配置网络规则

本文介绍如何使用网络规则屏幕来管理和调整您帐户中的流量优先级。

有关网络规则和卡托的更多信息,请参见卡托网络规则库是什么

在单一规则中处理多个对象

来源应用/类别目的地列形成与关系:仅当流量符合所有三列中定义的条件时规则才会触发。

当一个列中有多个项目时,存在或关系:如果流量符合为任何项目定义的条件,则适用该规则。 例如,定义应用/类别TCP,端口为443的规则与所有TCP流量或使用443端口的TCP和UDP流量匹配。

创建网络规则

根据网络规则列表中的出现顺序对网络规则进行评估,最佳做法是滚动到新规则的所需位置,然后在现有规则之上或之下添加。 或者,您可以将新规则添加到列表末尾并将其移动到所需位置。

当您为网络规则配置来源(流量类型)时,可以使用全局对象(例如应用程序类别或全球范围)来定义与规则匹配的流量类型。

NetworkRules.png

要创建WAN或互联网网络规则:

  1. 从导航菜单中,点击网络 > 网络规则

  2. 点击新建添加网络规则面板打开。

  3. 常规部分中,配置规则的以下设置:

    1. 输入规则的名称

    2. 规则类型下拉菜单中,选择此规则是否适用于WAN互联网流量。

    3. 使用滑块启用或禁用规则(绿色为启用,灰色为禁用)。

    4. 配置规则顺序,定义规则在网络规则库中的出现位置。

      新规则被添加到规则库的底部。 您可以更改此规则的应用顺序。

  4. 展开来源部分,为此规则的流量来源选择一个或多个对象(或者您可以输入IP地址)。

    1. 选择类型(例如:主机,网络接口,IP,IP范围,或任何)。 默认值是任意

    2. 如有需要,从该类型的下拉列表中选择特定对象。

  5. 对于WAN流量规则,展开目的地部分,为此规则的流量目的地选择一个或多个对象。

  6. 展开应用/类别部分,为规则选择一个或多个应用程序。

    当规则中有多个应用/类别对象时,之间存在或关系。 默认值是任意

    有关应用/类别部分中每个选项的详细说明,请参见规则对象参考

  7. 配置部分中,您可以配置以下网络规则的设置(请参见下文说明):

  8. 点击应用。 面板关闭,设置在规则库中更新。

  9. 点击保存。 新网络规则已保存。

更改规则的带宽优先级(QoS)

默认情况下,新规则被分配默认优先级,您可以根据网络的QoS需求更改优先级。

优先级数字越小,规则的QoS优先级越高。 例如,优先级为10的规则比优先级为40的规则具有更高的QoS优先级。

有关为您的账户定义带宽策略的更多信息,请参见配置带宽管理配置文件

要更改规则的带宽优先级:

  1. 从导航菜单中,点击网络 > 网络规则

  2. 点击网络规则。 编辑网络规则面板打开。

  3. 展开配置部分。

  4. 带宽管理部分,从带宽优先级下拉菜单中,选择此规则的QoS优先级。

  5. 点击应用。 面板关闭,并且设置在规则库中已更新。

  6. 点击保存。 规则的带宽优先级已保存。

配置传输和路由选项

本节解释如何配置网络规则的传输选项并将流量出口到特定位置或IP地址。

自定义规则的传输选项

网络规则在全球范围内配置。 如果特定站点没有指定的传输,卡托套接字会将此配置视为自动配置。

如果您选择显式传输/NIC,则QoS引擎会监控数据包丢失、抖动和延迟。 如果出现拥堵,数据包将被丢弃。 如果您选择自动传输,QoS引擎会在监控数据包丢失、抖动和延迟的同时监控拥堵。

备用WAN不支持作为离线云的次要传输。 您不能配置以备用WAN作为主要传输并切换到离线云的网络规则。

TransportOptions.png

  • WAN规则具有以下默认设置:

    • 主要传输:Cato。

    • 次要传输:自动(考虑其他传输,如MPLS,如果适用)。

    • 主要接口角色:自动。

    • 次要 接口角色:无(因主要NIC的自动设置处理而禁用)。

    • 路由/NAT:-(不适用于WAN规则)。

  • 互联网规则具有以下默认设置:

