- питання Вступ Що таке NAT? Які основні відмінності між Cisco IOS NAT® і реалізацією NAT брандмауер...
- В. Що таке NAT?
- В. Які основні відмінності між Cisco IOS NAT® і реалізацією NAT брандмауер Cisco PIX?
- В. Для яких платформ маршрутизації Cisco доступна система Cisco IOS NAT? Як оформляється замовлення?
- В. NAT відбувається до або після маршрутизації?
- В. Як за допомогою NAT досягається обізнаність маршрутизатора про IP-адреси?
- В. Скільки паралельних сеансів NAT підтримується в NAT Cisco IOS?
- Питання. Яку ефективність маршрутизації можна очікувати при використанні Cisco IOS NAT?
- Питання: Чи можна застосувати Cisco IOS NAT до підінтерфейсів?
- В. Чи може Cisco IOS NAT використовуватися разом з протоколом HSRP для прокладання надлишкових каналів...
- В. Чи підтримує Cisco IOS NAT входять перетворення на послідовній магістралі, що використовує Frame...
- В. Чи може один маршрутизатор, який підтримує NAT, дозволити деяким користувачам використовувати NAT,...
- В. Що таке перевантаження PAT або NAT?
- В. Яка максимальна кількість перекладів, яке може бути виконане для кожного внутрішнього IP адреси...
- В. Принципи роботи трансляції адрес портів.
- В. Яка максимальна кількість реконфігурованих IP пулів NAT (використовуючи команду ip nat pool <name>)?
- В. Що означає накладення IP-адрес в контексті NAT?
- Питання: Чи можна создать конфігурацію з дінамічної та статічної трансляцією Мережна адреса?
- В. Чи може Cisco IOS підтримувати множинні зовнішні таблиці NAT?
- Питання: Чому потрібно вказувати маску підмережі при налаштуванні пулу адрес NAT?
- Питання: Чи можна розподілити IP-адреси з підмережі зовнішнього інтерфейсу маршрутизатора NAT динамічному...
- В. Чи правильно обробляє маршрутизатор NAT перенаправлення протоколу ICMP?
- В. Чи підтримує Cisco NAT весь трафік програми?
- Питання: Чому я Cisco IOS NAT не підтримує трафік SNMP?
- В. Як обробляються протоколи ARP для IP-адрес, створених NAT?
- В. Чи підтримує Cisco IOS NAT запити DNS?
- В. Чи підтримує Cisco IOS NAT списки управління доступом, які дозволяють вихід в Інтернет деяким або всім пакетам?
- Питання: Чому я активний FTP працює зі статичної / розширеної (переадресацією) і не працює з PAT?
питання Вступ
Що таке NAT?
Які основні відмінності між Cisco IOS NAT® і реалізацією NAT брандмауер Cisco PIX?
Для яких платформ маршрутизації Cisco доступна система Cisco IOS NAT? Як оформляється замовлення?
NAT з'являється до або після маршрутизації?
Як за допомогою NAT досягається обізнаність маршрутизатора про IP-адреси?
Скільки поточних сеансів NAT підтримуються в Cisco IOS NAT?
Яку ефективність маршрутизації можна очікувати при використанні Cisco IOS NAT?
Чи можна застосувати Cisco IOS NAT до подинтерфейсах?
Чи може Cisco IOS NAT використовуватися разом з протоколом HSRP для прокладання надлишкових каналів до постачальника Інтернет-послуг (ISP)?
Чи підтримує Cisco IOS NAT входять перетворення на послідовній магістралі, що використовує Frame Relay, і вихідну трансляцію на стороні Ethernet?
Чи може один маршрутизатор, який підтримує NAT, дозволити деяким користувачам використовувати NAT, а іншим користувачам в тому ж інтерфейсі Ethernet продовжувати працювати з їх власними IP-адресами?
Що таке перевантаження PAT або NAT?
Яка максимальна кількість перекладів, яке може бути виконане для кожного внутрішнього IP адреси при конфігуруванні для PAT (перевантаження трансляції мережевих номерів)?
Принципи роботи трансляції адрес портів
Яке максимальне число параметрів, що IP-пулів NAT (використовуючи команду ip nat pool <name>)?
Що означає накладення IP-адрес в контексті NAT?
Чи можна створити конфігурацію з динамічної та статичної трансляцією мережних адрес?
Чи може Cisco IOS підтримувати множинні зовнішні таблиці NAT?
Чому потрібно вказувати маску підмережі при налаштуванні пулу адрес NAT?
Можна розподілити IP-адреси з підмережі зовнішнього інтерфейсу маршрутизатора NAT динамічному пулу NAT?
Чи правильно обробляє маршрутизатор NAT перенаправлення протоколу ICMP?
Чи підтримує Cisco NAT весь трафік програми?
Чому Cisco IOS NAT не підтримує трафік SNMP?
Як обробляються протоколи ARP для IP-адрес, створених NAT?
Підтримує служба NAT для Cisco IOS запити DNS?
Чи підтримує Cisco IOS NAT списки управління доступом, які дозволяють вихід в Інтернет деяким або всім пакетам?
Чому активний FTP працює зі статичної / розширеної (переадресацією) і не працює з PAT?
Пов'язані обговорення спільноти підтримки Cisco
додаткові відомості
Вступ
Цей документ містить відповіді на деякі найбільш поширені запитання щодо трансляції мережевих адрес Cisco IOS® (NAT).
Додаткові відомості про умовні позначення в документах см. В розділі Технічні поради Cisco. Умовні позначення .
В. Що таке NAT?
Відповідь: NAT означає перетворення мережевих адрес. NAT призначений для спрощення і збереження IP-адрес. Він дозволяє приватним IP-мереж, які використовують незареєстровані IP-адреси, підключатися до Інтернету. NAT працює на маршрутизаторі, який зазвичай з'єднує дві мережі, і перетворює приватні (а не глобально унікальні) адреси у внутрішній мережі в дійсні адреси перед відправкою пакетів в іншу мережу. Оскільки дана функція є частиною можливостей маршрутизатора, трансляцію мережевих адрес (NAT) можна налаштувати для відображення тільки однієї адреси всієї мережі для зовнішнього світу. Це забезпечує додаткову безпеку і дозволяє приховати внутрішню мережу від доступу ззовні. NAT підтримує спільні функції забезпечення безпеки і збереження адрес і зазвичай встановлюється в середовищах віддаленого доступу. Додаткові відомості про роботу NAT містяться в документі Принципи роботи NAT .
В. Які основні відмінності між Cisco IOS NAT® і реалізацією NAT брандмауер Cisco PIX?
Відповідь: Функція NAT, заснована на ПО Cisco IOS, не набагато відрізняється від функцій NAT, доступних в брандмауері PIX. Головні відмінності включають в себе різні типи трафіку, підтримувані в Cisco IOS NAT і реалізації NAT в PIX. Детальна інформація про налаштування функцій NAT в PIX (містить опис типів підтримуваних трафіків) міститься в документах Брандмауери Cisco PIX серії 500 і Приклади налаштування NAT .
В. Для яких платформ маршрутизації Cisco доступна система Cisco IOS NAT? Як оформляється замовлення?
Відповідь: Засіб Cisco Software Advisor ( тільки для зареєстрованих користувачів) (пошук по функції) надає інструменти для ідентифікації випуску і платформи, для яких доступні можливості Cisco IOS. Щоб перевірити, чи підтримується NAT на певній платформі, перейдіть до Software Advisor (тільки для зареєстрованих користувачів), виберіть функцію Знайти ПО з потрібними функціями, вкажіть інформацію про продукт і ПО, потім вкажіть функцію NAT і виберіть платформу. Потім цей засіб повідомляє про ПО Cisco IOS, яке підтримує цю функцію на цій платформі.
Для інформації:
- Коли функція NAT вперше з'явилася в ПО Cisco IOS версії 11.2, вона була доступна тільки в образах Plus.
- В Cisco IOS версії 11.3 функції PAT доступні на всіх IP-образах, а всі функції NAT (1-1 і PAT) доступні тільки на образах Enterprise Plus.
- В Cisco IOS версії 12.0 функції PAT доступні на всіх IP-образах.
Представлена нижче таблиця містить відомості про підтримку Cisco IOS і NAT.
