Cómo Configurar una Regla de Red para el Tráfico de Salida

Resumen

Los recursos de Internet y socios comerciales pueden usar IPs públicas de salida para listas de control de acceso (ACLs) para permitir acceso a recursos hospedados en Internet.

Cuando estás conectado a un PoP, el tráfico de Internet puede usar cualquiera de las direcciones IP externas del PoP para NAT. Se requiere una dirección IP pública estática cuando un cliente necesita salir de un PoP con una IP pública específica para ser usada en una ACL. Define las opciones de enrutamiento para una Regla de Red para NAT tráfico específico con una dirección IP pública estática. La dirección IP está disponible solo para tu cuenta y no cambia (a menos que la cambies tú mismo).

Configurando una Regla de Red para el Tráfico de Salida

Usa la política de Reglas de Red para definir el comportamiento de NAT saliente. Una regla que usa el método Enrutamiento NAT te permite traducir tráfico a una o más direcciones IP públicas estáticas asignadas a tu cuenta. Estas IPs proporcionan identidades de salida estables para servicios que requieren permitlisting.

Antes de crear la regla, asegúrate de que las direcciones IP públicas requeridas están asignadas en la página de Asignación de IP, y (si es necesario) que los hosts relevantes están definidos para el sitio.

Cuando configuras una Regla de Red con múltiples IPs asignadas, el PoP selecciona la dirección IP de salida basada en la disponibilidad y las condiciones de enrutamiento.

Asignando IPs para tu Cuenta

Seleccione la dirección IP pública asignada por Cato que desea traducir con NAT en la regla de salida. La licencia predeterminada para cada cuenta incluye 3 IPs únicas que pueden ser utilizadas por cualquier PoP. Si necesitas direcciones IP adicionales, contacta a tu socio o Ingeniero de Ventas.

Para asignar una IP para salir tráfico:

Desde el menú de navegación, haz clic en Red > Asignación de IP.
En el menú desplegable, selecciona la ubicación de PoP a la que estás asignando una dirección IP. La dirección IP se agrega automáticamente a tu cuenta.
Haz clic en Guardar.

Saliendo Tráfico para Hosts Estáticos (Opcional)

Cuando estás saliendo tráfico para un número específico de dispositivos, configura los hosts estáticos detrás del sitio relevante. Luego agrega los hosts como la Fuente en una Regla de Red.

Para cuentas que usan el servidor DHCP de Cato, necesitas ingresar la dirección MAC para el host para reservar la IP.

Nota: Si no estás usando el DHCP de Cato, asegúrate de que el dispositivo fuente tenga una IP estática o una reserva DHCP en el servidor DHCP local. Si la dirección IP del dispositivo cambia, la Regla de Red no usará la dirección IP de Cato para salir tráfico para el dispositivo.

IP Traducida muestra la dirección IP que el PoP traduce para la dirección IP del host interno. Cuando la Traducción de Rango Estático (Administración > Configuración del Sistema) está habilitada para la cuenta, puedes definir el rango de IP traducido en la pantalla de Redes.

Para crear un host estático para salir tráfico:

Desde el menú de navegación, haz clic en Red > Sitios > {nombre del sitio} > Configuración del Sitio > Reservas de Hosts Estáticos.
Haz clic en Nuevo.
Introduce el Nombre del dispositivo.
Introduce la Dirección IP del dispositivo.
Si estás usando Cato para DHCP, ingresa la dirección MAC. Esto crea una reserva DHCP para asignar una IP estática para este host.
Haz clic en Aplicar y, a continuación, haz clic en Guardar.
Para una Regla de Red nueva o existente, agrega los hosts estáticos como la Fuente.

Configurando una Regla de Red para Salida de Tráfico a una IP Estática

Crea una regla de red para definir el tráfico que está egresando hacia la dirección IP pública de Cato.

Cuando una Regla de Red está configurada con múltiples IPs de salida/Enrutar Vía PoPs, el Cato Cloud identifica el PoP al que pertenece la IP de salida y construye una lista de PoPs candidatos alrededor de ella. Luego busca el PoP más cercano y lo usa para salir el tráfico. Si ambas IPs pertenecen al mismo PoP, se utiliza la primera IP en la lista.

