Настройка NAT APOS
Рассмотрим настройку NAT (через PAT) на шлюзе.
За теоретической частью этого вопроса (для чего это нужно) обращайтесь к документации по шлюзу и другим источникам, описывающим спецификацию NATа.
Предположим у нас есть внешний адрес 62.140.236.4 (и у него шлюз по умолчанию 62.140.236.1) и локальная сеть 192.168.1.0. Нам необходимо настроить шлюз таким образом, чтобы он обеспечивал выход из локальной сети в интернет и одновременно предоставлял возможность звонить в и-нет.
Начнем с комманд глобального режима конфигурирования, которые задают настройки адпака, необходимые для функционирования НАТа:
AP200(config)# no bridge spanning-tree
AP200(config)# proxy-arp
AP200(config)# no ip-share enable
AP200(config)# no arp reset
Для нашей конфигурации НАТ обязательно нужно сделать:
AP200(config)# voice service voip
AP200(config-vservice-voip)# minimize-voip-port multiply 1
AP200(config-vservice-voip)# exit
Продолжаем конфигурирование:
AP200(config)# gateway
AP200(config-gateway)# public-ip 62.140.236.4
AP200(config-vservice-voip)# exit
(Данный адрес адпак будет использовать чтобы сообщить удаленному шлюзу куда слать голос)
Настройки маршрутизатора и статическая маршрутизация:
AP200(config)# ip routing
AP200(config)# router static
AP200(config)# route 0.0.0.0 0.0.0.0 62.140.236.1
AP200(config)# route 10.1.1.0 255.255.255.0 ether1.0
Теперь приступим непосредственно к созданию списка НАТ, который будет задавать параметры НАТа для нашего адпака.
AP200(config)# nat-list 0 pat address 62.140.236.4
AP200(config)# nat-list 0 pat static-entry tcp 1720 local
AP200(config)# nat-list 0 pat static-entry udp 5060 local
AP200(config)# nat-list 0 pat static-entry icmp ping local
AP200(config)# nat-list 0 pat static-entry tcp 80 local
AP200(config)# nat-list 0 pat static-entry udp 22000 local
AP200(config)# nat-list 0 pat static-entry udp 22001 local
AP200(config)# nat-list 0 pat group-static-entry udp 23000 23003 local
AP200(config)# nat-list 0 pat group-static-entry udp 16000 17000 local
AP200(config)# nat-list 0 pat group-static-entry tcp 14000 14001 local
AP200(config)# nat-list 0 pat group-static-entry tcp 10000 10001 local
AP200(config)# nat-list 0 pat static-entry tcp 21 local
AP200(config)# nat-list 0 pat static-entry tcp 20 local
AP200(config)# nat-list 0 pat static-entry tcp 23 local
Порты указываю с такой уверенностью, т.к. сделал minimize-voip-ports.
Также можно добавить транслирование на группу адресов след. образом:
AP200(config)# nat-list 0 pat static-entry ?
| icmp |
Internet Control Message Protocol (ICMP Echo Request) |
| tcp |
Transmission Control Protocol |
| udp |
User Datagram Protocol |
AP200(config)# nat-list 0 pat static-entry tcp 23 ?
| A.B.C.D |
IP address of PAT |
| local |
Local IP address of PAT |
AP200(config)# nat-list 0 pat static-entry tcp 23 192.168.1.1 ?
| A.B.C.D |
IP address of PAT |
| local |
Local IP address of PAT |
AP200(config)# nat-list 0 pat static-entry tcp 23 192.168.1.1 192.168.1.2 ?
| A.B.C.D |
IP address of PAT |
| local |
Local IP address of PAT |
AP200(config)# nat-list 0 pat static-entry tcp 23 192.168.1.1 192.168.1.2 192.168.1.3
т.е. внешний запрос на соединение на ТСР-порт 23 будет транслироваться на внутренние адрес/адреса перечисленные в списке ..но это уже тонкости ковыряния дырок в нате для доступа снаружи внутрь и здесь это рассматриваться не будет.
Теперь осталось применить созданный НАТ на внутренний интерфейс следующим образом:
AP200(config)# interface ether1.0
AP200(config-ether1.0)# ip address 192.168.1.1 255.255.255.0
AP200(config-ether1.0)# ip nat-group 0 pat ether0.0
При этом предполагается, что внешний интерфейс ether0.0 имеет конфигурацию:
interface ether0.0 по умолчанию.
ip address 62.140.236.4 255.255.255.248
Теперь сохраните конфигурацию (write) и пользуйтесь :)
*Комментарий: при этой конфигурации у шлюзов в локальной сети адрес шлюза по умолчанию должен быть адрес 192.168.1.1. Можно соответствующим образом настроить DHCP сервер на интерфейсе ether1.0 и тогда адпак сам будет раздавать нужные адреса и прописывать необходимый шлюз по умолчанию.
|