Версія ПО Cisco IOS Підтримка NAT в базових образах Підтримка NAT в образах Plus Проста підтримка IP Підтримувані апаратні платформи 11.2 - NAT - Cisco 1000, 2500, 4x00, AS5200, 7200, RSP7000, 7500 11.2P - NAT - Cisco 1000, 1600, 2500, 3620, 3640, 4x00, AS5200, AS5300, Cat5000 RSM, 7200, RSP7000, 7500 11.3 Тільки PAT NAT Фаза 1 Cisco 1000, 1600, 2500, 3620, 3640, 4x00, AS5200, 7200, RSP7000, 7500 11.3T Тільки PAT NAT Фаза 1 Cisco 1000, 1600, 2500, 2600, 3620, 3640, 4x00, AS5200, AS5300, Cat5000 RSM, 7200, RSP7000, 7500 12.0 NAT NAT Фаза 1 Cisco 1600, 2500, 2600, 3620, 3640, 4000, 4500, 4700, AS5x00, Cat5000 RSM, 7200, RSP7000, 7500 12.0T NAT NAT Фаза 2 Cisco 8001, 1400, 1600, 1700, 25002, 2600, 36x0, MC3810, C4x00, AS5x00, Cat5000 RSM, Cat5000 RSFC, 7100, 7200, uBR9x0, uBR72003 , RSP7000, 7500 12.1 NAT NAT Фаза 2 Cisco 8001, 1400, 1600, 1700, 25002, 2600, 36x0, MC3810, C4x00, AS5x00, Cat5000 RSM, Cat5000 RSFC, 7100, 7200, ubr9x0, uBR72003, RSP7000, 7500, RPM 12.1T NAT NAT Фаза 2 Cisco 8001, 1400, 16004, 17002,4, 2500, 2600, 36x0, MC3810, C4x00, AS5x00, Cat5000 RSM, Cat5000 RSFC, 7100, 7200, ubr9x0, uBR72003, RSP7000, 7500, RPM 12.2 NAT NAT Фаза 2 Cisco1400, 1601-1604, 1601R-1605R, 1720,1750,2501-2525,2610XM- 2611XM, 2620-2621, 2620XM-2621XM, 2650XM-2651XM, 2650-2651, 3620,3640,3640A, 3660, 4500,7100, 7200,7500,800,8850RPM-PR, AS5300, AS5400, CAT4500-AGM, CAT5000- RSM, ICS7700, MC3810, SLT, UBR910, 920 12.2T NAT NAT Фаза 2 Cisco 1710 1721,1751,1751-V, 1760,1720,1750,2501-2525,2610XM-2611XM, 2620-2621, 2620XM-2621XM, 2650XM-2651XM, 2650-2651, 3620,3640,3640A, 3660, 3725,3745,6400-NPR-1, 6400-NPR-2SV, 6400-NSP, 7100, 7200,7400,7500,800,8850RPM-PR, AS5300, AS5350, AS5400, AS5400HPX, CAT4500-AGM, CVA 120, CAT5000-RSM, ICS7700, MC3810, SLT, SOHO76, 77, 78, UBR7200, UBR905,925. 12.3 NAT NAT Фаза 2 Cisco 1400, 1601-1604, 1601R-1605R, 1710,1720,1721,1750,1751-V, 1751,1760,2501-2525,2610XM-2611XM, 2620XM-2621XM, 2650XM-2651XM, 2650- 2651,2691, 3620,3631,3640,3640A, 3660, 3725,3745,6400-NRP1, 6400-NRP-2SV, 6400- NSP, 7200,7301,7400,7500,800,8850RPM-PR, AS5300, AS5350, AS5400, AS5400HPX, AS5850- RSC, CAT4224, CAT4500-AGM, CVA120, ICS7700, MC3810, SCT, SOHO76,77,78, UBR905, 925. 12.3T NAT NAT Фаза 2 Cisco 1701,1710,1711, 1712,1720,1721 , 1751-V, 1751,1760, 2610XM-2611XM, 2620XM-2621XM, 2650XM-2651XM, 2691, 28X1,3620,3631,3640,3640A, 3660, 3725,3745,6400-NRP1, 6400-NRP-2SV, 6400 - NSP, 7200,7301,7400,7500,800,8850RPM-PR, AS5300, AS5350, AS5400, AS5400HPX, AS5850- RSC, CAT4224, CAT4500-AGM, CVA120, ICS7700, MC3810, SCT, SOHO78, SOHO91, 96,97 , UBR905, 925, VG224.,
Примітка: Ця інформація отримана за допомогою інструменту навігатор функцій (тільки для зареєстрованих клієнтів).
- Функція NAT відсутня на uBR7200 в образі програмного забезпечення постачальника послуг (-p). Функціональність протоколу DHCP для сервера доступна на uBR7200 в образі ПО провайдера (-p).
