# 2024 Модуль Б: 2. Настройка динамической трансляции адресов #### Задание: 5\. Настройка динамической трансляции адресов * a) Настройте динамическую трансляцию адресов для обоих офисов. Доступ к интернету необходимо разрешить со всех устройств. #### Выполнение: Необходимо настройить **NAT** на маршрутизаторах **RTR-HQ** и **RTR-BR** **RTR-HQ:** * Создадим зону безопасности: * **public** - для интерфейса смотрящего в сеть ISP (**gi1/0/1**); ``` security zone public exit ``` * Добавляем интерфейс в соответствующую зону безопасности: ``` interface gi1/0/1 security-zone public exit ``` * Применяем и подтверждаем внесённые изменения: ``` do commit do confirm ``` * Проверяем: ![](https://sysahelper.ru/pluginfile.php/219/mod_page/content/3/image%20%285%29.png) Для конфигурирования **NAT** и настройки правил зон безопасности потребуется создать профиль адресов подсетей, включающий адреса, которым разрешен выход в публичную сеть, и профиль адреса публичной сети «WAN» * Создаём профиль **COMPANY** для указания подсетей локальной сети офиса **HQ**: ``` object-group network COMPANY ip address-range 10.0.10.1-10.0.10.254 exit ``` * Создаём профиль **WAN** и указываем внешний IP-адрес (11.11.11.11): ``` object-group network WAN ip address-range 11.11.11.11 exit ``` * Конфигурируем сервис **NAT**. Первым шагом задаётся **IP-адрес** публичной сети (**WAN**), используемых для сервиса **NAT**: ``` nat sourсe pool WAN ip address-range 11.11.11.11 exit ``` * Создаём набор правил **SNAT**. В атрибутах набора укажем, что правила применяются только для пакетов, направляющихся в публичную сеть – в зону **public**. Правила включают проверку адреса источника данных на принадлежность к пулу **COMPANY**: ``` ruleset SNAT to zone public rule 1 match source-address COMPANY action source-nat pool WAN enable exit exit ``` * Применяем и подтверждаем внесённые изменения: ``` do commit do confirm ``` * Проверяем: * т.к. на данном этапе ещё не настройена коммутация на **SW-HQ** - проверить работоспособность **NAT** можно назначив средствами **iproute2** временно на интерфейс **SW-HQ** на интерфейс,смотрящий в сторону **RTR-HQ** - тегированный подинтерфейс с IP-адресом из подсети для **vlan300:** ``` ip link add link ens33 name ens33.300 type vlan id 300 ip link set dev ens33.300 up ip addr add 10.0.10.66/27 dev ens33.300 ip route add 0.0.0.0/0 via 10.0.10.65 ``` * * затем проверяем доступ в сеть Интернет: ![](https://sysahelper.ru/pluginfile.php/219/mod_page/content/3/image%20%281%29.png) * * также проверяем таблицу **NAT** на **RTR-HQ**: ![](https://sysahelper.ru/pluginfile.php/219/mod_page/content/3/image%20%286%29.png) *После чего отправляем в перезугрузку SW-HQ, т.к. всё что было назначено средствами iproute2 не пригодится* **RTR-BR:** Аналогично **RTR-HQ,** результат: ![](https://sysahelper.ru/pluginfile.php/219/mod_page/content/3/image%20%287%29.png) ![](https://sysahelper.ru/pluginfile.php/219/mod_page/content/3/image%20%288%29.png) Последнее изменение: понедельник, 5 февраля 2024, 16:05 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://seraphim.gitbook.io/volodyazetkin2024gitbook/2024-modul-b-1.-bazovaya-nastroika/2024-modul-b-2.-nastroika-dinamicheskoi-translyacii-adresov.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.