Ez a cikk bemutatja, hogyan kell konfigurálni a Virtual Server, az 1:1 NAT, a Many 1:1 NAT és a Virtual Server Load Balancer konfigurálását, valamint a különbségeket, ha egy portot belső kiszolgálóra kíván továbbítani. Az USG FLEX / ATP / VPN NAT menüje a belső eszközök internetről elérhetővé tételére szolgál.

Tartalomjegyzék

A virtuális szerver, az 1:1 NAT és a Sok 1:1 NAT közötti különbségek

1) Konfigurálja a Port továbbítást

1.1 Hozza létre a Virtuális szerver szabályt

1.1.1 Leképezési szabály a virtuális szerverhez

1.1.2 Hozzon létre objektumokat a NAT-szabályba beillesztendő

1.2 Adjon hozzá egy Firewall szabályt a NAT (Port Forwarding) engedélyezéséhez

1.2.1 Hozzon létre egy új szolgáltatási objektumot

1.2.2 Adja hozzá a tűzfalszabályt

1.3 Tesztelje az eredményt

1.4 1:1 NAT konfigurálása

1.4.2 Használati eset 1:1 NAT vs. Virtual Server esetén

2) Sok 1:1 NAT konfigurálása

2.1 Hozza létre a Sok 1:1 NAT-szabályt

2.1.1 Leképezési szabály sok számára 1:1 NAT

3) Konfigurálja a Virtual Server Load Balancer-t

3.1 Hogyan működik a Virtual Server Load Balancer?

3.1.1 A terheléselosztási folyamat

3.1.2 Követendő terheléselosztási szabályok

3.1.3 Virtuális szerver terheléselosztási algoritmusai

3.2 Virtuális szerver szabályleképezés

A virtuális szerver, az 1:1 NAT és a Sok 1:1 NAT közötti különbségek

A Virtual Server a tűzfal mögötti magánhálózaton lévő számítógépeket elérhetővé teszi a tűzfalon kívüli nyilvános hálózatok számára (például az interneten).

1:1 NAT használatos, ha a belső szerver munkameneteket kezdeményez külső ügyfelek felé. Ezután válassza ezt, ha azt szeretné, hogy a tűzfal lefordítsa a kiszolgáló kimenő forgalmának forrás IP-címét ugyanarra a nyilvános IP-címre, amelyet a külső ügyfelek a kiszolgáló eléréséhez használnak.

Sok 1:1 NAT használatos, ha számos belső szerverrel rendelkezik, amelyek munkameneteket kezdeményeznek a külső ügyfelek felé, és amelyeknek számos nyilvános IP-címe van. Egy sok 1:1 NAT-szabály úgy működik, mint több 1:1-es NAT-szabály, de megkönnyíti a konfigurációs erőfeszítést, mivel csak egy szabályt hoz létre. Válassza ezt, ha azt szeretné, hogy a tűzfal lefordítsa az egyes kiszolgálók kimenő forgalmának forrás IP-címét ugyanazokra a nyilvános IP-címekre, amelyeket a külső kliensek használnak a kiszolgáló eléréséhez.

1) Állítsa be a porttovábbítást

A leggyakrabban a virtuális szervert használják, és akkor használják, ha a belső szervert a Zyxel-eszközön kívüli nyilvános hálózat számára kívánja elérhetővé tenni (például, de nem kizárólagosan az interneten).

A részletesebb leírásért tekintse meg videónkat:

1.1 Hozza létre a Virtuális szerver szabályt

Először jelentkezzen be az eszközre, hogy elindítsa a konfigurációt és navigáljon ide Konfiguráció > Hálózat > NAT, és hozzon létre egy új szabályt a "Hozzáadás" gombra kattintva

Ezután hozzon létre egy szabálynevet, és válassza ki a portleképezés típusát a "virtuális szerver"-re, és válassza ki a bejövő interfészt a WAN-hoz

1.1.1 Leképezési szabály a virtuális szerverhez

Bejövő interfész – az a felület, amelyről a forgalom érkezik

Forrás IP – Ahonnan a felhasználók csatlakoznak (pl. megbízható IP-címek)

Külső IP - a WAN interfész IP-címe

Belső IP - Annak a szervernek az IP-címe, ahová a portokat továbbítani szeretné

Port Mapping Type

Bármi - minden forgalom továbbítva lesz

Szolgáltatás – Válasszon ki egy szolgáltatásobjektumot (protokoll)

Service-Group – Válasszon ki egy szolgáltatáscsoport objektumot (protokollok csoportja)

Port – Válasszon ki egy portot, amelyet továbbítani kell

Portok – válassza ki azt a porttartományt, amelyet továbbítani kell

1.1.1.1 Külső és belső portok

Az külső port az a port, amelyet a külső felhasználó a tűzfal eléréséhez használ HALVÁNY

Az belső port az a port, amelyen belül a továbbítás történik LAN

Ez lehet 1:1-es fordítás (443-443-as port), vagy például 4433-443-as port.

