Администрирование Cisco Настройка NAT Fri, December 06 2024  

Поделиться

Нашли опечатку?

Пожалуйста, сообщите об этом - просто выделите ошибочное слово или фразу и нажмите Shift Enter.


Настройка NAT Печать
Добавил(а) microsin   

Описаны основные команды и приведены примеры настройки.

[Команды настройки]

1. Привязка к интерфейсам статуса внешний или внутренний.

ip nat inside | outside

2. (Необязательный шаг.) Назначение пула глобальных адресов.

ip nat pool < pool-name1>   netmask < netmask> | prefix-length
 < prefix-length> [ type rotary ]

При назначении адресного пула используется начальный адрес, конечный адрес и маска сети. При необходимости именно эти адреса будут распределяться между клиентами при трансляции запросов от них наружу.

3. Создание списка внутренних адресов, подлежащих трансляции, с помощью ACL.

access-list < ACL-number> permit < NET1> < MASK1>
...
access-list < ACL-number> permit < NETn> < MASKn>

4a. Динамическая привязка друг к другу внутренних адресов и внешних.

ip nat inside source list < ACL-number> pool < pool-name1>

4b. Статическая привязка друг к другу внутренних адресов и внешних.

ip nat inside source static < global-ip> < local-ip>

4c. Привязка внутренних адресов к внешнему интерфейсу.

ip nat inside source list < ACL-number> interface < outside_interface> overload

5a. Динамическая привязка маскировки внутренних адресов другими адресами (произвольными, реально не существующими) из пула pool-name2.

ip nat outside source list < ACL-number> pool < pool-name2>

5b. Статическая привязка маскировки внутренних адресов другими адресами (произвольными, реально не существующими).

ip nat outside source static < global-ip> < local-ip>

6. (Необязательный шаг.) Конфигурация трансляционного тайм-аута (блокировки по времени).

ip nat translation < timeout|udp-timeout|dns-timeout|tcp-timeout|finrst-timeout> < seconds>

[Пример 1]

Трансляция между внутренними хостами, адресуемыми в сетях (либо 192.168.1.0, либо 192.168.2.0), и глобальной уникальной сетью 171.69.233.208/28.

ip nat pool net-20 171.69.233.208 171.69.233.223 netmask < netmask> 255.255.255.240
ip nat inside source list 1 pool net-20
 
interface Ethernet0
  ip address 171.69.232.182 255.255.255.240
  ip nat outside
 
interface Ethernet1
  ip address 192.168.1.94 255.255.255.0
  ip nat inside
 
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

[Пример 2]

Трансляция между внутренними хостами сети, адресуемыми в сети 9.114.11.0, и глобальной уникальной сетью 171.69.233.208/28. Пакеты с внешних хостов, адресуемых в сети 9.114.11.0 ("подлинной" сети 9.114.11.0), транслируются, чтобы производилось впечатление, что они из сети 10.0.1.0/24.

ip nat pool net-20 171.69.233.208 171.69.233.223 netmask < netmask> 255.255.255.240
ip nat pool net-10 10.0.1.0 10.0.1.255 netmask < netmask> 255.255.255.0 
 
ip nat inside source list 1 pool net-20 
ip nat outside source list 1 pool net-10
 
interface Ethernet0
  ip address 171.69.232.182 255.255.255.240
  ip nat outside
 
interface Ethernet1
  ip address 9.114.11.39 255.255.255.0
  ip nat inside
 
access-list 1 permit 9.114.11.0 0.0.0.255

[Пример 3]

Компьютеру aa.bbb.3.245 из локальной сети aa.bbb.3.0/24 полностью разрешен выход в Интернет от имени публичного IP x.y.z.q. Остальным компьютерам локальной сети разрешен доступ только через EasyVPN к другой локальной сети.

interface FastEthernet4
 ip address x.y.z.q 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 crypto ipsec client ezvpn ezvpn-id
 
interface V1an1
 ip address aa.bbb.3.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 crypto ipsec client ezvpn ezvpn-id inside
 
ip nat inside source list al-nat interface FastEthernet4 overload 
 
ip access-list extended al-nat
 deny   ip any aa.0.0.0 0.255.255.255
 permit ip host aa.bbb.3.245 any

[Команды просмотра статистики и отладки]

1. Показ активной трансляции:

show ip nat translations [ verbose ]

2. Показ трансляционной статистики:

show ip nat statistics

3. Сброс динамической трансляции:

clear ip nat translation
clear ip nat translation < global-ip>

4. Сброс статической трансляции:

clear ip nat translation < global-ip> < local-ip> < proto> < global-port> < local-port>

5. Отладка:

debug ip nat [ < list> ] [ detailed ]
 

Добавить комментарий


Защитный код
Обновить

Top of Page