Como Configurar uma Regra de Rede para Saída de Tráfego

Visão geral

Recursos da Internet e parceiros comerciais podem usar IPs públicos de saída para listas de controle de acesso (ACLs) para permitir acesso a recursos hospedados na Internet.

Quando conectado a um PoP, o tráfego da Internet pode usar qualquer um dos endereços IP externos do PoP para NAT. Um endereço IP público estático é necessário quando um cliente precisa sair de um PoP com um IP público específico a ser usado em uma ACL. Defina as opções de roteamento para uma Regra de Rede para NAT específico com um endereço IP público estático. O endereço IP está disponível apenas para sua conta e não muda (a menos que você o altere).

Configurando uma Regra de Rede para Saída de Tráfego

Use a política de Regras de Configuração de Rede para definir o comportamento do NAT de saída. Uma regra que usa o método de Roteamento NAT permite traduzir o tráfego para um ou mais endereços IP públicos estáticos alocados para sua conta. Esses IPs fornecem identidades de saída estáveis para serviços que exigem lista de permissão.

Antes de criar a regra, certifique-se de que os endereços IP públicos necessários estão alocados na página de Alocação de IP, e (se necessário) que os anfitriões relevantes estão definidos para o site.

Ao configurar uma Regra de Rede com múltiplos IPs alocados, o PoP seleciona o endereço IP de saída com base na disponibilidade e nas condições de roteamento.

Alocando IPs para sua Conta

Selecione o endereço IP público alocado pelo Cato que você deseja traduzir com NAT na regra de egressão. A licença padrão para cada conta inclui 3 IPs únicos que podem ser usados por qualquer PoP. Se precisar de endereços IP adicionais, entre em contato com seu parceiro ou Engenheiro de Vendas.

Para alocar um IP para saída de tráfego:

No menu de navegação, clique em Rede > Alocação de IP.
No menu suspenso, selecione o local do PoP para o qual você está alocando um endereço IP. O endereço IP é automaticamente adicionado à sua conta.
Clique em Salvar.

Saída de Tráfego para Anfitriões Estáticos (Opcional)

Quando você está saindo de tráfego para um número específico de dispositivos, configure os anfitriões estáticos por trás do site relevante. Em seguida, adicione os anfitriões como Fonte em uma Regra de Rede.

Para contas que usam o servidor DHCP da Cato, você precisa inserir o endereço MAC para o anfitrião para reservar o IP.

Nota: Se você não estiver usando o DHCP da Cato, certifique-se de que o dispositivo fonte tenha um IP estático ou uma reserva DHCP no servidor DHCP local. Se o endereço IP do dispositivo mudar, a Regra de Rede não usará o endereço IP da Cato para saída de tráfego do dispositivo.

IP Traduzido mostra o endereço IP que o PoP traduz para o endereço IP do host interno. Quando Tradução de Intervalo Estático (Administração > Configurações do Sistema) está ativada para a conta, você pode definir o intervalo de IP traduzido na tela de Redes.

Para criar um anfitrião estático para saída de tráfego:

No menu de navegação, clique em Rede > Sites > {site name} > Configurações do Site > Reservas de Anfitriões Estáticos.
Clique em Novo.
Digite o Nome para o dispositivo.
Digite o Endereço IP do dispositivo.
Se você estiver usando Cato para DHCP, insira o endereço MAC. Isso cria uma reserva DHCP para atribuir um IP estático para este anfitrião.
Clique em Aplicar e depois clique em Salvar.
Para uma nova ou existente Regra de Rede, adicione os anfitriões estáticos como Fonte.

Configurando uma Regra de Rede para Saída de Tráfego para um IP Estático

Crie uma regra de rede para definir o tráfego que você está saindo para o endereço IP público da Cato.

Quando uma Regra de Rede é configurada com múltiplos IPs de saída/Rota Via PoPs é configurada, a Nuvem Cato identifica o PoP ao qual o IP de saída pertence e constrói uma lista de PoPs candidatos ao redor dele. Em seguida, procura o PoP mais próximo e o usa para saída do tráfego. Se ambos os IPs pertencem ao mesmo PoP, o primeiro IP da lista é usado.

