GRANDSTREAM GCC6000 Series UC Plus Networking Convergence Solutions

Informace o produktu

• Značka: Společnost Grandstream Networks, Inc.
• Produktová řada: Řada GCC6000
• Popis: Pokročilý průvodce NAT

Specifikace

• Podporuje zdrojový NAT (SNAT) a cílový NAT (DNAT)
• Umožňuje konfiguraci pro předávání portů a přepisování IP adres
• Navrženo pro konvergenční zařízení GCC601x(W).

Návod k použití produktu

Konfigurace SNAT
SNAT řídí změnu zdrojové IP adresy a čísla portu při připojování z interního hostitele k externímu hostiteli.

Konfigurace WAN 1

1. Přejděte na Modul brány firewall > Zásady brány firewall > Rozšířené NAT > SNAT.
2. Kliknutím na tlačítko Přidat přidáte nové pravidlo SNAT.
3. Povolit stav.
4. Nastavte protokol na Libovolný.
5. Nastavte zdrojovou IP adresu sítě na podsíť LAN výchozí VLAN.
6. Nastavte adresu IP zdroje přepisu na veřejnou IP adresu poskytnutou poskytovatelem internetových služeb 1.
7. Vyberte cílovou skupinu, do které patří zdrojová IP adresa pro přepsání (port WAN 1).

Konfigurace WAN 2

1. Přejděte na Modul brány firewall > Zásady brány firewall > Rozšířené NAT > SNAT.
2. Kliknutím na tlačítko Přidat přidáte nové pravidlo SNAT.
3. Povolit stav.
4. Nastavte protokol na Libovolný.
5. Nastavte zdrojovou IP adresu sítě na podsíť LAN hlasové VLAN.
6. Nastavte adresu IP zdroje přepisu na veřejnou IP adresu poskytnutou poskytovatelem internetových služeb 2.
7. Vyberte cílovou skupinu, do které patří zdrojová IP adresa pro přepsání (port WAN 2).

Konfigurace DNAT
DNAT řídí změnu cílové IP adresy a čísla portu při příjmu provozu z externího hostitele na soukromého hostitele.

Konfigurace cílového NAT
Chcete -li vytvořit místní web server nasazený ve vaší síti LAN dostupný klientům zvenčí, postupujte takto:

1. Přejděte do nastavení DNAT.
2. Nastavte DNAT pro přesměrování provozu z internetu do vaší LAN pomocí veřejné IP adresy.

Řada GCC6000 – Pokročilý průvodce NAT

Zavedení

NAT (Network Address Translation) je proces používaný routerem nebo podobným zařízením k překladu jedné IP adresy na jinou. Tento překlad se provádí ze soukromé IP adresy na veřejnou IP adresu a naopak. V této příručce nakonfigurujeme pokročilá nastavení NAT pro řízení procesu NAT pro zdrojový a cílový provoz. Budeme rozlišovat dva typy

• NAT:
  SNAT a DNAT. Tyto procesy nám umožňují měnit zdrojovou a cílovou IP a čísla portů, což uživatelům umožňuje přístup k internetu
• SNAT:
  Source NAT řídí změnu zdrojové IP adresy a čísla portu vrstvy 4 při připojování z interního privátního hostitele k externímu hostiteli (LAN do internetu).
• DNAT:
  Cílový NAT řídí změnu cílové IP adresy a čísla portu vrstvy 4 při příjmu provozu z externího hostitele na privátního hostitele (internet do LAN).

Obě varianty fungují velmi podobně, ale obecně se liší ve způsobu navazování spojení.

V této příručce projdeme konfigurací DNAT i SNAT na konvergenčním zařízení GCC601x(W).

Konfigurace SNAT

Budeme uvažovat následující scénář: představte si, že zařízení GCC je připojeno ke dvěma různým poskytovatelům internetových služeb, aby se vytvořila redundance propojení a řešení pro převzetí služeb při selhání. Každý port WAN je připojen k jinému ISP. Nyní předpokládejme, že chceme přinutit provoz zahájený z výchozí VLAN používat port 1 (ISP 1) a provoz z hlasové VLAN (VLAN 20) používat port 2 (ISP 2). Toho lze dosáhnout vytvořením pravidla zdrojového NAT.

Postupujte podle následujících kroků:

Konfigurace WAN 1

1. Přejděte na „Firewall Module → Firewall Policy → Advanced NAT → SNAT“, poté klikněte na tlačítko „Add“ pro přidání nového SNAT.
2. Povolit stav
3. Nastavte protokol na „Any“, to znamená, že pravidlo zdrojového NAT bude platit pro veškerý provoz přicházející z různých transportních protokolů (UDP, TCP,..)
4. Nastavte zdrojovou IP adresu sítě, toto bude podsíť LAN výchozí VLAN: 192.168.80.0/24
5. Nastavte zdrojovou IP adresu přepisu, bude to veřejná IP adresa poskytnutá ISP 1, kterou použijeme k připojení na internet, bude to: 192.168.6.225
6. Pod cílovou skupinou vyberte cílovou skupinu, do které patří zdrojová IP adresa pro přepsání. v našem případě je to port WAN 1 využívající ISP 1.

