NAT предназначен для упрощения и преобразования IP адресов. Оно позволяет IP сетям которые используют незарегистрированные IP адреса подсоединяться к Интернет. NAT работает на Cisco маршрутизаторе который соединяет вместе две сети и транслирует частные (inside local) адреса во внутренней сети в публичные адреса (outside local) прежде чем пакеты направляются в другую сеть. Как часть своей функциональности, вы можете настроить NAT , чтобы вещать только один адрес во внешнюю сеть для целой сети. NAT эффективно скрывает внутреннюю сеть от внешнего мира. Поэтому он обеспечивает дополнительную безопасность.
Одна из основных функций NAT это статическая трансляция портов (Port Address Translation, PAT), которая называется ”overload” в конфигурациях Cisco. Статический PAT предназначен для преобразования вида один-в-один между локальными и глобальными адресами. Обычное использования статического PAT это позволить Интернет пользователям из публичной сети получить доступ, например, к Web серверу, расположенным в частной сети. Следующая табличка показывает три блока IP адресов доступных для приватного использования.
Адресное пространство Класс 10.0.0.0 - 10.255.255.255 A 172.16.0.0 - 172.31.255.255 B 192.168.0.0 - 192.168.255.255 C
Сетевая диаграмма показана на рисунке: В этом примере, Интернет сервис провайдер (ISP) назначает DSL абоненту только один единственный IP адрес, 171.68.1.1/24. Этот назначенный IP адрес является зарегистрированным уникальным IP адресом и называется внутренним глобальным адресом. Этот зарегистрированный адрес используется всей приватной сетью для выхода в Интернет, а также Интернет пользователями которые приходят из публичной сети чтобы достичь Web сервера в приватной сети.
Приватная сеть 192.168.0.0/24, подсоединяется к Ethernet интерфейса NAT маршрутизатора. Приватная сеть содержит несколько компьютеров и Web сервер. NAT роутер настраивается для трансляции незарегистрированных IP адресов (внутренние локальные адреса) которые приходят от этих PC в единственный публичный адрес (внутренний глобальный - 192.168.0.0/24) для выхода в Интернет.
IP адрес 192.168.0.0/24(Web сервер) это адрес в приватном адресном пространстве который не может маршрутизироваться в Интернет. Единственный видимый IP адрес для пользователей Интернет чтобы достичь Web сервер это 171.68.1.1. Поэтому NAT роутер настраивается для выполнения преобразования один-в-один между IP адресом 171.68.1.1 порт 80 и 192.168.0.5 порт 80.
Конфигурация Cisco 827 version 12.1 service timestamps debug uptime service timestamps log uptime ! hostname 827 ! ip subnet-zero no ip domain-lookup ! bridge irb ! interface Ethernet0 ip address 192.168.0.254 255.255.255.0 ip nat inside
!--- Это внутренний локальный IP адрес и является приватным IP адресом. ! interface ATM0 no ip address no atm ilmi-keepalive pvc 0/35 encapsulation aal5snap ! bundle-enable dsl operating-mode auto bridge-group 1 !
!--- Это внутренний глобальный IP адрес. !--- Это ваш публичный IP адрес и он дается вам вашим ISP.
interface BVI1 ip address 171.68.1.1 255.255.255.240 ip nat outside
!--- Это правило заставляет роутер выполнять PAT для всех станций за Ethernet интерфейсом, !--- которые используют приватные IP адреса определенные в листе доступа #1
ip nat inside source list 1 interface BVI1 overload
!--- Это правило выполняет статическую трансляцию адресов для Web сервера. !--- С помошью данного правила, пользователи которые пытаются достичь 171.68.1.1 171.68.1.1 порт 80 (HTTP) транслируется в 192.168.0.5 порт 80 и наоборот. Поэтому Интернет пользователи могут просматривать Web сервер даже хотя последний расположен в приватной сети с приватными IP адресами.
Источник: http://www.ciscolab.ru/routing/31-nastroyka-nat-i-staticheskogo-pat-na-cisco-routere-dlya-dostupa-k-web-serveru.html |