Как настроить сетевое правило для исходящего трафика

Обзор

Интернет-ресурсы и бизнес-партнеры могут использовать исходящие публичные IP-адреса для списков контроля доступа (ACL) для разрешения доступа к Интернет-ресурсам, размещенным в облаке.

При подключении к PoP интернет-трафик может использовать любой из внешних IP-адресов PoP для NAT. Статический публичный IP-адрес необходим, когда клиенту нужно выйти из PoP с конкретным публичным IP, который будет использоваться в ACL. Определите параметры маршрутизации для сетевого правила, чтобы NAT-специфический трафик с статическим публичным IP-адресом. IP-адрес доступен только для вашей учетной записи и не меняется (если только вы не измените его сами).

Настройка сетевого правила для исходящего трафика

Используйте политику сетевых правил для определения поведения исходящего NAT. Правило, которое использует метод маршрутизации NAT, позволяет перевести трафик на один или несколько статических публичных IP-адресов, выделенных вашей учетной записи. Эти IP-адреса обеспечивают стабильную исходящую идентификацию для сервисов, требующих добавления в белый список.

Перед созданием правила убедитесь, что необходимые публичные IP-адреса выделены на странице распределения IP, и (если необходимо) что соответствующие хосты определены для площадки.

Когда вы настраиваете сетевое правило с несколькими выделенными IP-адресами, PoP выбирает исходящий IP-адрес на основе доступности и условий маршрутизации.

Выделение IP-адресов для вашей учетной записи

Выберите публичный IP-адрес, выделенный Cato, который вы хотите трансформировать с помощью NAT в правиле выхода. Лицензия по умолчанию для каждой учетной записи включает 3 уникальных IP-адреса, которые могут использоваться любым PoP. Если вам нужны дополнительные IP-адреса, свяжитесь с вашим партнером или инженером по продажам.

Чтобы выделить IP для исходящего трафика:

В меню навигации нажмите Сеть > Распределение IP.
Из выпадающего меню выберите местоположение PoP, для которого вы выделяете IP-адрес. IP-адрес автоматически добавляется в вашу учетную запись.
Нажмите Сохранить.

Исходящий трафик для статических хостов (необязательно)

Когда вы настраиваете исходящий трафик для определенного количества устройств, настройте статические хосты за соответствующей площадкой. Затем добавьте хосты в качестве источника в сетевом правиле.

Для учетных записей, использующих DHCP-сервер Cato, необходимо ввести MAC-адрес хоста для резервирования IP.

Примечание: Если вы не используете Cato DHCP, убедитесь, что исходное устройство имеет статический IP или DHCP-резервацию на локальном DHCP-сервере. Если IP-адрес устройства изменится, сетевое правило не будет использовать IP-адрес Cato для исходящего трафика для устройства.

Транслированный IP показывает IP-адрес, который PoP переводит для внутреннего хоста. Когда Статический перевод диапазонов IP-адресов (Администрирование > Системные настройки) включен для аккаунта, вы можете определить диапазон IP в экране Сети.

Чтобы создать статический хост для исходящего трафика:

Из меню навигации нажмите Сеть > Площадки > {site name} > Конфигурация площадки > Резервирование статических хостов.
Нажмите Новый.
Введите Имя устройства.
Введите IP-адрес устройства.
Если вы используете Cato для DHCP, введите MAC-адрес. Это создает DHCP-резервацию для назначения статического IP для этого хоста.
Нажмите Применить, затем нажмите Сохранить.
Для нового или существующего сетевого правила добавьте статические хосты как источник.

Настройка сетевого правила для исходящего трафика на статический IP

Создайте сетевое правило для определения трафика, который вы направляете на публичный IP-адрес Cato.

Когда сетевое правило настроено с несколькими исходящими IP-адресами/Маршрут через PoP, облако Cato определяет PoP, к которому принадлежит исходящий IP, и составляет список кандидатов PoP вокруг него. Затем он ищет ближайший PoP и использует его для исходящего трафика. Если оба IP-адреса принадлежат одному и тому же PoP, используется первый IP в списке.