- У серії 2500, починаючи з ПО Cisco IOS версії 11.2, підтримується образ Enterprise plus. Образи Enterprise не підтримують NAT.
- У серії 2600, починаючи з ПО Cisco IOS версії 12.2T, підтримується образ Enterprise Base.
- У серії 3620, починаючи з ПО Cisco IOS версії 11.2P, підтримується образ Enterprise plus. Образи Enterprise не підтримують NAT.
- У серії 3640, починаючи з ПО Cisco IOS версії 11,3, підтримується образ Enterprise plus. Образи Enterprise не підтримують NAT.
- У серії 4000, починаючи з ПО Cisco IOS версії 11.2, підтримується образ Enterprise plus. Образи Enterprise не підтримують NAT.
- У серії 4500, починаючи з ПО Cisco IOS версії 11.2, підтримується образ Enterprise plus. Образи Enterprise не підтримують NAT.
- У серії AS5300, починаючи з ПО Cisco IOS версії 11.2P, підтримується образ Enterprise. AS5800 надає підтримку для NAT, SIP та NAT, директорії NetMeeting.
- У серії Catalyst 5000 RSM, починаючи з ПО Cisco IOS версії 11.3T, підтримується образ Enterprise. У серії 7200 NAT підтримується, починаючи з версії ПЗ Cisco IOS 11.2.
- У версії 7500 NAT підтримується, починаючи з версії ПЗ Cisco IOS 11.2.
- В Cisco 3825 і 3845 підтримується образ IP Base, починаючи з ПО Cisco IOS версії 12.3T.
- У серії 1600, починаючи з ПО Cisco IOS версії 11.3 IP base і в серії 2500, починаючи з ПО Cisco IOS версії 11.3 IP base, функція NAT підтримується.
- 1NAT підтримується всіма образами програмного забезпечення Cisco IOS для Cisco 800, починаючи з Cisco IOS версії 12.0 (3) T.
- 2NAT підтримується всіма образами програмного забезпечення Cisco IOS для Cisco 1700, починаючи з Cisco IOS версії 12.2ZH.
- 3 Функції NAT і DHCP, для сервера доступні тільки на платформі на uBR7200 в образі ПО провайдера (-ps), починаючи з ПО Cisco IOS версії 12.0 (3) T.
- 4 Щоб забезпечити підтримку додатка NetMeeting Microsoft в Cisco IOS NAT для всіх платформ, крім uBR7200, необхідний образ J або O (Enterprise або брандмауер Cisco, відповідно).
В. NAT відбувається до або після маршрутизації?
Відповідь. Трансляція зсередини-назовні відбувається після маршрутизації, а трансляція ззовні-всередину відбувається перед маршрутизацією. Додаткова інформація міститься в документі Порядок роботи NAT .
В. Як за допомогою NAT досягається обізнаність маршрутизатора про IP-адреси?
Відповідь. Маршрутизація для IP-адрес, створених за допомогою NAT, розпізнається в наступних випадках:
- Внутрішній пул глобальних адрес формується в підмережі маршрутизатора наступного вузла.
- Запис статичного маршруту налаштовується на наступному маршрутизаторі і перерозподіляється в межах маршрутизуються мережі.
В. Скільки паралельних сеансів NAT підтримується в NAT Cisco IOS?
Відповідь. Кількість сеансів NAT обмежена кількістю доступних DRAM в маршрутизаторі. На кожне перетворення мережевих адрес (NAT) виділяється близько 150 байт DRAM. У підсумку на 10 000 трансляцій (більше, ніж зазвичай обробляє один маршрутизатор) виділяється близько 1,6 МБ. Отже, у стандартної платформи маршрутизації більш ніж достатньо пам'яті для підтримки тисяч трансляцій NAT.
Питання. Яку ефективність маршрутизації можна очікувати при використанні Cisco IOS NAT?
Відповідь. Cisco IOS NAT підтримує комутацію Cisco Express Forwarding (CEF), швидку комутацію і комутацію процесів.
Продуктивність залежить від наступних факторів:
- Тип програми та тип його трафіку (чи містить він вбудований IP-адреса?)
- Чи виконується обмін повідомленнями, які підлягають перевірці?
- Чи використовується виділений порт або відбувається узгодження портів?
- Кількість перетворень.
- Що ще виконується на сервері в цей час?
- Тип платформи і процесора.
Для більшості додатків погіршення продуктивності, пов'язане з NAT, має бути незначним.
