В данной статье рассматривается базовая конфигурация маршрутизатора cisco на использование NAT.

NAT - Network Adress Translation (трансляция сетевых адресов)

Конфигурация тестировалась на следующих компонентах:

*Cisco 2500 Series Routers
*Cisco IOS® Software Release 12.2 (10b)

Несколько базовых шагов по конфигурированию и разворачиванию NAT.

1. Определение inside (внутреннего) и outside (внешнего) NAT на интерфейсах.

a - сколько существует интерфейсов ?
b - сколько интерфейсов подключено к Internet ?

2. Для каких целей будет использоваться NAT ?

a - доступ локальных пользователей в Internet ?
b - доступ Internet пользователей к дополнительным внутренним службам (почтовый или веб сервер)
c - перенаправление TCP трафика на другие TCP порты или адреса.

3. Какие виды NAT Вы будете использовать ?

a - Статический NAT (Static NAT)
b - Динамический NAT (Dynamic NAT)
с - Overload (PAT)
d - иное назначение NAT

4. Проверка работоспособности NAT.

---

Пример: доступ локальных пользователей в Internet

interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside

!--- Настройка IP адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса.


interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside

!--- Настройка IP адреса для Ethernet 1 и использование в качестве внутреннего NAT интерфейса.


interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside

!--- Настройка IP адреса для serial 0 и использование в качестве внешнего NAT интерфейса.


ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
!

!--- Конфигурирование именованного пула NAT с рядом адресов
!--- 172.16.10.1 - 172.16.10.63.


ip nat inside source list 7 pool no-overload
!
!

!--- Указание какие пакеты могут "проходить" через внутренний интерфейс
!--- разрешение следующим acl - access-list 7
!--- транслирование исходного адреса "наружу"
!--- NAT pool "no-overload".


access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Access-list 7 разрешает пакеты от следующих сетей
!--- 10.10.10.0 через 10.10.10.31 и 10.10.20.0 через 10.10.20.31.

---

Пример: доступ локальных пользователей в Internet используя Overload (PAT)

PAT (Port Address Translation) - трансляция адресов портов.


interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside

!--- Настройка IP адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса.


interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside

!--- Настройка IP адреса для Ethernet 1 и использование в качестве внутреннего NAT интерфейса.


interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside

!--- Настройка IP адреса для serial 0 и использование в качестве внешнего NAT интерфейса.


ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
!

!--- Конфигурирование NAT пула с именем ovrld с единственным IP
!--- адресом, 172.16.10.1.


ip nat inside source list 7 pool ovrld overload
!
!
!
!

!--- Указание какие пакеты могут "проходить" через внутренний интерфейс
!--- разрешающий акл access-list 7 исходного адреса
!--- транслируется на внешний NAT пул с именем ovrld.
!--- Трансляции overloaded с разрешением нескольких внутренних
!--- устройств транслирующихся на определённый IP адрес.


access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Access-list 7 разрешает пакеты с исходными адресами в диапазоне от
!--- 10.10.10.0 через 10.10.10.31 и 10.10.20.0 через 10.10.20.31.

---

Пример:доступ Inaternet пользователей к дополнительным внутренним службам (почтовый или веб сервер)

1) Сконфигурируйте NAT на внешнем и внутреннем интерфейсах.

2) Определите к каким службам необходимо предоставить доступ. К примеру - только к внутреннему почтовому серверу.

3) Смотрите пример на сайте производителя

---

Пример:перенаправление TCP трафика на другие TCP порты или адреса.

interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat inside

!--- Настройка IP адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса.


interface serial 0
ip address 200.200.200.5 255.255.255.252
ip nat outside

!--- Настройка IP адреса для serial 0 и использование в качестве внешнего NAT интерфейса.


ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80

!---Команда Static для NAT определяет перенаправление любых пакетов с внутреннего
!--- интерфейса с IP адресом и портом 172.16.10.8:8080 трансилование на
!--- 172.16.10.8:80

---

Более подробную информацию вы можете посмотреть на сайте производителя.