Как использовать NAT на Cisco
Самое сложное в деле с NAT — понять как это использовать в реальной жизни. Уже исписаны тонны бумаги, а в Интернете выложены гигабайты информации, однако вопрос по-прежнему актуален. А ведь 95% всех потребностей у абсолютного большинства людей сводится к двум типам подключений.
1) PAT (Port Address Translation)
Множество внутренних адресов при подключении к внешней сети транслируются в какой-то один ip адрес. При обработке пакета маршрутизатор или Cisco ASA запоминает соотношение настоящего внутреннего адреса и порта источника TCP соединения, что дает возможность корректно производить обратную трансляцию и пересылать ответные пакеты.
Такой тип NAT используется, когда нужно разрешить доступ изнутри сети ко внешним ресурсам.
2) Static NAT
Трансляция адреса один-в-один. Определенному внешнему адресу сопоставляется какой-то внутренний. Такой тип трансляции используется, когда нужен доступ извне к какому-то серверу внутри локальной сети или в ДМЗ.
Резюме:
Если нужен доступ из внутренней сети во внешнюю, то вероятнее всего нужно настроить PAT
Если нужен доступ извне на какой-то внутренний ресурс, то нужно настроить статический NAT.
Примеры настройки NAT для показанных выше случаев
Cisco ASA (IOS до 8.3)
PAT
global (outside) 1 interface
nat (inside) 1 192.168.10.0 255.255.255.0
Static NAT
static (dmz,outside) interface 10.0.0.20 netmask 255.255.255.255
Важно!
Словом interface здесь обозначается собственный адрес внешнего интерфейса устройства (1.1.1.1). Если производится трансляция в другой адрес из сети внешнего интерфейса, то он указывается явно.
Cisco ASA (IOS после 8.3)
PAT
object-group network NET_LAN
network-object 192.168.10.0 255.255.255.0
nat (inside,outside) source dynamic NET_LAN interface
Static NAT
object network NAT_OUTSIDE_1.1.1.1
host 10.0.0.20
nat (dmz,outside) static interface
Важно!
Более подробное описание настроек для настройки Static NAT также именуемой как «проброс портов» приведены в статье Cisco ASA. «Проброс портов» или static NAT.
Cisco IOS router
PAT
interface Ethernet X
ip address 192.168.10.1 255.255.255.0
ip nat inside
interface Ethernet Y
ip address 1.1.1.1 255.255.255.252
ip nat outside
ip nat pool POOL_PAT 1.1.1.1 1.1.1.1 //Здесь нет опечаток. Дважды указывается один и тот же адрес.
ip access-list standard ACL_PAT
permit ip 192.168.10.0 0.0.0.255
ip nat inside source list ACL_PAT pool POOL_PAT overload
Static NAT
interface Ethernet Z
ip address 10.0.0.1 255.255.255.0
ip nat inside
interface Ethernet Y
ip address 1.1.1.1 255.255.255.252
ip nat outside
ip nat inside source static 10.0.0.20 interface Ethernet Y
Важно!
В статье намеренно приведены самые простейшие примеры настройки трансляции.
Более сложные примеры описаны в статьях о базовой настройке маршрутизаторов Cisco и Cisco ASA.
Важно!
В указанных примерах меняется собственный адрес источника. Если в процессе работы на маршрутизаторе Cisco необходимо транслировать адрес назначения — пускать траффик на вымышленный адрес, чтобы попасть на некий настоящий, то прочитайте статью ip nat outside.