3)Бухгалтерия

Даём доступ всем хостам на оба сервера

msk-arbat-gw1(config-ext-nacl)# permit ip 172.16.5.0 0.0.0.255 host 192.0.2.3 msk-arbat-gw1(config-ext-nacl)# permit ip 172.16.5.0 0.0.0.255 host 192.0.2.4

4) ФЭО

Даём разрешение только финансовому директору — это только один хост.

msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.4.123 any

5) Other

Наши компьютеры с полным доступом

msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.6.61 any msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.6.66 any

6) Филиалы в Санкт-Петербурге и Кемерово

Пусть адреса эникиев будут одинаковыми: 172.16.х.222

msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.16.222 any msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.17.222 any msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.24.222 any

Вот так выглядит сейчас ACL полностью: ip access-list extended nat-inet remark PTO permit tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq www remark ACCOUNTING permit ip 172.16.5.0 0.0.0.255 host 192.0.2.3 permit ip 172.16.5.0 0.0.0.255 host 192.0.2.4 remark FEO permit ip host 172.16.4.123 any remark IAM permit ip host 172.16.6.61 any remark ADMIN permit ip host 172.16.6.66 any remark SPB_VSL_ISLAND permit ip host 172.16.16.222 any remark SPB_OZERKI permit ip host 172.16.17.222 any remark KMR permit ip host 172.16.24.222 any Запускаем:

msk-arbat-gw1(config)# ip nat inside source list nat-inet pool main_pool overload

Но счастье не будет полным без настройки интерфейсов: На внешнем интерфейсе нужно дать команду ip nat outside На внутреннем: ip nat inside

msk-arbat-gw1(config)# int fa0/0.101 msk-arbat-gw1(config-subif)# ip nat inside msk-arbat-gw1(config)# int fa0/0.102 msk-arbat-gw1(config-subif)# ip nat inside msk-arbat-gw1(config)# int fa0/0.103 msk-arbat-gw1(config-subif)# ip nat inside msk-arbat-gw1(config)# int fa0/0.104 msk-arbat-gw1(config-subif)# ip nat inside msk-arbat-gw1(config)# int fa0/1.6 msk-arbat-gw1(config-subif)# ip nat outside

Это позволит маршрутизатору понять откуда ждать пакеты, которые нужно будет обработать и куда их потом слать. Чтобы сервера в интернете были доступны по доменному имени, нам бы неплохо было обзавестись DNS-сервером в нашей сети: Естественно его, нужно прописать на тех устройствах, с которых будем проверять доступ: Show must go on! С компьютера админа доступно всё: Из сети ПТО есть доступ только на сайт linkmeup.ru по 80-му порту (HTTP): В сети ФЭО в мир выходит только 4.123 (финдиректор) В бухгалтерии работают только сайты клиент-банков. Но, поскольку разрешение дано полностью на протокол IP, то их можно и пинговать:

7) Cервера

Тут нам нужно настроить проброс портов, чтобы к ним можно было обращаться из Интернета:

a) Веб-сервер

msk-arbat-gw1(config)# ip nat inside source static tcp 172.16.0.2 80 198.51.100.2 80

Сразу проверяем, например, мы можем это делать с тестового ПК c аресом 192.0.2.7. Сейчас ничего не заработает, потому что для сети серверов у нас не настроен интерфейс на msk-arbat-gw1:

msk-arbat-gw1(config)# int fa0/0.3 msk-arbat-gw1(config-subif)# ip nat inside

А теперь: