Конфигурирование NAT (статическая NAT, динамическая NAT)

Конфигурирование статической трансляции NAT

Настройка nat статической, по сравнению с другими ее вариантами требует наименьших действий по конфигурированию. При этом нужно установить соответствие между локальными (частными) и глобальными (открытыми) адресами. Кроме того, необходимо указать маршрутизатору, на каких интерфейсах следует использовать трансляцию сетевых адресов, поскольку нат должна быть включена не на всех интерфейсах. В частности, маршрутизатору нужно указать каждый интерфейс и является ли он внутренним или внешним интерфейсом. Необходимо выполнить следующие конкретные действия.

  • Этап 1 — С помощью подкоманды интерфейса ip nat inside сконфигурировать интерфейсы таким образом, чтобы они находились во внутренней части схемы NAT
  • Этап 2 — С помощью подкоманды интерфейса ip nat outside сконфигурировать интерфейсы таким образом, чтобы они находились во внешней части схемы NAT
  • Этап 3 — сконфигурировать статические преобразования с помощью команды глобального конфигурирования ip nat inside source static inside-local inside-global

Настройка cisco nat, требует от вас найти IP-адреса, которые будут использоваться в качестве внутренних глобальных IP-адресов. Поскольку они должны быть частью некоторого диапазона зарегистрированных IP-адресов, обычной практикой является использование дополнительных адресов в подсети, соединяющей предприятие с сетью Интернет. Маршрутизатор может быть также сконфигурирован с петлевым (loopback) интерфейсом и ему может быть назначен IP-адрес, который является частью глобального уникального диапазона зарегистрированных IP-адресов.

Статические соответствия создаются с помощью команды ip nat inside source static. Ключевое слово inside означает, что nat транслирует адреса для узлов, находящихся во внутренней части сети. Ключевое слово source означает, что нат транслирует IP-адреса отправителя в пакетах, поступающих на ее внутренние интерфейсы. Ключевое слово static означает, что эти параметры определяют статическую запись, которая никогда не должна удаляться из таблицы нат в связи с истечением времени тайм-аута.

После создания записей статической трансляции, маршрутизатору нужно знать, какие интерфейсы являются внутренними (inside), а какие — внешними (outside). Подкоманды интерфейса ip nat indide и ip nat outside идентифицируют соответствующим образом каждый интерфейс.

Две команды show выводят наиболее важную информацию о трансляции сетевых адресов. Команда show ip nat translations выводит две записи статической нат, созданные в конфигурации. Команда show ip nat statistics выводит статистическую информацию, такую как количество активных в данный момент записей в таблице трансляции. Эта статистика также включает в себя количество повторных попаданий (hits), которое увеличивается на единицу с каждым пакетом, для которого NAT должна транслировать адреса.

Конфигурирование динамической трансляции NAT

Динамическая трансляция сетевых адресов, по-прежнему требует идентификации каждого интерфейса как внутреннего или внешнего, и, конечно, уже не нужно задавать статическое преобразование. Динамическая трансляция нат, использует списки управления доступом (access control list — ACL) для указания внутренних локальных (частных) IP-адресов, адреса которых должны транслироваться, и определяет пул зарегистрированных открытых IP-адресов, которые будут выделяться. Эти конкретные действия приведены ниже.

  • Этап 1 — Как и для статической NAT, необходимо сконфигурировать интерфейсы, которые будут находиться во внутренней части проекта NAT, с помощью подкоманды интерфейса ip nat inside
  • Этап 2 - Как и для статической NAT, необходимо сконфигурировать интерфейсы, которые будут находиться во внешней части проекта NAT, с помощью подкоманды интерфейса ip nat outside
  • Этап 3 — Сконфигурировать список ACL, соответствующий пакетам, поступающим на внутренние интерфейсы, для которых должна быть применена трансляция NAT
  • Этап 4 — Сконфигурировать пул открытых зарегистрированных IP-адресов с помощью команды режима глобального конфигурирования ip nat pool name first-address last-address mask subnet-mask
  • Этап 5 — Включить динамическую трансляция NAT, указав в команде глобального конфигурирования ip nat source list acl-number poll pool-name список доступа ACL (этап 3) и пул (этап 4)

Настройка nat (динамическая) включает в себя создание пула внутренних глобальных адресов, а также списка доступа протокола IP (сетевой уровень) для определения внутренних локальных адресов, в отношении которых выполняется адресация NAT. В команде ip nat pool указываются первый и последний номера в диапазоне внутренних глобальных адресов. Например, если пулу требуется десять адресов, то в команде могут быть казаны номера 200.1.1.1 и 200.1.1.10. Обязательный параметр netmask выполняет нечто вроде проверки действительности диапазона адресов. Если диапазон адресов с учетом используемого параметра netmask не окажется в той же самой подсети, то операционная система cisco IOS отвергнет команду ip nat pool. В данном случае подсеть 200.1.1.0 с маской 255.255.255.252 (сконфигурированный параметр netmask) будут включать в себя 200.1.1.1 и 200.1.1.2, которые находятся в диапазоне действительных адресов, поэтому IOS выполнит данную команду.

Как и для статической трансляции, динамическая NAT использует команду отправителя ip nat inside. Однако в отличие от статической NAT динамическая версия NAT (pat cisco) этой команды ссылается на имя пула трансляции NAT, который предполагается использовать для внутренних глобальных адресов.

Команда show ip nat statistics выводит некоторую весьма интересную информацию для поиска ошибок конфигурации в двух различных счетчиках, называемых счетчиками пропусков (misses). При первом появлении этого счетчика в нем отображается, сколько раз появился новый пакет, требующий записи NAT, но не получивший ее. В этот момент реагирует динамическая трансляция сетевых адресов и создает необходимую запись. Второй счетчик пропусков (misses) в конце вывода по команде отображает количество пропусков (misses) в пуле. Этот счетчик увеличивает свое значение на единицу, когда динамическая трансляция сетевых адресов, пытается выделить новую запись в таблице NAT и не находи доступного адреса, поэтому пакет не может быть транслирован, что, вероятно, приводит к тому, что конечный пользователь не может получить доступ к приложению. Команда show ip nat translation показывает текущие трансляции NAT. Следует также отметить, что запись в таблице NAT удаляется после истечения определенного периода отсутствия активности. Однако можно принудительно удалить запись из таблицы с помощью команды clear ip nat translation. Для вывода служебных сообщений трансляции сетевых адресов, используется команда debug ip nat. С помощью этой команды debug маршрутизатор отправляет сообщение каждый раз, когда адрес пакета транслируется для нат. Настройка nat не так сложна, как может показаться на первый взгляд



Comments

  1. Ответить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>