كيفية تكوين قاعدة الشبكة لخروج حركة المرور

نظرة عامة

يمكن لموارد الإنترنت والشركاء التجاريين استخدام عناوين IP العامة للخروج لقوائم التحكم بالوصول (ACLs) للسماح بالوصول إلى الموارد المستضافة على الإنترنت.

عند الاتصال بـ PoP، قد تستخدم حركة المرور الإنترنت أي من عناوين IP الخارجية لـ PoP للترجمة (NAT). يتطلب عنوان IP عام ثابت عندما يحتاج العميل إلى الخروج من PoP بعنوان IP عام محدد لاستخدامه في ACL. حدد خيارات التوجيه لقاعدة شبكة لترجمة حركة مرور معينة بعنوان IP عام ثابت. عنوان IP متاح فقط لحسابك ولا يتغير (إلا إذا قمت بتغييره بنفسك).

تكوين قاعدة شبكة لخروج حركة المرور

استخدم سياسة قواعد الشبكة لتعريف سلوك NAT الصادر. تتيح لك قاعدة تستخدم طريقة التوجيه باستخدام NAT ترجمة الحركة إلى عنوان IP عام ثابت أو أكثر مخصص لحسابك. توفر هذه العناوين هويات خروج ثابتة للخدمات التي تتطلب إدراجًا بالقائمة المسموح بها.

قبل إنشاء القاعدة، تأكد من تخصيص عناوين IP العامة المطلوبة في صفحة تخصيص IP، و(إذا لزم الأمر) تأكد من تعريف المضيفين المعنيين للموقع.

عند تكوين قاعدة شبكة مع عناوين IP مخصصة متعددة، يحدد PoP عنوان IP الخروج بناءً على التوافر وظروف التوجيه.

تخصيص عناوين IP لحسابك

اختر عنوان IP العمومي المخصص من Cato الذي تريد ترجمته مع NAT في قاعدة الخروج. تتضمن الرخصة الافتراضية لكل حساب 3 عناوين IP فريدة يمكن أن يستخدمها أي PoP. إذا كنت بحاجة إلى عناوين IP إضافية، فاتصل بشريكك أو مهندس المبيعات الخاص بك.

لتخصيص IP لخروج حركة المرور:

من قائمة التنقل، انقر على الشبكة > تخصيص العنوان IP.
من القائمة المنسدلة، حدد موقع PoP الذي تقوم بتخصيص عنوان IP له. يضاف عنوان IP تلقائيًا إلى حسابك.
انقر حفظ.

خروج حركة المرور للمضيفين الثابتين (اختياري)

عندما تقوم بخروج حركة المرور لعدد محدد من الأجهزة، قم بتكوين المضيفين الثابتين خلف الموقع ذو الصلة. ثم أضف المضيفين كمصدر في قاعدة شبكة.

لحسابات تستخدم خادم DHCP من Cato، تحتاج إلى إدخال عنوان MAC للمضيف لحجز IP.

ملاحظة: إذا لم تقم باستخدام DHCP من Cato، تأكد من أن جهاز المصدر لديه IP ثابت أو يوجد حجز DHCP في الخادم المحلي. إذا تغير عنوان IP للجهاز، فلن تستخدم قاعدة الشبكة عنوان IP من Cato لخروج حركة المرور للجهاز.

عنوان IP المترجم يظهر عنوان IP الذي تقوم نقطة الحضور بترجمته لعنوان المضيف الداخلي IP. عندما يتم تمكين ترجمة النطاق الثابت (الإدارة > إعدادات النظام) للحساب، يمكنك تحديد نطاق العنوان IP المترجم في شاشة الشبكات.

لإنشاء مضيف ثابت لخروج حركة المرور:

من قائمة التنقل، انقر على شبكة > مواقع > {site name} > تكوين الموقع > حجوزات المضيف الثابت.
انقر جديد.
أدخل الاسم للجهاز.
أدخل عنوان IP للجهاز.
إذا كنت تستخدم Cato للـ DHCP، أدخل عنوان MAC. هذا ينشئ حجز DHCP لتعيين عنوان IP ثابت لهذا المضيف.
انقر تطبيق، ثم انقر حفظ.
لتحكم شبكة جديد أو موجود، أضف المضيفين الثابتين كمصدر.

تكوين قاعدة شبكة لخروج حركة المرور إلى IP ثابت

قم بإنشاء قاعدة شبكة لتحديد حركة المرور التي تقوم بإخراجها إلى العنوان IP العام لـCato.

عند تكوين قاعدة شبكة مع عدة عناوين IP خروج/عبر PoPs، يحدد Cato Cloud PoP الذي ينتمي إليه عنوان IP الخروج ويبني قائمة بالمرشحين من PoPs حوله. ثم يبحث عن أقرب PoP ويستخدمه لخروج حركة المرور. إذا كانت كلا العناوين تنتمي إلى نفس PoP، يتم استخدام العنوان الأول في القائمة.

