Szczegóły
Aby korzystać z usług QuWAN, skonfiguruj niezbędne porty usług na zewnętrznym urządzeniu zapory sieciowej.
Topologia sieci przedstawiona na rysunku ilustruje wdrożenie SD-WAN w architekturze hub-and-edge z wykorzystaniem infrastruktury QuWAN firmy QNAP. Kluczowe komponenty i ich role są następujące:
QuRouter (router QNAP): Umiejscowiony na granicy sieci, urządzenie to łączy się z zewnętrznym urządzeniem zapory sieciowej i funkcjonuje jako hub dla ruchu wewnętrznego lub jako urządzenie edge dla łączności zewnętrznej, w zależności od wdrożenia. Zewnętrzna zapora sieciowa: Umiejscowiona za routerem QNAP, zapora ta egzekwuje polityki bezpieczeństwa, reguluje ruch sieciowy i zarządza kontrolą dostępu.
Najlepsze praktyki
Aby zapewnić niezakłóconą łączność z QuWAN Orchestrator, skonfiguruj następujące reguły zapory sieciowej na wszystkich routerach w topologii sieci przed uzyskaniem dostępu do Orchestratora z urządzenia klienckiego (np. przeglądarki). Ustawienia te umożliwiają bezpieczną komunikację VPN, prawidłowe trasowanie ruchu i nieprzerwany dostęp do usług QuWAN.
- Źródło: dowolne
- Protokół: TCP
- Porty docelowe: 8883 (MQTT), 443 (HTTPS)
| Typ ruchu | Źródło | Protokół | Porty źródłowe | Miejsce docelowe | Porty docelowe | Akcja |
|---|---|---|---|---|---|---|
| Wychodzący | Kliknij Zdefiniuj, aby określić połączenie źródłowe | UDP | 5533 (serwer QuWAN QBelt VPN) | Dowolne | - | Zezwól |
| Przychodzący | Kliknij Zdefiniuj, aby określić szczegóły urządzenia zdalnego | UDP | Dowolne | - | 5533 (serwer QuWAN QBelt VPN) | Zezwól |
Aby dodać nową regułę zapory sieciowej w QuWAN Orchestrator, zobacz temat „Dodawanie reguły zapory sieciowej urządzenia" w Pomocy internetowej QuWAN i QuWAN Orchestrator.
uwaga
Domyślny port dla QuWAN QBelt VPN to 5533, ale można go zmienić. Aby sprawdzić porty usług routera w QuWAN Orchestrator, wybierz swoją organizację i urządzenie, a następnie przejdź do Zarządzanie usługami.
Domyślny port dla QuWAN QBelt VPN to 5533, ale można go zmienić. Aby sprawdzić porty usług routera w QuWAN Orchestrator, wybierz swoją organizację i urządzenie, a następnie przejdź do Zarządzanie usługami.
Podczas korzystania z QuRouter w konfiguracji mesh VPN należy skonfigurować reguły zapory sieciowej na zewnętrznym urządzeniu zapory sieciowej, aby zezwolić na ruch VPN site-to-site. Reguły te zapewniają, że komunikacja IPSec między lokalizacjami hub i edge nie jest blokowana, umożliwiając bezpieczne nawiązywanie tuneli VPN.
Na zewnętrznym urządzeniu zapory sieciowej zezwól na przychodzący i wychodzący ruch UDP na następujących portach:
Skonfiguruj reguły zapory sieciowej w następujący sposób:
Prawidłowa konfiguracja tych reguł na zewnętrznym urządzeniu zapory sieciowej zapewnia nieprzerwaną łączność VPN między lokalizacjami mesh.
Ważne: Aby ustalić, czy wymagane są dodatkowe porty IPSec NAT traversal, wybierz swoją organizację i urządzenie w QuWAN Orchestrator, a następnie przejdź do Zarządzanie usługami.
Na zewnętrznym urządzeniu zapory sieciowej zezwól na przychodzący i wychodzący ruch UDP na następujących portach:
- 500 (ISAKMP/IKE): Używany do wymiany kluczy w połączeniach IPSec VPN.
- 4500 (IPSec NAT Traversal): Używany, gdy ruch VPN przechodzi przez urządzenia NAT.
- 61001-61999 (dynamiczne porty wysokie dla IPSec NAT Traversal): Wymagane dla niektórych konfiguracji IPSec.
Skonfiguruj reguły zapory sieciowej w następujący sposób:
- Ruch przychodzący: Zezwól na docieranie pakietów VPN ze zdalnych lokalizacji do zapory sieciowej.
- Ruch wychodzący: Zezwól na wysyłanie pakietów VPN do zdalnych lokalizacji bez zakłóceń.
Prawidłowa konfiguracja tych reguł na zewnętrznym urządzeniu zapory sieciowej zapewnia nieprzerwaną łączność VPN między lokalizacjami mesh.
| Rola QuRouter | Hub | Edge |
|---|---|---|
| Protokół | UDP | UDP |
| Ruch przychodzący |
|
|
| Ruch wychodzący |
|
|
uwaga
- * Domyślny port dla hubów i urządzeń edge to 4500.
