1. Создайте объекты, описывающие подсети, для дальнейшего их использования в правилах NAT.
1.1. Для защищаемой подсети кластера:
esr:hub-n1(config)# object-group network LAN_HUB
esr:hub-n1(config-object-group-network)# ip prefix 192.168.20.0/24
esr:hub-n1(config-object-group-network)# exit
1.2. Для защищаемой подсети Spoke:
esr:hub-n1(config)# object-group network LAN_SPOKE
esr:hub-n1(config-object-group-network)# ip prefix 192.168.1.0/24
esr:hub-n1(config-object-group-network)# exit
2. Создайте набор правил для внешнего интерфейса gigabitethernet 1/0/1:
esr:hub-n1(config)# nat source
esr:hub-n1(config-snat)# ruleset SNAT_ON_GI101
esr:hub-n1(config-snat-ruleset)# to interface gigabitethernet 1/0/1
2.1. Отключите Source NAT для локальных пакетов IKE от CGW:
esr:hub-n1(config-snat-ruleset)# rule 10
esr:hub-n1(config-snat-rule)# description "disable SNAT for local IKE pack
ets"
esr:hub-n1(config-snat-rule)# match source-address any
esr:hub-n1(config-snat-rule)# match destination-address any
esr:hub-n1(config-snat-rule)# match ike-local
esr:hub-n1(config-snat-rule)# action source-nat off
esr:hub-n1(config-snat-rule)# enable
esr:hub-n1(config-snat-rule)# exit
esr:hub-n1(config-snat-ruleset)#
Если оставить функцию Source NAT включенной для локальных пакетов IKE, то может произойти замена стандартного порта 500/4500 на произвольный в диапазоне от 1024 до 65535.
Выполнение функций Source NAT на других транзитных устройствах разрешается и поддерживается (NAT-T).
2.2. Отключите Source NAT для защищаемого трафика из подсети 192.168.20.0/24 в подсеть 192.168.1.0/24:
esr:hub-n1(config-snat-ruleset)# rule 20
esr:hub-n1(config-snat-rule)# description "disable SNAT for traffic which must
be protected by IPSEC"
esr:hub-n1(config-snat-rule)# match protocol any
esr:hub-n1(config-snat-rule)# match source-address LAN_HUB
esr:hub-n1(config-snat-rule)# match destination-address LAN_SPOKE
esr:hub-n1(config-snat-rule)# action source-nat off
esr:hub-n1(config-snat-rule)# enable
esr:hub-n1(config-snat-rule)# exit
В силу того, что Source NAT отрабатывает до зашифрования, то для всего трафика, который требуется шифровать нужно отключать Source NAT.
2.3. Отключите Source NAT для локальных VRRP пакетов:
esr:hub-n1(config-snat-ruleset)# rule 30
esr:hub-n1(config-snat-rule)# description "disable SNAT for local VRRP packets
"
esr:hub-n1(config-snat-rule)# match protocol vrrp
esr:hub-n1(config-snat-rule)# match source-address any
esr:hub-n1(config-snat-rule)# match destination-address any
esr:hub-n1(config-snat-rule)# action source-nat off
esr:hub-n1(config-snat-rule)# enable
esr:hub-n1(config-snat-rule)# exit
2.4. Включите Source NAT для всего оставшегося трафика, указав VIP адрес внешней подсети в качестве подменяемого IP-адреса:
esr:hub-n1(config-snat-ruleset)# rule 40
esr:hub-n1(config-snat-rule)# description "enable dynamic SNAT for traffic
to Internet"
esr:hub-n1(config-snat-rule)# match protocol any
esr:hub-n1(config-snat-rule)# match source-address any
esr:hub-n1(config-snat-rule)# match destination-address any
esr:hub-n1(config-snat-rule)# action source-nat netmap 172.16.15.2/32
esr:hub-n1(config-snat-rule)# enable
esr:hub-n1(config-snat-rule)# exit
esr:hub-n1(config-snat-ruleset)# exit
esr:hub-n1(config-snat)# exit