...
- предоставить доступ в Интернет хостам, находящимся в локальной сети;
- клиентская подсеть: 192.0.2.0/24;
публичный IP адрес –
IP VIP адрес на интерфейсе.
Рисунок 5 — Схема реализации Source NAT
...
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname ESR-1 unit 1
hostname ESR-2 unit 2
security zone SYNC
exit
security zone LAN
exit
security zone WAN
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp
enable
exit
interface gigabitethernet 1/0/2
security-zone LAN
ip address 192.0.2.254/24
vrrp id 23
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
security-zone LAN
ip address 192.0.2.253/24
vrrp id 23
vrrp ip 192.0.2.1/24
vrrp group 1
vrrp authentication key ascii-text encrypted 88B11079B51D
vrrp authentication algorithm md5
vrrp
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Сконфигурируем необходимые сетевые интерфейсы c принадлежностью для подключения к провайдеру с указанием их принадлежности к зоне безопасности:
| Блок кода |
|---|
|
ESR-1(config)# interface gigabitethernet 1/0/1
ESR-1(config-if-gi)# security-zone WAN
ESR-1(config-if-gi)# ip address 203192.0.1133.2541/24
ESR-1(config-if-gi)# security-zone WANvrrp id 2
ESR-1(config-if-gi)# exitvrrp ip 203.0.113.252/24
ESR-1(config-if-gi)# interfacevrrp gigabitethernetgroup 2/0/1
ESR-1(config-if-gi)# ip address 203.0.113.253/24 vrrp authentication key ascii-text encrypted 88B11079B51D
ESR-1(config-if-gi)# security-zone WAN vrrp authentication algorithm md5
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit |
Создадим список IP-адресов, которые будут иметь возможность выхода в Интернет:
| Блок кода |
|---|
|
ESR-1(config)# interface gigabitethernet 2/0/1
ESR-1(config-if-gi)# objectsecurity-group network INTERNET_USERSzone WAN
ESR-1(config-objectif-group-networkgi)# ip address-range 192.0.2.10-192.0.2.1003.2/24
ESR-1(config-objectif-group-networkgi)# exit |
Добавим правило, где включена проверка адреса источника данных на принадлежность к диапазону адресов INTERNET_USERS, для соблюдения ограничения на выход в публичную сеть:
| Блок кода |
|---|
|
ESR-1(config)# security zone-pair LAN WAN vrrp id 2
ESR-1(config-securityif-zone-pairgi)# rule 1vrrp ip 203.0.113.252/24
ESR-1(config-security-zone-pair-ruleif-gi)# actionvrrp permitgroup 1
ESR-1(config-security-zone-pair-ruleif-gi)# vrrp authentication matchkey sourceascii-addresstext object-group INTERNET_USERSencrypted 88B11079B51D
ESR-1(config-security-zone-pair-ruleif-gi)# vrrp authentication enablealgorithm md5
ESR-1(config-security-zone-pair-ruleif-gi)# exitvrrp
ESR-1(config-securityif-zone-pairgi)# exit
|
Создадим набор правил SNAT. В атрибутах набора укажем, что правила применяются только для пакетов, направляющихся в зону WAN. Правила включают проверку адреса источника данных на принадлежность к пулу INTERNET_USERS и задают трансляцию в IP-адрес интерфейсасписок IP-адресов, которые будут иметь возможность выхода в Интернет:
| Блок кода |
|---|
|
ESR-1(config)# natobject-group sourcenetwork INTERNET_USERS
ESR-1(config-object-group-snatnetwork)# ruleset SNAT_WANip address-range 192.0.2.2-192.0.2.252
ESR-1(config-object-group-network)# exit |
Добавим правило, где включена проверка адреса источника данных на принадлежность к диапазону адресов INTERNET_USERS, для соблюдения ограничения на выход в публичную сеть:
| Блок кода |
|---|
|
ESR-1(configsnat-ruleset)# tosecurity zone-pair LAN WAN
ESR-1(config-security-snatzone-rulesetpair)# rule 1
ESR-1(config-snatsecurity-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match source-address object-group INTERNET_USERS
ESR-1(config-snatsecurity-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# action source-exit
ESR-1(config-security-zone-pair)# exit |
Создадим пул исходных NAT адресов, где укажем VIP IP адрес на WAN интерфейсе:
| Блок кода |
|---|
|
ESR-1(config)# nat sourcenat interface
ESR-1(config-snat-rule)# enablepool TRANSLATE_ADDRESS
ESR-1(config-snat-rulepool)# exitip address-range 203.0.113.252
ESR-1(config-snat-rulesetpool)# exit |
Создадим набор правил SNAT. В атрибутах набора укажем, что правила применяются только для пакетов, направляющихся в зону WAN. Правила включают проверку адреса источника данных на принадлежность к пулу INTERNET_USERS и задают трансляцию в IP-адрес интерфейса:
| Блок кода |
|---|
|
ESR-1(config)# nat source
ESR-1(config-snat)# ruleset SNAT
ESR-1(config-snat-ruleset)# to zone WAN
ESR-1(config-snat-ruleset)# rule 1
ESR-1(config-snat-rule)# match source-address object-group INTERNET_USERS
ESR-1(config-snat-rule)# action source-nat pool TRANSLATE_ADDRESS
ESR-1(config-snat-rule)# enable
ESR-1(config-snat-rule)# exit
ESR-1(config-snat-ruleset)# exit
ESR-1(config-snat)# exit |
Посмотреть таблицу трансляций NAT трансляций можно с помощью команды:
| Блок кода |
|---|
|
ESR-1# show ip nat translations
Prot Inside source Inside destination Outside source Outside destination Pkts Bytes
---- --------------------- --------------------- --------------------- --------------------- ---------- ----------
icmp 192.0.2.12 203.0.113.1 203.0.113.252 203.0.113.1 -- -- |
Настройка Destination NAT
...