- * System wybiera losowy port z zakresu 61001-61999. Aby sprawdzić porty usług routera, wybierz swoją organizację i urządzenie w QuWAN Orchestrator, a następnie przejdź do Zarządzanie usługami i przejrzyj szczegóły portów w IPSec NAT Traversal.
Ważne: Aby ustalić, czy wymagane są dodatkowe porty IPSec NAT traversal, wybierz swoją organizację i urządzenie w QuWAN Orchestrator, a następnie przejdź do Zarządzanie usługami.
Aby zapewnić prawidłową komunikację między QuWAN Orchestrator a istniejącymi usługami zapory sieciowej, niezbędne jest skonfigurowanie zapory sieciowej i routera w celu zezwolenia na określone zakresy adresów IP powiązane z QuWAN. Router odgrywa kluczową rolę, trasując ruch między siecią lokalną a sieciami zewnętrznymi, podczas gdy zapora sieciowa filtruje i zezwala na niezbędny ruch związany z QuWAN, zapewniając bezpieczną i nieprzerwaną komunikację. Bez prawidłowej konfiguracji mogą wystąpić zakłócenia.
Wykonaj poniższe kroki, aby dodać niezbędne zakresy adresów IP powiązane z QuWAN do listy zezwoleń zapory sieciowej:
Konfigurując zarówno zaporę sieciową, jak i router z tymi ustawieniami, możesz zapewnić prawidłowe trasowanie ruchu, bezpieczne filtrowanie i nieprzerwaną komunikację między usługami QuWAN a Twoją siecią, minimalizując potencjalne zakłócenia spowodowane blokowaniem ruchu.
Aby uzyskać dodatkową pomoc, zapoznaj się z dokumentacją QuWAN Orchestrator lub skontaktuj się z Obsługą klienta QNAP.
Wykonaj poniższe kroki, aby dodać niezbędne zakresy adresów IP powiązane z QuWAN do listy zezwoleń zapory sieciowej:
- Tunel QuWAN VPN
- Dodaj
198.19.0.0/16do listy zezwoleń zapory sieciowej, aby zapewnić, że połączenia tunelu VPN nawiązywane przez QuWAN nie są blokowane:
- Dodaj
- Podsieć LAN IP QuWAN
- Zidentyfikuj podsieć LAN IP swojego wdrożenia QuWAN i uwzględnij ją na liście zezwoleń zapory sieciowej.
- Aby zlokalizować podsieć LAN IP, przejdź do Urządzenie QuWAN > Status systemu > Sieć > Szczegóły LAN w interfejsie QuWAN Orchestrator.
Konfigurując zarówno zaporę sieciową, jak i router z tymi ustawieniami, możesz zapewnić prawidłowe trasowanie ruchu, bezpieczne filtrowanie i nieprzerwaną komunikację między usługami QuWAN a Twoją siecią, minimalizując potencjalne zakłócenia spowodowane blokowaniem ruchu.
Aby uzyskać dodatkową pomoc, zapoznaj się z dokumentacją QuWAN Orchestrator lub skontaktuj się z Obsługą klienta QNAP.
Dodatkowe uwagi
Aby umożliwić pingowanie internetu z LAN do WAN, dodaj regułę zapory sieciowej:
- Miejsce docelowe: Kliknij Zdefiniuj, aby określić adres bramy internetowej
- Protokół: ICMP
- Źródło: Dowolne (zezwala na ruch z dowolnego urządzenia w sieci LAN)
- Miejsce docelowe: Twoja podsieć LAN (np. 192.168.60.1/24)
- Akcja: Zezwól
Jeśli urządzenie pozostaje offline pomimo aktywnego połączenia WAN, sprawdź, czy porty 8883 (MQTT) i 443 (HTTPS) nie są blokowane przez zaporę sieciową.
Aby uzyskać szczegółowe instrukcje dotyczące konfigurowania reguł zapory sieciowej w QuWAN Orchestrator, zobacz sekcję Zapora sieciowa i mapowanie ruchu w Pomocy internetowej QuWAN i QuWAN Orchestrator.
Aby zmodyfikować porty usług, wykonaj następujące czynności:
- Dla QuWAN vRouter zaloguj się do QuWAN Orchestrator, wybierz swoją organizację i urządzenie, a następnie przejdź do Zarządzanie usługami. Aby uzyskać szczegóły, zobacz sekcję Zarządzanie usługami w Pomocy internetowej QuWAN i QuWAN Orchestrator.
- Dla routerów QNAP zaloguj się do QuRouter i przejdź do Zarządzanie portami usług. Aby uzyskać szczegóły, zobacz sekcję Zarządzanie portami usług w Pomocy internetowej QuRouter dla routerów QHora lub Pomocy internetowej QuRouter dla routerów QHora.
Dalsza lektura
Ostatnio edytowane: