Общие настройки
en
conf t
hostname RTR-R
ip domain name int.demo.wsr
ip name-server 192.168.100.200
Настройка интерфейса, смотрящего на ISP
int gi 1
ip address 5.5.5.100 255.255.255.0
ip nat outside
ip access-group Rnew in
no sh
Настройка интерфейса, смотрящего в RIGHT
int gi 2
ip address 172.16.100.254 255.255.255.0
ip nat inside
no sh
Настройка статического маршрута по-умолчанию через ISP
ip route 0.0.0.0 0.0.0.0 5.5.5.1
Создание списка контроля доступа для NAT
access-list 1 permit 172.16.100.0 0.0.0.255 — указываем адрес нашей локальной сети
ip nat inside source list 1 interface Gi1 overload
Создание списка контроля доступа для безопасности
ip access-list extended Rnew
permit tcp any any established — разрешить возвращение обратно в сеть любых исходящих ТСР-соединений
permit udp host 4.4.4.1 eq 53 any — разрешить проход трафика DNS от коревого центра для форвардинга с SRV
permit tcp any host 5.5.5.100 eq 80 — разрешить прохождение TCP-трафика с любых адресов на HOST 5.5.5.100 по протоколу HTTP (порт 80)
permit tcp any host 5.5.5.100 eq 443 — разрешить прохождение TCP-трафика с любых адресов на HOST 5.5.5.100 по протоколу HTTPS (порт 443)
permit tcp any host 5.5.5.100 eq 2244 — разрешить прохождение TCP-трафика с любых адресов на HOST 5.5.5.100 на порт 2244
permit udp host 4.4.4.100 host 5.5.5.100 eq 500 — разрешить прохождение UDP-трафика с хоста 4.4.4.100 на хост 5.5.5.100 на порт 500 (ISAKMP)
permit esp any any — разрешаем Encapsulating Security Payload (ESP), может делать всё что требуется для IPsec
permit gre any any — если делаем туннель незащищенный
permit icmp any any — разрешаем прохождение ping
Создаем интерфейс туннеля
interface Tun1
ip address 172.16.1.2 255.255.255.0 — указываем адрес из сети туннеля
tunnel source 5.5.5.100 — указываем адрес нашего интерфейса
tunnel destination 4.4.4.100 — указываем адрес противоположного конца туннеля
Настраиваем маршрутизацию в туннель или eigrp, или ospf на выбор
| EIGRP | OSPF | Комментарий |
| router eigrp 6500
network 172.16.100.0 0.0.0.255 network 172.16.1.0 0.0.0.255 |
router ospf 1
network 172.16.100.0 0.0.0.255 area 0 network 172.16.1.0 0.0.0.255 area 0 |
объявляем свою локальную сеть RIGHT объявляем сеть в туннель |
Настраиваем ключи для защиты туннеля
crypto isakmp key TheSecretMustBeAtLeast13bytes address 4.4.4.100
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
crypto ipsec profile VTI — создаем профиль IPSec
set transform-set TSET
Настраиваем защищенный туннель
interface Tun1
tunnel mode gre ip — Задаем режим туннелирования. Можно не задавать!!!
tunnel mode ipsec ipv4 — Меняем режим туннелирования на IPSec
tunnel protection ipsec profile VTI — подключаем профиль IPSec к туннельному интерфейсу
Создание правил NAT
ip nat inside source static tcp 172.16.100.100 22 5.5.5.100 2244 — при обращении к порту 2244 трафик пробрасывается на внутренний адрес 172.16.100.100 на порт 22 (используется для удаленного управления WEB-R по SSH)
no ip http secure-server — отключить встроенный сервер HTTPS
no ip http server — отключить встроенный сервер HTTP
ip nat inside source static tcp 172.16.100.100 80 5.5.5.100 80 — проброс портов для HTTP на WEB-R
ip nat inside source static tcp 172.16.100.100 443 5.5.5.100 443 — проброс портов для HTTPS на WEB-R
Настройка сервера времени (NTP)
ntp server ntp.int.demo.wsr
wr — сохранение конфигурации