Как настроить NAT: тонкие настройки трансляции адресов на Cisco IOS

Как настроить NAT: тонкие настройки трансляции адресов на Cisco IOS

Рассмотрим, как настроить NAT на маршрутизаторе Cisco, а также сделать тонкие настройки сервиса трансляции адресов (PAT, NAT Virtual Interface, NAT timeout, max-entries). Исследуемая топология состоит из маршрутизатора Cisco 2911 с ПО Cisco IOS 15.0. Допускается использование других маршрутизаторов и версий Cisco IOS.

NAT (Network Address Translation) обычно реализуется на пограничных устройствах, таких как межсетевые экраны или маршрутизаторы, что позволяет устройствам в организации иметь частные адреса. NAT преобразует частные адреса в общедоступные и наоборот, сохраняя соответствие между ними для обратного трафика. NAT можно настроить для преобразования всех частных адресов только в один общедоступный адрес или для выбора из пула общедоступных адресов.

Согласно стандарту RFC 1918 для частного использования выделено следующее адресное пространство IPv4:

  • Сети класса A: от 10.0.0.0 до 10.255.255.255
  • Сети класса B: от 172.16.0.0 до 172.31.255.255
  • Сети класса C: от 192.168.0.0 до 192.168.255.255

 

Типы NAT:

  • Статический NAT — это преобразование «один в один». Статический NAT особенно полезен, когда устройство должно быть доступно извне сети.
  • Динамический NAT — это преобразование «много во много» с использованием пула (диапазона) адресов. Когда внутреннее устройство обращается к внешней сети, ему назначается доступный IPv4-адрес из пула в порядке очереди. При использовании динамического NAT необходимо убедиться, что в пуле достаточно адресов, чтобы удовлетворить общее количество пользовательских сеансов.
  • PAT (Port Address Translation) — это преобразование «много в один»; например, он сопоставляет несколько внутренних локальных IPv4-адресов с одним внутренним глобальным IPv4-адресом, отслеживая номера портов. PAT также известен как NAT с перегрузкой (NAT overloading).

В данной статье будут рассмотрены настройки PAT на маршрутизаторе.

 

Топология

 

Как настроить NAT: тонкие настройки трансляции адресов на Cisco IOS

 

Начальные настройки на маршрутизаторе

 

 

Настройки PAT на маршрутизаторе

 

Настроим NAT для внутренней сети 192.168.10.0/24 и статический NAT для сервера 172.16.10.10:

 

 

Осталось настроить NAT на интерфейсах, которые являются либо внутренними (inside), либо внешними (outside) с точки зрения NAT.

Начиная с версии программного обеспечения Cisco IOS 12.3 (14) T Cisco представила новую функцию — виртуальный интерфейс NAT (NAT virtual interface, NVI), — которая устраняет необходимость настройки интерфейса как внутреннего, так и внешнего.

Порядок действий NVI также немного отличается от NAT. Напомним, что классический NAT сначала выполняет маршрутизацию, а затем трансляцию при переходе от внутреннего интерфейса к внешнему, и наоборот, когда поток трафика меняется на противоположный. Однако NVI выполняет маршрутизацию, трансляцию и снова маршрутизацию; NVI выполняет операцию маршрутизации дважды, до и после трансляции, прежде чем перенаправить пакет на выходной интерфейс. Весь процесс симметричен, независимо от того, в какую сторону движется трафик.

Например, если нужно маршрутизировать трафик с внутренней сети на сервер в другой внутренней сети, но при этом доступный по публичному IP-адресу, то этот сценарий не будет работать, если используется классический NAT. Из-за добавленного шага маршрутизации пакеты могут проходить, в классических терминах NAT, с внутреннего интерфейса на внутренний, и это решает проблему классического NAT.

Для того, чтобы закончить настройки NAT на маршрутизаторе, осталось настроить на всех интерфейсах команду ip nat enable.

 

 

Проверка настроек

 

 

 

Когда пакет входит в маршрутизатор с NAT на любой интерфейс с поддержкой NAT, он сопоставляется с таблицей преобразования NAT. Если есть совпадение, пакет направляется на интерфейс NVI0, где происходит трансляция. После процесса трансляции пакет снова маршрутизируется и пересылается на соответствующий интерфейс.
Интерфейсу NVI0 назначается IPv4-адрес, который необходим для внутренней работы Cisco IOS. Назначенный IPv4-адрес не влияет на поведение NAT; он копируется с первого физического интерфейса или с первого интерфейса, на котором включен NAT.

 

 

Настройка тайм-аута и максимального количества записей NAT на маршрутизаторе

 

Динамическая трансляция сетевых адресов (Dynamic NAT) создает записи в таблице трансляции, когда пакет проходит от внутреннего интерфейса NAT к внешнему интерфейсу NAT или наоборот. Эти записи имеют значение тайм-аута по умолчанию, по истечении которого они удаляются из таблицы, если в течение этого тайм-аута нет активности. Для TCP-соединений период ожидания по умолчанию составляет 86400 секунд, или 24 часа, для UDP всего 300 секунд, или 5 минут. Статические записи NAT никогда не истекают по тайм-ауту и всегда остаются в таблице.

Для того, чтобы узнать тайм-аут для конкретного соединения, можно использовать команду show ip nat nvi translations verbose.

 

Как настроить NAT: тонкие настройки трансляции адресов на Cisco IOS

 

При использовании динамического NAT может потребоваться уменьшение значения тайм-аута, когда продолжительность связи между конечными узлами мала и небольшой пул глобальных адресов используется для преобразования большего пула локальных адресов. Это позволяет быстро закончится тайм-ауту существующих записей NAT, так что глобальные адреса могут быть повторно использованы локальными адресами.

Чтобы изменить значение тайм-аута по умолчанию, в режиме глобальной конфигурации введите команду

 

 

Если настроен PAT с динамической трансляцией, можно изменить значения тайм-аута на основе протокола.

Для экономии памяти маршрутизатора также можно определить максимальное количество записей таблицы трансляции NAT:

 

 

Спасибо за уделенное время на прочтение статьи о том, как настроить NAT на маршрутизаторе с ПО Cisco IOS и сделать тонкие настройки сервиса трансляции адресов (PAT, NAT Virtual Interface, NAT timeout, max-entries)!

 

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Новости

Больше похожих постов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Самое читаемое
Меню
Send this to a friend