Как настроить nat на роутере cisco
NAT используется чаще всего для осуществления доступа устройств из сети предприятия(дома) в Интернет, либо наоборот для доступа из Интернет на какой-либо ресурс внутри сети.
Сеть предприятия обычно строится на частных IP адресах. Согласно RFC 1918 под частные адреса выделено три блока:
Эти адреса не маршрутизируются в Интернете, и провайдеры должны отбрасывать пакеты с такими IP адресами отправителей или получателей.
Для преобразования частных адресов в Глобальные (маршрутизируемые в Интернете) применяют NAT.
Помимо возможности доступа во внешнюю сеть (Интернет), NAT имеет ещё несколько положительных сторон. Так, например, трансляция сетевых адресов позволяет скрыть внутреннюю структуру сети и ограничить к ней доступ, что повышает безопасность. А ещё эта технология позволяет экономить Глобальные IP адреса, так как под одним глобальным адресом в Интернет может выходить множество хостов.
Настройка NAT на маршрутизаторах Cisco под управлением IOS включает в себя следующие шаги
1. Назначить внутренний (Inside) и внешний (Outside) интерфейсы
2. Определить для кого (каких ip адресов) стоит делать трансляцию.
3. Выбрать какой вид трансляции использовать
4. Осуществить проверку трансляций
Пусть, для примера, у нас будет роутер R1 с двумя интерфейсами.
2. Трансляцию будем делать для всей локальной сети 192.168.56.0/24
Для этого создаём ACL:
3. Существует три вида трансляции Static NAT, Dynamic NAT, Overloading.
Предположим, что провайдер на нас маршрутизирует сеть 10.11.11.0/24, таким образом предоставив не один, а 255 IP адресов. И мы хотим, что бы из внешней сети по адресу 10.11.11.10 был доступен наш внутренний сервер 192.168.56.10, тогда следует ввести следующую команду:
Таким образом происходит подмена внутреннего адреса источника 192.168.56.10 на внешний адрес 10.11.11.10 при прохождении пакета из внутренней сети во внешнюю. При обратном следовании пакета произойдёт подмена внешнего IP адреса назначения 10.11.11.10 на внутренний 192.168.56.10. Все сервисы, которые запущены на внутреннем сервере 192.168.56.10 доступны из внешней сети при обращении на адрес 10.11.11.10
Если нет необходимости открывать наружу все порты (сервисы), то можно ограничиться и определёнными, например:
В этом случае при обращении из внешней сети на адрес 10.11.11.10 и tcp порт 2222 произойдет соединение с 22-м tcp портом внутреннего сервера 192.168.56.10
Здесь все внутренние адреса из сети 192.168.56.0/24 (описанные в access-list 1 выше) будут преобразованы во внешний адрес 10.11.11.3
через внешний интерфейс:
Все внутренние адреса 192.168.56.0/24 будут преобразованы в адрес на интерфейсе fastEthernet0/1 (напомню, что он в нашем примере 10.0.0.253/30)
Пример конфигурации роутера с настроенным NAT overloading:
Да, назначать ip nat inside надо на подинтерфейсе (Fa0/0.10), там же прописывать и IP адрес (Если при выходе из этой сети VLAN10 необходимо проводить трансляцию адресов).
На основном интерфейсе (Fa0/0) в этом случае, ничего не нужно прописывать, если не используется 1-й влан или нативный влан.
При включенном Fa0/0.10, так же должен быть включен и основной интерфейс Fa0/0
можно ли на один порт прописать два маршрута?
Здравствуйте, помогитенайти ошибку в конфиге
Суть в следующем: имеется локалка на 6 компов в 2 разных зданиях компы подключать планирую на свичах cisco 2960, у все права равные. Из этого добра кабель идет в роултер cisco 2851 на котором необходимо настроить NAT, на втором конце висит 1 ip адрес от ростелекома со статическим адресом.
как я понимаю требуется настроить ACL, в нем я указываю полный доступ для всех абонентов сети, далее указываю что с 0/0 внутренняя 0/1 внешнят и на этом месте у меня както нечего не работает, при этом пинг с роултера на шлюз ростелекомовский, а на компьютер сети не идет, хотя в другую сторону все нормально.
В данном документе описывается настройка трансляции сетевых адресов (NAT) в маршрутизаторах Cisco для использования в стандартных сетевых сценариях. Целевая группа данного документа – это пользователи, только начавшие работу с NAT.
