Трансляция адресов

9.2. Конфигурирование трансляторов

Статический транслятор NAT

При создании статического транслятора необходимо определить соответствующие внутренние и внешние адреса и сконфигурировать NAT на требуемых для трансляции интерфейсах. На рис. 9.5 приведена схема фрагмента внутренней сети, где на маршрутизаторе R-A требуется установить транслятор NAT для доступа к внешней сети провайдера ISP.

Рис. 9.5. Внутренняя сеть и сеть провайдера ISP

Для нормального функционирования сети необходимо сконфигурировать все интерфейсы маршрутизаторов R-A и R-ISP, все конечные узлы сети, а также сконфигурировать маршрутизирующий протокол, например, RIP. Ниже приведены результаты конфигурирования, отображаемые командами sh run и sh ip route.

R-A#sh run
...
interface FastEthernet0/1
 ip address 10.20.20.1 255.255.255.0
!
interface Serial1/1
 ip address 200.5.5.1 255.255.255.252
 clock rate 64000

router rip
 network 200.5.5.0
 network 220.20.20.0
!
    

Следует обратить внимание, что при конфигурировании протокола RIP в качестве непосредственно присоединенной дается описание сети network 220.20.20.0/24, а не локальной сети 10.20.20.0/24 с тем, чтобы из внешней сети не было видно конфигурации внутренней локальной сети. При этом таблица маршрутизации R-A содержит в качестве непосредственно присоединенной сеть 10.20.20.0:

R-A#sh ip route
...
   10.0.0.0/24 is subnetted, 1 subnets
C    10.20.20.0 is directly connected, FastEthernet0/1
R    192.168.30.0/24 [120/1] via 200.5.5.2, 00:00:11, Serial1/1
R    192.168.40.0/24 [120/1] via 200.5.5.2, 00:00:11, Serial1/1
   200.5.5.0/30 is subnetted, 1 subnets
C    200.5.5.0 is directly connected, Serial1/1
    

Информация о сети 220.20.20.0 в маршрутизаторе R-ISP отсутствует, поэтому в таблице конфигурации маршрутизатора R-ISP нет маршрута ни к сети 10.20.20.0, ни к сети 220.20.20.0. Поэтому в маршрутизаторе R-ISP сформирован статический маршрут к сети 220.20.20.0, что отражено в распечатках команд show run, show ip route.

R-ISP#sh run
...
interface FastEthernet0/0
 ip address 192.168.30.1 255.255.255.0
!
interface FastEthernet0/1
 ip address 192.168.40.1 255.255.255.0
!
interface Serial1/2
 ip address 200.5.5.2 255.255.255.252
!
router rip
 network 192.168.30.0
 network 192.168.40.0
 network 200.5.5.0
!
ip classless
ip route 220.20.20.0 255.255.255.0 Serial1/2

R-ISP#sh ip route
...
C    192.168.30.0/24 is directly connected, FastEthernet0/0
C    192.168.40.0/24 is directly connected, FastEthernet0/1
   200.5.5.0/30 is subnetted, 1 subnets
C    200.5.5.0 is directly connected, Serial1/2
S    220.20.20.0/24 is directly connected, Serial1/2
    

Ниже приведен пример конфигурирования статического транслятора NAT, который транслирует внутренний адрес, например, 10.20.20.12 во внешний публичный адрес 220.20.20.12 при обращении к серверу сети ISP (192.168.40.11), а при ответе на запрос из сети Интернет - переводит внешний публичный адрес 220.20.20.12 во внутренний адрес 10.20.20.12.

R-А(config)#ip nat inside source static 10.20.20.12 220.20.20.12
R-А(config)#int f0/0
R-А(config-if)#ip nat inside
R-А(config-if)#int s1/1
R-А(config-if)#ip nat outside
    

Первая команда приведенной последовательности формирует сам транслятор. Транслятор устанавливается на внутренний (inside) и внешний (outside) интерфейсы маршрутизатора R-А. В приведенном примере внутренним интерфейсом является F0/0с адресом 10.20.20.1, внешний интерфейс - s1/1 с адресом 200.5.5.1.Поэтому вторая и третья строка устанавливают внутренний интерфейс, четвертая и пятая - устанавливают внешний интерфейс.

Проверка, проводимая с помощью команд ping, подтверждает работоспособность транслятора:

PC1>ping 192.168.40.11

Pinging 192.168.40.11 with 32 bytes of data:

Reply from 192.168.40.11: bytes=32 time=160ms TTL=126
Reply from 192.168.40.11: bytes=32 time=176ms TTL=126
Reply from 192.168.40.11: bytes=32 time=187ms TTL=126
Reply from 192.168.40.11: bytes=32 time=189ms TTL=126
    

Для того чтобы транслятор позволил реализовать запросы из внешней сети к серверу 10.20.20.11 внутренней сети, необходимо сконфигурировать еще одну строку транслятора:

R-А(config)#ip nat inside source static 10.20.20.11 220.20.20.11
    

Проверка дает следующий положительный результат:

PC2>ping 220.20.20.11
Pinging 220.20.20.11 with 32 bytes of data:
Reply from 220.20.20.11: bytes=32 time=131ms TTL=126
Reply from 220.20.20.11: bytes=32 time=133ms TTL=126
Reply from 220.20.20.11: bytes=32 time=127ms TTL=126
Reply from 220.20.20.11: bytes=32 time=114ms TTL=126
    

"Прозвонка" узла внутренней сети PC2>ping 10.20.20.11 показывает недостижимость (unreachable) узла, т.е. внутренняя сеть скрыта от внешней, что повышает безопасность.