NEIL's_學而時習之x不學無術~私藏IT技術經驗分享部落

關於部落格
NEIL. Cheng....寫作只是為了日後工作之備忘操作參考

本部落格文章撰寫前進邁向第五年(since 2009 ~至今)仍繼續推進分享IT學習!!About Windows/Linux Server,Virtualization


分享網誌: 由於,本人預先完成LAB後,才補上撰寫文章與截圖,若發現文圖對照說明有誤..本人將盡快校正,也請不吝指教! Thanks!

  • 153344

    累積人氣

  • 44

    今日人氣

    0

    訂閱人氣

vyatta-網路基礎>NAT, Default Routing,DHCP..配置 by Neil

 
1.> 配置網路位址 參考網絡圖,先來搞定

Intrust zone(eth0), untrust zone(eth1) , dmz zone (eth2) IP Address ]

#configure  mode

set interfaces ethernet  eth0 address 10.10.10.100/24  
# untrust gateway

set interfaces ethernet  eth1 address 20.20.20.100/24  # intrust gateway

set interfaces ethernet  eth1 address 30.30.30.100/24 #DMZ gateway

commit

set interface pseudo-ethernet peth0 address 10.10.10.210/24  # eth0 sub interface

set interface pseudo-ethernet peth0 link eth0

set  interface pseudo-ethernet peth0  mac 00:70:34:88:45:23

commit

  show interfaces
  #一般模式,我們可檢視各個IP配置成果

  show interfaces   #全域模式(configure): 資訊比較一般模式來看更為詳細


show interfaces pseudo-ethernet   #show sub interface


Default Routing : 方才我們已經建立一條Default Route 我們來看看

#clear console

show ip route   

S>* 0.0.0.0/0 [1/0] via 10.10.10.1, eth0      #Default 靜態路由,next-hop 指向 10.10.10.1


  [更改主機名稱: center]

set system host-name 
 center  

commit         #預設vyatta



[配置系統網域名稱:neil.com]

set system domain-name neil.com

commit       


[配置系統主機/IP對應]  我們較常用,因為可簡化定義辨識多台路由器名稱/IP對應

 set system static-host-mapping host-name center inet 10.10.10.100

 commit


[配置路由器DNS解析 & NTP校時伺服器& 時區]

set system ntp server   10.10.10.1

set system name-server 168.95.1.1 

set system time-zone Asia/Taipei

commit / save

  NTP service  

time zome 時區


  [配置DHCP Server: IP:  Intranet : 20.20.20.100/24 ]

為了讓員工上網自動配發IP,我們再Intrust Zone 啟用DHCP 服務配置參考如下

#configure mode

set service dhcp-server shared-network-name eth1  20_dhcp_pool  

#建立DHCP資源池


 edit service dhcp-server shared-network-name 20_dhcp_pool

set subnet 20.20.20.0/24  
#預定配發網段範圍

edit subnet 20.20.20.0/24

set start subnet 20.20.20.101 stop 20.20.20.199  
#配置DHCP起迄IP範圍

set default-router 20.20.20.100  
#gateway 派送IP

dns-server 20.20.20.100
 #客戶端連線DNS指定

dhs-server 168.95.192.1

commit

save

# show configure


 [配置DHCP Server 綁定主機網卡對應靜態IP]

MAC Address: 00:0C:29:F6:7E:B1      
 #為20.20.20.0/24網段內一台XP 主機網卡位址

Then
我們將此MAC Address 綁定指定靜態IP測試

 edit service dhcp-server shared-network-name 20_dhcp_pool subnet 20.20.20.0/24

 static-mapping neilda ip-address  20.20.20.8

 set service dhcp-server shared-network-name 20_dhcp_pool subnet 20.20.20.0/24

 static-mapping mac-address 
 00:0C:29:F6:7E:B1   #綁定MAC Address 對應"neilda"

commit 

save

[用戶端XP]
連線測試看看DHCP 服務是否正確派發,靜態對應位址 20.20.20.8

 確認MAC , 配發IP, DHCP Server, DNS Service 配發無誤, DHCP配置大成功


  額外一提DHCP Relay 配置(本篇不實做)但提供配置方式

  set service dhcp-relay interface eth1   # DHCP Server network 20.20.20.0/24

  set setvice dhcp-relay interface eth2      # DMZ Zone network 30.30.30.0/24

  set service dhcp-relayer 30.30.30.100   # 配置DHCP Relay 啟用相異網段上IP Gateway

   commit 

   save
 

檢視DHCP 租用狀態

run show dhcp server leases    #固定IP對應,不會出現租約表,故本人暫時停用固定IP對應檢視之

run show dhcp server statistics



[配置NAT:網路位址轉譯]

