Трансляция адресов

Конфигурирование транслятора номера порта PAT

На рис. 9.7 приведен пример фрагмента сети, в которой транслятор РАТ (NAT Overload) переводит множество частных IP-адресов диапазона 192.168.0.0/16 внутренней сети в публичные адреса из диапазона 220.5.5.231 - 220.5.5.233.

Рис. 9.7. Сеть с транслятором PAT

Ниже приведена последовательность команд конфигурирования транслятора NAT Overload (РАТ) на маршрутизаторе R-А для случая, когда провайдер выделил набор (pool) из трех адресов. Последовательность команд конфигурирования будет следующей:

R-А(config)#access-list 12 permit 192.168.0.0 0.0.255.255
R-А(config)#ip nat pool PAT-P220.5.5.231 220.5.5.233 netmask 255.255.255.224
R-A(config)#ip nat inside source list 12 pool PAT-P overload
R-А(config)#int f0/0
R-А(config-if)#ip nat inside
R-А(config)#int f0/1
R-А(config-if)#ip nat inside
R-А(config-if)#int s1/1
R-А(config-if)#ip nat outside
    

В этом примере транслятор РAT переводит частные адреса узлов сети 192.168.0.0/16 в публичные адреса с добавлением номера порта. "Прозвонка" сервера 200.4.4.44 с узлов внутренней сети и последующая проверка дали следующий результат:

R-A#show ip nat translations
Pro  Inside global     Inside local     Outside local  Outside global
icmp 220.5.5.231:1    192.168.10.10:1   200.4.4.44:1   200.4.4.44:1
icmp 220.5.5.231:2      192.168.10.10:2   200.4.4.44:2  200.4.4.44:2
icmp 220.5.5.231:3      192.168.10.10:3   200.4.4.44:3   200.4.4.44:3
icmp 220.5.5.231:4     192.168.10.10:4   200.4.4.44:4   200.4.4.44:4
icmp 220.5.5.231:1024  192.168.10.11:1   200.4.4.44:1   200.4.4.44:1024
icmp 220.5.5.231:1025  192.168.10.11:2   200.4.4.44:2   200.4.4.44:1025
icmp 220.5.5.231:1026  192.168.10.11:3   200.4.4.44:3   200.4.4.44:1026
icmp 220.5.5.231:1027  192.168.10.11:4   200.4.4.44:4   200.4.4.44:1027
icmp 220.5.5.231:1028  192.168.10.12:1   200.4.4.44:1   200.4.4.44:1028
icmp 220.5.5.231:1029  192.168.10.12:2   200.4.4.44:2   200.4.4.44:1029
icmp 220.5.5.231:1032  192.168.20.21:1   200.4.4.44:1   200.4.4.44:1032
icmp 220.5.5.231:1033  192.168.20.21:2   200.4.4.44:2   200.4.4.44:1033
icmp 220.5.5.231:1034  192.168.20.21:3   200.4.4.44:3   200.4.4.44:1034
icmp 220.5.5.231:1036  192.168.20.21:4   200.4.4.44:4   200.4.4.44:1036
icmp 220.5.5.231:1035  192.168.20.22:1   200.4.4.44:1   200.4.4.44:1035
icmp 220.5.5.231:1037  192.168.20.22:2   200.4.4.44:2   200.4.4.44:1037
icmp 220.5.5.231:1038  192.168.20.22:3   200.4.4.44:3   200.4.4.44:1038
icmp 220.5.5.231:1039  192.168.20.22:4   200.4.4.44:4   200.4.4.44:1039

R-A#
    

В данном примере не три, а все узлы внутренней сети, определенные списком доступа access-list 12, посылают трафик во внешнюю сеть через маршрутизатор R-А. При этом внутренние частные адреса (192.168.10.10, 192.168.10.11, 192.168.10.12, 192.168.20.21, 192.168.20.22) транслируются в один публичный адрес 220.5.5.231, который дополняется номером порта (1024, 1025, …, 1039). IP-адреса и номера портов образуют глобальные адреса источников (Inside global). При адресации узла назначения те же номера порта используются при формировании внешних глобальных адресов (Outside global) передаваемых пакетов. Причем, первые 4 эхо запроса использовали IP-адрес 220.5.5.231 без формирования сокета, а для остальных запросов к IP-адресу добавлен номер порта.

При дефиците публичных IP-адресов можно не задавать пул, а использовать адрес внешнего интерфейса маршрутизатора R-A:

R-А(config)# access-list 12 permit 192.168.0.0 0.0.255.255
R-A(config)#ip nat inside source list 12int s1/1 overload
R-А(config)#int f0/0
R-А(config-if)#ip nat inside
R-А(config)#int f0/1
R-А(config-if)#ip nat inside
R-А(config-if)#int s1/1
R-А(config-if)#ip nat outside
    

Информацию о трансляторе можно посмотреть по команде show run. Статистику работы транслятора отображает команда:

R-A#show ip nat statistics,
    

распечатка которой приводит общее число активных трансляций, параметры конфигурации транслятора, количество адресов в пуле и др.

По умолчанию динамические записи транслятора сохраняются 24 часа. В некоторых случаях динамические записи требуется очистить скорее. Для этого используется команда очистки:

R-А#clear ip nat translation,
    

которая удаляет все динамически созданные строки транслятора.

Статические записи удаляются только при удалении самого транслятора.