В этой статье обсуждается, как использовать страницу NAT для управления и приоритизации трафика в вашем аккаунте.
Организации, желающие перевести свой сетевой трафик и при этом сохранить доступ к своим ресурсам, сталкиваются с многими вызовами. Особенно когда вам нужно осуществлять коммуникацию между частными сетями, которые могут работать с одинаковыми диапазонами частных IP-адресов. Кроме того, у вас могут быть ресурсы, структуру или топологию которых вы не хотите раскрывать, в этом случае можно использовать NAT, чтобы сделать вид, что трафик идет с определенного IP-адреса.
Или же вам может понадобиться предоставить удаленный доступ к внутренним сервисам, таким как веб- или файловые серверы. Вы можете предоставить один публичный IP-адрес, который затем конвертируется в другой внутренний IP-адрес или адреса.
Cato позволяет создать специфическую для сайта политику NAT для соответствия определенным исходным и конечным IP-адресам, а также применять как Source NAT, так и Destination NAT (соответственно SNAT и DNAT) для исходящего трафика (из облака Cato на сайт).
Политика NAT применяется к входящему трафику для сайта, на котором она настроена.
Следующий раздел представляет два примера использования для SNAT и DNAT. Пример ниже показывает базу правил для этих случаев использования.
В этом сценарии у вас есть группа администраторов ИТ, подключенных через Клиент SDP. Им нужно получить доступ к ресурсу, принадлежащему третьей стороне, например, к системе тикетов, расположенной за IPsec-сайтом в другой части компании.
Третья сторона требует от вас коммуницировать, используя определенный IP-адрес, например, 192.151.100.10. Исходный IP-адрес источника (который принадлежит группе администраторов ИТ) будет заблокирован для коммуникации.
Чтобы решить эту проблему, вы можете создать правило политики NAT для соединений, исходный IP-адрес источника которых - администраторы в определенной группе. При попытке доступа к системе тикетов вы применяете Source NAT на IP-адрес администратора, чтобы перевести на 192.151.100.10, что обеспечивает возможность администратору ИТ взаимодействовать с сервером третьей стороны.
В этом сценарии у вас несколько хостов из разных групп, отправляющих трафик на один IP-адрес. Эти машины все отправляют свои пакеты на один сетевой адрес, например, 203.0.113.96.
Чтобы обеспечить оптимальную производительность в вашей сети, вы можете создать несколько правил DNAT для направления трафика на разные серверы в зависимости от IP-адреса источника и типа трафика:
-
Трафик из VLAN1 к 203.0.113.96 отправляется на 10.10.10.5
-
Трафик из группы Финансы к 203.0.113.96, отправляется на 10.10.10.25
-
Трафик из группы Закупки к 203.0.113.96, отправляется на 10.10.10.65
Это позволяет добавлять больше машин в соответствующие группы, не меняя конфигурацию, при этом эффективно управляя трафиком на один IP-адрес.
Политика NAT использует упорядоченные правила. Пакет прибывает и проверяется на соответствие правилам. Как только правило соответствует, применяется действие, и никакие другие правила не обрабатываются.
Например, если соединение соответствует правилу №3, действие применяется к соединению, и все последовательные правила игнорируются. Если соединение не соответствует ни одному правилу, оно обрабатывается с исходными данными.
Этот раздел объясняет, как определить правила для NAT и объекты, порты и услуги, которые вы можете настроить.
Создайте правило NAT и настройте его параметры для управления маршрутизацией трафика ЛВС.
Правила политики NAT применяются к сайту примерно через одну минуту.
Чтобы определить правило NAT:
-
В меню навигации нажмите Сеть > Сайты и выберите сайт.
Примечание
Примечание: Если вы не видите политику NAT в вашем меню и хотите её включить, обратитесь к вашему представителю аккаунта или в службу поддержки клиентов.
-
С меню навигации, нажмите Настройки Сайта > NAT.
-
Нажмите Новый. Откроется панель Добавить правило NAT.
-
В разделе Общие настройте следующие параметры для правила:
-
Введите Имя для правила.
-
Включить или отключить правило, используя ползунок (зелёный - включено, серый - отключено).
-
Настроить Порядок правил. Задать более высокое число для более специфических правил и более низкое для менее специфических.
-
-
Настроить Настройки исходного IP-адреса.
-
Выбрать Диапазон IP или Любой.
Диапазон IP может быть одним IP-адресом или диапазоном адресов. Можно создать несколько записей.
-
-
Настроить Настройки исходного IP-адреса назначения и порт/протокол:
-
Под IP-адрес назначения, выберите Диапазон IP или Любой.
Диапазон IP может быть одним IP-адресом или диапазоном адресов. Можно создать несколько записей.
-
Под порт/протокол назначения, задайте протокол и порт, используя формат протокол/порт:
Например, TCP/80, UDP/53, TCP/443
-
-
Под Действие NAT, определите, изменять ли источник или назначение NAT. Вы можете изменить как источник, так и назначение, но не можете сохранить оба оригинальных адреса.
-
Нажмите Применить, затем нажмите Сохранить.
Правило добавлено в таблицу.
0 комментариев
Войдите в службу, чтобы оставить комментарий.