Как настроить nat на роутере cisco

    Introduction

    This document describes how to configure the Network Address Translation (NAT) on a Cisco router.

    Prerequisites

    Requirements

    This document requires a basic knowledge of the terms used in connection with NAT. 

    Components Used

    The information in this document is based on these software and hardware versions:

    • Cisco 2500 Series Routers

    • Cisco IOS®Software Release 12.2 (10b)

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, ensure that you understand the potential impact of any command.

    Conventions

    Refer to Cisco Technical Tips Conventions for more information on document conventions.

    Quick Start Steps to Configure and Deploy NAT

    Note: In this document, when the internet, or an internet device is referred to, it means a device on any external network.

    When you configure NAT, it is sometimes difficult to know where to begin, especially if you are new to NAT. These steps guide you to define what you want NAT to do and how to configure it:

    1. Define NAT inside and outside interfaces .

      • Do users exist off multiple interfaces?

      • Are there multiple interfaces available to the internet?

    2. Define what you want to accomplish with NAT.

      • Do you want to allow internal users to access the internet ?

      • Do you want to allow the internet to access internal devices (such as a mail server or web server)?

      • Do you want to redirect TCP traffic to another TCP port or address ?

      • Do you want to use  NAT during a network transition (for example, you changed a server IP address and until you can update all the clients you want the non-updated clients to be able to access the server with the original IP address as well as allow the updated clients to access the server with the new address)?

      • Do you want to use to allow networks that overlap to communicate ?

    3. Configure NAT in order to accomplish what you defined previously. Based on what you defined in step 2, you need determine which of the next features to use:

      • Static NAT

      • Dynamic NAT

      • Overloading

      • Any combination of these features.

    4. Verify the NAT operation.

    Each of these NAT examples guides you through steps 1 through 3 of the Quick Start Steps in the previous image. These examples describe some common scenarios in which Cisco recommends you deploy NAT.

    Define NAT Inside and Outside Interfaces

    The first step to deploy NAT is to define NAT inside and outside interfaces. You can find it easiest to define your internal network as inside, and the external network as outside. However, the terms internal and external are subject to arbitration as well. This figure shows an example of this.

    NAT TopologyNAT Topology

    Examples

    1. Allow Internal Users to Access the Internet

    Is possible that you want to allow internal users to access the internet, but you do not have enough valid addresses to accommodate everyone. If all communication with devices in the internet originate from the internal devices, you need a single valid address or a pool of valid addresses.

    This figure shows a simple network diagram with the router interfaces defined as inside and outside.

    Available Valid AddressesAvailable Valid Addresses

    In this example, you want NAT to allow certain devices (the first 31 from each subnet) on the inside to originate communication with devices on the outside and translates their invalid address to a valid address or pool of addresses. The pool has been defined as the range of addresses 172.16.10.1 through 172.16.10.63.

    You can now configure NAT. In order to accomplish what is defined in the previous image, use dynamic NAT. With dynamic NAT, the translation table in the router is initially empty and gets populated once traffic that needs to be translated passes through the router. As opposed to static NAT, where a translation is statically configured and is placed in the translation table without the need for any traffic.

    In this example, you can configure NAT to translate each of the inside devices to a unique valid address, or to translate each of the inside devices to the same valid address. This second method is known as overloading . An example of how to configure each method is given here.

    Configure NAT to Allow Internal Users to Access the Internet

    NAT Router
    interface ethernet 0
     ip address 10.10.10.1 255.255.255.0
     ip nat inside
    
    !--- Defines Ethernet 0 with an IP address and as a NAT inside interface.
    
    
    interface ethernet 1
     ip address 10.10.20.1 255.255.255.0
     ip nat inside
    
    !--- Defines Ethernet 1 with an IP address and as a NAT inside interface.
    
    
    interface serial 0
     ip address 172.16.10.64 255.255.255.0
     ip nat outside
    
    !--- Defines serial 0 with an IP address and as a NAT outside interface.
    
     
    ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
    
    
    !--- Defines a NAT pool named no-overload with a range of addresses 
    !--- 172.16.10.1 - 172.16.10.63.
    ip nat inside source list 7 pool no-overload !--- Indicates that any packets received on the inside interface that
    !--- are permitted by access-list 7 has
    !--- the source address translated to an address out of the
    !--- NAT pool "no-overload".
    access-list 7 permit 10.10.10.0 0.0.0.31 access-list 7 permit 10.10.20.0 0.0.0.31 !--- Access-list 7 permits packets with source addresses ranging from
    !--- 10.10.10.0 through 10.10.10.31 and 10.10.20.0 through 10.10.20.31.

    Note: Cisco highly recommends that you do not configure access lists referenced by NAT commands with permit any. If you use permit any in NAT, it consumes too many router resources which can cause network problems.

    Notice in the previous configuration that only the first 32 addresses from subnet 10.10.10.0 and the first 32 addresses from subnet 10.10.20.0 are permitted by access-list 7 . Therefore, only these source addresses are translated. There can be other devices with other addresses on the inside network, but these are not translated.

    The final step is to verify that NAT is operates as intended .

    Configure NAT to Allow Internal Users to Access the Internet with Overload

    NAT Router
    interface ethernet 0
     ip address 10.10.10.1 255.255.255.0
     ip nat inside
    
    !--- Defines Ethernet 0 with an IP address and as a NAT inside interface.
    
    
    interface ethernet 1
     ip address 10.10.20.1 255.255.255.0
     ip nat inside
    
    !--- Defines Ethernet 1 with an IP address and as a NAT inside interface.
    
    
    interface serial 0
     ip address 172.16.10.64 255.255.255.0
     ip nat outside
    
    !--- Defines serial 0 with an IP address and as a NAT outside interface.
    
