Это привычная всем трансляция "снаружи" или как её ещё называют "проброс портов" с внешнего адреса на внутренний хост. Указываем внешний адрес маршрутизатора 10.255.253.2 в браузере, попадаем на 80 порт хоста 10.10.1.213.
!
ip nat inside source static tcp 10.10.1.213 80 interface GigabitEthernet0/0.130 80 vrf WIFI-HEAD
!
А ниже трансляция с другой стороны. Допустим, у вас в сети есть какая-то DMZ, начинающаяся на периметре на ASA. На ней с внешнего интерфейса с адресом 86.115.124.10 транслируется порт 80 на хост 10.10.1.213. Для локальных юзеров сайт не доступен по внешнему этому адресу, а они хотят именно по нему ходить. Ниже строчка, транслирующая dst address с 86.115.124.10 на 10.10.1.213 и обратно т.е. юзеры видят пакеты, которые приходят им в ответ с адреса .10, хотя, на самом деле, они идут с адреса .213.
!
ip nat outside source static tcp 10.10.1.213 80 86.115.124.10 80 vrf WIFI-HEAD extendable
encapsulation dot1Q 11
ip vrf forwarding WIFI-HEAD
ip address 192.168.11.1 255.255.255.0
ip helper-address 192.168.244.5
ip nat inside
ip virtual-reassembly in
!
interface GigabitEthernet0/0.130
encapsulation dot1Q 130
ip vrf forwarding WIFI-HEAD
ip address 10.255.253.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
!
!
ip nat inside source static tcp 10.10.1.213 80 interface GigabitEthernet0/0.130 80 vrf WIFI-HEAD
!
А ниже трансляция с другой стороны. Допустим, у вас в сети есть какая-то DMZ, начинающаяся на периметре на ASA. На ней с внешнего интерфейса с адресом 86.115.124.10 транслируется порт 80 на хост 10.10.1.213. Для локальных юзеров сайт не доступен по внешнему этому адресу, а они хотят именно по нему ходить. Ниже строчка, транслирующая dst address с 86.115.124.10 на 10.10.1.213 и обратно т.е. юзеры видят пакеты, которые приходят им в ответ с адреса .10, хотя, на самом деле, они идут с адреса .213.
!
ip nat outside source static tcp 10.10.1.213 80 86.115.124.10 80 vrf WIFI-HEAD extendable
!
interface Integrated-Service-Engine1/0.11encapsulation dot1Q 11
ip vrf forwarding WIFI-HEAD
ip address 192.168.11.1 255.255.255.0
ip helper-address 192.168.244.5
ip nat inside
ip virtual-reassembly in
!
interface GigabitEthernet0/0.130
encapsulation dot1Q 130
ip vrf forwarding WIFI-HEAD
ip address 10.255.253.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
!
Этот комментарий был удален автором.
ОтветитьУдалитьДоброго времени! Подскажите пожалуйста: есть вэб-сервер напрямую смотрящий в интернет, перед ним поставили маршрутизатор Cisco RV320 (у него настройка только через графический интерфейс), теперь сайт недоступен по внешнему адресу, из локальной сети сайт по прежнему доступен, по локальному адресу. На циске порт 80 внешний открыт, если его закрыть, то браузер при переходе по адресу сайта пишет, что доступ закрыт, если порт открыт - браузер примерно минуту думает, затем пишет что невозможно открыть страницу. Как сделать сайт доступным через маршрутизатор?
ОтветитьУдалитьСделать статическую трансляцию "внешний IP маршрутизатора:порт 80 на IP веб-сервера, который смотрит в сторону маршрутизатора". Как конкретно сделать это на RV320 подсказать не могу, не встречал ещё таких железок.
Удалить