5. Настройка доступа в Интернет

от

# 5. Настройка доступа в Интернет

Вариант реализации:

rtr-cod (ecorouter):

Настройка dynamic PAT:
  • Определяемся с внутренними (inside) и внешними (outside) интерфейсами с точки зрения технологии NAT:
  • интерфейс isp — внешний (outside);
  • интерфейс fw-cod — внутренний (inside)

isp — внешний интерфейс (outside), подключение к провайдеру ISP

  • Назначаем интерфейс isp как ip nat outside:
rtr-cod(config)#interface isp 

rtr-cod(config-if)#ip nat outside 

rtr-cod(config-if)#exit

rtr-cod(config)#

fw-cod — внутренний интерфейс (inside), подключение к fw-cod

  • Назначаем интерфейс fw-cod как ip nat inside:
rtr-cod(config)#interface fw-cod 

rtr-cod(config-if)#ip nat inside 

rtr-cod(config-if)#exit

rtr-cod(config)#
  • Создаём nat pool, чтобы указать диапазоны IP-адресов, который в дальнейшем будут попадать под правила трансляции:
  • необходимо не только указать диапазон IP-адресов из сети между rtr-codи fw-cod
  • но и диапазоны IP-адресов из сетей:
    • 192.168.10.0/24 — vlan100
    • 192.168.30.0/24 — vlan300
    • 192.168.40.0/24 — vlan400
    • 192.168.50.0/24 — vlan500
  • т.к. в дальнейшем будет реализована маршрутизация между rtr-codи fw-cod
  • диапазон 192.168.20.0/24 — vlan200 указывать не надо, т.к. по условиям задания
    • «Для «cod» трафик VLAN — DATA не должен маршрутизироваться«
rtr-cod(config)#ip nat pool fw-cod 172.16.1.1-172.16.1.2

rtr-cod(config)#ip nat pool vlan100 192.168.10.1-192.168.10.254

rtr-cod(config)#ip nat pool vlan300 192.168.30.1-192.168.30.254

rtr-cod(config)#ip nat pool vlan400 192.168.40.1-192.168.40.254

rtr-cod(config)#ip nat pool vlan500 192.168.50.1-192.168.50.254

rtr-cod(config)#
  • Создать правило трансляции адресов для каждого созданного nat pool, через интерфейс, который с точки зрения NAT outside:
rtr-cod(config)#ip nat source dynamic inside pool fw-cod overload interface isp 

rtr-cod(config)#ip nat source dynamic inside pool vlan100 overload interface isp

rtr-cod(config)#ip nat source dynamic inside pool vlan300 overload interface isp 

rtr-cod(config)#ip nat source dynamic inside pool vlan400 overload interface isp 

rtr-cod(config)#ip nat source dynamic inside pool vlan500 overload interface isp 

rtr-cod(config)#write memory

Building configuration...



rtr-cod(config)#
  • Проверить доступ в сеть Интернет с виртуальной машины fw-cod используя консоль:

    • временно назначаем адрес шлюза по умолчанию, используя команду ip route add:
ip route add 0.0.0.0/0 via 172.16.1.1
  • Проверяем доступ в сеть Интернет:

  • На rtr-cod проверяем таблицу трансляции адресов командой show ip nat translations из режима администрирования (enable):

  • Так же на данном этапе стоит добавить статические маршруты в локальные сети COD-а:
  • динамическую маршрутизацию, например OSPF между rtr-cod и fw-cod по условиям задания реализовать нельзя, т.к.
  • на rtr-cod в дальнейшем для обеспечения динамической маршрутизации между офисом «a» и «cod»
    • «Все интерфейсы, кроме туннельных, должны быть переведены в пассивный режим«
  • так же не стоит добавлять маршрут в сеть 192.168.20.0/24 (vlan200), т.к.
    • «Для «cod» трафик VLAN — DATA не должен маршрутизироваться«
rtr-cod(config)#ip route 192.168.10.0/24 172.16.1.2

rtr-cod(config)#ip route 192.168.30.0/24 172.16.1.2

rtr-cod(config)#ip route 192.168.40.0/24 172.16.1.2

rtr-cod(config)#ip route 192.168.50.0/24 172.16.1.2

rtr-cod(config)#
  • Проверить таблицу маршрутизации можно командой show ip route из режима администрирования (enable):

rtr-a (ecorouter):

Настройка dynamic PAT:
  • Реализация аналогично rtr-cod, за исключением:
  • интерфейсы с точки зрения NAT должны быть:

    • nat pool должны быть:

    • созданные правила трансляции:

  • Доступ в сеть Интернет можно проверить с виртуальной машины sw1-a используя команды временного назначения IP-адресов и шлюза:

    • назначив средствами iproute2 временно на интерфейс,смотрящий в сторону rtr-a (ens19),
  • создав тегированный подинтерфейс с IP-адресом из подсети для vlan300
ip link add link ens19 name ens19.300 type vlan id 300

ip link set dev ens19.300 up

ip addr add 172.20.30.1/24 dev ens19.300

ip route add 0.0.0.0/0 via 172.20.30.254
  • Доступ в сеть Интернет с sw1-a:

  • На rtr-a проверяем таблицу трансляции адресовкомандой show ip nat translations из режима администрирования (enable):

Последнее изменение: четверг, 13 ноября 2025, 13:32