Как настроить NAT: тонкие настройки трансляции адресов на Cisco IOS

Как настроить NAT: тонкие настройки трансляции адресов на Cisco IOS

Рассмотрим, как настроить NAT на маршрутизаторе Cisco, а также сделать тонкие настройки сервиса трансляции адресов (PAT, NAT Virtual Interface, NAT timeout, max-entries).

Содержание:

  1. Что такое NAT
  2. Какие есть типы NAT
  3. Топология
  4. Начальные настройки на маршрутизаторе
  5. Настройки PAT на маршрутизаторе
  6. Что такое NVI
  7. Проверка настроек
  8. Настройка тайм-аута и максимального количества записей NAT на маршрутизаторе
  9. Выводы

Что такое NAT

NAT (Network Address Translation) обычно реализуется на пограничных устройствах, таких как межсетевые экраны или маршрутизаторы, что позволяет устройствам в организации иметь частные адреса. NAT преобразует частные адреса в общедоступные и наоборот, сохраняя соответствие между ними для обратного трафика. NAT можно настроить для преобразования всех частных адресов только в один общедоступный адрес или для выбора из пула общедоступных адресов.

Согласно стандарту RFC 1918, для частного использования выделено следующее адресное пространство IPv4:

  • Сети класса A: от 10.0.0.0 до 10.255.255.255
  • Сети класса B: от 172.16.0.0 до 172.31.255.255
  • Сети класса C: от 192.168.0.0 до 192.168.255.255

Какие есть типы NAT

Типы NAT:

  • Статический NAT — это преобразование «один в один». Статический NAT особенно полезен, когда устройство должно быть доступно извне сети.
  • Динамический NAT — это преобразование «много во много» с использованием пула (диапазона) адресов. Когда внутреннее устройство обращается к внешней сети, ему назначается доступный IPv4-адрес из пула в порядке очереди. При использовании динамического NAT необходимо убедиться, что в пуле достаточно адресов, чтобы удовлетворить общее количество пользовательских сеансов.
  • PAT (Port Address Translation) — это преобразование «много в один»; например, он сопоставляет несколько внутренних локальных IPv4-адресов с одним внутренним глобальным IPv4-адресом, отслеживая номера портов. PAT также известен как NAT с перегрузкой (NAT overloading).

В данной статье будут рассмотрены настройки PAT на маршрутизаторе.

Топология

Исследуемая топология состоит из маршрутизатора Cisco 2911 с ПО Cisco IOS 15.0. Допускается использование других маршрутизаторов и версий Cisco IOS.

 

Как настроить NAT: тонкие настройки трансляции адресов на Cisco IOS

Начальные настройки на маршрутизаторе

Настройки PAT на маршрутизаторе

Настроим NAT для внутренней сети 192.168.10.0/24 и статический NAT для сервера 172.16.10.10:

 

Осталось настроить NAT на интерфейсах, которые являются либо внутренними (inside), либо внешними (outside) с точки зрения NAT.

Что такое NVI

Начиная с версии программного обеспечения Cisco IOS 12.3 (14) T, Cisco представила новую функцию — виртуальный интерфейс NAT (NAT virtual interface, NVI), которая устраняет необходимость настройки интерфейса как внутреннего, так и внешнего.

Порядок действий NVI также немного отличается от NAT. Напомним, что классический NAT сначала выполняет маршрутизацию, а затем трансляцию при переходе от внутреннего интерфейса к внешнему, и наоборот, когда поток трафика меняется на противоположный. Однако NVI выполняет маршрутизацию, трансляцию и снова маршрутизацию; NVI выполняет операцию маршрутизации дважды, до и после трансляции, прежде чем перенаправить пакет на выходной интерфейс. Весь процесс симметричен, независимо от того, в какую сторону движется трафик.

Например, если нужно маршрутизировать трафик с внутренней сети на сервер в другой внутренней сети, но при этом доступный по публичному IP-адресу, то этот сценарий не будет работать, если используется классический NAT. Из-за добавленного шага маршрутизации, пакеты могут проходить, в классических терминах NAT, с внутреннего интерфейса на внутренний, и это решает проблему классического NAT.

Для того, чтобы закончить настройки NAT на маршрутизаторе, осталось настроить на всех интерфейсах команду ip nat enable.

Проверка настроек

 

Когда пакет входит в маршрутизатор с NAT на любой интерфейс с поддержкой NAT, он сопоставляется с таблицей преобразования NAT. Если есть совпадение, пакет направляется на интерфейс NVI0, где происходит трансляция. После процесса трансляции пакет снова маршрутизируется и пересылается на соответствующий интерфейс.

Интерфейсу NVI0 назначается IPv4-адрес, который необходим для внутренней работы Cisco IOS. Назначенный IPv4-адрес не влияет на поведение NAT; он копируется с первого физического интерфейса или с первого интерфейса, на котором включен NAT.


Настройка тайм-аута и максимального количества записей NAT на маршрутизаторе

Динамическая трансляция сетевых адресов (Dynamic NAT) создает записи в таблице трансляции, когда пакет проходит от внутреннего интерфейса NAT к внешнему интерфейсу NAT или наоборот. Эти записи имеют значение тайм-аута по умолчанию, по истечении которого они удаляются из таблицы, если в течение этого тайм-аута нет активности. Для TCP-соединений период ожидания по умолчанию составляет 86400 секунд, или 24 часа, для UDP всего 300 секунд, или 5 минут. Статические записи NAT никогда не истекают по тайм-ауту и всегда остаются в таблице.

Для того, чтобы узнать тайм-аут для конкретного соединения, можно использовать команду show ip nat nvi translations verbose.

Как настроить NAT: тонкие настройки трансляции адресов на Cisco IOS

При использовании динамического NAT может потребоваться уменьшение значения тайм-аута, когда продолжительность связи между конечными узлами мала, и небольшой пул глобальных адресов используется для преобразования большего пула локальных адресов. Это позволяет быстро закончится тайм-ауту существующих записей NAT, так что глобальные адреса могут быть повторно использованы локальными адресами.

Чтобы изменить значение тайм-аута по умолчанию, в режиме глобальной конфигурации введите команду

 

Если настроен PAT с динамической трансляцией, можно изменить значения тайм-аута на основе протокола.

Для экономии памяти маршрутизатора также можно определить максимальное количество записей таблицы трансляции NAT:

Выводы

Спасибо за уделенное время на прочтение статьи. Теперь вы больше знаете о том, как настроить NAT на маршрутизаторе с ПО Cisco IOS и сделать тонкие настройки сервиса трансляции адресов (PAT, NAT Virtual Interface, NAT timeout, max-entries)!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.
Что Вы получите?
  • Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
  • Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проведем вечерние онлайн-лекции на нашей платформе.
  • Согласуем с вами удобное время для практик.
  • Если хотите индивидуальный график — обсудим и реализуем.
  • Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
  • Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
А еще поможем Вам:
  • отредактировать или создать с нуля резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.

Больше похожих постов

1 комментарий. Оставить новый

  • switchport port-security (maximum 60) (mac-address sticky)
    switchport port-security viblation protest

    access-list 101 permit tcp host any eq 22
    Ip access—group 101 in
    Line vty 0 15
    Access-class 101 in

    Interface tunnel 0
    Ip address
    Tunnel source gigabit 0/0
    Tunnel destination
    Ospf
    router ospf 1
    network area 0
    По очереди.

    Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения


Поиск по сайту
Лучшее
Популярное
Рубрики
Меню