Как настроить правило исходящего доступа

Обзор правил исходящего доступа

Списки контроля доступа (ACL) используются интернет-сервисами для определения, каким IP-адресам предоставляется доступ к ресурсу системы.

При подключении к PoP ваш интернет-трафик может использовать любой из внешних IP-адресов PoP для NAT. Когда используется ACL, чтобы обеспечить доступ к PoP, NAT IP-адрес должен оставаться статическим и не разделяться с другими клиентами Cato.

Правила исходящего доступа позволяют выполнить NAT для конкретного трафика с использованием статического публичного IP-адреса. IP-адрес доступен только для вашего аккаунта и не изменяется (если вы не измените его сами).

Настройка правила исходящего доступа

Правила исходящего доступа создаются путем выбора IP-адреса(ов) для NAT, а затем создания правила исходящего доступа.

При необходимости создайте правило исходящего трафика только для одного устройства или определённых устройств в сети и настройте хосты для устройств.

Выбор IP-адреса

Выберите публичный IP-адрес, выделенный Cato, который вы хотите трансформировать с помощью NAT в правиле исходящего трафика. Если вам нужны дополнительные IP-адреса, свяжитесь с вашим партнёром или инженером по продажам.

Чтобы выбрать IP-адрес для использования в правиле исходящего доступа:

  1. В меню навигации нажмите Сеть > Распределение IP-адресов.

  2. В выпадающем меню выберите расположение PoP, для которого выделяется IP-адрес. IP-адрес предоставляется автоматически.

  3. Нажмите Сохранить.

Создание хоста (по желанию)

Когда вы выводите трафик для определённого количества устройств, настройте хосты за соответствующим сайтом.

Чтобы создать хост для одного или нескольких устройств:

  1. В меню навигации нажмите Сети > Сайты > [Название сайта] > Настройки сайта > Хосты.

  2. Нажмите Новый.

  3. Введите Имя устройства.

  4. Введите IP-адрес устройства.

  5. Если вы используете Cato для DHCP, введите MAC-адрес в поле MAC. Это создаст резервацию DHCP для компьютера.

    new_static_host_reservation.jpg

    Примечание: если вы не используете Cato DHCP, убедитесь, что на исходном компьютере установлен статический IP или резервация DHCP в локальном DHCP-сервере. Если IP-адрес устройства изменяется, правило исходящего доступа не работает.

  6. Нажмите Применить, затем нажмите Сохранить.

Транслированный IP показывает IP-адрес, который PoP транслирует для внутреннего IP-адреса хоста. Когда функция Статический перевод диапазонов IP-адресов (Администрирование > Системные настройки) включена для учётной записи, вы можете определить диапазон транслируемых IP-адресов на экране Сети.

Создание правила исходящего доступа

Создайте сетевое правило для определения трафика, который вы отправляете на публичный IP-адрес Cato.

Когда у вас есть правило, настроенное более чем с одним исходящим IP-адресом, PoP определяет, какой из адресов использовать.

Чтобы создать правило исходящего доступа:

  1. В меню навигации нажмите Сеть > Сетевые правила.

  2. Нажмите Новый.

  3. В разделе Общие, введите Имя и Порядок правил правила исходящего доступа.

  4. В выпадающем меню Тип правила выберите Интернет.

  5. В разделе Источник, выберите источник трафика, к которому применяется правило исходящего доступа.

  6. В разделе Приложение/Категория, выберите тип трафика, к которому применяется правило исходящего доступа.

  7. В разделе Конфигурация, в поле Метод маршрутизации, выберите NAT.

  8. В разделе Выделенные IP-адреса, выберите IP-адреса(

  9. Кликните Применить, и затем кликните Сохранить.

Лучшие практики для исходящего трафика

Мы рекомендуем эти лучшие практики при настройке сетевых правил с NAT исходящими IP-адресами:

  • Вообще, используйте как минимум два исходящих IP-адреса для сетевого правила, чтобы обеспечить резервирование на случай, если первый приоритет не достигнет назначения.

  • Для сетевых правил, которые маршрутизируют трафик только с чувствительными приложениями, такими как VoIP, настройте один исходящий IP-адрес.

Несколько исходящих IP-адресов

Когда у вас есть правило, настроенное более чем с одним исходящим IP-адресом, PoP определяет, какой из адресов использовать.

egress_rule_nat.png

Использование исходящих IP-адресов для VoIP трафика

Для сетевых правил, которые маршрутизируют трафик только с чувствительными приложениями, такими как VoIP или ERP, мы рекомендуем настроить следующие параметры:

Эти настройки заставляют PoP использовать только исходящий IP. Если этот IP недоступен, он ждет, пока исходящий IP-адрес снова станет доступным, и обеспечивает поддержание состояния соединения.

Troubleshooting Network Rules

Some applications might block access if the same NAT IP is used by many users or sites at once. Cato рекомендует, если нет необходимости в специфическом NAT IP для конкретного домена, использовать Маршрут через, который будет маршрутизировать трафик, используя динамические PoP IP для соединений.

Часто задаваемые вопросы по исходящим правилам

Вопрос: Когда сетевое правило настроено с исходящим NAT IP, существует ли ограничение в 64K одновременных потоков для каждого исходящего IP-адреса (предполагая, что каждый поток использует один порт TCP/UDP)?

Ответ: Нет. Для каждого исходящего IP-адреса PoP создает уникальную запись перевода NAT для каждого хэша из четырех элементов (SRC IP, SRC порт, DEST IP и DEST порт). Это означает, что ограничение в 64K Одновременные Потоки применяется к каждой паре (т.е. IP-адрес источника, IP-адрес назначения). Например, если два хоста ЛВС общаются с двумя общедоступными адресатами, используя порт назначения TCP/443, PoP может выделить до 128K портов для поддержки одновременных потоков (64K портов для каждого SRC/DST IP и SRC/DST порта).

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 7

0 комментариев