Dieser Artikel zeigt Ihnen die Konfiguration und die Unterschiede zwischen Virtual Server, 1:1 NAT, Many 1:1 NAT und Virtual Server Load Balancer, wenn Sie einen Port an einen internen Server weiterleiten möchten. Das NAT-Menü im USG FLEX / ATP / VPN wird verwendet, um interne Geräte aus dem Internet erreichbar zu machen.

Inhaltsverzeichnis

Unterschiede zwischen Virtual Server, 1:1 NAT und vielen 1:1 NAT

1) Port-Weiterleitung konfigurieren

1.1 Erstellen Sie die virtuelle Serverregel

1.1.1 Zuordnungsregel für Virtual Server

1.1.2 Objekte erstellen, die in die NAT-Regel eingefügt werden sollen

1.2 Fügen Sie eine Firewall-Regel hinzu, um NAT (Port Forwarding) zuzulassen

1.2.1 Erstellen Sie ein neues Dienstobjekt

1.2.2 Fügen Sie die Firewall-Regel hinzu

1.3 Testen Sie das Ergebnis

1.4 1:1-NAT konfigurieren

1.4.2 Anwendungsfall-Szenario für 1:1 NAT vs. Virtual Server

2) Konfigurieren Sie viele 1:1-NAT

2.1 Erstellen Sie die Viele-1:1-NAT-Regel

2.1.1 Abbildungsregel für viele 1:1 NAT

3) Konfigurieren Sie den Virtual Server Load Balancer

3.1 Wie funktioniert der Virtual Server Load Balancer?

3.1.1 Der Lastausgleichsprozess

3.1.2 Zu befolgende Lastverteilungsregeln

3.1.3 Lastausgleichsalgorithmen für virtuelle Server

3.2 Regelzuordnung für virtuelle Server

Unterschiede zwischen Virtual Server, 1:1 NAT und vielen 1:1 NAT

Virtual Server stellt Computer in einem privaten Netzwerk hinter der Firewall für ein öffentliches Netzwerk außerhalb der Firewall (wie das Internet) zur Verfügung.

1:1-NAT wird verwendet, wenn der interne Server Sitzungen mit externen Clients initiiert. Wählen Sie diese Option dann aus, damit die Firewall die Quell-IP-Adresse des ausgehenden Datenverkehrs des Servers in dieselbe öffentliche IP-Adresse übersetzt, die die externen Clients für den Zugriff auf den Server verwenden.

Viele 1:1-NAT werden verwendet, wenn Sie eine Reihe interner Server haben, die Sitzungen mit den externen Clients initiieren und die eine Reihe öffentlicher IP-Adressen haben. Eine viele 1:1-NAT-Regel funktioniert wie mehrere 1:1-NAT-Regeln, erleichtert jedoch den Konfigurationsaufwand, da Sie nur eine Regel erstellen. Wählen Sie diese Option aus, damit die Firewall die Quell-IP-Adresse des ausgehenden Datenverkehrs jedes Servers in dieselbe wie die öffentlichen IP-Adressen übersetzt, die die externen Clients für den Zugriff auf den Server verwenden.

1) Konfigurieren Sie die Portweiterleitung

Virtueller Server wird am häufigsten verwendet und wird verwendet, wenn Sie den internen Server für ein öffentliches Netzwerk außerhalb des Zyxel-Geräts (wie, aber nicht beschränkt auf das Internet) verfügbar machen möchten.

