Рис.70. Страница Edit ATM channel для WAN-соединений
Измените значения полей Tx VCi, Tx VPi, Rx VCi и Rx Vpi на желаемые значения. Tx VCi, Rx Vci и Tx VPi, Rx Vpi должны совпадать.
7.1.3. Мультиплексирование
Имеется два правила идентификации протоколов, поддерживаемых виртуальным каналом (VC). Необходимо выбрать тот метод мультиплексирования, который требуется провайдером услуг Интернет.
Мультиплексирование на основе виртуального канала (VC-based multiplexing)
В этом случае по предварительному взаимному соглашению каждому протоколу назначается свой виртуальный канал, например, VC1 поддерживает IP и т. д. Мультиплексирование на основе VC может быть преобладающим, когда динамическое создание большого числа виртуальных каналов ATM может осуществляться быстро и экономично.
Мультиплексирование на основе управления логическим каналом (LLC-based multiplexing)
В этом случае один виртуальный канал поддерживает несколько протоколов путем идентификации информации, содержащейся в заголовке каждого пакета. Несмотря на то, что этот метод требует дополнительной полосы пропускания и приводит к непроизводительным издержкам, связанным с обработкой, он может являться предпочтительным в тех случаях, когда неэкономично иметь отдельный виртуальный канал для каждого поддерживаемого протокола, например, если тариф оплаты сильно зависит от числа одновременно используемых виртуальных каналов.
7.1.4. IP-адрес WAN
При создании WAN-соединения на маршрутизаторе SI2000 Europa 728+ необходимо ввести требуемый IP-адрес, назначенный провайдером услуг Интернет. Иногда IP-адрес не назначается провайдером - в этом случае он будет назначен маршрутизатору SI2000 Europa 728+ сервером DHCP.
8. беспроводные соединения
Маршрутизатор SI2000 Europa 728+ можно использовать как беспроводный или Ethernet-маршрутизатор для беспроводного подключения персональных компьютеров в соответствии со стандартом IEEE 802.11a/b/g. В этой главе представлена информация, касающаяся настройки беспроводной сети.
Настройка маршрутизатора SI2000 Europa 728+ для работы в беспроводной сети основана на режиме работы с инфраструктурой, при котором карта беспроводной связи устройства обеспечивает точку доступа (Access Point, AP). AP – это интерфейс между беспроводной и проводной сетями.
Точка доступа обеспечивает функцию локального моста для базового набора услуг (Basis Service Set, BSS). BSS – это набор запрашивающих станций (supplicants), соответствующих стандарту 802.11, которые работают как полносвязная беспроводная сеть. Запрашивающая станция (supplicant) – это беспроводный ПК, который запрашивает доступ к вашему устройству. Все ПК в беспроводной LAN (WLAN) обмениваются данными с AP.
На приведенном выше рисунке показана типичная конфигурация маршрутизатора Europa 728+. Для подключения компьютера к маршрутизатору Europa 728+ с помощью WLAN требуется только сконфигурировать компьютер. Заданные по умолчанию настройки Europa 728+ не требуют применения никаких средств обеспечения безопасности или методов аутентификации, но рекомендуется сконфигурировать какие-либо функции безопасности для предотвращения использования беспроводной сети неавторизованными пользователями.
Целесообразно также активизировать сервер DHCP маршрутизатора Europa 728+, для того чтобы IP-адреса клиентских компьютеров назначались автоматически.
8.1. Конфигурирование компьютера
Для конфигурирования беспроводных ПК следует выполнить перечисленные ниже шаги (подробные инструкции по их выполнению должен предоставить изготовитель карты беспроводного доступа).
· Установить карту беспроводного доступа в каждый беспроводный ПК.
· Инсталлировать файлы драйвера для данной карты на каждом ПК.
· Обеспечить приемлемое расстояние между беспроводными ПК и вашим устройством.
· Установить беспроводное сетевое соединение на каждом беспроводном ПК.
Для того, чтобы установить беспроводное сетевое соединение с ваших ПК, необходимо получить у изготовителя карты доступа информацию о ESSID и номерах каналов и обеспечить их соответствие с настройками вашего устройства.
