| Настройка NAT |
|
| Добавил(а) microsin |
|
Описаны основные команды и приведены примеры настройки. [Команды настройки] 1. Привязка к интерфейсам статуса внешний или внутренний. ip nat inside | outside 2. (Необязательный шаг.) Назначение пула глобальных адресов. ip nat pool < pool-name1> При назначении адресного пула используется начальный адрес, конечный адрес и маска сети. При необходимости именно эти адреса будут распределяться между клиентами при трансляции запросов от них наружу. 3. Создание списка внутренних адресов, подлежащих трансляции, с помощью ACL. access-list < ACL-number> permit < NET1> < MASK1> ... access-list < ACL-number> permit < NETn> < MASKn> 4a. Динамическая привязка друг к другу внутренних адресов и внешних. ip nat inside source list < ACL-number> pool < pool-name1> 4b. Статическая привязка друг к другу внутренних адресов и внешних. ip nat inside source static < global-ip> < local-ip> 4c. Привязка внутренних адресов к внешнему интерфейсу. ip nat inside source list < ACL-number> interface < outside_interface> overload 5a. Динамическая привязка маскировки внутренних адресов другими адресами (произвольными, реально не существующими) из пула pool-name2. ip nat outside source list < ACL-number> pool < pool-name2> 5b. Статическая привязка маскировки внутренних адресов другими адресами (произвольными, реально не существующими). ip nat outside source static < global-ip> < local-ip> 6. (Необязательный шаг.) Конфигурация трансляционного тайм-аута (блокировки по времени). ip nat translation < timeout|udp-timeout|dns-timeout|tcp-timeout|finrst-timeout> < seconds> [Пример 1] Трансляция между внутренними хостами, адресуемыми в сетях (либо 192.168.1.0, либо 192.168.2.0), и глобальной уникальной сетью 171.69.233.208/28. ip nat pool net-20 171.69.233.208 171.69.233.223 netmask < netmask> 255.255.255.240 ip nat inside source list 1 pool net-20 interface Ethernet0 ip address 171.69.232.182 255.255.255.240 ip nat outside interface Ethernet1 ip address 192.168.1.94 255.255.255.0 ip nat inside access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 [Пример 2] Трансляция между внутренними хостами сети, адресуемыми в сети 9.114.11.0, и глобальной уникальной сетью 171.69.233.208/28. Пакеты с внешних хостов, адресуемых в сети 9.114.11.0 ("подлинной" сети 9.114.11.0), транслируются, чтобы производилось впечатление, что они из сети 10.0.1.0/24. ip nat pool net-20 171.69.233.208 171.69.233.223 netmask < netmask> 255.255.255.240 ip nat pool net-10 10.0.1.0 10.0.1.255 netmask < netmask> 255.255.255.0 ip nat inside source list 1 pool net-20 ip nat outside source list 1 pool net-10 interface Ethernet0 ip address 171.69.232.182 255.255.255.240 ip nat outside interface Ethernet1 ip address 9.114.11.39 255.255.255.0 ip nat inside access-list 1 permit 9.114.11.0 0.0.0.255 [Пример 3] Компьютеру aa.bbb.3.245 из локальной сети aa.bbb.3.0/24 полностью разрешен выход в Интернет от имени публичного IP x.y.z.q. Остальным компьютерам локальной сети разрешен доступ только через EasyVPN к другой локальной сети. interface FastEthernet4 ip address x.y.z.q 255.255.255.252 ip nat outside ip virtual-reassembly crypto ipsec client ezvpn ezvpn-id interface V1an1 ip address aa.bbb.3.254 255.255.255.0 ip nat inside ip virtual-reassembly crypto ipsec client ezvpn ezvpn-id inside ip nat inside source list al-nat interface FastEthernet4 overload ip access-list extended al-nat deny ip any aa.0.0.0 0.255.255.255 permit ip host aa.bbb.3.245 any [Команды просмотра статистики и отладки] 1. Показ активной трансляции: show ip nat translations [ verbose ] 2. Показ трансляционной статистики: show ip nat statistics 3. Сброс динамической трансляции: clear ip nat translation clear ip nat translation < global-ip> 4. Сброс статической трансляции: clear ip nat translation < global-ip> < local-ip> < proto> < global-port> < local-port> 5. Отладка: debug ip nat [ < list> ] [ detailed ] |