配置网络规则

概览

网络规则允许您在 WAN 和互联网连接上引导和优先处理流量,使您可以对性能、路由和链接使用进行细粒度的控制。 通过基于应用程序、来源和目的地创建规则,您可以确保关键流量获得正确的 QoS,优化延迟或丢包率,并选择最佳传输路径。 使用网络规则页面定义规则顺序、应用加速设置以及配置与您的业务和技术需求一致的高级路由行为。

有关网络规则和 Cato 的更多信息,请参见网络规则是什么?

在单一规则内处理多个对象

来源应用/类别目的地列形成一个与关系:只有流量符合三列中定义的条件时,规则才会触发。

当一个列中有多个项目时,存在或关系:如果流量符合为任何项目定义的条件,则适用该规则。 例如,定义应用/类别服务TCPUDP的规则,该规则匹配 TCP 或 UDP 流量。

访问权限策略修改和多管理员并发编辑

网络规则页面允许不同的管理员并行编辑策略。 每个管理员可以编辑规则并将更改保存到他们自己的私人修订版,然后发布到账户策略(已发布的修订版)。 有关如何管理策略修订的更多信息,请参阅处理策略修订

启用网络规则访问权限策略

通过使用网络规则页面中的启用网络规则切换按钮来控制是否执行网络规则策略。 启用策略后,配置的规则将应用于在您的账户中路由和优先处理流量。 禁用策略会立即停止这些规则的执行。

启用网络规则访问权限策略:

  1. 从导航菜单中,点击 网络 > 网络规则
  2. 点击 网络规则已禁用旁的切换按钮。
  3. 在确认窗口中点击 继续。 切换按钮为绿色时表示策略已启用。

创建网络规则

要将自定义流量引导或 QoS 应用于特定的 WAN 或互联网流量流,请创建一个定义流量及其处理方式的网络规则。 网络规则是一个有序策略,按照其顺序进行评估。 在正确位置创建新规则,例如在现有规则之前或之后。

在配置来源时,您定义了规则适用于哪些流量。 您可以从多个全局对象(如 IP 范围、应用类别或用户组)中选择匹配相关流量。

每条规则包括以下配置选项:

NetworkRules.png

创建WAN或互联网网络规则:

  1. 从导航菜单中,点击 网络 > 网络规则
  2. 点击 新建 > 新建规则添加网络规则面板打开。
  3. 常规部分,为规则配置以下设置:
    1. 输入规则的名称
    2. 使用滑块启用或禁用规则(绿色为启用,灰色为禁用)。
    3. 选择新规则的位置
    4. 规则类型下拉菜单中,选择该规则是针对WAN还是互联网流量。
  4. 展开来源部分,并为此规则的流量来源选择一个或多个对象(或者您可以输入一个IP地址)。
    1. 选择类型(例如:主机、网络接口、IP、IP范围或任何)。 默认值为任何
    2. 在需要时,从下拉列表中选择该类型的特定对象。
  5. 展开条件部分并向规则中添加设备条件。 有关更多信息,请参阅将设备条件添加到防火墙规则。 默认值为任何
  6. 对于WAN流量规则,展开目的地部分,并为此规则的流量目的地选择一个或多个对象。

  7. 展开应用/类别部分,为规则选择一个或多个应用程序。

    当规则中有多个应用/类别对象时,之间存在或关系。 默认值是任意

    有关应用/类别部分中每个选项的详细说明,请参见规则对象参考

  8. 配置部分中,您可以配置以下网络规则的设置(请参见下文说明):

    • 带宽优先级
    • 主要传输次要传输

  9. 点击保存。 面板关闭,设置已在规则库中更新。

    更改已保存到您的未发布修订版,并可供编辑,直到发布或丢弃。

  10. 点击 发布。 确认窗口打开,点击 发布

更改规则的带宽优先级(QoS)

默认情况下,新规则分配默认优先级 (p255),您可以根据网络的 QoS 需求进行更改。

优先级数字越小,规则的QoS优先级越高。 例如,优先级为 10 的规则具有比优先级为 40 的规则高的 QoS 优先级。

有关为您的账户定义带宽策略的更多信息,请参见配置带宽管理配置文件

要更改规则的带宽优先级:

  1. 从导航菜单中,点击 网络 > 网络规则
  2. 点击网络规则。 编辑网络规则面板打开。
  3. 展开配置部分。
  4. 带宽管理部分,从带宽优先级下拉菜单中,选择此规则的QoS优先级。

  5. 点击保存。 面板关闭,设置已在规则库中更新。

    更改已保存到您的未发布修订版,并可供编辑,直到发布或丢弃。

  6. 点击 发布。 确认窗口打开,点击 发布

配置传输和路由选项

本节解释如何配置网络规则的传输选项并将流量出口到特定位置或IP地址。

为规则自定义传输选项

网络规则在全球范围内配置。 如果特定站点没有指定的传输,Socket将这种配置视为配置为自动

如果选择显式传输/NIC,QoS引擎会监控丢包、抖动和延迟。 如果发生拥堵,将丢弃数据包。 选择用于传输的自动选项后,QoS 引擎除了监控丢包率,还会监控拥堵、抖动和延迟。

