本文解释了如何将站点配置为回传网关并创建网络规则以将流量路由至该站点。
默认情况下,Cato 从 Cato Cloud 中的 PoP 出口互联网流量。 在某些情况下,客户希望通过特定站点回传互联网流量,以便由现场设备处理或使用站点的本地 ISP 公网 IP 出口。
Cato 的互联网流量回传功能使您可以将这些站点指定为互联网流量的网关,并使用网络规则将相关流量回传到这些站点。
在定义回传网关站点之后,创建互联网网络规则以将相关流量回传至网关站点。 您可以使用网络规则的全部功能,根据您的特定需求灵活地路由流量。 例如,您可以创建一个网络规则,将特定应用程序和特定用户的流量回传到网关站点。
任何类型的站点或 SDP 用户均可在网络规则中定义为互联网流量回传的源。
为了实现冗余,您还可以将其他备份站点定义为回传网关。 在这种情况下,如果主要网关站点不可用,那么流量将根据网络规则中的网关站点顺序路由到备份站点。
如果所有网关站点均与 Cato Cloud 断开连接,则流量直接从 Cato Cloud 出口到互联网。
注意
注意: Cato 支持用于回传的被动 FTP,不支持主动 FTP。
这些是 Cato 支持的回传选项:
-
将互联网流量回传到 Socket 后面的 LAN 设备 - 如果您需要使用现场设备检查部分互联网流量,可以使用此选项。
- 欲了解更多信息,请参见 回程流量到 Socket 后面的 LAN 设备
-
通过 Socket 的 WAN IP 地址回传 - 如果您需要通过 Socket 使用的公网 IP 出口部分互联网应用,可以使用此选项。 例如,访问已将此公网 IP 加入白名单的 SaaS 应用程序。
-
支持自 Socket v16.0 及更高版本
-
欲了解更多信息,请参见 通过 Socket 的 WAN 接口 IP 地址回程流量
-
-
将流量发回同一 Socket 站点 - 如果您需要将互联网流量从 Socket 站点发送到 PoP(用于 Cato 安全服务),然后返回到同一站点以进行进一步处理,可以使用此选项。
-
支持自 Socket v16.0 及更高版本
-
欲了解更多信息,请参见 将流量发回同一站点
-
-
通过 IPsec 站点回程 - 如果您需要将互联网流量出口到第三方基于云/代理的安全服务(例如安全 Web 网关),可以使用此选项。 这是一个 EA 功能。
-
欲了解更多信息,请参见 通过 IPsec 站点回程流量
-
本节展示了互联网回程的细粒度网络规则示例配置(网络规则策略中的规则 #8 - 10)。
有关路由选项的更多信息,您还可以观看此视频教程。
-
网络规则 #8(Bloomberg-app-Backhaul)是一个将特定互联网应用流量回程至 SDP 用户的网络规则示例,如下所示:
-
互联网流量的来源是 SDP 用户示例管理员
-
匹配流量适用于Bloomberg Professional应用程序(在规则中定义为应用/类别)。
-
该流量被分配带宽优先级P20。
-
该流量通过主要网关站点BERLIN-DC2回程。 如果主要网关站点无法访问,则流量通过次要网关站点MILAN回程(在规则中定义为路由)。
-
-
网络规则 #9(US-Backhaul)是区域回程的一个示例。 此规则按如下方式将一组站点的 HTTP(S) 流量回传到网关站点:
-
您可以为规则的源创建任何组合的源站点、SDP用户、组的网络规则。 此外,您可以使用任何作为应用/类别以回程所有互联网流量。
-
对于使用通过回程路由选项的网络规则,您可以在单个规则中使用Socket和IPsec回程网关站点的组合。
0 条评论
请登录写评论。