[Команды настройки]
1. Привязка к интерфейсам статуса внешний или внутренний.
ip nat inside | outside
2. (Необязательный шаг.) Назначение пула глобальных адресов.
ip nat pool <pool-name1> <start-ip> <end-ip> netmask <netmask> | prefix-length <prefix-length> [ type rotary ]
При назначении адресного пула используется начальный адрес, конечный адрес и маска сети. При необходимости именно эти адреса будут распределяться между клиентами при трансляции запросов от них наружу.
3. Создание списка внутренних адресов, подлежащих трансляции, с помощью ACL.
access-list <ACL-number> permit <NET1> <MASK1>
...
access-list <ACL-number> permit <NETn> <MASKn>
4a. Динамическая привязка друг к другу внутренних адресов и внешних.
ip nat inside source list <ACL-number> pool <pool-name1>
4b. Статическая привязка друг к другу внутренних адресов и внешних.
ip nat inside source static <global-ip> <local-ip>
4c. Привязка внутренних адресов к внешнему интерфейсу.
ip nat inside source list <ACL-number> interface <outside_interface> overload
5a. Динамическая привязка маскировки внутренних адресов другими адресами (произвольными, реально не существующими) из пула pool-name2
ip nat outside source list <ACL-number> pool <pool-name2>
5b. Статическая привязка маскировки внутренних адресов другими адресами (произвольными, реально не существующими)
ip nat outside source static <global-ip> <local-ip>
6. (Необязательный шаг.) Конфигурация трансляционного тайм-аута (блокировки по времени)
ip nat translation <timeout|udp-timeout|dns-timeout|tcp-timeout|finrst-timeout> <seconds>
Пример 1.
Трансляция между внутренними хостами, адресуемыми в сетях (либо 192.168.1.0, либо 192.168.2.0), и глобальной уникальной сетью 171.69.233.208/28.
ip nat pool net-20 171.69.233.208 171.69.233.223 netmask <netmask> 255.255.255.240
ip nat inside source list 1 pool net-20
interface Ethernet0
ip address 171.69.232.182 255.255.255.240
ip nat outside
interface Ethernet1
ip address 192.168.1.94 255.255.255.0
ip nat inside
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
Пример 2.
Трансляция между внутренними хостами сети, адресуемыми в сети 9.114.11.0, и глобальной уникальной сетью 171.69.233.208/28. Пакеты с внешних хостов, адресуемых в сети 9.114.11.0 ("подлинной" сети 9.114.11.0), транслируются, чтобы производилось впечатление, что они из сети 10.0.1.0/24.
ip nat pool net-20 171.69.233.208 171.69.233.223 netmask <netmask> 255.255.255.240
ip nat pool net-10 10.0.1.0 10.0.1.255 netmask <netmask> 255.255.255.0
ip nat inside source list 1 pool net-20
ip nat outside source list 1 pool net-10
interface Ethernet0
ip address 171.69.232.182 255.255.255.240
ip nat outside
interface Ethernet1
ip address 9.114.11.39 255.255.255.0
ip nat inside
access-list 1 permit 9.114.11.0 0.0.0.255
Пример 3.
Компьютеру aa.bbb.3.245 из локальной сети aa.bbb.3.0/24 полностью разрешен выход в Интернет от имени публичного IP x.y.z.q. Остальным компьютерам локальной сети разрешен доступ только через EasyVPN к другой локальной сети.
interface FastEthernet4
ip address x.y.z.q 255.255.255.252
ip nat outside
ip virtual-reassembly
crypto ipsec client ezvpn ezvpn-id
interface V1an1
ip address aa.bbb.3.254 255.255.255.0
ip nat inside
ip virtual-reassembly
crypto ipsec client ezvpn ezvpn-id inside
ip nat inside source list al-nat interface FastEthernet4 overload
ip access-list extended al-nat
deny ip any aa.0.0.0 0.255.255.255
permit ip host aa.bbb.3.245 any
[Команды просмотра статистики и отладки]
1. Показ активной трансляции
show ip nat translations [ verbose ]
2. Показ трансляционной статистики
show ip nat statistics
3. Сброс динамической трансляции
clear ip nat translation
clear ip nat translation <global-ip>
4. Сброс статической трансляции
clear ip nat translation <global-ip> <local-ip> <proto> <global-port> <local-port>
5. Отладка
debug ip nat [ <list> ] [ detailed ]
|