1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> nettverk >> Nettverksadministrasjon >>

Router Expert: Konfigurasjon av IOS NAT

Denne måneden vil vi ta en titt på Network Address Translation (NAT), som utfører funksjonen til å endre IP-nettverk (OSI-L3) lag og transport protokoll (OSI-L4) adressering Opplysningene i overskrifter og datadelen av nettverkspakker. NAT er designet for å gi Internett-tilgang til en stump nettverk ved hjelp av ikke /unroutable adressering og senere utvidet til å gi mange-til-én tilkobling " deler " tjenester. Den opprinnelige motivasjonen for NAT fremgår tydelig i det abstrakte av RFC 1631: " Det er mulig at CIDR (Classless Inter-Domain Routing) ikke vil være tilstrekkelig til å opprettholde IP Internett før langsiktige løsninger er på plass. Dette notatet foreslår en annen kortsiktig løsning, adresse gjenbruk, som utfyller CIDR eller gjør det unødvendig ... å plassere NATer ved grensen stubb domener. &Quot; NAT, som CIDR, var ment å ta en tidlig frykt i kommersialiseringen av Internett, som var uttømming av IPv4-adresserommet før en ny adressering ordningen kan bli avtalt og vedtatt.

Som det viser seg , CIDR har vært svært vellykket, IP " adresse krise " ble avverget, og IPv6 er fortsatt ikke vedtatt (ennå) for adressering Internett. Likevel, NAT er talsmenn og tidlig implementers hadde en veldig god ide som har blitt et svært effektivt verktøy for å ta opp visse typer nettverksskaleringsproblemer. I dag er den mest vanlige bruken av NAT gjennomføring " Connection Sharing " på små og hjemmekontor bredbånd gateway løsninger (dvs. hardware-basert bredbåndsrutere fra selskaper som Linksys og Netgear og programvareløsninger som Microsofts samtrafikk delingsalternativ og WinGate). Noen annen bruk av NAT er:
Overgangs tjenester for IP-nettverk konverteringer
Enveis " nettverk-in-nettverk " sikre trådløse LAN og LAN enklaver.
Gir høy tilgjengelighet /server lastbalansering (HA /SLB) tjeneste
IPv4 til IPv6-protokollen oversettelse (definert i RFC 2766 og ikke dekket i denne artikkelen)
< p> Mens skjult, er NAT også en viktig del av de fleste moderne brannmur implementeringer. Dette skyldes i stor grad likheter mellom NAT og Stateful forbindelse spore når det gjelder operasjonell modalitet og utfyllende funksjonalitet. Det er fra denne sammenheng at vi skal undersøke Cisco IOS NAT gjennomføring. Leserne bør huske på at NAT er ikke en avhengig teknologi for brannmur implementeringer. Men spredning av billige bredbåndstilgang teknologier, som ofte krever " Connection Sharing " for en effektiv gjennomføring, gjøre bruk av NAT (og en forståelse av hvordan det fungerer) mer av en design krav enn et alternativ.
Hva er Network Address Translation?
< p> problemet med å forstå og implementere NAT er ikke fatte konseptet, men heller forstå sjargong. NAT er definert i RFC 1631 (grunnlaget for NAT gjennomføring Ciscos) og raffinert i RFC 2663. Definisjonen av NAT ovenfor definerer handlingen utført av NAT. Vi må også ta en titt på funksjonen av NAT. For å gjøre dette krever at vi skal definere noen begreper:
Nettverk domene:
En IP-nettverk eller nettverk som er knyttet under en felles ruting policy (et konsept som minner om et autonomt system (AS), men uten det administrative forhold til Internett). Networks innen domenet har direkte reachability kjennskap til hverandre gjennom bruk av Interior Gateway Protocols (IGP). Begrepene " offentlige " og " privat " blir ofte brukt for å beskrive reachability status av et domene, En public domain
eller utenfor nettverket
er ". nås " fra vertene utenfor direkte administrativ kontroll over domenet og hvis opprinnelse er ikke direkte kjent (dvs. Internett), En privat domene
eller inne nettverk
er ". nås " bare gjennom en administrativ gateway (AG). AG er en enhet som overvåker kommunikasjonen sesjon mellom offentlig og privat vert. Annonsegrupper finnes i mange former; brannmurer, applikasjon proxy-servere eller transparente rutere er de vanligste annonsegrupper
Adresse riket. En sammenhengende IP-adresse blokk (dvs. subnett) av en IP-prefiks i nettverket domene. Verter i riket er tildelt bestemte adresser og har direkte reachability til de lokale og eksterne nettverk innenfor domenet
Transparent ruting.
Videresending (dvs. oversettelse) av IP-pakker mellom forskjellige adresse realms innenfor en nettverksdomene. Dette er den tekniske funksjon av NAT. Alle oversettelser er passivt utføres uten kjennskap til de kommuniserende verter, derav navnet " gjennomsiktig "., En lokal adresse
er en vertsadresse fra en adresse riket i nettverket domene som ikke er direkte nås uten gjennomsiktig ruting. Lokale adresse realms er vanligvis ikke tildelt av en regional rute register (dvs. ARIN, RIPE, APIC), så riket er ikke rutbare over Internett. IANA har bevilget de RFC 1918 adresseblokker for administratorer å tildele lokale adressering. Selv om det ikke tilrådelig, er det mulig for en administrator å bruke IP-prefiks for å tildele lokale adresser.
A globale adresse
er en vertsadresse fra en adresse riket i nettverket domene som kan nås uten gjennomsiktig ruting . Global adresse realms blir tildelt nettverksdomener av en ISP eller regional rute registret. Global adresser er " rutes " over Internett
Session.
TCP er full duplex transportprotokoll. Både lokale og eksterne verter utveksler data over en virtuell krets, som må settes opp og revet ned. I kontrast, UDP og ICMP er forbindelsesløs og sende data i autonome meldinger, også kalt datagrammer.
Den ensrettede utveksling mellom vertene er kjent som flyter. Strømmer er en vanlig måte overvåking nettverk aktivitet, og flyten har fire hoveddeler: src_addr: src_port: dst_addr:. Dst _port
data mellom lokale til fjernstyring og kontroll til lokale verter utveksles som en distinkt flyte, fordi NAT trenger for å utføre både forover og bakover oversettelser til rette for utveksling av data. NAT-enheten sporene både ensrettede strømmer som en samlet kalles en økt. I tillegg til lokale og eksterne adresse og port informasjon NAT sporer også protokollen (TCP, UDP, ICMP) i tillegg. Den bruker et datasett som ser omtrent slik ut: protokollen: src_addr: src_port: dst_addr. Dst_port

