इस लेख में यह चर्चा की गई है कि आपकी खाता में साइट्स के लिए ट्रैफ़िक प्रबंधित करने और प्राथमिकता देने के लिए NAT नीति का उपयोग कैसे करें।
वे संगठन जो अपने नेटवर्क ट्रैफ़िक का अनुवाद करना चाहते हैं और फिर भी अपनी सभी प्रासंगिक संसाधनों तक पहुँच बनाए रखना चाहते हैं, कई चुनौतियों का सामना कर रहे हैं। विशेषकर तब जब आपको निजी नेटवर्क के बीच में संचार करना हो जो समान निजी IP रेंज का उपयोग कर सकते हैं। इसके अलावा, आपके पास कुछ संसाधन हो सकते हैं जिनकी संरचना या टोपोलॉजी को आप उजागर नहीं करना चाहते हैं, ऐसे में, आप यह दिखाने के लिए NAT का उपयोग कर सकते हैं कि ट्रैफ़िक एक निश्चित आईपी पते से आ रहा है।
वैकल्पिक रूप से, आपको वेब या फ़ाइल सर्वर जैसी आंतरिक सेवाओं तक दूरस्थ पहुँच की पेशकश करनी हो सकती है। आप एक सार्वजनिक IP पते प्रदान कर सकते हैं, जिसे फिर विभिन्न आंतरिक IP पते में परिवर्तित किया जा सकता है।
Cato आपको विशिष्ट स्रोत और गंतव्य IPs से मेल खाने और आउटगोइंग ट्रैफ़िक (Cato Cloud से साइट की ओर जाने वाले) के लिए साइट विशिष्ट स्रोत और गंतव्य NAT (SNAT और DNAT, क्रमशः) लागू करने की अनुमति देता है।
NAT नीति को आने वाले ट्रैफ़िक (PoP से) उस साइट पर लागू किया जाता है, जिस पर नीति विन्यस्त की गई है:
- इंटरनेट से ट्रैफ़िक (जैसे, RPF)
- किसी अन्य Cato साइट से ट्रैफ़िक (जैसे, वैन ट्रैफ़िक)
पोर्ट पता अनुवाद (PAT) के साथ संवर्धित NAT
केटो का NAT कार्यान्वयन मूलभूत IP पता अनुवाद से आगे जाकर पोर्ट पता अनुवाद (PAT) को डिफ़ॉल्ट रूप में शामिल करता है, जिससे कई-से-एक NAT कार्यक्षमता सक्षम होती है। यह प्रत्येक सत्र को अनन्य स्रोत पोर्ट नंबर असाइन करके अनुवादित IP पता प्रति 65,536 समवर्ती सत्रों तक अनुमति देता है। इसका परिणामस्वरूप, एकाधिक मूल आईपी होस्ट्स एकल अनुवादित आईपी के माध्यम से एक ही समय में कनेक्शन शुरू कर सकते हैं, जबकि सत्र की विशिष्टता बनाए रखते हैं।
जैसे परिदृश्य को प्रभावी ढंग से संभालने के लिए इस सूक्ष्म नियंत्रण आवश्यक है:
- एकल आईपी के माध्यम से प्रकाशित कई आंतरिक सेवाओं की पहुँच
- उच्च-घनत्व उपयोगकर्ता वातावरण, जहां सत्रों को आईपी पता संसाधनों को समाप्त किए बिना मानचित्रित किया जाना चाहिए
PAT का उपयोग करके, Cato सुनिश्चित करता है कि भारी ट्रैफ़िक लोड के दौरान भी स्केलेबल, टकराव-मुक्त कनेक्टिविटी और निर्बाध एप्लिकेशन प्रदर्शन हो।
निम्नलिखित खंड SNAT और DNAT के दो उदाहरण उपयोग मामलों को प्रस्तुत करता है। नीचे दिया गया उदाहरण इन उपयोग मामलों के लिए नियम आधार प्रदर्शित करता है।
इस परिदृश्य में, आपके पास IT व्यवस्थापक का एक समूह है जो SDP क्लाइंट के माध्यम से जुड़ा हुआ है। उन्हें एक 3rd पार्टी से संबंधित संसाधन तक पहुँच की आवश्यकता होती है, उदाहरण के लिए, एक टिकटिंग सिस्टम, जो कंपनी में कहीं और एक IPsec साइट के पीछे स्थित है।
तीसरा पक्ष आपसे एक विशिष्ट IP पते का उपयोग करके संवाद करने की आवश्यकता करता है, उदाहरण के लिए, 192.151.100.10। मूल स्रोत IP (जो IT व्यवस्थापक समूह से संबंधित है) संचार से ब्लॉक कर दिया जाएगा।
इस समस्या को हल करने के लिए, आप उन कनेक्शनों के लिए एक NAT नीति नियम बना सकते हैं जिनका मूल स्रोत IP एक विशिष्ट समूह में व्यवस्थापक है। टिकेटिंग सिस्टम तक पहुँचने का प्रयास करते समय, आप प्रशासक IP पते पर स्रोत NAT लागू करते हैं ताकि 192.151.100.10 में अनुवाद किया जा सके, जो सुनिश्चित करता है कि IT प्रशासक 3rd पार्टी सर्वर के साथ संवाद कर सके।
