配置网络规则

本文讨论如何使用网络规则页面管理和优先处理您帐户中的流量。

有关网络规则和Cato的更多信息,请参见What is the Cato Network Rulebase

在单个规则中处理多个对象

来源应用/类别目的地列形成与关系:仅当流量符合所有三列中定义的条件时规则才会触发。

当一个列中有多个项目时,存在或关系:如果流量符合为任何项目定义的条件,则适用该规则。 例如,定义应用/类别TCP,端口为443的规则与所有TCP流量或使用443端口的TCP和UDP流量匹配。

策略修订与多管理员并行编辑

网络规则页面允许不同的管理员并行编辑策略。 每个管理员可以编辑规则并将更改保存到他们自己的私有修订中,然后将其发布到帐户策略(已发布修订)。 有关如何管理策略修订的更多信息,请参见Working with Policy Revisions

创建网络规则

根据网络规则列表中的出现顺序对网络规则进行评估,最佳做法是滚动到新规则的所需位置,然后在现有规则之上或之下添加。 或者,您可以将新规则添加到列表末尾并将其移动到所需位置。

当您为网络规则配置来源(流量类型)时,可以使用全局对象(例如应用程序类别或全球范围)来定义与规则匹配的流量类型。

NetworkRules.png

要创建WAN或互联网网络规则:

  1. 从导航菜单中,点击网络 > 网络规则

  2. 点击新建添加网络规则面板打开。

  3. 常规部分中,配置规则的以下设置:

    1. 输入规则的名称

    2. 规则类型下拉菜单中,选择此规则是否适用于WAN互联网流量。

    3. 使用滑块启用或禁用规则(绿色为启用,灰色为禁用)。

    4. 配置规则顺序,定义规则在网络规则库中的出现位置。

      新规则被添加到规则库的底部。 您可以更改此规则的应用顺序。

  4. 展开来源部分,为此规则的流量来源选择一个或多个对象(或者您可以输入IP地址)。

    1. 选择类型(例如:主机,网络接口,IP,IP范围,或任何)。 默认值是任意

    2. 如有需要,从该类型的下拉列表中选择特定对象。

  5. 对于WAN流量规则,展开目的地部分,为此规则的流量目的地选择一个或多个对象。

  6. 展开应用/类别部分,为规则选择一个或多个应用程序。

    当规则中有多个应用/类别对象时,之间存在或关系。 默认值是任意

    有关应用/类别部分中每个选项的详细说明,请参见Reference for Rule Objects

  7. 配置部分中,您可以配置以下网络规则的设置(请参见下文说明):

  8. 点击应用。 面板关闭,设置在规则库中更新。

  9. 点击保存

    更改保存到您的未发布修订中,并且可以编辑,直到发布或丢弃。

更改规则的带宽优先级(QoS)

默认情况下,新规则被分配默认优先级,您可以根据网络的QoS需求更改优先级。

优先级数字越小,规则的QoS优先级越高。 例如,优先级为10的规则比优先级为40的规则具有更高的QoS优先级。

有关定义帐户带宽策略的更多信息,请参见Configuring Bandwidth Management Profiles

要更改规则的带宽优先级:

  1. 从导航菜单中,点击网络 > 网络规则

  2. 点击网络规则。 编辑网络规则面板打开。

  3. 展开配置部分。

  4. 带宽管理部分,从带宽优先级下拉菜单中,选择此规则的QoS优先级。

  5. 点击应用。 面板关闭,并且设置在规则库中已更新。

  6. 点击保存

    更改保存到您的未发布修订中,并且可以编辑,直到发布或丢弃。

配置传输和路由选项

本节解释如何配置网络规则的传输选项并将流量出口到特定位置或IP地址。

自定义规则的传输选项

网络规则在全球范围内配置。 如果特定站点没有指定的传输,Socket将这种配置视为配置为自动

如果选择显式传输/NIC,QoS引擎会监控丢包、抖动和延迟。 如果出现拥堵,数据包将被丢弃。 如果选择自动传输,QoS引擎除了丢包、抖动和延迟外,还会监控拥塞。

备用WAN不支持作为离线云的次要传输。 您不能配置以备用WAN作为主要传输并切换到离线云的网络规则。

TransportOptions.png

  • WAN规则具有以下默认设置:

