Настройка NAT

Назначение маршрута по умолчаниюНастройка NAT

При настройке NAT необходимо учитывать порядок обработки пакетов подсистемах ESR ST (см. Таблица 2).

Отметим следующие моменты:

В локальных пакетах протокола IKE/NAT-T средствами NAT не должны меняться source порты 500/4500 на какие либо другие (если NAT осуществляется на другом оборудовании, то source порты 500/4500 могут меняться на произвольные), поэтому IKE/NAT-T пакеты должны быть исключены из правил трансляции Source NAT.
Защищаемый трафик должен быть исключен из правил трансляции Source NAT (если только специально не требуется осуществлять зашифрование транслированных пакетов), иначе он не попадет под фильтры IPsec, так как Source NAT выполняется до зашифрования.

Рассмотрим настройку NAT на примере построения защищенного соединения между двумя подсетями, защищаемыми криптомаршрутизаторами ESR ST: HUB и SPOKE. Настройка защищенного соединения (IPsec) выполняется в CGW CLI. Настройка NAT выполняется в ESR CLI. Ниже приведены действия, которые надо выполнить на маршрутизаторе HUB, чтобы настроить NAT. Аналогичные действия надо выполнить на маршрутизаторе SPOKE.

1.Создайте объекты, описывающие подсети, для дальнейшего их использования в правилах NAT.

Для защищаемой подсети Hub:

esr:hub(config)# object-group network LAN_HUB

esr:hub(config-object-group-network)# ip prefix IP-адрес/маска

esr:hub(config-object-group-network)# exit

Для защищаемой подсети Spoke:

esr:hub(config)# object-group network LAN_Spoke

esr:hub(config-object-group-network)# ip prefix IP-адрес/маска

esr:hub(config-object-group-network)# exit

2.Создайте набор правил для внешнего интерфейса криптомаршрутизатора HUB

esr:hub(config)# nat source

esr:hub(config-snat)# ruleset SNAT_ON_GI101

esr:hub(config-snat-ruleset)# to interface имя интерфейса

Отключите Source NAT для локальных пакетов IKE от S-Terra ПО. Выполнение функций Source NAT на других транзитных устройствах разрешается и поддерживается (NAT-T).

esr:hub(config-snat-ruleset)# rule 10

esr:hub(config-snat-rule)# action source-nat off

esr:hub(config-snat-rule)# match ike-local

esr:hub(config-snat-rule)# match source-address any

esr:hub(config-snat-rule)# match destination-address any

esr:hub(config-snat-rule)# enable

esr:hub(config-snat-rule)# exit

esr:hub(config-snat-ruleset)#

Отключите Source NAT для защищаемого трафика из подсети LAN_HUB в подсеть LAN_SPOKE:

esr:hub(config-snat-ruleset)# rule 20

esr:hub(config-snat-rule)# action source-nat off

esr:hub(config-snat-rule)# match protocol any

esr:hub(config-snat-rule)# match source-address LAN_HUB

esr:hub(config-snat-rule)# match destination-address LAN_SPOKE

esr:hub(config-snat-rule)# enable

esr:hub(config-snat-rule)# exit

esr:hub(config-snat-ruleset)#

Включите Source NAT для всего оставшегося трафика:

esr:hub(config-snat-ruleset)# rule 30

esr:hub(config-snat-rule)# action source-nat netmap IP-адрес/маска

esr:hub(config-snat-rule)# match protocol any

esr:hub(config-snat-rule)# match source-address any

esr:hub(config-snat-rule)# match destination-address any

esr:hub(config-snat-rule)# enable

esr:hub(config-snat-rule)# exit

esr:hub(config-snat-ruleset)# exit

esr:hub(config-snat)# exit

esr:hub(config)#

Также необходимо учитывать, что если через С-Терра Шлюз ESR ST проходят пакеты транзитного IPsec, которые попадают под правила Source NAT, то нужно обеспечить, чтобы порт источника (source порт) транзитных пакетов IPsec (IKE/NAT-T) отличался от 500/4500. Изменить порт источника можно до прихода таких пакетов на С-Терра Шлюз ESR ST путем изменения настроек сервиса, реализующего транзитный IPsec, так и после их прихода, но до выхода пакетов в сеть.