互联网资源和业务合作伙伴可能会使用出口公共 IP进行访问控制列表 (ACL)以允许访问互联网托管资源。
连接到 PoP 时,互联网流量可能会使用该 PoP 的任何外部 IP 地址进行 NAT。 当客户需要从 PoP 出口到用于 ACL 的特定公共 IP 时,需要一个静态公共 IP 地址。 定义网络规则的路由选项,以使用静态公共 IP 地址对特定流量进行 NAT。 IP 地址仅供您的账户使用,并且不会更改(除非您自行更改)。
使用网络规则策略定义出站 NAT 行为。 使用 NAT 路由 方法的规则可以将流量转换为您的账户分配的一个或多个静态公共 IP 地址。 这些 IP 提供稳定的出口身份,以支持需要列入允许名单的服务。
在创建规则之前,请确保在 IP 分配页面上分配了必要的公共 IP 地址,(如有必要)定义了相关站点的主机。
当您配置了具有多个分配 IP 的网络规则时,PoP 会根据可用性和路由条件选择出口 IP 地址。
选择Cato分配的公共IP地址进行NAT翻译并应用于出站规则。 每个账户的默认许可证包含 3 个可供任何 PoP 使用的唯一 IP。 如果您需要额外的IP地址,请联系您的合作伙伴或销售工程师。
分配用以出口流量的 IP:
-
从导航菜单中,单击网络 > IP 分配。
-
从下拉菜单中选择分配 IP 地址的 PoP 位置。 IP 地址会自动添加到您的账户。
-
单击保存。
当您为特定数量的设备出口流量时,请配置相关站点后的静态主机。 然后将主机作为网络规则中的来源添加。
对于使用 Cato DHCP 服务器的账户,您需要输入主机的 MAC 地址以保留 IP。
注意: 如果您没有使用 Cato DHCP,请确保源设备具有静态 IP 或在本地 DHCP 服务器中进行 DHCP 保留。 如果设备的 IP 地址发生变化,网络规则将不再使用 Cato IP 地址为设备出口流量。
转换后的 IP显示网络接入点为内部主机IP地址转换的IP地址。 当账户启用静态范围转换(管理 > 系统设置)时,您可以在网络屏幕中定义转换后的IP范围。
创建网络规则以定义您出口到Cato公有IP地址的流量。
当网络规则配置有多个出口 IP/通过 PoPs 路由时,Cato 云会识别出口 IP 所属的 PoP,并围绕其构建候选 PoP 列表。 然后它会搜索最近的 PoP,并使用它来出口流量。 如果两个 IP 属于同一个 PoP,则使用列表中的第一个 IP。
创建出口到已分配 IP 的网络规则:
-
从导航菜单中,单击网络 > 网络规则。
-
点击 新建 > 新建规则。 添加网络规则面板打开。
-
在 常规 部分中,为规则配置以下设置:
-
输入规则的名称。
-
使用滑块启用或禁用规则(绿色为启用,灰色为禁用)。
-
选择新规则的位置。
-
在规则类型下拉菜单中,选择互联网。
-
-
在来源部分中,选择出口流量规则适用的流量来源。
如有必要,添加您在上面的出口静态主机的流量(可选)中定义的主机。
-
展开 应用/类别 部分并为规则选择一个或多个应用程序。
-
在配置部分中,点击路由方法,选择NAT。
-
在已分配的IP地址下,选择要出口流量的IP地址。
-
点击 保存。 面板关闭,设置更新到规则库中。
此更改已保存到您的未发布修订版中,并在发布或丢弃之前可进行编辑。
-
点击 发布。 确认窗口打开,请点击 发布。
我们建议在配置通过以下路由方法疏导流量的网络规则时,遵循这些最佳实践:
-
通过IP地址的NAT流量:
-
在网络规则中使用至少两个不同 PoP 位置的出口 IP 地址,以在目的地无法从第一个 IP 获得时提供故障转移
注意: 对于仅对敏感应用程序(如 VoIP)路由流量的网络规则,仅配置一个出口 IP 地址(见下文 使用出口 IP 进行 VoIP 流量)
-
-
通过PoP位置路由流量:
-
在网络规则中使用两个不同的PoP位置,以便在第一个PoP不可达时提供故障转移
-
当网络规则配置有多个出口 IP/通过 PoPs 路由时,Cato 云会识别出口 IP 所属的 PoP,并围绕其构建候选 PoP 列表。 然后它会搜索最近的 PoP,并使用它来出口流量。 如果两个 IP 属于同一个 PoP,则使用列表中的第一个 IP。
对于仅路由具有敏感应用程序如VoIP或ERP的网络规则,我们建议您配置以下设置:
-
仅使用一个出口流量IP地址
-
启用SIP流量的首选IP高级设置以始终使用相同的出站IP地址
这些设置强制网络接入点仅使用出口流量IP。 如果该IP不可用,它将等待直到出口流量IP地址再次可达,并确保连接状态得以维持。
如果相同的NAT IP被许多用户或站点同时使用,某些应用程序可能会阻止访问。 Cato建议,如果不需要为特定域名配置特定的NAT IP,您应使用通过路由,这将使用动态PoP IP路由连接流量。
0 条评论
请登录写评论。