Требуемые условия завершения
Задача:
7. Настройка динамической трансляции адресов
- Настройте динамическую трансляцию адресов для обоих офисов.
- Заблокируйте доступ к Интернету для коммутаторов.
- Остальные устройства должны иметь доступ к Интернету.
Вариант реализации:
HQ-RTR:
на базе EcoRouter
- С точки зрения EcoRouter - реализуем конфигурацию static source PAT:
- интерсейс в сторону ISP с именем WAN - назначаем как nat outside:
configure terminal
interface WAN
ip nat outside
exit-
- интерфейсы 10 и 20 - который выступают в роли подинтерфейсов для vlan10 и vlan20 - назначаем как nat inside:
interface 10
ip nat inside
exit
interface 20
ip nat inside
exit-
- создаём пула адресов с именем HQ-LOCAL для входящего трафика - указываем диапазон адресов из vlan10 и vlan20:
- vlan99 - не указываем, по заданию коммутаторы не должны иметь доступ в сеть Интернет;
- создаём пула адресов с именем HQ-LOCAL для входящего трафика - указываем диапазон адресов из vlan10 и vlan20:
ip nat pool HQ-LOCAL 192.168.100.1-192.168.100.30,192.168.101.1-192.168.101.254-
- задаём правила для трансляции адресов:
ip nat source dynamic inside pool HQ-LOCAL overload 4.4.4.4
end
wr memBR-RTR:
на базе vESR
- создаём зону безопасности с именем "public":
- определяем интерфейс который смотрит в сторону ISP в зону безопасности public:
configure
security zone public
description "WAN"
exit
interface gi1/0/2
security-zone public
exit- создаём группу сетевых объектов, в которую поместим диапазон IP-адресов локальной сети в офисе BR:
- vlan99 - не указываем, по заданию коммутаторы не должны иметь доступ в сеть Интернет;
object-group network "BR"
ip address-range 192.168.200.65-192.168.200.78
ip address-range 192.168.200.1-192.168.200.62
exit- настраиваем SourceNAT и создаём набор правил с именем "MASQUERADE", в котором указывам пункт назначения трафика, для которого настроен этот набор правил:
nat source
ruleset "MASQUERADE"
to zone public -
- настраиваем конкретное правило для SourceNAT:
- в котором ссылаемся на ранее созданную группу сетевых объектов с именем "BR" - в качестве адресов источников;
- действие исходного NAT в случае совпадения - Использует IP-адрес исходящего интерфейса (помещённого в зону "public", так как правило создаётся для этой зоны) для подмены (masquerade):
- в котором ссылаемся на ранее созданную группу сетевых объектов с именем "BR" - в качестве адресов источников;
- настраиваем конкретное правило для SourceNAT:
rule 1
description "MASQUERADE"
match source-address BR
action source-nat interface
enable
end
commit
confirm- Проверяем:
DC-RTR:
на базе EcoRouter
- С точки зрения EcoRouter - реализуем конфигурацию static source PAT:
- интерсейс в сторону ISP с именем WAN - назначаем как nat outside:
configure terminal
interface WAN
ip nat outside
exit-
- интерфейс DC - который смотрит в локльную сеть DC - назначаем как nat inside:
interface DC
ip nat inside
exit-
- создаём пула адресов с именем DC-LOCAL для входящего трафика - указываем диапазон адресов локальной сети DC:
- не учитывам в диапазон адрес DC-SW1, по заданию коммутаторы не должны иметь доступ в сеть Интернет;
- создаём пула адресов с именем DC-LOCAL для входящего трафика - указываем диапазон адресов локальной сети DC:
ip nat pool DC-LOCAL 172.30.20.1-172.30.23.252-
- задаём правила для трансляции адресов:
ip nat source dynamic inside pool DC-LOCAL overload 6.6.6.6
end
wr memФункциональная проверка настройки NAT - выполнена на следующем этапе после настройки коммутации
Последнее изменение: воскресенье, 26 мая 2024, 13:32
