Kinzersky.ru

nat

Подписаться на эту метку по RSS

Cisco: тонкая настройка NAT

Просмотров: 11435Комментарии: 5
CiscoМаршрутизация

Если взять слабенький маршрутизатор (моделей 87х-88х) - для малого офиса он очень даже ничего, но вот беда - если какой-нибудь пользователь начнет качать торренты, и количество нат трансляций превысит все разумные пределы, интернет станет работать очень медленно.

Тут на помощь нам придет несколько вариантов.

1 - порезать скорость рейт-лимитом или шейпингом для плохого типа траффика.

2 - оптимизировать NAT, т.к. проблемы начинаются именно из-за него.

Про рейт лимит я уже писал, а сегодня напишу про второй способ.

По дефолту трансляция живет 24 часа, после чего умирает. Но это немного перебор.

Указываем время в секундах (15 минут):

Cisco(config)# ip nat translation timeout 900

А еще максимально 200 трансляций на каждый хост.

Cisco(config): ip nat translation max-entries all-host 200

Подредактируем остальные таймауты

ip nat translation pptp-timeout 3600
ip nat translation tcp-timeout 300
ip nat translation udp-timeout 60
ip nat translation port-timeout tcp 110 60
ip nat translation port-timeout tcp 25 60
ip nat translation port-timeout tcp 8080 20
ip nat translation port-timeout tcp 80 20
ip nat translation dns-timeout 10

Теперь все должно отваливаться "без шума и пыли" ©

Часть взята отсюда

Часть отсюда

Публикация PPTP-сервера, находящегося во внутренней сети

Просмотров: 5917Комментарии: 0
CiscoБезопасность

Иногда необходимо, например, расшарить службу RRAS, принимающую подключения от удаленных пользователей из интернета, для подключения к внутренней сети.

Тут вариантов два:

1. настроить на Cisco PPTP-сервер, при этом в качестве радиус сервера настроить виндовую или линуксовую машину. Пример настройки есть в этом разделе в соседней теме.

2. пробросить порты до RRAS-сервера, чтобы пользователи авторизовались на нем.

Оба варианта работоспособны, но второй мне больше нравится из-за удобства администрирования — в оснастке Майкрософта гораздо проще увидеть пользователей, подключенных в данный момент, и отключить их, чем в консоли циско. Да и сделать самые простейшие настройки могут и пользователи, не умеющие обращаться с цисками.

TCP-Порт 1723 используется для инициации и управления GRE-соединением

Через IP протокол №47 проходит GRE-трафик, так что его тоже пробрасываем. Практика показала, что порта 47-TCP для этого достаточно.

enable

config term

ip nat inside source static tcp {LOCAL RRAS SERVER IP} 47 {EXTERNAL CISCO IP} 47 extendable

ip nat inside source static tcp {LOCAL RRAS SERVER IP} 1723 {EXTERNAL CISCO IP} 1723 extendable

Видео по настройке pptp-сервера под windows 2008:

ru.administrating.tv/nastrojka-vpn-pptp-na-baze-windows-server-2008/

Настройка NAT на Cisco

Просмотров: 3151Комментарии: 0
Cisco

int fa0/0 — внутренний (192.168.0.1/24)
int fa0/1 — внешний (172.16.0.1/24)

(config)#
делаем ACL:
расширенный:
ip access-list extended NAT
permit ip 192.168.1.0 255.255.255.0 any
или стандартный:
access-list 1 permit 192.168.1.0 255.255.255.0

включаем NAT на интерфейсах:
Внутренний:
Router(config)#int fa0/0
Router(config-if)# ip nat inside
Внешний: 
Router(config)#int fa0/1
Router(config-if)#ip nat outside

Задаем правило трансляции:
принцип: ip nat inside source <источник — и ACL> <назначение — интерфейс или нужный IP> overload
так:
ip nat inside source list NAT interface fa0/1 overload
или так:
ip nat inside source list 1 172.16.0.1 overload