Быстрая настройка функционала NAT на оборудовании A10 Thunder.

Основные рекомендации.

Для настройки оборудования можно воспользоваться как графическим интерфейсом, так и CLI. CLI на оборудовании является clisco like, так что многим он покажется привычным.

Что же нам необходимо?

  1. Настроить все наши интерфейсы
  2. Настроить NAT pool
  3. Настроить специальные CGN Limit ID
  4. Настроить листы классов пользователей
  5. Настроить взаимодействие между классами пользователей и CGN
  6. Включить inside NAT на клиентских портах
  7. Включить outside NAT на портах доступа в сеть интернет

1. Для настройки интерфейсов можно воспользоваться следующим примером:

AX#config

AX(config)#interface management

AX(config-if:management)#ip address 192.168.12.47 255.255.255.0

AX(config-if:management)#ip default-gateway 192.168.12.1

AX(config-if:management)#ip control-apps-use-mgmt-port

AX(config-if:management)#interface ethernet 1

AX(config-if:ethernet1)#lacp trunk 1 mode active

AX(config-if:ethernet1)#lacp timeout long

AX(config-if:ethernet1)#interface ethernet 2

AX(config-if:ethernet2)#lacp trunk 1 mode active

AX(config-if:ethernet2)#lacp timeout long

X(config-if:ethernet2)#vlan 20

AX(config-vlan:20)#tagged ethernet 1 to 2

AX(config-vlan:20)#router-interface ve 20

AX(config-vlan:20)#name «outside»

AX(config-vlan:20)#vlan 30

AX(config-vlan:30)#untagged ethernet 6

AX(config-vlan:30)#router-interface ve 30

AX(config-vlan:30)#name «HA_LINK»

AX(config-vlan:30)#vlan 31

AX(config-vlan:31)#tagged ethernet 1 to 2

AX(config-vlan:31)#router-interface ve 31

AX(config-vlan:31)#name «inside»

AX(config-vlan:31)#interface ve 20

AX(config-if:ve20)#ip address 10.200.2.2 255.255.255.0

AX(config-if:ve20)#ip nat outside

AX(config-if:ve20)#interface ve 30

AX(config-if:ve30)#ip address 10.200.1.1 255.255.255.252

AX(config-if:ve30)#interface ve 31

AX(config-if:ve31)#ip address 100.64.1.2 255.255.255.0

AX(config-if:ve31)#ip nat inside

AX(config-if:ve31)#interface loopback 1

AX(config-if:loopback1)#ip address 17.17.17.17 255.255.255.255

AX(config-if:loopback1)#end

2. NAT pool настраивается следующей командой. Вы должны его как то назвать указать диапазон адресов.

AX(config)#ip nat pool cgn-dynamic 192.0.2.33 192.0.2.46 netmask /28

ha-group-id 1 lsn

Необходимо отметить что NAT pools могут быть объединены в pool groups. Это упрощает настройки и дальнейшие изменения в конфигурации. 

AX(config)#ip nat pool-group example cgn-dynamic ha-group-id 1

3. Создать и настроить CGN Limit ID. LID позволяет применять различные ограничения на абонентские сессии. Настроить можно до 1024 LID.

Изначально каждому LID присваивается свой номер

AX(config)#lsn-lid 1

AX(config-lsn lid)#

Теперь необходимо каждому LID указать привязанные к нему nat pool

AX(config-lsn lid)#source-nat-pool cgn-dynamic

И настроить различные квоты

AX(config-lsn lid)#user-quota icmp 50 

AX(config-lsn lid)#user-quota udp 250 reserve 0

AX(config-lsn lid)#user-quota tcp 250 reserve 0

AX(config-lsn lid)#exit

4Создать Class list которые описывает те подсети которые необходимо обработать через NAT

AX(config)#class-list vm_client_cgn01

AX(config-class list)#100.64.100.1 /32 lsn-lid 1

AX(config-class list)#exit

Привязать Class list к процессу CGN

AX(config)#ip nat inside source class-list vm_client_cgn01

5. Обозначить те интерфейсы на которых будет работать NAT.

AX(config)#interface ve 20

AX(config-if:ve20)#ip address 10.200.2.3 255.255.255.0

AX(config-if:ve20)#ip nat outside

AX(config-if:ve20)#interface ve 31

AX(config-if:ve31)#ip address 100.64.1.3 255.255.255.0

AX(config-if:ve31)#ip nat inside

AX(config-if:ve31)#exit

Теперь ваше оборудование готово к работе.

Так же рекомендуется настроить параметры оборудования согласно следующему примеру:

ip nat reset-idle-tcp-conn 

ip nat lsn endpoint-independent-mapping enable

ip nat lsn endpoint-independent-filtering enable

ip nat lsn ip-selection round-robin 

ip nat lsn alg tftp enable 

ip nat lsn alg rtsp enable 

ip nat lsn alg pptp enable 

ip nat lsn alg esp enable 

ip nat lsn alg sip enable 

 

lsn-lid 1 

 user-quota icmp 64 

 user-quota udp 10000 reserve 128 

 user-quota tcp 10000 reserve 128 

 user-quota session 10000 

 drop-on-nat-pool-mismatch

 

Приятной работы.