Сравнение версий

Старая версия 55

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия 56

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Блок кода
titleESR-1
ESR-1(config)# snmp-server enable traps config
ESR-1(config)# snmp-server enable traps config commit
ESR-1(config)# snmp-server enable traps config confirm

Настройка Source NAT

Функция Source NAT (SNAT) используется для подмены адреса источника у представляет собой механизм, осуществляющий замену исходного IP-адреса в заголовках IP-пакетов, проходящих через сетевой шлюз. При прохождении пакетов передаче трафика из внутренней (локальной) сети в внешнюю (публичную) сеть исходный адрес источника заменяется на один из назначенных публичных IP-адресов шлюза. Дополнительно к адресу источника может применяться замена порта источника (NATP). При прохождении В ряде случаев осуществляется дополнительное преобразование исходного порта (NATP – Network Address and Port Translation), что обеспечивает корректное направление обратного трафика. При поступлении пакетов из публичной сети в локальную происходит обратная подмена процедура – восстановление оригинальных значений IP-адреса и порта для обеспечения корректной маршрутизации внутри внутренней сети.

С алгоритмом настройки можно ознакомиться по ссылке в разделе: Алгоритм настройки Source NAT.

...

Блок кода
titleESR-1
ESR-1(config)# object-group network INTERNET_USERS
ESR-1(config-object-group-network)# ip address-range 192.0.2.2-192.0.2.252
ESR-1(config-object-group-network)# exit

Добавим правило, где включена проверка адреса источника данных на принадлежность к диапазону адресов , предусматривающее проверку, принадлежит ли адрес источника диапазону INTERNET_USERS, для соблюдения ограничения что обеспечивает соблюдение установленных ограничений на выход в публичную сеть:

...

Создадим пул исходных NAT-адресов, где укажем VIP в который включим виртуальный IP-адрес на WAN интерфейсе(VIP), назначенный WAN-интерфейсу:

Блок кода
titleESR-1
ESR-1(config)# nat source
ESR-1(config-snat)# pool TRANSLATE_ADDRESS
ESR-1(config-snat-pool)# ip address-range 203.0.113.252
ESR-1(config-snat-pool)# exit

Создадим Добавим набор правил SNAT. В атрибутах набора укажем , что правила применяются только применение правил исключительно для пакетов, направляющихся направляемых в зону WAN. Правила включают При этом правила осуществляют проверку адреса источника данных на принадлежность к пулу INTERNET_USERS и задают выполняют трансляцию исходного адреса в VIP IP-адрес  интерфейсаинтерфейса:

Блок кода
titleESR-1
ESR-1(config)# nat source 
ESR-1(config-snat)# ruleset SNAT
ESR-1(config-snat-ruleset)# to zone WAN 
ESR-1(config-snat-ruleset)# rule 1
ESR-1(config-snat-rule)# match source-address object-group INTERNET_USERS
ESR-1(config-snat-rule)# action source-nat pool TRANSLATE_ADDRESS 
ESR-1(config-snat-rule)# enable 
ESR-1(config-snat-rule)# exit
ESR-1(config-snat-ruleset)# exit
ESR-1(config-snat)# exit

...

Просмотр таблицы NAT трансляций

...

осуществляется посредством следующей команды:

Блок кода
titleESR-1
ESR-1# show ip nat translations 
Prot   Inside source           Inside destination      Outside source          Outside destination     Pkts         Bytes        
----   ---------------------   ---------------------   ---------------------   ---------------------   ----------   ----------   
icmp   192.0.2.12              203.0.113.1             203.0.113.252           203.0.113.1             --           --

...