Logo

EcoRouter

EcoNAT

EcoQOE

EcoBypass

EcoSwitch

English
  • Оборудование
  • Вход в систему
  • Подсказки и горячие клавиши
  • Работа с общей конфигурацией устройства
  • Первичная настройка
  • Хранилище сертификатов SSL
  • Настройки интерфейсов
  • ACL
  • Карты классов трафика
  • Подсистема NAT
  • Подсистема BRAS
  • Подсистема DPI
  • Подсистема логирования
  • Перенаправление DNS-запросов
  • Подмена IP-адресов в DNS-ответах
  • Защита от TCP SYN Flooding
  • Функция Sniffer
  • Общая диагностика системы
  • Действия с прошивкой
  • Счётчики
  • Справочник по командам

    • NAT для доступа в Интернет EcoNAT Documentation / Типовые сценарии применения NAT / NAT для доступа в Интернет

    Типовая схема того, как EcoNAT используется для трансляции сетевых адресов при доступе в Интернет, представлена на рисунке ниже.

    Типовая конфигурация EcoNAT включает в себя три пула различного типа для разных видов трафика. Пулы рекомендуется заводить в следующем порядке:
    1. Статические IP-адреса административно выделяются в статическом пуле (см. раздел "Пул Static").
    2. NAT пул (см. раздел "Пул Basic NAT") – необходим в случаях, когда используются протоколы, не поддерживающие портов (например, для GRE). Исключение составляет протокол PPTP (для его обработки создаются пулы типа cgnat и включается параметр alg pptp в общих настройках NAT). Если нужен basic-NAT с разрешёнными внешне инициируемыми соединениями и отдельно basic-NAT с запрещёнными – то можно завести два NAT пула, различающиеся значением параметра allow_external_connect.
    3. Основная часть абонентов выходит в Интернет через CGNAT пул (см. раздел "Пул CGNAT").
    Если возникла ситуация, когда необходимо настроить трансляцию пересекающихся диапазонов IP-адресов через два разных пула (см. рисунок ниже), то важно правильно расставить приоритеты правил. Учитывая при этом, что первым будет обрабатываться правило с меньшим номером, и что при срабатывании данного правила, остальные не проверяются.

    В приведенной на рисунке ситуации для двух пулов должны быть сформированы ACL со следующими правилами (при условии, что poolA имеет больший приоритет, чем poolB):

    для poolA:

    acla {
      10 deny ip src range 10.22.22.1-10.22.22.20 dst any
      20 allow ip src net 10.22.22.0/24 dst any
    }
    для poolB:
    aclb {
      10 allow ip src range 10.22.22.1-10.22.22.20 dst any
    }

    В этом случае для poolA будет сначала проверяться, принадлежит ли IP источника к диапазону Y (10.22.22.1-10.22.22.20). Если принадлежит, пакет будет отклонен пулом poolA, и дальше будет рассматриваться poolB и его список правил. Если не принадлежит, будет проверяться правило, принадлежит ли IP источника к диапазону X (10.22.22.0/24), и в этом случае пакет будет пропущен пулом poolA.

    Для poolB будет проверяться, принадлежит ли IP источника к диапазону Y, и в этом случае пакет будет пропущен.