ПРАКТИЧЕСКАЯ РАБОТА 6-7. Настройка SSH и NAT.
Цель:
Обеспечить полную связность между тремя доменами с разными протоколами маршрутизации, настроить безопасный удалённый доступ по SSH и реализовать NAT для выхода всех внутренних сетей в «Интернет» через центральный маршрутизатор Router0.
За основу берется полностью рабочая практическая работа 5.
Рисунок 1 – Топология сети
Добавьте на Router0:
- Новый интерфейс: Loopback0 с IP 203.0.113.1/30 — будет имитировать публичный IP для NAT.
- Или используйте Serial0/0/0, подключённый к новому маршрутизатору ISP (R99) с Loopback 8.8.8.8/32.
Для простоты в PacketTracer используем Loopback0:
interface Loopback0 ip address 203.0.113.1 255.255.255.252
Этот интерфейс будет внешним (outside) для NAT.
Часть 1. Базовая связность
Сконфигурируйте все маршрутизаторы согласно инструкции из прошлой работы.
Убедитесь, что любой ПК может пропинговать любой другой ПК.
Часть 2. Настройка SSH (на Router0, Router1, Router3, Router4)
На каждом из этих маршрутизаторов выполните:
hostname Rx #где x - номер роутера (например, hostname Router0) ip domain-name company.local ! 3. Генерация RSA-ключей crypto key generate rsa modulus 1024 ! 4. Пользователь username admin privilege 15 secret SecurePass2025 ! 5. VTY-линии line vty 0 4 login local transport input ssh exit ! 6. Безопасность enable secret Enable$2025 service password-encryption banner motd # Здесь можно добавить любое сообщение, например "Welcome to RouterX" no ip domain-lookup ip ssh version 2
Проверка: с любого ПК (через Terminal → SSH) подключитесь к Router0 по IP его LAN-интерфейса (например, 192.168.20.2).
Часть 3. Настройка NAT на Router0
Укажите внутренние и внешние интерфейсы
! Внутренние интерфейсы (все три подключения к доменам)
interface GigabitEthernet0/0 ip nat inside ! interface GigabitEthernet0/1 ip nat inside ! interface GigabitEthernet0/2 ip nat inside !
! Внешний интерфейс (Loopback0 или Serial)
interface Loopback0 ip address 203.0.113.1 255.255.255.252 ip nat outside
Создайте ACL для всех внутренних сетей
ip access-list standard NAT_INTERNAL permit 192.168.1.0 0.0.0.255 permit 192.168.2.0 0.0.0.255 permit 192.168.3.0 0.0.0.255 permit 192.168.10.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 10.0.1.0 0.0.0.255 permit 10.0.2.0 0.0.0.255 permit 10.0.10.0 0.0.0.255 permit 172.16.1.0 0.0.0.255 permit 172.16.2.0 0.0.0.255 permit 172.16.3.0 0.0.0.255 permit 172.16.10.0 0.0.0.255 permit 172.16.20.0 0.0.0.255
Настройте PAT (overload)
ip nat inside source list NAT_INTERNAL interface Loopback0 overload
Проверка
1. С PC0 выполните: ping 8.8.8.8 — не сработает, потому что 8.8.8.8 не существует в топологии.
Решение: добавьте на Router0 статический маршрут по умолчанию к себе же или имитируйте «Интернет»:
ip route 0.0.0.0 0.0.0.0 Loopback0
Теперь пинг до любого внешнего IP (например, 1.1.1.1) будет «уходить» через Loopback, и NAT применится.
2. Используйте show ip nat translations — вы увидите динамические записи PAT.
Пояснения для школьника:
Эта практическая работа учит нас настраивать сетевое оборудование, а именно маршрутизаторы Cisco, для выполнения двух важных задач:
- SSH (Secure Shell): Это как безопасный способ удалённо управлять компьютером или маршрутизатором. Представь, что ты можешь настроить свой роутер дома, находясь в школе, и никто не сможет подслушать твои команды. SSH шифрует все данные, поэтому это безопасно.
- NAT (Network Address Translation): Это как переводчик для IP-адресов. У тебя дома много устройств (телефон, компьютер, планшет), и у каждого свой внутренний IP-адрес. Но когда ты выходишь в интернет, все эти устройства используют один общий внешний IP-адрес, который тебе выдал провайдер. NAT позволяет многим внутренним устройствам использовать один внешний IP для выхода в интернет, экономя публичные IP-адреса. В этой работе мы используем PAT (Port Address Translation), это разновидность NAT, которая позволяет многим внутренним устройствам использовать один внешний IP-адрес, различая их по номерам портов.
