Дибров М.В., Кузьменко Н.Г., Журавлев А.А. Маршрутизаторы. Учебно-методическое обеспечение самостоятельной работы

Подождите немного. Документ загружается.

Шаг 6. Задать привязку списка доступа к пулу выбранных внешних се-

тевых узлов.

Шаг 7. Включить службу NAT на соответствующем интерфейсе.

В примере 4.5 приведена конфигурация службы NAT, используемая для

преобразования перекрывающихся адресов. В данном примере один отдель-

ный маршрутизатор отвечает за преобразование внутренних и внешних пото-

ков данных. Соответствующая ей топология сети представлена на рисунке

4.11

Пример 4.5 –Настройка перекрывающихся адресов

ip nat pool net–2 192.2.2.1 192.2.2.254 prefix–length 24

ip nat pool net–10 10.0.1.1 10.0.1.254 prefix–length 24

ip nat outside source list 1 pool net–2

ip nat inside source list 1 pool net–10

interface Serial 0

ip address 171.69.232.182 255.255.255.240

ip nat outside

interface Ethernet 0

ip address 10.1.1.254 255.255.255.0

ip nat inside

access–list 1 permit 10.1.1.0 0.0.0.255

10.1.1.2

10.1.1.1

10.10.1.1

Внутренняя сеть

Реальные узлы

10.1.1.1

10.1.1.2

192 .2.1

10.0.1.1

Net-10

Net-2

Внешняя сеть

Рисунок 4.11 –Настройка перекрывающихся адресов

4.4 Проверка работы NAT

Команда show ip nat translation может быть использована для просмотра

записей активных преобразований. Выводимая информация, показанная в

примере 4.6, соответствует статическому преобразованию адресов.

Пример 4.6 –Информация, выводимая командой show ip nat translation

r1#show ip nat translation

Pro Inside global Inside local Outside local Outside global

—––– 192.2.2.1 10.1.1.1 –––– ––––

–––– 192.2.2.2 10.1.1.2 –––– ––––

r1#

В следующем примере 4.7 показан пример использования службы NAT

с перегрузкой. Два разных внутренних узла представляются во внешней сете-

вой среде с одним и тем же IP адресом, на каждом запущены telnet сессии с

TCP портом получателя 23. Чтобы различать такие узлы, используются уни-

кальные TCP номера портов отправителя.

Пример 4.7 – Использование службы NAT с перегрузкой адресов

r1# show ip nat translation

Pro Inside global Inside local Outside local Outside global

tcp 192.168.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23

tcp 192.168.2.1:1067 10.1.1.1:1067 172.16.2.3:23 172.16.2.3:23

Команда show ip nat statistics отображает число и типы активных транс-

ляций в системе (Пример 4.8). Это число увеличивается при каждой трансля-

ции и уменьшается, когда трансляция очищается или истекает таймер. Также

отображается число истекших трансляций.

Данной командой также отображаются:

– Интерфейсы, на которых разрешен NAT;

– Число совпадений и несовпадений. Число раз поиска в таблице транс-

ляции которые увенчались успехом и неудачей.

– Статистику динамического NAT.

Параметры динамического NAT приведены в таблице 4.4.

Таблица 4.4 – Параметры динамического NAT

Параметр Описание

Inside Source Информация о внутреннем источнике

трансляции

access–list Список доступа, используемый при

трансляции

pool Имя пула адресов

refcount Число трансляций использовавших

данный пул

netmask Маска сети, используемая пулом

start / end Начальный и конечный адреса пула

Продолжение таблицы 4.4

type Тип пула

total addresses Общее число доступных адресов пула

allocated Число использованных адресов

misses Число неудачных использований

пула

Пример 4.8 – Информация, выводимая командой show ip nat statistics

r1#show ip nat statistics

Total active translations: 1 (1 static, 0 dynamic; 0 extended)

Outside interfaces:

Ethernet0, Serial2.7

Inside interfaces:

Ethernet1

Hits: 135 Misses: 5

Expired translations: 2

Dynamic mappings:

–– Inside Source

[Id: 1] access–list 1 pool dyn–nat refcount 2

pool dyn–nat: netmask 255.255.255.0

start 192.168.2.1 end 192.168.2.254

type generic, total addresses 254, allocated 2 (1%), misses 0

4.5 Устранение ошибок в работе NAT

Для пошаговой отладки работы службы NAT может быть использована

команда debug ip nat, которая реагирует строкой вывода на каждый транс-

лируемый пакет.

