出力ルールを設定する方法

出力ルールの概要

アクセス制御リスト (ACL) は、インターネットサービスがシステムリソースへのアクセスを許可する IP アドレスを決定するために使用されます。

PoP に接続されている場合、インターネットトラフィックは NAT のために PoP の外部IPアドレスを任意に使用することがあります。 ACLが使用されている場合、ポップへのアクセスを確保するためにNAT IPアドレスは静的であり、他のCato顧客と共有されてはなりません。

出力ルールにより、静的公開IPアドレスで特定のトラフィックをNATすることができます。 このIPアドレスはアカウント専用で使用可能であり、変更されません(自分で変更しない限り)。

出力ルールの設定

出力ルールは、まず(NATしたいIPアドレスを選択し、その後出力ルールを作成します。

必要に応じて、1つのデバイスまたはネットワーク上の特定のデバイスに対する出力ルールを作成し、デバイスのホストを設定してください。

IPアドレスの選択

出力ルールの NAT で変換したいCato に割り当てられた 公開IPアドレスを選択します。 追加の IPアドレス が必要な場合は、パートナーまたはセールスエンジニアに連絡してください。

出力ルールで使用するIPアドレスを選択するには:

  1. ナビゲーションメニューから、ネットワーク > IPの割り当てをクリックしてください。

  2. ドロップダウンメニューから、IPアドレスを割り当てるPoPロケーションを選択します。 IPアドレスは自動的に提供されます。

  3. 保存をクリックしてください。

ホストの作成(任意)

特定のデバイス数のトラフィックを出力する場合、関連するサイトのホストを設定します。

1つ以上のデバイスに対してホストを作成するには:

  1. ナビゲーションメニューから、ネットワーク > サイト > [サイト名] > サイト設定 > ホスト をクリックします

  2. 新規作成をクリックしてください。

  3. デバイスの名前を入力します。

  4. デバイスのIPアドレスを入力します。

  5. CatoでDHCPを使用する場合は、MACアドレスの下にMACアドレスを入力します。 これにより、コンピューターのDHCP予約が作成されます。

    new_static_host_reservation.jpg

    注意: Cato DHCPを使用していない場合は、ソースコンピューターがローカルDHCPサーバーで静的IPまたはDHCP予約を持っていることを確認してください。 デバイスのIPアドレスが変更されると、出力ルールは機能しません。

  6. 適用をクリックし、その後保存をクリックします。

変換されたIPは、PoP が内部ホストIPに変換するIPアドレスを表示します。 アカウントでスタティックレンジ変換 (管理系 > システム設定) が有効化されている場合、ネットワーク画面で変換された IP 範囲を定義できます。

出力ルールの作成

ネットワークルールを作成して、Catoの公開 IPアドレスに出力するトラフィックを定義します。

1つ以上の出力IPアドレスで構成されたルールがある場合、PoPは使用するアドレスを決定します。

出力ルールを作成するには:

  1. ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。

  2. 新規をクリックします。

  3. 一般セクションで、出力ルールの名前ルールの順序を入力します。

  4. ルールタイプドロップダウンから、インターネットを選択します。

  5. 送信元セクションで、出力ルールが適用されるトラフィックのソースを選択します。

  6. アプリ/カテゴリセクションで、出力ルールが適用されるトラフィックタイプを選択します。

  7. 設定セクションで、ルーティング手法の下でNATを選択します。

  8. 割り当てIPの下で、出力するトラフィックのIPアドレス(を選択します。

  9. 適用をクリックし、その後保存をクリックします。

トラフィック出力のベストプラクティス

NAT出力IPアドレスでネットワークルールを設定する場合、これらのベストプラクティスをお勧めします:

  • 一般的に、宛先に最初から到達できない場合のフェイルオーバーを提供するために、ネットワークルールで少なくとも2つの出力IPアドレスを使用します。

  • VoIPのような機密性の高いアプリケーションのみをルーティングするネットワークルールの場合、1つの出力IPアドレスを設定します。

複数の出力IPアドレス

1つ以上の出力IPアドレスで構成されたルールがある場合、PoPは使用するアドレスを決定します。

egress_rule_nat.png

VoIPトラフィック用出力IPの使用

VoIPまたはERPのような機密性の高いアプリケーションのみをルーティングするネットワークルールのために、次の設定をお勧めします:

これらの設定により、PoPは出力IPのみを使用します。 そのIPが利用できない場合は、出力IPアドレスが再び到達可能になるまで待機し、接続状態を維持します。

Troubleshooting Network Rules

Some applications might block access if the same NAT IP is used by many users or sites at once. 特定のドメインに特定のNAT IPが必要ない場合、Catoでは、接続のために動的PoP IPを使用してトラフィックをルーティングする経由地の使用を推奨します。

出力ルールに関するFAQ

質問:出力NAT IPと共に設定されたネットワークルールがある場合、各出力IPアドレスについて64Kの同時フローが制限されますか?(各フローが1つのTCP/UDPポートを消費するものとする)?

回答する: いいえ。 各出力IPアドレスについて、PoPは各四重ハッシュ(SRC IP、SRCポート、DEST IP、およびDESTポート)ごとにユニークなNAT変換エントリを作成します。 これは、64K同時フローの制限が各ペア(つまり、送信元IP、宛先IP)に適用されることを意味します。 例えば、TCP/443 宛先ポートを使用して2つの公開宛先と通信する2つのLANホストがある場合、PoPは同時フローをサポートするために最大128Kポートを割り当てることができます (各SRC/DST IPとSRC/DST ポートに対して64Kポート)。

この記事は役に立ちましたか?

7人中4人がこの記事が役に立ったと言っています

0件のコメント