· ESSID (Extended Service Set Identifier, идентификатор расширенного набора услуг) – это уникальный идентификатор, который позволяет отличать беспроводные устройства друг от друга, для того, чтобы разрешить доступ к этому устройству только тех беспроводных ПК, на которых заданы такие же ESSID. По умолчанию задан EESID устройства Europa 728+. Из соображений безопасности необходимо изменить заданный по умолчанию ESSID на уникальное значение.
· Номер канала определяет, какой частотный канал используется данным устройством для передачи трафика запрашивающим станциям (supplicants). Набор каналов зависит от страны, в которой используется карта доступа. Провайдер доступа должен сообщить, с какими каналами можно работать.
Просмотр и изменение значения ESSID описаны в разделе 8.2 Беспроводной порт данного руководства.
8.2. Беспроводной порт
Беспроводной интерфейс маршрутизатора SI2000 Europa 728+ можно сконфигурировать в WEB-разделе Wireless port.
Название | Описание |
Disable | Выберите из ниспадающего списка значение true для включения (enable) функции беспроводной связи. |
Default Channel | Введите канал по умолчанию или оставьте значение 1. |
ESSID | Введите здесь ESSID для беспроводной сети. SSID – это уникальное имя, используемое всеми точками беспроводной сети. SSID должен быть идентичным для всех точек в сети; значение чувствительно к регистру клавиатуры. |
Wep Encryption | Из ниспадающего списка выберите метод шифрования WEP (Wired Equivalent Privacy). Доступны опции: disabled (выключено), 64-bit и 128-bit. |
Frag Threshold | Введите величину порога фрагментации или оставьте значение, предлагаемое по умолчанию. |
WPA | Выберите из ниспадающего списка значение true для включения защищенного доступа Wi-Fi (WPA, Wi-Fi Protected Access). |
WPA Enable PSK | Выберите из ниспадающего списка значение true для включения PSK (Phase shift key, ключ фазового сдвига) для WPA. |
WPA Enable EAP | Выберите из ниспадающего списка значение true для включения EAP (Extended Authentication Protocol, расширенный протокол аутентификации) для WPA. |
RTS Threshold | Введите величину порога RTS или оставьте значение, предлагаемое по умолчанию. |
Key 0 3 | В зависимости от метода шифрования, выбранного выше (64-bit или 128-bit) введите ключ WEP в соответствующее текстовое поле. |
Reset Defaults | Восстановление настроек по умолчанию. Выберите из ниспадающего списка значение True или False. |
Примечание: опция Reset Defaults не будет работать до тех пор, пока конфигурация не будет сохранена, и не будет произведен перезапуск маршрутизатора.
Щелкните мышью на кнопке Apply для подтверждения изменений.
В верхней части страницы щелкните на ссылке View Advanced Attributes для просмотра более детальных настроек карты беспроводного доступа.
8.3. Конфигурирование функций безопасности беспроводной сети
В данной главе описаны доступные функции безопасности беспроводных сетей и методы их конфигурирования. При этом предполагается, что вы уже прочитали и усвоили предыдущие разделы, в которых описана организация базовой беспроводной сети.
В данной главе содержится следующая информация.
· Подробное описание функций безопасности WLAN, поддерживаемых маршрутизатором SI2000 Europa 728+.
· Процедура конфигурирования протокола шифрования WEP (Wired Equivalent Privacy) и стандарта 802.1x.
· Процедура конфигурирования протокола защищенного доступа Wi-Fi Protected Access (WPA) для использования в домашних или небольших офисах, где не используется расширенный протокол аутентификации (EAP) или сервер аутентификации RADIUS.
· Процедура конфигурирования WPA и 802.1x (с использованием EAP) и аутентификации через сервер RADIUS.
8.3.1. Функции обеспечения безопасности беспроводных локальных сетей (WLAN)
Данный раздел руководства содержит обзор функций обеспечения безопасности WLAN. Доступность конкретных функций зависит от аппаратного и программного обеспечения вашей сети.
