サイトのネットワーク範囲の設定

この記事は、アカウント内のサイト用にネットワーク範囲を作成および構成する方法を説明します。

サイトのネットワーク範囲の概要

サイトのネイティブ範囲は、サイトを作成するときに各LANインターフェースに対して設定したIP範囲です。 独自のIPアドレス範囲を持つ追加のLANネットワーク範囲を構成できます。

追加可能なネットワークの種類はサイトの接続タイプに依存します:

接続タイプ

ダイレクト

範囲

ルーテッド範囲

VLAN

ソケット

Azure vSocket

 

ESX vSocket

AWS vSocket

 

Cato-initiated IPsec IKEv1 and IKEv2

   

vSocket VSH (legacy)

   

vSocket VGS (legacy)

   

ネットワーク範囲のDHCP設定を構成する方法の詳細については、DHCP 設定の構成を参照してください。

ローカルネットワークのネットワーク範囲の作成

サイトに設定された各LANインターフェースのネットワーク範囲を定義するには、ネットワークセクションを使用します。 IPアドレスは/31または/32のCIDRブロックを使用できません。

ベストプラクティス: アカウント内のすべてのサイトは、最適なトラブルシューティングとルートループの回避のためにユニークなネットワーク範囲を使用します。 ただし、アカウント内の2つ以上のサイトが重複するIPアドレス範囲を使用する場合、スタティックレンジ変換を有効にして設定する必要があります。 詳細については、アカウントのシステム設定の構成を参照してください。

これらが作成可能なネットワークIP範囲のタイプです:

  • ダイレクト - ネットワークセグメントがCatoソケットまたはファイアウォールに直接接続されている(ルーターを介さずに)。ただし、IP範囲はサイトのネイティブ範囲とは異なります。

  • ルーテッド - ルーターを経由してソケットに接続するネットワークセグメント。

  • VLAN - VLANがCatoに接続する場合、接続はトランクポートに似ています。 パケットがCato Cloudに入ると、VLANタグは削除されます。 パケットがLANに再び入ると、VLANタグは再適用されます。

    • LANインターフェースごとにネイティブ範囲にVLAN ID(802.Q)をオプションでタグ付けできます。 これは、サイト内にタグ付けされたネットワークのみを持つことを推奨されるベストプラクティスと考えられます。 サイトを作成する際にタグを追加するか、既存のサイトに追加できます。

      注意: ネイティブ範囲のVLANタグは、物理ソケットおよびESX vSocketのみサポートされており、ソケットバージョン21.1.18975以降から対応しています。

注意

注: IPsecサイトにはローカルIPフィールドは関連しません。

ネットワーク範囲のDHCP設定を構成する方法の詳細については、DHCP 設定の構成を参照してください。

インターネット専用IP範囲

WANと通信する可能性がないインターネットのみのアクセスを提供するようネットワーク範囲を設定できます。 インターネットのみの範囲は、複数のサイトで同一のIP範囲で設定できます。 これにより、ネットワーク管理が簡素化され、ゲストWiFiなどのゲストサービスのセキュリティが向上します。

インターネットのみのネットワーク範囲は、Cato Cloudで維持されるグローバルルーティングテーブルに伝播せず、ソケットでローカルに管理されます。 この範囲内のホストは、サイトのインターネットファイアウォール設定に基づいてインターネットアプリケーションにアクセスできます。

Catoは、ゲストWiFiネットワークのセキュリティのために、Catoキャプティブポータルと一緒にインターネット専用範囲を使用することを推奨します。

インターネット専用の範囲は、IPsecサイトまたは物理的なソケットを持つソケットサイト(バージョン23以上)を必要とします。 インターネット専用の範囲は、次をサポートしています:

  • DHCP設定

  • ローカルポート転送

  • DNSフォワーディング

  • LANファイアウォール設定

  • バイパスルール

インターネットのみの範囲には次の既知の制限が適用されます。

  • Route Via設定はインターネットのみの範囲で使用できません。 インターネットのみのネットワーク上のホストは、ローカルソケットに接続されたPoPからのみ出口を出ます。

  • インターネットのみの範囲ではリモートポート転送はサポートされていません。

  • ネイティブ範囲をインターネットのみとして設定することはできません。

SecureNetwork_LAN_2.png

To create an IP address range for a LAN interface:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. Expand the LAN interface.

  4. From the LAN interface, click New to add a new network segment for the IP range.

    The New Interface IP Range panel opens.

  5. Enter the Name for the IP range.

  6. From the Type drop-down menu, select the type of IP range: Direct, Routed, or VLAN.

    注意: VLAN範囲は物理ソケットとESX vSocketsのみサポートされます。

  7. Enter the Subnet and IP settings based on the range type:

    • For Direct and VLAN ranges, enter the Local IP. This is the IP address for the Cato LAN port.

    • For Routed ranges, enter the Gateway. This is the next hop IP address for the neighboring router.

  8. For VLANs, enter the VLAN ID for this range.

  9. (Optional) Configure the DHCP settings for this range, from the DHCP Range drop-down menu select one of these options:

    • Disabled - DHCP is disabled for this range

    • Account Default - this range uses the default DCHP settings for the account

    • DHCP Range - Enter the range of IP addresses that the DHCP server assigns for this segment

  10. (オプション)範囲の追加設定を行う。

    • ルーティングタイプで範囲をインターネットのみとして設定するには、インターネットのみを選択します。

    • VLANでmDNSを有効にするには、マルチキャストの下でmDNSゲートウェイを選択します。 詳細については、サブネット間でのmDNSの有効化を参照してください。

  11. Click Apply. The New Interface IP Range panel closes.

  12. 保存をクリックします。 The IP address range is created.

Editing a Network Range

Use the Edit Interface IP range panel to edit the settings for a network range.

To edit a network range:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. Expand the LAN interface.

    The Edit IP Range panel opens.

  4. Edit the settings for the network range.

  5. IP範囲の名前を入力します。

  6. タイプドロップダウンメニューから、IP範囲のタイプを選択: ダイレクトルーテッドVLAN

Deleting a Network Range

Before you can delete a network range, make sure that it isn't used somewhere else in the Cato Management Application, such as network or firewall rules. In addition, make sure that no hosts are configured for that range (in Network > Site Settings > Host).

To delete a network range:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. LANインターフェースを展開します。

  4. ネットワーク範囲から、削除アイコンDelete.pngをクリックします。

    The network range is removed from the LAN interface.

  5. Click Save. The network range is deleted.

Defining Segments for Security Policies

In some cases, you may need to define a special security policy for a segment of IP addresses that are part of a bigger network range. For example, within 10.0.0.0/24, the 10.0.0.0/27 block has different security requirements.

SecureNetwork.png

To support such cases, you can define a network range within a site that is a subset of an existing range in the same site. Then, use the item for that network sub-range in a security policy (such as a firewall rule).

Note

Note: If a rule or group is referencing an IP that is included in two ranges in the same site, the more accurate definition (e.g. 10.0.0.0/27 in the example above) always takes precedence.

この記事は役に立ちましたか?

3人中3人がこの記事が役に立ったと言っています

0件のコメント