    
    ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
    !--- Defines a NAT pool named ovrld with a range of a single IP
    !--- address, 172.16.10.1.
    ip nat inside source list 7 pool ovrld overload !--- Indicates that any packets received on the inside interface that
    !--- are permitted by access-list 7 has the source address
    !--- translated to an address out of the NAT pool named ovrld.
    !--- Translations are overloaded, which allows multiple inside
    !--- devices to be translated to the same valid IP address.
    access-list 7 permit 10.10.10.0 0.0.0.31 access-list 7 permit 10.10.20.0 0.0.0.31 !--- Access-list 7 permits packets with source addresses ranging from
    !--- 10.10.10.0 through 10.10.10.31 and 10.10.20.0 through 10.10.20.31.

    Notice in the previous second configuration, the NAT pool ovrld only has a range of one address. The keyword overload used in the ip nat inside source list 7 pool ovrld overload command allows NAT to translate multiple inside devices to the single address in the pool.

    Another variation of this command is ip nat inside source list 7 interface serial 0 overload , which configures NAT to overload on the address that is assigned to the serial 0 interface.

    When overloading  is configured, the router maintains enough information from higher-level protocols (for example, TCP or UDP port numbers) to translate the global address back to the correct local address. For definitions of global and local address, refer to NAT: Global and Local Definitions .

    The final step is to verify that NAT is operates as intended .

    2. Allow the Internet to Access Internal Devices

    You can need internal devices to exchange information with devices on the internet, where the communication is initiated from the internet devices, for example, email. It is typical for devices on the internet to send email to a mail server that resides on the internal network.

    Originate CommunicationsOriginate Communications

    Configure NAT to Allow the Internet to Access Internal Devices

    In this example, you first define the NAT inside and outside interfaces, as shown in the previous network diagram.

    Second, you define that you want users on the inside to be able to originate communication with the outside. Devices on the outside must be able to originate communication with only the mail server on the inside.

    The third step is to configure NAT. To accomplish what you have defined, you can configure static and dynamic NAT together. For more information on how to configure this example, refer to Configure Static and Dynamic NAT Simultaneously . The final step is to verify that NAT operates as intended .

    3. Redirect TCP Traffic to Another TCP Port or Address

    A web server on the internal network is another example of when it can be necessary for devices on the internet to initiate communication with internal devices. In some cases, the internal web server can be configured to listen for web traffic on a TCP port other than port 80. For example, the internal web server can be configured to listen to TCP port 8080. In this case, you can use NAT to redirect traffic destined to TCP port 80 to TCP port 8080.

    Web Traffic TCP PortWeb Traffic TCP Port

    After you define the interfaces as shown in the previous network diagram, you can decide that you want NAT to redirect packets from the outside destined for 172.16.10.8:80 to 172.16.10.8:8080. You can use a static nat command in order to translate the TCP port number to achieve this. A sample configuration is shown here.

    Configure NAT to Redirect TCP Traffic to Another TCP Port or Address

    NAT Router
    interface ethernet 0 
     ip address 172.16.10.1 255.255.255.0
     ip nat inside
    
    !--- Defines Ethernet 0 with an IP address and as a NAT inside interface.
    
    
    interface serial 0
     ip address 10.200.200.5 255.255.255.252
     ip nat outside
    
    !--- Defines serial 0 with an IP address and as a NAT outside interface.
    
    
    ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80
    
    !--- Static NAT command that states any packet received in the inside 
    !--- interface with a source IP address of 172.16.10.8:8080 is
    !--- translated to 172.16.10.8:80.

    Note: The configuration description for the static NAT command indicates any packet received in the inside interface with a source address of 172.16.10.8:8080 is translated to 172.16.10.8:80. This also implies that any packet received on the outside interface with a destination address of 172.16.10.8:80 has the destination translated to 172.16.10.8:8080.

    The final step is to verify that NAT operates as intended .

    show ip nat translations
    Pro Inside global      Inside local       Outside local      Outside global
    tcp 172.16.10.8:80     172.16.10.8:8080   ---                ---

    4. Use NAT For a Network Transition

    NAT is useful when you need to readdress devices on the network or when you replace one device with another. For instance, if all devices in the network use a particular server and this server needs to be replaced with a new one that has a new IP address, the reconfiguration of all the network devices to use the new server address takes some time. In the meantime, you can use NAT in order to configure the devices with the old address to translate their packets to communicate with the new server.

    NAT Network TransitionNAT Network Transition

    Once you have defined the NAT interfaces as the previous image illustrates, you can decide that you want NAT to allow packets from the outside destined for the old server address (172.16.10.8) to be translated and sent to the new server address. Note that the new server is on another LAN, and devices on this LAN or any devices reachable through this LAN (devices on the inside part of the network), must be configured to use the new server IP address if possible.

    You can use static NAT to accomplish what you need. This is a sample configuration.

    Configure NAT for Use Through a Network Transition

    NAT Router
    interface ethernet 0
     ip address 172.16.10.1 255.255.255.0
     ip nat outside
    
    !--- Defines Ethernet 0 with an IP address and as a NAT outside interface.
    
    
    interface ethernet 1
     ip address 172.16.50.1 255.255.255.0
     ip nat inside
    
    !--- Defines Ethernet 1 with an IP address and as a NAT inside interface.
    
    
    interface serial 0
     ip address 10.200.200.5 255.255.255.252
    
    !--- Defines serial 0 with an IP address. This interface is not 
    !--- participating in NAT.
    ip nat inside source static 172.16.50.8 172.16.10.8 !--- States that any packet received on the inside interface with a
    !--- source IP address of 172.16.50.8 is translated to 172.16.10.8.

    Note: The inside source NAT command in this example also implies that packets received on the outside interface with a destination address of 172.16.10.8 has the destination address translated to 172.16.50.8.