Wired Equivalent Privacy (WEP)
Протокол WEP обеспечивает шифрование данных, передаваемых по сети WLAN. Хотя данные передаются с использованием только одного заданного ключа WEP, получать их можно с использованием всех ключей. Важно сконфигурировать значения всех ключей WEP, чтобы исключить возможность посылки данных на ваше устройство пользователями беспроводных ПК, не входящих в вашу WLAN, с использованием ключей по умолчанию, т. е. установленных в нули.
Ограничения WEP
Обеспечение безопасного доступа беспроводных клиентов к вашей сети – сложная задача. WEP шифрует данные, передаваемые по беспроводной LAN (WLAN), но имеет слабые стороны в плане безопасности:
· Ключи WEP можно взломать – независимо от того, используете ли вы 64-битное, 128-битное шифрование или шифрование с более длинным кодом, что потенциально позволит любому пользователю в зоне охвата точки беспроводного доступа (AP) получить доступ к вашему устройству.
· WEP не обеспечивает механизм идентификации и аутентификации конкретного пользователя.
· Отсутствует определенный метод распределения ключей клиентам, что вызывает проблемы в больших организациях.
Применение стандарта 802.1x позволяет преодолеть некоторые ограничения по распределению ключей WEP. Однако сохраняющийся риск взлома ключей означает, что даже дополненный стандартом 802.1x метод WEP обеспечивает слабую защиту вашей сети WLAN. Если ваше аппаратное обеспечение поддерживает WPA, то вместо WEP рекомендуется использовать именно этот метод защиты.
802.1x
Управление доступом в сеть на основе портов (Port-based Network Access Control) 802.1x обеспечивает аутентификацию компьютеров, подключенных к порту WLAN Ethernet перед разрешением их доступа в сеть. Аутентификация выполняется либо локальным сервером аутентификации, либо сервером RADIUS. Если компьютер не проходит аутентификацию, пользователь не получает доступа к порту WLAN.
Схемы аутентификации, поддерживаемые протоколом EAP
Расширяемый протокол аутентификации (Extensible Authentication Protocol, EAP) был первоначально разработан для реализации стандартного механизма аутентификации в сетях PPP (Point to Point Protocol, протокол двухточечной связи). С тех пор он стал стандартным методом аутентификации в проводных и беспроводных сетях, используемым другими протоколами, включая 802.1x. В беспроводной сети сообщения EAP инкапсулируются и посылаются по сегментам Ethernet или беспроводной LAN с использованием протокола EAP поверх LAN (EAPOL).
Существует ряд схем аутентификации 802.1x, каждая из которых реализует аутентификацию своим собственным методом. Но все они при обмене данными между запрашивающими станциями (supplicants) и точкой доступа (AP) опираются на стандартную инфраструктуру и EAP. Перечисленные ниже схемы аутентификации используют протокол EAP и протестированы по методологии Conexant.
В приведенной ниже таблице перечислены схемы аутентификации, использующие протокол EAP.
Схема аутентификации | Описание |
EAP/TLS | EAP/TLS – это версия EAP, которая устанавливает туннель на основе протокола защиты транспортного уровня (Transport Layer Security, TLS) между запрашивающей станцией (supplicant) и сервером аутентификации и осуществляет через него обмен данными для EAP. Сервер и запрашивающая станция используют взаимную аутентификацию; они аутентифицируют друг друга, используя сертификаты через TLS. |
PEAP | Защищенный расширяемый протокол аутентификации (Protected Extensible Authentication Protocol, PEAP) – это расширенная версия EAP, очень похожая на EAP/TLS. PEAP также использует взаимную аутентификацию; сервер аутентификации использует сертификаты TLS, но запрашивающая станция аутентифицирует с помощью имени пользователя и пароля (используя внутренний метод аутентификации, например, MSCHAP2). |
EAP/MD5 | Если вы используете схему EAP/Message Digest 5 (MD5), то сервер посылает вызов MD5 на запрашивающую станцию для аутентификации через EAP. MD5 не распределяет ключи WEP и не осуществляет их периодическую ротацию. Примечание: ввиду ограничений данной схемы, поддержка MD5 была исключена из Microsoft® Windows XP® Service Pack 1. Если вы используете операционную систему, отличную от Windows XP Service Pack 1, проверьте, поддерживает ли она MD5. MD5 можно использовать с локальным сервером аутентификации. При локальной аутентификации используется стандартный список пользователей системы (такой же, как для управления доступом через CLI и коммутируемым доступом PPP). Для назначения локального сервера в качестве аутентификатора введите: 802.1x authenticator set authentication local |
802.11i
Институт инженеров электрики и электроники (IEEE) разработал спецификацию повышенной безопасности, названную 802.11i. Она основана на протоколе 802.1x, предусматривающем обмен ключами, и реализует новые протоколы шифрования, заменяющие WEP, включая протокол временной достоверности ключа (Temporal Key Integrity Protocol, TKIP).
