Как настроить правило исходящего доступа

Обзор правил исходящего доступа

Списки контроля доступа (ACL) используются интернет-сервисами для определения, каким IP-адресам разрешен доступ к системному ресурсу.

Когда вы подключены к PoP, ваш интернет-трафик может использовать любой из внешних IP-адресов PoP для NAT. Когда используется ACL, чтобы обеспечить доступ к PoP, NAT IP-адрес должен оставаться статическим и не разделяться с другими клиентами Cato.

Правила исходящего доступа позволяют выполнить NAT для конкретного трафика с использованием статического публичного IP-адреса. IP-адрес доступен только для вашего аккаунта и не изменяется (если вы не измените его сами).

Настройка правила исходящего доступа

Правила исходящего доступа создаются путем выбора IP-адреса(ов) для NAT, а затем создания правила исходящего доступа.

Если необходимо, создайте правило исходящего доступа для одного устройства или определенных устройств в сети и настройте хосты для этих устройств.

Выбор IP-адреса

Выберите публичный IP-адрес, выделенный Cato, который вы хотите использовать для NAT в правиле исходящего доступа. Если вам нужны дополнительные IP-адреса, свяжитесь с вашим реселлером или инженером по продажам.

Чтобы выбрать IP-адрес для использования в правиле исходящего доступа:

  1. В меню навигации нажмите Сеть > Распределение IP-адресов.

  2. В выпадающем меню выберите расположение PoP, для которого выделяется IP-адрес. IP-адрес предоставляется автоматически.

  3. Нажмите Сохранить.

Создание хоста (по желанию)

Когда вы настраиваете исходящий трафик для определенного количества устройств, настройте хосты для этих устройств на соответствующем сайте.

Чтобы создать хост для одного или нескольких устройств:

  1. В меню навигации нажмите Сеть > Сайты > [Имя сайта] > Настройки сайта > Хосты.

  2. Нажмите Новый.

  3. Введите Имя устройства.

  4. Введите IP-адрес устройства.

  5. Если вы используете Cato для DHCP, введите MAC-адрес в поле MAC. Это создаст резервацию DHCP для компьютера.

    360000220469-mceclip1.png

    Примечание: если вы не используете Cato DHCP, убедитесь, что на исходном компьютере установлен статический IP или резервация DHCP в локальном DHCP-сервере. Если IP-адрес устройства изменяется, правило исходящего доступа не работает.

  6. Нажмите Применить, затем нажмите Сохранить.

Создание правила исходящего доступа

Создайте сетевое правило для определения трафика, который вы отправляете на публичный IP-адрес Cato.

Когда вы назначаете несколько IP-адресов исходящего доступа правилу, IP-адрес, наиболее близкий к источнику трафика, является основным IP-адресом для исходящего трафика. Если основной IP недоступен по какой-либо причине, тогда IP для расположения PoP является следующим самым близким к источнику (и так далее).

Чтобы создать правило исходящего доступа:

  1. В меню навигации нажмите Сеть > Сетевые правила.

  2. Нажмите Новый.

  3. В разделе Общие, введите Имя и Порядок правил правила исходящего доступа.

  4. В выпадающем меню Тип правила выберите Интернет.

  5. В разделе Источник, выберите источник трафика, к которому применяется правило исходящего доступа.

  6. В разделе Приложение/Категория, выберите тип трафика, к которому применяется правило исходящего доступа.

  7. В разделе Конфигурация, в поле Метод маршрутизации, выберите NAT.

  8. В разделе Выделенные IP-адреса, выберите IP-адреса(

  9. Кликните Применить, и затем кликните Сохранить.

Часто задаваемые вопросы по исходящим правилам

Вопрос: Когда сетевое правило настроено с исходящим NAT IP, существует ли ограничение в 64K одновременных потоков для каждого исходящего IP-адреса (предполагая, что каждый поток использует один порт TCP/UDP)?

Ответ: Нет. Для каждого исходящего IP-адреса PoP создает уникальную запись перевода NAT для каждого хэша из четырех элементов (SRC IP, SRC порт, DEST IP и DEST порт). Это означает, что ограничение в 64K Одновременные Потоки применяется к каждой паре (т.е. IP-адрес источника, IP-адрес назначения). Например, если два хоста ЛВС общаются с двумя общедоступными адресатами, используя порт назначения TCP/443, PoP может выделить до 128K портов для поддержки одновременных потоков (64K портов для каждого SRC/DST IP и SRC/DST порта).

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 7

0 комментариев