    The final step is to verify that NAT operates as intended .

    5. Use NAT for Networks that Overlap

    Networks that overlap result when you assign IP addresses to internal devices that are already used by other devices within the internet. These networks also result when two companies, both of whom use RFC 1918 IP addresses in their networks, merge. These two networks need to communicate, preferably without all of their devices readdressed.

    Difference between One-to-One and Many-to-Many Mapping

    A static NAT configuration creates a one-to-one mapping and translates a specific address to another address. This type of configuration creates a permanent entry in the NAT table as long as the configuration is present and enables both inside and outside hosts to initiate a connection. This is mostly useful for hosts that provide application services like mail, web, FTP and so forth. For example:

    Router(config)#ip nat inside source static 10.3.2.11 10.41.10.12
    Router(config)#ip nat inside source static 10.3.2.12 10.41.10.13
    

    Dynamic NAT is useful when fewer addresses are available than the actual number of hosts to be translated. It creates an entry in the NAT table when the host initiates a connection and establishes a one-to-one mapping between the addresses. But, the mapping can vary and it depends upon the registered address available in the pool at the time of the communication. Dynamic NAT allows sessions to be initiated only from inside or outside networks for which it is configured. Dynamic NAT entries are removed from the translation table if the host does not communicate for a specific period of time which is configurable. The address is then returned to the pool for use by another host.

    For example, complete these steps of the detailed configuration:

    1. Create a pool of addresses

      Router(config)#ip nat pool MYPOOLEXAMPLE 10.41.10.1 10.41.10.41 netmask 255.255.255.0
      
    2. Create an access-list for the inside networks that has to be mapped

      Router(config)#access-list 100 permit ip 10.3.2.0 0.0.0.255 any
      
    3. Associate the access-list 100 that select the internal network 10.3.2.0 0.0.0.255 to be natted to the pool MYPOOLEXAMPLE and then overload the addresses.

      Router(config)#ip nat inside source list 100 pool MYPOOLEXAMPLE overload
      

    Verify the NAT Operation

    Once you have configured NAT, verify that it operates as expected. You can do this in a number of ways: with a network analyzer, show commands, or debug commands. For a detailed example of NAT verification, refer to Verify NAT Operation and Basic NAT .

    Conclusion

    The examples in this document demonstrate quick start steps can help you configure and deploy NAT.

    These quick start steps include:

    1. Define NAT inside and outside interfaces.

    2. What do you want to accomplish with NAT.

    3. Configure NAT in order to accomplish what you defined in Step 2.

    4. Verify the NAT operation.

    In each of the previous examples, various forms of the ip nat inside command were used. You can also use the ip nat outside command in order to accomplish the same objectives, but keep in mind the NAT order of operations. For configuration examples that use the ip nat outside commands, refer to Sample Configuration that Uses the IP NAT Outside Source List Command .

    The previous examples also demonstrated these actions:

    Command Action
    ip nat inside source
    • Translates the source of IP packets that travel inside to outside.
    • Translates the destination of the IP packets that travel outside to inside.
    ip nat outside source
    • Translates the source of the IP packets that travel outside to inside.
    • Translates the destination of the IP packets that travel inside to outside.

    Related Information

    • NAT: Local and Global Definitions.
    • NAT Support Page
    • IP Routed Protocols Support Page
    • IP Routing Support Page
    • IP Addressing Services
    • NAT Order of Operation
    • Frequently Asked Questions about Cisco IOS NAT
    • Technical Support & Documentation — Cisco Systems

    Время на прочтение
    8 мин

    Количество просмотров 281K

    Добрый день, коллеги!

    судя по многочисленным вопросам на форуме (ссылка в конце поста), от слушателей и коллег, работа NAT на маршрутизаторах Cisco (firewall’ы я опущу, Fedia достаточно подробно его работу расписал в своей серии статей про Cisco ASA) плохо описана, поэтому я попробую описать свой опыт и свое понимание данной технологии в большинстве ее ипостасей. Не претендую на всеобъемлющее описание и 100% точность, но кому интересно — велкам под кат.

    Итак, для структурности описания разберемся с определением, что такое NAT.

    Определение

    . NAT (Network Address Translation) — технология трансляции сетевых адресов, т.е. подмены адресов в заголовке IP-пакета (иногда может еще и порт менять в заголовках TCP/UDP, но об этом позже).

    Другими словами, пакет, проходя через маршрутизатор, может поменять свой адрес источника и/или назначения.

    Зачем это нужно

    ?
    1. Для обеспечения доступа из LAN, где чаще всего используются частные IP-адреса, в Internet, где маршрутизируются только глобальные IP-адреса.
    2. (в меньшей степени) для сокрытия топологии сети и создания некоторого защитного барьера для проникновения внутрь сети (обсудим это позже на примере).

    NAT бывает разным :) И хотя много по этому поводу уже написано, есть желание отправлять новичков с вопросами о NAT по конкретному адресу, поэтому я все же приведу некоторую

    классификацию

    .
    1. Static NAT — статический NAT задает однозначное соответствие одного адреса другому. Иными словами, при прохождении через маршрутизатор, адрес(а) меняются на строго заданный адрес, один-к-одному. (к примеру 10.1.1.1 всегда заменяется на 11.1.1.1 и обратно, но никогда на 12.1.1.1). Запись о такой трансляции хранится неограниченно долго, пока есть строчка в конфиге.
    2. Dynamic NAT — при прохождении через маршрутизатор, новый адрес выбирается динамически из некоторого куска адресов, называемого пулом (англ. pool). Запись о трансляции хранится некоторое время, чтобы ответные пакеты могли быть доставлены адресату. Если в течение некоторого времени трафик по этой трансляции отсутствует, трансляция удаляется и адрес возвращается в пул. Если требуется создать трансляцию, а свободных адресов в пуле нет, то пакет отбрасывается. Иными словами, хорошо бы, чтобы число внутренних адресов было ненамного больше числа адресов в пуле, иначе высока вероятность проблем с доступом наружу.
    3. Dynamic NAT with overload или PAT. Работает почти также, как dynamic NAT, но при этом происходит трансляция много-в-один, задействуя при этом возможности транспортного уровня. Об этом подробнее на примере дальше.

