네트워크 규칙을 구성하여 트래픽 송신 방법

개요

인터넷 리소스 및 비즈니스 파트너는 인터넷 호스트 리소스에 대한 액세스를 허용하기 위해 접근 제어 목록(ACL)에 송신 공용 IP를 사용할 수 있습니다.

PoP에 연결되면, 인터넷 트래픽은 NAT용으로 PoP의 외부 IP 주소 중 하나를 사용할 수 있습니다. 고객이 ACL에서 사용하기 위해 특정 공용 IP로 PoP에서 송신할 필요가 있는 경우, 정적 공용 IP 주소가 필요합니다. 특정 트래픽을 정적 공용 IP 주소로 NAT 하도록 네트워크 규칙의 라우팅 옵션을 정의합니다. IP 주소는 귀하의 계정만을 위해 제공되며, 변경되지 않습니다(직접 변경하지 않는 한).

네트워크 규칙을 구성하여 트래픽 송신

네트워크 규칙 정책을 사용하여 아웃바운드 NAT 동작을 정의합니다. NAT 라우팅 방법을 사용하는 규칙은 귀하의 계정에 할당된 하나 이상의 정적 공인 IP 주소로 트래픽을 변환할 수 있게 합니다. 이들 IP는 화이트리스트가 필요한 서비스에 안정적인 송신 신원을 제공합니다.

규칙을 생성하기 전에, 필요한 공용 IP 주소가 IP 할당 페이지에 할당되어 있고, (필요한 경우) 관련 호스트가 사이트에 대해 정의되어 있는지 확인하십시오.

여러 할당된 IP로 네트워크 규칙을 구성하면, PoP는 가용성과 라우팅 조건에 따라 송신 IP 주소를 선택합니다.

계정을 위한 IP 할당

출구 규칙에서 NAT로 번역하고자 하는 Cato 할당된 공용 IP 주소를 선택하십시오. 각 계정의 기본 라이센스에는 모든 PoP에서 사용할 수 있는 3개의 고유 IP가 포함되어 있습니다. 추가 IP 주소가 필요한 경우, 파트너나 영업 엔지니어에게 문의하십시오.

트래픽 송신을 위한 IP 할당:

네비게이션 메뉴에서 네트워크 > IP 할당을 클릭합니다.
드롭다운 메뉴에서 IP 주소를 할당할 PoP 위치를 선택합니다. IP 주소가 자동으로 귀하의 계정에 추가됩니다.
저장을 클릭합니다.

정적 호스트를 위한 트래픽 송신(선택 사항)

디바이스 수에 대해 송신 트래픽을 처리할 때, 관련 사이트 뒤에 정적 호스트를 구성합니다. 그런 다음 위에서 정의한 호스트를 네트워크 규칙의 소스로 추가합니다.

Cato DHCP 서버를 사용하는 계정의 경우, 해당 호스트에 대한 MAC 주소를 입력하여 IP를 예약해야 합니다.

참고: Cato DHCP 서버를 사용하지 않는 경우, 소스 디바이스에 정적 IP 또는 로컬 DHCP 서버에서의 DHCP 예약이 있는지 확인하십시오. 디바이스의 IP 주소가 변경되면, 네트워크 규칙은 Cato IP 주소를 사용하여 해당 디바이스에 대한 트래픽을 송신하지 않습니다.

변환된 IP는 내부 호스트 IP 주소에 대해 PoP가 변환한 IP 주소를 표시합니다. 계정에 정적 IP 주소 변환(관리 > 시스템 설정)이 활성화되면, 네트워크 화면에서 변환된 IP 범위를 정의할 수 있습니다.

트래픽 송신을 위한 정적 호스트 생성:

탐색 메뉴에서 네트워크 > 사이트 > {site name} > 사이트 설정 > 정적 호스트 예약을 클릭하십시오.
새로 만들기를 클릭합니다.
장치의 이름을 입력합니다.
장치의 IP 주소를 입력합니다.
Cato DHCP를 사용하는 경우, MAC 주소를 입력하십시오. 이것은 이 호스트에 대해 정적 IP를 할당하기 위한 DHCP 예약을 생성합니다.
적용을 클릭하고, 저장을 클릭합니다.
새로운 또는 기존 네트워크 규칙에 대해, 정적 호스트를 소스로 추가합니다.

정적 IP로 트래픽을 송신하기 위한 네트워크 규칙 구성

Cato 공인 IP 주소로 송신할 트래픽을 정의하기 위해 네트워크 규칙을 생성합니다.

여러 송신 IP/경로를 통해 PoP가 구성된 네트워크 규칙에서, Cato Cloud는 송신 IP가 속하는 PoP를 식별하고, 그 주변의 후보 PoP 목록을 생성합니다. 그런 다음 가장 가까운 PoP를 찾아 해당 PoP를 사용하여 트래픽을 송신합니다. 두 개의 IP가 동일한 PoP에 속하는 경우, 목록의 첫 번째 IP가 사용됩니다.