Para crear una Regla de Red que salga a una IP asignada:

Desde el menú de navegación, haz clic en Red > Reglas de Red.
Haz clic en Nuevo > Nueva Regla. Se abre el panel Agregar Regla de Red.
Desde la sección General, configura los siguientes ajustes para la regla:
1. Ingresa el Nombre para la regla.
2. Habilita o deshabilita la regla usando el selector (verde está habilitado, gris está deshabilitado).
3. Selecciona la Posición para la nueva regla.
4. En el menú desplegable Tipo de Regla, selecciona Internet.
En la sección Fuente, selecciona la fuente del tráfico al que se aplica la regla de egreso.

Si es necesario, agrega hosts que definiste arriba en Saliendo Tráfico para Hosts Estáticos (Opcional).
Expande la sección App/Categoría y selecciona una o más aplicaciones para la regla.
En la sección Configuración, bajo Método de Enrutamiento, selecciona NAT.
Bajo IPs Asignadas, selecciona la(s) dirección(es) IP para egresar el tráfico.
Haz clic en Guardar. El panel se cierra, y la configuración se actualiza en la base de reglas.

Los cambios se guardan en tu revisión no publicada y están disponibles para editar hasta que sean publicados o descartados.
Haz clic en Publicar. Se abre una ventana de confirmación, haz clic en Publicar.

Mejores prácticas para el tráfico de salida

Recomendamos estas mejores prácticas cuando configuras Reglas de Red que redirigen tráfico con los siguientes Métodos de Enrutamiento:

Tráfico NAT mediante IPs:
- Usa al menos dos direcciones IP de salida de 2 ubicaciones de PoP diferentes en la Regla de Red para proporcionar failover en caso de que el destino no sea alcanzable desde la primera IP
  Nota: Para Reglas de Red que solo enrutan tráfico con aplicaciones sensibles, como VoIP, configura una dirección IP de salida (ver abajo Usando IPs de Salida para Tráfico VoIP)
Enrutar tráfico mediante una ubicación PoP:
- Usa dos ubicaciones PoP diferentes en la Regla de Red para proporcionar respaldo en caso de que el destino no sea alcanzable desde el primer PoP

IPs de salida múltiples

Uso de IPs de salida para tráfico VoIP

Para reglas de red que solo enrutan tráfico con aplicaciones sensibles, como VoIP o ERP, recomendamos que configures estas configuraciones:

Solo UNA dirección IP de egreso
Habilite la configuración avanzada de IP preferida para tráfico SIP para usar siempre la misma dirección IP de salida

Estas configuraciones fuerzan al PoP a usar solo la dirección IP de egreso. Si esa IP no está disponible, espera hasta que la dirección IP de egreso sea nuevamente alcanzable y asegura que el estado de la conexión se mantenga.

Resoluciones de Problemas del Tráfico de Salida con Reglas de Red

Algunas aplicaciones pueden bloquear el acceso si la misma IP de NAT es utilizada por muchos usuarios o sitios a la vez. Cato recomienda que si no hay necesidad de una dirección IP NAT específica para un dominio específico, debieras usar Enrutar Vía, que redirigirá el tráfico usando IPs PoP dinámicas para las conexiones.

Preguntas Frecuentes para Tráfico de Salida

Pregunta: Cuando hay una Regla de Red configurada con una dirección IP NAT de salida, ¿hay un límite de 64K flujos concurrentes para cada dirección IP de salida (asumiendo que cada flujo consume un solo puerto TCP/UDP)?

Respuesta: No. Para cada dirección IP de egreso, el PoP crea una entrada de traducción NAT única para cada hash de cuádruple (IP de origen, puerto de origen, IP de destino y puerto de destino). Esto significa que el límite de 64K flujos concurrentes se aplica a cada par (es decir, IP de origen, IP de destino). Por ejemplo, si dos hosts de LAN se comunican con dos destinos públicos usando el puerto de destino TCP/443, el PoP puede asignar hasta 128K puertos para soportar los flujos concurrentes (64K puertos para cada IP de origen/destino y puerto de origen/destino).