Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов. По сути, выполняется та же указанная выше трансляция на определённый порт, но возможно подменить внутренний порт официально зарегистрированной службы (например, 80-й порт TCP (HTTP-сервер) на внешний 54055-й). Тем самым, снаружи, на внешнем IP-адресе после трансляции адресов на сайт (или форум) для осведомлённых посетителей можно будет попасть по адресу http://example.org:54055, но на внутреннем сервере, находящемся за NAT, он будет работать на обычном 80-м порту. Повышение безопасности и скрытие «непубличных» ресурсов.
И так, разрешим доступ к HTTP серверу из сети интернет на примере 5 филиала:
FastEthernet1/1 (210.200.5.2) – для подключения к сети интернет
FastEthernet0/1.1 (10.22.5.129) – для демилитаризованной зоны
Применив технологию NAT ограничим доступ из интернет в локальную сеть и при этом обеспечим доступ серверов в интернет.
# interface FastEthernet1/1
# ip address 210.200.5.2 255.255.255.252
# ip nat outside (указываем на то, что f1/1 подключен к внешней сети)
# exit
# interface FastEthernet0/1.1
# ip address 10.22.5.129 255.255.255.128
# ip nat inside (указываем на то, что f0/1.1 подключен к внутренней сети)
Прописываем правило работы NAT для HTTP сервера в демилитаризованной зоне, тем самым пользователи из сети интернет смогут подключаться к внутреннему сайту на внешнем адресе (210.200.5.2) маршрутизатора:
# ip nat inside source static 10.22.5.131 210.200.5.2
Прописываем правило маршрутизации – если адреса назначения нет в таблице маршрутизации маршрутизатора, то отправлять такой пакет на маршрутизатор провайдера (210.200.5.1):
# ip route 0.0.0.0 0.0.0.0 210.200.5.1
В филиале 7 необходимо предоставить доступ в интернет сотрудникам 1 и 3 отделов, а так же выпустить в интернет DNS и HTTP сервера данного филиала, усложнив задачу откроем доступ к HTTP серверу из сетей провайдера. Для этого настроим маскарадинг на маршрутизаторе филиала.
Маскарадинг – это форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. Известен также как PAT (Port Address Translation). Каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.
Сконфигурируем NAT на маршрутизаторе подключенном к сети интернет:
# interface FastEthernet0/0
# ip address 10.22.6.246 255.255.255.252
# ip nat outside (указываем на то, что f0/0 подключен к внешней сети)
# exit
# interface FastEthernet0/1.1
# ip address 10.22.6.1 255.255.255.224
# ip nat inside (указываем на то, что f0/1.1 подключен к внутренней сети)
# exit
# interface FastEthernet0/1.2
# ip address 10.22.6.97 255.255.255.240
# ip nat inside (указываем на то, что f0/1.2 подключен к внутренней сети)
# exit
# interface FastEthernet0/1.3
# ip address 10.22.6.33 255.255.255.224
# ip nat inside (указываем на то, что f0/1.3 подключен к внутренней сети)
# exit
# interface FastEthernet0/1.4
# ip address 10.22.6.65 255.255.255.224
# ip nat inside (указываем на то, что f0/1.4 подключен к внутренней сети)
# exit
Создаем расширенный список доступа (ACL) для определения тех сетей, которые будут подпадать под NAT:
#ip access-list extended ACL_NAT
Определяем сети для NAT:
#permit ip 10.22.6.0 0.0.0.31 any
#permit ip 10.22.6.32 0.0.0.31 any
#permit ip 10.22.6.64 0.0.0.31 any
#exit
Включаем PAT:
#ip nat inside source list ACL_NAT interface fa 0/0 overload
#exit
Прописываем правило работы NAT для HTTP сервера в демилитаризованной зоне, тем самым пользователи из сети интернет смогут подключаться к внутреннему сайту на внешнем адресе (10.22.6.246) маршрутизатора:
# ip nat inside source static tcp 10.22.6.27 80 10.22.6.246 80
Прописываем правило маршрутизации – если адреса назначения нет в таблице маршрутизации маршрутизатора, то отправлять такой пакет на маршрутизатор провайдера (10.22.6.245):
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.