Меню

Cisco настройка nat acl



Как настроить на Cisco NAT

Как настроить на Cisco NAT

Всем привет сегодня мы поговорит как настроить на Cisco NAT. Что такое NAT и для чего он вообще нужен, так как этот функционал давно и плотно вошел в нашу повседневную жизнь и сейчас очень сложно себе представить, хотя бы одно предприятие, в котором бы не использовалась данная технология. В свое время она спасла интернет и сильно отсрочила, переход с ipv4 на ipv6, но обо всем по порядку.

Что такое NAT

NAT ( Network Address Translation ) это механизм преобразование сетевых адресов, если по простому, то это технология которая позволяет за одним белым ip сидеть куче частных или серых ip. Примером моет быть офисный интернет, где все пользователи сидят через общий шлюз, на котором настроен ip адрес выходящий в интернет, что у пользователей настроены локальные ip адреса.

Выглядит это приблизительно вот так

Виды NAT

  • Статический NAT — преобразование серого ip в белый, пример проброс порта в локальную сеть, например RDP
  • Динамический NAT — преобразование серого ip в один из ip адресов группы белых ip адресов
  • Перегруженный NAT или как его называют еще PAT (port Adress translation), преобразование нескольких серых ip в белый, давая им разные порты.

Сегодня мы рассмотрим статических NAT и PAT.

Настройка NAT Cisco

Вот как выглядит схема маленького офиса. У нас есть 3 компьютера в vlan 2, есть сервер в отдельном vlan 3. Все это добро подключено в коммутатор второго уровня cisco 2660, который в свою очередь воткнут в роутер Cisco 1841, который маршрутизирует локальный трафик между vlan 2 и 3.

Настройка Cisco 2960

Создадим vlan 2 и vlan3, зададим им имена и настроим нужные порты на эти vlan.

теперь настроим fa 0/5 как trunk порт

Далее настраиваем уже роутер Cisco 1841.

Настройка Cisco 1841

Первым делом создадим sub интерфейсы и поднимем порт.

int fa0/0.2
encapsulation dot1Q 2
ip address 192.168.2.251 255.255.255.0
no shutdown
exit

int fa0/0.3
encapsulation dot1Q 3
ip address 192.168.3.251 255.255.255.0
no shutdown
exit

В итоге порт загорелся зеленым

Настройка PAT

В моей виртуальной инфраструктуре к сожалению нашу схему нельзя выпустить в интернет, мы его сэмулируем, у нас будет роутер с белым ip адресом и сервер тоже с белым ip адресом. Схематично это выглядит вот так. На роутере провайдера на определенном порту присвоен белый ip адрес 213.235.1.1 и маска сети 255.255.255.252

Настроим на нашем тестовом провайдерском роутере этот ip.

настройка белого ip

настроим порт fa0/1 который смотрим на сервер, и зададим ему другой белый ip 213.235.1.25 255.255.255.252

подняли порты у провайдера

Сервер у меня будут иметь ip адрес 213.235.1.26 и шлюзом будет 213.235.1.25, интерфейс роутера провайдера смотрящего на сервер.

Теперь произведем настройку нашего локального роутера Router0, настроим на нем выделенный нам провайдером белый ip адрес 213.235.1.2 255.255.255.252, шлюзом будет 213.235.1.1

Пробуем пропинговать с офисного роутера ip адреса провайдера и сервера, и видим что все отлично работает.

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 213.235.1.1, timeout is 2 seconds:

Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 213.235.1.1, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/1 ms

Type escape sequence to abort.

Читайте также:  Настройка сканера в debian

Sending 5, 100-byte ICMP Echos to 213.235.1.2, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 0/9/17 ms

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 213.235.1.25, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/0 ms

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 213.235.1.26, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/0 ms

Ну и само натирование. На локальном роутере выполняем следующее. Теперь нам нужно задать какой интерфейс nat будет считать внешним, а какой внутренним, тут все просто внешним будет то где настроен белый ip адрес провайдера, внутренним то что соединен с коммутатором второго уровня. fa0/1 будет внешним, а два sub интерфейса внутренними.

Настройка Access List

Access List список, какой трафик нужно натировать, а какой должен работать без NAT.

Создаем список доступа по имени NAT

0.0.0.255 это Wildcard bits

как видим, у нас в конфиге появился список доступа и помечены порты какие outside, а какие inside.

И вводим еще одну волшебную команду, где говорит что трафик пришедший на fa0/1 нужно натить по правилу NAT. В итоге мы настроили PAT.

Сохраняем все do wr mem

проверим с компьютера локальной сети доступность внешних ресурсов. Посмотрим текущие конфигурации командой ipconfig, видим ip адрес 192.168.2.1, пропингуем 213.235.1.26, как видите все ок и NAT cisco работает.

Посмотреть пакеты натирования можно командой

Видно что пакеты ping с локального серого ip по портам 12,13,14,15 были отправлены с внешнего белого ip, по тем же портам.

