В данном примере рассмотрим как организовать сетевое взаимодействие
между vlan, а так же контролируемый доступ во внешнюю сеть с помощью ACL и NAT.
Будем использовать данную
топологию:
В конечном итоге у нас должны быть выполнены следующие условия:
1. Хосты из vlan 200 и vlan 400 должны иметь доступ во внешнюю сеть (Internet)
2. У хоста из vlan 300 не должно быть доступа во внешнюю сеть, но он должен пинговать хосты из vlan 200 и vlan 400.
Доступ во внешнюю сеть у нас будет организован
через NAT (Network address translation), ограничение доступа будем
реализовывать с помощью ACL.
Начнем с настроек на коммутаторе SW:
vlan batch 200 300 400
interface GigabitEthernet 0/0/2
port link-type access
port default vlan 200
interface GigabitEthernet 0/0/3
port link-type access
port default vlan 300
interface GigabitEthernet 0/0/4
port link-type access
port default vlan 400
interface GigabitEthernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 200 300 400
Vlan созданы. Если сейчас попробовать
команду ping между хостами, то ничего не получится,
так как они находятся в разных сетях (vlan).
Теперь настроим маршрутизатор ISP:
interface GigabitEthernet 0/0/0 – интерфейс в сторону маршрутизатора AR
ip address 192.168.10.2 24
interface LoopBack 0 – имитации внешней сети
ip address 172.16.1.1 32
И осталось настроить маршрутизатор AR:
interface GigabitEthernet 0/0/0 – интерфейс в сторону внешней сети
ip address 192.168.10.1 24
interface GigabitEthernet 0/0/1.200 – настраиваем сабинтерфейс для каждого vlan
vlan-type dot1q 200 – прописываем режим инкапсуляции
ip address 192.168.2.1 24 – назначаем IP-адрес, который будет являться шлюзом по умолчанию для соответствующего vlan
interface GigabitEthernet 0/0/1.300
vlan-type dot1q 300
ip address 192.168.3.1 24
interface GigabitEthernet 0/0/1.400
vlan-type dot1q 400
ip address 192.168.4.1 24
ip route-static 0.0.0.0 0.0.0.0 192.168.10.2 – прописываем маршрут по умолчанию
На этом настройка Inter-vlan Routing окончена. Теперь с маршрутизатора AR проверим доступность всех устройств:
[AR] ping 192.168.10.2 – до маршрутизатора ISP
PING 192.168.10.2: 56 data bytes, press CTRL_C to break
Reply from 192.168.10.2: bytes=56 Sequence=1 ttl=255 time=70 ms
Reply from 192.168.10.2: bytes=56 Sequence=2 ttl=255 time=40 ms
Reply from 192.168.10.2: bytes=56 Sequence=3 ttl=255 time=60 ms
Reply from 192.168.10.2: bytes=56 Sequence=4 ttl=255 time=10 ms
Reply from 192.168.10.2: bytes=56 Sequence=5 ttl=255 time=40 ms
--- 192.168.10.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 10/44/70 ms
[AR] ping 172.16.1.1 – внешняя сеть
PING 172.16.1.1: 56 data bytes, press CTRL_C to break
Reply from 172.16.1.1: bytes=56 Sequence=1 ttl=255 time=60 ms
Reply from 172.16.1.1: bytes=56 Sequence=2 ttl=255 time=60 ms
Reply from 172.16.1.1: bytes=56 Sequence=3 ttl=255 time=30 ms
Reply from 172.16.1.1: bytes=56 Sequence=4 ttl=255 time=30 ms
Reply from 172.16.1.1: bytes=56 Sequence=5 ttl=255 time=30 ms
--- 172.16.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 30/42/60 ms
[AR] ping 192.168.2.10 – хост 1 (vlan 200)
PING 192.168.2.10: 56 data bytes, press CTRL_C to break
Reply from 192.168.2.10: bytes=56 Sequence=1 ttl=128 time=120 ms
Reply from 192.168.2.10: bytes=56 Sequence=2 ttl=128 time=40 ms
Reply from 192.168.2.10: bytes=56 Sequence=3 ttl=128 time=70 ms
Reply from 192.168.2.10: bytes=56 Sequence=4 ttl=128 time=70 ms
Reply from 192.168.2.10: bytes=56 Sequence=5 ttl=128 time=60 ms
--- 192.168.2.10 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 40/72/120 ms
[AR] ping 192.168.3.10 – хост 2 (vlan 300)
PING 192.168.3.10: 56 data bytes, press CTRL_C to break
Reply from 192.168.3.10: bytes=56 Sequence=1 ttl=128 time=120 ms
Reply from 192.168.3.10: bytes=56 Sequence=2 ttl=128 time=100 ms
Reply from 192.168.3.10: bytes=56 Sequence=3 ttl=128 time=50 ms
Reply from 192.168.3.10: bytes=56 Sequence=4 ttl=128 time=60 ms
Reply from 192.168.3.10: bytes=56 Sequence=5 ttl=128 time=30 ms
--- 192.168.3.10 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 30/72/120 ms
[AR] ping 192.168.4.10 – хост 3 (vlan 400)
PING 192.168.4.10: 56 data bytes, press CTRL_C to break
Reply from 192.168.4.10: bytes=56 Sequence=1 ttl=128 time=120 ms
Reply from 192.168.4.10: bytes=56 Sequence=2 ttl=128 time=60 ms
Reply from 192.168.4.10: bytes=56 Sequence=3 ttl=128 time=70 ms
Reply from 192.168.4.10: bytes=56 Sequence=4 ttl=128 time=80 ms
Reply from 192.168.4.10: bytes=56 Sequence=5 ttl=128 time=30 ms
--- 192.168.4.10 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 30/72/120 ms
Сетевая доступность присутствует. Также
хосты из разных vlan тоже пингуют друг друга, но пока у них нет доступа во внешнюю сеть.
