出力ルールを設定する方法

出力ルールの概要

アクセス制御リスト(ACL)は、インターネットサービスがシステムリソースへのアクセスを許可されたIPアドレスを決定するために使用されます。

PoPに接続されている場合、インターネットトラフィックはNATのためにPoPの外部IPアドレスのいずれかを使用することがあります。 ACLを使用すると、PoPへのアクセスが維持されるように、NAT IPアドレスは静的であり、他のCato顧客と共有されないことが必要です。

出力ルールにより、特定のトラフィックを静的な公開IPアドレスでNATすることができます。 このIPアドレスはあなたのアカウント専用で使用でき、(自己変更しない限り)変わりません。

出力ルールの設定

出力ルールは、NATしたいIPアドレスを選択した後に作成します。

必要に応じて、1台のデバイスまたはネットワーク上の特定のデバイスのみに対して出力ルールを作成し、デバイス用のホストを設定します。

IPアドレスの選択

出力ルールでNATとして翻訳したいCato割り当ての公開IPアドレスを選択します。 追加のIPアドレスが必要な場合は、パートナーまたはセールスエンジニアに連絡してください。

出力ルールで使用するIPアドレスを選択するには:

  1. ナビゲーションメニューから、ネットワーク > IPの割り当てをクリックします。

  2. ドロップダウンメニューから、IPアドレスを割り当てるPoPロケーションを選択します。 IPアドレスは自動的に供給されます。

  3. 保存をクリックしてください。

ホストの作成(オプション)

ある特定の数のデバイスのトラフィックを出力する場合、該当するサイトの後にホストを設定します。

1台または複数のデバイスのためにホストを作成するには:

  1. ナビゲーションメニューから、ネットワーク > サイト > [サイト名] > サイト設定 > 静的ホスト予約

  2. ルールの名前を入力します。

  3. デバイスの名前を入力します。

  4. デバイスのIPアドレスを入力します。

  5. CatoをDHCPに使用している場合は、MACの下で、MACアドレスを入力します。 これにより、コンピュータのためのDHCP予約が作成されます。

    new_static_host_reservation.jpg

    注: Cato DHCPを使用しない場合は、ソースコンピュータに静的IPまたはローカルDHCPサーバーでのDHCP予約があることを確認してください。 デバイスのIPアドレスが変更された場合、出力ルールは機能しません。

  6. 適用をクリックし、その後保存をクリックします。

変換されたIPは内部ホストIPアドレスをPoPが変換したIPアドレスを表示します。 アカウントに対してスタティックレンジ変換管理 > システム設定)が有効化されているときには、ネットワーク画面で変換されたIP範囲を定義できます。

出力ルールの作成

Cato公開IPアドレスに出力するトラフィックを定義するネットワークルールを作成します。

複数の出力IPアドレスを持つルールが設定されている場合、PoPが使用するアドレスを決定します。

出力ルールを作成するには:

  1. ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。

  2. 新規をクリックします。

  3. 一般セクションで、出力ルールの名前ルールを入力します。

  4. ルールタイプドロップダウンで、インターネットを選択します。

  5. ソースセクションで、出力ルールが適用されるトラフィックのソースを選択します。

  6. アプリ/カテゴリセクションで、出力ルールが適用されるトラフィックタイプを選択します。

  7. 設定セクションで、ルーティング手法の下で、NATを選択します。

  8. 割り当てIPアドレスの下で、トラフィックを出力するIPアドレスを選択します。

  9. 適用をクリックし、その後保存をクリックします。

トラフィック出力のベストプラクティス

以下のルーティング手法でトラフィックを出力するネットワークルールを設定する際のベストプラクティスをお勧めします。

  • IPsを介してNATトラフィック:

    • 最初のIPから宛先に到達できない場合のフェイルオーバーのために、ネットワークルールに異なる2つのPoPロケーションから少なくとも2つの出力IPアドレスを使用します。

    • 注意: VoIPなどの敏感なアプリケーションのトラフィックのみをルーティングするネットワークルールには、1つの出力IPアドレスを設定します(以下のVoIPトラフィックのための出力IPの使用を参照)。

    nat_egress.png

  • PoPロケーションを介してルートトラフィック:

    • 最初のPoPから宛先に到達できない場合のフェイルオーバーのために、ネットワークルールで異なる2つのPoPロケーションを使用します。

    route_via_egress.png

複数の出力IP

複数の出力IPアドレスを持つルールが設定されている場合、PoPが使用するアドレスを決定します。

egress_rule_nat.png

VoIPトラフィック用の出力IPの使用

VoIPやERPなどのセンシティブなアプリケーションのみでトラフィックをルーティングするネットワークルールでは、次の設定を行うことをお勧めします:

これらの設定により、PoPは出力IPのみを使用することを強制します。 そのIPが利用できない場合、出力IPアドレスが再び到達可能になるまで待機し、接続状態が維持されることを保証します。

ネットワークルールのトラブルシューティング

同じNAT IPが多数のユーザーまたはサイトで使用されると、一部のアプリケーションがアクセスをブロックすることがあります。 特定のドメインのための特定のNAT IPが必要でない場合、接続に動的なPoP IPを使用してトラフィックをルーティングする経由地を使用してくださいとCatoは推奨します。

出力ルールに関するFAQ

質問: 出力NAT IPでネットワークルールが設定されている場合、各出力IPアドレスには64Kの同時フローの制限がありますか(各フローが単一のTCP/UDPポートを消費すると仮定していますか)?

回答する:いいえ。 各出力IPアドレスについて、PoPは各4タプルハッシュ(SRC IP、SRCポート、DEST IP、DESTポート)に対してユニークなNAT変換エントリを作成します。 これは、64Kの同時フロー制限が各ペア(例えば送信元IP、宛先IP)に適用されることを意味します。 例えば、2つのLANホストが宛先ポートTCP/443を使用して2つの公開宛先と通信する場合、PoPは同時フローをサポートするために最大128Kポート(各SRC/DST IPおよびSRC/DSTポートごとに64Kポート)を割り当てることができます。

この記事は役に立ちましたか?

7人中4人がこの記事が役に立ったと言っています

0件のコメント