Konfigurieren von Richtlinien-NAT auf dem RV160 und RV260
Ziel
Einführung
Network Address Translation (NAT) wird auf einem Router ausgeführt und ermöglicht privaten IP-Netzwerken mit nicht registrierten IP-Adressen die Verbindung mit dem Internet. Ein Router fungiert als Agent zwischen dem lokalen Netzwerk und dem Internet (öffentliches Netzwerk). Das bedeutet, dass die NAT die privaten Adressen (internes Netzwerk) in eine einzige eindeutige öffentliche IP-Adresse übersetzt, die die gesamte Gruppe von Computern für alle Geräte außerhalb des Netzwerks darstellt. Dadurch wird die Sicherheit erhöht, indem das gesamte interne Netzwerk hinter dieser eindeutigen öffentlichen IP-Adresse verborgen wird. NAT hilft auch, die Nutzung von IPv4-Adressen aufgrund eines Hauptproblems der IPv4-Erschöpfung zu erhalten.
Mit Policy NAT können Sie die öffentliche Adresse für die Adressübersetzung identifizieren, indem Sie die Quell- und Zieladresse in einer erweiterten Zugriffsliste angeben. Eine der vielen Möglichkeiten für die Policy NAT besteht darin, verschiedenen WAN-IP-Adressen mehrere private IP-Adressen zuzuordnen.
In diesem Dokument wird die Richtlinien-NAT konfiguriert, indem zwei neue VLANs (VLAN 2 und VLAN 10) erstellt und an zwei verschiedene WAN-IP-Adressen angeschlossen werden. Sie können die Quell- und Zielports angeben. Policy NAT ermöglicht Ihnen die Erstellung flexibler NAT-Regeln für erweiterte Benutzer. Bitte verstehen Sie die Funktionen der Funktion und Ihren Anwendungsfall, bevor Sie die Regeln konfigurieren. Ungültige Einstellungen können akzeptiert werden, funktionieren aber möglicherweise nicht. Für die meisten Benutzer wird stattdessen die Port Forwarding oder die statische NAT empfohlen.
Um zu erfahren, wie NAT und statische NAT auf dem RV160 und RV260 konfiguriert werden, klicken Sie hier.
Anwendbare Geräte
· RV160
· RV260
Softwareversion
· 1,0 0,13
VLAN-Konfiguration
Schritt 1: Melden Sie sich bei der Webseite für die Konfiguration an, und navigieren Sie zu LAN > VLAN Settings. In diesem Beispiel erstellen wir VLAN 2 und VLAN 10. Jedes der VLANs ist in einem anderen Subnetz im Format 172.16.x.x/24 vorhanden.
Schritt 2: Klicken Sie auf das Plus-Symbol, um ein neues VLAN zu erstellen.
Schritt 3: Geben Sie die VLAN-ID (Bereich: 1-4093) und einen Namen ein.
Schritt 4: Aktivieren Sie das Kontrollkästchen Aktiviert, um VLAN-übergreifendes Routing und Gerätemanagement zu aktivieren. In diesem Beispiel wird nur das VLAN-übergreifende Routing aktiviert. Die Aktivierung von Inter-VLAN-Routing ist nützlich, da interne Netzwerkadministratoren remote auf Ihre Geräte zugreifen können, um Probleme zu beheben. Dadurch wird der Zeitaufwand für das permanente Umschalten von VLANs reduziert, um auf die Geräte zugreifen zu können.
Schritt 5: Geben Sie eine IPv4-Adresse und die Subnetzmaske ein. In diesem Beispiel geben Sie 172.16.2.60/24 ein.
Hinweis: Das Feld Subnetzmaske wird automatisch an die Subnetzmaske angepasst, die Sie in das /Feld eingegeben haben.
Schritt 6: Im DHCP-Typ für IPv4 wird diese Option als Deaktiviert belassen. Dadurch wird der DHCP-IPv4-Server im VLAN deaktiviert.
Schritt 7: Geben Sie im Abschnitt IPv6-Adresse/Präfixlänge ein IPv6-Präfix und -Präfixlänge ein. Wir verwenden das standardmäßige IPv6-Präfix und die standardmäßige Präfixlänge fec0:1: als Präfix und 64 als Präfixlänge.
Hinweis: In diesem Beispiel werden die restlichen Optionen auf den Standardeinstellungen beibehalten.
Schritt 8: Klicken Sie auf Übernehmen.
