ПРАКТИЧЕСКАЯ РАБОТА 6-7. Настройка SSH и NAT.
Цель:
Обеспечить полную связность между тремя доменами с разными протоколами маршрутизации, настроить безопасный удалённый доступ по SSH и реализовать NAT для выхода всех внутренних сетей в «Интернет» через центральный маршрутизатор Router0.
За основу берется полностью рабочая практическая работа 5.
Рисунок 1 – Топология сети
Добавьте на Router0:
- Новый интерфейс: Loopback0 с IP 203.0.113.1/30 — будет имитировать публичный IP для NAT
- Или используйте Serial0/0/0, подключённый к новому маршрутизатору ISP (R99) с Loopback 8.8.8.8/32
Для простоты в PacketTracer используем Loopback0:
interface Loopback0 ip address 203.0.113.1 255.255.255.252
Этот интерфейс будет внешним (outside) для NAT.
Часть 1. Базовая связность
Сконфигурируйте все маршрутизаторы согласно инструкции из прошлой работы.
Убедитесь, что любой ПК может пропинговать любой другой ПК.
Часть 2. Настройка SSH (на Router0, Router1, Router3, Router4)
На каждом из этих маршрутизаторов выполните:
hostname Rx #где x - номер роутера (например, hostname Router0) ip domain-name company.local ! 3. Генерация RSA-ключей crypto key generate rsa modulus 1024 ! 4. Пользователь username admin privilege 15 secret SecurePass2025 ! 5. VTY-линии line vty 0 4 login local transport input ssh exit ! 6. Безопасность enable secret Enable$2025 service password-encryption banner motd # Здесь можно добавить любое сообщение, например "Добро пожаловать!" no ip domain-lookup ip ssh version 2
Проверка: с любого ПК (через Terminal → SSH) подключитесь к Router0 по IP его LAN-интерфейса (например, 192.168.20.2).
Часть 3. Настройка NAT на Router0
Укажите внутренние и внешние интерфейсы
! Внутренние интерфейсы (все три подключения к доменам)
interface GigabitEthernet0/0 ip nat inside ! interface GigabitEthernet0/1 ip nat inside ! interface GigabitEthernet0/2 ip nat inside !
! Внешний интерфейс (Loopback0 или Serial)
interface Loopback0 ip address 203.0.113.1 255.255.255.252 ip nat outside
Создайте ACL для всех внутренних сетей
ip access-list standard NAT_INTERNAL permit 192.168.1.0 0.0.0.255 permit 192.168.2.0 0.0.0.255 permit 192.168.3.0 0.0.0.255 permit 192.168.10.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 10.0.1.0 0.0.0.255 permit 10.0.2.0 0.0.0.255 permit 10.0.10.0 0.0.0.255 permit 172.16.1.0 0.0.0.255 permit 172.16.2.0 0.0.0.255 permit 172.16.3.0 0.0.0.255 permit 172.16.10.0 0.0.0.255 permit 172.16.20.0 0.0.0.255
Настройте PAT (overload)
ip nat inside source list NAT_INTERNAL interface Loopback0 overload
Проверка
- С PC0 выполните: ping 8.8.8.8 — не сработает, потому что 8.8.8.8 не существует в топологии.
Решение: добавьте на Router0 статический маршрут по умолчанию к себе же или имитируйте «Интернет»:
ip route 0.0.0.0 0.0.0.0 Loopback0
Теперь пинг до любого внешнего IP (например, 1.1.1.1) будет «уходить» через Loopback, и NAT применится.
- Используйте
show ip nat translations— вы увидите динамические записи PAT.
Пояснения для школьника:
Что такое SSH?
SSH (Secure Shell) — это как защищенный туннель, по которому можно удаленно управлять сетевыми устройствами (например, маршрутизаторами). Представь, что ты сидишь дома, а маршрутизатор находится в другом городе. С помощью SSH ты можешь подключиться к нему и настроить, как будто сидишь прямо перед ним, и при этом никто не сможет подслушать твой разговор с маршрутизатором.
В этой работе мы настраиваем SSH, чтобы можно было безопасно подключаться к маршрутизаторам Router0, Router1, Router3, Router4 и управлять ими.
Что такое NAT?
NAT (Network Address Translation) — это как переводчик для IP-адресов. Представь, что у тебя дома много компьютеров, планшетов, телефонов, и у каждого свой внутренний IP-адрес (например, 192.168.1.2, 192.168.1.3 и так далее). Когда эти устройства хотят выйти в интернет, они используют один общий "публичный" IP-адрес, который выдал твой провайдер. NAT на твоем домашнем роутере "переводит" внутренние адреса во внешний и обратно, чтобы все устройства могли пользоваться интернетом через один общий адрес.
В этой работе Router0 выполняет роль такого "переводчика". Все компьютеры из внутренних сетей будут выходить в "Интернет" через один публичный IP-адрес, который мы настроили на Loopback0 маршрутизатора Router0.
Что такое Loopback-интерфейс?
Loopback-интерфейс — это виртуальный (ненастоящий) интерфейс на маршрутизаторе. Он всегда "включен" и никогда не выходит из строя. Его часто используют для тестирования или для имитации внешних подключений, как в нашем случае, где Loopback0 имитирует публичный IP-адрес для выхода в "Интернет".
Что такое ACL (Access Control List)?
ACL — это список правил, который определяет, какому трафику разрешено проходить, а какому нет. В нашем случае, мы создаем ACL под названием NAT_INTERNAL, чтобы указать маршрутизатору Router0, какие именно внутренние сети должны использовать NAT для выхода в "Интернет".
Что такое PAT (Port Address Translation) или NAT Overload?
PAT — это разновидность NAT, которая позволяет многим внутренним устройствам использовать один и тот же публичный IP-адрес для выхода в интернет. Она делает это, добавляя к каждому соединению уникальный номер порта. Представь, что у тебя есть один почтовый ящик (публичный IP), но много людей (внутренние устройства) хотят отправлять и получать письма. PAT позволяет им всем пользоваться этим ящиком, но каждое письмо помечается уникальным номером, чтобы почтальон знал, кому его доставить.
Как проверить работу?
После настройки NAT, когда ты попытаешься "пинговать" (проверить связь) с какого-либо внутреннего компьютера (например, PC0) до внешнего адреса (например, 1.1.1.1), Router0 должен будет "перевести" твой внутренний IP-адрес в свой публичный IP-адрес на Loopback0. Команда show ip nat translations покажет тебе эти "переводы" в реальном времени.
Надеюсь, эти пояснения помогут тебе лучше понять задачу и ее решение!