备用WAN不支持作为离线云的次要传输。 您不能配置以备用WAN作为主要传输并切换到离线云的网络规则。

TransportOptions.png

  • WAN规则具有以下默认设置:

    • 主要传输:Cato
    • 次要传输:自动(考虑其他传输如MPLS,若适用)
    • 主要接口角色:自动
    • 次要接口角色:无(由主要NIC的自动设置处理禁用)
    • 路由/NAT:-(不适用于WAN规则)

  • 互联网规则具有以下默认设置:

    • 主要传输:Cato
    • 次要传输:无(不使用其他传输)
    • 主要接口角色:自动
    • 次要接口角色:无(由主要NIC的自动设置处理禁用)
    • 路由/NAT:无

为网络规则自定义传输选项:

  1. 从导航菜单中,点击 网络 > 网络规则
  2. 点击网络规则。 编辑网络规则面板打开。
  3. 展开配置部分。

  4. 根据需要配置传输字段:要通过特定传输路由流量,您可以配置您的主要和次要传输。

    主传输将一直使用,只要它上线且可用,由 Cato QoS 引擎确定。 如果主要传输不可用,会使用次要传输。

  5. 配置接口角色字段(仅适用于通过卡托云路由流量)。

    要通过特定链接路由流量,您可以配置您的主要和次要NICs。 主要接口角色在Cato QoS引擎确定可用并可用时使用。

    如果主要接口角色不可用,则使用次要接口角色。 当次要接口角色设置为时,行为基于主要接口角色设置:

    • 自动 - 套接字尽量通过主要传输发送流量
    • 其他接口角色 - 当主要传输不可用时,套接字丢弃流量

  6. 点击保存。 面板关闭,设置已在规则库中更新。

    更改已保存到您的未发布修订版,并可供编辑,直到发布或丢弃。

  7. 点击 发布。 确认窗口打开,点击 发布

为互联网网络规则设置路由方法

您可以通过不同选项配置互联网网络规则以出口流量。

最佳实践:对于传出流量的互联网网络规则(带有NAT路由通过选项),我们建议您为规则定义一个特定的应用/类别。 选择任何作为来源应用/类别会路由所有互联网流量,并可能导致不可预测的性能。

  • 通过路由 - 允许您选择出口 PoP 位置来发送流量到互联网。

    注意:当出口流量到东京时,选择一个东京 PoP 位置(例如Tokyo_DC2),所有东京 PoP 位置将自动添加到网络规则中。 IP 范围在东京 PoP 位置共享,确保账户的无缝体验。

  • NAT - 允许您通过特定Cato分配的IP地址及其PoP位置出口流量。 符合此规则的流量将被转换到该IP,并通过相关PoP出口。 NAT和路由都通过特定PoP路由流量,但NAT允许您指定流量被转换到的IP。

  • 通过回程路由-通过一个或多个回程网关站点出口互联网流量

    有关更多信息,请参阅这些关于互联网流量回传的文章。

注意:有时,网络规则中的所有出口 IP 均不可用,例如在PoP 维护时间窗口期间,PoP 使用不同 IP 地址进行流量传输。 这种情况可能会影响用户连接和体验。 我们建议您为规则定义多个出口IP,以尽量减少影响。

对于通过路由NAT,当您配置多个出口IP时,流量会使用离来源最近的PoP位置的出口IP。

路由方法NAT-保留源端口

默认情况下,当 PoP 在互联网流量上执行 NAT 时,会修改 IP 头中的源端口和源 IP。 在某些情况下,应用程序需要保留 IP 头中的原始源端口,例如 SIP 流量。 选择保留源端口选项时,PoP 在翻译的数据包 IP 头中保留原始源端口。

Routing_Method_Preserve_Source_Port.png

注意: 如果存在多个流量具有相同的源端口,则在NAT转换过程中为这两个流量保留源端口会产生冲突。 在这种情况下,PoP会保留第一个流量的源端口,并为后续流量分配一个随机端口。

为互联网网络规则设定路由方法:

  1. 从导航菜单中,点击 网络 > 网络规则
  2. 点击网络规则。 编辑网络规则面板打开。
  3. 展开配置部分。

  4. 路由/NAT下拉菜单中选择与规则匹配的流量的路由选项:

