Сетевые решения — Справочник Cisco — NAT - TelecomBook

Сетевые решения — Справочник Cisco — NAT

Автор: Сергей Верещагин

Сайт: Сетевые решения

NAT — Network Address Translation, изменение сетевого адреса. NAT обычно используется на границе сети — между LAN и Интернет. NAT позволяет пользователю из локальной сети, который находится за маршрутизатором, использовать ресурсы в Интернете посредством подмены локального адреса глобальным и обратно. Без NAT пользователь не сможет выйти в Интернет.

Для настройки NAT, в первую очередь необходимо создать список доступа, в котором необходимо разрешить те адреса из локальной сети (сети в которой находятся оконечные устройства), которым вы хотите предоставить доступ в Интернет. Для этого создадим список доступа ip access-list extended 100, в нем укажем сеть, адреса которой мы будем транслировать permit 192.168.0.0 0.0.255.255 any.

!

Обратите внимание, при конфигурации списков доступа вместо маски подсети указывается инвертная маска (wildcard mask).

Далее укажем границу NAT командой ip nat inside source list 100 interface fastethernet1/1 overload, где source list — список доступа; interface — интерфейс, на котором терминировано подключение к Интернет; overload — опция, которая включает PAT.

Осталось указать маршрутизатору, к какому интерфейсу подключена локальная сеть и к какому Интернет. Для этого, в режиме конфигурации интерфейса, к которому подключена локальная сеть, следует написать ip nat inside, а на том, к которому подключен Интернет — ip nat outside.

Пример:

telecombook(config)#ip access-list extended 100
telecombook(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 any

telecombook(config)#ip nat inside source list 100 interface fastethernet1/1 overload

telecombook(config)#int fastethernet1/2
telecombook(config-if)#ip nat inside

telecombook(config)#int fastethernet1/1
telecombook(config-if)#ip nat outside

Иногда может возникнуть ситуация, например, когда пользователю необходимо удаленно подключиться к своему рабочему столу или серверу, который находится за NATом. Для этого, как правило, используется порт 3389 RDP (Remote Desktop Protocol). Можно конечно настроить PPTP, L2TP или Easy VPN Server и полноценно использовать ресурсы внутреннией сети, но допустим, по каким-либо причинам данные технологии недоступны. Итак, для проброса порта RDP 3389, все что нужно знать это IP адрес хоста внутри сети, допустим это 192.168.1.10. В режиме глобальной конфигурации к предыдущей конфигурации добавляем строчку ip nat inside source static tcp 192.168.1.10 3389 interface fastethernet1/1 3389. Вместо номера интерфейса можно ввести внешний IP адрес, предоставленный провайдером, например, ip nat inside source static tcp 192.168.1.10 3389 20.1.10.5 3389.

Теперь на хосте с IP адресом 192.168.1.10 необходимо разрешить подключение к удаленному рабочему столу (Пуск — Мой компьютер(правый клик) — Свойства — Настройка удаленного доступа)*. На удаленной рабочей станции нужно создать ярлык подключения к удаленному рабочему столу (Пуск — Все программы — Стандартные — Подключение к удаленному рабочему столу)*, в свойствах которого указать адрес подключения, которым будет внешний IP адрес маршрутизатора 20.1.10.5. Остается дважды кликнуть по ярлыку будучи в любой точке земного шара, при условии наличия Интернет соединения, и вы окажетесь на рабочем столе хоста или сервера компании.

Минусом подобной конфигурации является то, что подобный проброс RDP порта через единственный внешний IP адрес можно использовать только для одной рабочей станции или сервера внутри периметра. Наиболее гибким способом доступа к внутренним ресурсам компании является настройка VPN сервера на границе сети.

* — может отличаться в зависимости от операционной системы.

Пример:

telecombook(config)#ip access-list extended 100
telecombook(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 any

telecombook(config)#ip nat inside source list 100 interface
                    fastethernet1/1 overload
telecombook(config)#ip nat inside source static tcp 192.168.1.10 3389
                    interface fastethernet1/1 3389

telecombook(config)#int fastethernet1/2
telecombook(config-if)#ip nat inside

telecombook(config)#int fastethernet1/1
telecombook(config-if)#ip nat outside

Если у вас есть отзыв или замечание по статье, заполните форму, предварительно указав название статьи в заголовке

Понравилась статья? Поделиться с друзьями:
TelecomBook
Яндекс.Метрика