Nå som vi har fått sjargong ned, la oss kjøres gjennom NAT prosessen. En lokal /inne verten initierer en forbindelse med et globalt /ekstern vert. Dette krever Address Translation, som kan deles inn i en seks-trinns prosess:
lokale vert med gjennomsiktig router (TR) konfigureres som standard gateway (DG) utfører en rutingtabell oppslag, ARP tabellen oppslag og videresender pakke til DG.
TR /DG aksepterer pakken på sin inne grensesnitt. Den utfører en rutingtabell oppslag, bestemmer destinasjonen er utenfor sitt domene, og må videresende pakken til sin DG. TR sjekker deretter sin oversettelse tabellen (TT) for å se om en utenforstående globale adresse har vært forbundet med innsiden lokale verten. Hvis en adresse ikke er funnet, det tildeler en (som forblir avsatt til et administrativt bestemt periode).
TR omskriver så pakkens IP header, innsetting av lokal adresse for den globale adresse, og beregner IP og TCP header sjekksummer for å redegjøre for den nye kildeadressen. I tillegg, hvis applikasjonen setter pakkens opprinnelse adresse i datadelen av pakken, disse adressene må også forandres. Dette kravet gjør ikke alle programmer som er kompatible med NAT.
Eksterne verten mottar pakken og svarer. Når en innkommende pakke mottas på TR globale grensesnitt, sjekker gateway omsettingstabellen og bestemmer om pakken er en gyldig lokal destinasjon. &Quot; livet " av en oversettelse fastsettes administrativt. TCP sesjoner, som har bestem start (SYN) og sluttpunkt (SYN-RST, SYN-FIN), kan spores og global adresse omdisponering kan utføres. RFC anbefaler minimum 2 minutter. Den maksimale levetid for segmentet av 4 minutter bør benyttes for å unngå begynnelsen av sesjonsavslutning i tilfelle av nettverksventetid eller omsendinger. UDP-økter, som er statsløs, er ikke lett å spore. Siden UDP representerer et problem fra et sikkerhetsmessig ståsted, bør en fornuftig timeout vurderes (mellom 1 til 2 minutter).
Hvis en gyldig sesjon kamp blir funnet, omskriver TR overskriften (og data) destinasjon verdier og beregner nødvendig summer.
ruteren utfører nødvendig routing og ARP oppslag og fremover at pakken til den lokale verten.
NAT smaker