    • 主要传输:Cato。

    • 次要传输:无(当前不能使用其他传输)。

    • 主要接口角色:自动。

    • 次要接口角色:无(因主要NIC的自动设置处理而禁用)。

    • 路由/NAT:无。

自定义网络规则的传输选项:

  1. 从导航菜单中,点击网络 > 网络规则

  2. 点击网络规则。 编辑网络规则面板打开。

  3. 展开配置部分。

  4. 根据需要配置传输字段:要通过特定传输路由流量,您可以配置您的主要和次要传输。

    只要主要传输是上线并可用的,卡托QoS引擎会使用它。 如果主要传输不可用,会使用次要传输。

  5. 配置接口角色字段(仅适用于通过卡托云路由流量)。

    要通过特定链接路由流量,您可以配置您的主要和次要NICs。 只要主要接口角色是上线并可用的,卡托QoS引擎会使用它。 如果主要接口角色不可用,会使用次要接口角色。

  6. 点击应用。 面板关闭,并且设置在规则库中已更新。

  7. 点击保存。 规则的传输选项已保存到账户。

设置互联网网络规则的路由方法

您可以通过不同选项配置互联网网络规则以出口流量。

最佳实践:对于流量出口的互联网网络规则(使用NAT通过路由选项),我们建议您为规则定义特定的来源应用/类别。 选择任何作为来源应用/类别会路由所有互联网流量,并可能导致不可预测的性能。

  • 通过路由 - 允许您选择发送流量到互联网的出口PoP位置
    注意: 当发送流量到东京时,选择一个东京PoP位置(如Tokyo_DC2)时,所有东京PoP位置将自动添加到网络规则中。 IP范围在东京PoP位置间共享,确保账户的无缝体验。

  • NAT - 允许您通过特定卡托分配的IP地址及其PoP位置出口流量。 符合此规则的流量会被翻译为该IP,并通过相关的PoP出口。 无论是NAT还是通过路由,都会通过特定的PoP路由流量,但NAT允许您指定流量翻译到的IP。

  • 通过回程路由-通过一个或多个回程网关站点出口互联网流量

    了解更多信息,请参阅这些关于互联网流量回传的文章。

对于通过路由NAT,当您配置多个出口IP时,流量会使用离来源最近的PoP位置的出口IP。

路由方法NAT-保留源端口

默认情况下,当PoP对互联网流量执行NAT时,它会修改IP头中的源端口和源IP。 在某些情况下,应用程序需要保留IP头中的原始源端口,例如SIP流量。 当您选择保留源端口选项时,PoP会保留翻译后的数据包IP头中的原始源端口。

Routing_Method_Preserve_Source_Port.png

注意

注意: 如果存在多个流量具有相同的源端口,则在NAT转换过程中为这两个流量保留源端口会产生冲突。 在这种情况下,PoP会保留第一个流量的源端口,并为后续流量分配一个随机端口。

设置互联网网络规则的路由方法:

  1. 从导航菜单中,点击 网络 > 网络规则

  2. 点击网络规则。 编辑网络规则 面板打开。

  3. 展开 配置 部分。

  4. 路由/NAT 下拉菜单中,选择与规则匹配的流量的路由选项:

    • 通过路由 - 要通过特定的卡托云PoP位置进行流量路由,请点击 Domain_plus.png 并选择您要从中出口流量的位置。

    • NAT - 要通过特定IP出口流量,请点击 Domain_plus.png 并选择您要从中出口流量的已分配IP。

  5. (可选) 若要为翻译流量使用原始源端口,请选择 保留源端口

  6. 点击 应用。 面板关闭,设置已在规则库中更新。

  7. 点击 保存。 规则的路由选项已保存。

查看规则的事件

您可以使用 查看规则事件 显示特定网络规则的事件。 选择此操作时,事件页面打开,并为匹配该规则的所有事件预先筛选。

查看规则的事件:

