访问控制列表(ACLs)用于互联网服务以确定哪些IP地址被允许访问系统资源。
当连接到网络接入点时,您的互联网流量可能会使用任何网络接入点的外部IP地址进行NAT。 使用ACL时,为确保保持对网络接入点的访问,NAT IP地址必须保持静态,且不与其他Cato客户共享。
出口流量规则允许您使用静态公网IP地址对特定流量进行NAT。 该IP地址仅供您的账户使用,且不会更改(除非您自己更改)。
首先选择您想要进行NAT的IP地址,然后创建出口流量规则。
如有必要,仅为一个设备或网络中的特定设备创建出口流量规则,并为设备配置主机。
选择您想要在出口流量规则中使用NAT转换的Cato分配的公共IP地址。 如果您需要额外的IP地址,请联系您的合作伙伴或销售工程师。
选择要在出口流量规则中使用的IP地址:
-
从导航菜单中,单击网络 > IP 分配。
-
从下拉菜单中选择您分配IP地址的网络接入点位置。 IP地址会自动提供。
-
单击保存。
当您要为特定数量的设备疏导流量时,配置相关站点下的主机。
为一个或多个设备创建主机:
-
从导航菜单中,单击网络 > 站点 > [站点名称] > 站点配置 > 主机
-
单击新建。
-
输入设备的名称。
-
输入设备的IP地址。
-
如果您使用Cato进行DHCP,请在MAC下输入MAC地址。 这将为计算机创建DHCP保留。
注意:如果您不使用Cato DHCP,请确保源计算机在本地DHCP服务器中有静态IP或DHCP保留。 如果设备的IP地址发生变化,出口流量规则将不起作用。
-
单击应用,然后单击保存。
转换后的 IP显示网络接入点为内部主机IP地址转换的IP地址。 当账户启用静态范围转换(管理 > 系统设置)时,您可以在网络屏幕中定义转换后的IP范围。
我们建议在配置通过以下路由方法疏导流量的网络规则时,遵循这些最佳实践:
-
通过IP地址的NAT流量:
-
在网络规则中至少使用来自两个不同PoP位置的两个出口IP地址,以便在第一个IP不可达时提供故障转移
-
注意: 对于仅路由具有敏感应用程序(例如VoIP)的流量的网络规则,配置一个出口IP地址(参见下文使用出口IP处理VoIP流量)
-
-
通过PoP位置路由流量:
-
在网络规则中使用两个不同的PoP位置,以便在第一个PoP不可达时提供故障转移
-
对于仅路由具有敏感应用程序如VoIP或ERP的网络规则,我们建议您配置以下设置:
-
仅使用一个出口流量IP地址
-
启用SIP流量的首选IP高级设置,以始终使用相同的出口流量IP地址
这些设置强制网络接入点仅使用出口流量IP。 如果该IP不可用,它将等待直到出口流量IP地址再次可达,并确保连接状态得以维持。
如果相同的NAT IP被许多用户或站点同时使用,某些应用程序可能会阻止访问。 Cato建议,如果不需要为特定域名配置特定的NAT IP,您应使用通过路由,这将使用动态PoP IP路由连接流量。
0 条评论
请登录写评论。