    Поскольку я чаще всего работаю именно с железом Cisco, я опишу в статье именно особенности работы и возможные варианты NAT именно на этих железках.
    Давайте посмотрим, что у нас есть в этом случае.

    1. inside source NAT

    Самый распространенный и достаточно простой вариант. Допустим у нас есть такая топология:

    Другими словами,
    а) подсеть внутренних адресов — 10.0.0.0/8
    б) подсеть внешних адресов — 11.0.0.0/8

    и мы хотим транслировать каким-то образом внутренние адреса во внешние при прохождении трафика через маршрутизатор.

    Что для этого нужно?

    1. Мы явно указываем, что мы хотим транслировать. Т.е. какой трафик и от каких хостов.
    2. Мы явно указываем, во что мы хотим траслировать, т.е. пул внешних адресов (или единственный адрес для статической трансляции).
    3. Помечаем внутренний и внешний интерфейс.
    4. Включаем трансляцию.

    На п.3 я себе позволю остановиться подробнее, потому что именно здесь часто происходит непонимание.

    Как это работает?

    Итак, допустим мы решили, что будем транслировать всю 10ю сеть целиком в 11ю. Задали их соответствующим образом (настройки потом, сначала теория). И пометили наши интерфейсы как внутренний (inside) и внешний (outside).
    Теперь, давайте разберемся, что делает именно inside source NAT. На самом деле, в названии зашита половина действия :) а именно: у пакета, пришедшего на

    inside

    интерфейс меняется

    source

    :). Но помните, мы говорили о том, что ответные пакеты должны доходить до нашего внутреннего хоста? Отсюда вторая половина действия: у пакета, пришедшего на

    outside

    интерфейс меняется

    destination

    .

    Рассмотрим

    прямую трансляцию

    .
    1. Трафик, приходя на интерфейс, помеченный как inside, если он соответствует тому, что мы хотим транслировать, маркируется как возможно_транслируемый. Часто полагают, что в этот момент происходит трансляция, но это не так.
    2. Следующим этапом, трафик подвеграется маршрутизации (PBR и обычной). И если при этом трафик направляется на интерфейс, помеченный как outside — только тогда происходит трансляция. Если трансляция динамическая, маршрутизатор проверяет ее наличие в таблице трансляций. Если ее там нет — создает, если уже есть — обнуляет счетчик неактивности. Если же пакет попадает на выход на интерфейс, не помеченный как outside — трансляция НЕ происходит.

    Теперь

    обратная трансляция

    .
    1. Трафик, попадая на outside интерфейс, в противовес прямой трансляции, сначала подвергается NAT. Если трансляция существует (неважно, динамическая или статическая), в случае с inside source NAT, у него меняется destination. И только после этого трафик подвергается маршрутизации и перенаправляется по назначению.

    Поэтому маркировать интерфейсы как inside или outside нужно именно принимая во внимание механизм работы.

    Замечания и следствия

    .
    1. Для обратной трансляции не обязательно наличие метки inside на каком-либо интерфейсе. Все равно, если прямая трансляция существует, обратная трансляция сработает до маршрутизации. Но когда будет существовать такая трансляция, ведь мы обсуждали, что трафик должен пройти через inside интерфейс для создания прямой трансляции? Отсюда
    2. Трафик самого роутера подвергается трансляции, если он попадает на интерфейс, помеченный как outside и удовлетворяет правилу NAT. И это сколь полезно, столь и опасно. С одной стороны, мы можем транслировать трафик роутера как и любой другой. С другой стороны, многие хотят описать трафик, подлежащий трансляции как permit any, но тогда и, например, пакеты протоколов маршрутизации будут транслироваться, что приведет к сбою.
    3. Интерфейсы типа loopback маршрутизатора трактуются как и любые другие, мы можем метить их как inside или outside, заворачивать на них трафик и получать от этого профит :)

    Теперь посмотрим общую конфигурацию, а потом еще несколько частных случаев.

    Конфигурация inside source NAT

    inside source dynamic NAT

    1. Указываем, что транслировать. Для этого создаем access-list, перечисляющий трафик. Например, в нашем случае достаточно одной строчки:
    (config)# access-list 100 permit ip 10.0.0.0 0.255.255.255 any

    Замечание

    . В ACL могут встречаться строчки deny. Вопреки распространенному заблуждению, трафик удовлетворяющей данной строчке не дропается, а просто не подвеграется трансляции. Так же, ACL может быть стандартным и расширенным, нумерованным и именованным.
    2. Создаем пул из адресов, указывая стартовый и конечный адрес. Например так:
    (config)# ip nat pool NAME_OF_POOL 11.1.1.10 11.1.1.20 netmask 255.255.255.0

    Замечания

    .
    1. Стартовый и конечный адрес в пуле могут совпадать, тогда трансляция будет в 1 адрес.
    2. Опция netmask, хотя и является обязательной, по моему мнению — рудимент. Она позволяет вырезать из диапазона адресов в пуле те адреса, которые являются адресами подсети или бродкастными при данной маске.
    3. Маркируем интерфейсы. В нашем случае достаточно
    (config)# interface fa 0/0
    (config-if)# ip nat inside

    и
    (config)# interface fa 0/1
    (config-if)# ip nat outside

    4. создаем собственно трансляцию:
    ip nat inside source list 100 pool NAME_OF_POOL

    вуаля :) Если мы теперь обратимся например с хоста 10.1.1.1 к хосту 11.1.1.2, то получим такую трансляцию:
    Router#sh ip nat translations
    Pro Inside global Inside local Outside local Outside global
    tcp 11.1.1.10:55209 10.0.1.1:55209 11.1.1.2:23 11.1.1.2:23

    Интересно, что хотя в таблице явно записаны source port и destination port, трансляция создается целиком для адреса. И на время ее жизни в таблице трансляция, пакеты снаружи могут проходить на внешний адрес (inside global)
    Например, пинг с некоторого адреса во внешней сети на наш inside global будет успешным (на время жизни трансляции):
    R4#ping 11.1.1.10
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 11.1.1.10, timeout is 2 seconds:
    !!!!!

