的MTU。此设置仅适用于物理Socket，且不适用于vSocket。

使用Socket to PoP最大MTU字段来配置DTLS隧道的MTU，请参见上面的使用站点高级配置。

站点与PoP断开连接时阻止本地路由

默认情况下，站点内部的流量（例如，在VLANs之间）通过Cato PoP路由，该路由会检查流量。流量从VLAN流向Cato Cloud中的PoP，然后再流向其他VLAN。

如果站点暂时与Cato Cloud断开连接，默认行为是故障开放。流量直接从VLAN流向其他VLAN而不经过检查。您可以为特定站点自定义此行为，使其与账户的全局默认设置不同。需要Socket v15.0或更高版本。

您也可以选择将全局账户级行为设置为故障关闭，使得默认情况下所有Socket站点在它们与PoP断开连接时阻止本地路由流量。

注意

注意：对配置了LAN防火墙或本地路由规则的站点而言，这些规则优先于与PoP断开连接时阻止本地路由的设置。因此，该设置不适用于与规则匹配的流量。

要配置与PoP断开连接时阻止本地路由的设置，请参见上面的使用站点高级配置并使用以下值：

已禁用 - 该站点使用为账户配置的设置。
已启用 和开 - 当该站点与PoP断开连接时，站点内的流量路由被阻止。这是 Fail-Close 行为。
已启用 和关闭 - 当该站点与PoP断开连接时，站点内的流量路由被允许。这是 Fail-Open 行为。

下图显示了本地路由行为：

修改WAN TCP 代理模式

TCP代理使您可以修改您的WAN TCP代理模式，以在每个连接的第一个SYN数据包上启动或者在TCP握手完成后延迟启动WAN TCP代理。您可以在解释Cato TCP加速和最佳实践中了解更多关于这两种TCP代理模式的信息。

要更改WAN TCP代理模式：

在高级配置页面中，点击TCP代理配置。 编辑配置窗格已打开。
启用配置并选择模式值：
1. 开 - 完整的WAN TCP代理。
2. 关闭 - 保留原始WAN TCP协议协商并延迟TCP代理。

修改突发值

微突发的特点是在极短的时间内突然涌现的数据包或数据帧。

当微突发在短时间内超出站点的速率限制时，可能由于最后一英里提供商（ISP）的过多的数据包丢弃而导致数据包丢失。

下行突发值和上行突发值允许您通过修改下行或上行方向的突发度值来调整站点在网络上的微突发处理模式。修改突发度级别值可能会通过为微突发应用更积极或更宽容的整形策略来缓解由于突发度引起的数据包丢失。默认的突发度值取决于接口带宽：

对于接口带宽40 Mbps 及以上，默认值为0.2
对于接口带宽低于40 Mbps ，默认值为0.1

有关突发度和数据包丢失的更多信息，请参见如何排查Socket站点数据包丢失。

要配置上行或下行流量的突发度值设置，请参见上面的使用站点高级配置。

注意

注意：

所有Sockets版本必须在12.0及以上才能支持配置突发度。
只有在隧道重置后新值才会生效。

修改IPsec生命周期值

IPsec阶段有生命周期，这是安全联盟（SA）有效的持续时间。

IPsec P1生命周期秒数和IPsec P2生命周期秒数是两个高级配置参数，允许您分别更改每个阶段的生命周期以匹配远程设置中的IKEv1和IKEv2。默认生命周期值取决于阶段：

对于阶段1，默认值为：
- 对于IKEv1：86400
- 对于IKEv2：19800
注意

注意：默认情况下，P1的值不会在Cato管理应用程序中显示。如果您想设置这些值，请按照上面的程序进行操作。
对于阶段2，默认值为3600，适用于IKEv1和IKEv2。

配置在隧道重启或当前SA生命周期到期后应用。

有关更多信息，请参阅IPsec 站点文章。

输入静态 MAC 地址

出于安全原因，一些设备未启用ARP。要启用这些设备的信息搜集，您现在可以通过提供以下格式的JSON字符串手动将它们添加到您的站点：

{ \"ifc_id\": \"LAN1\", \"ip\": \"10.10.10.1\", \"mac\": \"7c:05:1e:11:11:12\" }

每一个字段展示了以下参数： 'ifc_id' 指定了LAN接口， 'ip' 是设备的IP地址， 'mac' 是设备的MAC地址。

ifc_id 是局域网接口。在上面的示例中，LAN1
ip 是设备的 IP 地址。在上面的示例中，10.10.10.1
mac 是设备的MAC地址。在上面的示例中，7c:05:1e:11:11:12

配置适用于所有版本20及更高版本的Socket站点。