Les listes de contrôle d'accès (ACL) sont utilisées par les services Internet pour déterminer quelles adresses IP sont autorisées à accéder à une ressource système.
Lorsque vous êtes connecté à un PoP, votre trafic Internet peut utiliser l'une des adresses IP externes du PoP pour le NAT. Lorsqu'une ACL est utilisée, pour garantir l'accès au PoP, l'adresse IP NAT doit rester statique et non partagée avec d'autres clients Cato.
Les règles de sortie vous permettent de NATer un trafic spécifique avec une adresse IP publique statique. L'adresse IP est disponible uniquement pour votre compte et ne change pas (à moins que vous ne la modifiiez vous-même).
Les règles de sortie sont créées en sélectionnant d'abord les adresses IP (s) que vous souhaitez NATer, puis en créant la règle de sortie.
Si nécessaire, créez une règle de sortie pour un seul appareil, ou des appareils spécifiques sur un réseau, et configurez les hôtes pour les appareils.
Sélectionnez l'adresse IP publique allouée par Cato que vous souhaitez traduire avec NAT dans la règle de sortie. Si vous avez besoin d'adresses IP supplémentaires, contactez votre partenaire ou votre ingénieur commercial.
Pour sélectionner l'adresse IP à utiliser dans la règle de sortie :
-
Dans le menu de navigation, cliquez sur Réseau > Allocation IP.
-
Dans le menu déroulant, sélectionnez l'emplacement PoP pour lequel vous attribuez une adresse IP. L'adresse IP est fournie automatiquement.
-
Cliquez sur Sauvegarder.
Lorsque vous faites sortir du trafic pour un nombre spécifique d'appareils, configurez les hôtes derrière le site pertinent.
Pour créer un hôte pour un ou plusieurs appareils :
-
Dans le menu de navigation, cliquez sur Réseau > Sites > [Nom du site] > Paramètres du site > Hôtes statiques réservés.
-
Cliquez sur Nouveau.
-
Entrez le Nom pour l'appareil.
-
Entrez l'Adresse IP de l'appareil.
-
Si vous utilisez Cato pour DHCP, sous MAC, entrez l'adresse MAC. Cela créera une réservation DHCP pour l'ordinateur.
Note : Si vous n'utilisez pas le DHCP Cato, assurez-vous que l'ordinateur source a une adresse IP statique ou une réservation DHCP sur le serveur DHCP local. Si l'adresse IP de l'appareil change, la règle de sortie ne fonctionne pas.
-
Cliquez sur Appliquer, puis cliquez sur Sauvegarder.
Adresse IP traduite montre l'adresse IP que le PoP traduit pour l'adresse IP de l'hôte interne. Lorsque la Traduction de plage statique (Administration > Paramètres du système) est activée pour le compte, vous pouvez définir la plage IP traduite dans l'écran Réseaux.
Créez une règle réseau pour définir le trafic que vous faites sortir vers l'adresse IP publique Cato.
Lorsque vous avez une règle configurée avec plus d'une adresse IP de sortie, le PoP détermine laquelle des adresses utiliser.
Pour créer une règle de sortie :
-
Dans le menu de navigation, cliquez sur Réseau > Règles réseau.
-
Cliquez sur Nouveau.
-
Dans la section Général, entrez le Nom, et l'Ordre des Règles de la règle de sortie.
-
Sous la liste déroulante Type de Règle, sélectionnez Internet.
-
Dans la section Source, sélectionnez la source du trafic à laquelle la règle de sortie s'applique.
-
Dans la section App/Catégorie, sélectionnez le type de trafic auquel la règle de sortie s'applique.
-
Dans la section Configuration, sous Méthode de Routage, sélectionnez NAT.
-
Sous IPs allouées, sélectionnez les adresses IP (s) pour faire sortir le trafic.
-
Cliquez sur Appliquer, puis cliquez sur Sauvegarder.
Nous recommandons ces bonnes pratiques lorsque vous configurez des règles réseau avec des adresses IP de sortie NAT :
-
Généralement, utilisez au moins deux adresses IP de sortie pour une règle réseau afin de prévoir une bascule en cas où la destination n'est pas accessible à partir de la première priorité.
-
Pour les règles réseau qui acheminent uniquement le trafic avec des applications sensibles, comme VoIP, configurez une adresse IP de sortie.
Lorsque vous avez une règle configurée avec plus d'une adresse IP de sortie, le PoP détermine laquelle des adresses utiliser.
Pour les règles réseau qui acheminent uniquement le trafic avec des applications sensibles, telles que VoIP ou ERP, nous recommandons de configurer ces paramètres :
-
Seulement UNE adresse IP de sortie
-
Activez le paramètre avancé IP préférée pour le trafic SIP pour toujours utiliser la même adresse IP de sortie
Ces paramètres forcent le PoP à n'utiliser que l'adresse IP de sortie. Si cette IP n'est pas disponible, elle attend jusqu'à ce que l'adresse IP de sortie soit à nouveau accessible et s'assure que l'état de connexion est maintenu.
Certaines applications peuvent bloquer l'accès si la même adresse IP NAT est utilisée par de nombreux utilisateurs ou sites à la fois. Cato recommande que s'il n'y a pas besoin d'une adresse IP NAT spécifique pour un domaine spécifique, vous devriez utiliser Route Via, ce qui acheminera le trafic en utilisant des IPs dynamiques du PoP pour les connexions.
Question : Lorsqu'une règle réseau est configurée avec une adresse IP NAT de sortie, y a-t-il une limite de 64K flux simultanés pour chaque adresse IP de sortie (en supposant que chaque flux consomme un port TCP/UDP unique) ?
Réponse : Non. Pour chaque adresse IP de sortie, le PoP crée une entrée de traduction NAT unique pour chaque hachage à quatre tuples (SRC IP, port SRC, IP DEST et port DEST). Cela signifie que la limite de 64K flux simultanés s'applique à chaque paire (c'est-à-dire IP source, IP destination). Par exemple, si deux hôtes LAN communiquent avec deux destinations publiques en utilisant le port de destination TCP/443, le PoP peut allouer jusqu'à 128K ports pour prendre en charge les flux simultanés (64K ports pour chaque IP SRC/DST et port SRC/DST).
0 commentaire
Vous devez vous connecter pour laisser un commentaire.