زمانی که کلاینتها از آدرسهای IP خصوصی استفاده میکنند، میتوان از NAT مبدأ (SNAT) بهره گرفت. این کار باعث میشود، برای مثال، چندین نشست مختلف از کلاینتهایی با آدرس مبدأ یکسان مانند 192.168.1.1 ایجاد نشود. همچنین میتوان تمامی ترافیک کلاینتها را به یک آدرس IP مشخص نگاشت کرد، چرا که آدرسهای خصوصی برای سیستم FortiADC یا سرورهای پشتیبان قابل تشخیص یا کاربردی نیستند.
قوانین SNAT عملکرد این مکانیزم را مدیریت میکنند. این قوانین، آدرسهای IP مبدأ و مقصد موجود در ترافیک ورودی را با بازههای مشخصشده در سیاستها (policy) مطابقت میدهند. در صورت تطابق درخواست کلاینت با شرایط تعیینشده، سیستم آدرس IP مبدأ را به یکی از آدرسهای موجود در SNAT pool تبدیل میکند.
برای مثال، اگر کلاینتی با آدرس خصوصی 192.168.1.1 درخواستی به آدرس سرور مجازی 192.0.2.1 ارسال کند (توجه داشته باشید که این آدرس، آدرس واقعی سرور یعنی 10.0.0.1 نیست و آدرس واقعی در دسترس عموم قرار ندارد)، و هر دو شرط قانون SNAT برقرار باشند، سیستم آدرس مبدأ را به آدرس بعدی در SNAT pool مانند 10.1.0.1 ترجمه میکند. این در حالی است که آدرس مقصد بدون تغییر باقی میماند، زیرا قوانین SNAT فقط روی آدرسهای مبدأ اعمال میشوند.
سیستم FortiADC یک جدول NAT نگهداری میکند و هنگام دریافت پاسخ از سرور، ترجمه معکوس را اعمال میکند تا ترافیک به درستی به کلاینت بازگردد. برای عملکرد صحیح این فرآیند، باید سرورهای پشتیبان طوری پیکربندی شوند که آدرس FortiADC را بهعنوان دروازه پیشفرض (Default Gateway) در نظر بگیرند. این کار تضمین میکند که پاسخها نیز از طریق ماژول NAT بازنویسی شوند.
نکته: ویژگی SNAT در این حالت برای ترافیک ورودی به سرورهای مجازی پشتیبانی نمیشود. در این موارد، باید از قابلیت SNAT مخصوص سرورهای مجازی استفاده گردد.
پیشنیازها:
باید از آدرسهای IP که سازمان شما برای طراحی NAT در نظر گرفته مطلع باشید.
باید دسترسی خواندن و نوشتن (Read-Write) به تنظیمات سیستم داشته باشید.
مراحل پیکربندی NAT مبدأ (Source NAT) در FortiGate:
وارد بخش Network > NAT شوید.
در این صفحه، تب Source نمایش داده میشود.روی گزینه Create New کلیک کنید تا ویرایشگر پیکربندی باز شود.
تنظیمات مورد نیاز را طبق دستورالعمل موجود در بخش Source NAT configuration وارد کنید.
پس از تکمیل تنظیمات، روی Save کلیک کنید تا تغییرات ذخیره شوند.
در صورت نیاز، ترتیب قوانین NAT را برای اطمینان از عملکرد صحیح تنظیم نمایید.
تنظیمات و راهنماها
| تنظیم | راهنما |
|---|---|
| Name (نام) | نام پیکربندی. فقط از حروف A-Z، a-z، اعداد 0-9، خط تیره (-) و زیرخط (_) میتوانید استفاده کنید. استفاده از فاصله (space) مجاز نیست. پس از ذخیره اولیه، امکان ویرایش نام وجود ندارد. |
| Source (مبدأ) | آدرس IP بههمراه ماسک (به صورت Address/Mask) برای تطابق با آدرس مبدأ در سربرگ بسته. مثال: 192.0.2.0/24 |
| Destination (مقصد) | آدرس IP بههمراه ماسک برای تطابق با آدرس مقصد در سربرگ بسته. مثال: 10.0.2.0/24 |
| Egress Interface (رابط خروجی) | رابط (Interface) شبکهای که ترافیک از آن ارسال میشود. |
| Translation Type (نوع ترجمه) | – IP Address: ترجمه آدرس مبدأ به یک آدرس مشخص – Pool: ترجمه آدرس مبدأ به آدرس بعدی در یک مجموعه (Pool) – No NAT: بدون ترجمه آدرس مبدأ |
| Translation to IP Address (ترجمه به آدرس IP) | توجه: این گزینه فقط در صورت انتخاب نوع ترجمه “IP Address” فعال است. در این قسمت یک آدرس IPv4 مشخص وارد میشود تا آدرس مبدأ بستهها به آن تبدیل شود. |
| Pool Address Range (محدوده آدرس Pool) | توجه: این گزینه فقط در صورت انتخاب نوع ترجمه “Pool” فعال است. آدرس ابتدایی محدوده SNAT را وارد کنید. |
| No NAT (بدون NAT) | توجه: این گزینه فقط در صورت انتخاب نوع ترجمه “No NAT” فعال است. |
| To (تا) | آدرس پایانی محدوده SNAT را وارد کنید. |
| Traffic Group (گروه ترافیک) | یک گروه ترافیک انتخاب کنید. در غیر این صورت، سیستم بهصورت پیشفرض از گروه ترافیک پیشفرض استفاده خواهد کرد. |
| Reordering (ترتیببندی مجدد) | پس از ذخیره قوانین، در صورت نیاز میتوانید ترتیب آنها را تغییر دهید. جدول قوانین از بالا به پایین بررسی میشود. اولین قانونی که تطابق داشته باشد اعمال شده و سایر قوانین نادیده گرفته میشوند. |
بدون نظر