Примечание. В данном документе под Интернет-устройством понимается устройство в любой внешней сети.
Предварительные условия
Требования
Чтобы использовать данный документ, необходимо знание терминов, использующихся в связи с NAT. Некоторые определения можно найти в документе NAT: Локальные и глобальные определения.
Используемые компоненты
Сведения, содержащиеся в данном документе, относятся к следующим версиям программного и аппаратного обеспечения:
Маршрутизаторы Cisco серии 2500
ПО Cisco IOS ® версия 12.2 (10b)
Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученные от устройств с конфигурацией по умолчанию. При работе с реально функционирующей сетью необходимо полностью осознавать возможные последствия выполнения команд до их применения.
Условные обозначения
Дополнительные сведения об условных обозначениях см. в разделе Технические советы Cisco. Условные обозначения.
Краткое описание работ по конфигурации и развертыванию NAT
При настройке NAT иногда сложно определить, с чего начать, особенно если пользователь только начал работу с NAT. Данное руководство поможет определить, чего ждать от NAT и каким образом провести его настройку.
Доступны ли пользователи на нескольких интерфейсах?
Имеют ли несколько интерфейсов выход в Интернет?
Определите, чего вы пытаетесь достичь с помощью NAT.
Вы пытаетесь разрешить доступ из Интернета к внутренним устройствам (например почтовому серверу или веб-серверу)?
Вы используете NAT во время сетевых переходов (к примеру, после изменения IP-адреса сервера и до обновления всех клиентов необходимо, чтобы все необновленные клиенты могли получать доступ к серверу через исходный IP-адрес, а обновленные клиенты получали доступ к серверу через новый адрес)?
Чтобы выполнить описанные выше действия, настройте NAT. На основании изменений на этапе 2 необходимо определить, какие функции использовать из представленных далее:
Любая комбинация данных функций
Проверка работы NAT.
В каждом из следующих примеров настройки NAT выполняются этапы 1-3 данного краткого руководства. В этих примерах описаны некоторые стандартные сценарии, по которым Cisco рекомендует развертывание NAT.
Определение трансляции сетевых адресов внутри и вне интерфейсов
Первый этап развертывания NAT - определение внутренних и внешних интерфейсов NAT. Самым простым способом будет определить внутреннюю сеть как "inside", а внешнюю – как "outside". В то же время термины "внутренний" и "внешний" также являются условными. На следующем рисунке показан пример.
Пример: Разрешение доступа в Интернет внутренним пользователям
Возможно, вы хотите предоставить доступ в Интернет внутренним пользователям, но у вас нет достаточного количества допустимых адресов. Если все взаимодействия с Интернет-устройствами возникают из внутренних устройств, то нужен один допустимый адрес или пул допустимых адресов.
На следующем рисунке показана схема простой сети с внутренним и внешним интерфейсами маршрутизатора:
В этом примере NAT нужен затем, чтобы разрешить определенным внутренним устройствам (первым 31 из каждой подсети) создать связь с устройствами снаружи, преобразуя их недопустимый адрес в допустимый адрес или пул адресов. Пул задан как диапазон адресов от 172.16.10.1 до 172.16.10.63.
Теперь можно приступить к настройке NAT. Для выполнение описанных выше действий используйте функцию динамического NAT. При динамической трансляции сетевых адресов таблица трансляции в маршрутизаторе исходно является пустой и начинает заполняться после того, как трафик для трансляции проходит через маршрутизатор. (В отличие от функции статического NAT, где трансляция настраивается статически и помещается в таблицу трансляции без присутствия трафика).
В этом примере можно настроить NAT для трансляции каждого внутреннего устройства на уникальный допустимый адрес или для трансляции всех внутренних устройств на один допустимый адрес. Второй метод известен как перегрузка. Пример настройки каждого метода приведен ниже.
Настройка NAT для разрешения доступа в Интернет внутренним пользователям
Примечание. Cisco настоятельно рекомендует не настраивать списки доступа, упоминаемые в командах NAT, с помощью команды permit any. Использование команды permit any может привести к тому, что NAT будет потреблять слишком большое количество ресурсов маршрутизатора, что вызовет проблемы с сетью.
В приведенной выше конфигурации следует отметить, что только первые 32 адреса из подсети 10.10.10.0 и первые 32 адреса из подсети 10.10.20.0 разрешены списком доступа 7 Таким образом, выполняется преобразование только этих исходных адресов. Внутренняя сеть может содержать другие устройства с другими адресами, которые не транслируются.
