本文解释了如何在您的账户中为站点创建和配置网络范围。
站点的本地范围是您在创建站点时为每个LAN接口配置的IP范围。 您可以配置其他具有其自身IP地址范围的LAN网络范围。
您可以添加的网络类型取决于站点的连接类型:
|
连接类型 |
直接 范围 |
路由范围 |
VLAN |
|---|---|---|---|
|
Socket |
✓ |
✓ |
✓ |
|
Azure vSocket |
✓ |
✓ |
|
|
ESX vSocket |
✓ |
✓ |
✓ |
|
AWS vSocket |
✓ |
✓ |
|
|
Cato发起的IPsec IKEv1和IKEv2 |
✓ |
||
|
vSocket VSH (旧版) |
✓ |
||
|
vSocket VGS (旧版) |
✓ |
有关配置网络范围的DHCP设置的更多信息,请参见配置DHCP设置。
使用网络部分为为站点配置的每个LAN接口定义网络范围。 IP地址不能使用/31或/32 CIDR块。
最佳实践:您账户中的所有站点使用唯一的网络范围以实现最佳故障排除并避免路由循环。 然而,如果您账户中的两个或更多站点使用重叠的IP地址范围,您必须启用并配置静态范围转换。 有关更多信息,请参见配置账户的系统设置。
这些是你可以创建的网络IP范围类型:
-
直接 - 网络段直接连接到Cato Socket或防火墙(不是通过路由器),但IP 范围不同于站点的原生范围。
-
路由 - 通过路由器连接到Socket的网络段。
-
VLAN - 当VLAN连接到Cato时,连接类似于连接到中继端口。 当数据包进入Cato Cloud时,VLAN标签被去除。 当数据包再次进入LAN时,VLAN标签将被重新应用。
-
你可以选择使用VLAN ID (802.Q) 为每个局域网接口的本地范围打标签。 这被认为是一个最佳实践,只在你的站点内使用打标签的网络。 你可以在创建站点时添加标签,或者为已存在的站点添加标签。
注意: 本地范围的VLAN标签仅在物理和ESX vSockets中支持,从Socket版本21.1.18975开始。
-
注意
注意: 本地IP字段与IPsec站点无关。
有关配置网络范围的DHCP设置的更多信息,请参见配置DHCP设置。
您可以配置网络范围以仅提供互联网访问,而无法与WAN通信。 可以在多个站点中配置互联网专用范围,并具有相同的IP范围。 这简化了网络管理并提高了访客服务(如访客WiFi)的安全性。
互联网专用网络范围不会传播到Cato Cloud中维护的全球路由表中,而是由Socket本地管理。 此范围内的主机可以根据站点的互联网防火墙设置访问互联网应用程序。
Cato建议作为客人WiFi网络安全性的最佳实践,使用仅互联网范围与Cato强制门户一起使用。
仅限互联网范围需要一个 IPsec 站点或具有物理插座的插座站点,版本 23 或更高。 仅限互联网范围支持以下内容:
-
DHCP配置
-
本地端口转发
- DNS转发
-
LAN防火墙配置
-
绕过规则
以下已知限制适用于互联网专用范围:
-
无法将Route Via设置用于互联网专用范围。 互联网专用网络中的主机仅从连接到本地Socket的PoP出站。
-
互联网专用范围不支持远程端口转发。
-
本地范围不能配置为互联网专用。
To create an IP address range for a LAN interface:
-
From the navigation menu, click Network > Sites and select the site.
-
From the navigation menu, click Site Configuration > Networks.
-
Expand the LAN interface.
-
From the LAN interface, click New to add a new network segment for the IP range.
The New Interface IP Range panel opens.
-
Enter the Name for the IP range.
-
From the Type drop-down menu, select the type of IP range: Direct, Routed, or VLAN.
注意: VLAN范围仅支持物理Socket和ESX vSockets。
-
Enter the Subnet and IP settings based on the range type:
-
For Direct and VLAN ranges, enter the Local IP. This is the IP address for the Cato LAN port.
-
For Routed ranges, enter the Gateway. This is the next hop IP address for the neighboring router.
-
-
For VLANs, enter the VLAN ID for this range.
-
(Optional) Configure the DHCP settings for this range, from the DHCP Range drop-down menu select one of these options:
-
Disabled - DHCP is disabled for this range
-
Account Default - this range uses the default DCHP settings for the account
-
DHCP Range - Enter the range of IP addresses that the DHCP server assigns for this segment
-
-
(可选) 为范围配置附加设置:
-
要将范围配置为互联网专用,在路由类型下选择仅限互联网。
-
要在VLAN上启用mDNS,在组播下选择mDNS网关。 有关更多信息,请参见在子网之间启用mDNS。
-
-
Click Apply. The New Interface IP Range panel closes.
-
点击保存。 The IP address range is created.
Use the Edit Interface IP range panel to edit the settings for a network range.
Before you can delete a network range, make sure that it isn't used somewhere else in the Cato Management Application, such as network or firewall rules. In addition, make sure that no hosts are configured for that range (in Network > Site Settings > Host).
In some cases, you may need to define a special security policy for a segment of IP addresses that are part of a bigger network range. For example, within 10.0.0.0/24, the 10.0.0.0/27 block has different security requirements.
To support such cases, you can define a network range within a site that is a subset of an existing range in the same site. Then, use the item for that network sub-range in a security policy (such as a firewall rule).
Note
Note: If a rule or group is referencing an IP that is included in two ranges in the same site, the more accurate definition (e.g. 10.0.0.0/27 in the example above) always takes precedence.
0 条评论
请登录写评论。