Питання: Чи можна застосувати Cisco IOS NAT до підінтерфейсів?
Відповідь. Так. Перетворення NAT джерела або призначення можуть застосовуватися до будь-якого інтерфейсу або підінтерфейсів з IP-адресою (включаючи інтерфейси програми набору номера).
В. Чи може Cisco IOS NAT використовуватися разом з протоколом HSRP для прокладання надлишкових каналів до постачальника Інтернет-послуг (ISP)?
Відповідь. Ні. У цьому сценарії і в більш ранніх версіях ПО Cisco IOS маршрутизатор в режимі очікування не використовує таблицю перетворення активного маршрутизатора. Тому, коли відбувається перекидання, підключення блокуються за часом і дають відмову.
У ПО Cisco IOS версії 12.2 (13) T і пізніше можна налаштувати функцію Stateful Failover of Network Address Translation для забезпечення надмірності впесте з протоколом HSRP. Додаткова інформація міститься в документі NAT - Підтримка відображення статичних таблиць NAT за допомогою HSRP для забезпечення високої доступності .
В. Чи підтримує Cisco IOS NAT входять перетворення на послідовній магістралі, що використовує Frame Relay, і вихідну трансляцію на стороні Ethernet?
Відповідь. Так.
В. Чи може один маршрутизатор, який підтримує NAT, дозволити деяким користувачам використовувати NAT, а іншим користувачам в тому ж інтерфейсі Ethernet продовжувати працювати з їх власними IP-адресами?
Відповідь. Так. Це можливо за допомогою списку управління доступом ACL, в яких представлені набори вузлів або мереж, для яких необхідно перетворення NAT. Всі сеанси на одному і тому ж вузлі будуть або перетворені, або пройдуть через маршрутизатор без перетворення.
ACL, розширені ACL і карти маршрутів можна використовувати для визначення правил трансляції IP-пристроїв. Завжди ставте мережеву адресу і відповідну маску підмережі. Не використовуйте ключове слово "any" замість мережевого адреси і маски підмережі.
ip nat inside source static 10.1.1.10 140.16.1.254! --- Статична перетворення для сервера ns.bar.com DNS. ip nat outside source static 10.1.1.10 192.168.1.254! --- Статична перетворення для сервера ns.foo.com DNS. ip nat pool iga 140.16.1.1 140.16.1.253 netmask 255.255.255.0! --- Динамічна команда IL-> IG address xlations. ip nat pool ola 192.168.1.1 192.168.1.253 netmask 255.255.255.0! --- Динамічна команда OG-> OL address xlations. ip nat inside source list 1 pool iga ip nat outside source list 2 pool ola access-list 1 permit 10.2.17.0 .255.255.255.0! --- Перетворити весь трафік, що надходить з внутрішніх вузлів 10.2.17. access-list 2 permit 10.0.0.0 255.0.0.0! --- Перетворити весь трафік, створений ззовні.
В. Що таке перевантаження PAT або NAT?
Відповідь. PAT, або перевантаження NAT, - це функція NAT в Cisco IOS, яку можна використовувати для трансляції внутрішніх (внутрішніх локальних) приватних адрес в один або кілька зовнішніх (внутрішніх глобальних, зазвичай зареєстрованих) IP-адрес. Унікальні номери портів джерела для кожного перетворення дозволяють відрізняти один діалог від іншого.
При перевантаженні NAT створюється запис таблиці перетворення, що містить повну адресу та інформацію про вихідний порте.
В. Яка максимальна кількість перекладів, яке може бути виконане для кожного внутрішнього IP адреси при конфігуруванні для PAT (перевантаження трансляції мережевих номерів)?
Відповідь. PAT (перевантаження NAT) розділяє доступні порти відповідно до глобальними IP-адресами на три діапазони: 0-511, 512-1023 і 1024-65535. PAT (перевантаження NAT) присвоює унікальний вихідний порт для кожного протоколу дейтаграми користувача (UDP) або сеансів протоколу управління передачею (TCP). Він намагається привласнити одне і те ж значення порту вихідного запиту. Однак якщо вихідний порт вже використовується, буде вироблено сканування від початку певного діапазону портів для пошуку першого доступного порту і його призначення для розмови.
В. Принципи роботи трансляції адрес портів.
Відповідь. PAT з одним IP-адресою:
- NAT / PAT перевіряє трафік і знаходить відповідності з правилом перетворення.
