Настройка диапазонов сети для сайта

Эта статья объясняет, как создать и настроить диапазоны сети для вашего сайта.

Обзор диапазонов сети для Сайта

Собственный диапазон для сайта - это диапазон IP, который вы настроили для каждого интерфейса ЛВС при создании сайта. Вы можете настроить дополнительные диапазоны сети ЛВС с их собственными диапазонами IP-адресов.

Типы сетей, которые вы можете добавить, зависят от Типа соединения сайта:

Тип соединения

Прямой

Диапазон

Маршрутизируемый диапазон

VLAN

Сокет

Azure vSocket

ESX vSocket

AWS vSocket

Cato-инициированный IPsec IKEv1 и IKEv2

vSocket VSH (устаревший)

vSocket VGS (устаревший)

For more information about configuring DHCP settings for a network range, see Configuring DHCP Settings.

Создание диапазона сети для локальной Сети

Используйте раздел Сети, чтобы определить диапазоны сети для каждого интерфейса ЛВС, настроенного для сайта. IP-адреса не могут использовать блоки CIDR /31 или /32.

Лучшие практики: Все сайты в вашем аккаунте используют уникальные диапазоны сети для оптимальной отладки и предотвращения циклов маршрутизации. Однако, если два или более сайтов в вашем аккаунте используют пересекающиеся диапазоны IP-адресов, вы должны включить и настроить Статический перевод диапазонов IP-адресов. For more information, see, Configuring System Settings for the Account.

Вот типы диапазонов IP сети, которые вы можете создать:

  • Прямой - Сетевые сегменты, непосредственно подключенные к Сокету Cato или файерволу (не через маршрутизатор), но диапазон IP отличается от собственного диапазона сайта.

  • Маршрутизируемый - Сетевые сегменты, которые подключаются к Сокету через маршрутизатор.

  • VLAN - Когда VLAN подключаются к Cato, соединение похоже на порт магистрали. Когда пакеты входят в Cato Cloud, теги VLAN удаляются. Когда пакет снова входит в ЛВС, тег VLAN применяется повторно.

    • Вы можете по желанию пометить собственный диапазон для интерфейса LAN с помощью VLAN ID (802.Q). Это считается наилучшей практикой, чтобы иметь только помеченные сети на ваших Площадках. Вы можете добавить метку при создании площадки или для существующих площадок.

      Примечание: Метки VLAN для собственных диапазонов поддерживаются только для физических и ESX vSockets, начиная с версии Socket 21.1.18975.

Note

Примечание: поле Локальный IP-адрес не актуально для сайтов IPsec.

For more about configuring DHCP settings for a network range, see Configuring DHCP Settings.

IP диапазоны только для Интернета

Вы можете настроить диапазон сети, чтобы предоставить доступ только к Интернету без возможности общения с WAN. Диапазоны только для Интернета могут быть настроены на нескольких Площадках с идентичными IP диапазонами. Это упрощает управление сетью и улучшает безопасность для гостевых услуг, таких как гостевой WiFi.

Диапазоны сети только для Интернета не распространяются в глобальной таблице маршрутизации, поддерживаемой в облаке Cato, и управляются локально в Socket. Узлы в этом диапазоне могут получать доступ к интернет-приложениям на основе настроек межсетевого экрана для Интернета Площадки.

Cato рекомендует как лучшую практику для безопасности гостевых WiFi сетей использовать диапазоны только для Интернета вместе с платформой Cato captive portal.

Диапазоны только для Интернета требуют физической версии Socket 23 или выше и поддерживают следующее:

  • Конфигурации DHCP

  • Локальная переадресация портов

  • Конфигурации брандмауэра LAN

  • Правила обхода

Следующие известные ограничения применяются к диапазонам только для Интернета:

  • Настройки "Обойти маршрутизацию" нельзя использовать с диапазонами только для Интернета. Узлы в сети только для Интернета выходят только через PoP, подключенный к локальному Socket.

  • Удалённая переадресация портов не поддерживается для диапазонов только для Интернета.

  • Собственные диапазоны не могут быть настроены как только для Интернета.

SecureNetwork_LAN_2.png

To create an IP address range for a LAN interface:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. Expand the LAN interface.

  4. From the LAN interface, click New to add a new network segment for the IP range.

    The New Interface IP Range panel opens.

  5. Enter the Name for the IP range.

  6. From the Type drop-down menu, select the type of IP range: Direct, Routed, or VLAN.

    Примечание: Диапазоны VLAN поддерживаются только для физических Sockets и ESX vSockets.

  7. Enter the Subnet and IP settings based on the range type:

    • For Direct and VLAN ranges, enter the Local IP. This is the IP address for the Cato LAN port.

    • For Routed ranges, enter the Gateway. This is the next hop IP address for the neighboring router.

  8. For VLANs, enter the VLAN ID for this range.

  9. (Optional) Configure the DHCP settings for this range, from the DHCP Range drop-down menu select one of these options:

    • Disabled - DHCP is disabled for this range

    • Account Default - this range uses the default DCHP settings for the account

    • DHCP Range - Enter the range of IP addresses that the DHCP server assigns for this segment

  10. (Опционально) Настройте Дополнительные настройки для диапазона:

    • Чтобы настроить диапазон как только для Интернета, выберите под Тип маршрутизации опцию Только для Интернета.

    • Чтобы включить mDNS на VLAN, в разделе Мультикаст выберите mDNS Gateway. Для получения дополнительной информации смотрите Включение mDNS между подсетями.

  11. Click Apply. The New Interface IP Range panel closes.

  12. Нажмите Сохранить. The IP address range is created.

Editing a Network Range

Use the Edit Interface IP range panel to edit the settings for a network range.

To edit a network range:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. Expand the LAN interface.

    The Edit IP Range panel opens.

  4. Edit the settings for the network range.

  5. Введите Имя диапазона IP.

  6. Из выпадающего меню Тип выберите тип диапазона IP: Прямой, Маршрутизируемый или VLAN.

Deleting a Network Range

Before you can delete a network range, make sure that it isn't used somewhere else in the Cato Management Application, such as network or firewall rules. In addition, make sure that no hosts are configured for that range (in Network > Site Settings > Host).

To delete a network range:

  1. From the navigation menu, click Network > Sites and select the site.

  2. From the navigation menu, click Site Configuration > Networks.

  3. Разверните интерфейс LAN.

  4. Из диапазона сети нажмите на иконку Удалить Delete.png.

    The network range is removed from the LAN interface.

  5. Click Save. The network range is deleted.

Defining Segments for Security Policies

In some cases, you may need to define a special security policy for a segment of IP addresses that are part of a bigger network range. For example, within 10.0.0.0/24, the 10.0.0.0/27 block has different security requirements.

SecureNetwork.png

To support such cases, you can define a network range within a site that is a subset of an existing range in the same site. Then, use the item for that network sub-range in a security policy (such as a firewall rule).

Note

Note: If a rule or group is referencing an IP that is included in two ranges in the same site, the more accurate definition (e.g. 10.0.0.0/27 in the example above) always takes precedence.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 3

0 комментариев