Cómo Configurar una Regla de Egreso

Descripción General de las Reglas de Egreso

Las listas de control de acceso (ACL) son utilizadas por los servicios de Internet para determinar qué direcciones IP tienen acceso a un recurso del sistema.

Cuando estás conectado a un PoP, tu tráfico de Internet puede usar cualquiera de las direcciones IP externas del PoP para NAT. Cuando se utiliza una ACL, para garantizar que el acceso al PoP se mantenga, la dirección IP de NAT debe permanecer estática y no compartirse con otros clientes de Cato.

Las reglas de egreso le permiten NAT tráfico específico con una dirección IP pública estática. La dirección IP está disponible solo para su cuenta y no cambia (a menos que la cambie usted mismo).

Configurando una Regla de Egreso

Las reglas de egreso se crean seleccionando primero las direcciones IP que desea NAT y luego creando la regla de egreso.

Si es necesario, crea una regla de salida para un solo dispositivo, o dispositivos específicos en una red, y configura los hosts para los dispositivos.

Seleccionando la Dirección IP

Seleccione la dirección IP pública asignada por Cato que desea traducir con NAT en la regla de salida. Si necesitas direcciones IP adicionales, contacta a tu socio o Ingeniero de Ventas.

Para seleccionar la dirección IP a usar en la regla de egreso:

  1. Desde el menú de navegación, haz clic en Network > IP Allocation.

  2. En el menú desplegable, seleccione la ubicación del PoP para la cual está asignando una dirección IP. La dirección IP se suministra automáticamente.

  3. Haz clic en Guardar.

Creando un Host (Opcional)

Cuando estás procesando tráfico de salida para un número específico de dispositivos, configura los hosts detrás del sitio correspondiente.

Para crear un host para uno o más dispositivos:

  1. Desde el menú de navegación, haz clic en Red > Sitios > [Nombre del Sitio] > Configuración del Sitio > Hosts.

  2. Haz clic en New.

  3. Ingrese el Name del dispositivo.

  4. Ingrese la dirección IP del dispositivo.

  5. Si está utilizando Cato para DHCP, bajo MAC, ingrese la dirección MAC. Esto creará una reserva DHCP para el equipo.

    nueva_reserva_estática_de_host.jpg

    Nota: Si no está utilizando Cato DHCP, asegúrese de que el equipo fuente tenga una IP estática o una reserva DHCP en el servidor DHCP local. Si la dirección IP del dispositivo cambia, la regla de egreso no funciona.

  6. Haz clic en aplicar y, a continuación, haz clic en Guardar.

IP Traducida muestra la dirección IP que el PoP traduce para la dirección IP del host interno. Cuando la Traducción de Rango Estático (Administración > Configuración del Sistema) está habilitada para la cuenta, puedes definir el rango de IP traducido en la pantalla de Redes.

Creando una Regla de Egreso

Cree una regla de red para definir el tráfico que está egresando a la dirección IP pública de Cato.

Cuando tiene una regla que está configurada con más de una dirección IP de Salida, el PoP determina cuál de las direcciones usar.

Para crear una regla de egreso:

  1. Desde el menú de navegación, haz clic en Network > Network Rules.

  2. Haz clic en New.

  3. En la sección General, ingrese el Name y el Rule Order de la regla de egreso.

  4. Bajo el menú desplegable Rule Type, seleccione Internet.

  5. En la sección Source, seleccione la fuente del tráfico al que se aplica la regla de egreso.

  6. En la sección App/Category, seleccione el tipo de tráfico al que se aplica la regla de egreso.

  7. En la sección Configuration, bajo Routing Method, seleccione NAT.

  8. En IPs asignadas, seleccione las direcciones IP para egresar el tráfico hacia ellas.

  9. Haz clic en aplicar y, a continuación, haz clic en Guardar.

Mejores Prácticas para Salida de Tráfico

Recomendamos estas mejores prácticas cuando configure reglas de red con direcciones IP de Salida de NAT:

  • En general, use al menos dos direcciones IP de Salida para una regla de red para proporcionar recuperación en caso de que el destino no sea alcanzable desde la primera prioridad.

  • Para reglas de red que solo enrutan tráfico con aplicaciones sensibles, como VoIP, configure una dirección IP de Salida.

Múltiples IPs de Salida

Cuando tiene una regla que está configurada con más de una dirección IP de Salida, el PoP determina cuál de las direcciones usar.

egress_rule_nat.png

Usando IPs de Salida para Tráfico VoIP

Para reglas de red que solo enrutan tráfico con aplicaciones sensibles, como VoIP o ERP, recomendamos que configure estas configuraciones:

Estas configuraciones obligan al PoP a usar solo la IP de Salida. Si esa IP no está disponible, espera hasta que la dirección IP de Salida esté disponible nuevamente y asegura que el estado de la conexión se mantenga.

Troubleshooting Network Rules

Some applications might block access if the same NAT IP is used by many users or sites at once. Cato recomienda que si no hay necesidad de una IP NAT específica para un dominio específico, debe usar Enrutar vía, que enruta el tráfico usando IPs dinámicas del PoP para las conexiones.

FAQ para Reglas de Egreso

Pregunta: Cuando hay una regla de red configurada con una IP NAT de egreso, ¿hay un límite de 64K flujos concurrentes para cada dirección IP de egreso (asumiendo que cada flujo consume un único puerto TCP/UDP)?

Respuesta: No. Para cada dirección IP de egreso, el PoP crea una entrada de traducción NAT única para cada hash de cuatro tuplas (SRC IP, puerto SRC, DEST IP y puerto DEST). Esto significa que el límite de 64K flujos concurrentes se aplica a cada par (es decir, IP de origen, IP de destino). Por ejemplo, si dos hosts LAN se comunican con dos destinos públicos utilizando el puerto de destino TCP/443, el PoP puede asignar hasta 128K puertos para soportar los flujos concurrentes (64K puertos para cada IP SRC/DST y puerto SRC/DST).

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 5 de 8

0 comentarios