Eine genauere Beschreibung finden Sie in unserem Video:

1.1 Erstellen Sie die virtuelle Serverregel

Melden Sie sich zunächst am Gerät an, um die Konfiguration zu starten und zu navigieren Konfiguration > Netzwerk > NAT und erstellen Sie eine neue Regel, indem Sie auf die Schaltfläche "Hinzufügen" klicken

Erstellen Sie dann einen Regelnamen und wählen Sie den Portzuordnungstyp „virtueller Server“ und wählen Sie auch Ihre eingehende Schnittstelle zum WAN aus

1.1.1 Zuordnungsregel für Virtual Server

Eingehende Schnittstelle – die Schnittstelle, von der der Datenverkehr kommt

Quell-IP - Von wo aus sich die Benutzer verbinden (z. B. vertrauenswürdige IPs)

Externe IP – die IP-Adresse der WAN-Schnittstelle

Interne IP - Die IP-Adresse des Servers, an den Sie die Ports weiterleiten möchten

Port-Mapping-Typ

irgendein - Der gesamte Datenverkehr wird weitergeleitet

Service - Wählen Sie ein Service-Objekt (ein Protokoll)

Dienstgruppe – Wählen Sie ein Dienstgruppenobjekt aus (eine Gruppe von Protokollen)

Port – Wählen Sie einen Port aus, der weitergeleitet werden muss

Ports – Wählen Sie einen Portbereich aus, der weitergeleitet werden muss

1.1.1.1 Externe vs. interne Ports

Das externer Anschluss ist der Port, den der externe Benutzer verwendet, um zur Firewall zu gelangen WAN

Das interner Port ist der Port, auf den intern weitergeleitet wird LAN

Dies kann zum Beispiel sowohl eine 1:1-Übersetzung (Port 443 zu 443) als auch Port 4433 zu 443 sein

1.1.2 Objekte erstellen, die in die NAT-Regel eingefügt werden sollen

1.1.2.1 Fügen Sie zwei neue Objekte hinzu, indem Sie auf klicken "Neues Objekt erstellen" > "Adresse"

1.1.2.2 Fügen Sie Ihre WAN- und NAS-IP hinzu

1.1.2.3 Legen Sie die erstellten Objekte als externe und interne IP fest

1.1.2.4 Stellen Sie den Port-Mapping-Typ ein

Stellen Sie den Port-Zuordnungstyp auf Port ein und konfigurieren Sie sie (z. B. Port 50000 - siehe Video als Referenz).

1.1.2.5 NAT-Loopback

NAT-Loopback wird innerhalb des Netzwerks verwendet, um den internen Server über die öffentliche IP zu erreichen. Überprüfen Sie, ob NAT-Loopback aktiviert ist, und klicken Sie auf OK (erlaubt Benutzern, die mit einer beliebigen Schnittstelle verbunden sind, auch die NAT-Regel zu verwenden).

1.2 Fügen Sie eine Firewall-Regel hinzu, um NAT (Port Forwarding) zuzulassen

1.2.1 Fügen Sie die Regel Firewall hinzu, um NAT zuzulassen

Notiz! Sie müssen den internen Port zulassen und nicht den externen Port. Denn es ist der interne Port, der an die LAN-Schnittstelle Ihrer Firewall weitergeleitet wird und zugelassen werden muss.

Klicken Sie dann auf „Neues Objekt erstellen“, um ein neues Dienstobjekt zu erstellen, indem Sie zu navigieren Konfiguration > Objekt > Dienst .

Fügen Sie den Port hinzu, den Sie weiterleiten möchten ( in diesem Beispiel: 50000) und benennen Sie ihn wie gewünscht:

Speichern Sie dann die Regel und testen Sie jetzt, wenn möglich, die NAT-Regel von einem anderen entfernten Netzwerk aus.

Aus: WAN zu LAN , Ziel: NAS IP , Dienst: HTTP_NAS Aktion : erlaubt

Sie sollten über WAN Zugriff auf Ihr NAS haben.

1.3 Testen Sie das Ergebnis

Öffnen Sie einen Browser und geben Sie die WAN-IP Ihrer USG und den konfigurierten Port ein. Jetzt befindet sich das NAS hinter der USG und ist über die Portweiterleitung erreichbar.

