Как настроить исходящее правило

Обзор исходящих правил

Списки контроля доступа (ACL) используются интернет-услугами для определения, какие IP-адреса получают доступ к ресурсам системы.

При подключении к PoP ваш интернет-трафик может использовать любой из внешних IP-адресов PoP для NAT. Когда используется ACL, чтобы обеспечить доступ к PoP, IP-адрес NAT должен оставаться статическим и не делиться с другими клиентами Cato.

Исходящие правила позволяют вам использовать NAT для определенного трафика с статическим публичным IP-адресом. IP-адрес доступен для использования только вашей учетной записью и не изменяется (если вы сами его не измените).

Настройка исходящего правила

Исходящие правила создаются сначала путем выбора IP-адреса(ов), который вы хотите использовать для NAT, а затем создания исходящего правила.

При необходимости создайте исходящее правило только для одного устройства или для определенных устройств в сети и настройте хосты для устройств.

Выбор IP-адреса

Выберите публичный IP-адрес, выделенный Cato, который вы хотите использовать для NAT в исходящем правиле. Если вам нужны дополнительные IP-адреса, свяжитесь с вашим партнером или инженером по продажам.

Чтобы выбрать IP-адрес для использования в исходящем правиле:

  1. В меню навигации нажмите Сеть > Распределение IP.

  2. В выпадающем меню выберите расположение PoP, для которого вы выделяете IP-адрес. IP-адрес предоставляется автоматически.

  3. Нажмите Сохранить.

Создание хоста (необязательно)

Когда вы работаете с трафиком для определенного количества устройств, настройте хосты, находящиеся за соответствующей площадкой.

Чтобы создать хост для одного или нескольких устройств:

  1. В меню навигации нажмите Сеть > Сайты > [Название Сайта] > Настройки Сайта > Хосты.

  2. Нажмите Новый.

  3. Введите Имя устройства.

  4. Введите IP-адрес устройства.

  5. Если вы используете Cato для DHCP, в разделе MAC, введите MAC-адрес. Это создаст резервирование DHCP для компьютера.

    new_static_host_reservation.jpg

    Примечание: Если вы не используете Cato DHCP, убедитесь, что исходный компьютер имеет статический IP или резервирование DHCP на локальном DHCP сервере. Если IP-адрес устройства изменится, исходящее правило перестанет работать.

  6. Нажмите Применить, затем нажмите Сохранить.

Транслированный IP показывает IP-адрес, который PoP переводит для внутреннего хоста. Когда Статический перевод диапазонов IP-адресов (Администрирование > Системные настройки) включен для аккаунта, вы можете определить диапазон IP в экране Сети.

Создание исходящего правила

Создайте сетевое правило для определения трафика, который вы направляете на публичный IP-адрес Cato.

Поскольку у вас есть правило, настроенное с более чем одним исходящим IP-адресом, PoP определяет, какой из адресов использовать.

Чтобы создать исходящее правило:

  1. В меню навигации нажмите Сеть > Сетевые правила.

  2. Нажмите Новый.

  3. В разделе Общие введите Имя и Порядок правил исходящего правила.

  4. В выпадающем меню Тип Правила, выберите Интернет.

  5. В разделе Источник выберите источник трафика, к которому применяется исходящее правило.

  6. В разделе Приложение/Категория выберите тип трафика, к которому применяется исходящее правило.

  7. В разделе Конфигурация, в разделе Метод Маршрутизации, выберите NAT.

  8. В разделе Выделенные IP-адреса выберите IP-адрес(а), чтобы вывести трафик.

  9. Нажмите Применить, затем нажмите Сохранить.

Лучшие практики для исходящего трафика

Мы рекомендуем эти лучшие практики, когда вы настраиваете сетевые правила с NAT исходящими IP-адресами:

  • Вообще, используйте как минимум два исходящих IP-адреса для сетевого правила для обеспечения отказоустойчивости в случае, если пункт назначения недоступен с первого приоритета.

  • Для сетевых правил, которые маршрутизируют только трафик с чувствительными приложениями, такими как VoIP, настройте один исходящий IP-адрес.

Множественные исходящие IP-адреса

Поскольку у вас есть правило, настроенное с более чем одним исходящим IP-адресом, PoP определяет, какой из адресов использовать.

egress_rule_nat.png

Использование исходящих IP-адресов для VoIP-трафика

Для сетевых правил, которые маршрутизируют только трафик с чувствительными приложениями, такими как VoIP или ERP, мы рекомендуем настроить следующие параметры:

Эти настройки заставляют PoP использовать только исходящий IP. Если этот IP недоступен, он ждет, пока исходящий IP-адрес снова станет доступным, и следит за тем, чтобы состояние соединения было сохранено.

Устранение неполадок сетевых правил

Некоторые приложения могут блокировать доступ, если один и тот же NAT IP используется многими пользователями или сайтами одновременно. Cato рекомендует, если нет необходимости в конкретном NAT IP для конкретного домена, использовать Маршрут через, который будет маршрутизировать трафик с использованием динамических IP PoP для соединений.

Часто задаваемые вопросы о исходящих правилах

Вопрос: Когда сеть настроена с NAT IP, есть ли ограничение в 64K одновременных потоков для каждого исходящего IP-адреса (при условии, что каждый поток использует один TCP/UDP порт)?

Ответ: Нет. Для каждого исходящего IP-адреса PoP создает уникальную запись NAT перевода для каждого хэша четырех тилов (SRC IP, SRC порт, DEST IP и DEST порт). Это означает, что ограничение в 64K одновременных потоков применяется к каждой паре (то есть к IP источника, IP назначения). Например, если два хоста LAN общаются с двумя публичными пунктами назначения с использованием порта назначения TCP/443, PoP может выделить до 128K портов для поддержки одновременных потоков (64K портов для каждого IP источника/назначения и порта источника/назначения).

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 7

0 комментариев