  1. 从导航菜单中,点击 网络 > 网络规则

  2. 在右侧,点击 more.png 并选择查看事件规则

事件页面显示已过滤的相关规则事件。

rule-event.png

自定义规则的加速&优化

  • TCP加速不影响作为网络规则一部分的非TCP流量(基于UDP的流量)。

  • 路由/NAT设置或TLS检查生效时,这意味着Cato在流量上启用了TCP代理。

  • Cato Cloud的隐式网络默认规则是充当TCP代理。 因此,如果没有先前的规则与流量匹配,则应用TCP代理。

  • 对于使用备用WAN作为主要或次要传输的规则,TCP加速被禁用(灰色显示)。

有关在Cato Cloud中加速流量的详细信息,请参阅加速和优化流量

有关数据包丢失缓解的更多信息,请参阅多通道链接的数据包丢失缓解

设置规则的加速和优化:

  1. 从导航菜单中,点击 网络 > 网络规则

  2. 点击网络规则。 编辑网络规则 面板打开。

  3. 展开 配置 部分。

  4. 选择 主动TCP加速 以启用PoP充当匹配此规则的流量的TCP代理服务器。

  5. 选择 数据包丢失缓解 以启用数据包复制,以帮助缓解匹配此规则的流量的数据包丢失的影响。

  6. 点击 应用。 面板关闭,设置已在规则库中更新。

  7. 点击 保存。 加速和优化设置已保存。

添加一个例外

您可定义一个例外流量,不将网络规则应用于该例外。 使用源、应用/类别和目标的对象(实体)定义流量例外。 具有多个对象的例外与网络规则具有相同的行为,请参阅上面的在单个规则中使用多个对象

NetworkRuleExceptions.png

上例中有一条网络规则适用于匹配VoIP视频类别的所有流量。 此规则有一个例外,适用于以下两种情况都满足的流量:

  • 源是 示例1500站点

  • 应用程序是 Skype和MS Teams

添加网络规则例外:

  1. 从导航菜单中,点击 网络 > 网络规则

  2. 点击网络规则。 编辑网络规则 面板打开。

  3. 展开 应用/类别目标 部分,并点击 添加例外

    Network_Source_Exception.png

  4. 定义该部分的例外:

    1. 在下拉菜单中,为例外选择流量类型。

      上面的截图显示了如何为特定主机添加一个例外。

    2. 从下拉列表中选择该类型的特定对象。

    3. 重复前两个步骤以定义例外的其他对象。

      一个部分中的多个对象是“或”关系。

  5. 如有必要,重复步骤4以定义其他各部分的例外。

    多个部分中的对象是“和”关系。

  6. 点击应用。 面板关闭,设置在规则库中更新。

  7. 点击保存。 规则的例外已保存。

将网络规则导出到CSV文件中

您可以生成一个包含根据您账户规则库的所有网络规则数据的CSV文件。

注意

注意: 只有具有编辑者角色的Cato 管理应用程序管理员才能导出到CSV文件。 有关配置管理员角色的更多信息,请参阅 管理员管理

要导出网络规则策略:

  1. 从导航菜单中,点击网络 > 网络规则

  2. 点击导出,在弹出窗口中点击确定

  3. 选择CSV文件的位置并保存文件。

理解导出文件的内容

导出的CSV文件的首行列出相关规则库中的字段名称和选项。 然后根据优先级列出规则,从最低数值开始。

CSV文件包含以下列:

项目

描述

优先级

规则在规则库中的优先级

规则状态

规则启用或禁用

类型

规则类型是WAN或互联网

名称

网络规则的名称

来源

此规则的流量来源

应用/类别

适用于此规则的项目(应用程序、类别、服务等)

目的地

此规则的流量目的地

带宽优先级

此规则的带宽管理配置文件

路由

此规则应用的路由类型(NAT、回程等)。 仅适用于互联网网络规则

传输

此规则的传输类型(WAN接口传输、主要和次要传输)

加速&优化

优化设置已启用或禁用(TCP加速和数据包丢失缓解)

这篇文章有帮助吗?

2 人中有 2 人觉得有帮助

0 条评论