Oversettelses kravene varierer, avhengig av nettverkstype og operative krav. Som et resultat, er det forskjellige smaker av NAT
Toveis NAT plakater (også kjent som enkel statisk NAT). Lokal-til-globale adressetildeling forvaltes statisk. Lokal-til-global kartlegging opprettes for hver lokale verten. Under den statiske modellen, bør reachability være tilsvarende for lokale og globale verter, forutsatt at de dynamiske oppføringer er knowable globalt gjennom en navneløsing tjeneste som DNS.
Tradisjonell NAT
, dynamisk NAT, utgående NAT, og enkel NAT er bare noen få navn for ensrettet NAT som tillater ikke-gjensidig adgang for lokale verter å få tilgang til globale verter. Lokal-til-globale adressetildeling kan enten være dynamisk, ved hjelp av en pool av globale adresser, eller via statiske lokale til globale kartlegginger. Tilgjengelighet til de lokale verter er begrenset til bare lokalt oppsto økter.
To ganger NAT
eller overlappende NAT brukes når en administrator har brukt en ulovlig lokal adresse riket som er blitt legitimt tildelt til en Internett-enhet, noe som resulterer i tilgjengelighets konflikter mellom de lokale rikene og den globale riket med tilsvarende adressering. To ganger NAT introduserer en ny type lokal kartlegging kjent som utenfor lokale plakater (en IOS konstruksjon for lokal-til-global oversettelse). En ekstern verten har samme adresse i en innvendig lokale verten, så ethvert forsøk på å nå den eksterne verten med motstrid adresse vil mislykkes. I dette scenariet, lokale verter gjøre forespørsler til eksterne verter med motstridende adresser med lokalt rutbare adresser som destinasjon adressen til de eksterne verter. Når ruteren mottar en pakke med en utenforstående lokal adresse, det betyr det og videresender forespørselen riktig. For eksempel er et nettsted globalt adressert med en lokal adresse. En oversettelse kartlegging ved hjelp av et lokalt rutbare adresse til det globale adresse (i strid) er gjort. Lokal DNS er konfigurert til å løse den eksterne vertsnavnet til den globale lokal adresse. Når en tilkobling er opprettet, ruteren første overs innsiden-lokal-til-utenfor-lokal kartlegging, behandler deretter inne-lokal-til-utenfor-global forespørsel.
Port Address Translation plakater (PAT ) eller Network Address Port Translation (NAPT) og overbelastet NAT er NAT implementeringer som overs mange verts forespørsler ved hjelp av en liten utenfor globale adresse basseng eller en enkel utenfor globale adresse. Oversettelser er multiplekset bruker innsiden lokal adresse og lokal transport port til utenfor globale adresse og transport port.