    Иными словами, открывается трансляция единожды и к некоторому хосту, после этого некоторое время действует для любого адреса извне.

    inside source dynamic NAT with overload

    П. 1,2 и 3 — как в предыдущем разделе.
    4. Создаем собственно трансляцию:
    ip nat inside source list 100 pool NAME_OF_POOL overload
    Видим, что добавилось всего одно слово: overload. Но оно существенно изменило схему работы трансляции.
    Как было сказано, PAT — это трансляция много-в-мало или даже много-в-один. Но чтобы можно было отличить трафик одного соединения от другого, маршрутизатор будет менять не только IP-адреса, но еще и TCP/UDP порты.

    Замечание

    . Схема работы с портами (когда меняется source, когда destination) — такая же, как и схема работы с IP-адресами.
    Другими словами, при обращении изнутри наружу меняется source IP и source port, запись об этом вносится в таблицу трансляций. При обратной трансляции — все меняется наоборот.

    Посмотрим, что изменилось:
    R3#sh ip nat translations
    Pro Inside global Inside local Outside local Outside global
    tcp 11.1.1.11:21545 10.0.1.1:21545 11.1.1.2:23 11.1.1.2:23
    tcp 11.1.1.11:49000 10.0.2.1:49000 11.1.1.2:23 11.1.1.2:23

    Видим, что разные внутренние адреса (10.0.1.1 и 10.0.2.1) странслировались в один внешний (11.1.1.11).

    Замечания

    .
    1. Кажется, что source-port не был изменен, как обещали, непорядок :). На деле, маршрутизатор пытается сохранить source port всеми доступными средствами. В частности, если порт inside global адреса уже был занят, он возьмет следующий адрес в пуле и проверит его порт на занятость. И только не найдя адреса со свободным портом возьмет следующий свободный.
    2. Поведение такой трансляции отличается от поведения обычного dynamic NAT еще и тем, что доступ снаружи на inside global адрес невозможен. Именно это я имел ввиду, когда говорил о некоторой повышенной безопасности при использовании PAT, т.к. фактически все соединения инициируются изнутри нашей сети, а снаружи нам могут приходить только ответы на них.
    3. Если мы получили у провайдера не целый блок адресов, а один несчастный адрес, который тут же и назначили внешнему интерфейсу маршрутизатора, можно не городить огород с пулом в один адрес, а сразу писать например так:
    (config)# ip nat inside source list 100 interface fa0/1 overload

    inside source static NAT and PAT

    Много упоминалось о статических трансляциях, давайте наконец их обсудим.

    Зачем это нужно?

    Мы обсудили, что если в случае dynamic NAT трансляция не создана и в случае PAT, доступ извне невозможен. Если даже в случае dynamic NAT трансляция создана, то inside global адрес может меняться. И обращаться к нашему внутреннему хосту по какому-то внешнему адресу невозможно.
    Тем не менее, нередки ситуации, когда внутри корпоративной сети есть сервер, доступ которому извне по статическому внешнему адресу жизненно необходим. В таком случае, можно выставить его прямиком в Интернет, назначив глобальный адрес. Но часто это не очень удобно, например по соображениям безопасности. И в таких случаях нам на помощь приходит static NAT.

    Он создает двустороннюю и постоянную трансляцию. Так что наш хост всегда будет доступен по одному внешнему адресу и эта трансляция никогда не вылетит из таблицы трансляций по таймауту.

    собственно настройка.

    Сразу создаем трансляцию:
    (config)# ip nat inside source static 10.0.1.1 11.1.1.21
    Маркируем интерфейсы и вуаля!
    R3#sh ip nat translations
    Pro Inside global Inside local Outside local Outside global
    icmp 11.1.1.21:14 10.0.1.1:14 11.1.1.2:14 11.1.1.2:14
    --- 11.1.1.21 10.0.1.1 --- ---

    Как видим, появилось две записи — одна постоянная, другая (чисто информативная) — временная, вызванная трафиком изнутри наружу.

    Замечание

    . Появление таких информативных записей можно отключить командой
    (config)# no ip nat create flow-entries

    Идем дальше. Часто бывает, что нужно выставить наружу не целый адрес, а только один порт (например 80й для www-сервера). Никаких проблем, можно создать и статическую PAT-трансляцию для некоторых портов:
    (config)# ip nat inside source static tcp 10.0.1.1 80 11.1.1.21 80
    (config)# ip nat inside source static udp 10.0.1.1 5060 11.1.1.21 7877

    Видим, что порты одного и того же внешнего адреса можно пробрасывать на разные порты внутренних, и управлять трансляцией портов при этом тоже возможен.

