RG24: Настройка динамической трансляции адресов

Задание:

5. Настройка динамической трансляции адресов

a) Настройте динамическую трансляцию адресов для обоих офисов. Доступ к интернету необходимо разрешить со всех устройств.

Выполнение:

Необходимо настройить NAT на маршрутизаторах RTR-HQ и RTR-BR

RTR-HQ:

Создадим зону безопасности:
- public - для интерфейса смотрящего в сеть ISP (gi1/0/1);

security zone public
exit

Добавляем интерфейс в соответствующую зону безопасности:

interface gi1/0/1
security-zone public
exit

Применяем и подтверждаем внесённые изменения:

do commit
do confirm

Проверяем:

Для конфигурирования NAT и настройки правил зон безопасности потребуется создать профиль адресов подсетей, включающий адреса, которым разрешен выход в публичную сеть, и профиль адреса публичной сети «WAN»

Создаём профиль COMPANY для указания подсетей локальной сети офиса HQ:

object-group network COMPANY
ip address-range 10.0.10.1-10.0.10.254
exit

Создаём профиль WAN и указываем внешний IP-адрес (11.11.11.11):

object-group network WAN
ip address-range 11.11.11.11
exit

Конфигурируем сервис NAT. Первым шагом задаётся IP-адрес публичной сети (WAN), используемых для сервиса NAT:

nat sourсe
pool WAN
ip address-range 11.11.11.11
exit

Создаём набор правил SNAT. В атрибутах набора укажем, что правила применяются только для пакетов, направляющихся в публичную сеть – в зону public. Правила включают проверку адреса источника данных на принадлежность к пулу COMPANY:

ruleset SNAT
to zone public
rule 1
match source-address COMPANY
action source-nat pool WAN
enable
exit
exit

Применяем и подтверждаем внесённые изменения:

do commit
do confirm

Проверяем:
- т.к. на данном этапе ещё не настройена коммутация на SW-HQ - проверить работоспособность NAT можно назначив средствами iproute2 временно на интерфейс SW-HQ на интерфейс,смотрящий в сторону RTR-HQ - тегированный подинтерфейс с IP-адресом из подсети для vlan300:

ip link add link ens33 name ens33.300 type vlan id 300
ip link set dev ens33.300 up
ip addr add 10.0.10.66/27 dev ens33.300
ip route add 0.0.0.0/0 via 10.0.10.65

- затем проверяем доступ в сеть Интернет:

- также проверяем таблицу NAT на RTR-HQ:

После чего отправляем в перезугрузку SW-HQ, т.к. всё что было назначено средствами iproute2 не пригодится

RTR-BR:

Аналогично RTR-HQ, результат:

Последнее изменение: среда, 25 декабря 2024, 17:56