Hinweis: Wenn Sie weitere VLANs erstellen möchten, kehren Sie zu Schritt 1 des Abschnitts "VLAN-Konfiguration" zurück. Für diese Demonstration haben wir ein weiteres VLAN erstellt. VLAN 10 mit einer IPv4-Adresse von 172.16.3.60/24 und einem IPv6-Adresspräfix von fec0:2::/64.
Richtlinien-NAT-Konfiguration
Schritt 1: Navigieren Sie zu Firewall > Policy NAT.
Schritt 2: Klicken Sie auf das Plus-Symbol, um eine neue Policy NAT-Regel hinzuzufügen.
Schritt 3: Geben Sie den Namen für die neue Richtlinie NAT-Regel ein.
Schritt 4: Aktivieren Sie Aktivieren, um die Richtlinienregel zu aktivieren.
Schritt 5: Wählen Sie im Feld Von Schnittstelle die Schnittstelle aus der Dropdown-Liste aus, von der der Datenverkehr stammt. In diesem Beispiel wählen wir VLAN1 aus.
Schritt 6: Wählen Sie im Feld An Schnittstelle die Stelle aus, an der die Von-Schnittstelle ausgeht. In diesem Beispiel wählen wir WAN als To Interface (An Schnittstelle).
Hinweis: Dynamic Network Address Translation (DNAT) ist eine erweiterte Form von NAT, bei der der Router die IP-Adresse, aber nicht die Portnummer übersetzt. Dieser dynamische Ansatz wird verwendet, um die Adressen einer großen Anzahl interner Computer einigen wenigen routbaren IP-Adressen zuzuordnen. Für DNAT sollten Sie die "To interface" als Any festlegen.
Schritt 7: Wählen Sie im Abschnitt "Quelladresse" die Option Any oder Use a new IP Group to create a new address. Wählen Sie dann eine Option aus der Dropdown-Liste Translated Source Address (übersetzte Quelladresse) aus. Wir wählen Any als ursprüngliche Quelladresse und WAN-IP als übersetzte öffentliche IP-Adresse für unser VLAN 1 aus.
Hinweis: Fahren Sie mit Schritt 11 fort, wenn Sie Neue IP-Gruppe verwenden ausgewählt haben.
Schritt 8: Klicken Sie auf Apply, um die neue Richtlinie-NAT-Regel hinzuzufügen.
Hinweis: Die Standardfelder Zieladresse und Service bleiben unverändert.
Schritt 9: Wiederholen Sie die Schritte 2-6 für das nächste VLAN. Wir konfigurieren VLAN 2 für eine andere WAN-IP-Adresse.
Schritt 10: Wählen Sie Any (Beliebig) als ursprüngliche Quelladresse aus, und Verwenden Sie eine neue IP-Gruppe als übersetzte Quelladresse aus der Dropdown-Liste.
Schritt 11: Das Fenster Neue IP-Gruppe erstellen wird angezeigt. Geben Sie einen Namen für die WAN-IP-Gruppe ein.
Hinweis: In einer Meldung wird die Meldung "Eine IP-Adressgruppe muss mindestens eine Gruppen-IP-Adresse haben" angezeigt. Dies wird im nächsten Schritt konfiguriert.
Schritt 12: Klicken Sie auf das Plus-Symbol, um ein einzelnes IP-, IP-Adressen-Subnetz oder einen IP-Adressbereich hinzuzufügen. In diesem Beispiel wählen wir Single IP aus der Dropdown-Liste aus, da das VLAN in eine einzelne IP-Adresse übersetzt werden soll.
Schritt 13: Geben Sie im Feld Adressdetails die zweite WAN-IP-Adresse ein, die Sie besitzen.
Schritt 14: Klicken Sie auf OK, um die neue IP-Gruppe zu erstellen.
Schritt 15: Klicken Sie auf Apply, um die neue Richtlinie-NAT-Regel hinzuzufügen.
Hinweis: Wenn Sie weitere VLANs hinzufügen möchten, die eine neue WAN-IP-Adresse erfordern, wiederholen Sie die Schritte 9-15.
Schritt 16: Klicken Sie auf Apply, um die Konfiguration anzuwenden.
Schlussfolgerung
Sie sollten jetzt die Richtlinie NAT erfolgreich konfiguriert haben. Der von jedem VLAN ausgehende Datenverkehr sollte als andere WAN-IP-Adresse angezeigt werden. Dies ist ein Beispiel für eine mögliche Konfiguration von Policy NAT.
Feedback