På dette punktet, bør du kjent nok til å skikkelig Intrepid IOS konfigurasjon terminologi. Så la oss gå videre til gjennomgå noen av de operasjonelle aspekter av IOS NAT gjennomføring og hvordan du konfigurerer den.
Konfigurering IOS NAT

Cisco introduserte RFC 1631-basert NAT i IOS 11.2 i " IP Plus " image treet. Som i versjon 12.x, NAT er tilgjengelig i " bunn " image treet og på alle store plattformer. En liten og hjemmekontor gjennomføring kjent som " Enkel IP, " som gir PAT bare og gir DHCP-tjeneren og grensesnitt konfigurasjon støtte, har vært tilgjengelig siden 11.3. NAT opererer med " rask veksling " videresending modus. NAT er prosessor og minne intensive. Hver NAT tabellen oppføring krever 160 byte med DRAM, så virkningen og skalerbarhet av en NAT gjennomføring avhenger litt på ruteren plattformen og mengden av DRAM installert. Videresending gjennomstrømming varierer avhengig av maskinvareplattform. På grunn av NAT er operativ karakter, ikke alle transportprotokoller og programmer støttes. IP multicast, IPsec AH, NetShow og Interiør Gateway Routing protokoller støttes ikke. FTP, telnet, HTTP, SSH, RTTP, ICMP og DNS (UDP) serie er bare noen av de støttede programmer. Søknad støtte varierer avhengig av IOS, så sjekk din versjon er versjonsmerknadene for en fullstendig liste

IOS NAT-konfigurasjon bruker exec og konfigurasjon kommando root . ≪ ip nat >
. I utgangspunktet er NAT-konfigurasjon to-trinns prosess:. (1) definisjon av innsiden og utsiden grensesnitt og (2) Definisjonen av innside lokale og utenfor globale adressekartlegginger

La oss starte med definisjonen av indre og ytre nettverksgrensesnitt . IOS støtter flere inne grensesnitt og ett utenfor grensesnitt. På multi-grensesnitt rutere, ikke alle grensesnitt må defineres. Udefinerte grensesnitt anses " globalt " tilgjengelig. Data som utveksles mellom inne lokale verter og verter på udefinerte grensesnitt vil være ". Settes " For å konfigurere en innvendig grensesnitt, grensesnittet konfigurasjonen underkommando < ip nat inne >
brukes. For å konfigurere en ekstern grensesnitt, kommandoen < ip nat utenfor >
brukes. Hvis du vil deaktivere NAT, bruker du < no ip nat {inne | utenfor} >.
Variant av kommandoen

