Sử dụng NAT 1:1 với Link Aggregation và có nhiều đia chỉ IP public trên Meraki MX

Thảo luận trong 'Firewall Cisco Meraki' bắt đầu bởi bobo86, 18/4/23.

  1. bobo86

    bobo86 New Member

    - Trên thực tế có những hệ thống mạng yêu cầu nhiều địa chỉ IP public cho các tài nguyên công khai. Ở bài viết này sẽ hướng dẫn cấu hình các quy tắc NAT trên thiết bị bảo vệ Meraki MX với Link Aggregation và nhiều địa chỉ IP public.

    CẤU HÌNH:
    - Bạn có thể có nhiều nguồn tài nguyên công khai ra bên ngoài để user và khách hàng cần truy cập từ Internet vào. Các quy tắc chuyển tiếp cổng được sử dụng khi IP đích là địa chỉ IP cổng Internet của MX (cổng Internet port 1 hoặc 2). Nếu ISP một địa chỉ IP public cố định, quy tắc NAT 1:1được cấu hình để gán địa chỉ IP public vào địa chỉ LAN IP bên trong của nguồn tài nguyên. Các quy tắc này có thể được cấu hình trong Configure > Firewall > Forwarding rules.

    - Trong ví dụ dưới đây NAT 1:1 sẽ được cấu hình cho 2 web-server. Mỗi Webservẻ sẽ được sử dụng một ISP khác nhau:
    • Hostname:WebServer01
    • Service: web server (TCP port 80)
    • Public IP: 3.3.3.3
    • Hostname:WebServer02
    • Service: E-mail server and web mail (TCP ports 25, 80, and 443)
    • Public IP: 5.5.5.5
    [​IMG]

    - Trên trang Meraki Dashboard chọn Add a NAT 1:1 mapping và nhập vào các thông tin sau:
    • Name: tên của cổng mapping
    • Public IP: địa chỉ IP từ ISP mà thiết bị ở sẽ kết nối
    • LAN IP: địa chỉ IP local của thiết bị
    • Uplink: giao diện cổng mạng MX có thể nhận lưu lượng mạng đi vào
    • Allowed inbound connections: các quy tắc tường lửa cho phép các kết nối đi vào thiết bị LAN trên Port được xác định
    - Hình minh họa dưới đây cho thấy cấu hình cần thiết cho ví dự này:
    [​IMG]

    *Lưu ý: Chỉ có các kết nối vào trong được cho phép là các cổng đã được xác định bằng Allow inbound connections.

    LỰA CHỌN ƯU TIÊN CHO UPLINK:
    - Những ánh xạ này sẽ cho phép các kết nối vào thích hợp đến các LAN server. Lưu lượng truy cập đi ra từ các thiết bị này sẽ đi theo Primary uplink được cấu hình (Configure > Traffic shaping > Uplink configuration) trừ khi tính năng Link Aggregation đã được bật (trong trường hợp này, bạn không thể chắc chắn lưu lượng sẽ đi ra từ giao diện cổng nào). Uplink preference có thể được tạo để gửi lưu lượng từ một host LAN ra một uplink cụ thể.
    [​IMG]

    - Trong hình trên chúng ta đã tạo một Uplink preferences để gửi toàn bộ lưu lượng TCP/UDP cho WebServer02 ra đường uplink Internet 2 của thiết bị bảo vệ Meraki MX. Lựa chọn ưu tiên được tạo để tránh định tuyến bất đối xứng. Trong ví dụ này, WebServer02 cũng đang hoạt động như một Mailserver. Khi nó giao tiếp với các máy chủ mail khác, chúng mong muốn địa chỉ IP của mail server giống với lệnh NAT 1:1 mà chúng ta đã tạo. Nếu không có lựa chọn ưu tiên uplink server này có thể sử dụng cổng uplink là Internet 1(và dó đó địa chỉ là của port 1).
     
    bobo86, 18/4/23
    #1

trang này