При использовании NAT иногда возникает необходимость использовать разные NAT pool’ы в зависимости от адреса назначения. Например, пакеты, адресованные в Интернет необходимо транслировать в публичные адреса компании. А пакеты, уходящие через IPSec VTI и адресованные партнерам, имеющим перекрывающееся адресное пространство, надо транслировать в ранее согласованные адреса.
Схема:
И головной офис, и офис партнера используют сеть 10.0.0.0/8 для собственных нужд. У головной компании есть собственные публичные адреса из сети 1.1.1.0/24, в которые будем транслировать пакеты, уходящие с интерфейсов GE0/0 и GE0/1. Для партнера (пакеты, уходящие с интерфейса Tunnel0) головной офис будет транслировать адрес источника в своих пакетах в 192.168.0.0/24. При этом к партнеру мы хотим пускать только пользователей с адресов 10.1.1.0/24, а в интернет 10.2.2.0/24.
Конфигурация на HQ:
1. NAT для пакетов, отправляемых в сторону партнера
ip access-list extended ACL_PARTNER_NAT - создадим ACL, ограничивающий допуск к сети партнера
permit ip 10.1.1.0 0.0.0.255 any
route-map RM_PARTNER_NAT permit 10 - создадим рутмап, обеспечивающий выделение нужных потоков для трансляции к партнеру
match ip address ACL_PARTNER_NAT
match ip address ACL_PARTNER_NAT
match interface Tunnel0
ip nat pool PARTNER_NAT_POOL 192.168.0.1 192.168.0.254 netmask 255.255.255.0 type rotary - объявляем партнерский NAT POOL
ip nat inside source route-map RM_PARTNER_NAT pool PARTNER_NAT_POOL overload - настраиваем трансляцию
2. NAT для пакетов, отправляемых в Интернет
ip access-list extended ACL_INTERNET_NAT - создадим ACL, ограничивающий допуск к Интернету
permit ip 10.2.2.0 0.0.0.255 any
route-map RM_INETRNET_NAT permit 10 - создадим рутмап, обеспечивающий выделение нужных потоков для трансляции в Интернет
match ip address ACL_INTERNET_NAT
match ip address ACL_INTERNET_NAT
match interface GE0/0
route-map RM_INETRNET_NAT permit 20 - и по второму интерфейсу тоже
match ip address ACL_INTERNET_NAT
match ip address ACL_INTERNET_NAT
match interface GE0/2
ip nat pool INTERNET_NAT_POOL 1.1.1.1 1.1.1.254 netmask 255.255.255.0 type rotary - объявляем NAT POOL для Интернета
3. Не забываем указать на интерфейсах их роль в NAT-трансляциях
interface GigabitEthernet0/0
ip nat outside
interface GigabitEthernet0/1
ip nat outside
interface Tunnel0
ip nat outside
interface GigabitEthernet1/0
ip nat insideЗ.Ы. Не заработала конфигурация static route-map NAT + обычный динамический PAT. Если транслируемый адрес подпадал под оба правила, то для трансляции всегда выбирался динамический PAT.
Комментариев нет:
Отправить комментарий
Примечание. Отправлять комментарии могут только участники этого блога.