Når grensesnittene er definert, inne-lokal-til-utenfor- globale adressekartlegginger må defineres sammen med NAT operativ politikk. IOS støtter tre kartleggingsmetoder: statisk lokale til globale, dynamisk basseng tildeling, og inne-lokale-til-utenfor-global grensesnitt. Med det siste alternativet, er ruterens utenfor grensesnitt adresse den globale utenforstående kilde adresse. Her er fremgangsmåten for å konfigurere den tilgjengelige kartlegging og " inne til ute " NAT politiske alternativer:
å konfigurere en statisk lokal inne til global utenfor kartlegging bruke konfigurasjonskommandoen < ip nat inne kilde statisk {out_glo_addr} {in_loc_add} >.
Konfigurering av et dynamisk basseng er en tre-trinns prosess : 1. Opprett en standard IP ACL å matche trafikken som skal oversettes < access-liste {1-99} {tillatelse | nekte} {host src_addr | noen | src_addr wildcard maske} >.
2. Lag utenfor globale adresse bassenget ved hjelp av konfigurasjons kommandoen < ip lokale bassenget {basseng name} {første adr innen rekkevidde} {siste adr i serien} >.
3. Definer NAT politikk å bruke dynamisk-local-inne-til-global-utenfor kartlegging ved hjelp av konfigurasjons kommandoen < ip nat inne kildelisten {acl #} basseng {basseng name} {overbelastning} >.
Når du bruker et dynamisk basseng, når alle de utvendige globale adresser har blitt tildelt, uten ekstra inne lokale verter kan etablere forbindelser med fjernkontroll verter. Inkludert < overbelastning >
gjør kildeport oversettelse. Lokal-til-global port særpreg opprettholdes med mindre en eksisterende tilkobling ved hjelp av samme porten er aktiv. Når en ny port må fordeles, er det plukket fra havnen samme området i henhold til BSD tildeling: Range # 1 (1 - > 511), rekkevidde # 2 (512- > 1023), rekkevidde # 3 (1024 - > 4999), eller et område som nr 4 (5000 - >. 65535)
inne-lokal-til-utenfor-global grensesnitt alternativet ble gjennomført på IOS å støtte en-til-mange PAT implementeringer. Inne lokale kartlegginger kan konfigureres statisk å aktivere TCP og UDP port forwarding. Port forwarding tillater en innvendig lokal vert å motta innkommende tilkoblinger for bestemte tjenester, for eksempel HTTP og SMTP-trafikk ved hjelp av ruterens utenfor grensesnitt. For å konfigurere port forwarding, bruker du konfigurasjonen kommandoen < ip nat inne kilde statisk {tcp | udp} inside_loc_addr {port #} {grensesnitt x: x} {port #} >.
Hvis du har planer om videresending telnet eller SSH for å få tilgang til interne verter, du kan ikke videresende porter 22 og 23 fordi de brukes av ruteren for vty tilgang. Så du er nødt til å bruke høy tall porter som utenfor globale målportene og kart dem til den kjente serviceporten av den lokale inne verten. For eksempel vil e sette opp SSH-tilgang til en innside host bruker port 4001, er konfigurasjonen kommandoen < ip nat statisk tcp ins_loc_add 22 grensesnitt Ethernet 0/0 4001 >.
konfigurere utgående PAT følger trinnene som ligner dynamisk basseng. Først oppretter en innvendig lokal trafikk kvalifiseringen kart ved hjelp av en standard IP ACL med < access-liste {1-99} {tillatelse | nekte} {host src_addr | noen | src_addr wildcard maske} >.
Deretter definerer NAT politikk ved hjelp av konfigurasjons kommandoen < ip nat inne kildelisten {acl #} grensesnitt {L2 grensesnitt type x: x} overbelastning >.


Når NAT er konfigurert, er det lite i form av " hands-on " vedlikehold. Når det er sagt, ting kan gå galt fra tid til annen. For å se en oversettelse tabell, bruker IOS exec kommandoen < showet ip nat oversettelser >.
å se oversettings statistikk (treff, for målet, og utløpte oversettelser) exec kommandoen < show ip nat statistikk >
er tilgjengelig. For å feilsøke problemer, en rekke feilsøke kommandoer er tilgjengelige ved å bruke exec kommando root < debug ip nat {alternativ} >.
Og hvis du planlegger å gjøre endringer i NAT politikken når den er på plass må du skylle oversettelsestabellen. Dette gjøres ved hjelp av en exec nivå klart
kommando. For å slette en NAT oversettelse tabelloppføring, bruke kommandoen < klart ip nat oversettelse {* | tvang inne | utenfor} >.
" * " verdi sletter alle ikke-aktive dynamiske oversettelser, mens tvunget
verdi sletter alt. inne
verdi klarner globale statiske oversettelser; . utenfor
klarner lokale oversettelser

Nå som vi har anmeldt konfigurasjonskommandoer, la oss se på noen utdrag av standard NAT konfigurasjoner:
SOHO Port Address Translation < .no>

For kabel og ADSL-brukere som ikke får en statisk IP-adresse oppdrag fra sin ISP, er utgående PAT det beste alternativet:

! versjon 12.2! vertsnavn DHCP-klient-ID! ! grensesnitt ethernet0 ip-adresse dhcp ip access-gruppen 100 i ip nat utenfor halv dupleks! grensesnitt FastEthernet0 ip-adressen 192.168.1.1 255.255.255.0 ip nat inne hastighet 100 dupleks halv! ip nat inne kildelisten to grensesnitt ethernet0 overbelastning! ! access-list 2 tillatelse 192.168.1.0 0.0.0.255 aksess-liste 100 nekte tcp alle alle eq 22 aksess-liste 100 nekte tcp alle alle eq telnet aksess-liste 100 nekte tcp alle alle eq 80 aksess-liste 100 tillatelse ICMP alle alle ekko access-liste 100 tillatelse icmp noen noen ekko-svar aksess-liste 100 tillatelse ip alle alle! !