Служба аутентификации пользователей удаленного доступа (RADIUS)
Служба RADIUS (Remote Authentication Dial In User Service) обеспечивает централизованную аутентификацию, авторизацию и учет (AAA) для пользователей сетевого доступа.
Сервер RADIUS накапливает информацию о пользователях в учетной базе данных. Сообщения между сервером и устройством передаются с помощью протокола передачи пользовательских дейтаграмм (User Datagram Protocol, UDP). Когда сервер получает запросы на соединение или учетные сообщения от аутентификатора, он проверяет эту базу данных для верификации имени пользователя и пароля и получения информации о свойствах учетной записи пользователя, включая данные об авторизации и параметрах соединения. Затем он либо аутентифицирует и авторизует соединение и посылает обратное сообщение о разрешении доступа (Access-Accept message), либо посылает сообщение о запрете доступа (Access-Reject message).
Cтандарт защиты доступа Wi-Fi (Wi-Fi Protected Access, WPA)
Стандарт WPA является совместной инициативой IEEE и Wi-Fi Alliance, предложенной для преодоления ограничений WEP. Это подмножество протокола 802.11i Draft 3, позволяющее использовать важные функции 802.11i до завершения разработки проекта. WPA создан для работы на существующем Wi-Fi-сертифицированном аппаратном обеспечении в качестве апгрейда программного обеспечения.
Наиболее важные функции, поддерживаемые WPA, следующие:
· улучшенное шифрование данных с использованием протокола временной достоверности ключа (Temporal Key Integrity Protocol),
· более строгая аутентификация пользователей за счет реализации 802.1x и EAP.
В WPA предусмотрен специальный легко устанавливаемый домашний режим PSK (Pre-Shared Key -- «предустановленный общий ключ»). Для работы в режиме PSK в домашнем или небольшом офисе не требуется иметь сервер аутентификации или поддержку EAP.
Протокол временной достоверности ключа (Temporal Key Integrity Protocol, TKIP)
Протокол TKIP обеспечивает расширение функций шифрования данных для преодоления ограничений WEP. Он реализует следующие функции.
· Функция пакетного преобразования ключа; уникальный ключ генерируется для каждого пакета.
· Функция проверки целостности сообщений (Message integrity check, MIC); TKIP вычисляет значение математической функции для каждого пакета и прикрепляет к нему результат. Точка доступа вычисляет такую же математическую функцию и сравнивает результаты с прикрепленными к пакету для проверки допустимости.
· Расширенный вектор инициализации (Initialization Vector, IV) с правилами упорядочивания; поле порядкового номера добавляется к кадрам данных беспроводной передачи, а точка доступа отбрасывает кадры, полученные с нарушением порядка последовательности.
Аутентификация по протоколам 802.1x и EAP
Использование функций 802.1x и EAP в WPA обеспечивает более строгую аутентификацию пользователей. При использовании совместно с сервером аутентификации, например, RADIUS, такая реализация позволяет аутентифицировать каждого пользователя беспроводной сети перед разрешением доступа, а также реализует взаимную аутентификацию.