範例演示: Many (Intrust) to One (untrust)=>(SNAT) 

內部員工網段20.20.20.0/24 出口轉譯為10.10.10.100 連上Internet 

#configure

set nat source rule 1 source address 20.20.20.0/24  #來源轉譯網段配置

edit  nat source rule 1 

set outbound-interface eth0   #轉譯outbound interface

set translation address  10.10.10.100      #將符合nat source rule 1 條件,轉譯成10.10.10.100 出去 

commit

save

#由於我們再Private VM 模擬測試環境,配任何網段僅供測試用Outbond請調整ISP為您配發固I

----OK 我們上述已經將 Intrust Zone =>  Untrust  (SNAT)轉譯成功接下來我們配置..DMZ

範例演示: Many (DMZ) to One (untrust)=>(SNAT) 這次我們將替DMZ區Outboud做NAT 

#configure

set nat source rule 2 source address 30.30.30.0/24  #來源轉譯網段配置

edit  nat source rule 2 

set outbound-interface eth0

set translation address  masquerade #DMZ這裡亦配置masquerade 自動對應

commit

save

檢視上述配置無誤

show nat source rule1    #intrust-untrust

show nat source rule 2
 #idmz-untrust 



----OK 我們上述已經SNAT 兩處都做完了現在DMZ,INTRUST 都可以上網連Internet 



[DMZ 非軍事武裝區 One to One NAT(DNAT) 轉譯配置

參考上述網路架構圖,我們再DMZ 區 放了數台對外營運伺服器

其中一台CentOS(IP:30.30.30.188) 運行了 Website : Port 80, SSH: Port:22

   #下圖: DMZ 裡CentOS 主機

Then 我們現在需要配置對外NAT轉譯使外部Internet 用戶(Neil) 可透過Internert 存取該伺服器

DNAT Neil 預計將

Public Unttust: 10.10.10.210  Mapping => DMZ內部 30.30.30.188/24 (CentOS 6.5) 

範例演示:  Untrust  One to One DMZ (CentOS Host)=> 1 轉1  網路位置轉譯

set nat destination rule  2

edit nat destination rule 2

set inbound-interface eth0  
# 外部網路介面

set destination address 10.10.10.210   #對外監聽/實際 Mapping Public IP

set destination port http,ssh  #1024-65535 亦可指派NAT對應,我們這裡指派http,ssh兩Port Mapping

set protocol tcp_udp    #監聽服務協定類型

set  translation address 30.30.30.100/24   #Public 轉譯至內部主機對應主機IP位址

commit

save

檢視上述配置無誤: show nat destination rule 2
]

NAT 實驗演收

由外部Neil NB 網段(192.168.11.0/24) 透過Internet 存取 10.10.10.210 

網站與SSH 連線運作是否正常

我們從internet 外部連入10.10.10.210 確定NAT 正確Map到DMZ CentOS 這台主機上(.188)

 確認網頁: "空山新雨後.自掛東南枝" index.html 可正確被瀏覽


 測試遠端使用Telnet 登入10.10.10.210, Port : 22   亦也OK ,NAT轉譯成功


最後分享幾個指令,可以檢視NAT 轉譯相關資訊,結束本篇實做

run show nat destination statistics                          #DNAT統計資訊

run show nat destination translations detail       #查看session 轉譯過程


run show nat  source translations detail     #凡"路過"必留下痕跡啊

"下一章我們將邁入Vyatta Zone based  firewall  與 策略路由運用介紹,敬請期待

本篇我已經讓這台路由器配置可上網, 對外提供伺服器服務,接下來我們可衍生更多可能
 
相簿設定
標籤設定
相簿狀態