Настройка NAT для разрешения доступа в Интернет внутренним пользователям с помощью функции перегрузки
Заметьте, что выше во второй конфигурации пул NAT "ovrld" имеет диапазон только из одного адреса. Ключевое слово overload, используемое в команде ip nat inside source list 7 pool ovrld overload, позволяет NAT транслировать несколько внутренних устройств на один адрес в пуле.
Еще одной формой данной команды является команда ip nat inside source list 7 interface serial 0 overload, которая настраивает NAT для перегрузки по адресу, присвоенному последовательному интерфейсу 0.
После настройки перегрузки в маршрутизаторе накапливается достаточное количество данных протоколов высокого уровня (к примеру, номера портов TCP или UDP) для обратной трансляции глобального адреса на правильный локальный адрес. Определения глобального и локального адреса см. в NAT: Локальные и глобальные определения.
Пример: Разрешение доступа к внутренним устройствам из Интернета
Настройка NAT, разрешающая доступ из Интернета к внутренним устройствам
В этом примере в первую очередь происходит определение внутренних и внешних интерфейсов NAT, как показано на сетевой диаграмме выше.
Во-вторых, определяется, что внутренние пользователи могут создавать связь с внешними устройствами. Необходимо, чтобы внешние устройства могли устанавливать связь только с внутренним почтовым сервером.
Третий этап — настройка NAT. Чтобы завершить начатый процесс, можно настроить статический и динамический NAT вместе. Дополнительная информация о настройке, описанной в данном примере, содержится в документе Одновременная настройка статического и динамического NAT.
Пример: Переадресация трафика TCP на другой TCP-порт или адрес
Наличие веб-сервера во внутренней сети – это еще один пример, когда для устройств в Интернете может оказаться необходимым инициировать взаимодействие с внутренними устройствами. В некоторых случаях внутренний веб-сервер может быть настроен для взаимодействия с веб-трафиком через порт TCP, а не порт 80. К примеру, внутренний веб-сервер может устанавливать соединение через порт TCP 8080; в этом случае можно использовать NAT для перенаправления трафика, предназначенного для порта TCP 80 к порту TCP 8080.
После определения интерфейсов, как показано на схеме сети выше, NAT может перенаправлять внешние пакеты, предназначенные для адресов от 172.16.10.8:80 до 172.16.10.8:8080. Для этого можно транслировать номер порта TCP с помощью команды "static nat". Пример конфигурации приведен ниже.
Учтите, что описание настройки статической команды NAT указывает, что все пакеты, полученные внутренним интерфейсом с адресом источника 172.16.10.8:8080, будут преобразованы в 172.16.10.8:80. Это также подразумевает, что все пакеты, полученные внешним интерфейсом с адресом назначения 172.16.10.8:80, будут преобразованы в 172.16.10.8:8080.
Пример: Использование NAT во время сетевых переходов
Развертывание NAT может потребоваться для переадресования устройств сети или при замене одного устройства другим. Например, если все устройства в сети используют определенный сервер и этот сервер необходимо заменить новым сервером с новым IP-адресом, то перенастройка всех сетевых устройств, использующих новый адрес сервера, займет определенное время. Однако можно использовать NAT для настройки устройств, использующих старые адреса, чтобы транслировать их пакеты для связи с новым сервером.
После определения интерфейсов NAT, как показано выше, NAT может транслировать внешние пакеты, направленные на адреса старого сервера (172.16.10.8), и направлять их на новый адрес сервера. Обратите внимание, что новый сервер относится к другой сети LAN и устройства, находящиеся в этой сети или достижимые через нее (устройства из внутренней части сети), следует настроить на (по возможности) IP-адрес нового сервера.
Для этого можно использовать статическое преобразование сетевых адресов (NAT). Пример конфигурации приведен ниже.
Настройка NAT для использования при сетевых переходах
Обратите внимание на то, что команда внутреннего источника NAT в данном примере также подразумевает, что адрес назначения пакетов, полученных на внешнем интерфейсе, 172.16.10.8, будет преобразован в адрес 172.16.50.8.
Пример: Использование NAT в перекрывающихся сетях
Перекрытие сетей возникает, когда внутренним устройствам присваиваются IP-адреса, уже используемые другими устройствами в Интернете. Также перекрытие происходит, когда сливаются две компании, использующие в своих сетях IP-адреса RFC 1918 . Эти две сети должны общаться, желательно без необходимости переадресации своих устройств. Дополнительная информация о настройке NAT для этой цели содержится в документе Использование NAT в перекрывающихся сетях.
