Las listas de control de acceso (ACLs) son utilizadas por los servicios de internet para determinar qué direcciones IP están autorizadas a acceder a un recurso del sistema.
Cuando se conecta a un PoP, su tráfico de internet puede utilizar cualquiera de las direcciones IP externas del PoP para NAT. Cuando se utiliza una ACL, para garantizar que el acceso al PoP se mantenga, la dirección IP de NAT debe permanecer estática y no compartirse con otros clientes de Cato.
Las reglas de egreso le permiten NAT tráfico específico con una dirección IP pública estática. La dirección IP está disponible solo para su cuenta y no cambia (a menos que la cambie usted mismo).
Las reglas de egreso se crean seleccionando primero las direcciones IP que desea NAT y luego creando la regla de egreso.
Si es necesario, cree una regla de egreso para solo un dispositivo o dispositivos específicos en una red, y configure los hosts para los dispositivos.
Seleccione la dirección IP pública asignada por Cato que desea traducir con NAT en la regla de egreso. Si necesita direcciones IP adicionales, contacte a su distribuidor o ingeniero de ventas.
Para seleccionar la dirección IP a usar en la regla de egreso:
-
Desde el menú de navegación, haz clic en Network > IP Allocation.
-
En el menú desplegable, seleccione la ubicación del PoP para la cual está asignando una dirección IP. La dirección IP se suministra automáticamente.
-
Haz clic en Guardar.
Cuando esté egresando tráfico para un número específico de dispositivos, configure los hosts detrás del sitio relevante.
Para crear un host para uno o más dispositivos:
-
Desde el menú de navegación, haz clic en Network > Sites > [Site Name] > Site Configuration > Hosts.
-
Haz clic en New.
-
Ingrese el Name del dispositivo.
-
Ingrese la dirección IP del dispositivo.
-
Si está utilizando Cato para DHCP, bajo MAC, ingrese la dirección MAC. Esto creará una reserva DHCP para el equipo.
Nota: Si no está utilizando Cato DHCP, asegúrese de que el equipo fuente tenga una IP estática o una reserva DHCP en el servidor DHCP local. Si la dirección IP del dispositivo cambia, la regla de egreso no funciona.
-
Haz clic en aplicar y, a continuación, haz clic en Guardar.
Cree una regla de red para definir el tráfico que está egresando a la dirección IP pública de Cato.
Cuando asigna múltiples IPs de egreso a una regla, la dirección IP más cercana a la fuente del tráfico es la dirección IP primaria para egresar el tráfico. Si la IP primaria no está disponible por alguna razón, entonces la IP de la ubicación del PoP es la siguiente más cercana utilizada (y así sucesivamente).
Para crear una regla de egreso:
-
Desde el menú de navegación, haz clic en Network > Network Rules.
-
Haz clic en New.
-
En la sección General, ingrese el Name y el Rule Order de la regla de egreso.
-
Bajo el menú desplegable Rule Type, seleccione Internet.
-
En la sección Source, seleccione la fuente del tráfico al que se aplica la regla de egreso.
-
En la sección App/Category, seleccione el tipo de tráfico al que se aplica la regla de egreso.
-
En la sección Configuration, bajo Routing Method, seleccione NAT.
-
En IPs asignadas, seleccione las direcciones IP para egresar el tráfico hacia ellas.
-
Haz clic en aplicar y, a continuación, haz clic en Guardar.
Pregunta: Cuando hay una regla de red configurada con una IP NAT de egreso, ¿hay un límite de 64K flujos concurrentes para cada dirección IP de egreso (asumiendo que cada flujo consume un único puerto TCP/UDP)?
Respuesta: No. Para cada dirección IP de egreso, el PoP crea una entrada de traducción NAT única para cada hash de cuatro tuplas (SRC IP, puerto SRC, DEST IP y puerto DEST). Esto significa que el límite de 64K flujos concurrentes se aplica a cada par (es decir, IP de origen, IP de destino). Por ejemplo, si dos hosts LAN se comunican con dos destinos públicos utilizando el puerto de destino TCP/443, el PoP puede asignar hasta 128K puertos para soportar los flujos concurrentes (64K puertos para cada IP SRC/DST y puerto SRC/DST).
0 comentarios
Inicie sesión para dejar un comentario.