Nat Sede - Passp Á Passo

i.
Interfaces
interface GigabitEthernet0/0
description REDE-INTERNA
no shutdown // quando faz.-se o uso de sub-interface só a interface principal é ligada.
ip address 172.28.1.1 255.255.255.0
ip nat inside
description DMZ
ip address 172.28.9.1 255.255.255.0
ip access-group DMZ in
ip nat inside
interface Serial0/2/0
description REDE-EXTERNA
ip address 220.0.10.2 255.255.255.252
no shutdown
ip nat outside
ii. NAT/PAT Geral

a. O primeiro passo seria definir as interfaces como de saída e entradas mas já foi feito na
configuração das interfaces (passo acima )
b. Criar um pool (como alternativa poderia criar-se a sobrecarga na interface para esse
caso não teria necessidade de criar um pool )
ip nat pool POOL-NAT 220.0.10.5 220.0.10.6 netmask 255.255.255.252
c. Definir o trafego interessante (que será traduzido) a partir de uma ACL
ip access-list extended ACL-NAT

permit ip 172.28.0.0 0.0.255.255 172.28.9.0 0.0.0.255 // por questões de
segurança o acesso a DMZ deve ser com o endereço publico
deny ip 172.28.0.0 0.0.255.255 172.28.0.0 0.0.255.255 // trafego entre as minhas
redes internas passará pela VPN po isso não deve ser traduzida
permit ip 172.28.0.0 0.0.255.255 any // todo o resto será traduzido
d. Unir o pool a ACL

ip nat inside source list ACL-NAT pool POOL-NAT overload
iii. NAT DMZ
Como os servidores da DMZ precisam estar sempre disponível usaremos o NAT
estático
ip nat inside source static tcp 172.28.9.10 80 220.0.10.10 80

Obs: Como só os serviços devem ser acessíveis no NAT especificou o serviço

configurado no mesmo , tomando assim o acesso ao servidor possível quando
solicitados os serviços (WEB e e-mail ). Também precisou-se barrar o trafego
a rede interna sendo que se a DMZ seja corrompida essa mantem-se segura,
para isso colocou uma ACL na interface de entrada da rede DMZ. Com isso
conclui-se o passo 2.
iv. Criar um caminho de saída

Criaremos uma rota padrão uma alternativa seria configurar um protocolo de
getaway externo como o BGP
ip route 0.0.0.0 0.0.0.0 220.0.10.1
//como alternativa poderia usar-se a interface ao invés do próximo salto como

mostrado a baixo
ip route 0.0.0.0 0.0.0.0 Serial0/2/0
v. Configuração no ISP
// Configuração da Interface do Servidor DNS

ip address 220.0.10.17 255.255.255.248
// Configuração da Interface Sede - ISP

interface Serial0/2/0
ip address 220.0.10.1 255.255.255.252
clock rate 2000000
//Roteamento
ip route 220.0.10.4 255.255.255.252 220.0.10.2 // Rota para NAT
ip route 220.0.10.8 255.255.255.252 220.0.10.2 // Rota para os servidores da
DMZ
router eigrp 10
redistribute static // protocolos de roteamentos dinâmicos não anunciam rotas
estáticas por padrão esse comando habilita essa função (força-lhes a
anunciar)
network 220.0.10.0 0.0.0.3 // Rede WAN (link sede-ISP)
network 220.0.10.16 0.0.0.7 // Rede DNS

Nat Sede - Passp Á Passo

Enviado por

Direitos autorais:

Formatos disponíveis

Nat Sede - Passp Á Passo

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Nat Sede - Passp Á Passo

Enviado por

Direitos autorais:

Formatos disponíveis

i.

ii. NAT/PAT Geral

ip nat pool POOL-NAT 220.0.10.5 220.0.10.6 netmask 255.255.255.252

c. Definir o trafego interessante (que será traduzido) a partir de uma ACL

ip access-list extended ACL-NAT

d. Unir o pool a ACL

ip nat inside source static tcp 172.28.9.10 80 220.0.10.10 80

Obs: Como só os serviços devem ser acessíveis no NAT especificou o serviço

iv. Criar um caminho de saída

ip route 0.0.0.0 0.0.0.0 220.0.10.1

//como alternativa poderia usar-se a interface ao invés do próximo salto como

ip route 0.0.0.0 0.0.0.0 Serial0/2/0

// Configuração da Interface do Servidor DNS

// Configuração da Interface Sede - ISP

Você também pode gostar