تكوين ترجمة عنوان الشبكة

المقدمة

يصف هذا المستند كيفية تكوين ترجمة عنوان الشبكة (NAT) على موجّه من Cisco.

المتطلبات الأساسية

المتطلبات

يتطلب هذا وثيقة معرفة أساسية بالمصطلحات يستعمل مع NAT. 

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• الموجّهات من السلسلة 2500 من Cisco

• برنامج IOS^® الإصدار 12.2 (10b) من Cisco

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

خطوات البدء السريع لتكوين NAT ونشره

ملاحظة: في هذا المستند، عندما يشار إلى الإنترنت أو جهاز إنترنت، يعني ذلك جهازا على أي شبكة خارجية.

عندما يشكل أنت nat، هو أحيانا يصعب أن يعرف أين أن يبدأ، خاصة إن أنت جديد إلى nat. هذا steps يرشدك أن يعين ما تريد nat أن يعمل وكيف أن يشكل هو:

1. تحديد NAT داخل الواجهات وخارجها .

   • هل يوجد المستخدمون خارج الواجهات المتعددة؟

   • هل هناك واجهات متعددة متوفرة للإنترنت؟

2. قم بتعريف ما تريد إنجازه باستخدام NAT.

   • هل تريد السماح للمستخدمين الداخليين بالوصول إلى الإنترنت ؟

   • هل تريد السماح للإنترنت بالوصول إلى الأجهزة الداخلية (مثل خادم بريد أو خادم ويب)؟

   • هل تريد إعادة توجيه حركة مرور TCP إلى منفذ TCP أو عنوان آخر ؟

   • هل تريد إستخدام NAT أثناء انتقال الشبكة (على سبيل المثال، قمت بتغيير عنوان IP للخادم وإلى أن تتمكن من تحديث جميع العملاء الذين تريد أن يكون العملاء غير المحددين قادرين على الوصول إلى الخادم باستخدام عنوان IP الأصلي وكذلك السماح للعملاء المحددين بالوصول إلى الخادم باستخدام العنوان الجديد)؟

   • هل تريد إستخدام للسماح للشبكات التي تتداخل بالتواصل ؟

3. شكلت nat in order to أنجزت ما أنت عينت سابقا. بناء على ما قمت بتعريفه في الخطوة 2، يلزمك تحديد أي من الميزات التالية تريد إستخدامه:

   • NAT الثابت

   • NAT الديناميكي

   • Overloading

   • أي مزيج من هذه الميزات.

4. دققت ال nat عملية.

يرشدك كل مثال من أمثلة NAT التالية خلال الخطوات من 1 إلى 3 من خطوات البداية السريعة في الصورة السابقة. تصف هذه الأمثلة بعض السيناريوهات الشائعة التي توصي فيها Cisco بنشر NAT.

تحديد واجهات NAT الداخلية والخارجية

الخطوة الأولى لنشر NAT هي تحديد NAT داخل الواجهات وخارجها. يمكنك العثور على أسهل طريقة لتعريف الشبكة الداخلية الخاصة بك على أنها داخلية والشبكة الخارجية على أنها خارجية. غير أن المصطلحين الداخلي والخارجي يخضعان للتحكيم أيضا. يوضح هذا الشكل مثالا على ذلك.

طبولوجيا NAT

الأمثلة

1. السماح للمستخدمين الداخليين بالوصول إلى الإنترنت

من المحتمل أن ترغب في السماح للمستخدمين الداخليين بالوصول إلى الإنترنت، ولكن ليس لديك عناوين صحيحة كافية لاستيعاب الجميع. إذا كانت جميع الاتصالات مع الأجهزة الموجودة في الإنترنت تنشأ من الأجهزة الداخلية، فأنت بحاجة إلى عنوان واحد صحيح أو مجموعة من العناوين الصالحة.

تعرض هذه الصورة رسما تخطيطيا مبسطا للشبكة باستخدام واجهات الموجه المعرفة كما هو الحال في الداخل والخارج.