Ethernet 0 er ISP-side grensesnitt konfigurert for DHCP adressetildeling. De fleste Internett-leverandører bruker DHCP-klient-ID som autentisering for å få en IP-adresse på nettverket. I eksempelet < hostname > er satt som DHCP-klient-ID, men det er også mulig å sette DHCP-klient-ID som en del av grensesnittet DHCP-setning med < ip-adresse dhcp klient-id {value} >.
Det er to ACL brukes i eksempelet. Tilgang liste 2 definerer kilde adresser som skal oversettes; det er alltid en god idé å være spesifikk i denne definisjonen stedet for å bruke en " alle " samsvarende verdi. Den andre listen er en grunnleggende inngående SACL filter. Vertskapet kan være skjult, men ruteren er det ikke. Det er en god idé å blokkere telnet, SSH og HTTP og bare tillate ICMP ekko og ekko-svar (hvis du virkelig trenger dem). Feil skje, og de fleste ISPer ikke tvinge resirkulering av IP-adresser. Du kunne ha samme IP-adresse for en lang tid, så hvis noen ser på deg kan bli et mål.
Tradisjonell utgående NAT

Dette eksemplet er funksjonelt lik PAT eksempel med den forskjell at inne utbydere er tildelt utenfor globale adresser fra en pool. Fordelen med denne tilnærmingen er at trafikk forespørsler kommer fra flere Ips, noe som gjør utnyttelse vanskeligere å spore tilbake til bestemte inne verter. Fordi dette er en utgående eneste løsningen, de samme inngående filtrering krav på " utenfor " grensesnitt bør følges.

! versjon 12.2! vertsnavn NAT-router! grensesnitt ethernet0 ip-adressen 63.122.40.1 255.255.255.240 ip access-gruppen 100 i ip nat utenfor halv dupleks! grensesnitt FastEthernet0 ip-adresse 192.168.100.1 255.255.255.0 ip nat inne hastighet 100 dupleks halv! ip lokale bassenget nat 63.122.40.2 63.122.40.13 ip timeout nat oversettelses 300 ip nat inne kildelisten to basseng nat overbelastning! ! access-list 2 tillatelse 192.168.1.0 0.0.0.255 aksess-liste 100 nekte tcp alle alle eq 22 aksess-liste 100 nekte tcp alle alle eq telnet aksess-liste 100 nekte tcp alle alle eq 80 aksess-liste 100 tillatelse ICMP alle alle ekko access-liste 100 tillatelse icmp noen noen ekko-svar aksess-liste 100 tillatelse ip alle alle!

Bruk av < overbelastning >
flagget på NAT politikken er valgfritt ved bruk av bassengene. Men med mindre du har en global adresse basseng som er en-til-en i forholdet med dine inne verter, kan du slippe forbindelser under høy utnyttelse. For å minimere dråper, er det en god idé å sette oversettelsen tid (som er definert i sekunder) ut til rundt fem minutter. Hvis du konfigurerer NAT på en iOS-versjon eldre enn 12.1, er bassenget kommandoen annerledes. I 12.1x, ble kommandoen endret for å imøtekomme adresse basseng gruppering og overlappende. Forrige til 12,1, ble bare en enkelt bassenget definisjon tillatt. Kommandosyntaksen er < ip nat basseng {name} start-ip end-ip {nettmasken nettmasken | prefikset lengde prefikset lengde} >.
merke til kravet om nettmasken definisjonen, som brukes til å kontrollere hvilke adresser i bassenget kan tildeles.
Toveis NAT

