Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Программа Сетевой академии Cisco CCNA 3 и 4 (Вс....docx
Скачиваний:
250
Добавлен:
21.07.2019
Размер:
32.57 Mб
Скачать

Функции nat и pat

Адресация NAT может функционировать статически или динамически и использо­ваться в различных целях. Статическая NAT-адресация предназначена для взаимно од­нозначного преобразования локальных и глобальных адресов, как показано на рис. 11.9. Это особенно полезно для внутренних IP-узлов, которые должны быть доступны из Internet, таких как сервер DNS или сервер электронной почты {e-mail server).

Рис. 11.9. Статическая NAT-адресация

Динамическая NAT-адресация предназначена для преобразования незарегистри­рованных IP-адресов в зарегистрированный IP-адрес из группы зарегистрированных IP-адресов, как показано на рис. 11.10.

Рис. 11,10. Динамическая NA Т-адресация

Корпорация Cisco определила для NAT-адресации следующие термины.

  • Внутренние локальные адреса (Inside local address) — IP-адреса, назначенные узлу во внутренней сети; обычно это частные адреса, соответствующие RFC 1918.

  • Внутренние глобальные адреса (Inside global address) —Зарегистрированные IP-адреса, назначаемые провайдером службы или выделяемые из регионального регистра Internet (Regional Internet Registries — RIR). Они предоставляют один или более внутренних локальных IP-адресов для связи с внешней сетевой средой.

  • Внешние локальные адреса (Outside local address) — IP-адреса внешних узлов, в том виде как они известны узлам внутренней сети.

  • Внешние глобальные адреса (Outside global address) — IP-адрес, назначаемый владельцем узла, этому узлу для использования во внешней сети.

Адресация NAT предоставляет следующие преимущества.

  • Отсутствует передача служебной информации, связанная с переадресацией, вызванной, например, сменой провайдера службы Internet. Пропадает необходимость переадресации всех устройств, которым требуется доступ за пределами сети. Это сокращает финансовые затраты и экономит время.

  • Экономятся адреса за счет мультиплексирования на уровне "порт-приложение". При использовании NAT внутренние узлы могут совместно использовать один зарегистрированный IP-адрес для внешних связей. При этом типе связи требуется относительно немного внешних адресов для поддержки многих внутренних узлов, что экономит IP-адреса.

  • Повышается уровень безопасности в сети. Поскольку частные сети не анонсируют свои адреса или внутреннюю топологию, они сохраняют высокий уровень безопасности, в сочетании с NAT для получения контролируемого внешнего доступа.

Конфигурирование nat и pat

В настоящем разделе рассматриваются следующие вопросы конфигурирования:

  • статическая трансляция;

  • динамическая трансляция;

  • перезагрузка NAT (PAT).

Статическая трансляция

Под статической трансляцией понимается ручное конфигурирование адресов в про­смотровой таблице. Конкретный внутренний локальный адрес преобразуется в заранее определенный внутренний глобальный адрес. Внутренний локальный и внутренний гло­бальный адреса статически преобразуются друг в друга. Это означает, что для каждого внутреннего локального адреса при использовании статической NAT требуется внутрен­ний глобальный адрес. Для того, чтобы сконфигурировать статическую трансляцию внутреннего адреса, требуется выполнить действия, описанные в табл. 11.2.

Таблица 11.2. Конфигурирование статической адресации NAT

Этап

Действие

Примечания

1.

Задать статическую трансляцию внутреннего локального адреса во внутренний глобальный адрес. Router (config} #ip nat inside source stetic local-ip global-ip

Для удаления статической трансляции следует ввести в режиме глобального конфигурирования команду no ip nat inside source static

2.

Задать внутренний интерфейс

Router (config)#interface type Number

Пометить интерфейс как принадлежащий к внутренней сети

Router (config-if) flip nat inside

При вводе команды interface подсказка CLI изменяется с (config)* на (config-if)#.

Этап

Действие

Примечания

3.

Задать выходной интерфейс .

Router (config-if) #interface type number

Пометить интерфейс как подсоединенный извне

Router (config-if) #ip nat outside

Статическая трансляция записывается непосредственно в конфигурацию и эти преобразования можно увидеть в таблице трансляции. В примере 11.1 показаны со­ответствующие команды для маршрутизаторов IOS Cisco.

