يشكل ساكن إستاتيكي وحركي nat في وقت واحد

المقدمة

في بعض الحالات، أنت أمكن وجدت هو ضروري أن يشكل على حد سواء ساكن إستاتيكي وحركي شبكة ترجمة عنوان (NAT) أمر على cisco مسحاج تخديد. يشرح هذا المستند كيف يمكنك القيام بذلك، ويعطي نموذجا لسيناريو.

المتطلبات الأساسية

المتطلبات

إن المعرفة بالمفاهيم والعمليات الأساسية لأدوات الشبكة (NAT) مفيدة.

• كيفية عمل NAT

• ترتيب عملية NAT

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• الموجّهات من السلسلة 3600 من Cisco

• برنامج IOS^® الإصدار 12.3(3) من Cisco

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

تكوين NAT

مع حركي nat، لا يتواجد ترجمة في ال nat طاولة إلى أن يستلم المسحاج تخديد حركة مرور أن يتطلب ترجمة. تحتوي الترجمات الديناميكية على فترة انتهاء المهلة التي يتم بعد ذلك إزالتها من جدول الترجمة.

مع NAT ساكن إستاتيكي، تواجدت ترجمة في ال nat ترجمة طاولة ما إن يشكل أنت ساكن إستاتيكي nat أمر (أوامر)، وهم يبقون في الترجمة طاولة إلى أن أنت تحذف الساكن إستاتيكي nat أمر (أوامر).

الرسم التخطيطي للشبكة التالي هو مثال:

يتم تكوين هذه الأوامر على موجه NAT الموضح أعلاه:

version 12.3

ip nat pool test 172.16.131.2 172.16.131.10 netmask 255.255.255.0
 

 !--- Refer to  ip nat pool  for more details on the command.
.

ip nat inside source list 7 pool test  


!--- Refer to  ip nat inside source  for more details on the command.


ip nat inside source static 10.10.10.1 172.16.131.1

 interface e 0

 ip address 10.10.10.254 255.255.255.0

 ip nat inside

 interface s 0

 ip address 172.16.130.2 255.255.255.0

 ip nat outside

ip route 192.168.1.0 255.255.255.0 172.16.130.1

 access-list 7 permit 10.10.10.0 0.0.0.255

التكوين الموجود على جهاز ExternalA هو:

version 12.3
hostname outsideA

!
!
!
interface Serial1/0

ip address 172.16.130.1 255.255.255.0

serial restart-delay 0

clockrate 64000

!

interface FastEthernet2/0

ip address 192.168.1.1 255.255.255.0

speed auto

half-duplex

ip route 172.16.131.0 255.255.255.0 172.16.130.2

التكوين الموجود على جهاز InsideA هو:

version 12.3

!
interface Ethernet1/0
 ip address 10.10.10.1 255.255.255.0
 half-duplex
!
ip route 0.0.0.0 0.0.0.0 10.10.10.254
!
!

باستخدام الأمر show ip nat translation، يمكنك رؤية محتويات جدول الترجمة:

NATrouter#show ip nat translations
Pro Inside global    Inside local    Outside local    Outside global
--- 172.16.131.1     10.10.10.1      ---              ---

لاحظ أن الترجمة الثابتة فقط هي المدرجة في جدول الترجمة. يترجم هذا مدخل العنوان العالمي داخلي إلى العنوان محلي داخلي، لذلك هو يعني أن أداة على السحابة الخارجية يستطيع أرسلت ربط إلى العنوان شامل 172.16.131.1 ويبلغ الأداة على السحابة الداخلية، أي يتلقى العنوان محلي 10.10.10.1.

وفيما يلي بيان الشيء نفسه:

outsideA#ping 172.16.131.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.131.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms

 

NATrouter#debug ip nat 

18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1005]
18:12:06: NAT: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1005]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1006]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1006]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1007]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1007]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1008]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1008]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1009]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1009]

لا يتم إنشاء أي ترجمات أخرى أو إدخالها في جدول الترجمة حتى يستقبل الموجه حزمة على الواجهة الداخلية الخاصة به مع عنوان مصدر مسموح به بواسطة قائمة التحكم في الوصول (ACL) 7.