1.1.2 Hozzon létre objektumokat a NAT-szabályba beillesztendő

1.1.2.1 Adjon hozzá két új objektumot a gombra kattintva "új objektum létrehozása" > "cím"

1.1.2.2 Adja hozzá WAN- és NAS-IP-jét

1.1.2.3 Állítsa be a létrehozott objektumokat külső és belső IP-címként

1.1.2.4 Állítsa be a portleképezés típusát

Állítsa be a port-leképezés típusát portra, és állítsa be azokat (pl. 50000-es port - lásd a videót referenciaként)

1.1.2.5 NAT loopback

A NAT visszacsatolást a hálózaton belül használják a belső kiszolgáló eléréséhez a nyilvános IP-címen. Ellenőrizze, hogy engedélyezve van-e a NAT loopback, és kattintson az OK gombra (lehetővé teszi, hogy bármely interfészhez csatlakozó felhasználók is használják a NAT-szabályt)

1.2 Adjon hozzá egy Firewall szabályt a NAT (Port Forwarding) engedélyezéséhez

1.2.1 Adja hozzá a Firewall szabályt a NAT engedélyezéséhez

Jegyzet! A belső portot kell engedélyezni, nem a külső portot. Mert ez a belső port, amely a tűzfal LAN interfészére van továbbítva, és engedélyezni kell.

Ezután kattintson az "Új objektum létrehozása" gombra egy új szolgáltatási objektum létrehozásához a navigációval Konfiguráció > Objektum > Szolgáltatás .

Adja hozzá a továbbítani kívánt portot ( ebben a példában: 50000) , és nevezze el tetszés szerint:

Ezután mentse a szabályt, és ha lehetséges, tesztelje a NAT-szabályt egy másik távoli hálózatról.

Tól től: WAN to LAN , Cél: NAS IP , Szolgáltatás: HTTP_NAS Művelet: a llow

WAN-on keresztül hozzá kell férnie a NAS-hoz.

1.3 Tesztelje az eredményt

Nyisson meg egy böngészőt, és írja be az USG WAN IP-címét és a konfigurált portot. Most a NAS az USG mögött van, és porttovábbítással érhető el.

Példa a WAN IP-címünkre: https://[saját WAN-IP]:50000

1.4 1:1 NAT konfigurálása

Az 1:1 NAT beállításához kövesse a fenti útmutatót, de válassza az 1:1 NAT-ot az alábbi "NAT hozzáadása" menüben:

1.4.1 Leképezési szabály 1:1 NAT-hoz

Bejövő interfész – az a felület, amelyről a forgalom érkezik

Forrás IP – Ahonnan a felhasználók csatlakoznak (pl. megbízható IP-címek)

Külső IP - a tűzfala WAN / kimenő interfészének IP-címe

Belső IP - Annak a szervernek az IP-címe, ahová a portokat továbbítani szeretné

Port Mapping Type

Bármi - minden forgalom továbbítva lesz

Szolgáltatás – Válasszon ki egy szolgáltatásobjektumot (protokoll)

Service-Group – Válasszon ki egy szolgáltatáscsoport objektumot (protokollok csoportja)

Port – Válasszon ki egy portot, amelyet továbbítani kell

Portok – válassza ki azt a porttartományt, amelyet továbbítani kell

1.4.2 Használati eset 1:1 NAT vs. Virtual Server esetén

Kérdés

Szeretnék közzétenni egy belső szervert külső felhasználók számára, ezért létrehoztam hozzá egy NAT-szabályt.De tudok dönteni a Virtual Server és az 1:1 NAT között.Melyiket válasszam?Mi a különbség a Virtual Server és az 1:1 között NAT?

Válasz

A Virtual Server és az 1:1 NAT képes belső szervereket közzétenni az interneten. De a különbség a Virtual Server és az 1:1 NAT között az, hogy az 1:1 NAT-nak van egy további SNAT (forrás NAT), amely a virtuális szervernek nincs.

pl. ha 1:1 NAT-ra van állítva

Eredeti IP: 10.214.30.188, Leképezett IP: 192.168.1.33.

Ezután a 192.168.1.33-as szerver kimenő felülete a 10.214.30.188-at fogja használni az internet eléréséhez.

A csomagfolyamat feltárásában megtalálhatja a SNAT állapotát.

A forrás IP 192.168.1.33 SNAT-útválasztással éri el az internetet.

Ezután a kimenő címet az eredeti IP -cím váltja fel.

2) Sok 1:1 NAT konfigurálása

Jegyzet! A privát és a nyilvános tartományoknak azonos számú IP-címmel kell rendelkezniük.