العناوين الصالحة المتاحة

في هذا المثال، تريد أن يقوم NAT بالسماح لأجهزة معينة (أول 31 من كل شبكة فرعية) في الداخل بإنشاء اتصال مع الأجهزة الموجودة في الخارج وترجمة عنوانها غير الصالح إلى عنوان صالح أو تجمع عناوين صالح. تم تعريف التجمع كنطاق العناوين من 172.16.10.1 إلى 172.16.10.63.

أنت يستطيع الآن شكلت NAT. in order to أنجزت ما هو معرف في الصورة السابقة، استعملت حركي nat. مع NAT حركي، الترجمة طاولة في المسحاج تخديد مبدئيا يخلو ويستلم ما إن يمر حركة مرور أن يحتاج أن يكون ترجمت عبر المسحاج تخديد. بدلا من NAT الثابت، حيث الترجمة يكون شكلت بشكل ثابت ووضعت في الترجمة طاولة دون الحاجة إلى أي حركة مرور.

في هذا المثال، يمكنك تكوين NAT لترجمة كل جهاز من الأجهزة الداخلية إلى عنوان صالح فريد، أو لترجمة كل جهاز من الأجهزة الداخلية إلى نفس العنوان الصالح. وتعرف هذه الطريقة الثانية باسم overloading . ويتم توضيح مثال حول كيفية تكوين كل طريقة هنا.

شكلت nat أن يسمح مستعمل داخلي أن ينفذ الإنترنت

interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.

 
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24


!--- Defines a NAT pool named no-overload with a range of addresses 
!--- 172.16.10.1 - 172.16.10.63.


ip nat inside source list 7 pool no-overload 


!--- Indicates that any packets received on the inside interface that 
!--- are permitted by access-list 7 has 
!--- the source address translated to an address out of the 
!--- NAT pool "no-overload".


access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Access-list 7 permits packets with source addresses ranging from 
!--- 10.10.10.0 through 10.10.10.31 and 10.10.20.0 through 10.10.20.31.
 

ملاحظة: توصي Cisco بشدة بعدم تكوين قوائم الوصول المشار إليها بواسطة أوامر NAT مع السماح بأي. إن يستعمل أنت يسمح أي في NAT، هو يستهلك كثير مسحاج تخديد مورد أي يستطيع سببت شبكة مشكلة.

لاحظ في التكوين السابق أنه يتم السماح فقط بالعناوين 32 الأولى من الشبكة الفرعية 10.10.10.0 وأول 32 عنوانا من الشبكة الفرعية 10.10.20.0 بواسطة قائمة الوصول 7. لذلك، تتم ترجمة عناوين المصدر هذه فقط. يمكن أن تكون هناك أجهزة أخرى ذات عناوين أخرى على الشبكة الداخلية، ولكن لا تتم ترجمة هذه الأجهزة.

الخطوة الأخيرة هي التحقق من أن NAT يعمل على النحو المقصود .

شكلت nat أن يسمح مستعمل داخلي أن ينفذ الإنترنت مع زائد

interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.


ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24


!--- Defines a NAT pool named ovrld with a range of a single IP 
!--- address, 172.16.10.1.


ip nat inside source list 7 pool ovrld overload


!--- Indicates that any packets received on the inside interface that 
!--- are permitted by access-list 7 has the source address 
!--- translated to an address out of the NAT pool named ovrld. 
!--- Translations are overloaded, which allows multiple inside 
!--- devices to be translated to the same valid IP address. 

access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Access-list 7 permits packets with source addresses ranging from 
!--- 10.10.10.0 through 10.10.10.31 and 10.10.20.0 through 10.10.20.31.
 

لاحظت في التشكيل ثاني سابق، ال nat بركة ovrld فقط يتلقى مدى من واحد عنوان. الكلمة المفتاح حمل زائد يستعمل في ال ip nat داخل مصدر قائمة 7 بركة حمل زائد يسمح أمر NAT أن يترجم يتعدد داخل أداة إلى العنوان وحيد في التجمع.

هناك تنوع آخر من هذا الأمر isip nat داخل مصدر قائمة 7 قارن تسلسلي 0 حمل زائد، والذي يشكل NAT للتحميل الزائد على العنوان الذي تم تعيينه إلى الواجهة 0 التسلسلية.

عند overloading تكوين الموجه، فإنه يحتفظ بمعلومات كافية من البروتوكولات عالية المستوى (على سبيل المثال، أرقام منافذ TCP أو UDP) لترجمة العنوان العام مرة أخرى إلى العنوان المحلي الصحيح. للحصول على تعريفات للعنوان العالمي والمحلي، راجع nat: التعريفات العالمية والمحلية .

الخطوة الأخيرة هي التحقق من أن NAT يعمل على النحو المقصود .

2. السماح للإنترنت بالوصول إلى الأجهزة الداخلية

قد تحتاج إلى أجهزة داخلية لتبادل المعلومات مع الأجهزة على الإنترنت، حيث يتم بدء الاتصال من أجهزة الإنترنت، على سبيل المثال، البريد الإلكتروني. من المعتاد للأجهزة الموجودة على الإنترنت إرسال بريد إلكتروني إلى خادم بريد يتواجد على الشبكة الداخلية.

إنشاء الاتصالات

شكلت nat أن يسمح الإنترنت أن ينفذ داخلي أداة

في هذا المثال، تقوم أولا بتعريف واجهات NAT الداخلية والخارجية، كما هو موضح في الرسم التخطيطي للشبكة السابق.

ثانيا، يمكنك تحديد أنك تريد أن يتمكن المستخدمون من الداخل من إنشاء اتصال مع الخارج. يجب أن تكون الأجهزة الموجودة في الخارج قادرة على إنشاء اتصال مع خادم البريد فقط الموجود في الداخل.

الخطوة الثالثة أن يشكل nat. لإنجاز ما قمت بتعريفه، أنت يستطيع شكلت ساكن إستاتيكي و حركي nat معا. أحلت ل كثير معلومة على كيف أن يشكل هذا مثال، يشكل ساكن إستاتيكي و حركي nat في وقت واحد . الخطوة الأخيرة هي التحقق من أن NAT يعمل على النحو المقصود .

3. إعادة توجيه حركة مرور TCP إلى منفذ TCP آخر أو عنوان

يعد خادم ويب الموجود على الشبكة الداخلية مثالا آخر على الوقت الذي قد يكون فيه من الضروري للأجهزة الموجودة على الإنترنت بدء الاتصال بالأجهزة الداخلية. في بعض الحالات، يمكن تكوين خادم الويب الداخلي للاستماع إلى حركة مرور الويب على منفذ TCP بخلاف المنفذ 80. على سبيل المثال، يمكن تكوين خادم الويب الداخلي للاستماع إلى منفذ TCP 8080. في هذه الحالة، أنت يستطيع استعملت nat أن يعيد حركة مرور معد ل إلى TCP ميناء 80 إلى TCP ميناء 8080.

منفذ TCP لحركة مرور الويب

عقب يعين أنت القارن كما هو موضح في السابق شبكة رسم بياني، أنت يستطيع قررت أن أنت تريد NAT أن يعيد ربط من الخارج معد ل 172.16.10.8:80 إلى 172.16.10.8:8080. أنت يستطيع استعملت ساكن إستاتيكي nat أمر in order to ترجمت ال TCP ميناء رقم أن يحقق هذا. يتم عرض نموذج للتكوين هنا.

شكلت NAT أن يعيد TCP حركة مرور إلى آخر TCP ميناء أو عنوان

interface ethernet 0 
 ip address 172.16.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 10.200.200.5 255.255.255.252
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.


ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80

!--- Static NAT command that states any packet received in the inside 
!--- interface with a source IP address of 172.16.10.8:8080 is 
!--- translated to 172.16.10.8:80. 

ملاحظة: يشير وصف التكوين لأمر NAT الثابت إلى أي حزمة مستلمة في الواجهة الداخلية مع عنوان مصدر 172.16.10.8:8080 ترجمت إلى 172.16.10.8:80. هذا يعني أيضا أن أي ربط يستلم على القارن خارجي مع غاية عنوان 172.16.10.8:80 يتلقى الغاية يترجم إلى 172.16.10.8:8080.

الخطوة الأخيرة هي التحقق من أن NAT يعمل على النحو المقصود .

show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
tcp 172.16.10.8:80     172.16.10.8:8080   ---                ---

4. إستخدام NAT لنقل الشبكة

NAT مفيد عندما تحتاج إلى إعادة ضبط الأجهزة على الشبكة أو عندما تقوم باستبدال جهاز بآخر. على سبيل المثال، إذا كانت جميع الأجهزة الموجودة في الشبكة تستخدم خادما معينا وكان يلزم إستبدال هذا الخادم بخادم جديد يحتوي على عنوان IP جديد، فإن إعادة تكوين جميع أجهزة الشبكة لاستخدام عنوان الخادم الجديد تستغرق بعض الوقت. في هذه الأثناء، يمكنك إستخدام NAT لتكوين الأجهزة باستخدام العنوان القديم لترجمة الحزم الخاصة بها للاتصال بالخادم الجديد.

نقل شبكة NAT

ما إن يعين أنت ال nat قارن بما أن الصورة سابق يوضح، أنت يستطيع قررت أن أنت تريد nat أن يسمح ربط من الخارج معد ل ل القديم نادل عنوان (172.16.10.8) أن يكون ترجمت وأرسلت إلى الجديد نادل عنوان. لاحظ أن الخادم الجديد موجود على شبكة LAN أخرى، ويجب تكوين الأجهزة الموجودة على شبكة LAN هذه أو أي أجهزة يمكن الوصول إليها من خلال شبكة LAN هذه (الأجهزة الموجودة على الجزء الداخلي من الشبكة) لاستخدام عنوان IP للخادم الجديد إن أمكن.

أنت يستطيع استعملت nat ساكن إستاتيكي أن ينجز ما أنت تحتاج. هذا نموذج تكوين.

تكوين NAT للاستخدام من خلال انتقال الشبكة

interface ethernet 0
 ip address 172.16.10.1 255.255.255.0
 ip nat outside

!--- Defines Ethernet 0 with an IP address and as a NAT outside interface.


interface ethernet 1
 ip address 172.16.50.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 10.200.200.5 255.255.255.252

!--- Defines serial 0 with an IP address. This interface is not 
!--- participating in NAT.


ip nat inside source static 172.16.50.8 172.16.10.8

!--- States that any packet received on the inside interface with a 
!--- source IP address of 172.16.50.8 is translated to 172.16.10.8.

ملاحظة: يتضمن الأمر داخلي المصدر NAT في هذا المثال أيضا أن الحزم المستلمة على الواجهة الخارجية مع عنوان وجهة 172.16.10.8 تحتوي على عنوان الوجهة المترجم إلى 172.16.50.8.

الخطوة الأخيرة هي التحقق من أن NAT يعمل كما هو متوقع .

5. إستخدام NAT للشبكات التي تتداخل

ينتج عن الشبكات التي تتداخل عند تخصيص عناوين IP للأجهزة الداخلية التي يتم إستخدامها بالفعل بواسطة أجهزة أخرى داخل الإنترنت. كما ينتج عن هذه الشبكات قيام شركتين بالدمج، وكلتاهما تستخدمان عناوين IP الخاصة ب RFC 1918 في شبكاتهما. تحتاج هاتان الشبكتين إلى الاتصال، ويفضل أن يكون ذلك دون إعادة ضبط جميع أجهزتهما.

الفرق بين التخطيط من واحد إلى واحد ورسم الخرائط من عدة إلى عدة

تشكيل ساكن إستاتيكي nat يخلق تخطيط واحد إلى واحد ويترجم عنوان خاص إلى عنوان آخر. يقوم هذا النوع من التكوين بإنشاء إدخال دائم في جدول NAT طالما كان التكوين موجودا ويمكن الأجهزة المضيفة الداخلية والخارجية من بدء اتصال. وهذا مفيد في الغالب للمضيفين الذين يقدمون خدمات التطبيقات مثل البريد والويب و FTP وما إلى ذلك. على سبيل المثال:

Router(config)#ip nat inside source static 10.3.2.11 10.41.10.12
Router(config)#ip nat inside source static 10.3.2.12 10.41.10.13

يكون NAT الديناميكي مفيدا عندما يكون عدد العناوين المتاحة أقل من العدد الفعلي للمضيفين الذين سيتم ترجمتهم. هو يخلق مدخل في ال NAT طاولة عندما المضيف يبدأ توصيل وينشئ a واحد إلى واحد يخطط بين العنوان. ولكن، يمكن ان يختلف التعيين ويتوقف على العنوان المسجل المتاح في البركة وقت الاتصال. يسمح NAT الديناميكي ببدء الجلسات فقط من الشبكات الداخلية أو الخارجية التي تم تكوينها لها. تتم إزالة إدخالات NAT الديناميكية من جدول الترجمة إذا لم يتصل المضيف بفترة زمنية محددة قابلة للتكوين. وبعد ذلك يتم إرجاع العنوان إلى التجمع لاستخدامه من قبل مضيف آخر.

على سبيل المثال، أكمل الخطوات التالية من التكوين التفصيلي:

1. قم بإنشاء مجموعة من العناوين.

   Router(config)#ip nat pool MYPOOLEXAMPLE 10.41.10.1 10.41.10.41 netmask 255.255.255.0
   

2. قم بإنشاء قائمة وصول للشبكات الداخلية التي يجب تعيينها.

   Router(config)#access-list 100 permit ip 10.3.2.0 0.0.0.255 any
   

3. أربط قائمة الوصول 100 التي تحدد الشبكة الداخلية 10.3.2.0.0.0.255 التي سيتم وضعها في Mypoolexample للتجمع ثم قم بالتحميل الزائد للعناوين.

   Router(config)#ip nat inside source list 100 pool MYPOOLEXAMPLE overload
   

دققت ال nat عملية

ما إن يشكل أنت nat، دققت أن يعمل كما هو متوقع. يمكنك القيام بذلك بعدد من الطرق: باستخدام محلل الشبكة أو أوامر العرض أو أوامر تصحيح الأخطاء. لمثال تفصيلي ال nat تحقق، أحلت دققت nat عملية و أساسي nat .

القرار

توضح الأمثلة الواردة في هذا المستند خطوات البداية السريعة التي يمكن أن تساعدك على تكوين NAT ونشره.

وتتضمن خطوات البدء السريعة هذه ما يلي:

1. قم بتعريف NAT داخل الواجهات وخارجها.

2. شو بدكن تنجزو بمعرفات النقيب.

3. شكلت nat in order to أنجزت ما أنت عينت في خطوة 2.

4. دققت ال nat عملية.

في كل مثال سابق، استعملت أشكال مختلف من ip nat أمر. يمكنك أيضا إستخدام أمر IP nat من أجل تحقيق الأهداف نفسها، ولكن ضع في الاعتبار ترتيب عمليات NAT. للحصول على أمثلة التكوين التي تستخدم أوامر إخراج ip nat، ارجع إلى نموذج التكوين الذي يستخدم أمر قائمة المصادر الخارجية ip nat .

كما أظهرت الأمثلة السابقة هذه الإجراءات:

معلومات ذات صلة

• nat: تعاريف محلية وعالمية.
• صفحة دعم ترجمة عناوين الشبكة (NAT)
• صفحة دعم بروتوكولات IP المُوجَّهة
• صفحة دعم توجيه IP
• خدمات عنونة IP
• ترتيب عملية NAT
• الأسئلة المتداولة حول Cisco IOS NAT
• الدعم التقني والمستندات - Cisco Systems