В примере 4.9 приведено преобразование адресов из внутренней сети во

внешнее сетевое пространство.

Пример 4.9 – Информация, выводимая командой debug ip nat

r1#debug ip nat

NAT: s=10.1.1.1–>192.168.2.1,d=172.16.2.2 [0 ]

NAT: s=172.16.2.2,d=192.168.2.1–>10.1.1.1 [0 ]

NAT: s=10.1.1.1–>192.168.2.1,d=172.16.2.2 [1 ]

NAT: s=10.1.1.1–>192.168.2.1,d=172.16.2.2 [2 ]

NAT: s=10.1.1.1–>192.168.2.1,d=172.16.2.2 [3 ]

NAT*: s=172.16.2.2,d=192.168.2.1–>10.1.1.1 [1 ]

NAT: s=172.16.2.2,d=192.168.2.1–>10.1.1.1 [1 ]

NAT: s=10.1.1.1–>192.168.2.1,d=172.16.2.2 [4 ]

NAT: s=10.1.1.1–>192.168.2.1,d=172.16.2.2 [5 ]

NAT: s=10.1.1.1–>192.168.2.1,d=172.16.2.2 [6 ]

NAT*: s=172.16.2.2,d=192.168.2.1–>10.1.1.1 [2 ]

Чтобы стала понятной приведенная выше отладочная информация, сле-

дует обратить внимание на следующие параметры режима отладки:

– звездочка <*> после аббревиатуры NAT указывает на то, что преоб-

разование происходит по быстрому маршруту. Первый пакет сеанса всегда

проходит по медленному пути (он коммутируется соответствующим процес-

сом операционной системы). Остальные пакеты проходят по быстрому марш-

руту, если существует запись в кэш–таблице;

– запись S=10.1.1.1 представляет собой адрес отправителя;

– запись D=172.16.2.2 представляет собой адрес получателя;

– запись 10.1.1.1–> 192.168.2.1 указывает на преобразование адреса;

– значение в скобках представляет собой идентификационный IP номер.

Данная информация может оказаться полезной при отладке, поскольку она

позволяет установить соответствие с маршрутами других пакетов, например,

пакетов от анализатора сетевого трафика.

Команда debug ip nat detailed отображает информацию по каждому па-

кету определенному на трансляцию (Пример 4.10).

Пример 4.10 – Информация, выводимая командой debug ip nat detailed

r1#debug ip nat

NAT: i: tcp (10.1.1.1,1045) –> (172.16.2.2,23) [432]

NAT: s=10.1.1.1–>192.168.2.1,d=172.16.2.2 [432]

NAT: o: tcp (172.16.2.2, 23) –> (192.168.2.1,1045) [0]

NAT: s=172.16.2.2,d=192.168.2.1–>10.1.1.1 [0 ]

Информация из листинга содержит следующие ключевые пункты:

– «i» указывает на то, что пакет, прибывший на внутренний интерфейс,

требует трансляцию;

– «o» указывает на то, что пакет, прибывший на внешний интерфейс,

требует трансляцию;

– «tcp» указывает протокол пакета;

– IP адрес и номер порта.

4.6 Отчистка записей NAT

Для очистки всех записей преобразования используется команда clear ip

nat translation *. Символ «*» является шаблоном, который означает любую

комбинацию символов. В выводимой информации команда show ip nat transla-

tions показывает активные в текущий момент преобразования. После этого

вводится команда clear ip nat translation * для очистки всех активных преоб-

разований (Пример 4.11). Если заново ввести команду show ip nat translation,

то она показывает отсутствие активных преобразований адресов.