A sok 1:1 NAT-ot arra használják, hogy az összes forgalmat sok külső IP-ről (nyilvános IP-ről) sok belső IP-re (privát IP-címekre) továbbítsák, amelyek egy tartományon belül vannak. Vegye figyelembe, hogy nem választhat portokat, de az összes portot a Sok 1:1 NAT funkció továbbítja.

2.1 Hozza létre a Sok 1:1 NAT-szabályt

Először jelentkezzen be az eszközre, lépjen a Konfiguráció -> Hálózat -> NAT menüpontra, majd kattintson a "Hozzáadás" gombra új szabály hozzáadásához.

2.1.1 Leképezési szabály sok számára 1:1 NAT

Bejövő interfész – az a felület, amelyről a forgalom érkezik (általában wan1 (vagy wan1_PPPoE))

Forrás IP – Ahonnan a felhasználók csatlakoznak (pl. megbízható IP-címek)

Külső IP-alhálózat/tartomány – a WAN/tűzfal kimenő interfészének IP-címeinek tartománya (Csak tartományok és alhálózatok engedélyezettek – gazdagép objektumok nem)

Belső IP-alhálózat/tartomány – Annak a szervernek az IP-címe, amelyre a nyilvános IP-címeket továbbítani szeretné

Port Mapping Type

Bármi - A rendszer minden forgalmat továbbít (vegye figyelembe, hogy a Many 1:1 NAT funkció csak az "ÖSSZES forgalmat" továbbítja

NAT Loopback – A NAT loopback lehetővé teszi a felhasználók számára, hogy csatlakozzanak a nyilvános IP-címekhez, amikor a tűzfal mögött állnak.

3) Konfigurálja a Virtual Server Load Balancer-t

A virtuális szerver terheléselosztó képernyőjét a helyi felhasználói kapcsolatok több kiszolgálón való elosztására használják, hogy csökkentsék az egyes kiszolgálások terhelését, és csökkentsék a teljes válaszidőt.

3.1 Hogyan működik a Virtual Server Load Balancer?

3.1.1 A terheléselosztási folyamat

1. Egy ügyfél kapcsolatot kezdeményez a virtuális szerverrel egy adott porton

2. A tűzfal egyezteti a kérést egy kiszolgálókészlettel (szerver 1/2/3 a fenti példában), és a felhasználó által megadott terheléselosztási algoritmus segítségével meghatározza, hogy melyik szerver kezelje a kérést.

3. A tűzfal NAT segítségével továbbítja a kérést a kiválasztott szervernek

4. A kiszolgáló feldolgozza a kérést, majd válaszol a tűzfalnak

5. A tűzfal SNAT segítségével továbbítja a választ az ügyfélnek

3.1.2 Követendő terheléselosztási szabályok

1. Egy valódi szerver több terheléselosztási szabályhoz tartozhat

2. Minden terheléselosztási szabályhoz csak egy interfészt, IP-címet és portot adhat hozzá

3. A virtuális szerverek és a valódi szerverek csak az IPv4-címeket támogatják

3.1.3 Virtuális szerver terheléselosztási algoritmusai

Round-Robin – Utolsó be, első ki szabály, az összes szerver egyenlő arányban van felosztva (pl. A, B és C szerver fel lesz osztva CBACBACBA)

Weighted Round Robin – A szervereket a megadott súly alapján rendeli hozzá. A nagyobb súllyal rendelkező szerverek a kisebb súlyú szerverek elé kerülnek hozzárendelésre. (pl. 4:1 az 1. és 2. szerveren a súly az 1. szerveren 75%-os, a 2. szerveren pedig 25%-os terhelést jelent).

Least-Connection – A kapcsolatot a legkevesebb jelenlegi kapcsolattal rendelkező kiszolgálóhoz rendeli

Forrás kivonatolása – Statikus hash -táblázat alapján rendeli hozzá a kapcsolatot

pl. az A szerver (1-es súly) és a B-szerver (2-es súlyú) a következőképpen van leképezve:

3.2 Virtuális szerver szabályleképezés

Bejövő interfész – az a felület, amelyről a forgalom érkezik (általában wan1 (vagy wan1_PPPoE))

Külső IP - a tűzfala WAN / kimenő interfészének IP-címe

Szolgáltatás – Válasszon ki egy szolgáltatásobjektumot (protokoll)

Külső szolgáltatás - Az a külső szolgáltatás (protokoll), amely belsőleg továbbítani kíván

Port – Válasszon ki egy portot, amelyet továbbítani kell

Protokolltípus – Válasszon a port TCP vagy UDP portja közül
Külső Port – A külső port (szám), amelyet belsőleg továbbítani kíván

Egészséges ellenőrzési módszer – A rendszer kapcsolatellenőrzést végez, hogy ellenőrizze, megfelelően működik-e a NAT-szabály és a terheléselosztó. Itt választhat a ping, a HTTP(S) kérés, az SMTP Helo, a DNS Query és a TCP kapcsolat között attól függően, hogy milyen kapcsolattípussal érik el a szervert kívülről.