Что мы делаем по шагам:
Часть 1. Базовая связность:
Сначала нужно убедиться, что все маршрутизаторы и компьютеры в нашей сети "видят" друг друга и могут обмениваться данными. Это как проверить, что все дороги между городами построены и по ним можно ездить.
Часть 2. Настройка SSH:
Мы настраиваем безопасный удалённый доступ к некоторым маршрутизаторам (Router0, Router1, Router3, Router4). Для этого:
hostname Rx: Даём маршрутизатору имя, чтобы не путать их.ip domain-name company.local: Указываем доменное имя, это нужно для генерации ключей SSH.crypto key generate rsa modulus 1024: Создаём "ключи" для шифрования. Чем больше число (1024), тем сложнее взломать шифр.username admin privilege 15 secret SecurePass2025: Создаём пользователя с именем "admin" и паролем "SecurePass2025", который будет иметь полный доступ (privilege 15).line vty 0 4: Это виртуальные линии, по которым мы будем подключаться удалённо. Мы разрешаем использовать SSH на этих линиях.enable secret Enable$2025: Устанавливаем пароль для режима привилегированного выполнения (самый высокий уровень доступа).service password-encryption: Шифруем все пароли, чтобы их нельзя было прочитать в конфигурации.banner motd: Это сообщение, которое будет показываться при подключении к маршрутизатору.no ip domain-lookup: Отключаем попытки маршрутизатора искать доменные имена, если мы ошиблись в команде. Это ускоряет работу.ip ssh version 2: Указываем использовать вторую, более безопасную версию протокола SSH.
Проверка SSH: Мы пытаемся подключиться к маршрутизатору с компьютера, чтобы убедиться, что всё работает.
Часть 3. Настройка NAT на Router0:
Router0 — это наш "центральный" маршрутизатор, который будет выпускать все внутренние сети в "Интернет".
- Добавление Loopback0: Мы создаём виртуальный интерфейс Loopback0 и даём ему IP-адрес 203.0.113.1. Этот адрес будет имитировать наш "публичный" IP в интернете.
- Определение внутренних и внешних интерфейсов:
ip nat inside: Мы говорим маршрутизатору, что интерфейсы GigabitEthernet0/0, 0/1, 0/2 смотрят внутрь нашей сети.ip nat outside: А интерфейс Loopback0 смотрит наружу, в "Интернет".
- Создание ACL (Access Control List)
NAT_INTERNAL: Это список правил, который определяет, каким внутренним сетям разрешено выходить в интернет через NAT. Мы перечисляем все внутренние сети, которым это разрешено. - Настройка PAT (overload):
ip nat inside source list NAT_INTERNAL interface Loopback0 overload: Эта команда говорит маршрутизатору: "Все пакеты, приходящие из сетей, указанных в спискеNAT_INTERNAL, когда они выходят через интерфейс Loopback0, должны быть переведены так, чтобы их исходный IP-адрес стал IP-адресом Loopback0. И используй перегрузку (overload), чтобы много внутренних устройств могли использовать один внешний IP".
Проверка NAT:
1. Мы пытаемся "пинговать" (проверить связь) с адресом 8.8.8.8. Это известный IP-адрес DNS-сервера Google, который обычно доступен в интернете. Но в нашей учебной топологии его нет, поэтому пинг не сработает.
Решение:
Чтобы имитировать "Интернет" и проверить работу NAT, мы добавляем статический маршрут по умолчанию на Router0:
ip route 0.0.0.0 0.0.0.0 Loopback0: Эта команда говорит маршрутизатору: "Если ты не знаешь, куда отправить пакет, отправь его через интерфейс Loopback0". Таким образом, любой "внешний" пинг будет направлен через наш "публичный" интерфейс, и NAT сможет сработать.
Теперь, если мы пингуем любой IP-адрес, который не находится в нашей сети (например, 1.1.1.1), маршрутизатор будет отправлять его через Loopback0, и NAT будет переводить внутренний IP-адрес в публичный IP-адрес Loopback0.
2. show ip nat translations: Эта команда покажет нам таблицу NAT, где будут видны записи о том, какие внутренние IP-адреса были переведены в наш публичный IP-адрес Loopback0.
Вот так, шаг за шагом, мы настраиваем безопасный удалённый доступ и выход в интернет для нашей сети!