Эта статья обсуждает, как использовать политику NAT для управления и приоритизации трафика для сайтов в вашем аккаунте.
Организации, желающие перевести свой сетевой трафик и при этом сохранить доступ к своим ресурсам, сталкиваются с многими вызовами. Особенно когда вам нужно осуществлять коммуникацию между частными сетями, которые могут работать с одинаковыми диапазонами частных IP-адресов. Кроме того, возможно, у вас есть ресурсы, структуру или топологию которых вы не хотите раскрывать. В этом случае вы можете использовать NAT, чтобы трафик выглядел так, словно он исходит с определенного IP-адреса.
Или же вам может понадобиться предоставить удаленный доступ к внутренним сервисам, таким как веб- или файловые серверы. Вы можете предоставить один публичный IP-адрес, который затем конвертируется в другой внутренний IP-адрес или адреса.
Cato позволяет создавать политику NAT для конкретного сайта, соответствующую определенным исходным и конечным IP-адресам, и применять как исходящий, так и конечный NAT (соответственно SNAT и DNAT) для исходящего трафика (из облака Cato к сайту).
Политика NAT применяется к входящему трафику (из ПоПа) к сайту, на котором настроена политика:
- Трафик из Интернета (например, RPF)
- Трафик с другого сайта Cato (например, WAN-трафик)
Расширенный NAT с трансляцией адресов портов (PAT)
Реализация NAT в Cato превышает простую трансляцию IP-адресов, включая по умолчанию трансляцию адресов портов (PAT), что позволяет функциональность NAT many-to-one. Это позволяет до 65,536 одновременных сеансов на транслированный IP-адрес, назначая уникальные номера исходных портов каждому сеансу. В результате несколько оригинальных IP-хостов могут одновременно инициировать соединения через один транслированный IP-адрес, сохраняя уникальность сеанса.
Такой детализированный контроль необходим для эффективного управления следующими сценариями:
- Доступ к облаку к нескольким внутренним сервисам, предоставленным через один IP-адрес
- Среды с высокой плотностью пользователей, где тысячи сеансов необходимо сопоставить, не исчерпывая ресурсы IP-адресов
От использования PAT, Cato обеспечивает масштабируемое, бесконфликтное подключение и бесперебойную производительность приложений даже под высоким трафиком.
Следующий раздел представляет два примера использования для SNAT и DNAT. Пример ниже показывает базу правил для этих случаев использования.
В этом сценарии у вас есть группа администраторов ИТ, подключенных через Клиент SDP. Им нужно получить доступ к ресурсу, принадлежащему третьей стороне, например, к системе тикетов, расположенной за IPsec-сайтом в другой части компании.
Третья сторона требует от вас коммуницировать, используя определенный IP-адрес, например, 192.151.100.10. Исходный IP-адрес источника (который принадлежит группе администраторов ИТ) будет заблокирован для коммуникации.
Чтобы решить эту проблему, вы можете создать правило политики NAT для соединений, исходный IP-адрес источника которых - администраторы в определенной группе. При попытке доступа к системе тикетов вы применяете Source NAT на IP-адрес администратора, чтобы перевести на 192.151.100.10, что обеспечивает возможность администратору ИТ взаимодействовать с сервером третьей стороны.
В этом сценарии у вас несколько хостов из разных групп, отправляющих трафик на один IP-адрес. Эти машины все отправляют свои пакеты на один сетевой адрес, например, 203.0.113.96.
Чтобы обеспечить оптимальную производительность в вашей сети, вы можете создать несколько правил DNAT для направления трафика на разные серверы в зависимости от IP-адреса источника и типа трафика:
-
Трафик из VLAN1 к 203.0.113.96 отправляется на 10.10.10.5
-
Трафик из группы Финансы к 203.0.113.96, отправляется на 10.10.10.25
-
Трафик из группы Закупки к 203.0.113.96, отправляется на 10.10.10.65
Это позволяет добавлять больше машин в соответствующие группы, не меняя конфигурацию, при этом эффективно управляя трафиком на один IP-адрес.
Политика NAT использует упорядоченные правила. Пакет прибывает и проверяется на соответствие правилам. Как только правило соответствует, применяется действие, и никакие другие правила не обрабатываются.
Например, если соединение соответствует правилу №3, действие применяется к соединению, и все последовательные правила игнорируются. Если соединение не соответствует ни одному правилу, оно обрабатывается с исходными данными.
Этот раздел объясняет, как определить правила для NAT и объекты, порты и услуги, которые вы можете настроить.
Создайте правило NAT и настройте его параметры для управления маршрутизацией трафика ЛВС.
Правила политики NAT применяются к сайту примерно через одну минуту.
Для клиентов, которые используют устаревшую конфигурацию Socket LAN IP как преобразованный IP-адрес источника, мы не рекомендуем эту конфигурацию.
Чтобы определить правило NAT:
-
В меню навигации нажмите Сеть > Сайты и выберите сайт.
Примечание
Примечание: Если вы не видите политику NAT в вашем меню и хотите её включить, обратитесь к вашему представителю аккаунта или в службу поддержки клиентов.
-
С меню навигации, нажмите Настройки Сайта > NAT.
-
Нажмите Новый. Откроется панель Добавить правило NAT.
-
В разделе Общие настройте следующие параметры для правила:
-
Введите Имя для правила.
-
Включить или отключить правило, используя ползунок (зелёный - включено, серый - отключено).
-
Настроить Порядок правил. Задать более высокое число для более специфических правил и более низкое для менее специфических.
-
-
Настроить Настройки исходного IP-адреса.
-
Выбрать Диапазон IP или Любой.
Диапазон IP может быть одним IP-адресом или диапазоном адресов. Можно создать несколько записей.
-
-
Настроить Настройки исходного IP-адреса назначения и порт/протокол:
-
Под IP-адрес назначения, выберите Диапазон IP или Любой.
Диапазон IP может быть одним IP-адресом или диапазоном адресов. Можно создать несколько записей.
-
Под порт/протокол назначения, задайте протокол и порт, используя формат протокол/порт:
Например, TCP/80, UDP/53, TCP/443
-
-
Под Действие NAT, определите, изменять ли источник или назначение NAT. Вы можете изменить как источник, так и назначение, но не можете сохранить оба оригинальных адреса.
-
Нажмите Применить, затем нажмите Сохранить.
Правило добавлено в таблицу.
0 комментариев
Войдите в службу, чтобы оставить комментарий.