ومع ذلك، نظرا لعدم إدخال أي ترجمات ديناميكية بعد، لا يمكن للأجهزة الخارجية الوصول إلى أي من الأجهزة الداخلية (بخلاف 10.10.10.1)، ولا حتى إذا كانت ترسل الحزم إلى عنوان عام (172.16.131.2 إلى 172.16.131.10). عندما يستقبل الموجه حزمة موجهة لأحد هذه العناوين العامة، فإنه يتحقق من جدول الترجمة للترجمة الموجودة. إذا لم يكن هناك أي شيء، فإنه يحاول توجيه الحزمة. يناقش هذا تصرف nat أكثر في عينة تشكيل يستعمل ال ip nat خارج مصدر قائمة أمر وعينة تشكيل يستعمل ال ip nat خارجي مصدر ساكن إستاتيكي أمر.

في المخطط المذكور أعلاه، إذا كان الاتصال بين أجهزة الشبكة الداخلية والخارجية منشئا فقط بواسطة الأجهزة الداخلية، فإن الترجمة الديناميكية تعمل بشكل جيد. ولكن ماذا إذا تمت إضافة خادم بريد إلكتروني على الشبكة الداخلية التي تحتاج إلى إستقبال الحزم التي تم إنشاؤها من الخارج؟ الآن أنت تحتاج أن يشكل ساكن إستاتيكي nat مدخل بحيث أن البريد الإلكتروني نادل على الخارج يستطيع نسخت إتصال مع البريد الإلكتروني نادل على الداخل. إن في المثالفوق البريد الإلكتروني نادل الأداة مع العنوان محلي 10.10.10.1، أنت يتلقى بالفعل ترجمة ساكنة.

ومع ذلك، في الحالات التي لا يكون لديك فيها العديد من العناوين العالمية المطلوب حفظها وتحتاج إلى تكوين جهاز واحد بشكل ثابت ل NAT، يمكنك إستخدام تكوين مثل التكوين أدناه:

ip nat inside source list 7 interface serial 0 overload


ip nat inside source static tcp 10.10.10.1 25 172.16.130.2 25

!--- Refer to  ip nat inside source  for more details on the command.


 interface e 0

 ip address 10.10.10.254 255.255.255.0

 ip nat inside 

!--- For more details the ip nat inside|outside command, !--- please refer to  ip nat inside .


 interface s 0

ip address 172.16.130.2 255.255.255.0

ip nat outside 

 access-list 7 permit 10.10.10.0 0.0.0.255

 ip route 0.0.0.0 0.0.0.0 172.16.130.1

في المثال أعلاه، تم تكوين NAT للتحميل الزائد على عنوان IP الخاص ب Serial 0. هذا يعني أنه يمكن ترجمة أكثر من عنوان محلي داخلي ديناميكيا إلى نفس العنوان العمومي، في هذه الحالة، العنوان يعين إلى التسلسل 0. وبالإضافة إلى ذلك، يتم تكوين NAT بشكل ثابت حتى تتم ترجمة الحزم التي يتم الحصول عليها من العنوان المحلي 10.10.10.1 مع منفذ TCP رقم 25 (SMTP) إلى عنوان IP الخاص ب Serial 0 لمنفذ TCP رقم 25. بما أن هذا مدخل NAT ساكن إستاتيكي، بريد إلكتروني نادل على الخارج يستطيع أنشيء SMTP (TCP ميناء 25) ربط إلى العنوان شامل من 172.16.131.254.

ملاحظة: على الرغم من أنه من الممكن إستخدام نفس العنوان العمومي لكل من NAT الديناميكي والثابت، كلما أمكن، من الأفضل إستخدام عناوين عمومية مختلفة.

يحتوي جدول ترجمة nat على الإدخال التالي:

NATRouter#show ip nat translations

   Pro Inside global    Inside local   Outside local Outside global

   tcp 172.16.130.2:25  10.10.10.1:25      ---          --- 

يعرض إخراج debug ip nat ترجمة NAT عند وصول الجهاز الخارجي A إلى InsideA:

04:21:16: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1    [9919]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [0]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9922]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9923]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [1]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [2]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [3]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9927]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [4]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [5]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9931]

   04:21:17: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9934]

   04:21:17: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9935]

   04:21:17: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [6]

في ملخص، يتطلب NAT حركي أن يكون حولت ربط من خلال ال nat مسحاج تخديد in order to خلقت ترجمة nat في الترجمة طاولة. إذا كنت تستخدم الأمر ip nat inside ، فيجب أن تنشأ هذه الحزم من الداخل. إذا كنت تستخدم الأمر ip nat خارجي، فيجب أن تنشأ هذه الحزم من الخارج.

لا يتطلب NAT الثابت تحويل الحزم من خلال الموجه، ويتم إدخال الترجمات بشكل ثابت في جدول الترجمة.

معلومات ذات صلة

• nat غالبا أسئلة
• الدعم الفني - Cisco Systems