- Це правило відповідає конфігурації PAT.
- Чи відомий PAT тип трафіку, і чи є у цього типу трафіку конкретний набір портів або погоджених ним портів, які він буде використовувати? Якщо це так, чи не розподіляйте їх в якості унікальних ідентифікаторів.
- Сесії без особливих вимог до портів прагнуть відокремитися. PAT здійснює перетворення IP-адреси джерела і перевіряє доступність вихідного порту джерела (наприклад 433). Використовуються наступні групи: 1-511, 512-1023 і 1024-65535.
Примітка: Для TCP і UDP використовуються наступні групи: 1-511, 512-1023, 1024-65535. Для ICMP перша група починається з 0.
- Якщо запитаний порт відправника доступний, він привласнює порт джерела і сеанс триває.
- Якщо запитуваний вихідний порт недоступний, NAT починає пошук з початку відповідної групи. У цьому прикладі пошук починається з 1 для TCP або UDP і з 0 для ICMP.
- При наявності доступного порту виконується призначення, і сеанс триває.
- Якщо немає доступних портів, пакет відкидається.
A2. PAT з декількома IP-адресами.
Зробіть все те саме логіку, що і при одному IP-адресу (вище наведені кроки 1-8) і:
- Якщо в релевантної групі на першому IP-адресу недоступний жоден порт, NAT переходить на наступний IP-адреса в пулі і намагається виділити запитаний порт джерела.
- Якщо запитаний порт відправника доступний, він привласнює порт джерела і сеанс триває.
- Якщо запитуваний вихідний порт недоступний, NAT починає пошук з початку відповідної групи. У цьому прикладі пошук починається з 1 для TCP або UDP і з 0 для ICMP.
- При наявності доступного порту виконується призначення, і сеанс триває.
- Якщо доступних портів немає, а в пулі немає іншого IP-адреси, то пакет відкидається, і так до тих пір, поки не будуть перевірені всі IP-адреси.
В. Яка максимальна кількість реконфігурованих IP пулів NAT (використовуючи команду ip nat pool <name>)?
Відповідь. Обмеження не існує. Втім, на практиці максимальне число параметрів, що IP-пулів обмежується наявним обсягом пам'яті DRAM на конкретному використовуваному маршрутизаторі.
В. Що означає накладення IP-адрес в контексті NAT?
Відповідь. Поєднання IP-адреси відноситься до ситуації, коли два місця розташування для внутрішнього сполучення між собою використовують схему одного IP-адреси. Це не стандартна ситуація і відбувається найчастіше при злитті компаній або придбання однією компанією іншої. Без спеціальної підтримки установка зв'язку та сеансів між двома настроями неможлива. Перекриваються IP-адреси можуть бути публічними адресами, призначеними іншим компаніям, приватними адресами, вже призначеними іншим компаніям, або входити в діапазон приватних адрес, як визначено в RFC 1918 . Приватні IP-адреси не є маршрутизуються і вимагають перетворень NAT для підключення до зовнішнього світу. Рішення має на увазі перехоплення відповідей на запити імені DNS від зовнішнього середовища до внутрішньої, настройку перетворення зовнішнього адреси та коригування відповіді DNS перед пересиланням його на внутрішній хост. Щоб дозволити користувачам підключатися до обох мереж, необхідно використовувати сервер DNS на обох сторонах пристрою NAT.
Перетворення NAT може перевіряти і виконувати перетворення адрес для вмісту DNS A і записів PTR. Детальніше див. В документі Використання NAT в перекриваються мережах .
Питання: Чи можна создать конфігурацію з дінамічної та статічної трансляцією Мережна адреса?
Відповідь. Так це можливо. Обмеження, Пожалуйста глобальні адреси Використовують в статичних Перетворення, які не віключаються автоматично с помощью дінамічніх пулів, що містять ЦІ глобальні адреси. Необхідно створити динамічні пули, щоб виключити адреси, призначені через статичні записи.
В. Чи може Cisco IOS підтримувати множинні зовнішні таблиці NAT?
Відповідь. Так, це можна зробити за допомогою карт маршрутів. Команда динамічного перетворення dynamic translation може тепер вказати карту маршрутів, яка обробляється замість ACL. Карта маршруту дозволяє користувачеві підбирати комбінації ACL, IP-адрес наступного вузла і вихідних інтерфейсів, щоб визначити, який пул потрібно використовувати. Додаткова інформація про налаштування NAT за допомогою карт маршруту міститься в документі Підтримка перетворення мережевих адрес (NAT) для декількох пулів з використанням карт маршрутів .
