Configuración de Rangos de Red para un Sitio

Este artículo explica cómo crear y configurar rangos de red para un sitio en tu cuenta.

Visión general de rangos de red para un sitio

El Rango Nativo para el sitio es el rango IP que configuraste para cada interfaz LAN cuando creaste el sitio. Puedes configurar rangos de red LAN adicionales con sus propios rangos de direcciones IP.

Los tipos de redes que puedes añadir dependen del Tipo de Conexión del sitio:

Tipo de Conexión

Directo

Rango

Rango Ruteado

VLAN

Socket

Azure vSocket

 

ESX vSocket

AWS vSocket

 

IPsec IKEv1 e IKEv2 iniciados por Cato

   

vSocket VSH (legado)

   

vSocket VGS (legado)

   

Para obtener más información sobre la configuración de ajustes DHCP para un rango de red, consulte Configuring DHCP Settings.

Creación de un rango de red para una red local

Usa la sección Networks para definir los rangos de red para cada interfaz LAN configurada para el sitio. Las direcciones IP no pueden usar bloques CIDR /31 o /32.

Mejor Práctica: Todos los sitios en tu cuenta usan rangos de red únicos para optimizar la resolución de problemas y evitar bucles de ruta. Sin embargo, si dos o más sitios en tu cuenta usan rangos de direcciones IP superpuestos, debes habilitar y configurar la Traducción de Rango Estático. Para obtener más información, consulte Configuring System Settings for the Account.

Estos son los tipos de rangos de IP de red que puedes crear:

  • Directo - Segmentos de red conectados directamente a la Socket o firewall de Cato (no a través de un router), pero el rango de IP es diferente del rango nativo del sitio.

  • Ruteado - Segmentos de red que se conectan a una Socket a través de un router.

  • VLAN - Cuando las VLAN se conectan a Cato, la conexión es similar a un puerto troncal. Las etiquetas VLAN se eliminan a medida que los paquetes ingresan a la Cato Cloud. Cuando un paquete vuelve a entrar en la LAN, se vuelve a aplicar la etiqueta VLAN.

    • Opcionalmente, puede etiquetar el rango Nativo por interfaz LAN con un ID de VLAN (802.Q). Esto se considera una mejor práctica tener solamente redes etiquetadas dentro de sus sitios. Puede agregar la etiqueta al crear un sitio o añadirla a sitios existentes.

      Nota: Las etiquetas VLAN para rangos Nativos son soportadas solo para Sockets físicos y vSockets ESX, desde la versión 21.1.18975 del Socket.

Nota

Nota: El campo Local IP no es relevante para sitios IPsec.

Para obtener más información sobre la configuración de ajustes DHCP para un rango de red, consulte Configuring DHCP Settings.

Rangos de IP solo para Internet

Puede configurar un rango de red para proporcionar acceso solo a Internet sin la posibilidad de comunicación con la WAN. Los rangos Solo Internet pueden configurarse en múltiples sitios con rangos IP idénticos. Esto simplifica la gestión de la red y mejora la seguridad para servicios de invitados, como el WiFi de invitados.

Los rangos de red Solo Internet no se propagan a la tabla de enrutamiento global mantenida en la Nube de Cato, y se gestionan localmente en el Socket. Los hosts dentro de este rango pueden acceder a aplicaciones de Internet basadas en la configuración del firewall de Internet del sitio.

Cato recomienda, como una buena práctica para la seguridad de las redes WiFi de invitados, utilizar rangos solo para Internet junto con el portal cautivo de Cato.

Las rangos solo de Internet requieren un sitio IPsec o un sitio Socket con un Socket físico con la versión 23 y superior. Los rangos solo de Internet soportan lo siguiente:

  • Configuraciones de DHCP

  • Redireccionamiento de puerto local

  • Redirección DNS

  • Configuraciones del firewall LAN

  • Reglas de omisión

Las siguientes limitaciones conocidas se aplican a los rangos Solo Internet:

  • Los ajustes de Ruta Via no pueden usarse con rangos Solo Internet. Los anfitriones en una red Solo Internet egresan solo desde el PoP conectado al Socket local.

  • El redireccionamiento de puerto remoto no está soportado para rangos solo-internet.

  • Los rangos nativos no pueden ser configurados como solo-internet.

SecureNetwork_LAN_2.png

To create an IP address range for a LAN interface:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. Expand the LAN interface.

  4. From the LAN interface, click New to add a new network segment for the IP range.

    The New Interface IP Range panel opens.

  5. Enter the Name for the IP range.

  6. From the Type drop-down menu, select the type of IP range: Direct, Routed, or VLAN.

    Nota: Los rangos VLAN son soportados solo para Sockets físicos y vSockets ESX.

  7. Enter the Subnet and IP settings based on the range type:

    • For Direct and VLAN ranges, enter the Local IP. This is the IP address for the Cato LAN port.

    • For Routed ranges, enter the Gateway. This is the next hop IP address for the neighboring router.

  8. For VLANs, enter the VLAN ID for this range.

  9. (Optional) Configure the DHCP settings for this range, from the DHCP Range drop-down menu select one of these options:

    • Disabled - DHCP is disabled for this range

    • Account Default - this range uses the default DCHP settings for the account

    • DHCP Range - Enter the range of IP addresses that the DHCP server assigns for this segment

  10. (Opcional) Configurar Configuraciones Adicionales para el rango:

    • Para configurar el rango como Solo Internet, bajo Tipo de Enrutamiento, seleccione Solo Internet.

    • Para habilitar mDNS en una VLAN, bajo Multicast, seleccione Puerta de enlace mDNS. Para más información, consulte Enabling mDNS Between Subnets.

  11. Click Apply. The New Interface IP Range panel closes.

  12. Haga clic en Guardar. The IP address range is created.

Editing a Network Range

Use the Edit Interface IP range panel to edit the settings for a network range.

To edit a network range:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. Expand the LAN interface.

    The Edit IP Range panel opens.

  4. Edit the settings for the network range.

  5. Ingrese el Nombre para el rango IP.

  6. Desde el menú desplegable Tipo, seleccione el tipo de rango IP: Directo, Enrutado, o VLAN.

Deleting a Network Range

Before you can delete a network range, make sure that it isn't used somewhere else in the Cato Management Application, such as network or firewall rules. In addition, make sure that no hosts are configured for that range (in Network > Site Settings > Host).

To delete a network range:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. Expanda la interfaz LAN.

  4. Desde el rango de red, haga clic en el icono eliminar Delete.png.

    The network range is removed from the LAN interface.

  5. Click Save. The network range is deleted.

Defining Segments for Security Policies

In some cases, you may need to define a special security policy for a segment of IP addresses that are part of a bigger network range. For example, within 10.0.0.0/24, the 10.0.0.0/27 block has different security requirements.

SecureNetwork.png

To support such cases, you can define a network range within a site that is a subset of an existing range in the same site. Then, use the item for that network sub-range in a security policy (such as a firewall rule).

Note

Note: If a rule or group is referencing an IP that is included in two ranges in the same site, the more accurate definition (e.g. 10.0.0.0/27 in the example above) always takes precedence.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 3 de 3

0 comentarios