8.3.2. Конфигурирование WEP и 802.1x
В данном разделе руководства описаны процедуры конфигурирования WEP с применением 802.1x (через EAP) и сервера аутентификации RADIUS. Ключи WEP, созданные 802.1x для точке доступа (AP) устройства, автоматически распределяются на требующие конфигурирования компьютеры, при этом ключи регулярно ротируются для преодоления некоторых ограничений шифрования WEP.
Приведенная ниже схема иллюстрирует реализацию протокола 802.1x в беспроводной сети.
Сеть устанавливается следующим образом.
· Беспроводные ПК, запрашивающие доступ к устройству, являются запрашивающими станциями (supplicants).
· AP является аутентификатором.
· Аутентификация выполняется сервером аутентификации RADIUS.
Запрашивающие станции (supplicants) посылают свои имена пользопвателя и пароли аутентификатору. AP пересылает пакеты расширяемого протокола аутентификации (EAP) на отдельный сервер аутентификации RADIUS. Сервер аутентификации затем проверяет имена пользопвателя и пароли запрашивающих станций и сообщает аутентификатору о том, авторизован или нет доступ данной станции к службам аутентификатора.
9. функции обеспечения безопасности
9.1. Безопасность
В данной главе описано управление настройками функций безопасности маршрутизатора SI2000 Europa 728+. Программное обеспечение безопасности маршрутизатора Europa 728+ помогает пользователю устанавливать и усиливать политики безопасности. Эти политики определяют, какому виду трафика разрешается проходить через шлюз, и от каких узлов сети допускается прием трафика. Это программное обеспечение реализует такие функции, как фильтрация по портам, триггеры, проверка допустимости (фильтрация по IP-адресам), трансляция сетевых адресов (Network Address Translation, NAT), обнаружение вторжений в сеть (intrusion), защита от атак типа «отказ в обслуживании» (Denial of Service, DOS), демилитаризованная зона (DeMilitarized Zone, DMZ) и функции регистрации.
Пакет программного обеспечения функций безопасности реализует брандмауэр (stateful firewall), динамически изменяющий параметры своего состояния в процессе исполнения. Это означает, что механизм защиты запоминает информацию, касающуюся получаемых пакетов. Он использует эту информацию для динамического принятия решений о разрешении или запрете прохождения пакетов.
В меню Configuration щелкните мышью на Security. Появится страница, содержащая предлагаемые по умолчанию настройки функций безопасности Security.
Рис.71. Страница Security state
9.1.1. Включение (enabling) функций обеспечения безопасности
Включение (enabling) функций обеспечения безопасности
Перед активизацией брандмауэра (Firewall) и/или обнаружения вторжений в сеть (Intrusion Detection) следует включить функции обеспечения безопасности (Security). В разделе Security State:
1. Щелкните мышью на кнопке Security Enabled.
2. Щелкните на Change State для обновления данных раздела Security State.
Эта операция обеспечивает такой же результат, как и ввод следующих команд CLI:
security enable
security status
Включение (enabling) брандмауэра (Firewall) и обнаружения вторжений в сеть (Intrusion Detection)
Перед включением брандмауэра (Firewall) и/или обнаружения вторжений в сеть (Intrusion Detection) следует вначале создать интерфейс безопасности. После создания интерфейса:
Щелкните мышью на кнопках Firewall Enabled и/или Intrusion Detection Enabled. Щелкните на Change State для обновления данных раздела Security State.Эта операция обеспечивает такой же результат, как и ввод следующих команд CLI (в зависимости от того, какое состояние вы хотите установить):
firewall enable
firewall enable IDS
security status
Установка уровня безопасности по умолчанию
Для установки уровня безопасности по умолчанию необходимо вначале включить функции безопасности (Security) и брандмауэр (Firewall).