Питання: Чому потрібно вказувати маску підмережі при налаштуванні пулу адрес NAT?
Відповідь. Маска підмережі використовується для перевірки адрес, призначених з пулу (тобто, наприклад, не потрібно призначати широкомовні адреси підмережі). Маска підмережі повинна збігатися з розміром підмережі, до якої виробляється перетворення.
Питання: Чи можна розподілити IP-адреси з підмережі зовнішнього інтерфейсу маршрутизатора NAT динамічному пулу NAT?
Відповідь. Так. Маршуртізатор NAT відповідає на запити ARP до цих IP-адресами в динамічному пулі.
В. Чи правильно обробляє маршрутизатор NAT перенаправлення протоколу ICMP?
Відповідь. так
В. Чи підтримує Cisco NAT весь трафік програми?
Відповідь. Трафік додатка прозорий для Cisco IOS NAT, якщо не виконуються наступні умови:
- У частині даних вбудовані IP-адреси.
- Додаток вимагає попередньо заданих або узгоджених значень порту джерела / призначення.
NAT Cisco IOS виконує перевірку трафіку "потоком" і повинен володіти інформацією про всі додатки, які вбудовані і / або для яких необхідні конкретні порти джерела.
Наприклад, Cisco підтримує перетворення вбудованих IP-адрес в записах DNS A і PTR, а також підтримує FTP і NetMeeting версії 2.11 (4.3.2519) і 3.01 (4.4.3385), виділяючи необхідні для них значення вихідного порту. Cisco не призначить ці значення при використанні PAT або функції перевантаження Cisco IOS NAT.
При роботі з вбудованими IP-адресами Cisco IOS NAT повинен володіти інформацією про повідомлення, які містять вбудовані адреси та про усунення в цих повідомленнях. Якщо вбудовані адреси збігаються з налаштованими правилами, вони транслюються відповідно до конфігурації. Додаток, що впроваджує IP-адреси (про яких Cisco IOS NAT невідомо), що не буде нормально працювати в конфігурації Cisco IOS NAT.
Можливо виняток при використанні тунельного протоколу, наприклад протокол тунельного з'єднання двох точок (PPTP). В даному випадку вбудований IP-адреса пакетів, що проходять по тунелю, що не буде транслюватися. Однак у користувача є віртуальне розширення домашньої мережі, і він використовує схему адресації домашніх мереж. Якщо користувачеві потрібно вийти за межі домашньої мережі, він може вибрати використання NAT.
Проблема вбудованих IP-адрес існує незалежно від налаштованого типу трансляції NAT в Cisco IOS (проста, розширена, перевантаження і т. Д.).
При перетворенні пакетів, спрямованих на добре відомі порти, NAT перевіряє корисну інформацію пакетів, перетворює вбудовані IP-адреси і створює повністю розширене перетворення. Це відбувається в статичних і динамічних змінах NAT. Цей набір функцій виконується на шляху з комутацією процесів і є стандартним поведінкою для всіх протоколів, для яких необхідно перетворення вбудованих IP-адрес, включаючи FTP, DNS, IRC, SNMP, LDAP, H.323 і SIP.
Попередньо налаштовані або узгоджені значення портів джерела враховуються тільки при використанні PAT або функції перевантаження Cisco IOS NAT. PAT мультиплексирует множинні перетворення IP за допомогою 1 або декількох IP-адрес, а також використовує вихідний порт для точної ідентифікації перетворень для кожного IP-адреси. Функція PAT повинна виділити всі відомі значення портів на той випадок, якщо проіхсодіт перетворення цих типів додатків (FTP, NetMeeting і т.д.).
Питання: Чому я Cisco IOS NAT не підтримує трафік SNMP?
Відповідь. Формат пакета SNMP залежить від використовуваного MIB і не може визначатися самостійно. Немає єдиного формату для запитів і відповідей SNMP, який можна обробляти звичайним шляхом.
В. Як обробляються протоколи ARP для IP-адрес, створених NAT?
Відповідь. Cisco IOS NAT створює запис ARP для IP-адрес, створених NAT, що вказують на MAC-адресу інтерфейсу, з якими пов'язаний пул IP-адрес NAT.
