Настроим Cisco
быстро и просто

ip nat outside

Февраль 5, 2018

 

Часто во время работы приходится сталкиваться с проблемами пересечения ip адресов собственной локальной сети и сети организации, с которой нужно взаимодействовать. Как гласят учебники, в таких случаях используется NAT.
Опустим описание базовых настроек dynamic и static NAT, когда нужно замаскировать свой внутренний адрес под какой-то внешний для получения доступа ко внешним ресурсам (dynamic NAT) или же дать возможность заходить на ваши внутренние ресурсы извне (static NAT). Это есть в статьях по базовой настройке маршрутизаторов и Cisco ASA, а также рассмотрено в статье «как использовать NAT».

Подмена адреса назначения

Рассмотрим случай, когда нужно создать специальный подставной вымышленный адрес, при обращении к которому трафик будет идти на нужный настоящий.

cisco ip nat outside

10.0.0.5 – настоящий адрес сервера, к которому необходимо получить доступ
1.1.1.1 – вымышленный адрес, при обращении на который пользователь попадет на 10.0.0.5

Для реализации этого сценария на интерфейсах маршрутизатора необходимо указать их принадлежность ко внутренней или внешней сети командами
conf t
interface FastEthernet X
ip nat inside

interface FastEthernet Y
ip nat outside

После чего ввести команду
ip nat outside source static 10.0.0.5 1.1.1.1

Важно!
После создания правила трансляции необходимо добавить маршрут для выдуманного несуществующего адреса в сторону настоящего сервера.
А) если сервер расположен непосредственно за интерфейсом маршрутизатора, то укажите его настоящий адрес в качестве шлюза
ip route 1.1.1.1 255.255.255.255 10.0.0.5
Б) Если конечный сервер располагается дальше по сети за каким-то другим маршрутизатором, то в качестве шлюза укажите адрес этого оборудования (х.х.х.х)
ip route 1.1.1.1 255.255.255.255 x.x.x.x

cisco ip nat outside

Проверка работы NAT

Используйте команду sh ip nat translations, чтобы посмотреть активные правила трансляции адресов. Вывод команды должен выглядеть примерно так:
R-DELTACONFIG-1#sh ip nat translations
Pro    Inside global Inside local       Outside local    Outside global
---          ---          ---                1.1.1.1       10.0.0.5
---          ---          ---                1.1.1.2       10.0.0.6
icmp 192.168.10.10:19662 192.168.10.10:19662 1.1.1.1:19662 10.0.0.5:19662

Подмена адресов назначения и источника одновременно

Описанный выше сценарий не запрещает использовать «обычный» NAT параллельно. Если требуется маскировать настоящий адрес рабочей станции за каким-то внешним, то необходимо создать стандартные правила, например для динамической трансляции.
Допустим, что настоящий адрес рабочей станции 192.168.10.5 (адрес источника) необходимо замаскировать за вымышленным адресом 2.2.2.2

cisco ip nat outside

Добавим настройки для динамической трансляции адреса источника:
ip access-list extended ACL_NAT
permit ip host 192.168.10.5 any

ip nat pool NAT 2.2.2.2 2.2.2.2 netmask 255.255.255.0

ip nat inside source list ACL_NAT pool NAT
В итоге изначальный пакет от рабочей станции 192.168.10.5 на адрес 1.1.1.1 после прохождения через маршрутизатор превратится в пакет от адреса 2.2.2.2 к адресу 10.0.0.5

Важно!
Не забудьте проверить маршрутизацию на каждом из устройств вашей сети, если столкнетесь с проблемами. Устройства должны «знать» не только о настоящих адресах, но и о подставных.

deltaconfig - cisco аутсорсинг

Важно!

Не забудьте сохранить конфигурацию всех устройств командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
R-MAIN#write
Building configuration...
[OK]

Перейти к оглавлению

avatar
×

Форма для связи