    В заключение добавлю, что изменять различные таймауты для NAT можно командой
    Router(config)#ip nat translation ?
    arp-ping-timeout Specify timeout for WLAN-NAT ARP-Ping
    dns-timeout Specify timeout for NAT DNS flows
    finrst-timeout Specify timeout for NAT TCP flows after a FIN or RST
    icmp-timeout Specify timeout for NAT ICMP flows
    max-entries Specify maximum number of NAT entries
    port-timeout Specify timeout for NAT TCP/UDP port specific flows
    pptp-timeout Specify timeout for NAT PPTP flows
    routemap-entry-timeout Specify timeout for routemap created half entry
    syn-timeout Specify timeout for NAT TCP flows after a SYN and no
    further data
    tcp-timeout Specify timeout for NAT TCP flows
    timeout Specify timeout for dynamic NAT translations
    udp-timeout Specify timeout for NAT UDP flows

    Объемистая статейка получилась, придется разбить на несколько частей. Конечно inside source NAT многократно обсужден и расписан, но надеюсь, что даже не совсем новичкам удастся найти в статье что-то полезное. Надо было начать с некоторой базы, пусть и общеизвестной.

    В следующей статье мы обсудим inside destination NAT, если конечно статья найдет отклик и поддержку.

    С уважением,
    Подкопаев Илья

    P.S. Я открыт для пожеланий по улучшению статьи и исправлению неточностей/ошибок.
    P.P.S. Ссылки:
    1. форум сайта anticisco.ru
    2. Cisco NAT order of operations

    NAT (Network Address Translation) — это процесс трансляции локальных (частных) ip-адресов во внешние (глобальные), позволяет узлам, имеющим частные адреса, обмениваться данными в сети Интернет.

    При настройке NAT, один интерфейс должен быть определен как внутренний (соединяется с внутренней частной сетью), а другой как внешний (используется для выхода в Интернет).

    Используется 3 вида трансляции адресов

    1. Статический (Static Network Address Translation)

    2. Динамический (Dynamic Address Translation)

    3. Маскарадный (NAPT, NAT Overload, PAT)

    Настройка статического NAT (Static Network Address Translation)

    Статический NAT — сопоставляет единый внутренний локальный (частный) ip-адрес с единым глобальным (публичным) ip-адресом.

    cisco-nat

    1.Создание статического маршрута на стороне ISP.

    R2(config)# ip route 200.20.21.1 255.255.255.224 200.20.20.1
    

    2.Настройка дефолта на R1.

    R1(config)# ip route 0.0.0.0 0.0.0.0 200.20.20.2
    

    3.Настройка внутреннего интерфейса в отношение NAT.

    R1(config)# interface fastethernet 0/0
    R1(config-if)# ip nat inside
    

    4.Настройка внешнего интерфейса в отношение NAT.

    R1(config)# interface fastethernet 0/1 
    R1(config-if)# ip nat outside 
    

    5.Настройка сопоставления ip-адресов.

    R1(config)# ip nat inside source static 10.10.10.2 200.10.21.5
    

    В результате ip-адресу 200.10.21.5 всегда будет соответствовать внутренний ip-адрес 10.10.10.2, т.е. если мы будем обращаться к адресу 200.10.21.5 то отвечать будет computer 1

    <р2>Настройка динамического NAT (Dynamic Address Translation)

    Динамический NAT — использует пул доступных глобальных (публичных) ip-адресов и назначает их внутренним локальным (частным) адресам.

    1.Настройка списка доступа соответствующего внутренним частным адресам, обратите внимание что используется обратная маска.

    R1(config)# access-list 1 permit 10.10.10.0 0.0.0.255
    

    2.Настройка пула адресов.

    R1(config)# ip nat pool white-address 200.20.21.1 200.20.21.30 netmask 255.255.255.0
    

    3.Настройка трансляции.

    R1(config)# ip nat inside source list 1 pool white-address
    

    4.Настройка внутреннего интерфейса в отношение NAT.

    R1(config)# interface fastethernet 0/0
    R1(config-if)# ip nat inside
    

    5.Настройка внешнего интерфейса в отношение NAT.

    R1(config)# interface fastethernet 0/1
    R1(config-if)# ip nat outside 
    

    Настройка PAT (NAPT, NAT Overload, маскарадинг)

    PAT (Port Address Translation) — отображает несколько локальных (частных) ip-адресов в глобальный ip-адрес, используя различные порты.

    1. Настройка списка доступа соответствующего внутренним частным адресам, обратите внимание что используется обратная маска.

    R1(config)# access-list 1 permit 10.10.10.0 0.0.0.255
    

    2. Настройка трансляции.

    R1(config)# ip nat inside source list 1 interface fastethernet 0/1 overload
    

    3.Настройка внутреннего интерфейса в отношение NAT.

    R1(config)# interface fastethernet 0/0
    R1(config-if)# ip nat inside
    

    4.Настройка внешнего интерфейса в отношение NAT.

    R1(config)# interface fastethernet 0/1
    R1(config-if)# ip nat outside 
    

    Команды для проверки работы NAT

    show ip nat translations - Выводит активные преобразования.
    show ip nat statistics - выводит статистику по NAT преобразованиям.
    

    На этом все. Всем пока.

    Cisco как настроить NAT

    Сегодня мы рассмотрим как быстро настроить NAT на роутере Cisco без лишних настроек и прочего, просто NAT.

    Эмуляция задания будет в ПО Cisco Packet Tracer. Итак приступим.

    Разместим в рабочую область 3 устройства.