Проверка работы NAT
После настройки NAT убедитесь, что он работает, как нужно. Это можно сделать несколькими способами: с помощью сетевого анализатора, команд show или debug. Подробный пример проверки NAT содержится в документе Проверка работы и устранение основных неисправностей NAT.
Заключение
В примерах в данном документе содержится краткое руководство, которое поможет настроить и развернуть NAT. К действиям, описанным в руководстве, относится следующее:
Определение NAT внутри интерфейсов и за их пределами.
Определение, чего вы пытаетесь достичь с помощью NAT.
Настройка NAT для выполнения задачи, сформулированной на этапе 2.
Проверка работы NAT.
В каждом из вышеуказанных примеров были использованы различные формы команды ip nat inside. Для этого также можно использовать команду ip nat outside, не забывая о порядке работы NAT. Примеры настройки с помощью команд ip nat outside содержатся в документе Пример настройки с использованием команды ip nat outside source list и ip nat outside source static.
Всем привет сегодня мы поговорит как настроить на Cisco NAT. Что такое NAT и для чего он вообще нужен, так как этот функционал давно и плотно вошел в нашу повседневную жизнь и сейчас очень сложно себе представить, хотя бы одно предприятие, в котором бы не использовалась данная технология. В свое время она спасла интернет и сильно отсрочила, переход с ipv4 на ipv6, но обо всем по порядку.
Что такое NAT
NAT ( Network Address Translation ) это механизм преобразование сетевых адресов, если по простому, то это технология которая позволяет за одним белым ip сидеть куче частных или серых ip. Примером моет быть офисный интернет, где все пользователи сидят через общий шлюз, на котором настроен ip адрес выходящий в интернет, что у пользователей настроены локальные ip адреса.
Выглядит это приблизительно вот так
Виды NAT
- Статический NAT - преобразование серого ip в белый, пример проброс порта в локальную сеть, например RDP
- Динамический NAT - преобразование серого ip в один из ip адресов группы белых ip адресов
- Перегруженный NAT или как его называют еще PAT (port Adress translation), преобразование нескольких серых ip в белый, давая им разные порты.
Сегодня мы рассмотрим статических NAT и PAT.
Настройка NAT Cisco
Вот как выглядит схема маленького офиса. У нас есть 3 компьютера в vlan 2, есть сервер в отдельном vlan 3. Все это добро подключено в коммутатор второго уровня cisco 2660, который в свою очередь воткнут в роутер Cisco 1841, который маршрутизирует локальный трафик между vlan 2 и 3.
Настройка Cisco 2960
Создадим vlan 2 и vlan3, зададим им имена и настроим нужные порты на эти vlan.
enableconf t
создаем vlan 2
vlan 2
name VLAN2
exit
создаем vlan 3
vlan 3
name VLAN3
exit
Помещаем порты в vlan2
int range fa0/1-3
switchport mode access
switchport access vlan 2
exit
Помещаем порт в vlan3
int fa 0/4
switchport mode access
switchport access vlan 3
exit
теперь настроим fa 0/5 как trunk порт
int fa 0/5switchport mode trunk
switchport trunk allowed vlan 2,3
do wr mem
Далее настраиваем уже роутер Cisco 1841.
Настройка Cisco 1841
Первым делом создадим sub интерфейсы и поднимем порт.
int fa0/0.2
encapsulation dot1Q 2
ip address 192.168.2.251 255.255.255.0
no shutdown
exit
int fa0/0.3
encapsulation dot1Q 3
ip address 192.168.3.251 255.255.255.0
no shutdown
exit
В итоге порт загорелся зеленым
Настройка PAT
В моей виртуальной инфраструктуре к сожалению нашу схему нельзя выпустить в интернет, мы его сэмулируем, у нас будет роутер с белым ip адресом и сервер тоже с белым ip адресом. Схематично это выглядит вот так. На роутере провайдера на определенном порту присвоен белый ip адрес 213.235.1.1 и маска сети 255.255.255.252
Настроим на нашем тестовом провайдерском роутере этот ip.
enconf t
int fa0/0
ip address 213.235.1.1 255.255.255.252
no shutdown
exit
настройка белого ip
настроим порт fa0/1 который смотрим на сервер, и зададим ему другой белый ip 213.235.1.25 255.255.255.252
int fa0/1ip address 213.235.1.25 255.255.255.252
no shutdown
exit
подняли порты у провайдера
Сервер у меня будут иметь ip адрес 213.235.1.26 и шлюзом будет 213.235.1.25, интерфейс роутера провайдера смотрящего на сервер.
