Configurer les plages réseau pour un site

Cet article explique comment créer et configurer des plages réseau pour un site dans votre compte.

Vue d'ensemble des plages du réseau pour un site

La plage native pour le site est la plage IP que vous avez configurée pour chaque interface LAN lors de la création du site. Vous pouvez configurer des plages réseau LAN supplémentaires avec leurs propres plages d'adresses IP.

Les types de réseaux que vous pouvez ajouter dépendent du Type de Connexion du site :

Type de Connexion

Direct

Plage

Plage routée

VLAN

Socket

Azure vSocket

 

ESX vSocket

AWS vSocket

 

IPsec IKEv1 et IKEv2 initiés par Cato

   

vSocket VSH (legacy)

   

vSocket VGS (legacy)

   

Pour plus d'informations sur la configuration des paramètres DHCP pour une plage de réseau, voir Configuring DHCP Settings.

Création d'une plage de réseau pour un réseau local

Utilisez la section Réseaux pour définir les plages réseau pour chaque interface LAN configurée pour le site. Les adresses IP ne peuvent pas utiliser les blocs CIDR /31 ou /32.

Meilleure Pratique : Tous les sites de votre compte utilisent des plages réseau uniques pour un dépannage optimal et éviter les boucles de routage. Cependant, si deux sites ou plus dans votre compte utilisent des plages d'adresses IP qui se chevauchent, vous devez activer et configurer la traduction de plage statique. Pour plus d'informations, voir Configuring System Settings for the Account.

Voici les types de plages d'IP réseau que vous pouvez créer :

  • Direct - Segments réseau directement connectés au Socket Cato ou au pare-feu (non via un routeur), mais la plage IP est différente de la plage native du site.

  • Routée - Segments réseau qui se connectent à un Socket via un routeur.

  • VLAN - Lorsque des VLANs se connectent à Cato, la connexion est similaire à un port trunk. Les tags VLAN sont supprimés lorsque les paquets entrent dans le Cato Cloud. Lorsqu'un paquet entre à nouveau dans le LAN, le tag VLAN est réappliqué.

    • Vous pouvez éventuellement marquer la plage native par interface LAN avec un ID VLAN (802.Q). Il est considéré comme une bonne pratique de n'avoir que des réseaux marqués au sein de vos sites. Vous pouvez soit ajouter le tag lors de la création d'un site, soit l'ajouter pour les sites existants.

      Note : Les tags VLAN pour les plages natives sont pris en charge uniquement pour les vSockets physiques et ESX, à partir de la version Socket 21.1.18975.

Remarque

Remarque : Le champ IP locale n'est pas pertinent pour les sites IPsec.

Pour plus d'informations sur la configuration des paramètres DHCP pour une plage de réseau, voir Configuring DHCP Settings.

Plages d'IP uniquement Internet

Vous pouvez configurer une plage de réseau pour fournir uniquement un accès à Internet sans possibilité de communication avec le WAN. Les plages Internet uniquement peuvent être configurées dans plusieurs sites avec des plages IP identiques. Cela simplifie la gestion du réseau et améliore la sécurité pour les services invités, tels que le WiFi invité.

Les plages de réseau Internet uniquement ne sont pas propagées dans la table de routage globale maintenue dans le Cato Cloud et sont gérées localement dans le Socket. Les hôtes dans cette plage peuvent accéder aux applications Internet en fonction des paramètres de pare-feu Internet du site.

Cato recommande comme meilleure pratique pour la sécurité des réseaux WiFi invités d'utiliser les plages uniquement Internet avec le portail captif Cato.

Les plages Internet uniquement nécessitent un site IPsec ou un site Socket avec un Socket physique en version 23 et supérieure. Les plages Internet uniquement supportent les éléments suivants :

  • Configurations DHCP

  • Transfert de port local

  • Redirection DNS

  • Configurations du pare-feu LAN

  • Règles de contournement

Les limitations connues suivantes s'appliquent aux plages Internet uniquement :

  • Les paramètres de itinéraire via ne peuvent pas être utilisés avec les plages Internet uniquement. Les hôtes sur un réseau Internet uniquement sortent uniquement du PoP connecté au Socket local.

  • Le transfert de port à distance n'est pas pris en charge pour les plages Internet uniquement.

  • Les plages natives ne peuvent pas être configurées comme uniquement Internet.

SecureNetwork_LAN_2.png

To create an IP address range for a LAN interface:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. Expand the LAN interface.

  4. From the LAN interface, click New to add a new network segment for the IP range.

    The New Interface IP Range panel opens.

  5. Enter the Name for the IP range.

  6. From the Type drop-down menu, select the type of IP range: Direct, Routed, or VLAN.

    Note : Les plages VLAN sont prises en charge uniquement pour les Sockets physiques et les vSockets ESX.

  7. Enter the Subnet and IP settings based on the range type:

    • For Direct and VLAN ranges, enter the Local IP. This is the IP address for the Cato LAN port.

    • For Routed ranges, enter the Gateway. This is the next hop IP address for the neighboring router.

  8. For VLANs, enter the VLAN ID for this range.

  9. (Optional) Configure the DHCP settings for this range, from the DHCP Range drop-down menu select one of these options:

    • Disabled - DHCP is disabled for this range

    • Account Default - this range uses the default DCHP settings for the account

    • DHCP Range - Enter the range of IP addresses that the DHCP server assigns for this segment

  10. (Optionnel) Configurez Paramètres supplémentaires pour la plage :

    • Pour configurer la plage comme Internet uniquement, sous Type de routage, sélectionnez Internet uniquement.

    • Pour activer mDNS sur un VLAN, sous Multicast, sélectionnez Porte de mDNS. Pour plus d'informations, voir Enabling mDNS Between Subnets.

  11. Click Apply. The New Interface IP Range panel closes.

  12. Cliquez sur Sauvegarder. The IP address range is created.

Editing a Network Range

Use the Edit Interface IP range panel to edit the settings for a network range.

To edit a network range:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. Expand the LAN interface.

    The Edit IP Range panel opens.

  4. Edit the settings for the network range.

  5. Entrez le Nom pour la plage IP.

  6. Dans le menu déroulant Type, sélectionnez le type de plage IP : Direct, Routé ou VLAN.

Deleting a Network Range

Before you can delete a network range, make sure that it isn't used somewhere else in the Cato Management Application, such as network or firewall rules. In addition, make sure that no hosts are configured for that range (in Network > Site Settings > Host).

To delete a network range:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. Développer l'interface LAN.

  4. Depuis la plage de réseau, cliquez sur l'icône Supprimer Delete.png.

    The network range is removed from the LAN interface.

  5. Click Save. The network range is deleted.

Defining Segments for Security Policies

In some cases, you may need to define a special security policy for a segment of IP addresses that are part of a bigger network range. For example, within 10.0.0.0/24, the 10.0.0.0/27 block has different security requirements.

SecureNetwork.png

To support such cases, you can define a network range within a site that is a subset of an existing range in the same site. Then, use the item for that network sub-range in a security policy (such as a firewall rule).

Note

Note: If a rule or group is referencing an IP that is included in two ranges in the same site, the more accurate definition (e.g. 10.0.0.0/27 in the example above) always takes precedence.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 3 sur 3

0 commentaire