    • 通过路由 - 要通过特定的Cato Cloud PoP位置路由流量,选择您出口流量的位置

    • NAT - 要通过特定 IP 经 NAT 传出此规则的流量,请选择出口流量所来自的已分配的 IP

      (可选) 若要为翻译流量使用原始源端口,请选择 保留源端口

  5. 点击 保存。 面板关闭,设置已在规则库中更新。

    更改已保存到您的未发布修订版,并可供编辑,直到发布或丢弃。

  6. 点击 发布。 确认窗口打开,点击 发布

为10Gbps吞吐量配置PoP路由

对于连接到支持10Gbps吞吐量的PoP位置的站点,我们建议您配置通过路由NAT网络规则以通过另一个10Gbps PoP位置出口流量。 否则,可能会对站点吞吐量产生影响。

查看规则的事件

您可以使用 查看规则事件 显示特定网络规则的事件。 选择此操作时,事件页面打开,并为匹配该规则的所有事件预先筛选。

查看规则的事件:

  1. 从导航菜单中,点击 网络 > 网络规则
  2. 在右侧,点击 more.png 并选择 查看规则事件

事件页面显示已过滤的相关规则事件。

rule-event.png

自定义规则的加速&优化

  • TCP加速不影响作为网络规则一部分的非TCP流量(基于UDP的流量)。
  • 路由/NAT设置或TLS检查生效时,这意味着Cato在流量上启用了TCP代理。
  • Cato Cloud的隐式网络默认规则是充当TCP代理。 因此,如果没有之前的规则匹配流量,则应用 TCP 代理。
  • 对于使用备用WAN作为主要或次要传输的规则,TCP加速被禁用(灰色显示)。

有关在 Cato Cloud 中加速流量的详细信息,请参阅加速和优化流量

有关数据包丢失缓解的更多信息,请参阅多通道链路的数据包丢失缓解

设置规则的加速和优化:

  1. 从导航菜单中,点击 网络 > 网络规则
  2. 点击网络规则。 编辑网络规则 面板打开。
  3. 展开 配置 部分。
  4. 选择 主动TCP加速 以启用PoP充当匹配此规则的流量的TCP代理服务器。
  5. 选择 数据包丢失缓解 以启用数据包复制,以帮助缓解匹配此规则的流量的数据包丢失的影响。

  6. 点击 保存。 面板关闭,设置已在规则库中更新。

    更改已保存到您的未发布修订版,并可供编辑,直到发布或丢弃。

  7. 单击发布。 确认窗口打开后,单击发布

添加一个例外

您定义了一个网络规则的例外流量,该规则不适用于该流量。 使用源、应用/类别和目标的对象(实体)定义流量例外。 具有多个对象的例外与网络规则具有相同的行为,请参阅上文在单个规则中处理多个对象

NetworkRuleExceptions.png

上例中有一条网络规则适用于匹配VoIP视频类别的所有流量。 对于符合以下两个条件的流量,本规则有一个例外:

  • 源是 示例1500站点
  • 应用程序是 Skype和MS Teams

添加网络规则例外:

  1. 从导航菜单中,点击网络 > 网络规则
  2. 识别您正在为其创建例外的规则,并在规则的末尾点击更多图标 more.png 并选择 添加例外
  3. 定义该部分的例外:

    1. 在下拉菜单中,为例外选择流量类型。

      下面的示例显示了为特定主机添加例外。

      addException.png
    2. 从下拉列表中选择该类型的特定对象。

    3. 重复前两个步骤以定义例外的其他对象。

      一个部分中的多个对象是“或”关系。

  4. 如有必要,请重复步骤 3 为其他部分定义例外。

    多个部分中的对象是“和”关系。

  5. 点击保存。 面板关闭,设置已在规则库中更新。

    更改已保存到您的未发布修订版,并可供编辑,直到发布或丢弃。

  6. 单击发布。 确认窗口打开后,单击发布

将网络规则导出到CSV文件中

您可以生成一个包含根据您账户规则库的所有网络规则数据的CSV文件。

注意

注意: 只有具有编辑者角色的 CMA 管理员才有权限导出到 CSV 文件。 有关配置管理员角色的更多信息,请参阅 管理员管理

要导出网络规则策略:

  1. 从导航菜单中,单击网络 > 网络规则
  2. 点击导出,在弹出窗口中点击确定
  3. 选择CSV文件的位置并保存文件。

理解导出文件的内容

导出的CSV文件的首行列出相关规则库中的字段名称和选项。 然后根据优先级列出规则,从最低数值开始。

CSV文件包含以下列:

项目 描述
优先级 规则在规则库中的优先级
规则状态 规则启用或禁用
类型 规则类型是WAN或互联网
名称 网络规则的名称
来源 此规则的流量来源
应用/类别 适用于此规则的项目(应用程序、类别、服务等)
目的地 此规则的流量目的地
带宽优先级 此规则的带宽管理配置文件
路由 此规则应用的路由类型(NAT、回程等)。 仅适用于互联网网络规则
传输 此规则的传输类型(WAN接口传输、主要和次要传输)
加速&优化 优化设置已启用或禁用(TCP加速和数据包丢失缓解)

这篇文章有帮助吗?

2 人中有 2 人觉得有帮助

0 条评论