Вот так вот настраивается PAT (Port Address Translation)

Источник

Как использовать NAT на Cisco

Read the article USING NAT ON CISCO ROUTER in English

Самое сложное в деле с NAT — понять как это использовать в реальной жизни. Уже исписаны тонны бумаги, а в Интернете выложены гигабайты информации, однако вопрос по-прежнему актуален. А ведь 95% всех потребностей у абсолютного большинства людей сводится к двум типам подключений.

1) PAT (Port Address Translation)

Множество внутренних адресов при подключении к внешней сети транслируются в какой-то один ip адрес. При обработке пакета маршрутизатор или Cisco ASA запоминает соотношение настоящего внутреннего адреса и порта источника TCP соединения, что дает возможность корректно производить обратную трансляцию и пересылать ответные пакеты.
Такой тип NAT используется, когда нужно разрешить доступ изнутри сети ко внешним ресурсам .

2) Static NAT

Трансляция адреса один-в-один. Определенному внешнему адресу сопоставляется какой-то внутренний. Такой тип трансляции используется, когда нужен доступ извне к какому-то серверу внутри локальной сети или в ДМЗ.

Резюме:

Если нужен доступ из внутренней сети во внешнюю, то вероятнее всего нужно настроить PAT
Если нужен доступ извне на какой-то внутренний ресурс, то нужно настроить статический NAT.

Примеры настройки NAT для показанных выше случаев

Cisco ASA (IOS до 8.3)

PAT
global ( outside ) 1 interface
nat ( inside ) 1 192.168.10.0 255.255.255.0
Static NAT
static ( dmz,outside ) interface 10.0.0.20 netmask 255.255.255.255

Важно!
Словом interface здесь обозначается собственный адрес внешнего интерфейса устройства (1.1.1.1). Если производится трансляция в другой адрес из сети внешнего интерфейса, то он указывается явно.

Cisco ASA (IOS после 8.3)

PAT
object-group network NET_LAN
network-object 192.168.10.0 255.255.255.0
nat ( inside,outside ) source dynamic NET_LAN interface
Static NAT
object network NAT_OUTSIDE_1.1.1.1
host 10.0.0.20
nat ( dmz,outside ) static interface

Читайте также:  Kyocera 1135 настройка сканирования в папку kyocera

Важно!
Более подробное описание настроек для настройки Static NAT также именуемой как «проброс портов» приведены в статье Cisco ASA. «Проброс портов» или static NAT.

Cisco IOS router

PAT
interface Ethernet X
ip address 192.168.10.1 255.255.255.0
ip nat inside
interface Ethernet Y
ip address 1.1.1.1 255.255.255.252
ip nat outside

ip nat pool POOL_PAT 1.1.1.1 1.1.1.1 //Здесь нет опечаток. Дважды указывается один и тот же адрес.
ip access-list standard ACL_PAT
permit ip 192.168.10.0 0.0.0.255
ip nat inside source list ACL_PAT pool POOL_PAT overload

Static NAT
interface Ethernet Z
ip address 10.0.0.1 255.255.255.0
ip nat inside
interface Ethernet Y
ip address 1.1.1.1 255.255.255.252
ip nat outside

ip nat inside source static 10.0.0.20 interface Ethernet Y

Важно!
В статье намеренно приведены самые простейшие примеры настройки трансляции.
Более сложные примеры описаны в статьях о базовой настройке маршрутизаторов Cisco и Cisco ASA.

Важно!
В указанных примерах меняется собственный адрес источника. Если в процессе работы на маршрутизаторе Cisco необходимо транслировать адрес назначения — пускать траффик на вымышленный адрес, чтобы попасть на некий настоящий, то прочитайте статью ip nat outside.

Источник

Практика настройки NAT на оборудовании Cisco.

Чего от нас требует реальность?
1. Сеть управления не имеет доступа в интернет вообще
2. Хосты из сети ПТО имеют доступ только к профильным сайтам, например, Linkmeup.ru
3. Милым дамам из бухгалтерии нужно вырубить окно в мир клиент-банков.
4. ФЭО не выпускать никуда, за исключением финансового директора
5. В сети Other наш компьютер и компьютер админа — им дадим полный доступ в интернет. Всем остальным можно открывать по письменному запросу.
6. Не забудем про филиалы в Питере и в Кемерово. Для простоты настроим полный доступ для эникиев из этих подсетей.
7. С серверами отдельная песня. Для них мы настроим перенаправление портов. Всё, что нам нужно:
->а. WEB-сервер должен быть доступен по 80-му порту
->б. Почтовый сервер по 25-му и 110-му
->в. Файловый сервер доступен из мира по FTP.
8. Компьютеры админа и наш должны быть доступны из Интернета по RDP. Вообще-то это неправильный путь — для удалённого подключения нужно использовать VPN-подключение и уже будучи в локальной сети использовать RDP, но это тема отдельной совсем другой статьи.

Сначала подготовим тестовую площадку:

Подключение к Интернету будет организовано через существующий линк, который предоставляет провайдер.
Он уходит в сеть провайдера. Напоминаем, что всё в этом облаке — это абстрактная сеть, которая на деле может состоять из десятков маршрутизаторов и сотен коммутаторов. Но нам нужно нечто управляемое и предсказуемое, поэтому водружаем сюда ещё маршрутизатор. С одной стороны в него линк из коммутатора, с другой сервера в Интернете.

