사이트의 네트워크 범위를 구성합니다

이 문서는 계정에서 사이트에 대한 네트워크 범위를 생성하고 구성하는 방법을 설명합니다.

사이트의 네트워크 범위 개요

사이트의 기본 범위는 사이트를 생성할 때 각 LAN 인터페이스에 대해 구성한 IP 범위입니다. 고유의 IP 주소 범위를 가진 추가적인 LAN 네트워크 범위를 구성할 수 있습니다.

추가할 수 있는 네트워크 유형은 사이트의 연결 유형에 따라 달라집니다:

연결 유형

직접

범위

라우팅 범위

VLAN

소켓

Azure vSocket

 

ESX vSocket

AWS vSocket

 

Cato-initiated IPsec IKEv1 and IKEv2

   

vSocket VSH (legacy)

   

vSocket VGS (legacy)

   

네트워크 범위에 대한 DHCP 설정 구성에 대해 더 알아보려면, DHCP 설정 구성을 참조하십시오.

로컬 네트워크용 네트워크 범위 생성

네트워크 섹션을 사용하여 사이트에 구성된 각 LAN 인터페이스의 네트워크 범위를 정의합니다. IP 주소는 /31 또는 /32 CIDR 블록을 사용할 수 없습니다.

모범 사례: 계정의 모든 사이트에서 고유한 네트워크 범위를 사용하여 최상의 문제 해결과 경로 루프 방지를 제공합니다. 그러나 계정에서 두 개 이상의 사이트가 중복되는 IP 주소 범위를 사용하는 경우, 정적 IP 주소 변환을 활성화하고 구성해야 합니다. 자세한 내용은 계정의 시스템 설정 구성을 참조하십시오.

생성할 수 있는 네트워크 IP 범위 유형은 다음과 같습니다:

  • 직접 - 네트워크 세그먼트가 Cato 소켓 또는 방화벽에 직접 연결된 경우 (라우터를 통해 연결되지 않음), 하지만 IP 범위는 사이트의 기본 범위와 다릅니다.

  • 라우팅됨 - 라우터를 통해 소켓에 연결된 네트워크 세그먼트.

  • VLAN - VLAN이 Cato에 연결될 때 연결은 트렁크 포트와 유사합니다. 패킷이 Cato Cloud에 들어갈 때 VLAN 태그가 제거됩니다. 패킷이 LAN에 다시 들어갈 때 VLAN 태그가 다시 적용됩니다.

    • LAN 인터페이스 별로 네이티브 범위를 VLAN ID(802.Q)로 태그할 수 있습니다. 사이트 내에서 태그된 네트워크만 갖는 것이 모범 사례로 간주됩니다. 사이트를 생성할 때 태그를 추가하거나 기존 사이트에 추가할 수 있습니다.

      참고: 네이티브 범위에 대한 VLAN 태그는 물리적 소켓과 ESX v소켓에 대해서만 소켓 버전 21.1.18975부터 지원됩니다.

참고

참고: IPsec 사이트에는 로컬 IP 필드가 관련 없습니다.

네트워크 범위에 대한 DHCP 설정 구성에 대해 더 알아보려면, DHCP 설정 구성을 참조하십시오.

인터넷 전용 IP 범위

네트워크 범위를 구성하여 WAN과의 통신 없이 인터넷에만 액세스를 제공할 수 있습니다. 인터넷 전용 범위는 동일한 IP 범위로 여러 사이트에서 구성할 수 있습니다. 이것은 네트워크 관리의 간소화와 손님용 WiFi와 같은 게스트 서비스의 보안을 향상시킵니다.

인터넷 전용 네트워크 범위는 Cato Cloud에서 유지되는 글로벌 라우팅 테이블로 전파되지 않으며, 소켓에서 로컬로 관리됩니다. 이 범위 내의 호스트는 사이트의 인터넷 방화벽 설정을 기반으로 인터넷 애플리케이션에 액세스할 수 있습니다.

Cato는 게스트 WiFi 네트워크의 보안을 위해 Cato 켑티브 포털과 함께 인터넷 전용 범위를 사용하는 것을 모범 사례로 권장합니다.

