Администрирование Cisco Настройка NAT Fri, June 23 2017  

Поделиться

нашли опечатку?

Пожалуйста, сообщите об этом - просто выделите ошибочное слово или фразу и нажмите Shift Enter.


Настройка NAT Печать
Добавил(а) microsin   

[Команды настройки]

1. Привязка к интерфейсам статуса внешний или внутренний.
ip nat inside | outside

2. (Необязательный шаг.) Назначение пула глобальных адресов.
ip nat pool <pool-name1> &ltstart-ip> &ltend-ip> netmask <netmask> | prefix-length <prefix-length> [ type rotary ]

При назначении адресного пула используется начальный адрес, конечный адрес и маска сети. При необходимости именно эти адреса будут распределяться между клиентами при трансляции запросов от них наружу.

3. Создание списка внутренних адресов, подлежащих трансляции, с помощью ACL.
access-list <ACL-number> permit <NET1> <MASK1>
...
access-list <ACL-number> permit <NETn> <MASKn>

4a. Динамическая привязка друг к другу внутренних адресов и внешних.
ip nat inside source list <ACL-number> pool <pool-name1>

4b. Статическая привязка друг к другу внутренних адресов и внешних.
ip nat inside source static <global-ip> <local-ip>

4c. Привязка внутренних адресов к внешнему интерфейсу.
ip nat inside source list <ACL-number> interface <outside_interface> overload

5a. Динамическая привязка маскировки внутренних адресов другими адресами (произвольными, реально не существующими) из пула pool-name2
ip nat outside source list <ACL-number> pool <pool-name2>

5b. Статическая привязка маскировки внутренних адресов другими адресами (произвольными, реально не существующими)
ip nat outside source static <global-ip> <local-ip>

6. (Необязательный шаг.) Конфигурация трансляционного тайм-аута (блокировки по времени)
ip nat translation <timeout|udp-timeout|dns-timeout|tcp-timeout|finrst-timeout> <seconds>


Пример 1.
Трансляция между внутренними хостами, адресуемыми в сетях (либо 192.168.1.0, либо 192.168.2.0), и глобальной уникальной сетью 171.69.233.208/28.

ip nat pool net-20 171.69.233.208 171.69.233.223 netmask <netmask> 255.255.255.240
ip nat inside source list 1 pool net-20

interface Ethernet0
  ip address 171.69.232.182 255.255.255.240
  ip nat outside
interface Ethernet1
  ip address 192.168.1.94 255.255.255.0
  ip nat inside

access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

Пример 2.
Трансляция между внутренними хостами сети, адресуемыми в сети 9.114.11.0, и глобальной уникальной сетью 171.69.233.208/28. Пакеты с внешних хостов, адресуемых в сети 9.114.11.0 ("подлинной" сети 9.114.11.0), транслируются, чтобы производилось впечатление, что они из сети 10.0.1.0/24.
ip nat pool net-20 171.69.233.208 171.69.233.223 netmask <netmask> 255.255.255.240
ip nat pool net-10 10.0.1.0 10.0.1.255 netmask <netmask> 255.255.255.0

ip nat inside source list 1 pool net-20
ip nat outside source list 1 pool net-10

interface Ethernet0
  ip address 171.69.232.182 255.255.255.240
  ip nat outside
interface Ethernet1
  ip address 9.114.11.39 255.255.255.0
  ip nat inside

access-list 1 permit 9.114.11.0 0.0.0.255

Пример 3.
Компьютеру aa.bbb.3.245 из локальной сети aa.bbb.3.0/24 полностью разрешен выход в Интернет от имени публичного IP x.y.z.q. Остальным компьютерам локальной сети разрешен доступ только через EasyVPN к другой локальной сети.
interface FastEthernet4
 ip address x.y.z.q 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 crypto ipsec client ezvpn ezvpn-id

interface V1an1
 ip address aa.bbb.3.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 crypto ipsec client ezvpn ezvpn-id inside

ip nat inside source list al-nat interface FastEthernet4 overload 

ip access-list extended al-nat
 deny   ip any aa.0.0.0 0.255.255.255
 permit ip host aa.bbb.3.245 any


[Команды просмотра статистики и отладки]

1. Показ активной трансляции
show ip nat translations [ verbose ]

2. Показ трансляционной статистики
show ip nat statistics

3. Сброс динамической трансляции
clear ip nat translation
clear ip nat translation <global-ip>

4. Сброс статической трансляции
clear ip nat translation <global-ip> <local-ip> <proto> <global-port> <local-port>

5. Отладка
debug ip nat [ <list> ] [ detailed ]

 

Комментарии  

 
+2 #1 Антон 04.05.2009 18:38
Спасибо тебе огромное! Отличные примеры и комментарии. Очень помог
Цитировать
 

Добавить комментарий


Защитный код
Обновить

Top of Page