Dette eksempelet viser noen av de statiske kartlegging alternativer. En enkel innside-til-utside toveis kartlegging (192.168.100.6 til 63.122.40.3) all trafikk er tillatt. Den andre statiske oversettelse tillater eksterne verter å sende SMTP-post og tilgang POP-post. Det tredje alternativet gir round-robin lastdeling til nettstedets webserveren, som ligger på to forskjellige systemer. Den fjerde kartlegging eksempel er en global inne kartlegging eksempel som kartlegger offentlige DNS-serveren 204.22.6.100 til en lokal inne adresse (192.168.101.1). Legg merke til at den faktiske " inne " Adressen er ikke bruker samme inni lokale IP-prefiks som vertene og ruter. Dette er en routing triks, gjøres fordi vertene koblet til " lokal " subnett må ha forespørslene " sendt " av ruteren for å få dem til å bli behandlet.

! versjon 12.2! hostname Router! ! grensesnitt ethernet0 ip-adressen 63.122.40.1 255.255.255.240 ip nat utenfor halv dupleks! grensesnitt FastEthernet0 ip-adresse 192.168.100.1 255.255.255.0 ip nat inne speed auto! ip nat oversettelse tcp-timeout 600 ip nat oversettelse UDP-timeout 120! ! One to One Mapping ip nat inne kilde statisk 192.168.100.6 63.122.40.3! Mail Server 25/110 Innkommende Kun Full Outbound ip nat inne kilde statisk tcp 192.168.100.10 25 63.122.40.4 25 uttrekk ip nat inne kilde statisk tcp 192.168.100.10 110 63.122.40.4 110 uttrekk! Web Server Round Robin Load Balance 80 innkommende eneste fullutgående ip nat inne kilde statisk tcp 192.168.100.11 80 63.122.40.4 80 uttrekk ip nat inne kilde statisk tcp 192.168.100.12 80 63.122.40.4 80 uttrekk! Globalt Lokal kartlegging for eksterne DNS quires ip nat inne kilde statisk 192.168.101.1 63.122.40.5 ip nat utenforstående kilde statisk 204.22.6.100 192.168.101.1! ! !
IPsec ESP tunneling NAT

Dette siste eksempelet viser IPsec Innkapsling Security Payload (ESP) tunneling med utgående PAT. ESP tunneling letter inne lokale verts forbindelse med eksterne IPsec /ESP ways. Tunneling NAT (tnat) fungerer bare for ESP Authentication Header (AH). IPsec politikk vil ikke fungere med tnat fordi verten opprinnelse adresse er kryptert og kan ikke endres av NAT. Legg merke til nok en gang også utenfor lokal oversettelse for en ekstern DNS-server, noe som minimerer bruk av UDP oversettingstjenester ved inni lokale verter.

! versjon 12.2! vertsnavn ADSL-GW! ! grensesnitt ethernet0 ip-adressen 192.168.1.1 255.255.255.0 ip nat inne halv dupleks! grensesnitt FastEthernet0 ip-adresse 12.100.2.253255.255.255.252 ip nat utenfor! ! Generisk PAT oversettelse policy ip nat inne kildelisten to grensesnitt FastEthernet0 overbelastning! Tnat statement for innvendig lokale verten 192.168.1.3 ip nat inne kilde statisk esp 192.168.1.3 grensesnitt FastEthernet0! Globalt Lokal kartlegging for eksterne DNS quires ip nat utenforstående kilde statisk 216.140.16.254 192.168.2.100! access-list 2 tillatelse 192.168.1.3! !
Konklusjon

Jargon side, som du kan se av eksemplene, er enkel å implementere IOS NAT. Håpet er at din forståelse av NAT og noen hvis gjennomføringen tics og alternativene er gjort tydeligere. Tune inn igjen neste måned, da vil ta en titt på IOS Dynamic Host (DHCP) klient og server støttes alternativer Configuration Protocol, når du skal bruke dem (risiko og avkastning) og hvordan du konfigurerer dem.

Var denne artikkelen nyttig for deg? Har du forslag til temaer du ønsker å få behandlet? Send en e-post og gi oss beskjed!