В разделе Security Level щелкните мышью на ниспадающем списке Security Level. Щелкните на желаемом уровне защиты: none, high, medium или low (отсутствует, высокий, средний или низкий). Щелкните на кнопке Change Level.Эта операция обеспечивает такой же результат, как и ввод следующей команды CLI:
firewall set securitylevel
9.1.2. Конфигурирование интерфейсов безопасности
Конфигурирование интерфейсов безопасности
Интерфейсы безопасности основываются на существующих службах локальной (LAN) и глобальной (WAN) сети. Для каждого интерфейса безопасности, который предстоит сконфигурировать, необходимо создать службу LAN или WAN.
В разделе Security Interfaces щелкните мышью на Add Interface. Появится страница Security: Add interface, показанная ниже.
Рис.72. Страница Security: Add interface
Щелкните на ниспадающем списке Name и выберите службу, на которой будет базироваться интерфейс безопасности. Щелкните на ниспадающем списке Interface Type и укажите тип интерфейса, в зависимости от способа его подключения к сети. Можно выбрать между external, internal или DMZ (внешний, внутренний или демилитаризованная зона). Щелкните мышью на Apply. Появится страница Security. Раздел Security Interfaces содержит таблицу, которая отображает информацию о каждом созданном интерфейсе безопасности:· Name – имя службы, на которой базируется интерфейс безопасности.
· Type – тип сетевого соединения.
· NAT. Содержит гиперссылки, позволяющие сконфигурировать NAT.
· Delete Interface... Гиперссылка, после щелчка на которой появляется страница удаления интерфейсов Security: Delete Interface. Проверьте информацию об интерфейсе, затем щелкните мышью на кнопке Delete для удаления интерфейса.
Эти действия обеспечивают такой же результат, как и ввод следующих команд CLI:
security add interface
security list interfaces
security delete interface
9.2. Трансляция сетевых адресов (NAT)
Трансляция сетевых адресов (Network Address Translation, NAT) – это функция, которая сохраняет приватность частных сетевых адресов при доступе в сеть общего пользования. При использовании функции NAT необходимо понимать следующие термины:
Пулы глобальных IP-адресов (Global IP Address Pools)
Пул глобальных адресов – это пул адресов, видимых из внешней сети. По умолчанию каждый внешний интерфейс создает пул глобальных адресов с одним адресом – адресом, назначенным этому интерфейсу. Для исходящих сеансов адрес выбирается из пула путем хеширования IP-адреса источника по индексу пула и последующего хеширования по индексу адреса. Для входящих сеансов необходимо создать резервируемое преобразование сетевых адресов (reserved mapping). Информация о резервируемых соответствиях приведена ниже.
Резервируемые преобразования (mapping) сетевых адресов
Резервируемые преобразования используются для того, чтобы служба NAT «знала», куда следует направлять пакеты во время входящих сеансов. Резервируемое преобразование определяет отображение конкретного глобального адреса и порта на некоторый внутренний адрес и порт. Резервируемые преобразования можно также использовать таким образом, чтобы различные внутренние хосты могли совместно использовать один глобальный адрес путем назначения разных портов разным хостам. Например, пусть хост A – это FTP-сервер, а хост B – это web-сервер. При назначении порта FTP хосту A и порта HTTP – хосту B оба внутренних хоста могут совместно использовать один и тот же глобальный адрес. Установка номера протокола 255(0xFF) означает, что данное преобразование будет применено ко всем протоколам. Установка номера протокола 65535(0xFFFF) для протоколов TCP или UDP означает, что преобразование будет применено ко всем номерам портов данного протокола.
Демилитаризованная зона (DMZ)
Иногда организации требуется разрешить доступ к определенным хостам своей сети, но не ко всем хостам. Например, организация может предоставлять патчи для своего программного обеспечения через FTP-сервер. Однако при этом FTP-доступ к любым другим хостам, кроме FTP-сервера является для нее нежелательным. Это может быть реализовано при использовании второй внутренней сети с менее строгой политикой ограничений, чем для главной внутренней сети. Такая вторая сеть называется демилитаризованной зоной (De-Militarized Zone, DMZ). Пакет ПО обеспечения безопасности маршрутизатора SI2000 Europa 728+ позволяет реализовать отдельные политики для трафика между интерфейсами DMZ и внешними или внутренними интерфейсами.