Наприклад, при виконанні внутрішнього перетворення джерела, якщо внутрішній пул глобальних адрес пов'язаний з підмережею зовнішнього інтерфейсу (наприклад, S0), то тоді записи ARP для цих IP-адрес використовуватимуть МАС-адреси S0.
В. Чи підтримує Cisco IOS NAT запити DNS?
Відповідь. Так, Cisco IOS NAT НЕ перетворює адреси, які з'являються у відповідях DNS на пошук імені (запити А) і інверсівние запити (запити PTR). Таким чином, зовнішній хост відправляє внутрішньому DNS-серверу запит на пошук імені, і цей сервер відповідає внутрішнім адресою, програма NAT перетворює цей локальний адресу в глобальний. Протилежну поведінку також зустрічається при підтримці Cisco співпадаючих IP-адрес. Внутрішній хост запитує зовнішній сервер DNS, відповідь містить адресу, відповідний списку управління доступом, вказаною в команді outside source, і код перетворює зовнішній глобальна адреса в зовнішній локальний адресу.
Значення TTL на всіх записах ресурсів (RR) DNS, які отримують перетворення адрес в корисних відомостях RR, автоматично прирівнюються до нуля.
Cisco IOS NAT НЕ перетворює IP-адреси, вбудовані в зону передачі DNS.
В. Чи підтримує Cisco IOS NAT списки управління доступом, які дозволяють вихід в Інтернет деяким або всім пакетам?
Відповідь. Під час налаштування Cisco IOS NAT для динамічного перетворення NAT, для ідентифікації пакетів, які можуть бути перетворені, використовується список управління доступом. Поточна архітектура NAT не підтримує використання будь-якого або всіх пакетів в ACL, використовуваних NAT. Використання всіх або деяких пакетів може привести до несподіваного поведінки.
Питання: Чому я активний FTP працює зі статичної / розширеної (переадресацією) і не працює з PAT?
Відповідь. Причина в тому, що при відкритті доступу FTP відбувається підключенні до порту 21 віддаленого сервера FTP. Але при використанні команд "ls", "put", get "або інших, для яких необхідно порт даних, сервер устаналівает іншу сполуку з клієнтом. При відкритті вихідного з'єднання FTP зсередини маршрутизатор розпізнає цей запит в якості певного зовнішнього IP-адреси і вибирає випадковий номер порту, в цьому випадку сервер FTP спілкується з цим IP-адресою і номером порту. Отже, коли сервер хоче знову відкрити підключення даних при використанні команд "get" or "ls" і т.д., він намагається відкрити підключення TCP з порту 20 на будь-якої випадковий порт, до торий вибирає сервер. У той час як сервер вважає, що спілкується із зовнішнім IP-адресою, маршрутизатор визначає трафік, що направляється на зовнішній IP-адреса, але не може знайти відповідності PAT з номером порту, обраним сервером. Отже, він не визначає, що даний трафік повинен повернутися до клієнта.
Порт 20 не встановлюється. Щоб вирішити цю проблему, можна використовувати режим "passive FTP". Цей режим змушує клієнта відкрити з'єднання через порти 21 і 20 з самого початку. Маршрутизатор бачить обидва порту і дозволяє серверу відкрити порт 20.
Додаткова інформація про сервер FTP міститься в документі Аналіз протоколу FTP .
Необхідно провести розширені перетворення для портів 20 і 21 зі статичними відображеннями (приклад адреси)
ip nat inside source static tcp 192.168.0.4 20 66.46.64.82 20 extendable ip nat inside source static tcp 192.168.0.4 21 66.46.64.82 21 extendable
Режим, в якому працює активний FTP, не дозволяє використовувати динамічний NAT. В цьому випадку може використовуватися тільки статичний NAT. Це обмеження FTP.
Document ID: 26704
Питання Вступ Що таке NAT?Що таке NAT?
Які основні відмінності між Cisco IOS NAT® і реалізацією NAT брандмауер Cisco PIX?
Для яких платформ маршрутизації Cisco доступна система Cisco IOS NAT?
Як оформляється замовлення?
NAT відбувається до або після маршрутизації?
Як за допомогою NAT досягається обізнаність маршрутизатора про IP-адреси?
Скільки паралельних сеансів NAT підтримується в NAT Cisco IOS?
Яку ефективність маршрутизації можна очікувати при використанні Cisco IOS NAT?
Питання: Чи можна застосувати Cisco IOS NAT до підінтерфейсів?