할당된 IP로 송신하는 네트워크 규칙 생성:

네비게이션 메뉴에서 네트워크 > 네트워크 규칙을 클릭합니다.
새로 만들기 > 새 규칙을 클릭하십시오. 네트워크 규칙 추가 패널이 열립니다.
일반 섹션에서 규칙을 위한 다음 설정을 구성합니다:
1. 규칙의 이름을 입력하십시오.
2. 슬라이더를 사용하여 규칙을 활성화 또는 비활성화하십시오(녹색은 활성화, 회색은 비활성화).
3. 새 규칙의 위치를 선택하십시오.
4. 규칙 유형 드롭다운에서 인터넷을 선택합니다.
출발지 섹션에서 송신 규칙이 적용되는 트래픽의 출발지를 선택합니다.

필요한 경우, 정적 호스트를 위한 트래픽 송신(선택 사항)에서 위에 정의한 호스트를 추가하십시오.
앱/카테고리 섹션을 확장하고 규칙을 위한 하나 이상의 애플리케이션을 선택하십시오.
구성 섹션에서 라우팅 방식 아래 NAT를 선택합니다.
할당된 IP에서 트래픽을 송신할 IP 주소를 선택합니다.
저장을 클릭하십시오. 패널이 닫히고 설정이 규칙 베이스에 업데이트됩니다.

변경 사항은 게시되지 않은 수정본으로 저장되며, 게시되거나 버려질 때까지 편집할 수 있습니다.
게시를 클릭하십시오. 확인 창이 열리면, 게시를 클릭하십시오.

트래픽 출구에 대한 모범 사례

다음과 같은 라우팅 방식으로 트래픽을 송신하는 네트워크 규칙을 구성할 때 모범 사례를 권장합니다:

IP들를 통한 NAT 트래픽:
- 대상에 첫 번째 IP로부터 도달할 수 없는 경우에 대비해, 두 개의 다른 PoP 위치에서 2개의 송신 IP 주소를 네트워크 규칙에 사용하여 페일오버를 제공하십시오
  참고: 민감한 애플리케이션, 예를 들어 VoIP과 같은 트래픽만 라우팅하는 네트워크 규칙의 경우, 하나의 송신 IP 주소를 구성하십시오 (아래 VoIP 트래픽을 위한 송신 IP 사용 참조)
PoP 위치를 통해 트래픽 라우팅:
- 첫 번째 PoP에서 목적지가 도달할 수 없는 경우를 대비하여 네트워크 규칙에서 서로 다른 2개의 PoP 위치를 사용하여 페일오버를 제공합니다

다중 출구 IP들

VoIP 트래픽을 위한 출구 IP 사용

VoIP 또는 ERP와 같은 민감한 애플리케이션의 트래픽만 라우팅하는 네트워크 규칙의 경우, 다음 설정을 권장합니다:

단 하나의 송신 IP 주소
항상 동일한 출구 IP 주소를 사용하려면 SIP 트래픽을 위한 고급 설정의 IP 선호 설정을 활성화하십시오

이 설정은 PoP가 송신 IP만 사용하도록 강제합니다. 해당 IP가 사용 가능하지 않으면, 송신 IP 주소가 다시 도달 가능해질 때까지 대기하여 연결 상태를 유지합니다.

네트워크 규칙으로 트래픽 송신 문제 해결

일부 애플리케이션은 동일한 NAT IP가 많은 사용자나 사이트에서 동시에 사용되면 접근을 차단할 수 있습니다. 특정 도메인에 특정 NAT IP가 필요하지 않다면 동적 PoP IP들를 사용하여 연결을 라우팅할 경로 지정을 사용해야 합니다.

트래픽 송신 FAQ

문의: 송신 NAT IP가 구성된 네트워크 규칙이 있는 경우, 각 송신 IP 주소에 대해 64K 동시 흐름의 제한이 있습니까(각 흐름이 단일 TCP/UDP 포트를 소비한다고 가정)?

답변: 아니오. 각 송신 IP 주소마다, PoP는 매 포트 네트워크 해시(SRC IP, SRC 포트, DEST IP, DEST 포트)에 대해 고유한 NAT 번역 항목을 생성합니다. 이는 64K 동시 흐름 제한이 각 쌍(소스 IP, 목적지 IP)에 적용된다는 것을 의미합니다. 예를 들어, 두 LAN 호스트가 두 공공 목적지와 TCP/443을 사용하는 경우, PoP는 동시 흐름을 지원하기 위해 최대 128K 포트를 할당할 수 있습니다 (각 SRC/DST IP 및 SRC/DST 포트에 64K 포트).