Однако имеются некоторые ограничения: если NAT используется для хостов как в сети DMZ, так и во внутренней сети, то должен иметься отдельный пул глобальных адресов для интерфейсов DMZ, не перекрывающийся ни с каким пулом глобальных адресов для внутренних интерфейсов. Кроме того, для исходящих сеансов должны иметься резервные преобразования для тех хостов DMZ, которые не преобразуются в «реальный» адрес внешнего интерфейса.
9.2.1. Конфигурирование NAT
Конфигурирование NAT
Для конфигурирования NAT необходимо выполнить следующее:
Включить (enable) функции безопасности. Создать не менее двух разных типов интерфейсов безопасности, базирующихся на службах LAN или WAN. После создания более одного интерфейса безопасности в столбце NAT в таблице Security Interfaces будет указано на то, что можно включить NAT между существующим интерфейсом безопасности и определенным типом сетевого интерфейса. Например, если вы создали внешний интерфейс и внутренний интерфейс, то таблица будет выглядеть следующим образом:
Рис.73. Страница с таблицей Security Interfaces
В колонке NAT для внешнего интерфейса указано, что можно включить NAT для внутренних интерфейсов. Если уже сконфигурирован интерфейс DMZ, то эта колонка также содержит кнопку Enable NAT to DMZ interfaces («включить интерфейсы NAT на DMZ»).
Для того, чтобы включить NAT между внешним интерфейсом и определенным типом внутренних интерфейсов, щелкните на Enable NAT to internal interfaces («включить NAT для внутренних интерфейсов»). Страница Security обновляется, и NAT включается (enabled). Для выключения (disable) NAT между этими интерфейсами щелкните на Disable NAT to internal interfaces.Эти действия обеспечивают такой же результат, как и ввод следующих команд CLI:
nat enable
nat disable
После включения NAT между интерфейсами вы можете:
· сконфигурировать глобальные адреса,
· сконфигурировать резервное соответствие адресов.
9.2.2. Глобальные адреса NAT
Пулы глобальных адресов позволяют создавать пул внешних сетевых адресов, которые будут видимы за пределами вашей сети. Перед конфигурированием глобальных адресов требуется сконфигурировать NAT.
Конфигурирование глобальных адресов NAT
Для установки пула глобальных адресов на существующих интерфейсах с включенной функцией NAT выполните следующие операции.
В таблице NAT Security Interfaces щелкните мышью на гиперссылке Advanced NAT Configuration для интерфейса, к которому вы хотите добавить глобальный пул. Появится |
следующая страница:
Рис.74. Страница Advanced NAT Configuration
Щелкните на Add Global Address Pool. Появится следующая страница:
Рис.75. Страница NAT Add Global Address Pool
Эта страница позволяет создать пул сетевых IP-адресов, видимых за пределами вашей сети. Добавьте значения в следующие пункты таблицы:· Interface type: тип внутреннего адреса, которому вы хотите поставить в соответствие внешние глобальные IP-адреса. Щелкните мышью на ниспадающем списке и выберите тип интерфейса.
· Use Subnet Configuration: существует два способа указания диапазона IP-адресов. Можно выбрать Use Subnet Mask (указание адреса маски подсети для IP-адреса) или Use IP Address Range (указание первого и последнего IP-адреса в диапазоне). Щелкните мышью на ниспадающем списке и выберите нужный метод.
· Введите значение IP Address – значение IP-адреса, видимого за пределами сети.
· Subnet Mask/IP Address 2: указываемое здесь значение зависит от используемой конфигурации подсети. Если вы выбрали Use Subnet Mask, введите маску подсети для IP-адреса. Если вы выбрали Use IP Address Range, введите последний IP-адрес в диапазоне адресов, составляющих пул глобальных адресов.
По завершении конфигурирования таблицы щелкните мышью на Add global address pool. Таблица обновляется, и пул глобальных адресов добавляется к конфигурации NAT.... Для удаления пула глобальных адресов щелкните на мышью на гиперссылке Delete, затем щелкните на кнопке Delete Global Address Pool.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 |