    • Роутер Cisco
    • Компьютер
    • Сервер (будет выполнять роль эмуляции интернет сервисов)

    Конфигурация сети у нас следующая:

    1. ПК
      • IP: 192.168.1.10/24
      • GW: 192.168.1.1
      • DNS: 10.10.120.100
    2. Router
      • LAN: 192.168.1.1/24
      • WAN: 10.10.120.1/24
    3. Internet
      • IP: 10.10.120.0/24
      • DNS: 10.10.120.100

    Настраиваем ПК по таблице

    Ок. Готово

    Теперь приступим к настройке нашего роутера

    Открываем консоль и пишем следующее

    Router>en
    Router#conf t
    Router(config)#hostname R1
    R1#

    Это мы сейчас назвали роутер «R1». Теперь настроим интерфейсы

    R1(config)#interface gigabitEthernet0/0
    R1(config-if)#ip address 192.168.1.1 255.255.255.0
    R1(config-if)#description LAN
    R1(config-if)#no shutdown 
    R1(config-if)#ex
    
    R1(config)#int gig0/1
    R1(config-if)#ip add 10.10.120.1 255.255.255.0
    R1(config-if)#description WAN
    R1(config-if)#no shutdown 
    R1(config-if)#ex

    В итоге мы имеем два интерфейса 

    1. gigabitEthernet0/0 — для локальной сети, для ПК
    2. gigabitEthernet0/1 — для интернет

    Теперь настраиваем на роутере Cisco NAT

    R1(config)#access-list 1 permit 192.168.1.0 0.0.1.255
    R1(config)#ip nat inside source list 1 interface GigabitEthernet0/1 overload
    
    R1(config)#interface GigabitEthernet0/0
    R1(config-if)#ip nat inside
    R1(config-if)#exit
    
    R1(config)#interface GigabitEthernet0/1
    R1(config-if)#ip nat outside
    R1(config-if)#exit

    Всё. С настройкой NAT и роутера закончили. (Сохраняем конфиг)

    Теперь раз уж мы эмулируем работу сервисов интернет настроим сервер

    Проверяем с ПК

    Проверяем на роутере

    R1#show ip nat translations
    Pro  Inside global     Inside local       Outside local      Outside global
    udp 10.10.120.1:1025   192.168.1.10:1025  10.10.120.100:53   10.10.120.100:53
    udp 10.10.120.1:1026   192.168.1.10:1026  10.10.120.100:53   10.10.120.100:53
    tcp 10.10.120.1:1025   192.168.1.10:1025  10.10.120.100:80   10.10.120.100:80
    tcp 10.10.120.1:1026   192.168.1.10:1026  10.10.120.100:80   10.10.120.100:80
    tcp 10.10.120.1:1027   192.168.1.10:1027  10.10.120.100:80   10.10.120.100:80
    tcp 10.10.120.1:1028   192.168.1.10:1028  10.10.120.100:80   10.10.120.100:80
    tcp 10.10.120.1:1029   192.168.1.10:1029  10.10.120.100:80   10.10.120.100:80
    
    R1#show ip nat statistics
    Total translations: 7 (0 static, 7 dynamic, 7 extended)
    Outside Interfaces: GigabitEthernet0/1
    Inside Interfaces: GigabitEthernet0/0
    Hits: 69  Misses: 49
    Expired translations: 38
    Dynamic mappings:
    R1#

    Готово.

    NAT (Network Address Translation) — трансляция сетевых адресов, технология, которая позволяет преобразовывать (изменять) IP адреса и порты в сетевых пакетах.

    NAT используется чаще всего для осуществления доступа устройств из сети предприятия(дома) в Интернет, либо наоборот для доступа из Интернет на какой-либо ресурс внутри сети. 

    Сеть предприятия обычно строится на частных IP адресах. Согласно RFC 1918 под частные адреса выделено три блока:

    10.0.0.0 — 10.255.255.255  (10.0.0.0/255.0.0.0  (/8))
    172.16.0.0 — 172.31.255.255  (172.16.0.0/255.240.0.0  (/12))
    192.168.0.0 — 192.168.255.255  (192.168.0.0/255.255.0.0   (/16))

    Эти адреса не маршрутизируются в Интернете, и провайдеры должны отбрасывать пакеты с такими IP адресами отправителей или получателей.

    Для преобразования частных адресов в Глобальные (маршрутизируемые в Интернете) применяют NAT.

    Помимо возможности доступа во внешнюю сеть (Интернет), NAT имеет ещё несколько положительных сторон. Так, например, трансляция сетевых адресов позволяет скрыть внутреннюю структуру сети и ограничить к ней доступ, что повышает безопасность. А ещё эта технология позволяет экономить Глобальные IP адреса, так как под одним глобальным адресом в Интернет может выходить множество хостов.

    Настройка NAT на маршрутизаторах Cisco под управлением IOS включает в себя следующие шаги

    1.  Назначить внутренний (Inside) и внешний (Outside) интерфейсы

    2. Определить для кого (каких ip адресов) стоит делать трансляцию.

    3. Выбрать какой вид трансляции использовать

    4. Осуществить проверку трансляций

    Пусть, для примера, у нас будет роутер R1 с двумя интерфейсами.

    Подключение R1 к ISP

    FastEthernet0/0 — подключен к локальной сети 192.168.56.0/24 и имеет IP адрес: 192.168.56.254/24

    FastEthernet0/1 — подключен к внешней сети (Провайдеру) и имеет IP адрес: 10.0.0.253/30 (В данном примере во внешней сети используется тоже частный адрес, так как это только пример, в реальной же ситуации у Вас скорее всего будет использоваться Глобальный адрес)

    1. Внутренним интерфейсом обычно выступает тот, к которому подключена локальная сеть. Внешним — к которому подключена внешняя сеть, например сеть Интернет провайдера.

    Таким образом FastEthernet0/0 — это Inside интерфейс, а FastEthernet0/1 — Outside

    Конфигурируем интерфейсы:

    R1(config)#interface fastEthernet 0/0
    R1(config-if)#ip nat inside
    R1(config-if)#exit
    R1(config)#

    R1(config)#interface fastEthernet 0/1
    R1(config-if)#ip nat outside
    R1(config-if)#exit
    R1(config)#

     2.  Трансляцию будем делать для всей локальной сети 192.168.56.0/24

    Для этого создаём ACL:

    R1(config)#access-list 1 permit 192.168.56.0 0.0.0.255
    R1(config)#

     3.  Существует три вида трансляции Static NAT, Dynamic NAT, Overloading. 

