Трансляция адресов

Конфигурирование динамического транслятора NAT

Процесс конфигурирования динамического транслятора NAT рассмотрен на примере сети рис. 9.6.

Рис. 9.6. Сеть с динамическим транслятором NAT

Статический NAT обеспечивает постоянные пары локального и глобального адресов. В случае динамического NAT внутренние локальные адреса (обычно частные) преобразуются в глобальные адреса (обычно публичные), которые берутся из набора (пула) адресов, выдаваемых Интернет сервис-провайдером (ISP) администратору. При передаче сообщений в обратную сторону, из внешней сети во внутреннюю, публичные глобальные адреса назначения преобразуются NAT в частные локальные адреса. Таким образом, один локальный адрес транслируется в один глобальный и наоборот. Поэтому пул должен содержать столько адресов, сколько внутренних устройств одновременно могут потребовать доступ к внешним. Если все доступные адреса пула использованы, то внутреннее устройство должно дожидаться освобождения глобального адреса.

Для конфигурирования динамического NAT на маршрутизаторе необходимо установить список доступа ACL, разрешающий трансляцию подлежащих переводу адресов и пул глобальных адресов. В схеме ( рис. 9.6) транслятор позволяет переводить внутренние частные адреса диапазона, например 192.168.0.0/16 в публичные адреса диапазона 220.5.5.227 - 220.5.5.229. При этом в данном примере свободных адресов для трансляции всего 3, т.е. только 3 устройства из внутренней сети могут одновременно передавать сообщения во внешнюю сеть.

Создание списка доступа производится по команде:

R-А(config)#access-list 11 permit 192.168.0.0 0.0.255.255
    

Следующая команда определяет набор (пул) адресов с 220. 5.5.227 по 220.5.5.229, который назван по имени NAT-P:

R-А(config)#ip nat pool NAT-P220.5.5.227 220.5.5.229 netmask 255.255.255.224
    

Затем задается команда, связывающая список доступа с пулом адресов:

R-А(config)#ip nat inside source list 11 pool NAT-P
    

Создание транслятора NAT завершается определением внутреннего и внешнего интерфейсов

R-А(config)#int f0/0
R-А(config-if)#ip nat inside
R-А(config)#int f0/1
R-А(config-if)#ip nat inside
R-А(config-if)#int s1/1
R-А(config-if)#ip nat outside
    

Работоспособность транслятора можно проверить путем посылки эхо запросов (ping) с узлов РС1, РС2, РС3, РС4 внутренней сети на сервер 200.4.4.44 внешней сети. Проверка по команде show ip nat translations показывает, что в процессе трансляции участвовали IP-адреса только трех узлов РС1, РС2, РС3:

R-A#show ip nat translations
Pro   Inside global    Inside local      Outside local   Outside global
icmp  220.5.5.229:65  192.168.10.10:65  200.4.4.44:65   200.4.4.44:65
icmp  220.5.5.229:66  192.168.10.10:66  200.4.4.44:66   200.4.4.44:66
icmp  220.5.5.229:67  192.168.10.10:67  200.4.4.44:67   200.4.4.44:67
icmp  220.5.5.229:68  192.168.10.10:68  200.4.4.44:68   200.4.4.44:68
icmp  220.5.5.228:77  192.168.10.11:77  200.4.4.44:77   200.4.4.44:77
icmp 220.5.5.228:78  192.168.10.11:78  200.4.4.44:78   200.4.4.44:78
icmp 220.5.5.228:79  192.168.10.11:79  200.4.4.44:79   200.4.4.44:79
icmp 220.5.5.228:80  192.168.10.11:80  200.4.4.44:80   200.4.4.44:80
icmp 220.5.5.227:81  192.168.20.21:81  200.4.4.44:81   200.4.4.44:81
icmp 220.5.5.227:82  192.168.20.21:82  200.4.4.44:82   200.4.4.44:82
icmp220.5.5.227:83  192.168.20.21:83  200.4.4.44:83   200.4.4.44:83
icmp220.5.5.227:84  192.168.20.21:84  200.4.4.44:84   200.4.4.44:84

R-A#
    

Узел РС4 не смог передать эхо запросы протокола ICMP на сервер 200.4.4.44, поскольку все адреса пула были использованы узлами РС1, РС2, РС3.

Каждый адрес в вышеприведенной распечатке дополнен порядковым номером пересылаемого пакета, который записан через двоеточие, например 192.168.10.10:65.