Настройка Source NAT

1.    Создайте объекты, описывающие подсети, для дальнейшего их использования в правилах NAT.

1.1.     Для защищаемой подсети Hub:

esr:hub(config)# object-group network LAN_HUB

esr:hub(config-object-group-network)# ip prefix 192.168.20.0/24

esr:hub(config-object-group-network)# exit

1.2.     Для защищаемой подсети Spoke:

esr:hub(config)# object-group network LAN_SPOKE

esr:hub(config-object-group-network)# ip prefix 192.168.1.0/24

esr:hub(config-object-group-network)# exit

2.    Создайте набор правил для интерфейса gigabitethernet 1/0/1:

esr:hub(config)# nat source

esr:hub(config-snat)# ruleset SNAT_ON_GI101

esr:hub(config-snat-ruleset)# to interface gigabitethernet 1/0/1

2.1.     Отключите Source NAT для локальных пакетов IKE от CGW:

esr:hub(config-snat-ruleset)# rule 10

esr:hub(config-snat-rule)# action source-nat off

esr:hub(config-snat-rule)# match ike-local

esr:hub(config-snat-rule)# match source-address any

esr:hub(config-snat-rule)# match destination-address any

esr:hub(config-snat-rule)# enable

esr:hub(config-snat-rule)# exit

esr:hub(config-snat-ruleset)#

Если оставить функцию Source NAT включенной для локальных пакетов IKE, то может произойти замена стандартного порта 500/4500 на произвольный в диапазоне от 1024 до 65535.

Выполнение функций Source NAT на других транзитных устройствах разрешается и поддерживается (NAT-T).

2.2.     Отключите Source NAT для защищаемого трафика из подсети 192.168.20.0/24 в подсеть 192.168.1.0/24:

esr:hub(config-snat-ruleset)# rule 20

esr:hub(config-snat-rule)# action source-nat off

esr:hub(config-snat-rule)# match protocol any

esr:hub(config-snat-rule)# match source-address LAN_HUB

esr:hub(config-snat-rule)# match destination-address LAN_SPOKE

esr:hub(config-snat-rule)# enable

esr:hub(config-snat-rule)# exit

esr:hub(config-snat-ruleset)#

В силу того, что Source NAT отрабатывает до зашифрования, то для всего трафика, который требуется шифровать нужно отключать Source NAT.

2.3.     Включите Source NAT для всего оставшегося трафика:

esr:hub(config-snat-ruleset)# rule 30

esr:hub(config-snat-rule)# action source-nat netmap 172.16.15.2/32

esr:hub(config-snat-rule)# match protocol any

esr:hub(config-snat-rule)# match source-address any

esr:hub(config-snat-rule)# match destination-address any

esr:hub(config-snat-rule)# enable

esr:hub(config-snat-rule)# exit

esr:hub(config-snat-ruleset)# exit

esr:hub(config-snat)# exit

esr:hub(config)#