Para criar uma Regra de Rede que saia para um IP alocado:

No menu de navegação, clique em Rede > Regras de Rede.
Clique em Novo > Nova Regra. O painel de Adicionar Regra de Rede é aberto.
Na seção Geral, configure as seguintes configurações para a regra:
1. Digite o Nome da regra.
2. Ative ou desative a regra usando o controle deslizante (verde está ativado, cinza está desativado).
3. Selecione a Posição da nova regra.
4. No menu suspenso Tipo de Regra, selecione Internet.
Na seção Origem, selecione a fonte do tráfego ao qual a regra de saída se aplica.

Se necessário, adicione os anfitriões que você definiu acima em Saída de Tráfego para Anfitriões Estáticos (Opcional).
Expanda a seção App/Categoria e selecione um ou mais aplicativos para a regra.
Na seção Configuração, sob Método de Roteamento, selecione NAT.
Sob IPs Alocados, selecione o(s) endereço(s) IP para egressar o tráfego.
Clique em Salvar. O painel fecha, e as configurações são atualizadas no banco de regras.

As alterações são salvas na sua revisão não publicada e estão disponíveis para edição até serem publicadas ou descartadas.
Clique em Publicar. Uma janela de confirmação é aberta, clique em Publicar.

Melhores Práticas para Egressar Tráfego

Recomendamos estas melhores práticas ao configurar Regras de Rede que direcionam o tráfego com os seguintes Métodos de Roteamento:

Tráfego NAT via IPs:
- Use pelo menos dois endereços IP de saída de 2 locais PoP diferentes na Regra de Rede para fornecer failover caso o destino não seja alcançável a partir do primeiro IP
  Nota: Para Regras de Rede que apenas roteiam tráfego com aplicações sensíveis, como VoIP, configure um endereço IP de saída (ver abaixo Usando IPs de Saída para Tráfego VoIP)
Escolher Política de Roteamento via Localização do PoP:
- Use duas localizações diferentes de PoP na Regra de Rede para garantir redundância caso o destino não esteja acessível pelo primeiro PoP.

Vários IPs de Egressão

Usando IPs de Egressão para Tráfego VoIP

Para regras de rede que roteiam apenas tráfego com aplicações sensíveis, como VoIP ou ERP, recomendamos que você configure estas configurações:

Apenas um endereço IP de saída
Ative a Configuração Avançada de IP Preferido para Tráfego SIP para sempre usar o mesmo endereço IP de egressão

Essas configurações forçam o PoP a utilizar apenas o IP de saída. Se esse IP não estiver disponível, ele aguarda até que o endereço IP de saída esteja acessível novamente e garante que o estado da conexão seja mantido.

Resolução de Problemas de Saída de Tráfego com Regras de Rede

Algumas aplicações podem bloquear o acesso se o mesmo IP de saída do NAT for usado por muitos usuários ou sites ao mesmo tempo. Cato recomenda que, se não houver necessidade de um IP NAT específico para um domínio específico, você deve usar Rota Via, que irá rotear o tráfego usando IPs PoP dinâmicos para as conexões.

FAQ para Saída de Tráfego

Pergunta: Quando há uma Regra de Rede configurada com um IP NAT de saída, há um limite de 64K fluxos simultâneos para cada endereço IP de saída (assumindo que cada fluxo consuma uma única porta TCP/UDP)?

Resposta: Não. Para cada endereço IP de saída, o PoP cria uma entrada de tradução NAT única para cada hash de quatro tuplas (IP de origem, porta de origem, IP de destino, e porta de destino). Isso significa que o limite de 64K fluxos simultâneos aplica-se a cada par (ou seja, IP de origem, IP de destino). Por exemplo, se dois hosts da LAN se comunicarem com dois destinos públicos usando a porta de destino TCP/443, o PoP poderá alocar até 128K portas para suportar os fluxos simultâneos (64K portas para cada IP de ORG/DST e porta de ORG/DST).