Пример 4.11 – Отчистка записей преобразований NAT

r1#show ip nat translation

Pro Inside global Inside local Outside local Outside global

tcp 192.168.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23

tcp 192.168.2.1:1067 10.1.1.1:1067 172.16.2.3:23 172.16.2.3:23

r1#

r1#clear ip nat translation *

r1#show ip nat translation

r1#<nothing>

Для отчистки определенной части записей преобразования следует

воспользоваться командами, представленными в таблице 4.5.

Таблица 4.5 – Модификации команды clear ip nat translation

Команда Описание

clear ip nat translation inside global–ip

local–ip [outside local–ip global–ip]

Очищает вход трансляции, содержа-

щий внутреннюю запись трансляции

или внутреннюю и внешнюю запись

транслячии, указанную в команде.

clear ip nat translation outside local–ip

global–ip

Очищает вход трансляции, содержа-

щий внешнюю сторону, указанную в

команде

clear ip nat translation protocol {inside

global–ip global–port local–ip

local–port | outside local–ip localport

global–ip global–port}

Очищает все описанные в команде за-

писи.

Контрольные вопросы

1.1 Как инициализируется маршрутизатор?

1.2 Какой метод использует маршрутизатор для загрузки?

1.3 Порядок перебора метода загрузок маршрутизатора?

1.4 Какая информация отображается командой show version?

1.5 Какие показатели ограничивают выбор версии IOS?

1.6 Какая команда или комбинация клавиш используется для выхода из

режима конфигурации?

1.7 Какая аббревиатура используется для обозначения пользовательско-

го интерфейса операционной системы IOS?

1.8 Какие два режима доступа к командам существует?

1.9 Порядок действий при сбросе забытого пароля на маршрутизаторе?

1.10 Порядок использования встроенной системой помощи?

2.1 Режимы конфигурации маршрутизатора?

2.2 Глобальные настройки маршрутизатора?

2.3 Настройка защиты маршрутизатора паролями?

2.4 Использование баннеров?

2.5 Настройка Serial интерфейса?

2.6 Настройка Ethernet интерфейса?

2.7 Использование стандартизированных настроек?

2.8 Принципы управления образом IOS?

2.9 Принципы управления файлом конфигурации?

2.10 Восстановление образа IOS?

3.1 Принцип работы списков доступа?

3.2 Конфигурирование списков доступа?

3.3 Проверка списков доступа?

3.4 Правила размещения списков доступа?

3.5 Стандартные списки доступа?

3.6 Расширенные списки доступа?

3.7 Именованные списки доступа?

3.8 Ограничение доступа к виртуальным линиям?

4.1 Концепция и терминология NAT?

4.2 Функции NAT?

4.3 Преобразование внутренних локальных адресов?

4.4 Перегрузка внутренних глобальных адресов?

4.5 Распределение нагрузки с помощью протокола TCP?

4.6 Обработка перекрывающихся адресов?

4.7 Конфигурирование статического преобразования адресов?

4.8 Конфигурирование динамического преобразования адресов?

4.9 Конфигурирование распределения нагрузки протокола TCP?

4.10 Конфигурирование NAT для перекрывающихся адресов?

4.11 Конфигурирование распределения нагрузки протокола TCP?

Список использованных источников

1. Cisco IOS Configuration Fundamentals Command Reference Release 12.4

/ Cisco Systems, Inc., 2006. – 831 p.

2. Cisco IOS Configuration Fundamentals Configuration Guide Release

12.4 / Cisco Systems, Inc., 2006. – 486 p.

3. Cisco IOS Debug Command Reference Release 12.4 / Cisco Systems, Inc.,

2006. – 2086 p.

4. Cisco IOS Security Command Reference Release 12.4 / Cisco Systems,

Inc., 2006. – 1295 p.

5. Cisco IOS Security Configuration Guide Release 12.4 / Cisco Systems,

Inc., 2006. – 2140 p.

6. Cisco IOS Interface and Hardware Configuration Guide Release 12.4 /

Cisco Systems, Inc., 2006. – 864 p.

7. Cisco IOS IP Addressing Services Command Reference Release 12.4 /

Cisco Systems, Inc., 2006. – 322 p.

8. Cisco IOS IP Addressing Services Configuration Guide Release 12.4 /

Cisco Systems, Inc., 2006. – 436 p.