Les listes de contrôle d'accès (ACL) sont utilisées par les services Internet pour déterminer quelles adresses IP disposent d'un accès à une ressource système.
Lorsque vous êtes connecté à un PoP, votre trafic Internet peut utiliser n'importe laquelle des adresses IP externes du PoP pour le NAT. Lorsqu'une ACL est utilisée, pour garantir que l'accès au PoP est maintenu, l'adresse IP de NAT doit rester statique et ne pas être partagée avec d'autres clients Cato.
Les règles de sortie vous permettent de NAT un trafic spécifique avec une adresse IP publique statique. L'adresse IP est disponible pour votre compte uniquement et ne change pas (sauf si vous la modifiez vous-même).
Les règles de sortie sont créées en sélectionnant d'abord les adresses IP (s) que vous souhaitez NAT et en créant ensuite la règle de sortie.
Si nécessaire, créez une règle de sortie pour un seul appareil, ou des appareils spécifiques sur un réseau, et configurez les hôtes pour les appareils.
Sélectionnez l'adresse IP publique allouée par Cato que vous souhaitez traduire avec le NAT dans la règle de sortie. Si vous avez besoin d'adresses IP supplémentaires, contactez votre partenaire ou un Ingénieur commercial.
Pour sélectionner l'adresse IP à utiliser dans la règle de sortie :
-
Dans le menu de navigation, cliquez sur Network > IP Allocation.
-
Dans le menu déroulant, sélectionnez l'emplacement du PoP auquel vous attribuez une adresse IP. L'adresse IP est fournie automatiquement.
-
Cliquez sur Sauvegarder.
Lorsque vous sortez un trafic pour un nombre spécifique d'appareils, configurez les hôtes derrière le site concerné.
Pour créer un hôte pour un ou plusieurs appareils :
-
Dans le menu de navigation, cliquez sur Réseau > Sites > [Nom du Site] > Paramètres du site > Hôtes.
-
Cliquez sur Nouveau.
-
Entrez le Nom de l'appareil.
-
Entrez l'adresse IP de l'appareil.
-
Si vous utilisez Cato pour DHCP, sous MAC, entrez l'adresse MAC. Cela créera une réservation DHCP pour l'ordinateur.
Remarque : Si vous n'utilisez pas Cato DHCP, assurez-vous que l'ordinateur source a une IP statique ou une réservation DHCP sur le serveur DHCP local. Si l'adresse IP de l'appareil change, la règle de sortie ne fonctionne pas.
-
Cliquez sur Appliquer, puis cliquez sur Sauvegarder.
IP Traduite montre l'adresse IP que le PoP traduit pour l'adresse IP de l'hôte interne. Lorsque la Traduction de plage statique (Administration > Paramètres du système) est activée pour le compte, vous pouvez définir la plage IP traduite dans l'écran Réseaux.
Créez une règle de réseau pour définir le trafic que vous sortez vers l'adresse IP publique de Cato.
Lorsque vous avez une règle configurée avec plus d'une adresse IP sortante, le PoP détermine laquelle des adresses utiliser.
Pour créer une règle de sortie :
-
Dans le menu de navigation, cliquez sur Network > Network Rules.
-
Cliquez sur Nouveau.
-
Dans la section Général, entrez le Nom, et l'Ordre de la règle de la règle de sortie.
-
Sous le menu déroulant Type de règle, sélectionnez Internet.
-
Dans la section Source, sélectionnez la source du trafic à laquelle s'applique la règle de sortie.
-
Dans la section App/Catégorie, sélectionnez le type de trafic auquel s'applique la règle de sortie.
-
Dans la section Configuration, sous Méthode de routage, sélectionnez NAT.
-
Sous IPs allouées, sélectionnez les adresses IP (s) pour faire sortir le trafic.
-
Cliquez sur Appliquer, puis cliquez sur Sauvegarder.
Nous recommandons ces bonnes pratiques lorsque vous configurez des règles réseau avec des adresses IP NAT sortantes :
-
En général, utilisez au moins deux adresses IP sortantes pour une règle réseau afin de prévoir un basculement au cas où la destination ne serait pas accessible depuis la première priorité.
-
Pour les règles réseau qui n'acheminent le trafic qu'avec des applications sensibles, telles que VoIP, configurez une adresse IP sortante.
Lorsque vous avez une règle configurée avec plus d'une adresse IP sortante, le PoP détermine laquelle des adresses utiliser.
Pour les règles réseau qui n'acheminent le trafic qu'avec des applications sensibles, telles que VoIP ou ERP, nous recommandons de configurer ces paramètres :
-
Seulement UNE adresse IP sortante
-
Activer le paramètre avancé IP préférée pour le trafic SIP pour toujours utiliser la même adresse IP sortante
Ces paramètres forcent le PoP à n'utiliser que l'adresse IP sortante. Si cette adresse IP n'est pas disponible, il attend que l'adresse IP sortante soit à nouveau accessible et s'assure que l'état de la connexion soit maintenu.
Some applications might block access if the same NAT IP is used by many users or sites at once. Cato recommande que s'il n'est pas nécessaire d'avoir une adresse IP NAT spécifique pour un domaine spécifique, vous devriez utiliser Route Via, ce qui acheminera le trafic en utilisant les adresses IP dynamiques des PoP pour les connexions.
Question : Lorsqu'une règle de réseau est configurée avec une IP NAT de sortie, y a-t-il une limite de 64K flux concurrents pour chaque adresse IP de sortie (en supposant que chaque flux consomme un seul port TCP/UDP) ?
Réponse : Non. Pour chaque adresse IP de sortie, le PoP crée une entrée de traduction NAT unique pour chaque hachage de quadruplet (SRC IP, port SRC, DEST IP, et port DEST). Cela signifie que la limite de 64K flux concurrents s'applique à chaque paire (c'est-à-dire l'IP source, l'IP de destination). Par exemple, si deux hôtes LAN communiquent avec deux destinations publiques utilisant le port de destination TCP/443, le PoP peut allouer jusqu'à 128K ports pour supporter les flux concurrents (64K ports pour chaque IP SRC/DST et port SRC/DST).
0 commentaire
Vous devez vous connecter pour laisser un commentaire.