Hướng dẫn tắt NAT trên Omada Gateway

Hướng dẫn tắt NAT trên Omada Gateway

Contents

Objective

Requirements

Introduction

Configuration

Verification

Conclusion

Mục tiêu

Bài viết này cung cấp hướng dẫn thực tế để cấu hình tính năng Tắt NAT (Disable NAT) trên các thiết bị Omada Gateway, giúp người dùng dễ dàng triển khai.

Yêu cầu

• Omada Controller (phiên bản phần mềm v5.15.20)
• Omada Gateway: ER7206 v2.0

Giới thiệu

Theo mặc định, khi NAT được bật trên Omada Gateway, lưu lượng từ WAN vào LAN sẽ bị hạn chế, gây khó khăn cho việc truy cập các tài nguyên nội bộ từ thiết bị bên ngoài.

Tính năng Tắt NAT (Disable NAT), được giới thiệu từ phiên bản SDN Controller 5.15, cho phép lưu lượng từ WAN đến LAN được chuyển tiếp trực tiếp mà không cần NAT, giúp các thiết bị mạng công cộng có thể truy cập vào máy chủ và dịch vụ nội bộ trong LAN.

Cấu hình

Phần này hướng dẫn cách cấu hình Virtual WAN cho các tình huống sử dụng đường truyền chuyên dụng (leased line, MPLS...).

Bước 1:

Đăng nhập vào trang quản lý của Controller vào Settings > NAT > Disable NAT
Nhấp vào Create New Rule để thêm một quy tắc tắt NAT.

Bước 2:

Khi cấu hình quy tắc Disable NAT, hãy thực hiện như sau:

• Tại mục Interface, chọn cổng WAN vật lý mà bạn muốn áp dụng quy tắc (ví dụ: WAN2).
• Tại mục LAN, chọn một hoặc nhiều mạng LAN tùy theo nhu cầu sử dụng của bạn.

Việc này cho phép lưu lượng từ WAN2 đi vào các mạng LAN đã chọn mà không bị dịch địa chỉ NAT, phù hợp cho các dịch vụ nội bộ cần truy cập trực tiếp từ bên ngoài (ví dụ: server web, VoIP, camera...).

Lưu ý:

• Mỗi cổng WAN chỉ hỗ trợ cấu hình duy nhất một quy tắc Disable NAT.
• Khi tạo quy tắc Disable NAT, hệ thống sẽ tự động sinh ra một quy tắc định tuyến chính sách (policy routing) ở chế độ ưu tiên (priority mode) để ràng buộc cổng WAN và mạng LAN tương ứng.
  • Quy tắc này phụ thuộc vào trạng thái kiểm tra kết nối (online detection) của cổng WAN.
  • Chỉ khi cổng WAN được xác định là đang hoạt động (online) thì quy tắc mới có hiệu lực.

Xác minh

Bạn có thể sử dụng công cụ Wireshark để so sánh sự khác biệt của gói tin giữa hai trường hợp:

• Khi sử dụng NAT (mặc định)
• Khi tắt NAT (Disable NAT đã được bật)

 Việc này sẽ giúp bạn thấy rõ cách gói tin thay đổi khi truyền từ LAN ra WAN, ví dụ như:

• Gói tin có bị thay đổi địa chỉ IP nguồn hay không
• Sự khác biệt trong phần tiêu đề IP khi NAT bị vô hiệu hóa

Tình huống 1: Không bật tính năng Disable NAT

Chạy lệnh "ping 192.168.0.1" trên PC, sau đó thu thập gói tin (packet capture) tại cổng LAN của Gateway-A (nơi kết nối đến Gateway-B).

Kết quả quan sát được như sau:

• Các gói tin được gửi đi sẽ có địa chỉ IP nguồn đã bị thay đổi (do NAT) thành địa chỉ IP của cổng WAN của Gateway-A.
• Gói tin đến Gateway-B sẽ mang IP nguồn không phải là IP thật của PC, mà là IP được NAT

Tình huống 2: Bật Disable NAT và thêm tuyến tĩnh đến mạng 192.168.10.X/24 trên router trung gian

Thực hiện các bước sau:

1. Bật tính năng Disable NAT trên Gateway-A.
2. Thêm một tuyến tĩnh (static route) trên router trung gian, với cấu hình như sau:
   • Đích (Destination): 192.168.10.0/24
   • Next hop: 192.168.0.100 (địa chỉ IP LAN của Gateway-A)

Sau đó, thực hiện lại bài kiểm tra như trong Tình huống 1:

Sau khi bật Disable NAT, việc bắt gói trên cổng LAN của gateway bên trái sẽ hiển thị địa chỉ IP thực tế của PC làm địa chỉ nguồn. Điều này xác nhận rằng các gói tin không còn bị NAT chuyển đổi địa chỉ nữa. Trong tình huống này, gateway ở giữa hoạt động như một switch tầng 3 (Layer 3 switch), và các thiết bị ở phía trên có thể nhìn thấy IP thật của client để thực hiện các chính sách kiểm soát linh hoạt hơn.

Kết luận

Phần nội dung trước đã giới thiệu các bước cấu hình Disable NAT trên các model Gateway thuộc dòng Omada tương thích với phiên bản phần mềm SDNC 5.15.

Để tìm hiểu thêm chi tiết về từng chức năng và cấu hình, vui lòng truy cập Download Center để tải hướng dẫn sử dụng cho sản phẩm của bạn.