Comment configurer une règle réseau pour le trafic sortant

Vue d'ensemble

Les ressources Internet et les partenaires commerciaux peuvent utiliser des IPs publiques sortantes pour les listes de contrôle d'accès (ACLs) afin d'autoriser l'accès aux ressources hébergées sur Internet.

Lors de la connexion à un PoP, le trafic Internet peut utiliser n'importe quelle adresse IP externe du PoP pour NAT. Une adresse IP publique statique est requise lorsqu'un client doit sortir d'un PoP avec une IP publique spécifique à utiliser dans une ACL. Définir les options de routage pour une règle réseau pour NAT sur un trafic spécifique avec une adresse IP publique statique. L'adresse IP est disponible uniquement pour votre compte et ne change pas (sauf si vous la changez vous-même).

Configuration d'une règle réseau pour le trafic sortant

Utilisez la politique des règles réseau pour définir le comportement NAT sortant. Une règle qui utilise la méthode Routage NAT vous permet de translater le trafic vers une ou plusieurs adresses IP publiques statiques attribuées à votre compte. Ces IPs fournissent des identités de sortie stables pour les services qui nécessitent une liste blanche.

Avant de créer la règle, assurez-vous que les adresses IP publiques requises sont attribuées sur la page d'attribution IP, et (si besoin) que les hôtes pertinents sont définis pour le site.

Lorsque vous configurez une règle réseau avec plusieurs IPs allouées, le PoP sélectionne l'adresse IP sortante en fonction de la disponibilité et des conditions de routage.

Attribution des IPs pour votre compte

Sélectionnez l'adresse IP publique allouée par Cato que vous souhaitez traduire avec NAT dans la règle de sortie. La licence par défaut pour chaque compte inclut 3 IPs uniques qui peuvent être utilisées par n'importe quel PoP. Si vous avez besoin d'adresses IP supplémentaires, contactez votre partenaire ou votre ingénieur commercial.

Pour attribuer une IP pour le trafic sortant :

  1. Dans le menu de navigation, cliquez sur Réseau > Allocation IP.

  2. Dans le menu déroulant, sélectionnez l'emplacement du PoP auquel vous attribuez une adresse IP. L'adresse IP est automatiquement ajoutée à votre compte.

  3. Cliquez sur Sauvegarder.

Trafic sortant pour les hôtes statiques (Optionnel)

Lorsque vous faites sortir du trafic pour un certain nombre d'appareils, configurez les hôtes statiques derrière le site concerné. Ajoutez ensuite les hôtes comme Source dans une règle réseau.

Pour les comptes qui utilisent le serveur DHCP de Cato, vous devez entrer l'adresse MAC de l'hôte pour réserver l'IP.

Note : Si vous n'utilisez pas le DHCP de Cato, assurez-vous que l'appareil source a une IP statique ou une réservation DHCP dans le serveur DHCP local. Si l'adresse IP de l'appareil change, la règle réseau n'utilisera pas l'adresse IP de Cato pour faire sortir le trafic de l'appareil.

Adresse IP traduite montre l'adresse IP que le PoP traduit pour l'adresse IP de l'hôte interne. Lorsque la Traduction de plage statique (Administration > Paramètres du système) est activée pour le compte, vous pouvez définir la plage IP traduite dans l'écran Réseaux.

Pour créer un hôte statique pour le trafic sortant :

  1. À partir du menu de navigation, cliquez sur Réseau > Sites > {nom du site} > Configuration du site > Réservations d'hôtes statiques.

  2. Cliquez sur Nouveau.

  3. Entrez le Nom pour l'appareil.

  4. Entrez l'Adresse IP de l'appareil.

  5. Si vous utilisez Cato pour le DHCP, entrez l'adresse MAC. Cela crée une réservation DHCP pour attribuer une IP statique à cet hôte.

    new_static_host_reservation.jpg

  6. Cliquez sur Appliquer, puis cliquez sur Sauvegarder.

  7. Pour une nouvelle règle réseau ou existante, ajoutez les hôtes statiques comme Source.

Configurer une règle réseau pour faire sortir le trafic vers une IP statique

Créez une règle réseau pour définir le trafic que vous faites sortir vers l'adresse IP publique Cato.

Lorsque une règle réseau est configurée avec plusieurs IPs sortantes/via le routage des PoPs est configuré, le cloud Cato identifie le PoP auquel l'IP de sortie appartient et construit une liste de PoPs candidats autour de celui-ci. Ensuite, il recherche le PoP le plus proche et l'utilise pour faire sortir le trafic. Si les deux IPs appartiennent au même PoP, la première IP dans la liste est utilisée.

