Списки контроля доступа (ACL) используются интернет-сервисами для определения, каким IP-адресам разрешен доступ к системному ресурсу.
Когда вы подключены к PoP, ваш интернет-трафик может использовать любой из внешних IP-адресов PoP для NAT. Когда используется ACL, чтобы обеспечить доступ к PoP, NAT IP-адрес должен оставаться статическим и не разделяться с другими клиентами Cato.
Правила исходящего доступа позволяют выполнить NAT для конкретного трафика с использованием статического публичного IP-адреса. IP-адрес доступен только для вашего аккаунта и не изменяется (если вы не измените его сами).
Правила исходящего доступа создаются путем выбора IP-адреса(ов) для NAT, а затем создания правила исходящего доступа.
Если необходимо, создайте правило исходящего доступа для одного устройства или определенных устройств в сети и настройте хосты для этих устройств.
Выберите публичный IP-адрес, выделенный Cato, который вы хотите использовать для NAT в правиле исходящего доступа. Если вам нужны дополнительные IP-адреса, свяжитесь с вашим реселлером или инженером по продажам.
Чтобы выбрать IP-адрес для использования в правиле исходящего доступа:
-
В меню навигации нажмите Сеть > Распределение IP-адресов.
-
В выпадающем меню выберите расположение PoP, для которого выделяется IP-адрес. IP-адрес предоставляется автоматически.
-
Нажмите Сохранить.
Когда вы настраиваете исходящий трафик для определенного количества устройств, настройте хосты для этих устройств на соответствующем сайте.
Чтобы создать хост для одного или нескольких устройств:
-
В меню навигации нажмите Сеть > Сайты > [Имя сайта] > Настройки сайта > Хосты.
-
Нажмите Новый.
-
Введите Имя устройства.
-
Введите IP-адрес устройства.
-
Если вы используете Cato для DHCP, введите MAC-адрес в поле MAC. Это создаст резервацию DHCP для компьютера.
Примечание: если вы не используете Cato DHCP, убедитесь, что на исходном компьютере установлен статический IP или резервация DHCP в локальном DHCP-сервере. Если IP-адрес устройства изменяется, правило исходящего доступа не работает.
-
Нажмите Применить, затем нажмите Сохранить.
Создайте сетевое правило для определения трафика, который вы отправляете на публичный IP-адрес Cato.
Когда вы назначаете несколько IP-адресов исходящего доступа правилу, IP-адрес, наиболее близкий к источнику трафика, является основным IP-адресом для исходящего трафика. Если основной IP недоступен по какой-либо причине, тогда IP для расположения PoP является следующим самым близким к источнику (и так далее).
Чтобы создать правило исходящего доступа:
-
В меню навигации нажмите Сеть > Сетевые правила.
-
Нажмите Новый.
-
В разделе Общие, введите Имя и Порядок правил правила исходящего доступа.
-
В выпадающем меню Тип правила выберите Интернет.
-
В разделе Источник, выберите источник трафика, к которому применяется правило исходящего доступа.
-
В разделе Приложение/Категория, выберите тип трафика, к которому применяется правило исходящего доступа.
-
В разделе Конфигурация, в поле Метод маршрутизации, выберите NAT.
-
В разделе Выделенные IP-адреса, выберите IP-адреса(
-
Кликните Применить, и затем кликните Сохранить.
Вопрос: Когда сетевое правило настроено с исходящим NAT IP, существует ли ограничение в 64K одновременных потоков для каждого исходящего IP-адреса (предполагая, что каждый поток использует один порт TCP/UDP)?
Ответ: Нет. Для каждого исходящего IP-адреса PoP создает уникальную запись перевода NAT для каждого хэша из четырех элементов (SRC IP, SRC порт, DEST IP и DEST порт). Это означает, что ограничение в 64K Одновременные Потоки применяется к каждой паре (т.е. IP-адрес источника, IP-адрес назначения). Например, если два хоста ЛВС общаются с двумя общедоступными адресатами, используя порт назначения TCP/443, PoP может выделить до 128K портов для поддержки одновременных потоков (64K портов для каждого SRC/DST IP и SRC/DST порта).
0 комментариев
Войдите в службу, чтобы оставить комментарий.