Як налаштувати інтернет-центр для організації доступу в Інтернет з включеним NAT, а в корпоративну мережу доступ без NAT (з IP-адресами зі своєї локальної мережі)?

Є підключення до провайдера зі статичною IP-адресою і підключення до корпоративної мережі без доступу в Інтернет (через PPTP-підключення). Як налаштувати інтернет-центр для організації доступу в Інтернет з увімкненим NAT, а в корпоративну мережу доступ без NAT (з IP-адресами зі своєї локальної мережі)?


Нехай в інтернет-центрі налаштоване підключення ISP для виходу в Інтернет.

Також є PPTP-з'єднання для підключення до корпоративної мережі.

Після підключення по PPTP інтернет-центр отримує IP-адресу 192.168.11.2.

За замовчуванням в локальній мережі увімкенний NAT (функція трансляції мережевих адрес) для всіх зовнішніх інтерфейсів. Таким чином всі пакети в напрямку Інтернету будуть йти з інтернет-центру з IP-адресою джерела 192.168.10.133, а в корпоративну мережу - з IP-адресою джерела 192.168.11.2.

в інтерфейсі командного рядка (CLI) пристрої виконайте наступні команди:

no ip nat Home
interface PPTP0 security-level private
no isolate-private

Після виконання даних команд для домашньої мережі повністю буде вимкнений NAT. Щоб увімкнути його тільки для інтерфейсу з доступом в Інтернет, потрібно буде скористатися командою ip static.

У нашому випадку команда може виглядати наступним чином:

ip static Home 192.168.10.133 або ip static 192.168.1.0 255.255.255.0 192.168.10.133

Дана команда працює для зовнішніх інтерфейсів, які використовуються для виходу в Інтернет (в налштуваннях встановлена ​​галочка Використовувати для виходу в Інтернет). Тобто в нашому випадку чинне правило буде спрацьовувати для пакетів, що проходять через інтерфейс ISP.

Для трафіку в корпоративну мережу чинне правило спрацьовувати не буде і пакети будуть йти зі своїми локальними IP-адресами.

Увага! Для коректної роботи маршрутизації через PPTP-тунель на сервері потрібно прописати маршрут, який вказує, що мережа 192.168.1.0/24 знаходиться за IP-адресою 192.168.11.2.

Увага! Наведена в даному прикладі схема буде працювати, якщо на інтерфейсі доступу в Інтернет використовується статична IP-адреса.
Починаючи з версії ОС NDMS v2.09 більш не потрібна наявність статичної IP-адреси на інтерфейсі ISP. Тепер можна використовувати команду ip static для увімкення NAT не тільки між інтерфейсом та IP-адресою, а й між двома інтерфейсами (наприклад: ip static Home ISP). Додаткова інформація наведена ​​в статті: «Синтаксис та опис команди ip static для налаштування трансляції мережевих адрес NAT» 

 

KB-3252

Чи була ця стаття корисною?

16 з 18 вважають статтю корисною

Маєте ще запитання? Надіслати запит

Коментарі

0 коментарів

Будь ласка, увійдіть, щоб залишити коментар.