    • 主要传输:Cato

    • 次要传输:自动(考虑其他传输如MPLS,如适用)

    • 主要接口角色:自动

    • 次要接口角色:无(禁用,因为由自动设置处理主要NIC)

    • 路由/NAT:-(不适用于WAN规则)

  • 互联网规则具有以下默认设置:

    • 主要传输:Cato

    • 次要传输:无(不要使用其他传输)

    • 主要接口角色:自动

    • 次要接口角色:无(禁用,因为由自动设置处理主要NIC)

    • 路由/NAT:无

自定义网络规则的传输选项:

  1. 从导航菜单中,点击网络 > 网络规则

  2. 点击网络规则。 编辑网络规则面板打开。

  3. 展开配置部分。

  4. 根据需要配置传输字段:要通过特定传输路由流量,您可以配置您的主要和次要传输。

    只要主要传输是上线并可用的,卡托QoS引擎会使用它。 如果主要传输不可用,会使用次要传输。

  5. 配置接口角色字段(仅适用于通过卡托云路由流量)。

    要通过特定链接路由流量,您可以配置您的主要和次要NICs。 主要接口角色在Cato QoS引擎确定可用并可用时使用。

    如果主要接口角色不可用,则使用次要接口角色

  6. 点击应用。 面板关闭,并且设置在规则库中已更新。

  7. 点击保存

    更改保存到您的未发布修订中,并且可以编辑,直到发布或丢弃。

设置互联网网络规则的路由方法

您可以通过不同选项配置互联网网络规则以出口流量。

最佳实践:对于传出流量的互联网网络规则(带有NAT路由通过选项),我们建议您为规则定义一个特定的应用/类别。 选择任何作为来源应用/类别会路由所有互联网流量,并可能导致不可预测的性能。

  • 路由通过 - 允许您选择将流量发送到互联网的出站PoP位置

    注意:当流量出口到东京时,选择一个东京PoP位置(例如Tokyo_DC2)会将所有东京PoP位置自动添加到网络规则中。 IP范围在东京PoP位置间共享,确保账户的无缝体验。

  • NAT - 允许您通过特定的Cato分配的IP地址及其PoP位置出口流量。 符合此规则的流量会被翻译为该IP,并通过相关的PoP出口。 无论是NAT还是通过路由,都会通过特定的PoP路由流量,但NAT允许您指定流量翻译到的IP。

  • 通过回程路由-通过一个或多个回程网关站点出口互联网流量

    了解更多信息,请参阅这些关于互联网流量回传的文章。

对于通过路由NAT,当您配置多个出口IP时,流量会使用离来源最近的PoP位置的出口IP。

路由方法NAT-保留源端口

默认情况下,当PoP对互联网流量执行NAT时,它会修改IP头中的源端口和源IP。 在某些情况下,应用程序需要保留IP头中的原始源端口,例如SIP流量。 当您选择保留源端口选项时,PoP会保留翻译后的数据包IP头中的原始源端口。

Routing_Method_Preserve_Source_Port.png

注意

注意: 如果存在多个流量具有相同的源端口,则在NAT转换过程中为这两个流量保留源端口会产生冲突。 在这种情况下,PoP会保留第一个流量的源端口,并为后续流量分配一个随机端口。

设置互联网网络规则的路由方法:

  1. 从导航菜单中,点击 网络 > 网络规则

  2. 点击网络规则。 编辑网络规则 面板打开。

  3. 展开 配置 部分。

  4. 路由/NAT 下拉菜单中,选择与规则匹配的流量的路由选项:

    • 路由通过 - 要通过特定的Cato Cloud PoP位置路由流量,请输入点击Domain_plus.png并选择您要从中出口流量的位置。

    • NAT - 要为此规则通过特定的IP出口流量,请点击Domain_plus.png并选择您要从中出口流量的分配IP。

  5. (可选) 若要为翻译流量使用原始源端口,请选择 保留源端口

  6. 点击 应用。 面板关闭,设置已在规则库中更新。

  7. 点击 保存

    更改保存到您的未发布修订中,并且可以编辑,直到发布或丢弃。

查看规则的事件

您可以使用 查看规则事件 显示特定网络规则的事件。 选择此操作时,事件页面打开,并为匹配该规则的所有事件预先筛选。

查看规则的事件:

