Протокол IP : Технология NAT

Поддержка преобразования сетевых адресов (NAT) для нескольких пулов с использованием карт маршрутов

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Данный документ объясняет, как использование списков доступа в отличие от карт маршрута изменяет функции преобразования NAT. Для получения дополнительной информации о NAT обратитесь к ПРЕОБРАЗОВАНИЮ СЕТЕВЫХ АДРЕСОВ В CISCO IOS.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Маршрутизаторы Cisco серии 2500.

  • Cisco выпуск ПО IOS� 12.3 (3).

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

При создании записи трансляции NAT использует только списки доступа и карты маршрутов. Если транслируемое значение уже будет существовать, который совпадает с трафиком тогда, то транслируемое значение будет использоваться; с любыми списками доступа или Картами маршрутизации не консультируются. Различием между использованием списка доступа или Карты маршрутизации является тип транслируемого значения, которое будет создано.

Карты маршрутов

Когда NAT использует карту маршрута для принятия решения о создании записи о трансляции, он всегда создает "полностью расширенную" запись о трансляции. Это транслируемое значение будет содержать и внутреннюю и внешнюю часть (локальный и глобальный) адресные записи и любой TCP или сведения о портах UDP. См. NAT: Локальный и Глобальные определения для получения дополнительной информации о внутренней и внешней части (локальный и глобальный) адреса.

Списки доступа (никакая перегрузка)

Когда NAT использует список доступа, принимая решение о создании записи преобразования, то оно формирует "простую" запись преобразования. Эта "простая" запись будет содержать только локальные и глобальные IP-адреса для внутренней или внешней сети, в зависимости от того, настроена ли команда ip nat inside или ip nat outside. Кроме того, никаких сведений портов TCP или UDP не будет включено.

Списки доступа (с перегрузкой)

Когда NAT использует список доступа, если также была задана перегрузка, NAT создаст "полностью расширенную" запись трансляции. (См. Note1). Операция подобна случаю route-map за исключением того, что route-map имеет некоторые дополнительные характеристики. Посмотрите Примечание 2 для получения дополнительной информации. Вы видите пример простой записи о трансляции NAT и полностью расширенной записи трансляции сетевых адресов путем выбора одной из этих ссылок:

Это - пример схемы сети, используемый для иллюстрирования различия между использованием Карты маршрутизации и списком доступа с NAT:

/image/gif/paws/13739/nat_routemap1.gif

В схеме сети данного примера требуется что хосты на 10.1.1.0 быть преобразованным в придерживающееся:

  • 131.108.2.0 при переходе на 131.108.1.0

  • 131.118.2.0, когда переходит на 131.118.1.0

Использование списка доступа

При помощи списка доступа выполните следующее для обработки хостов в 10.1.1.0:

ip nat pool pool108 131.108.2.1 131.108.2.254 prefix-length 24

!--- Defines a pool of global addresses to be allocated as needed.
 
     ip nat pool pool118 131.118.2.1 131.118.2.254 prefix-length 24

     ip nat inside source list 108 pool pool108
     
!--- Establishes dynamic source translation, specifying the 
     !--- access list defined below.
 
     ip nat inside source list 118 pool pool118

     interface ethernet0
       ip address 10.1.1.1 255.255.255.0
       ip nat inside
       
!--- Marks the interface as connected to the inside.
 
     interface ethernet1
       ip address 10.1.2.1 255.255.255.0
       ip nat outside
       
!--- Marks the interface as connected to the outside.


     access-list 108 permit ip 10.1.1.0 0.0.0.255 131.108.1.0 0.0.0.255
     
!--- Defines the access-list mentioning those addresses 
     !--- that are to be translated.

     access-list 118 permit ip 10.1.1.0 0.0.0.255 131.118.1.0 0.0.0.255

См. IP-адресацию и Команды Сервисов для получения дополнительной информации об этих командах.

Взаимодействие между хостами 1 и 2

Ниже приведено взаимодействие через Telnet между хостами 1 и 2.

Packet on (Network 1) s:10.1.1.2(1024)     d:131.108.1.2(23)
     Packet on (Network 2) s:131.108.2.1(1024)  d:131.108.1.2(23)   (after NAT)

Поскольку список доступа использовался NAT для соответствия с этим трафиком, запись простой трансляции создана, который только включает внутреннюю информацию о трансляции и никакой протокол или сведения о портах:

inside                         outside
         local        global          global         local
        10.1.1.2     131.108.2.1       ----           ----

Возврат пакета: Взаимодействие между хостами 2 и 1:

Packet on (Network 2)  s:131.108.1.2(23)  d:131.108.2.1(1024)
     Packet on (Network 1)  s:131.108.1.2(23)  d:10.1.1.2(1024)      (after NAT)

Узел 1 к узлу 3

При наличии показанного выше простого преобразования, вот что происходит, когда хост 1 также соединяется с хостом 3 через Telnet:

Packet on (Network 1)  s:10.1.1.2(1025)     d:131.118.1.2(23)
     Packet on (Network 2)  s:131.108.2.1(1025)  d:131.118.1.2(23)   (after NAT)

Вы видите, что существует проблема. Пакеты, передаваемые с хостов 10.1.1.0 на хосты 131.118.1.0, необходимо преобразовать в 131.118.2.0, но не 131.108.2.0. Причина, что это происходит, состоит в том, потому что уже существует запись преобразования NAT для 10.1.1.2 <-> 131.108.2.1, который также совпадает с трафиком между Хостом 1 и Хостом 3. Поэтому будет использована данная запись трансляции без проверки списков доступа 108 и 118.

