https://twistedminds.ru/tags/nat/Recent content in Nat on TwistedmindsHugoenMon, 23 Jul 2012 10:21:38 +0000https://twistedminds.ru/2012/07/cisco-site-to-site-ipsec-vpns/Mon, 23 Jul 2012 10:21:38 +0000https://twistedminds.ru/2012/07/cisco-site-to-site-ipsec-vpns/<p>Наконец-то долгожданная практика ,)</p> <p>[<img src="https://twistedminds.ru/wp-content/uploads/2012/07/vpn_logo_130.jpg" alt="" title="vpn">][1]</p> <p>В этой статье мы рассмотрим два простых случая построения site-to-site VPN на оборудовании Cisco. В первом случае оба устройства имеют белые адреса (static crypto map), а во втором один из маршрутизаторов оказывается за NAT (dynamic crypto map). Ну и в качестве бонуса рассмотрим ситуацию совместного сожительства и static и dynamic crypto map на одном маршрутизаторе.</p> <p>Те, кому лень читать 1000+ слов могут перейти сразу к конфигурациям, располагающимся в самом конце статьи.</p>https://twistedminds.ru/2010/11/cisco-interface-config-nat-pat-port-forwarding/Mon, 08 Nov 2010 08:42:45 +0000https://twistedminds.ru/2010/11/cisco-interface-config-nat-pat-port-forwarding/<p>Имеет место быть следующая топология:<img src="https://twistedminds.ru/wp-content/uploads/2010/11/simple_nat.png" alt="network scheme" title="network scheme"> в кошку вставлен HWIC-4ESW, что по сути представляет из себя 4х портовый l2 свич, который одним портом смотрит в локальную сеть. Интерфейс fa0/0 смотрит в интернет. В режиме глобальной конфигурации включим ускоренную коммутацию пакетов (cef, Cisco Express Forwarding) назначим маски, ip и напишем описание к интерфейсам, а так же пропишем маршрут по умолчанию (next-hop router):</p> <pre tabindex="0"><code class="language-CoreRouter#conf" data-lang="CoreRouter#conf">Enter configuration commands, one per line. End with CNTL/Z. CoreRouter(config)#ip cef CoreRouter(config)#int fa0/0 CoreRouter(config-if)#ip address 1.1.1.1 255.255.255.0 CoreRouter(config-if)#description TO BIG AND SCARY INTERNET CoreRouter(config-if)#int vlan 1 CoreRouter(config-if)#ip address 192.168.0.254 255.255.255.0 CoreRouter(config-if)#description TO NICE AND COOL LAN CoreRouter(config-if)#exit CoreRouter(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2``` Теперь настроим простой NAT, обозначив интерфейсы либо как смотрящие в локальную сеть (ip nat inside), либо как смотрящие в WAN (ip nat outside). _для извращенных случаев, когда необходимо, чтобы один и тот же интерфейс был и inside и outside см. [ip nat enable и NVI](http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtnatvi.html &#34;http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtnatvi.html&#34;)_ Затем создадим пул NAT адресов и ACL (более подробно в части 3) для сетей, которым разрешены NAT трансляции. ```CoreRouter#conf t Enter configuration commands, one per line. End with CNTL/Z. CoreRouter(config)#int fa0/0 CoreRouter(config-if)#ip nat outside CoreRouter(config-if)#int vlan 1 CoreRouter(config-if)#ip nat inside CoreRouter(config-if)#exit ! создадим стандартный ACL, разрешающий подсеть для трансляции нат CoreRouter(config)#access-list 10 permit 192.168.0.0 0.0.0.255 ! создадим пул WAN адресов CoreRouter(config)#ip nat pool WANPOOL 1.1.1.1 1.1.1.1 netmask 255.255.255.0 ! и заставим кошку транслировать адреса из разрешенных в ACL сетей в наш пул CoreRouter(config)# ip nat inside source list 10 pool WANPOOL overload``` Проброс порта делается следующим образом: ```CoreRouter(config)#ip nat inside source static tcp 192.168.0.2 110 1.1.1.1 110 extendable``` а всего адреса (в случае если у вас несколько внешних ip): ```CoreRouter(config)#ip nat inside source static 192.168.0.2 1.1.1.1 extendable``` вот, собственно и все. Статистику по NAT можно посмотреть, подав в enable exec команду **sh ip nat sta**, а активные трансляции – **sh ip nat tra**. </code></pre>