Теперь произведем настройку нашего локального роутера Router0, настроим на нем выделенный нам провайдером белый ip адрес 213.235.1.2 255.255.255.252, шлюзом будет 213.235.1.1
enableconf t
int fa0/1
ip address 213.235.1.2 255.255.255.252
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 213.235.1.1
exit
wr mem
Пробуем пропинговать с офисного роутера ip адреса провайдера и сервера, и видим что все отлично работает.
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.235.1.1, timeout is 2 seconds:
Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.235.1.1, timeout is 2 seconds:
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/1 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.235.1.2, timeout is 2 seconds:
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/9/17 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.235.1.25, timeout is 2 seconds:
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/0 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.235.1.26, timeout is 2 seconds:
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/0 ms
Ну и само натирование. На локальном роутере выполняем следующее. Теперь нам нужно задать какой интерфейс nat будет считать внешним, а какой внутренним, тут все просто внешним будет то где настроен белый ip адрес провайдера, внутренним то что соединен с коммутатором второго уровня. fa0/1 будет внешним, а два sub интерфейса внутренними.
enableconf t
int fa0/1
ip nat outside
exit
int fa0/0.2
ip nat inside
int fa0/0.3
ip nat inside
exit
Настройка Access List
Access List список, какой трафик нужно натировать, а какой должен работать без NAT.
Создаем список доступа по имени NAT
Разрешаем два пула
permit 192.168.2.0 0.0.0.255
permit 192.168.3.0 0.0.0.255
0.0.0.255 это Wildcard bits
как видим, у нас в конфиге появился список доступа и помечены порты какие outside, а какие inside.
И вводим еще одну волшебную команду, где говорит что трафик пришедший на fa0/1 нужно натить по правилу NAT. В итоге мы настроили PAT.
ip nat inside source list NAT interface fa0/1 overloadСохраняем все do wr mem
проверим с компьютера локальной сети доступность внешних ресурсов. Посмотрим текущие конфигурации командой ipconfig, видим ip адрес 192.168.2.1, пропингуем 213.235.1.26, как видите все ок и NAT cisco работает.
Посмотреть пакеты натирования можно командой
Видно что пакеты ping с локального серого ip по портам 12,13,14,15 были отправлены с внешнего белого ip, по тем же портам.
NAT (Network Address Translation) - это процесс трансляции локальных (частных) ip-адресов во внешние (глобальные), позволяет узлам, имеющим частные адреса, обмениваться данными в сети Интернет.
При настройке NAT, один интерфейс должен быть определен как внутренний (соединяется с внутренней частной сетью), а другой как внешний (используется для выхода в Интернет).
Используется 3 вида трансляции адресов
1. Статический (Static Network Address Translation)
2. Динамический (Dynamic Address Translation)
3. Маскарадный (NAPT, NAT Overload, PAT)
Настройка статического NAT (Static Network Address Translation)
Статический NAT - сопоставляет единый внутренний локальный (частный) ip-адрес с единым глобальным (публичным) ip-адресом.
1.Создание статического маршрута на стороне ISP.
2.Настройка дефолта на R1.
3.Настройка внутреннего интерфейса в отношение NAT.
4.Настройка внешнего интерфейса в отношение NAT.
5.Настройка сопоставления ip-адресов.
В результате ip-адресу 200.10.21.5 всегда будет соответствовать внутренний ip-адрес 10.10.10.2, т.е. если мы будем обращаться к адресу 200.10.21.5 то отвечать будет computer 1
<р2>Настройка динамического NAT (Dynamic Address Translation)
Динамический NAT - использует пул доступных глобальных (публичных) ip-адресов и назначает их внутренним локальным (частным) адресам.
1.Настройка списка доступа соответствующего внутренним частным адресам, обратите внимание что используется обратная маска.
2.Настройка пула адресов.
4.Настройка внутреннего интерфейса в отношение NAT.
5.Настройка внешнего интерфейса в отношение NAT.
Настройка PAT (NAPT, NAT Overload, маскарадинг)
PAT (Port Address Translation) - отображает несколько локальных (частных) ip-адресов в глобальный ip-адрес, используя различные порты.
1. Настройка списка доступа соответствующего внутренним частным адресам, обратите внимание что используется обратная маска.
Читайте также: