Opět stejný důvod - příspěvek píšu, abych případně zatarasil slepé cesty jiným, ať to mají snadno, rychle, česky a odzkoušeně.
PAT je Port Address Translation, NAT je Network Address Translation. Klasický NAT se nakonfiguruje velmi jednoduše:
interface FastEthernet0 description Internet Connection ip address 1.2.3.4 255.255.255.0 ip nat outside ! Pouzivame uRPF, ze ano :-) ip verify unicast source reachable-via rx allow-default allow-self-ping ! interface vlan10 description Internal network ip address 192.168.10.1 255.255.255.0 ip nat inside ip verify unicast source reachable-via rx allow-default allow-self-ping ! ! Specifikujeme adresy sítí, ktere chceme překládat access-list 1 permit 192.168.0.0 0.0.255.255 ! ! Aplikujeme pravidlo pro NAT ip nat inside source list 1 interface FastEthernet0 overload
Na kontrolu pak použijte příkazy show ip nat translations ..., které poskytují dostatek informací o NATu. Vyladit si NAT můžeme konfiguračními příkazy ip nat translation ..., kde lze nastavit různé timeouty, počty spojení atd.
Občas někdo potřebuje mít přímý přístup na port nějakého prvku zapojeného ve vnitřní síti (třeba remote desktop). Lepší cesta a bezpečnější cesta je tyto přístupy realizovat přes VPN, ale někdy to s různých důvodů nejde. Pro tyto případy lze realizovat tzv. destination NAT/PAT, kdy veřejná adresa (NAT) nebo třeba TCP/UDP port (PAT) směrovače lze mapovat na konkrétní privátní adresu, popř. port. V našem případě je příklad, kdy port TCP/8000 je směrován na privátní adresu 192.168.10.50:80.
! Budeme potřebovat nějaký destination PAT ip nat inside source static tcp 192.168.10.50 80 interface FastEthernet0 8000
Tento postup jsem ověřil na Cisco směrovacích řady 1800, tedy bez problémů by měl být aplikovatelný minimálně na všechny ISR směrovače.
Rozšířit konfiguraci můžeme i o to, že na výstupním rozhraní aplikujeme sekundární adresu. Na tuto adresu můžeme aplikovat NAT pravidla (hledejte místa, kde jsem dal FastEthernet0, dá se nahradit adresou).
Žádné komentáře:
Okomentovat