Для устранения данной проблемы нам необходимо
настроить NAT на маршрутизаторе AR.
На оборудовании Huawei можно настроить NAT трех видов:
1. Статический NAT (вручную прописываем соответствие внутреннего адреса внешнему адресу в формате один к одному).
2. Динамический NAT (задается определенный пул адресов и при трансляции автоматически производится соответствие внутренних адресов, свободным адресам из пула).
3. Easy IP, он же PAT (Port address translation). Трансляция внутренних адресов в один внешний адрес, но в разные порты.
К сожалению, eNSP не полностью поддерживает NAT, хоть и позволяет ввести команды для настройки NAT. После применения настроек, у внутренних хостов не будет доступа во внешнюю сеть. Но в любом случае конфигурация рабочая и ее можно использовать на реальном оборудовании.
Рассмотрим настройку всех трех вариантов:
1. Статический NAT.
Возвращаемся на маршрутизатор AR и даем следующую команду:
nat static global 192.168.10.5 inside 192.168.2.10 - прописываем соответствие одного внутреннего IP-адреса одному внешнему.
Для проверки конфигурации можно воспользоваться командой display nat static:
[AR] display nat static
Static Nat Information:
Global Nat Static
Global IP/Port : 192.168.10.5/----
Inside IP/Port : 192.168.2.10/----
Protocol : ----
VPN instance-name : ----
Acl number : ----
Netmask : 255.255.255.255
Description : ----
Total : 1
2. Динамичский NAT.
Для динамического NAT нам также понадобится настроить ACL (Access Control List).
nat address-group 1 192.168.10.10 192.168.10.20 – задаем пул внешних IP адресов
acl 2000 – задаем список доступа (ACL) для определения тех сетей, которые будут попадать под NAT
rule 5 permit source 192.168.2.0 0.0.0.255 – задаем сеть для NAT
rule 10 permit source 192.168.4.0 0.0.0.255
interface GigabitEthernet 0/0/0
nat outbound 2000 address-group 1 no-pat – привязываем наш NAT к внешнему интерфейсу маршрутизатора AR
Для проверки конфигурации используем команды display nat address-group 1 и display nat outbound:
[AR] display nat address-group 1
NAT Address-Group Information:
---------------------------------------------------------
Index Start-address End-address
---------------------------------------------------------
1 192.168.10.10 192.168.10.20
---------------------------------------------------------
Total : 1
[AR] display nat outbound
NAT Outbound Information:
-------------------------------------------------------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
-------------------------------------------------------------------------------------------------------------
GigabitEthernet0/0/0 2000 1 no-pat
-------------------------------------------------------------------------------------------------------------
Total : 1
3. Но самым распространенным видом NAT, который используется практически везде, является Easy IP. Он дает возможность одновременно работать с «внешней сетью» всем заинтересованным хостам.
acl 2000
rule 5 permit source 192.168.2.0 0.0.0.255
rule 10 permit source 192.168.4.0 0.0.0.255
interface GigabitEthernet 0/0/0
nat outbound 2000
Для проверки конфигурации используем команду display nat outbound:
[AR] display nat outbound
NAT Outbound Information:
-------------------------------------------------------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
-------------------------------------------------------------------------------------------------------------
GigabitEthernet0/0/0 2000 192.168.10.1 easyip
-------------------------------------------------------------------------------------------------------------
Total : 1
На этом настройка окончена. Данное решение очень распространено в малых сетях (небольших предприятих, офисах). Схему можно взять за основу для построения реальной сети.