Сервера нам понадобятся следующие:
1. Два клиент-банка для бухгалтеров (sperbank.ru, mmm-bank.ru)
2. Linkmeup.ru для ПТОшников
3. яндекс (yandex.ru)

Для такого подключения мы поднимем ещё один влан на msk-arbat-gw1. Его номер, разумеется, согласуется с провайдером. Пусть это будет VLAN 6
Предположим, провайдер предоставляет нам подсеть 198.51.100.0/28. Первые два адреса используются для организации линка (198.51.100.1 и 198.51.100.2), а оставшиеся мы используем, как пул для NAT’a. Впрочем, никто совершенно нам не мешает использовать и адрес 198.51.100.2 для пула. Так и сделаем:
пул: 198.51.100.2-198.51.100.14
Для простоты предположим, что публичные сервера у нас находятся в одной подсети:
192.0.2.0/24.
Как настроить линк и адреса вы вполне уже в курсе.
Поскольку у нас только один маршрутизатор в сети провайдера, и все сети подключены непосредственно к нему, то необходимости настраивать маршрутизацию нету.
А вот наш msk-arbat-gw1 должен знать куда отправлять пакеты в Интернет, поэтому нам нужен маршрут по умолчанию:

Читайте также:  Работа и настройка индикатора rsi

Теперь по порядку
Во первых настроим пул адресов

Теперь собираем ACL:

Теперь пройдемся по практическим задачам, перечисленным в начале статьи.
1. Сеть управления.
Логично, что не имеет выхода в интернет, поэтому пропускаем. Считайте, готово.

2. Хосты из сети ПТО.
Имеют ограниченный доступ в интернеты. Только к нужным профильным сайтам. Укажем IP, в который он резолвится.

3. Бухгалтерия.
Тут просто разрешаем доступ хостам на серваки.

4. ФЭО.
Тут нас интересует только один хост — финансовый директор, назовем его так.

5. Other, компы инженера и администратора.
Полный доступ.

6. Хосты в филиалах.
В нашей практической задаче это компьютеры в сетях Спб и Кемерово.
Для простоты примем, что все адреса наших тамошних эникеев будут вида 172.16.х.222

На данный момент итоговый ACL выглядит так:

Ах да, не забудем настроить интерфейсы.
Скажем на внешнем WAN-интерфейсе ip nat outside, а в локалку (LAN) скажем ip nat inside:

Теперь маршрутизатор будет знать, какому алгоритму обработки подвергать приходящие пакеты.

Для доступа к серверам по их доменным именам (а не только по IP) надо бы запилить в нашей уютной сеточке DNS-сервер.
В песочнице пакет трейсара это будет выглядеть так:


Пропишем адрес DNS на тех хостах, с которым будет осуществляться проверка.

Примечание! Да, мы вот так между делом коснулись DNS-сервера, но обязательно к нему вернемся, т.к. тема эта важная!

Проверяем тем временем доступ с ПК админа:

ПТОшникам доступен только сайт и то исключительно по вебу, на 80-ый порт.


Из сети ФЭО в интернеты ходит только директор (IP 4.123):


Компьютерам бухгалтерии доступны только сайты клиентских банков. Но пермиты даны на IP в целом, поэтому доступны, например, еще и пинги.

7. Cервера.
Из самого очевидного здесь нужно настроить проброс портов для обращения к ним извне.

а) Веб-сервер.

Осуществим проверку с тестового ПК 192.0.2.7, только сразу ничего не заработает, т.к. на msk-arbat-gw1 у нас не настроен соответствующий интерфейс:

Проверяем доступность.

б) Файловый сервер.
По сути FTP? Значит так:

Помните как мы в ACL Servers-out открывали 20 и 21 порт? Вот ради этого момента.

в) Почтовый сервер.

8. Доступ по RDP к компьютерам админа и нашему.
Вот так:

Примечание по безопасности! Скорее всего ваше натирующее устройство будет смотреть портом с настройкой ip nat outside наружу в Интернеты. Логично, что на данный интерфейс требуется накидать ACL с запретами и разрешениями. Сейчас уж не будем на этом останавливаться, но для вашей же безопасности это следует сделать.

Создаем маршрут по-умолчанию.

АЦЛкой фильтруем трафик из сети 192.168.2.0/24

Теперь нужно создать карту маршрутов (route map). В ней укажем, что пакетам из сети 192.168.2.0/24 следует назначать в качестве next hop 10.0.2.1 (вместо 10.0.1.1).

Вешаем карту на интерфейс:

Это простейший пример применения PBR. Позже постараюсь раскрыть это шире.

И коротко затронем rate-limit. К примеру, ограничим скорость для сети 192.168.1.0/24 до 1.5 Мб/с, а для 192.168.2.0/24 до 64 кб/с.
Для этого на 10.0.1.1 нужно прописать следующее:
скачать dle 12.0

Источник

Adblock
detector