인터넷 전용 범위에는 IPsec 사이트 또는 물리적 소켓이 있는 버전 23 이상인 소켓 사이트가 필요합니다. 인터넷 전용 범위는 다음을 지원합니다:

  • DHCP 구성

  • 로컬 포트 포워딩

  • DNS 전달

  • LAN 방화벽 구성

  • 우회 규칙

다음과 같은 알려진 제한 사항이 인터넷 전용 범위에 적용됩니다:

  • 경로 설정을 인터넷 전용 범위와 함께 사용할 수 없습니다. 인터넷 전용 네트워크의 호스트는 로컬 소켓에 연결된 PoP에서만 나갑니다.

  • 인터넷 전용 범위에는 원격 포트 포워딩이 지원되지 않습니다.

  • 네이티브 범위는 인터넷 전용으로 구성할 수 없습니다.

SecureNetwork_LAN_2.png

To create an IP address range for a LAN interface:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. Expand the LAN interface.

  4. From the LAN interface, click New to add a new network segment for the IP range.

    The New Interface IP Range panel opens.

  5. Enter the Name for the IP range.

  6. From the Type drop-down menu, select the type of IP range: Direct, Routed, or VLAN.

    참고: VLAN 범위는 물리적 소켓과 ESX v소켓만 지원됩니다.

  7. Enter the Subnet and IP settings based on the range type:

    • For Direct and VLAN ranges, enter the Local IP. This is the IP address for the Cato LAN port.

    • For Routed ranges, enter the Gateway. This is the next hop IP address for the neighboring router.

  8. For VLANs, enter the VLAN ID for this range.

  9. (Optional) Configure the DHCP settings for this range, from the DHCP Range drop-down menu select one of these options:

    • Disabled - DHCP is disabled for this range

    • Account Default - this range uses the default DCHP settings for the account

    • DHCP Range - Enter the range of IP addresses that the DHCP server assigns for this segment

  10. (선택 사항) 범위에 대해 추가 설정을 구성하십시오:

    • 범위를 인터넷 전용으로 구성하려면 라우팅 유형에서 인터넷 전용을 선택하십시오.

    • VLAN에서 mDNS를 활성화하려면 멀티캐스트에서 mDNS 게이트웨이를 선택하십시오. 자세한 내용은 서브넷 간 mDNS 활성화를 참조하십시오.

  11. Click Apply. The New Interface IP Range panel closes.

  12. 저장을 클릭하십시오. The IP address range is created.

Editing a Network Range

Use the Edit Interface IP range panel to edit the settings for a network range.

To edit a network range:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. Expand the LAN interface.

    The Edit IP Range panel opens.

  4. Edit the settings for the network range.

  5. IP 범위의 이름을 입력하십시오.

  6. 유형 드롭다운 메뉴에서 IP 범위 유형을 선택하세요: 직접, 라우팅됨, 또는 VLAN.

Deleting a Network Range

Before you can delete a network range, make sure that it isn't used somewhere else in the Cato Management Application, such as network or firewall rules. In addition, make sure that no hosts are configured for that range (in Network > Site Settings > Host).

To delete a network range:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. LAN 인터페이스를 확장합니다.

  4. 네트워크 범위에서 삭제 아이콘 Delete.png을 클릭하십시오.

    The network range is removed from the LAN interface.

  5. Click Save. The network range is deleted.

Defining Segments for Security Policies

In some cases, you may need to define a special security policy for a segment of IP addresses that are part of a bigger network range. For example, within 10.0.0.0/24, the 10.0.0.0/27 block has different security requirements.

SecureNetwork.png

To support such cases, you can define a network range within a site that is a subset of an existing range in the same site. Then, use the item for that network sub-range in a security policy (such as a firewall rule).

Note

Note: If a rule or group is referencing an IP that is included in two ranges in the same site, the more accurate definition (e.g. 10.0.0.0/27 in the example above) always takes precedence.

도움이 되었습니까?

3명 중 3명이 도움이 되었다고 했습니다.

댓글 0개