لإنشاء قاعدة شبكة تخرج إلى عنوان IP مخصص:

من قائمة التنقل، انقر على الشبكة > قواعد الشبكة.
انقر جديد > قاعدة جديدة. يفتح اللوحة إضافة قاعدة شبكة.
من القسم عام، قم بتكوين الإعدادات التالية للقاعدة:
1. ادخل الاسم للقاعدة.
2. قم بتفعيل أو تعطيل القاعدة باستخدام الشريط (الأخضر مفعل، الرمادي معطل).
3. حدد الموقع للقاعدة الجديدة.
4. ضمن القائمة المنسدلة نوع القاعدة، اختر الإنترنت.
في قسم المصدر، اختر مصدر حركة المرور التي تطبق عليها قاعدة الخروج.

إذا لزم الأمر، أضف المضيفين الذين قمت بتعريفهم أعلاه في خروج حركة المرور للمضيفين الثابتين (اختياري).
قم بتوسيع قسم تطبيق/فئة واختر تطبيقاً أو أكثر للقاعدة.
في قسم التكوين، تحت طريقة التوجيه، اختر NAT.
تحت عناوين IP المخصصة، اختر العناوين IP التي ترغب في إخراج الحركة إليها.
انقر حفظ. تغلق اللوحة ويتم تحديث الإعدادات في قاعدة القواعد.

التغييرات محفوظة في المراجعة غير المنشورة وتكون متاحة للتعديل حتى يتم نشرها أو تجاهلها.
انقر نشر. تفتح نافذة تأكيد، انقر نشر.

أفضل الممارسات لخروج الحركة

نوصي بأفضل الممارسات التالية عند تكوين قواعد الشبكة التي تخرج حركة المرور باستخدام طرق التوجيه التالية:

حركة مرور NAT عبر عناوين IP:
- استخدم على الأقل عنواني IP خروج من موقعين مختلفين في قاعدة الشبكة لتوفير تجاوز في حالة عدم الوصول إلى الوجهة من أول عنوان IP
  ملاحظة: لسياسات الشبكة التي تقوم بتوجيه حركة المرور مع التطبيقات الحساسة مثل VoIP، قم بتكوين عنوان IP خروج واحد (انظر أدناه استخدام عناوين IP للخروج لحركة مرور VoIP)
توجيه حركة المرور عبر موقع PoP:
- استخدم موقعين مختلفين لـ PoP في قاعدة الشبكة لتوفير التبديل الاحتياطي في حالة عدم إمكانية الوصول إلى الوجهة من PoP الأول

عناوين IP متعددة للخروج

استخدام عناوين IP للخروج لحركة مرور VoIP

بالنسبة لقواعد الشبكة التي توجه فقط حركة المرور مع التطبيقات الحساسة، مثل VoIP أو ERP، نحن نوصي أن تقوم بتكوين هذه الإعدادات:

عنوان IP للمخرج واحد فقط
قم بتمكين الإعداد المتقدم لعناوين IP المفضلة لحركة SIP لاستخدام نفس عنوان IP للخروج دائمًا

تجبر هذه الإعدادات نقطة الحضور على استخدام عنوان IP المخرج فقط. إذا لم يكن ذلك العنوان IP متاحًا، فإنه ينتظر حتى يصبح عنوان IP المخرج قابلًا للوصول مرة أخرى ويتأكد من أن حالة الاتصال محفوظة.

استكشاف أخطاء خروج حركة المرور باستخدام قواعد الشبكة

قد تقوم بعض التطبيقات بحظر الوصول إذا تم استخدام نفس عنوان IP التوجيه الشبكي NAT من قبل العديد من المستخدمين أو المواقع في وقت واحد. توصي Cato بأنه إذا لم تكن هناك حاجة لعنوان NAT IP محدد لنطاق معين، يجب استخدام Route Via، والذي سيقوم بتوجيه حركة المرور باستخدام عناوين IP PoP الديناميكية للاتصالات.

الأسئلة الشائعة حول خروج حركة المرور

سؤال: عند تكوين قاعدة شبكة بعنوان NAT للخروج، هل يوجد حد 64K للتدفقات المتزامنة لكل عنوان IP للخروج (على افتراض أن كل تدفق يستهلك منفذ TCP/UDP واحد)؟

الإجابة: لا. بالنسبة لكل عنوان IP مخرج، تقوم نقطة الحضور بإنشاء إدخال ترجمة NAT فريد لكل تجزئة رباعية (SRC IP، SRC port، DEST IP، وDEST port). هذا يعني أن حد 64K لتدفقات المعالجة المتزامنة ينطبق على كل زوج (أي. عنوان IP المصدر، عنوان IP الوجهة). على سبيل المثال، إذا تواصل مضيفان في شبكة محلية مع وجهتين عامتين باستخدام منفذ الوجهة TCP/443، يمكن لنقطة الحضور تخصيص ما يصل إلى 128K منفذ لدعم التدفقات المتزامنة (64K منفذ لكل عنوان SRC/DST IP ومنفذ SRC/DST).