В то время как запись простой трансляции существует в Таблице преобразования сетевых адресов (NAT), она может использоваться любым внешним пользователем на любом внешнем хосте для передачи пакета к Хосту 1, пока внешний пользователь использует внутренний глобальный адрес (131.108.2.1) для Хоста 1. Обычно статическое преобразование NAT необходимо для разрешения этого.

Подход с использованием карт маршрутов

Правильный способ настройки в примере этого документа — воспользоваться картами маршрутов. При использовании карты маршрутов для преобразования узлов в сети 10.1.1.0:

ip nat pool pool-108 131.108.2.1 131.108.2.254 prefix-length 24
     ip nat pool pool-118 131.118.2.1 131.118.2.254 prefix-length 24

     ip nat inside source route-map MAP-108 pool pool-108
     
!--- Establishes dynamic source translation, specifying 
     !--- the route-map MAP-108 which is defined below. 

     ip nat inside source route-map MAP-118 pool pool-118

     !--- Establishes dynamic source translation, specifying the route-map MAP-118.
     !--- Here, the route-maps are consulted instead of 
     !--- access-lists (as in the previous case).



     interface ethernet0
       ip address 10.1.1.1 255.255.255.0
       ip nat inside
     interface ethernet1
       ip address 10.1.2.1 255.255.255.0
       ip nat outside

     access-list 108 permit ip 10.1.1.0 0.0.0.255 131.108.1.0 0.0.0.255
     access-list 118 permit ip 10.1.1.0 0.0.0.255 131.118.1.0 0.0.0.255

     route-map MAP-108 permit 10
     
!--- Defines the Route-map MAP-108.

     match ip address 108
     
!--- Specifies the criteria for translation. Here, the IP 
     !--- address mentioned in the access-list 108 is translated.
     !--- The translation is defined in the
     !--- ip nat inside source route-map MAP-108 pool pool-108 command.




     route-map MAP-118 permit 10
     
!--- Defines the Route-map MAP-108.

     match ip address 118
     
!--- The IP address mentioned in the access-list 118 is translated. 
     !--- The translation is defined in the 
     !--- ip nat inside source route-map MAP-118 pool pool-118 command.

См. IP-адресацию и Команды Сервисов для получения дополнительной информации об этих командах.

Взаимодействие между хостами 1 и 2

Ниже приведено взаимодействие через Telnet между хостами 1 и 2:

Packet on (Network 1) s:10.1.1.2(1024)     d:131.108.1.2(23)
     Packet on (Network 2) s:131.108.2.1(1024)  d:131.108.1.2(23)   (after NAT)

В этом случае в связи с тем, что карта маршрута использовалась NAT для соответствия трафику для преобразования, NAT создает полностью расширенную запись преобразования, в которую входит данные внутреннего и внешнего преобразования:

 inside                               outside
         local            global             global             local
     10.1.1.2:1024    131.108.2.1:1024   131.108.1.2:23     131.108.1.2:23

Возврат пакета: Взаимодействие между хостами 2 и 1:

Packet on (Network 2) s:131.108.1.2(23)  d:131.108.2.1(1024)
     Packet on (Network 1) s:131.108.1.2(23)  d:10.1.1.2(1024)      (after NAT)

Узел 1 к узлу 3

Теперь, когда Хост 1 передает пакет к Хосту 3, это - то, что появляется:

Packet on (Network 1) s:10.1.1.2(1025)     d:131.118.1.2(23)
     Packet on (Network 2) s:131.118.2.1(1025)  d:131.118.1.2(23)   (after NAT)

Трансляция работала правильно, потому что пакет на (N1) не совпадает с записью полного расширенного преобразования, которая использовалась для Хоста 1 трафика Хоста 2. Поскольку существующее преобразование не совпадает, NAT создает другое транслируемое значение для Хоста 1 трафика Хоста 3.

Это записи полного расширенного преобразования на маршрутизаторе NAT:

inside                               outside
         local            global             global             local
     10.1.1.2:1024    131.108.2.1:1024   131.108.1.2:23     131.108.1.2:23
     10.1.1.2:1025    131.118.2.1:1025   131.118.1.2:23     131.118.1.2:23

Поскольку в таблице преобразования NAT содержатся две полные записи, преобразование трафика, идущего по двум различным направлениям из одного и того же источника, произойдет правильно.

В отличие от записи простой трансляции, которая была создана через список доступа, запись полного расширенного преобразования, созданная с помощью Карты маршрутизации, не может использоваться никаким другим внешним пользователем для передачи пакета к Хосту 1. Статическое преобразование NAT необходимо для разрешения этого.

Примечание 1

В случае access-list с перегрузкой конфигурация подобна access-list без случая перегрузки. Исключение - то, что необходимо добавить ключевое слово overload к команде ip nat inside source list 108 pool pool108 and ip nat inside source list 118 pool pool118.

Примечание 2

Преимущество использования route-map состоит в том, что при команде соответствия у вас может быть больше опций кроме IP - адреса источника. Например, под route-map, match interface или match ip next-hop могут быть заданы. При помощи route-map можно задать IP-адрес, а также интерфейс или адрес следующего маршрутизатора, к которому должен быть передан пакет. Поэтому route-map с NAT используются в сценарии, где абонент является множественной адресацией к другим интернет-провайдерам.


Дополнительные сведения


Document ID: 13739