इस परिदृश्य में, आपके पास विभिन्न समूहों से कई होस्ट हैं जो एक IP पते पर ट्रैफ़िक भेज रहे हैं। ये मशीनें अपने पैकेट को एक एकल नेटवर्क पते पर भेजती हैं, उदाहरण के लिए, 203.0.113.96।
यह सुनिश्चित करने के लिए कि आप अपने नेटवर्क में इष्टतम प्रदर्शन बनाए रखें, आप विभिन्न DNAT नियम बना सकते हैं जो स्रोत IP पते और ट्रैफ़िक प्रकार के आधार पर ट्रैफ़िक को विभिन्न सर्वरों पर निर्देशित करते हैं:
-
VLAN1 से 203.0.113.96 तक ट्रैफिक 10.10.10.5 को भेजा जाता है
-
वित्त से 203.0.113.96 तक का ट्रैफिक 10.10.10.25 को भेजा जाता है
-
खरीदारी से 203.0.113.96 तक का ट्रैफिक 10.10.10.65 को भेजा जाता है
यह आपको और अधिक मशीनें संबंधित समूहों में जोड़ने की अनुमति देता है बिना आपकी कॉन्फ़िगरेशन को बदले, साथ ही साथ एकल IP पते पर ट्रैफ़िक को प्रभावी रूप से प्रबंधित करता है।
NAT नीति क्रमबद्ध नियमों का उपयोग करती है। एक पैकेट आता है और नियमों के खिलाफ जांचा जाता है। एक बार जब कोई नियम मेल खाता है, तो एक क्रिया लागू की जाती है और अन्य किसी भी नियम को संसाधित नहीं किया जाता है।
उदाहरण के लिए, यदि कोई कनेक्शन नियम #3 से मेल खाता है, तो कनेक्शन पर क्रिया लागू की जाती है और सभी अनुक्रमिक नियमों को अनदेखा किया जाता है। यदि कोई कनेक्शन किसी नियम से मेल नहीं खाता, तो इसे मूल डेटा के साथ संसाधित किया जाता है।
यह अनुभाग बताता है कि NAT के लिए नियम और जिन वस्त्रों, पोर्ट्स, और सेवाओं को आप कॉन्फ़िगर कर सकते हैं, उन्हें कैसे परिभाषित करें।
एक NAT नियम बनाएँ और LAN ट्रैफ़िक के लिए रूटिंग को प्रबंधित करने के लिए नियम की सेटिंग्स कॉन्फ़िगर करें।
NAT नीति नियम लगभग एक मिनट में एक साइट पर लागू किए जाते हैं।
उन ग्राहकों के लिए जो सॉकेट LAN आईपी की विरासत कॉन्फ़िगरेशन को अनुवादित स्रोत IP के रूप में उपयोग करते हैं, हम इस कॉन्फ़िगरेशन की सिफारिश नहीं करते हैं।
एक NAT नियम को परिभाषित करने के लिए:
-
नेविगेशन मेनू से, नेटवर्क > साइट्स पर क्लिक करें और साइट चुनें।
नोट
नोट: यदि आप अपने मेनू में NAT नीति नहीं देखते और इसे सक्षम करना चाहते हैं, तो अपने खाता प्रतिनिधि या ग्राहक समर्थन से संपर्क करें।
-
नेविगेशन मेनू से, साइट कॉन्फ़िगरेशन > NAT पर क्लिक करें।
-
नया पर क्लिक करें। NAT नियम जोड़ें पैनल खुलता है।
-
सामान्य विन्यास अनुभाग से, नियम के लिए निम्नलिखित सेटिंग्स कॉन्फ़िगर करें:
-
नियम के लिए नाम दर्ज करें।
-
स्लाइड का उपयोग करके नियम को सक्षम या अक्षम करें (हरे का मतलब सक्षम, धूसर का मतलब अक्षम)।
-
नियम क्रम कॉन्फ़िगर करें। अधिक विशिष्ट नियमों के लिए उच्च संख्या और कम विशिष्ट नियमों के लिए कम संख्या परिभाषित करें।
-
-
मूल स्रोत IP सेटिंग्स विन्यस्त करें।
-
IP रेंज या कोई भी चुनें।
IP रेंज एकल IP पता या एड्रेसेस की एक रेंज हो सकती है। आप कई प्रविष्टियाँ बना सकते हैं।
-
-
मूल गंतव्य IP और पोर्ट/प्रोटोकॉल सेटिंग्स कॉन्फ़िगर करें:
-
गंतव्य IP के अंतर्गत, IP रेंज या कोई भी चुनें।
IP रेंज एकल IP पता या एड्रेसेस की एक रेंज हो सकती है। आप कई प्रविष्टियाँ बना सकते हैं।
-
गंतव्य पोर्ट/प्रोटोकॉल के अंतर्गत, प्रोटोकॉल और पोर्ट को प्रोटोकॉल/पोर्ट प्रारूप का उपयोग करके परिभाषित करें:
उदाहरण के लिए, TCP/80, UDP/53, TCP/443
-
-
NAT क्रिया के अंतर्गत, यह निर्धारित करें कि स्रोत या गंतव्य NAT को बदलना है या नहीं। आप स्रोत और गंतव्य दोनों को बदल सकते हैं, लेकिन आप दोनों मूल पतों को नहीं रख सकते।
-
लागू करें पर क्लिक करें, और फिर सहेजें पर क्लिक करें।
नियम को तालिका में जोड़ा जाता है।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.