This is an old revision of the document!
Table of Contents
Принцип работы статической трансляции сетевых адресов
На устройстве МКСЗ «Diamond Next» поддерживаются механизм статической трансляции сетевого адреса. Данный механизм позволяет производить подмену адреса источника в сетевых пакетах при их отправки во внешнюю сеть.
В качестве сетевого адреса для трансляции будет использовать сетевой адрес, который задан в процессе конфигурации механизма. Дополнительно необходимо определить какие сетевые интерфейсы принадлежат локальному сегменту, а какие сетевые интерфейсы принадлежать внешней сети, чтобы устройство могло однозначно трактовать направление движения сетевого трафика.
Статическая трансляция сетевого адреса подразумевает, что в каждый момент времени только одно устройство сможет получить доступ из локального сегмента во внешнюю сеть. После того, как устройство локальной сети завершит обмен данными с устройством во внешней сети, и данные из таблицы трансляции адресов будут удалены, то другое устройство из локальной сегмента сможет получить доступ во внешнюю сеть.
Обратите внимание, что после активации механизма трансляции сетевого адреса доступ из внешней сети будет разрешен только для обратного сетевого трафика, для которого есть соответствующая запись в таблице трансляции сетевых адресов.
Настройка механизма статической трансляции сетевого адреса
Для настройки механизма трансляции необходимо подключиться к устройству по протоколу ssh. Далее перейти в режим конфигурирования на уровне “data plane” с помощью команды “vppctl”.
Команда “nat44 ei plugin enable” активирует механизм трансляции сетевых адресов.
Команда “set interface nat44 ei in <interface_name>” задает локальный сетевой интерфейс.
Команда “set interface nat44 ei out <interface_name>” задает внешний сетевой интерфейс.
Команда “nat44 ei add address <ip_address>” задает сетевой адрес, который будет использоваться как адрес источника после статической трансляции.
Для просмотра информации о VLAN ID на сетевом интерфейсе через консольное подключение необходимо подключиться к устройству по протоколу ssh. Далее необходимо перейти в режим просмотра информации на уровне “data plane” с помощью команды “vppctl” и выполнить команду “sh interface”. При выполнении команд в консоли допускаются сокращения, например, “sh int”.
# vppctl
Для создания интерфейса LCP необходимо в главном меню выбрать пункт «Сетевые настройки – Интерфейсы LCP». В таблице «Интерфейсы LCP» отображаются текущие LCP интерфейсы. Для создания нового LCP интерфейса необходимо нажать на кнопку «Добавить интерфейс» (Рис. 2).
В новом окне «Интерфейс LCP» в поле «Название» необходимо задать имя для нового интерфейса LCP, в поле «Имя нижележащего интерфейса» необходимо выбрать один из доступных интерфейсов, с которым необходимо сделать связку. (Рис. 3).
После задания всех требуемых параметров для LCP интерфейса необходимо нажать на кнопку «ОК». Для сохранения настроек интерфейса нажать на кнопки «Сохранить» (Рис.4).
Для изменения LCP интерфейса необходимо выбрать его в таблице «Интерфейсы LCP» и нажать на кнопку «Редактировать». Для удаления LCP интерфейса необходимо выбрать его в таблице «Интерфейсы LCP» и нажать на кнопку «Удалить».
Просмотр информации о LCP интерфейсе через консольное подключение
# ifconfig vpn_lcp
enp1s0 Link encap:Ethernet HWaddr 00:90:0B:94:11:20
inet addr:172.20.171.102 Bcast:0.0.0.0 Mask:255.255.255.0
inet6 addr: fe80::290:bff:fe94:1120/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1766949 errors:0 dropped:0 overruns:0 frame:0
TX packets:2557422 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:388888259 (370.8 MiB) TX bytes:373356760 (356.0 MiB)
Memory:90a00000-90a1ffff