Шаги настройки NAT на Cisco ISR4331

Posted by

Задача: Нужно настроить NAT для сети VLAN 111 на Dell .

Т.е. я хочу, чтобы адреса из сети VLAN 111 — 172.33.111.254/24 могли выйти в интернет.

Моя схема сети это:

Шлюз (Cisco ISR4331_SEC/K9) через который я выхожу в интернет с белым IPv4 адресом, за ним идет коммутатор Dell EMC Switch S4128T-ON, к нему подключены хосты, хранилище и сервер бекапа.

Ну так вот в предыдущей заметке я показал, как создать виртуальную сеть и назначить ее через Trunk порт на хост с поднятой ролью системы виртуализации Hyper-V и как принять сеть у виртуальной машины. Да сейчас это кажется, что чего тут делать, но, когда давно это не делал или был в команде различных специалистов где каждый занимался только свой областью входишь в ступор, когда именно тебе все настройки нужно сделать самому и надеяться не на кого.

И так в настройки пула на EMC для сети 172.33.111.0/24 указываю, что за преобразование DNS in IP, IP in DNS будет отвечать сервис гугла, т.е.:

srv-wg-emc# configure terminal

srv-wg-emc(config-dhcp)# pool vdi

srv-wg-emc(config-dhcp-vdi)# dns-server 8.8.8.8

Затем на главной Cisco настраиваю правила:

На заметку:

  • interface GigabitEthernet0/0/0 -> это внешний IP адрес с WAN адресом
  • interface GigabitEthernet0/0/1

no ip address

no shutdown

  • interface GigabitEthernet0/0/1.40 -> это интерфейс через который идет связь Cisco и EMC (Switchport mode Trunk)

no shutdown

Чтобы разрешить доступ из сети VLAN 111 нужно обозначить какой интерфейс внешний и внутренний, но тут и так понятно, что внешним будет gi0/0/0:

Router#conf t

Router(config)#interface gigabitEthernet 0/0/0

ip nat outside

exit

а внутренним:

Router(config)#interface GigabitEthernet0/0/1.40

ip nat inside

Включаю NAT:

Router(config)#ip nat inside source list NAT interface GigabitEthernet0/0/0 overload

Указываю, что трафик из VLAN 111 должен идти через интерфейс VLAN 40 назначенного EMC (т.е. 10.40.40.10). Через VLAN 40 объединены EMC & Cisco.

Router(config)#ip route 172.33.111.0 255.255.255.0 10.40.40.10

Теперь правила для NAT:

Router(config)#ip access-list extended NAT

Router (config-ext-nacl)#permit ip 172.33.111.0 0.0.0.255 any

Router (config-ext-nacl)#end

Router#wr mem

Кстати нужно проверить, что на EMC создан дефолтный маршрут на интерфейс Cisco 10.40.40.20 VLAN 40:

Srv-wg-emc#ip route 0.0.0.0/0 10.40.40.20

Проверяю с виртуальной системы: W7X64 что она может выходить в интернет:

Win + R -> cmd.exe

  • Ping ya.ru ответы приходят и потерянных пакетов нет.
  • Ping 8.8.8.8 ответы приходя и потерянных пакетов нет.

Также браузер открывает страницы.

Итого я разобрал тот функционал, посредством которого я могу виртуальным сетям обозначать выход в интернет. Пока на это я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.