Beispiel für unsere WAN-IP https://[IhreWAN-IP]:50000

1.4 1:1-NAT konfigurieren

Um 1:1 NAT zu konfigurieren, befolgen Sie bitte dieselbe Anleitung oben, aber wählen Sie 1:1 NAT im unten gezeigten Menü „NAT hinzufügen“ aus:

1.4.1 Abbildungsregel für 1:1 NAT

Eingehende Schnittstelle – die Schnittstelle, von der der Datenverkehr kommt

Quell-IP - Von wo aus sich die Benutzer verbinden (z. B. vertrauenswürdige IPs)

Externe IP - die IP-Adresse Ihres WAN / ausgehende Schnittstelle Ihrer Firewall

Interne IP - Die IP-Adresse des Servers, an den Sie die Ports weiterleiten möchten

Port-Mapping-Typ

irgendein - Der gesamte Datenverkehr wird weitergeleitet

Service - Wählen Sie ein Service-Objekt (ein Protokoll)

Dienstgruppe – Wählen Sie ein Dienstgruppenobjekt aus (eine Gruppe von Protokollen)

Port – Wählen Sie einen Port aus, der weitergeleitet werden muss

Ports – Wählen Sie einen Portbereich aus, der weitergeleitet werden muss

1.4.2 Anwendungsfall-Szenario für 1:1 NAT vs. Virtual Server

Frage

Ich möchte einen internen Server für externe Benutzer veröffentlichen, also habe ich dafür eine NAT-Regel erstellt. Aber ich kann mich zwischen Virtual Server und 1:1 NAT entscheiden. Welches soll ich wählen? Was ist der Unterschied zwischen Virtual Server und 1:1 NAT?

Antworten

Der Virtual Server und 1:1 NAT können interne Server im Internet veröffentlichen. Aber der Unterschied zwischen Virtual Server und 1:1 NAT ist: 1:1 NAT hat ein zusätzliches SNAT (Quell-NAT), was Virtual Server nicht hat.

zB wenn als 1:1 NAT eingestellt

Ursprüngliche IP: 10.214.30.188, zugeordnete IP: 192.168.1.33.

Dann verwendet die ausgehende Schnittstelle für den Server 192.168.1.33 10.214.30.188, um auf das Internet zuzugreifen.

In der Paketfluss-Erkundung finden Sie den SNAT-Status.

Die Quell-IP 192.168.1.33 greift mit einem SNAT-Routing auf das Internet zu.

Dann wird die ausgehende Adresse durch die ursprüngliche IP ersetzt.

2) Konfigurieren Sie viele 1:1-NAT

Notiz! Der private und der öffentliche Bereich müssen die gleiche Anzahl von IP-Adressen haben.

Die vielen 1:1-NAT werden verwendet, um den gesamten Datenverkehr von vielen externen IPs (öffentliche IP) an viele interne IPs (private IPs) weiterzuleiten, die sich in einem Bereich befinden. Beachten Sie, dass Sie keine Ports auswählen können, aber alle Ports in der Funktion Many 1:1 NAT weitergeleitet werden.

2.1 Erstellen Sie die Viele-1:1-NAT-Regel

Melden Sie sich zuerst am Gerät an und navigieren Sie zu Konfiguration -> Netzwerk -> NAT und klicken Sie auf die Schaltfläche „Hinzufügen“, um eine neue Regel hinzuzufügen

2.1.1 Abbildungsregel für viele 1:1 NAT

Eingehende Schnittstelle – die Schnittstelle, von der der Datenverkehr kommt (normalerweise wan1 (oder wan1_PPPoE))

Quell-IP - Von wo aus sich die Benutzer verbinden (z. B. vertrauenswürdige IPs)

Externes IP-Subnetz/Bereich – der Bereich der IP-Adressen Ihres WAN / der ausgehenden Schnittstelle Ihrer Firewall (nur Bereiche und Subnetze erlaubt – keine Host-Objekte)

Internes IP-Subnetz/Bereich – Die IP-Adressen des Servers, an den Sie die öffentlichen IP-Adressen weiterleiten möchten

Port-Mapping-Typ

irgendein - Der gesamte Datenverkehr wird weitergeleitet (beachten Sie, dass die Many 1:1 NAT-Funktion nur "ALLEN Datenverkehr" weiterleitet)

NAT-Loopback – NAT-Loopback ermöglicht es Benutzern, sich mit den öffentlichen IPs zu verbinden, wenn sie sich hinter der Firewall befinden.

