Практика

Чего от нас требует реальность? 1) Сеть управления не имеет доступа в интернет вообще 2) Хосты из сети ПТО имеют доступ только к профильным сайтам, например, Linkmeup.ru 3) Милым дамам из бухгалтерии нужно вырубить окно в мир клиент-банков. 4) ФЭО не выпускать никуда, за исключением финансового директора 5) В сети Other наш компьютер и компьютер админа — им дадим полный доступ в интернет. Всем остальным можно открывать по письменному запросу. 6) Не забудем про филиалы в Питере и в Кемерово. Для простоты настроим полный доступ для эникиев из этих подсетей. 7) С серверами отдельная песня. Для них мы настроим перенаправление портов. Всё, что нам нужно: а) WEB-сервер должен быть доступен по 80-му порту б) Почтовый сервер по 25-му и 110-му в) Файловый сервер доступен из мира по FTP. 8) Компьютеры админа и наш должны быть доступны из Интернета по RDP. Вообще-то это неправильный путь — для удалённого подключения нужно использовать VPN-подключение и уже будучи в локальной сети использовать RDP, но это тема отдельной совсем другой статьи.

Сначала подготовим тестовую площадку:

Подключение к Интернету будет организовано через существующий линк, который предоставляет провайдер. Он уходит в сеть провайдера. Напоминаем, что всё в этом облаке — это абстрактная сеть, которая на деле может состоять из десятков маршрутизаторов и сотен коммутаторов. Но нам нужно нечто управляемое и предсказуемое, поэтому водружаем сюда ещё маршрутизатор. С одной стороны в него линк из коммутатора, с другой сервера в Интернете.

Сервера нам понадобятся следующие: 1. Два клиент-банка для бухгалтеров (sperbank.ru, mmm-bank.ru) 2. Linkmeup.ru для ПТОшников 3. яндекс (yandex.ru)

Для такого подключения мы поднимем ещё один влан на msk-arbat-gw1. Его номер, разумеется, согласуется с провайдером. Пусть это будет VLAN 6 Предположим, провайдер предоставляет нам подсеть 198.51.100.0/28. Первые два адреса используются для организации линка (198.51.100.1 и 198.51.100.2), а оставшиеся мы используем, как пул для NAT’a. Впрочем, никто совершенно нам не мешает использовать и адрес 198.51.100.2 для пула. Так и сделаем: пул: 198.51.100.2-198.51.100.14 Для простоты предположим, что публичные сервера у нас находятся в одной подсети: 192.0.2.0/24. Как настроить линк и адреса вы вполне уже в курсе. Поскольку у нас только один маршрутизатор в сети провайдера, и все сети подключены непосредственно к нему, то необходимости настраивать маршрутизацию нету. А вот наш msk-arbat-gw1 должен знать куда отправлять пакеты в Интернет, поэтому нам нужен маршрут по умолчанию:

Теперь по порядку

Во первых настроим пул адресов

Теперь собираем ACL:

1) Сеть управления

не имеет доступа в интернет вообще Готово

2) Хосты из сети ПТО

Имеют доступ только к профильным сайтам, например, Linkmeup.ru

3) Бухгалтерия

Даём доступ всем хостам на оба сервера

4) ФЭО

Даём разрешение только финансовому директору — это только один хост.

5) Other

Наши компьютеры с полным доступом

6) Филиалы в Санкт-Петербурге и Кемерово

Пусть адреса эникиев будут одинаковыми: 172.16.х.222

Вот так выглядит сейчас ACL полностью:

Запускаем:

Но счастье не будет полным без настройки интерфейсов: На внешнем интерфейсе нужно дать команду ip nat outside На внутреннем: ip nat inside

Это позволит маршрутизатору понять откуда ждать пакеты, которые нужно будет обработать и куда их потом слать.

Чтобы сервера в интернете были доступны по доменному имени, нам бы неплохо было обзавестись DNS-сервером в нашей сети:

Естественно его, нужно прописать на тех устройствах, с которых будем проверять доступ:

Show must go on!

С компьютера админа доступно всё:

Из сети ПТО есть доступ только на сайт linkmeup.ru по 80-му порту (HTTP):

В сети ФЭО в мир выходит только 4.123 (финдиректор)

В бухгалтерии работают только сайты клиент-банков. Но, поскольку разрешение дано полностью на протокол IP, то их можно и пинговать:

7) Cервера

Тут нам нужно настроить проброс портов, чтобы к ним можно было обращаться из Интернета:

a) Веб-сервер

Сразу проверяем, например, мы можем это делать с тестового ПК c аресом 192.0.2.7. Сейчас ничего не заработает, потому что для сети серверов у нас не настроен интерфейс на msk-arbat-gw1:

А теперь:

б) Файловый сервер

Вот для этого в ACL Servers-out мы открывали также и 20-21-й порты для всех

в) Почтовый сервер

Проверить также не сложно. Следуйте инструкциям: Сначала настраиваем почтовый сервер. Указываем домен и создаём двух пользователей.

Далее вносим домен в DNS. Этот шаг необязательный — можно к серверу обращаться и по IP, но почему бы и нет?

Настраиваем компьютер из нашей сети:

Из внешней:

Готовим письмо:

На локальном хосте нажимаем Receive:

8) Доступ по RDP к компьютерам админа и нашему

На этом первое знакомство с технологией NAT можно считать законченным. В качестве ещё одного ДЗ ответьте на вопрос, почему нет доступа в Интернет с компьютеров эникиев в Питере и в Кемерово. Ведь мы их добавили уже в список доступа.

PreviousNATNextМатериалы выпуска

Last updated