В данной статье рассматривается базовая конфигурация маршрутизатора Сisco на использование NAT.
NAT – Network Adress Translation (трансляция сетевых адресов)
Конфигурация тестировалась на следующих компонентах:
*Cisco 2500 Series Routers
*Cisco IOS® Software Release 12.2 (10b)
Несколько базовых шагов по конфигурированию и разворачиванию NAT.
1. Определение inside (внутреннего) и outside (внешнего) NAT на интерфейсах.
a – сколько существует интерфейсов ?
b – сколько интерфейсов подключено к Internet ?
2. Для каких целей будет использоваться NAT ?
a – доступ локальных пользователей в Internet ?
b – доступ Internet пользователей к дополнительным внутренним службам (почтовый или веб сервер)
c – перенаправление TCP трафика на другие TCP порты или адреса.
3. Какие виды NAT Вы будете использовать ?
a – Статический NAT (Static NAT)
b – Динамический NAT (Dynamic NAT)
с – Overload (PAT)
d – иное назначение NAT
4. Проверка работоспособности NAT.
Пример: доступ локальных пользователей в Internet
interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside
!— Настройка IP адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса.
interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside
!— Настройка IP адреса для Ethernet 1 и использование в качестве внутреннего NAT интерфейса.
interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside
!— Настройка IP адреса для serial 0 и использование в качестве внешнего NAT интерфейса.
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
!
!— Конфигурирование именованного пула NAT с рядом адресов
!— 172.16.10.1 – 172.16.10.63.
ip nat inside source list 7 pool no-overload
!
!
!— Указание какие пакеты могут «проходить» через внутренний интерфейс
!— разрешение следующим acl – access-list 7
!— транслирование исходного адреса «наружу»
!— NAT pool «no-overload».
access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31
!— Access-list 7 разрешает пакеты от следующих сетей
!— 10.10.10.0 через 10.10.10.31 и 10.10.20.0 через 10.10.20.31.
Пример: доступ локальных пользователей в Internet используя Overload (PAT)
PAT (Port Address Translation) – трансляция адресов портов.
interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside
!— Настройка IP адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса.
interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside
!— Настройка IP адреса для Ethernet 1 и использование в качестве внутреннего NAT интерфейса.
interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside
!— Настройка IP адреса для serial 0 и использование в качестве внешнего NAT интерфейса.
ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
!
!— Конфигурирование NAT пула с именем ovrld с единственным IP
!— адресом, 172.16.10.1.
ip nat inside source list 7 pool ovrld overload
!
!
!
!
!— Указание какие пакеты могут «проходить» через внутренний интерфейс
!— разрешающий акл access-list 7 исходного адреса
!— транслируется на внешний NAT пул с именем ovrld.
!— Трансляции overloaded с разрешением нескольких внутренних
!— устройств транслирующихся на определённый IP адрес.
access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31
!— Access-list 7 разрешает пакеты с исходными адресами в диапазоне от
!— 10.10.10.0 через 10.10.10.31 и 10.10.20.0 через 10.10.20.31.
Пример: доступ Internet пользователей к дополнительным внутренним службам (почтовый или веб сервер)
1) Сконфигурируйте NAT на внешнем и внутреннем интерфейсах.
2) Определите к каким службам необходимо предоставить доступ. К примеру – только к внутреннему почтовому серверу.
3) Смотрите пример на сайте производителя
Пример: перенаправление TCP трафика на другие TCP порты или адреса.
interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat inside
!— Настройка IP адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса.
interface serial 0
ip address 200.200.200.5 255.255.255.252
ip nat outside
!— Настройка IP адреса для serial 0 и использование в качестве внешнего NAT интерфейса.
ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80
!—Команда Static для NAT определяет перенаправление любых пакетов с внутреннего
!— интерфейса с IP адресом и портом 172.16.10.8:8080 трансилование на
!— 172.16.10.8:80