3) Konfigurieren Sie den Virtual Server Load Balancer

Der Lastausgleichsbildschirm für virtuelle Server wird verwendet, um lokale Benutzerverbindungen auf mehrere Server zu verteilen, um die Arbeitslast jedes Servers zu reduzieren und die Gesamtantwortzeiten zu verkürzen.

3.1 Wie funktioniert der Virtual Server Load Balancer?

3.1.1 Der Lastausgleichsprozess

1. Ein Client initiiert eine Verbindung zum virtuellen Server an einem bestimmten Port

2. Die Firewall ordnet die Anfrage einer Reihe von Servern zu (Server 1/2/3 im obigen Beispiel) und bestimmt, welcher Server die Anfrage mit einem benutzerdefinierten Lastausgleichsalgorithmus verarbeitet

3. Die Firewall leitet die Anfrage per NAT an den ausgewählten Server weiter

4. Der Server verarbeitet die Anfrage und antwortet dann zurück an die Firewall

5. Die Firewall leitet die Antwort per SNAT an den Client weiter

3.1.2 Zu befolgende Lastverteilungsregeln

1. Ein realer Server kann mehreren Lastverteilungsregeln angehören

2. Sie können jeder Lastausgleichsregel nur eine Schnittstelle, IP-Adresse und einen Port hinzufügen

3. Virtuelle Server und reale Server unterstützen nur IPv4-Adressen

3.1.3 Lastausgleichsalgorithmen für virtuelle Server

Round-Robin - Last-in-First-out-Regel, alle Server werden zu gleichen Teilen aufgeteilt (z. B. Server A, B und C werden aufgeteilt CBACBACBA)

Weighted Round Robin – Weist Server basierend auf der angegebenen Gewichtung zu. Server mit höherer Gewichtung werden vor Servern mit niedrigerer Gewichtung zugewiesen. (z. B. 4:1 auf Server 1 & 2 Gewichtung bedeutet 75 % Last auf Server 1 und 25 % auf Server 2).

Least-Connection – Weist die Verbindung dem Server mit der geringsten Anzahl aktueller Verbindungen zu

Source Hashing – Weist die Verbindung basierend auf einer statischen Has-Tabelle zu

z. B. Server A (Gewicht 1) und Server B (Gewicht 2) werden wie folgt zugeordnet:

3.2 Regelzuordnung für virtuelle Server

Eingehende Schnittstelle – die Schnittstelle, von der der Datenverkehr kommt (normalerweise wan1 (oder wan1_PPPoE))

Externe IP - die IP-Adresse Ihres WAN / ausgehende Schnittstelle Ihrer Firewall

Service - Wählen Sie ein Service-Objekt (ein Protokoll)

Externer Dienst - Der externe Dienst (Protokoll), der intern weitergeleitet werden soll

Port – Wählen Sie einen Port aus, der weitergeleitet werden muss

Protokolltyp – Wählen Sie für den Port zwischen TCP- oder UDP-Port
External Port – Der externe Port (Nummer), der intern weitergeleitet werden soll

Healthy-Check-Methode – Das System führt eine Konnektivitätsprüfung durch, um zu sehen, ob die NAT-Regel und der Load-Balancer ordnungsgemäß funktionieren. Hier können Sie zwischen Ping, HTTP(S)-Anfrage, SMTP-Helo, DNS-Abfrage und TCP-Verbindung wählen, je nachdem, über welche Verbindungsart der Server von außen erreicht wird