    Static NAT — Статический NAT, преобразование IP адреса один к одному, то есть сопоставляется один адрес из внутренней сети с одним адресом из внешней сети.

     Предположим, что провайдер на нас маршрутизирует сеть 10.11.11.0/24, таким образом предоставив не один, а 255 IP адресов. И мы хотим, что бы из внешней сети по адресу 10.11.11.10 был доступен наш внутренний сервер 192.168.56.10, тогда следует ввести следующую команду:

    R1(config)#ip nat inside source static 192.168.56.10 10.11.11.10
    R1(config)#

    Таким образом происходит подмена внутреннего адреса источника 192.168.56.10 на внешний адрес 10.11.11.10 при прохождении пакета из внутренней сети во внешнюю. При обратном следовании пакета произойдёт подмена внешнего IP адреса назначения 10.11.11.10 на внутренний 192.168.56.10. Все сервисы, которые запущены на внутреннем сервере 192.168.56.10 доступны из внешней сети при обращении на адрес 10.11.11.10

    Если нет необходимости открывать наружу все порты (сервисы), то можно ограничиться и определёнными, например:

    R1(config)#ip nat inside source static tcp 192.168.56.10 22 10.11.11.10 2222
    R1(config)#

     В этом случае при обращении из внешней сети на адрес 10.11.11.10 и tcp порт 2222 произойдет соединение с 22-м tcp портом внутреннего сервера 192.168.56.10

    Dynamic NAT — Динамический NAT, преобразование внутреннего адреса/ов в один из группы внешних адресов. Перед использованием динамической трансляции, нужно задать nat-пул внешних адресов

    R1(config)#
    R1(config)#ip nat pool GLOBALPOOL 10.11.11.20 10.11.11.100 netmask 255.255.255.0
    R1(config)#ip nat inside source list 1 pool GLOBALPOOL
    R1(config)#

    В этом случае адреса из сети 192.168.56.0/24, при обращении к внешней сети, будут преобразовываться в адреса из пула GLOBALPOOL, пока он не закончится. Если не останется в пуле свободных адресов — то трансляции выполняться не будут. То есть в нашем примере одновременно во внешнюю сеть выйдут только 80 адресов из сети 192.168.56.0/24, остальным придётся ждать пока не закончится какая-нибудь трансляция.

    Overloading — позволяет преобразовывать несколько внутренних адресов в один внешний. Для осуществления такой трансляции используются порты, поэтому иногда такой NAT называют PAT (Port Address Translation).  С помощью PAT можно преобразовывать внутренние адреса во внешний адрес, заданный через пул или через адрес на внешнем интерфейсе.

    через пул:

    R1(config)#
    R1(config)#ip nat pool GLOBALPOOL 10.11.11.3 10.11.11.3 netmask 255.255.255.0
    R1(config)#ip nat inside source list 1 pool GLOBALPOOL overload
    R1(config)#

     Здесь все внутренние адреса из сети 192.168.56.0/24 (описанные в access-list 1 выше) будут преобразованы во внешний адрес 10.11.11.3

    через внешний интерфейс:

    R1(config)#
    R1(config)#ip nat inside source list 1 interface fastEthernet 0/1 overload
    R1(config)#

     Все внутренние адреса 192.168.56.0/24 будут преобразованы в адрес на интерфейсе fastEthernet0/1 (напомню, что он в нашем примере 10.0.0.253/30)

    4. Посмотреть существующие трансляции можно командой «show ip nat translations». Отладка запускается командой «debug ip nat»

    R1#
    R1#show ip nat translations
    Pro Inside global Inside local Outside local Outside global
    udp 10.0.0.253:60672 192.168.56.10:60672 8.8.8.8:53 8.8.8.8:53
    tcp 10.0.0.253:59235 192.168.56.10:59235 74.125.143.94:80 74.125.143.94:80
    R1#

    Пример конфигурации роутера с настроенным NAT overloading:

    R1#sh run
    Building configuration… Current configuration : 1163 bytes
    !
    ! Last configuration change at 01:03:44 YST Sun Mar 31 2013 by cisco
    ! NVRAM config last updated at 01:03:46 YST Sun Mar 31 2013 by cisco
    !
    version 12.3
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname R1
    !
    boot-start-marker
    boot-end-marker
    !
    enable secret 5 $1$FOp2$9G9FvXT/lRo1HqKkgwVWv/
    !
    clock timezone YST 10
    aaa new-model
    !
    !
    aaa authentication login default local
    aaa session-id common
    ip subnet-zero
    ip cef
    !
    !
    !
    ip domain name test.ru
    ip audit po max-events 100
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    username cisco secret 5 $1$jOx6$M96EAbwK4qcWtGlxHLt3J/
    !
    !
    !
    !
    !
    !
    interface FastEthernet0/0
    ip address 192.168.56.254 255.255.255.0
    ip nat inside
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address 10.0.0.253 255.255.255.252
    ip nat outside
    duplex auto
    speed auto
    !
    ip nat inside source list 1 interface FastEthernet0/1 overload
    ip classless
    ip route 0.0.0.0 0.0.0.0 10.0.0.254
    !
    no ip http server
    no ip http secure-server
    !
    access-list 1 permit 192.168.56.0 0.0.0.255
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    line con 0
    line aux 0
    line vty 0 4
    exec-timeout 60 0
    transport input telnet ssh
    !
    end
    R1#

  • Как настроить tor на роутере
  • Как настроить rdp на роутере keenetic
  • Как настроить nas и роутер
  • Как настроить openvpn сервер на роутере
  • Как настроить tp link роутер n450