Listas de controle de acesso (ACLs) são usadas por serviços de Internet para determinar quais endereços IP são concedidos acesso a um recurso do sistema.
Quando conectado a um PoP, seu tráfego na Internet pode usar qualquer um dos endereços IP externos do PoP para NAT. Quando uma ACL é utilizada, para garantir que o acesso ao PoP seja mantido, o endereço IP do NAT deve permanecer estático e não compartilhado com outros clientes da Cato.
As regras de saída permitem que você faça NAT de tráfego específico com um endereço IP público estático. O endereço IP está disponível apenas para uso de sua conta e não muda (a menos que você mesmo o altere).
As regras de saída são criadas primeiro selecionando o endereço(s) IP que você deseja NAT e, em seguida, criando a regra de saída.
Se necessário, crie uma regra de saída para apenas um dispositivo ou dispositivos específicos em uma rede, e configure hosts para os dispositivos.
Selecione o endereço IP público alocado pela Cato que você deseja traduzir com NAT na regra de saída. Se precisar de endereços IP adicionais, entre em contato com seu parceiro ou Engenheiro de Vendas.
Para selecionar o endereço IP a ser usado na regra de saída:
-
No menu de navegação, clique em Rede > Alocação de IP.
-
No menu suspenso, selecione a localização do PoP para o qual você está alocando um endereço IP. O endereço IP é fornecido automaticamente.
-
Clique em Salvar.
Quando você está direcionando o tráfego para um número específico de dispositivos, configure os hosts atrás do site relevante.
Para criar um host para um ou mais dispositivos:
-
No menu de navegação, clique em Rede > Sites > [Nome do Site] > Configurações do Site > Hosts.
-
Clique em Novo.
-
Digite o Nome para o dispositivo.
-
Digite o Endereço IP do dispositivo.
-
Se você estiver usando a Cato para DHCP, sob MAC, insira o endereço MAC. Isso criará uma reserva de DHCP para o computador.
Nota: Se você não estiver usando o DHCP da Cato, certifique-se de que o computador de origem tenha um IP estático ou reserva de DHCP no servidor DHCP local. Se o endereço IP do dispositivo mudar, a regra de saída não funcionará.
-
Clique em Aplicar e depois clique em Salvar.
IP Traduzido mostra o endereço IP que o PoP traduz para o endereço IP do host interno. Quando Tradução de Intervalo Estático (Administração > Configurações do Sistema) está ativada para a conta, você pode definir o intervalo de IP traduzido na tela de Redes.
Crie uma regra de rede para definir o tráfego que você está saindo para o endereço IP público da Cato.
Quando você tem uma regra configurada com mais de um endereço IP de saída, o PoP determina qual dos endereços usar.
Para criar uma regra de saída:
-
No menu de navegação, clique em Rede > Regras de Rede.
-
Clique em Novo.
-
Na seção Geral, insira o Nome e a Ordem da Regra da regra de saída.
-
No menu suspenso Tipo de Regra, selecione Internet.
-
Na seção Origem, selecione a fonte do tráfego ao qual a regra de saída se aplica.
-
Na seção Aplicação/Categoria, selecione o tipo de tráfego ao qual a regra de saída se aplica.
-
Na seção Configuração, sob Método de Roteamento, selecione NAT.
-
Sob IPs Alocados, selecione o(s) endereço(s) IP para egressar o tráfego.
-
Clique em Aplicar e depois clique em Salvar.
Recomendamos estas melhores práticas ao configurar Regras de Rede que direcionam o tráfego com os seguintes Métodos de Roteamento:
-
Tráfego NAT via IPs:
-
Use pelo menos dois endereços IP de saída de 2 locais diferentes de PoP na Regra de Rede para garantir redundância caso o destino não esteja acessível pelo primeiro IP.
-
Nota: Para Regras de Rede que somente direcionam tráfego com aplicações sensíveis, como VoIP, configure um endereço IP de saída (veja abaixo Usando IPs de Saída para Tráfego VoIP)
-
-
Escolher Política de Roteamento via Localização do PoP:
-
Use duas localizações diferentes de PoP na Regra de Rede para garantir redundância caso o destino não esteja acessível pelo primeiro PoP.
-
Quando você tem uma regra que está configurada com mais de um endereço IP de saída, o PoP determina qual dos endereços usar.
Para regras de rede que roteiam apenas tráfego com aplicações sensíveis, como VoIP ou ERP, recomendamos que você configure estas configurações:
-
Apenas um endereço IP de saída
-
Habilite a configuração avançada IP preferencial para tráfego SIP para sempre usar o mesmo endereço IP de saída
Essas configurações forçam o PoP a utilizar apenas o IP de saída. Se esse IP não estiver disponível, ele aguarda até que o endereço IP de saída esteja acessível novamente e garante que o estado da conexão seja mantido.
Algumas aplicações podem bloquear o acesso se o mesmo IP de saída do NAT for usado por muitos usuários ou sites ao mesmo tempo. Cato recomenda que, se não houver necessidade de um IP NAT específico para um domínio específico, você deve usar Rota Via, que irá rotear o tráfego usando IPs PoP dinâmicos para as conexões.
Pergunta: Quando há uma Regra de Rede configurada com um IP NAT de saída, há um limite de 64K fluxos simultâneos para cada endereço IP de saída (assumindo que cada fluxo consuma uma única porta TCP/UDP)?
Resposta: Não. Para cada endereço IP de saída, o PoP cria uma entrada de tradução NAT única para cada hash de quatro tuplas (IP de origem, porta de origem, IP de destino, e porta de destino). Isso significa que o limite de 64K fluxos simultâneos aplica-se a cada par (ou seja, IP de origem, IP de destino). Por exemplo, se dois hosts da LAN se comunicarem com dois destinos públicos usando a porta de destino TCP/443, o PoP poderá alocar até 128K portas para suportar os fluxos simultâneos (64K portas para cada IP de ORG/DST e porta de ORG/DST).
0 comentário
Por favor, entre para comentar.