Embedded Files
Ukázky NAT/PAT
Postup konfigurace
Postup konfigurace
určení rozhraní inside/outside - toto nastavení je platné pro všechny pravidla NATu, není potřeba je opakovat
inside - ve vnitřní LAN síti (např. fa0/1) ... v případě VLAN (resp. interVLAN routing) jsou to subinterface (např fa0/1.10)
outside - typicky směrem do internetu
statická NAT pravidla - typicky servery
pokud jsou některá pravidla "konkrétnější než jiná" (např. port forwarding), může být nutné je zadávat v pořadí dříve, než obecnější (1:1)
dynamický NAT (maškaráda)
ACL - povolené IP pro NAT
??? volitelně ... vytvořit "pool" veřejných IP
příkaz pro NAT z inside na interface nebo pool ... nezapomenout "overload"
1/ PAT (MAŠKARÁDA)
1/ PAT (MAŠKARÁDA)
1a/ nastavte překlad všech vnitřních adres 172.16.0.0 /16 na veřejnou adresu (rozhraní Fa1/1 nebo novou IP)
1a/ nastavte překlad všech vnitřních adres 172.16.0.0 /16 na veřejnou adresu (rozhraní Fa1/1 nebo novou IP)
access-list 1 permit 172.16.0.0 0.0.255.255
ip nat inside source list 1 interface Fa1/1 overload
int g0/1 (případně všechna vnitřní rozhraní) ... v případě VLAN jsou to sub-interface! (fa0/0.20)
ip nat inside
int Fa1/1 (vnější rozhraní)
ip nat outside
nebo
ip nat pool VEREJNAIP 83.15.10.1 83.15.10.5 netmask 255.255.255.0
access-list 1 permit 172.16.0.0 0.0.255.255
ip nat inside source list 1 pool VEREJNAIP overload
int g0/1 (případně všechna vnitřní rozhraní)
ip nat inside
int Fa1/1 (vnější rozhraní)
ip nat outside
nebo
ip access-list standard LAN1
permit 172.16.0.0 0.0.255.255
exit
ip nat inside source list LAN1 interface Fa1/1 overload
int g0/1 (případně všechna vnitřní rozhraní)
ip nat inside
int Fa1/1
ip nat outside
varianta:
1b/ nastavte překlad všech vnitřních adres 172.16.0.0 /16 na rozsah veřejných adres 83.15.10.1 až 83.15.10.5
1b/ nastavte překlad všech vnitřních adres 172.16.0.0 /16 na rozsah veřejných adres 83.15.10.1 až 83.15.10.5
access-list 1 permit 172.16.0.0 0.0.255.255
ip nat pool VEREJNE 83.15.10.1 83.15.10.5 netmask 255.255.255.0
(pokud by se jednalo jen o 1 veřejnou IP, zadejte nejvyšší IP stejnou jako první IP)
ip nat inside source list 1 pool VEREJNE overload
ověření aktuálních překladů
show ip nat translation
2/ Statický NAT
2/ Statický NAT
Nastavte překlad jedné vnitřní=privátní adresy (např. serveru) na jednu vnější adresu
Nastavte překlad jedné vnitřní=privátní adresy (např. serveru) na jednu vnější adresu
ip nat inside source static 192.168.100.100 195.48.75.4
int g0/1 (případně všechna vnitřní rozhraní)
ip nat inside
int Fa1/1
ip nat outside
3/ Dynamický NAT
3/ Dynamický NAT
Nastavte překlad vnitřních adres 172.16.0.0 /16 na rozsah veřejných adres 83.15.10.1 až 83.15.10.5
Nastavte překlad vnitřních adres 172.16.0.0 /16 na rozsah veřejných adres 83.15.10.1 až 83.15.10.5
access-list 1 permit 172.16.0.0 0.0.255.255
ip nat pool VEREJNE 83.15.10.1 83.15.10.5 netmask 255.255.255.0
(pokud by se jednalo jen o 1 veřejnou IP, zadejte nejvyšší IP stejnou jako první IP)
ip nat inside source list 1 pool VEREJNE
(pozor! bude fungovat jen 5 současných komunikací ... v konfiguraci chybí parametr "overload")
4/ Port forwarding (triggering)
4/ Port forwarding (triggering)
ip nat inside source static tcp 192.168.100.101 80 195.48.75.4 8080
5/ Další příkazy
5/ Další příkazy
show ip nat translation verbose
show ip nat statistics
clear ip nat translation
debug ip nat
NAT + VLAN !!!
NAT + VLAN !!!
Pokud máte v lokální síti použité VLAN, pak pakety z vnitřních sítí přicházejí na subinterface! Tj. jako inside musí být nastaveny tyto sub-interface - např fa0/1.30. Příklad:
int fa0/1.10
ip nat inside
int fa0/1.20
ip nat inside
int fa0/1.30
ip nat inside
Page updated
Report abuse