Проброс диапазона портов в локальную сеть
Добавлено: 15 июл 2015, 10:48
Вводные данные:
Схема сети выглядит так: На Cisco есть интернетовский ИП адрес с одной стороны и локальная сеть с другой. В локальной сети стоит кодек видеоконференцсвязи фирмы Поликом.
Задача:
Сделать так, что бы с интернета можно было дозвониться на кодек ВКС, расположенный внутри локальной сети.
Условие:
Есть только один Интернетовский реальный ИП адрес.
Решение:
Учитывая следующие условия:
1) У нас всего один интернетовский ИП и он уже на циске
2) ВКС расположена у нас внутри сети и там она успешно работает с другими ВКС
Будем прокидывать порты из интернета, через реальный адрес на циске внутрь сети на ИП адрес кодека ВКС.
Реализация:
Реализация будет разбита на 2 логических этапа - это исходящая и входящая связь.
Про исходящую уже много написано, например тут, потому просто приведу строки, которые нужны:
Таким образом кодек, с ИП адресом 10.103.9.34 сможет выходить с локального интерфейса GigabitEthernet0/0.200 в сеть интернет через внешний интерфейс GigabitEthernet0/1
Теперь входящие соединения - их надо переправлять на адрес кодека:
Тут есть небольшая заминка - ВКС использует целый набор портов и описывать каждый будет весьма затруднительно, потому перенаправление сделаем другим способом
Тут все входящие соединения на ИП адрес 194.190.30.209 подпадающие под порты, описанные в акцесслисте будут перенаправлены внутрь сети на ИП адрес 10.103.9.34 кодека
Диагностика:
Команда sh ip nat translations покажет нам чем сейчас занимается NAT
Вот так выглядит разговор по ВКС
Литература:
http://nixman.info/?p=2258
Схема сети выглядит так: На Cisco есть интернетовский ИП адрес с одной стороны и локальная сеть с другой. В локальной сети стоит кодек видеоконференцсвязи фирмы Поликом.
Задача:
Сделать так, что бы с интернета можно было дозвониться на кодек ВКС, расположенный внутри локальной сети.
Условие:
Есть только один Интернетовский реальный ИП адрес.
Решение:
Учитывая следующие условия:
1) У нас всего один интернетовский ИП и он уже на циске
2) ВКС расположена у нас внутри сети и там она успешно работает с другими ВКС
Будем прокидывать порты из интернета, через реальный адрес на циске внутрь сети на ИП адрес кодека ВКС.
Реализация:
Реализация будет разбита на 2 логических этапа - это исходящая и входящая связь.
Про исходящую уже много написано, например тут, потому просто приведу строки, которые нужны:
Код: Выделить всё
interface GigabitEthernet0/0.200
ip nat inside
interface GigabitEthernet0/1
ip nat outside
ip nat inside source list 122 interface GigabitEthernet0/1 overload
access-list 122 permit ip host 10.103.9.34 any
Теперь входящие соединения - их надо переправлять на адрес кодека:
Тут есть небольшая заминка - ВКС использует целый набор портов и описывать каждый будет весьма затруднительно, потому перенаправление сделаем другим способом
Код: Выделить всё
ip nat pool VKSPOOL 10.103.9.34 10.103.9.34 netmask 255.255.255.252 type rotary
ip nat inside destination list VKSACL pool VKSPOOL
ip access-list extended VKSACL
permit tcp any host 194.190.30.209 range 60000 65000
permit udp any host 194.190.30.209 range 60000 65000
permit tcp any host 194.190.30.209 eq 1720
permit tcp any host 194.190.30.209 eq 5061
permit tcp any host 194.190.30.209 eq 5060
permit udp any host 194.190.30.209 eq 5060
Диагностика:
Команда sh ip nat translations покажет нам чем сейчас занимается NAT
Вот так выглядит разговор по ВКС
Код: Выделить всё
Pro Inside global Inside local Outside local Outside global
tcp 194.190.30.209:1720 10.103.9.34:1720 77.238.229.120:60057 77.238.229.120:60057
tcp 194.190.30.209:34095 10.103.9.34:34095 77.238.229.120:60059 77.238.229.120:60059
tcp 194.190.30.209:34329 10.103.9.34:34329 77.238.229.120:60058 77.238.229.120:60058
tcp 194.190.30.209:38715 10.103.9.34:38715 77.238.229.120:1720 77.238.229.120:1720
udp 194.190.30.209:49240 10.103.9.34:49240 77.238.229.120:60772 77.238.229.120:60772
udp 194.190.30.209:49241 10.103.9.34:49241 77.238.229.120:60773 77.238.229.120:60773
udp 194.190.30.209:49242 10.103.9.34:49242 77.238.229.120:60774 77.238.229.120:60774
udp 194.190.30.209:49243 10.103.9.34:49243 77.238.229.120:60775 77.238.229.120:60775
udp 194.190.30.209:49244 10.103.9.34:49244 77.238.229.120:60776 77.238.229.120:60776
udp 194.190.30.209:49244 10.103.9.34:49244 77.238.229.120:60777 77.238.229.120:60777
udp 194.190.30.209:49245 10.103.9.34:49245 77.238.229.120:60777 77.238.229.120:60777
udp 194.190.30.209:49246 10.103.9.34:49246 77.238.229.120:60778 77.238.229.120:60778
udp 194.190.30.209:49247 10.103.9.34:49247 77.238.229.120:60779 77.238.229.120:60779
udp 194.190.30.209:49248 10.103.9.34:49248 77.238.229.120:60780 77.238.229.120:60780
udp 194.190.30.209:49249 10.103.9.34:49249 77.238.229.120:60781 77.238.229.120:60781
udp 194.190.30.209:49250 10.103.9.34:49250 77.238.229.120:60782 77.238.229.120:60782
udp 194.190.30.209:49251 10.103.9.34:49251 77.238.229.120:60783 77.238.229.120:60783
udp 194.190.30.209:49252 10.103.9.34:49252 77.238.229.120:60784 77.238.229.120:60784
udp 194.190.30.209:49253 10.103.9.34:49253 77.238.229.120:60785 77.238.229.120:60785
udp 194.190.30.209:49254 10.103.9.34:49254 77.238.229.120:60786 77.238.229.120:60786
http://nixman.info/?p=2258