Настройка NAT

В середине 90-х годов протокол NAT стал популярен из-за проблемы нехватки IPv4 адресов. Большинство систем, которые используют NAT имеют несколько сетевых устройств в сети с частными IP адресами и для выхода в интернет используют публичные IP адреса.

В обычной конфигурации, сетевым устройствам локальной сети радаются IP адреса из пула выделенных частных IP адресов:

1) 192.168.х.х

2) 172.16.х.х - 172.31.х.х

3) 10.х.х.х

Частные IP адреса не маршрутизируются в интернете, поэтому маршрутизатору, который выходит в интернет напрямую, на интерфейс во внутренней сети назначается так же частный IP адрес, а на внешний сетевой интерфейс назначается один или несколько публичных IP адресов. Затем, при помощи протокола NAT происходить преобразование частных IP адресов во внешние.

Существуют несколько разновидностей протокола NAT:

1) Статический NAT - частный IP адрес преобразуется во внешний IP адрес один к одному. Часто применятся, когда сетевое устройство должно быть доступно из интернета или снаружи сетки.

2) PAT (Port address translation) - отображает несколько внутренний адресов в один внешний адрес, использую порты. Например, у вас есть три внутренних адреса 172.1.1.1, 172.1.1.2, 172.1.1.3, и один внешний адрес 192.1.1.1. При использование PAT адреса будут преобазованны следующим образом:

172.1.1.1 - 192.1.1.1:6001

172.1.1.2 - 192.1.1.1:6002

172.1.1.3 - 192.1.1.1:6003

Основные функции NAT:

1) Позволяет сэкономить IP-адреса.

2) Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу.

3) Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов.

Пример настройки NAT:
//Настройка IP адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса//
interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside

//Настройка IP адреса для Ethernet 1 и использование в качестве внутреннего NAT интерфейса//
interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside

//Настройка IP адреса для serial 0 и использование в качестве внешнего NAT интерфейса//
interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside

//Конфигурирование именованного пула NAT с рядом адресов 172.16.10.1 - 172.16.10.63//
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24

//Указание какие пакеты могут "проходить" через внутренний интерфейс разрешение следующим acl - access-list 7 транслирование исходного адреса "наружу" NAT pool "no-overload"//
ip nat inside source list 7 pool no-overload

//Access-list 7 разрешает пакеты от следующих сетей 10.10.10.0/24 и 10.10.20.0/24 //
access-list 7 permit 10.10.10.0 0.0.0.255
access-list 7 permit 10.10.20.0 0.0.0.255

Пример настройки PAT:

//Настройка IP адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса//

interface ethernet 0

ip address 10.10.10.1 255.255.255.0

ip nat inside

//Настройка IP адреса для Ethernet 1 и использование в качестве внутреннего NAT интерфейса//

interface ethernet 1

ip address 10.10.20.1 255.255.255.0

ip nat inside

//Настройка IP адреса для serial 0 и использование в качестве внешнего NAT интерфейса//

interface serial 0

ip address 172.16.10.64 255.255.255.0

ip nat outside

//Конфигурирование именованного пула с адресом 172.16.10.1//

ip nat pool patpool 172.16.10.1 172.16.10.1 prefix 24

//Указание какие пакеты могут "проходить" через внутренний интерфейс разрешение следующим acl - access-list 7 транслирование исходного адреса "наружу" NAT pool "patpool"//

ip nat inside source list 7 pool patpool overload

//Access-list 7 разрешает пакеты от следующих сетей 10.10.10.0/24 и 10.10.20.0/24 //

access-list 7 permit 10.10.10.0 0.0.0.255

access-list 7 permit 10.10.20.0 0.0.0.255

Видео урок (скачать)