Чтобы создать сетевое правило, которое выходит на выделенный IP:

В меню навигации нажмите Сеть > Сетевые правила.
Нажмите Новый > Новое правило. Открывается панель Добавить сетевое правило.
Из раздела Общие настройки настройте следующие параметры для правила:
1. Введите имя для правила.
2. Включите или отключите правило с помощью ползунка (зеленый значит включено, серый значит отключено).
3. Выберите позицию для нового правила.
4. В выпадающем меню Тип Правила, выберите Интернет.
В разделе Источник выберите источник трафика, к которому применяется исходящее правило.

Если необходимо, добавьте хосты, которые вы определили выше в разделе Исходящий трафик для статических хостов (необязательно).
Разверните раздел Приложение/Категория и выберите одно или несколько приложений для правила.
В разделе Конфигурация, в разделе Метод Маршрутизации, выберите NAT.
В разделе Выделенные IP-адреса выберите IP-адрес(а), чтобы вывести трафик.
Нажмите Сохранить. Панель закрывается, и настройки обновляются в базе правил.

Изменения сохраняются в вашей неопубликованной версии и доступны для редактирования, пока не будут опубликованы или отменены.
Нажмите Опубликовать. Откроется окно подтверждения, нажмите Опубликовать.

Лучшие практики для вывода трафика

Мы рекомендуем эти лучшие практики, когда вы настраиваете Сетевые Правила, выводящие трафик с использованием следующих Методов Маршрутизации:

NAT трафик через IP-адреса:
- Используйте как минимум два исходящих IP-адреса из двух разных расположений PoP в сетевом правиле, чтобы обеспечить резервирование в случае, если основное назначение будет недоступно с первого IP
  Примечание: Для сетевых правил, которые маршрутизируют только трафик с чувствительными приложениями, такими как VoIP, настраивайте один исходящий IP-адрес (см. ниже Использование исходящих IP для VoIP-трафика)
Маршрутизировать трафик через местоположение PoP:
- Используйте два разных местоположения PoP в Сетевом Правиле для обеспечения резервирования в случае, если назначение недостижимо с первого PoP

Множественные выходные IP

Использование выходных IP для VoIP-трафика

Для сетевых правил, которые маршрутизируют только трафик с чувствительными приложениями, такими как VoIP или ERP, мы рекомендуем настроить следующие параметры:

Только ОДИН исходящий IP-адрес
Активируйте предпочтительный IP для SIP-трафика, чтобы всегда использовать один и тот же выходной IP-адрес

Эти настройки заставляют PoP использовать только исходящий IP. Если этот IP недоступен, он ждет, пока исходящий IP-адрес снова станет доступным, и следит за тем, чтобы состояние соединения было сохранено.

Устранение проблем в исходящем трафике с сетевыми правилами

Некоторые приложения могут блокировать доступ, если один и тот же NAT IP используется многими пользователями или сайтами одновременно. Cato рекомендует, если нет необходимости в специфическом NAT IP для определенного домена, использовать Маршрут через, который будет маршрутизировать трафик с использованием динамических IP-адресов PoP для соединений.

FAQ по исходящему трафику

Вопрос: Когда настроено Сетевое Правило с исходящим NAT IP, существует ли ограничение в 64K одновременных потоков для каждого исходящего IP-адреса (предполагая, что каждый поток использует один TCP/UDP порт)?

Ответ: Нет. Для каждого исходящего IP-адреса PoP создает уникальную запись NAT перевода для каждого хэша четырех тилов (SRC IP, SRC порт, DEST IP и DEST порт). Это означает, что ограничение в 64K одновременных потоков применяется к каждой паре (то есть к IP источника, IP назначения). Например, если два хоста LAN общаются с двумя публичными пунктами назначения с использованием порта назначения TCP/443, PoP может выделить до 128K портов для поддержки одновременных потоков (64K портов для каждого IP источника/назначения и порта источника/назначения).