Configurando Faixas de Rede para um Site

Este artigo explica como criar e configurar faixas de rede para um site em sua conta.

Visão Geral dos Intervalos de Rede para um Site

A Faixa Nativa para o site é a faixa de IP que você configurou para cada interface LAN quando criou o site. Você pode configurar faixas de rede LAN adicionais com suas próprias faixas de endereço IP.

Os tipos de redes que você pode adicionar dependem do Tipo de Conexão do site:

Tipo de Conexão	Direto Intervalo	Intervalo Roteado	VLAN
Socket	✓	✓	✓
Azure vSocket	✓	✓
ESX vSocket	✓	✓	✓
AWS vSocket	✓	✓
IPsec IKEv1 e IKEv2 iniciados por Cato	✓
vSocket VSH (legado)	✓
vSocket VGS (legado)	✓

Para mais informações sobre como configurar as configurações de DHCP para um intervalo de rede, veja Configuring DHCP Settings.

Criando um Intervalo de Rede para uma Rede Local

Use a seção Redes para definir as faixas de rede para cada interface LAN configurada para o site. Os endereços IP não podem usar blocos CIDR /31 ou /32.

Melhores práticas: Todos os sites em sua conta usam faixas de rede únicas para otimizar a solução de problemas e evitar loops de rota. No entanto, se dois ou mais sites em sua conta usarem faixas de endereço IP sobrepostas, você deve habilitar e configurar a Tradução de Intervalo Estático. Para mais informações, veja, Configuring System Settings for the Account.

Estes são os tipos de faixas de IP de rede que você pode criar:

Direto - Segmentos de rede conectados diretamente ao Socket da Cato ou firewall (não via roteador), mas a faixa de IP é diferente da faixa nativa do site.
Roteado - Segmentos de rede que se conectam a um Socket através de um roteador.
VLAN - Quando VLANs se conectam ao Cato, a conexão é semelhante a uma porta trunk. As tags VLAN são removidas à medida que os pacotes entram na Nuvem Cato. Quando um pacote entra novamente na LAN, a tag VLAN é reaplicada.
- Você pode opcionalmente etiquetar a faixa Nativa por interface LAN com um ID VLAN (802.Q). É considerado uma prática recomendada ter apenas redes etiquetadas dentro de seus sites. Você pode adicionar a etiqueta ao criar um site ou adicioná-la para sites existentes.
  
  Nota: Etiquetas VLAN para faixas Nativas são suportadas apenas para vSockets físicos e ESX, a partir da versão 21.1.18975 do Socket.

Nota

Nota: O campo IP Local não é relevante para sites IPsec.

Para mais informações sobre como configurar as configurações de DHCP para um intervalo de rede, veja Configuring DHCP Settings.

Intervalos de IP Apenas para Internet

Você pode configurar uma faixa de rede para fornecer acesso apenas à Internet sem a possibilidade de comunicação com a WAN. Faixas apenas para Internet podem ser configuradas em múltiplos sites com faixas de IP idênticas. Isso simplifica a gestão de redes e melhora a segurança para serviços de hóspedes, como WiFi de hóspedes.

Faixas de rede Apenas para Internet não são propagadas para a tabela de roteamento global mantida na Cato Cloud e são geridas localmente no Socket. Hosts dentro desta faixa podem acessar aplicações de Internet com base nas configurações de firewall de Internet do site.

Cato recomenda, como uma melhor prática para a segurança das redes WiFi de convidados, usar intervalos Apenas para Internet junto com o portal cautivo da Cato.

Somente Internet requer um site IPsec ou um site de Socket com um Socket físico com versão 23 e superior. Somente Internet suporta o seguinte:

Configurações de DHCP
Encaminhamento de porta local
Encaminhamento DNS
Configurações de firewall LAN
Regras de bypass

As seguintes limitações conhecidas se aplicam a faixas Apenas para Internet:

Configurações de Rota Via não podem ser usadas com faixas Apenas para Internet. Hosts em uma rede Apenas para Internet saem apenas do PoP conectado ao Socket local.
Encaminhamento de Porta Remota não é suportado para faixas apenas para Internet.
Faixas nativas não podem ser configuradas como apenas para internet.

To create an IP address range for a LAN interface:

From the navigation menu, click Network > Sites and select the site.
From the navigation menu, click Site Configuration > Networks.
Expand the LAN interface.
From the LAN interface, click New to add a new network segment for the IP range.

The New Interface IP Range panel opens.
Enter the Name for the IP range.
From the Type drop-down menu, select the type of IP range: Direct, Routed, or VLAN.

Nota: Faixas VLAN são suportadas apenas para Sockets físicos e vSockets ESX.
Enter the Subnet and IP settings based on the range type:
- For Direct and VLAN ranges, enter the Local IP. This is the IP address for the Cato LAN port.
- For Routed ranges, enter the Gateway. This is the next hop IP address for the neighboring router.
For VLANs, enter the VLAN ID for this range.
(Optional) Configure the DHCP settings for this range, from the DHCP Range drop-down menu select one of these options:
- Disabled - DHCP is disabled for this range
- Account Default - this range uses the default DCHP settings for the account
- DHCP Range - Enter the range of IP addresses that the DHCP server assigns for this segment
(Opcional) Configure Configurações Adicionais para a faixa:
- Para configurar a faixa como Apenas para Internet, em Tipo de Roteamento, selecione Apenas para Internet.
- Para habilitar mDNS em uma VLAN, em Multicast, selecione Gateway mDNS. Para mais informações, veja Enabling mDNS Between Subnets.
Click Apply. The New Interface IP Range panel closes.
Clique em Salvar. The IP address range is created.

Editing a Network Range

Use the Edit Interface IP range panel to edit the settings for a network range.

To edit a network range:

From the navigation menu, click Network > Sites and select the site.
From the navigation menu, click Site Configuration > Networks.
Expand the LAN interface.

The Edit IP Range panel opens.
Edit the settings for the network range.
Insira o Nome para a faixa de IP.
No menu suspenso Tipo, selecione o tipo de faixa de IP: Direto, Roteado ou VLAN.

Deleting a Network Range

Before you can delete a network range, make sure that it isn't used somewhere else in the Cato Management Application, such as network or firewall rules. In addition, make sure that no hosts are configured for that range (in Network > Site Settings > Host).

To delete a network range:

From the navigation menu, click Network > Sites and select the site.
From the navigation menu, click Site Configuration > Networks.
Expanda a interface LAN.
Do intervalo de rede, clique no ícone Excluir .

The network range is removed from the LAN interface.
Click Save. The network range is deleted.

Defining Segments for Security Policies

In some cases, you may need to define a special security policy for a segment of IP addresses that are part of a bigger network range. For example, within 10.0.0.0/24, the 10.0.0.0/27 block has different security requirements.

To support such cases, you can define a network range within a site that is a subset of an existing range in the same site. Then, use the item for that network sub-range in a security policy (such as a firewall rule).

Note

Note: If a rule or group is referencing an IP that is included in two ranges in the same site, the more accurate definition (e.g. 10.0.0.0/27 in the example above) always takes precedence.