Pour créer une règle réseau qui fait sortir vers une IP attribuée :

  1. Dans le menu de navigation, cliquez sur Réseau > Règles réseau.

  2. Cliquez sur Nouveau > Nouvelle règle. Le panneau Ajouter une règle réseau s'ouvre.

  3. À partir de la section Général, configurez les réglages suivants pour la règle :

    1. Entrez le Nom pour la règle.

    2. Activez ou désactivez la règle en utilisant le curseur (vert est activé, gris est désactivé).

    3. Sélectionnez la Position pour la nouvelle règle.

    4. Sous la liste déroulante Type de Règle, sélectionnez Internet.

  4. Dans la section Source, sélectionnez la source du trafic à laquelle la règle de sortie s'applique.

    Si nécessaire, ajoutez des hôtes que vous avez définis ci-dessus dans Trafic sortant pour les hôtes statiques (Optionnel).

  5. Développez la section App/Catégorie et sélectionnez une ou plusieurs applications pour la règle.

  6. Dans la section Configuration, sous Méthode de Routage, sélectionnez NAT.

  7. Sous IPs allouées, sélectionnez les adresses IP (s) pour faire sortir le trafic.

  8. Cliquez sur Enregistrer. Le panneau se ferme et les paramètres sont mis à jour dans la base de règles.

    Les changements sont enregistrés dans votre révision non publiée et sont disponibles pour édition jusqu'à ce qu'ils soient publiés ou rejetés.

  9. Cliquez sur Publier. Une fenêtre de confirmation s'ouvre, cliquez sur Publier.

Bonnes pratiques pour la sortie du trafic

Nous recommandons ces meilleures pratiques lorsque vous configurez des règles réseau qui génèrent du trafic avec les Méthodes de Routage suivantes :

  • Trafic NAT via IPs :

    • Utilisez au moins deux adresses IP sortantes de 2 emplacements PoP différents dans la règle réseau pour fournir une bascule en cas de non-accessibilité de la destination depuis la première IP
      Note : Pour les règles réseau qui ne routent que le trafic avec des applications sensibles, comme la VoIP, configurez une adresse IP sortante (voir ci-dessous Utilisation d'IPs de sortie pour le trafic VoIP)

    nat_egress.png

  • Acheminer le trafic via un emplacement PoP :

    • Utilisez deux emplacements PoP différents dans la règle réseau pour assurer un basculement en cas d'inaccessibilité de la destination depuis le premier PoP

    route_via_egress.png

Adresses IP de sortie multiples

Lorsque une règle réseau est configurée avec plusieurs IPs sortantes/via le routage des PoPs est configuré, le cloud Cato identifie le PoP auquel l'IP de sortie appartient et construit une liste de PoPs candidats autour de celui-ci. Ensuite, il recherche le PoP le plus proche et l'utilise pour faire sortir le trafic. Si les deux IPs appartiennent au même PoP, la première IP dans la liste est utilisée.

egress_rule_nat.png

Utilisation des IP de sortie pour le trafic VoIP

Pour les règles réseau qui acheminent uniquement le trafic avec des applications sensibles, telles que VoIP ou ERP, nous recommandons de configurer ces paramètres :

Ces paramètres forcent le PoP à n'utiliser que l'adresse IP de sortie. Si cette IP n'est pas disponible, elle attend jusqu'à ce que l'adresse IP de sortie soit à nouveau accessible et s'assure que l'état de connexion est maintenu.

Dépannage du trafic sortant avec des règles réseau

Certaines applications peuvent bloquer l'accès si la même adresse IP NAT est utilisée par de nombreux utilisateurs ou sites à la fois. Cato recommande que s'il n'y a pas besoin d'une adresse IP NAT spécifique pour un domaine spécifique, vous devriez utiliser Route Via, qui acheminera le trafic en utilisant des IPs PoP dynamiques pour les connexions.

FAQ pour le trafic sortant

Question : Lorsqu'une règle réseau est configurée avec une IP NAT sortante, y a-t-il une limite de 64K flux simultanés pour chaque adresse IP sortante (en supposant que chaque flux consomme un seul port TCP/UDP) ?

Réponse : Non. Pour chaque adresse IP de sortie, le PoP crée une entrée de traduction NAT unique pour chaque hachage à quatre tuples (SRC IP, port SRC, IP DEST et port DEST). Cela signifie que la limite de 64K flux simultanés s'applique à chaque paire (c'est-à-dire IP source, IP destination). Par exemple, si deux hôtes LAN communiquent avec deux destinations publiques en utilisant le port de destination TCP/443, le PoP peut allouer jusqu'à 128K ports pour prendre en charge les flux simultanés (64K ports pour chaque IP SRC/DST et port SRC/DST).

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 5 sur 8

0 commentaire