Poznámka
Cílovou IP adresu lze použít k určení přesného zařízení, kam bude provoz interně směrován

Konfigurace WAN 2

1. Přejděte na „Firewall Module → Firewall Policy → Advanced NAT → SNAT“, poté klikněte na tlačítko „Add“ pro přidání nového SNAT.
2. Povolit stav
3. Nastavte protokol na „Any“, to znamená, že pravidlo zdrojového NAT bude platit pro veškerý provoz přicházející z různých transportních protokolů (UDP, TCP,..)
4. Nastavte zdrojovou IP adresu sítě, toto bude podsíť LAN hlasové VLAN: 192.168.20.0/24
5. Nastavte IP adresu zdroje přepsání, bude to veřejná IP adresa poskytnutá ISP 2, kterou budeme používat pro připojení k internetu. to bude 192.168.6.229
6. V části Cílová skupina vyberte cílovou skupinu, do které patří zdrojová IP adresa pro přepsání. v našem případě je to port WAN 2 využívající ISP 2.

Veřejné IP adresy obou WAN lze nalézt na síťovém modulu GCC zařízení pod cestou Network
Nastavení => WAN:

Konfigurace DNAT

DNAT může být velmi podobný konfiguraci přesměrování portů, jediný rozdíl je v tom, že v DNAT nejste povinni specifikovat port, na který se má přesměrovat, jde spíše o přesměrování IP, z internetu do LAN, podíváme se u tohoto examppro upřesnění níže:

Zvažte, že chceme, aby naše místní web server nasazený v naší LAN, dostupný našim klientům mimo LAN, ale nechceme, aby znali privátní IP adresu našeho místního web místo toho chceme, aby používali veřejnou IP adresu pro přístup k web serveru, můžeme toho dosáhnout pomocí DNAT a podle následujících kroků:

1. Přejděte na „Firewall Module → Firewall Policy → Advanced NAT → DNAT“, poté klikněte na tlačítko „Add“ pro přidání nového DNAT.
2. Povolte pravidlo DNAT
3. Nastavte typ protokolu na „Jakýkoli“, toto bude zahrnovat jakýkoli typ protokolu pro přenos provozu přicházející do naší LAN.
4. Nastavte skupinu zdrojů na WAN1, toto je naše výchozí WAN
5. cílová skupina bude výchozí VLAN, kde je místní Web server je připojen
6. cílová IP adresa přepsání bude soukromá IP adresa web server.

Výsledkem bude, že když uživatelé chtějí získat přístup k našemu místnímu web serveru, mohou používat definovanou veřejnou IP adresu, aniž by znali soukromou IP adresu našeho serveru.

NAT Reflection

Reflexe NAT, známá také jako NAT loopback, umožňuje klientům interní sítě přistupovat ke službám, které jsou hostovány ve stejné místní síti, ale jsou adresovány veřejnou IP. V naší konfiguraci používáme DNAT (Destination NAT), abychom umožnili klientům mimo vaši LAN přístup k místní web server mapováním veřejné IP adresy na soukromou. Reflexe NAT přichází do hry, když interní zařízení ve stejné síti LAN (jako vaše IP telefony nebo skenovací nástroje) také potřebují přístup k tomuto web server, ale chcete, aby používali stejnou veřejnou IP adresu, jakou používají externí uživatelé.
Funguje to takto:

• Bez odrazu NAT:
  Pokud se vaše interní zařízení (např. telefony) pokusí získat přístup k web server pomocí své veřejné IP, požadavek by se normálně dostal na internet a zpět do LAN, což může selhat nebo zpomalit věci, pokud jsou použita jiná pravidla brány firewall.
• S odrazem NAT:
  Router detekuje, že požadavek pochází z LAN, ale je adresován na veřejnou IP. Namísto směrování provozu ven, odráží provoz interně, čímž je připojení rychlejší a obchází externí firewally. The web server stále vidí provoz jako pocházející z LAN, i když byl adresován na veřejnou IP.

Podporovaná zařízení

Model zařízení

Firmware Požadovaný

GCC6010W	1.0.1.7+
GCC6010	1.0.1.7+
GCC6011	1.0.1.7+

Potřebujete podporu?
Nemůžete najít odpověď, kterou hledáte? Nebojte se, jsme tu, abychom vám pomohli!
KONTAKTUJTE PODPORU

Často kladené otázky

• Otázka: Jaký je rozdíl mezi SNAT a DNAT?
  Odpověď: SNAT řídí změnu zdrojové IP adresy a čísla portu při připojování z interního hostitele k externímu hostiteli, zatímco DNAT řídí změnu cílové IP adresy a čísla portu při příjmu provozu z externího hostitele na soukromého hostitele.
• Otázka: Jak mohu nakonfigurovat SNAT pro více internetových služeb poskytovatelé?
  Odpověď: SNAT můžete nakonfigurovat pro více ISP nastavením pravidel založených na VLAN nebo specifických LAN podsítích, přičemž každé z nich přiřadíte jiný WAN port spojený s veřejnou IP adresou příslušného ISP.

Dokumenty / zdroje

	GRANDSTREAM GCC6000 Series UC Plus Networking Convergence Solutions [pdfUživatelská příručka GCC601x W, GCC6000 Series UC Plus Networking Convergence Solutions, GCC6000 Series, UC Plus Networking Convergence Solutions, Networking Convergence Solutions, Convergence Solutions, Solutions
	GRANDSTREAM GCC6000 Series UC Plus Networking Convergence [pdfUživatelská příručka Řada GCC6000 UC Plus Networking Convergence, GCC6000 Series, UC Plus Networking Convergence, Networking, Convergence
	GRANDSTREAM GCC6000 Series UC Plus Networking Convergence Solutions [pdfUživatelská příručka GCC6000, GCC6000 Series UC Plus Networking Convergence Solutions, GCC6000 Series, UC Plus Networking Convergence Solutions, Networking Convergence Solutions, Convergence Solutions, Solutions

Reference

• Uživatelská příručka