Nastavení překladu síťových adres (NAT)

Edward Tetz

Překlad síťových adres ( NOC ) je velmi snadné nastavit. Tyto příklady používají následující obrázek. Tento příklad nastaví NAT na routeru, ale implementuje dynamické mapování one-to-one. To umožňuje dynamické přiřazení skutečných adres, ale máte stejný počet vnitřních i vnějších adres, takže každé zařízení obdrží adresu.



vascepa a hubnutí

image0.jpg



Bez přetížení je to zásadní. Tady jsou příkazy, které musíte zadat pro konfiguraci NAT na routeru:

interface FastEthernet 0/0 description Inside Interface ip address 192.168.8.1 255.255.255.0 ip nat inside exit interface FastEthernet 0/1 description Inside Interface ip address 192.168.9.1 255.255.255.0 ip nat inside exit interface FastEthernet 0/2 description Outside Interface ip address 192.0.2.1 255.255.255.0 ip nat outside exit access-list 10 permit 192.168.8.8 0.0.0.7 access-list 10 permit 192.168.9.8 0.0.0.7 !--- Access list only allows hosts 192.168.8.8 to !--- 192.168.8.15 and 192.168.9.8 to 192.168.9.15 !--- out through NAT. ip nat pool no-overload 192.0.2.10 192.0.2.25 prefix 24 ip nat inside source list 10 pool no-overload

V tomto příkladu řekněme, že máte pouze jednu vnější adresu, kterou vám přidělil váš ISP. Celá vaše komunikace musí projít touto jednou adresou. Toto je příklad PAT, protože jedna adresa bude přeložena na základě portu.



interface FastEthernet 0/0 description Inside Interface ip address 192.168.8.1 255.255.255.0 ip nat inside exit interface FastEthernet 0/1 description Inside Interface ip address 192.168.9.1 255.255.255.0 ip nat inside exit interface FastEthernet 0/2 description Outside Interface ip address 192.0.2.1 255.255.255.252 ip nat outside exit access-list 10 permit 192.168.8.8 0.0.0.7 access-list 10 permit 192.168.9.8 0.0.0.7 !--- Access list only allows hosts 192.168.8.8 to !--- 192.168.8.15 and 192.168.9.8 to 192.168.9.15 !--- out through NAT. ip nat pool ovrld 192.0.2.1 192.0.2.1 prefix 30 ip nat inside source list 10 pool ovrld

Nakonec máte uvnitř sítě dva servery, které mají interní adresy 192.168.8.20 a 192.168.9.20. První server se používá pro e-mail a druhý server je webový server. Webový server má web spuštěný na méně standardním portu TCP 8080, ale chcete, aby externí uživatelé používali port TCP 80.

interface FastEthernet 0/0 description Inside Interface ip address 192.168.8.1 255.255.255.0 ip nat inside exit interface FastEthernet 0/1 description Inside Interface ip address 192.168.9.1 255.255.255.0 ip nat inside exit interface FastEthernet 0/2 description Outside Interface ip address 192.0.2.1 255.255.255.252 ip nat outside exit access-list 10 permit 192.168.8.8 0.0.0.7 access-list 10 permit 192.168.9.8 0.0.0.7 !--- Access list only allows hosts 192.168.8.8 to !--- 192.168.8.15 and 192.168.9.8 to 192.168.9.15 !--- out through NAT. ip nat pool ovrld 192.0.2.1 192.0.2.1 prefix 30 ip nat inside source list 10 pool ovrld ip nat inside source static tcp 192.168.9.20 8080 192.0.2.2 80 !--- This uses the second available address on external !--- interface, while it could have used the configured !--- address on FastEthernet0/2. It could have also been !--- configured for the Interface address using this command. ip nat inside source static tcp 192.168.8.20 25 interface FastEthernet0/2

Při vytváření statických mapování použijte své porty, abyste umožnili publikování vnitřních zdrojů prostřednictvím externího rozhraní routeru nebo brány firewall. Nepoužívejte příkazy jakoip nat uvnitř zdroje statické 192.168.1.50 192.0.2.50, který efektivně umístí celý váš hostitel 192.168.1.50 mimo váš router nebo firewall. To je mnohem větší expozice, než pro toho hostitele potřebujete.

Využívánírozhranípříkaz je užitečný, když váš ISP dynamicky přiřazuje vaši vnější adresu prostřednictvím DHCP nebo PPPoE. TherozhraníPříkaz umožňuje vaší konfiguraci použít jakoukoli adresu, která se přiřadí vašemu routeru nebo firewallu.



Pomocí pozdějšího scénáře, pokud se od vás požaduje změna adresy IP webového serveru (například přechod ze sítě 192.168.9.0/24 na síť 192.168.8.0/24 nebo změna čísla portu zpět na standardní port 80) , pak lze tyto změny provést na routeru bez dopadu na uživatele mimo síť.

revoluční vedlejší účinky léčby blechami

Záznam DNS směřující na vnější adresu zůstane stejný a jejich životy budou pokračovat jako obvykle. Lidé jsou často ohromeni tím, jak snadné je toto vnější / vnitřní mapování jejich sítě.