  1. 从导航菜单中,点击 网络 > 网络规则

  2. 在右侧,单击more.png并选择查看事件规则

事件页面显示已过滤的相关规则事件。

rule-event.png

自定义规则的加速&优化

  • TCP加速不影响作为网络规则一部分的非TCP流量(基于UDP的流量)。

  • 路由/NAT设置或TLS检查生效时,这意味着Cato在流量上启用了TCP代理。

  • Cato Cloud的隐式网络默认规则是充当TCP代理。 因此,如果没有先前的规则与流量匹配,则应用TCP代理。

  • 对于使用备用WAN作为主要或次要传输的规则,TCP加速被禁用(灰色显示)。

有关加速Cato Cloud中的流量的更多信息,请参见Accelerating and Optimizing Traffic

有关丢包缓解的更多信息,请参见Packet Loss Mitigation for Multi-Tunnel Links

设置规则的加速和优化:

  1. 从导航菜单中,点击 网络 > 网络规则

  2. 点击网络规则。 编辑网络规则 面板打开。

  3. 展开 配置 部分。

  4. 选择 主动TCP加速 以启用PoP充当匹配此规则的流量的TCP代理服务器。

  5. 选择 数据包丢失缓解 以启用数据包复制,以帮助缓解匹配此规则的流量的数据包丢失的影响。

  6. 点击 应用。 面板关闭,设置已在规则库中更新。

  7. 点击 保存

    更改保存到您的未发布修订中,并且可以编辑,直到发布或丢弃。

添加一个例外

您可定义一个例外流量,不将网络规则应用于该例外。 使用源、应用/类别和目标的对象(实体)定义流量例外。 具有多个对象的例外与网络规则具有相同的行为,请参见上面的在单个规则中处理多个对象

NetworkRuleExceptions.png

上例中有一条网络规则适用于匹配VoIP视频类别的所有流量。 此规则有一个例外,适用于以下两种情况都满足的流量:

  • 源是 示例1500站点

  • 应用程序是 Skype和MS Teams

添加网络规则例外:

  1. 从导航菜单中,点击 网络 > 网络规则

  2. 点击网络规则。 编辑网络规则 面板打开。

  3. 展开 应用/类别目标 部分,并点击 添加例外

    Network_Source_Exception.png

  4. 定义该部分的例外:

    1. 在下拉菜单中,为例外选择流量类型。

      上面的截图显示了如何为特定主机添加一个例外。

    2. 从下拉列表中选择该类型的特定对象。

    3. 重复前两个步骤以定义例外的其他对象。

      一个部分中的多个对象是“或”关系。

  5. 如有必要,重复步骤4以定义其他各部分的例外。

    多个部分中的对象是“和”关系。

  6. 点击应用。 面板关闭,设置在规则库中更新。

  7. 点击保存

    更改保存到您的未发布修订中,并且可以编辑,直到发布或丢弃。

将网络规则导出到CSV文件中

您可以生成一个包含根据您账户规则库的所有网络规则数据的CSV文件。

注意

注意: 只有具有编辑者角色的Cato 管理应用程序管理员才能导出到CSV文件。 有关配置管理员角色的更多信息,请参见Managing Administrators

要导出网络规则策略:

  1. 从导航菜单中,点击网络 > 网络规则

  2. 点击导出,在弹出窗口中点击确定

  3. 选择CSV文件的位置并保存文件。

理解导出文件的内容

导出的CSV文件的首行列出相关规则库中的字段名称和选项。 然后根据优先级列出规则,从最低数值开始。

CSV文件包含以下列:

项目

描述

优先级

规则在规则库中的优先级

规则状态

规则启用或禁用

类型

规则类型是WAN或互联网

名称

网络规则的名称

来源

此规则的流量来源

应用/类别

适用于此规则的项目(应用程序、类别、服务等)

目的地

此规则的流量目的地

带宽优先级

此规则的带宽管理配置文件

路由

此规则应用的路由类型(NAT、回程等)。 仅适用于互联网网络规则

传输

此规则的传输类型(WAN接口传输、主要和次要传输)

加速&优化

优化设置已启用或禁用(TCP加速和数据包丢失缓解)

这篇文章有帮助吗?

2 人中有 2 人觉得有帮助

0 条评论