NXC jako router (z zewnętrznym interfejsem WAN)

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

W tym przewodniku krok po kroku pokazano, w jaki sposób pozwolić kontrolerowi NXC działać jako router taki jak USG.

Wprowadzenie

Seria NXC zwykle działa wyłącznie jako kontrolery WiFi, co oznacza, że nie ma żadnych reguł routingu wychodzącego skonfigurowanych na urządzeniu. Jest to szczególnie ważne, gdy kierujesz ruch na zewnątrz - w takim przypadku musisz zadbać o odpowiednia konfigurację SNAT. 

Jak skonfigurować NXC jako router z prawidłowymi regułami routingu i SNAT ? Pokażemy w tym artykule. 

Procedura

Interfejsy NXC są domyślnie zdefiniowane jako VLANy, które są ustawione na fizycznych interfejsach Ethernet. Fizyczne interfejsy są następnie łączone z VLAN jako porty wchodzące w jego skład.Członkostwo to można jednak dezaktywować, abyśmy mogli właściwie korzystać z interfejsu fizycznego, oddzielonego od ustawień VLAN. To jest nasz pierwszy ważny krok, który należy wykonać podczas konfiguracji.

Wybieramy GE1 jako port „WAN” dla NXC.

Upewnij się, że jesteś podłączony za pomocą innego portu niż P1, w przeciwnym razie zostaniesz odłączony od zarządzania urządzeniem podczas jego konfiguracji.

  1. Zaloguj się do NXC przy użyciu poświadczeń administratora (domyślnie nazwa użytkownika = admin; hasło = 1234). Domyślny adres IP powinien wynosić 192.168.1.1

  2. Przejdź do Configuration > Network > Interface > VLAN  , kliknij dwukrotnie VLAN0 (który domyślnie ma wszystkie porty Ethernet ustawione jako nietagowane porty członkowskie),Wyłącz członkostwo interfejsu ge1 i kliknij „OK”
    1.JPG
  3. Odłączyłeś teraz fizyczny interfejs ge1 od VLAN0. Przejdź do opcji  Configuration > Network > Interface > Ethernet , kliknij dwukrotnie ge1, aby go edytować i skonfigurować jako interfejs zewnętrzny (external) oraz ustawić adres IP statyczny lub dynamiczny, zgodnie z potrzebami w konfiguracji:
    2.JPG
  4. Do tej pory skonfigurowałeś ge1, aby mógł działać jako port WAN. Nadal jednak nie zajęliśmy się początkowym problemem - jak sprawić że pakiety są wysyłane prze ge1 ze zmienionym adresem  źródłowym na adres IP ge1,czyli  tak zwany S-NAT . Przejdź do Configuration > Network > Routing > Policy Route , Dodaj nową trasę i skonfiguruj ją zgodnie ze swoimi kryteriami. W tym przykładzie po prostu wysyłamy wszystko, co pochodzi z VLAN0 w kierunku interfejsu ge1 (patrz zrzut ekranu poniżej).

  5. Podsumujmy dotychczasowe działania. Wyjątkową cechą NXC jest to, że domyślnie trasy zasad nie stosują ustawień S-NAT. Jeśli skonfigurujesz trasę jak wyżej, nadal nie będzie ona działać, ponieważ ustawienia S-NAT są ustawione na None. Oznacza to, że dla ruch wysyłanego tą trasą. adres źródłowy nie zostanie zmieniony (zostanie zachowany -  w tym przypadku adres z sieci VLAN0). To z kolei doprowadzi do sytuacji, gdzie ruch powrotny nie zostanie zaakceptowany przez interfejs ge1, gdyż adresacja nie będzie prawidłowa

  6. Aby móc zmienić ustawienia S-NAT w NXC, przejdź na górę strony edycji polityki routingu i kliknij przycisk „Advanced Settings”. Teraz, przewijając na sam dół, możemy zdefiniować zachowanie S-NAT . Zmień je na „outgoing-interface ”. Spowoduje to zmianę adresu źródłowego pakietów opuszczających ge1 na rzeczywisty adres IP ge1, co skolei będzie skutkować prawidłową obsługą ruchu zwrotnego do urządzenia.

    Zobacz poniższy zrzut ekranu w celach informacyjnych:
    3.JPG
  7. To w zasadzie wszystko, co trzeba, proces sam w sobie jest zakończony! Gratulacje!

 

Przemyślenia

Jeśli podsumujemy sytuację, możemy rozważyć dwie bardzo ważne rzeczy:

Po pierwsze, NXC nie został zaprojektowany jako router o wysokiej wydajności! Maksymalny ruch, który można przesyłać przez NXC jest dość ograniczony, około 100-200 Mb / s max.

Ponadto nie ma żadnych domyślnych reguł Firewalla, więc uruchomienie NXC jako w pełni sprawnego Firewalla jest bardzo żmudnym zadaniem, ponieważ trzeba ręcznie dodać wszystkie omawiane reguły.

Jeśli sprawdzisz routing, który właśnie utworzyliśmy, można łatwo stwierdzić, że właśnie przerwaliśmy wewnętrzny ruch między klientami VLAN0, ponieważ przekazujemy cały ruch z VLAN0 poza interfejs ge1

Ale nie obawiaj się, większość urządzeń Zyxel, takich jak USG, NXC i inne, ma tak zwane trasy bezpośrednie (Direct Routes), które są przetwarzane przed trasami  Policy Route :
4.JPG

Ciesz się nową konfiguracją, jeśli pojawią się jakiekolwiek problemy, nie wahaj się skontaktować z naszym zespołem wsparcia technicznego !

 

Również interesujące:
Czy chcesz spojrzeć bezpośrednio na jedno z naszych urządzeń testowych? Zapraszamy do naszego wrtualnego laboratirium,.

Virtual Lab - rozwiązanie NXC Professional WiFi

 

KB-00320

 

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 2 z 2
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.