Configurazione del criterio NAT su RV160 e RV260
Obiettivo
Introduzione
Network Address Translation (NAT) funziona su un router e consente alle reti IP private con indirizzi IP non registrati di connettersi a Internet. Un router agirebbe come agente tra la rete locale e Internet (rete pubblica), il che significa che NAT traduce gli indirizzi privati (rete interna) in un unico indirizzo IP pubblico che rappresenterebbe l'intero gruppo di computer a qualunque cosa al di fuori della loro rete. In questo modo è possibile aumentare la sicurezza nascondendo l'intera rete interna dietro l'unico indirizzo IP pubblico. Il protocollo NAT contribuisce anche a conservare l'uso degli indirizzi IPv4 a causa di un problema chiave di esaurimento dell'IPv4.
Il criterio NAT consente di identificare l'indirizzo pubblico per la traduzione dell'indirizzo specificando l'indirizzo di origine e di destinazione in un elenco di accesso esteso. Uno dei molti modi in cui è possibile utilizzare la Policy NAT è mappare più indirizzi IP privati su diversi indirizzi IP WAN.
In questo documento viene descritto come configurare la policy NAT creando due nuove VLAN (VLAN 2 e VLAN 10) e collegandole a due indirizzi IP WAN diversi. È possibile specificare le porte di origine e di destinazione. Il criterio NAT consente di creare regole NAT flessibili per utenti avanzati. Prima di configurare le regole, comprendere le funzionalità della funzionalità e lo Use Case in uso. È possibile che siano accettate impostazioni non valide, ma queste potrebbero non funzionare. Per la maggior parte degli utenti, si consiglia di utilizzare Port Forwarding o Static NAT.
per informazioni su come configurare NAT e NAT statico su RV160 e RV260, fare clic qui.
Dispositivi interessati
· RV160
· RV260
Versione del software
· 1.0.0.13
Configurazione VLAN
Passaggio 1. Accedere alla pagina di configurazione Web e selezionare LAN > VLAN Settings. Nell'esempio verranno create la VLAN 2 e la VLAN 10. Ciascuna VLAN si troverà in una subnet diversa nel formato 172.16.x.x/24.
Passaggio 2. Per creare una nuova VLAN, fare clic sull'icona Plus.
Passaggio 3. Inserire l'ID VLAN (l'intervallo è 1-4093) e un nome.
Passaggio 4. Per abilitare il routing tra VLAN e la gestione dei dispositivi, selezionare la casella di controllo Enabled. Nell'esempio, verrà abilitato solo il routing tra VLAN. L'abilitazione del routing tra VLAN è utile perché gli amministratori della rete interna potranno accedere in remoto ai dispositivi per risolvere i problemi. In questo modo si riduce il tempo necessario per commutare continuamente le VLAN e accedere ai dispositivi.
Passaggio 5. Immettere un indirizzo IPv4 e la subnet mask. In questo esempio, verrà immesso 172.16.2.60/24.
Nota: Il campo Subnet mask si adatta automaticamente alla subnet mask immessa nel campo /.
Passaggio 6. Nel campo DHCP Type for IPv4, il campo verrà lasciato disabilitato. In questo modo il server DHCP IPv4 viene disabilitato sulla VLAN.
Passaggio 7. Nella sezione Indirizzo IPv6/Lunghezza prefisso immettere un prefisso IPv6 e la lunghezza del prefisso. Verrà utilizzato il prefisso IPv6 predefinito e la relativa lunghezza, fec0:1:: come prefisso e 64 come lunghezza del prefisso.
Nota: In questo esempio, le altre opzioni verranno mantenute sulle impostazioni predefinite.
Passaggio 8. Fare clic su Applica.
Nota: Per creare più VLAN, tornare al passaggio 1 della sezione Configurazione VLAN. Per questa dimostrazione, è stata creata un'altra VLAN. VLAN 10 con indirizzo IPv4 172.16.3.60/24 e prefisso dell'indirizzo IPv6 fec0:2::/64.
Configurazione NAT criteri
Passaggio 1. Passare a Firewall > Policy NAT.
Passaggio 2. Fare clic sull'icona Plus per aggiungere una nuova regola NAT dei criteri.
Passaggio 3. Immettere il nome per la nuova regola NAT dei criteri.
Passaggio 4. Selezionare Abilita per abilitare la regola dei criteri.
Passaggio 5. Nel campo Da interfaccia, selezionare l'interfaccia dall'elenco a discesa da cui proviene il traffico. Nell'esempio verrà selezionata la VLAN1.
Passaggio 6. Nel campo Interfaccia - A, selezionare il punto di uscita dell'interfaccia Da. Nell'esempio, sceglieremo WAN come interfaccia di destinazione.
Nota: Il DNAT (Dynamic Network Address Translation) è una forma avanzata di NAT che prevede la conversione dell'indirizzo IP da parte del router, ma non del numero di porta. Questo approccio dinamico viene utilizzato per mappare gli indirizzi di un gran numero di computer interni a pochi indirizzi IP instradabili. Per DNAT, impostare "A interface" (A interfaccia) su Any (Qualsiasi).
Passaggio 7. Nella sezione Source Address, selezionare Any (Qualsiasi) o Use a new IP Group (Usa un nuovo gruppo IP) per creare un nuovo indirizzo. Selezionare quindi un'opzione dall'elenco a discesa Indirizzo origine tradotto. Selezioneremo Any come indirizzo di origine originale e WAN IP come indirizzo IP pubblico tradotto per la nostra VLAN 1.
Nota: Andare al passaggio 11 se è stato selezionato Utilizza un nuovo gruppo IP.
Passaggio 8. Fare clic su Apply per aggiungere la nuova regola NAT del criterio.
Nota: I campi Indirizzo destinazione e Servizio vengono lasciati come predefiniti.
Passaggio 9. Ripetere i passaggi da 2 a 6 per la VLAN successiva. La VLAN 2 verrà configurata in modo da avere un indirizzo IP WAN diverso.
Passaggio 10. Selezionare Qualsiasi come indirizzo di origine originale e utilizzare un nuovo gruppo IP come indirizzo di origine tradotto dall'elenco a discesa.
Passaggio 11. Viene visualizzata la finestra Crea nuovo gruppo IP. Immettere un nome per il gruppo IP WAN.
Nota: Verrà visualizzato il messaggio "Un gruppo di indirizzi IP deve avere almeno un indirizzo IP di gruppo". Questa operazione viene configurata nel passaggio successivo.
Passaggio 12. Fare clic sull'icona Plus per aggiungere un singolo indirizzo IP, una subnet di indirizzi IP o un intervallo di indirizzi IP. Nell'esempio, verrà selezionato Single IP dall'elenco a discesa perché si desidera convertire la VLAN in un singolo indirizzo IP.
Passaggio 13. Nel campo Address Details (Dettagli indirizzo), immettere il secondo indirizzo IP WAN disponibile.
Passaggio 14. Fare clic su OK per creare il nuovo gruppo IP.
Passaggio 15. Fare clic su Apply per aggiungere la nuova regola NAT del criterio.
Nota: Se si desidera aggiungere più VLAN che richiedono un nuovo indirizzo IP WAN, ripetere i passaggi da 9 a 15.
Passaggio 16. Fare clic su Apply (Applica) per applicare la configurazione.
Conclusioni
È ora necessario aver configurato correttamente il criterio NAT. Il traffico in uscita da ciascuna VLAN deve essere visualizzato come un indirizzo IP WAN diverso. Questo è un esempio di un modo possibile di configurare il criterio NAT.
Feedback