Пример 11.1. Конфигурирование шлюза NAT

Router(config]#ip nat inside source static 10.1.1.2 192.168.1.2

Router(config)#interface s0

Router(config-if)#ip nat outside

Router(config-if)#interface e0

Router(config-if]#ip nat inside

На рис. 11.11 показано использование статической NAT. Маршрутизатор заменя­ет в пакете адрес источника 10.1.1.2 адресом 192.168.1.2. В примере 11.2 приведено конфигурирование шлюза.

Рис. 11.11. Пример статической адресации NAT

Пример 11.2. Конфигурирование шлюза

hostname GW

!

ip nat inside source static 10.1.1. 2 192.168.1.2

!

interface Ethernet0

ip address 10.1.1.1 255.255.255.0

ip nat inside

!

interface Seria10

ip address 192.168.1.1 255.255.255.0

ip nat outside

!

ip nat inside source static 10.1.1.2 192.168.1.2

Динамическая трансляция адресов

При использовании динамической трансляции адресов преобразования адресов не существуют в NAT-таблице до тех пор, пока маршрутизатор не получит данные, для которых такая трансляция требуется (тип таких данных задается администрато­ром). Динамические преобразования адресов являются временными и в конечном итоге устаревают и удаляются. Для того, чтобы сконфигурировать трансляцию внут­ренних адресов, следует выполнить действия, описанные в табл. 11.3.

Таблица 11.3. Конфигурирование динамической NAT

Этап

Действие

Примечания

1.

Задать набор глобальных адресов, которые будут использоваться по мере необходимости

Router(config)#ip nat pool имя нач-ip конеч-ip {netmask маска | prefix-length длина -преф}

.

Для удаления набора глобальных адресов следует ввести в режиме глобального конфигурирования команду no ip nat pool

2.

Создать список доступа для идентификации хостов при трансляции

Router(config)#access-list номер-списка permit источник [шаблон-источ]

Для удаления списка доступа следует ввести в режиме глобального конфигурирования команду no access-list номер-списка

3.

Сконфигурировать динамический NAT на основе адресов источника

Router(config)#ip nat inside source list номер-списка-дост pool имя

Для удаления динамического NAT следует ввести в режиме глобального конфигурирования команду no ip nat inside source

4.

Указать внутренний интерфейс

Router(con£ig)#interface тип номер

Router(oonfig-if)#ip nat inside

После ввода команды interface, приглашение командной строки изменяется

с (config)# нa (config-if)#

5.

Указать внешний интерфейс

Router(config) )#interface тип номер

Router (config-if)#ip nat outside

При динамической трансляции задается пул глобальных адресов, в которые могут быть преобразованы внутренние адреса, как показано в примере 11.3.

Пример 11.3. Конфигурирование динамической NAT

Router(config)#ip nat pool nat-pool 179.9.B.80 179.9.8.95 netmask 255.255.255.0 255.255.255.240

Список доступа должен определять только те адреса, которые следует транслиро­вать. Следует помнить о том, что неявная команда deny all присутствует в каж­дого списка доступа. Недостаточно строгий список доступа может привести к не­предсказуемым результатам. Cisco настоятельно рекомендует не конфигурировать списки доступа, на которые ссылаются команды NAT с permit any. Использование permit any может привести к тому, что NAT будет потреблять слишком много ресурсов маршрутизатора, что может вызвать проблемы в сети.

Приведенные ниже команды конфигурируют соответствующие интерфейсы для выполнения внутренних и внешних функций.

Router(config)#interface s0

Router(config-if)#ip nat outside

Router(config-if)#interface e0

Router(config-if)#ip nat inside

В примере на рис. 11.12 происходит трансляция всех адресов, проходящих через список доступа 1 (имеющие адрес источника от 10.0.0.0/16) в адрес из пула с именем nat-pool. Этот пул содержит адреса из диапазона от 179.9.8.80/28 до 179.9.8.95/28.

Рис. 11.12. Пример работы адресации PAT

Конфигурирование для GW показано в примере 11.4.

