Списки контроля доступа (ACL) используются интернет-сервисами для определения, каким IP-адресам предоставляется доступ к ресурсу системы.
При подключении к PoP ваш интернет-трафик может использовать любой из внешних IP-адресов PoP для NAT. Когда используется ACL, чтобы обеспечить доступ к PoP, NAT IP-адрес должен оставаться статическим и не разделяться с другими клиентами Cato.
Правила исходящего доступа позволяют выполнить NAT для конкретного трафика с использованием статического публичного IP-адреса. IP-адрес доступен только для вашего аккаунта и не изменяется (если вы не измените его сами).
Правила исходящего доступа создаются путем выбора IP-адреса(ов) для NAT, а затем создания правила исходящего доступа.
При необходимости создайте правило исходящего трафика только для одного устройства или определённых устройств в сети и настройте хосты для устройств.
Выберите публичный IP-адрес, выделенный Cato, который вы хотите трансформировать с помощью NAT в правиле исходящего трафика. Если вам нужны дополнительные IP-адреса, свяжитесь с вашим партнёром или инженером по продажам.
Чтобы выбрать IP-адрес для использования в правиле исходящего доступа:
-
В меню навигации нажмите Сеть > Распределение IP-адресов.
-
В выпадающем меню выберите расположение PoP, для которого выделяется IP-адрес. IP-адрес предоставляется автоматически.
-
Нажмите Сохранить.
Когда вы выводите трафик для определённого количества устройств, настройте хосты за соответствующим сайтом.
Чтобы создать хост для одного или нескольких устройств:
-
В меню навигации нажмите Сети > Сайты > [Название сайта] > Настройки сайта > Хосты.
-
Нажмите Новый.
-
Введите Имя устройства.
-
Введите IP-адрес устройства.
-
Если вы используете Cato для DHCP, введите MAC-адрес в поле MAC. Это создаст резервацию DHCP для компьютера.
Примечание: если вы не используете Cato DHCP, убедитесь, что на исходном компьютере установлен статический IP или резервация DHCP в локальном DHCP-сервере. Если IP-адрес устройства изменяется, правило исходящего доступа не работает.
-
Нажмите Применить, затем нажмите Сохранить.
Транслированный IP показывает IP-адрес, который PoP транслирует для внутреннего IP-адреса хоста. Когда функция Статический перевод диапазонов IP-адресов (Администрирование > Системные настройки) включена для учётной записи, вы можете определить диапазон транслируемых IP-адресов на экране Сети.
Создайте сетевое правило для определения трафика, который вы отправляете на публичный IP-адрес Cato.
Когда у вас есть правило, настроенное более чем с одним исходящим IP-адресом, PoP определяет, какой из адресов использовать.
Чтобы создать правило исходящего доступа:
-
В меню навигации нажмите Сеть > Сетевые правила.
-
Нажмите Новый.
-
В разделе Общие, введите Имя и Порядок правил правила исходящего доступа.
-
В выпадающем меню Тип правила выберите Интернет.
-
В разделе Источник, выберите источник трафика, к которому применяется правило исходящего доступа.
-
В разделе Приложение/Категория, выберите тип трафика, к которому применяется правило исходящего доступа.
-
В разделе Конфигурация, в поле Метод маршрутизации, выберите NAT.
-
В разделе Выделенные IP-адреса, выберите IP-адреса(
-
Кликните Применить, и затем кликните Сохранить.
Мы рекомендуем эти лучшие практики при настройке сетевых правил с NAT исходящими IP-адресами:
-
Вообще, используйте как минимум два исходящих IP-адреса для сетевого правила, чтобы обеспечить резервирование на случай, если первый приоритет не достигнет назначения.
-
Для сетевых правил, которые маршрутизируют трафик только с чувствительными приложениями, такими как VoIP, настройте один исходящий IP-адрес.
Когда у вас есть правило, настроенное более чем с одним исходящим IP-адресом, PoP определяет, какой из адресов использовать.
Для сетевых правил, которые маршрутизируют трафик только с чувствительными приложениями, такими как VoIP или ERP, мы рекомендуем настроить следующие параметры:
-
Только ОДИН исходящий IP-адрес
-
Включите расширенные настройки предпочтительного IP для SIP трафика, чтобы всегда использовать один и тот же исходящий IP-адрес
Эти настройки заставляют PoP использовать только исходящий IP. Если этот IP недоступен, он ждет, пока исходящий IP-адрес снова станет доступным, и обеспечивает поддержание состояния соединения.
Some applications might block access if the same NAT IP is used by many users or sites at once. Cato рекомендует, если нет необходимости в специфическом NAT IP для конкретного домена, использовать Маршрут через, который будет маршрутизировать трафик, используя динамические PoP IP для соединений.
Вопрос: Когда сетевое правило настроено с исходящим NAT IP, существует ли ограничение в 64K одновременных потоков для каждого исходящего IP-адреса (предполагая, что каждый поток использует один порт TCP/UDP)?
Ответ: Нет. Для каждого исходящего IP-адреса PoP создает уникальную запись перевода NAT для каждого хэша из четырех элементов (SRC IP, SRC порт, DEST IP и DEST порт). Это означает, что ограничение в 64K Одновременные Потоки применяется к каждой паре (т.е. IP-адрес источника, IP-адрес назначения). Например, если два хоста ЛВС общаются с двумя общедоступными адресатами, используя порт назначения TCP/443, PoP может выделить до 128K портов для поддержки одновременных потоков (64K портов для каждого SRC/DST IP и SRC/DST порта).
0 комментариев
Войдите в службу, чтобы оставить комментарий.