インターネットリソースとビジネスパートナーは、アクセス制御リスト(ACL)に出力公開IPを使用して、インターネットホストリソースへのアクセスを許可することがあります。
PoPに接続されている場合、インターネットトラフィックはPoPの外部IPアドレスのいずれかをNATのために使用することがあります。 顧客が特定の公開IPを使用してACLに使用する必要がある場合、PoPから出力するためには静的公開IPアドレスが必要です。 静的公開IPアドレスを用いて特定のトラフィックをNATするためのネットワークルールのルーティングオプションを定義します。 このIPアドレスはあなたのアカウント専用で利用可能であり、あなた自身で変更しない限り変更されません。
ネットワークルールポリシーを使用してアウトバウンドNATの動作を定義します。 NATルーティングメソッドを使用するルールにより、トラフィックをあなたのアカウントに割り当てられた一つ以上の静的公開IPアドレスに変換できます。 これらのIPsは、許可リストを必要とするサービスのために安定した出力アイデンティティを提供します。
ルールを作成する前に、IP割り当てページで必要な公開IPアドレスが割り当てられていること、そして(必要に応じて)関連するサイトのホストが定義されていることを確認してください。
複数のIPが割り当てられたネットワークルールを設定する際、PoPは利用可能性とルーティング条件に基づいて出力IPアドレスを選択します。
Egress規則でNATを使用して翻訳するCato割り当てのパブリックIPアドレスを選択します。 各アカウントのデフォルトライセンスには、任意のPoPで使用できる3つのユニークIPが含まれています。 追加のIPアドレスが必要な場合は、パートナーまたはセールスエンジニアに連絡してください。
トラフィックを出力するためのIPを割り当てる:
-
ナビゲーションメニューから、ネットワーク > IPの割り当てをクリックします。
-
ドロップダウンメニューから、IPアドレスを割り当てたいPoPの場所を選択します。 このIPアドレスは自動的にあなたのアカウントに追加されます。
-
保存をクリックしてください。
特定の数のデバイスのトラフィックを出力する場合、関連するサイトの背後で静的ホストを設定してください。 その後、ネットワークルールでソースとしてホストを追加します。
Cato DHCPサーバーを使用しているアカウントの場合、ホストのIPを予約するためにMACアドレスを入力する必要があります。
注意: Cato DHCPを使用していない場合、ソースデバイスが静的IPを持っているか、ローカルDHCPサーバーでDHCP予約があることを確認してください。 デバイスのIPアドレスが変更された場合、ネットワークルールはデバイスのトラフィックを出力するためにCato IPアドレスを使用しません。
変換されたIPは内部ホストIPアドレスをPoPが変換したIPアドレスを表示します。 アカウントに対してスタティックレンジ変換(管理 > システム設定)が有効化されているときには、ネットワーク画面で変換されたIP範囲を定義できます。
Cato公開IPアドレスに出力するトラフィックを定義するネットワークルールを作成します。
複数の出力IP/経由PoPでの設定を持つネットワークルールが設定されている場合、Cato Cloudは出力IPが所属するPoPを識別し、その周辺の候補PoPリストを作成します。 その後、最も近いPoPを検索し、トラフィックの出力に使用します。 両方のIPsが同じPoPに属する場合、リストの最初のIPが使用されます。
割り当て済みIPに出力するネットワークルールを作成する:
-
ナビゲーションメニューから、ネットワーク > ネットワークルールをクリックします。
-
新規 > 新規ルールをクリックします。 ネットワークルールの追加パネルが開きます。
-
一般セクションから、ルールのために以下の設定をします:
-
ルールのための名前を入力します。
-
スライダーを使用してルールを有効または無効にします(緑は有効、灰色は無効)。
-
新しいルールのための位置を選択します。
-
ルールタイプドロップダウンで、インターネットを選択します。
-
-
ソースセクションで、出力ルールが適用されるトラフィックのソースを選択します。
必要に応じて、静的ホストのためのトラフィックを出力(オプション)で上記に定義したホストを追加します。
-
アプリ/カテゴリセクションを展開し、ルールのために一つ以上のアプリケーションを選択します。
-
設定セクションで、ルーティング手法の下で、NATを選択します。
-
割り当てIPアドレスの下で、トラフィックを出力するIPアドレスを選択します。
-
保存をクリックします。 パネルが閉じられ、設定がルールベースに更新されます。
変更は未公開の改訂に保存され、公開されるか破棄されるまで編集可能として利用可能です。
-
公開をクリックします。 確認ウィンドウが開き、公開をクリックします。
以下のルーティング手法でトラフィックを出力するネットワークルールを設定する際のベストプラクティスをお勧めします。
-
IPsを介してNATトラフィック:
-
目的地が最初のIPから到達できない場合のフェイルオーバーを提供するために、ネットワークルールで2つ以上の異なるPoPロケーションの出力IPアドレスを使用してください。
注意: VoIPのような感度の高いアプリケーションのみをルーティングするネットワークルールの場合、1つの出力IPアドレスを設定してください(以下VoIPトラフィックのための出力IPsの使用を参照)。
-
-
PoPロケーションを介してルートトラフィック:
-
最初のPoPから宛先に到達できない場合のフェイルオーバーのために、ネットワークルールで異なる2つのPoPロケーションを使用します。
-
複数の出力IP/経由PoPでの設定を持つネットワークルールが設定されている場合、Cato Cloudは出力IPが所属するPoPを識別し、その周辺の候補PoPリストを作成します。 その後、最も近いPoPを検索し、トラフィックの出力に使用します。 両方のIPsが同じPoPに属する場合、リストの最初のIPが使用されます。
VoIPやERPなどのセンシティブなアプリケーションのみでトラフィックをルーティングするネットワークルールでは、次の設定を行うことをお勧めします:
-
1つの出力IPアドレスのみ
-
常に同じEgress IPアドレスを使用するためにSIPトラフィック用の優先IPの詳細設定を有効にします。
これらの設定により、PoPは出力IPのみを使用することを強制します。 そのIPが利用できない場合、出力IPアドレスが再び到達可能になるまで待機し、接続状態が維持されることを保証します。
同じNAT IPが多数のユーザーまたはサイトで使用されると、一部のアプリケーションがアクセスをブロックすることがあります。 特定のドメインのための特定のNAT IPが必要でない場合、接続に動的なPoP IPを使用してトラフィックをルーティングする経由地を使用してくださいとCatoは推奨します。
質問: 出力NAT IPでネットワークルールが設定されている場合、各出力IPアドレスには64Kの同時フローの制限がありますか(各フローが単一のTCP/UDPポートを消費すると仮定していますか)?
回答する:いいえ。 各出力IPアドレスについて、PoPは各4タプルハッシュ(SRC IP、SRCポート、DEST IP、DESTポート)に対してユニークなNAT変換エントリを作成します。 これは、64Kの同時フロー制限が各ペア(例えば送信元IP、宛先IP)に適用されることを意味します。 例えば、2つのLANホストが宛先ポートTCP/443を使用して2つの公開宛先と通信する場合、PoPは同時フローをサポートするために最大128Kポート(各SRC/DST IPおよびSRC/DSTポートごとに64Kポート)を割り当てることができます。
0件のコメント
サインインしてコメントを残してください。