Пример 11.4. Конфигурирование дли GW

<вывод пропущен>

ip nat pool nat-pooll 179.9.8.80 179.9.8.95 netmask 255.255.255.0

ip nat inside source list 1 pool nat-pool1

!

interface fastethernet0/0

ip address 10.1.1.1 255.255.255.0

ip nat inside

!

interface Serial0/0

ip address 192.168.1.1 255.255.255.0

ip nat outside

!

ПРИМЕЧАНИЕ

NAT не будет транслировать адрес узла 10.1.1.2, поскольку его трансляция не разрешена спи­ском доступа.

Перезагрузка NAT

Одной из наиболее мощных функций NAT является способность использовать PAT. Это иногда называется NAT-адресацией "много-в-один" или перегрузкой ад­реса. При использовании перегрузки (overloading) сотни узлов с частными адресами могут получать доступ к Internet, используя лишь один глобальный адрес. NAT-

маршрутизатор отслеживает различные сеансы связи устанавливая соответствие TCP и номеров портов UDP в таблице трансляции.

Для того, сконфигурировать перегрузку внутренних глобальных адресов, следует выполнить действия, описанные в табл. 11.4.

Таблица 11.4 Конфигурирование перегрузки в NAT

Этап

Действие

Примечания

1.

Определить стандартный список доступа, разрешающий те адреса, которые должны транслироваться

Router(config)#access-list номер-списка permit источник [шаблон-источ

Для удаления списка доступа следует внести в режиме глобального конфигурирования команду no access-list номер-списка

2 A.

Сконфигурировать динамический NAT на основе адресов источника, указать список доступа, определенный на предыдущем этапе.

Router(config)#ip nat inside source list номер-списка-дост interface интерфейс overload

Для удаления динамического NAT следует ввести в режиме глобального конфигурирования команду no ip nat inside source. Ключевое слово overload задает PAT.

2 Б.

Задать набор глобальных адресов, которые будут использоваться для перегрузки.

Router{config)#ip net pool имя ip-адр {netmask Macкa | prefix-length длина-преф}

Запустить трансляцию с перегрузкой.

Router(config)#ip nat inside source list номер-списка-дост pool имя overload

3.

Указать внутренний интерфейс

Router(config)#interface тип номер

Router[config-if)#ip nat inside

После ввода команды Interface, приглашение командной строки изменяется c (config)# нa (config-if)#

4.

Указать внешний интерфейс

Router(config) interface тип номер

Router(config-if)#ip nat outside

Следует определить стандартный IP-список доступа, разрешив внутренние локаль­ные, для которых должна выполняться трансляция, как показано в примере 11.5..

Пример 11.5. Стандартный список доступа для IP-адресов

Router(config)#access-list 1 permit 10.0.0.0 0.0.255.255

Задать перегрузку трансляции, указав IP-адрес, который должен быть перегру­жен, как адрес, назначенный внешнему интерфейсу (Пример 11.6).

Пример 11.6. Перегрузка на интерфейсе

Router(config)#ip nat inside source list 1 interface serial0/0 overload

Задать перегрузку трансляции, указав IP-адрес, который должен быть перезагру­жен, как адрес, назначенный имени пула (Пример 11.7).

Пример 11.7. Перегрузка с использованием пула

Router(config)#ip nat pool nat-pool2 179.9.8.20 netmask 255.255.255.240

Router(config)#ip nat inside source list Ipool nat-pool2 overload

Router(config)#interface s0 Router(config-if)#ip nat outside

Router(config-if)#interface ethernet 0

Router(config-if)#ip nat inside

Лабораторная работа: конфигурирование NAT

В этой работе требуется сконфигурировать маршрутизатор, используя NAT для преобразования внутренних частных IP-адресов во внешние общедоступные адреса.

.

Лабораторная работа: конфигурирование PAT

В этой работе требуется сконфигурировать маршрутизатор, используя PAT для преобразования внутренних частных IP-адресов во внешние общедоступные адреса.

Лабораторная работа: конфигурирование статических NAT-адресов

В этой работе требуется сконфигурировать маршрутизатор, используя PAT для преобразования внутренних частных IP-адресов во внешние общедоступные адреса, Требуется также задать статические IP-преобразования для обеспечения внешнего доступа к внутренним персональным компьютерам..