NAT Konfigurasyonu - Sayfa 2
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

+ Konuyu Cevapla
Toplam 3 Sayfadan 2. Sayfa BirinciBirinci 123 SonuncuSonuncu
Toplam 25 sonuçtan 11 ile 20 arasındakiler gösteriliyor.
NAT Konfigurasyonu

newbie Nickli Üyeden Alıntı önerileriniz için teşekkürler. bir interface'e, biri inbound, diğeri outbound olmak üzere iki access-list atıyabiliyoruz diye biliyordum. dediğini yapmaya çalıştım ancak interface'e, "#ip access-group 1 in" komutunu

  1. #11
    burner Guest

    Standart

    Alıntı newbie Nickli Üyeden Alıntı Mesajı göster
    önerileriniz için teşekkürler.
    bir interface'e, biri inbound, diğeri outbound olmak üzere iki access-list atıyabiliyoruz diye biliyordum. dediğini yapmaya çalıştım ancak interface'e,
    "#ip access-group 1 in" komutunu verdiğimde daha önceki atadığım access-list 2 siliniyor . bu konfigürasyon mantığıyla bu istediğim yapılamıyorsa diğer yöntemleri de öğrenmeye açık bi insanım
    , access-group u neden kullaniyorsun anlayamadim ....Neyse acl leri nat translationlari icin yaratiyoruz orada kullanmaniz icin...Interfaceye uygulamaniz icin degil, bildiginiz dogru one acl in and one acl out yapabilirsiniz ayni interfacede...ama buradaki acl in int ile alakasi yok
    interfaceler altinda yapmaniz gereken bir komut var; ip nat out, yada ip nat out
    oki...
    Kod:
                          
                                    | bu okun ucundaki 1 acl 1 oluyor,
                                    V
    ip nat inside source list 1 pool natPOOL1 overload

  2. #12
    newbie Guest

    Standart

    Alıntı burner Nickli Üyeden Alıntı Mesajı göster
    , access-group u neden kullaniyorsun anlayamadim ....Neyse acl leri nat translationlari icin yaratiyoruz orada kullanmaniz icin...Interfaceye uygulamaniz icin degil, bildiginiz dogru one acl in and one acl out yapabilirsiniz ayni interfacede...ama buradaki acl in int ile alakasi yok
    interfaceler altinda yapmaniz gereken bir komut var; ip nat out, yada ip nat out
    oki...
    Kod:
                          
                                    | bu okun ucundaki 1 acl 1 oluyor,
                                    V
    ip nat inside source list 1 pool natPOOL1 overload
    interface'e uyguladığım access-listi interface'den kaldırdığımda router nat yapmıyor. tekrar attach ettiğimde nat tekrardan çalışmaya başlıyor...

  3. #13
    yaman isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Londra
    Mesajlar
    245

    Standart Nat

    Simdi benim kafam karisti, senin interfacedeki ACL'in amaci nedirde NAT tercumesi etkilisin. Burner'in dedgi gibi senin kullandigin her hangi ACL sadece tercume isleminde 1 blok IP adresi yakalyip cevirme yapmak istedigin IP address blogu icin olmalidir.

    Yane ne bileyin


    access-list 100 permit ip 10.0.0.0 0.0.0.255 any

    ip nat pool TEST 205.15.25.1 205.15.25.254 prefix-length 24
    ip nat inside source list 100 pool TEST <<<Opsiyon olarak "overload" yazip PAT yapilabilir>>>

    ACL 100'un isi bukadar #######
    Yaman

  4. #14
    newbie Guest

    Standart

    hocam natlayan routerdaki ilgili konfigürasyon :
    Kod:
    interface FastEthernet1/0
     ip address 10.0.0.2 255.255.255.252
     ip nat inside
     ip virtual-reassembly
     duplex auto
     speed auto
    !
    interface FastEthernet1/1
     ip address 112.112.112.1 255.255.255.0
     ip nat outside
     ip virtual-reassembly
     duplex auto
     speed auto
    ip nat pool deneme 112.112.112.10 112.112.112.10 netmask 255.255.255.0
    ip nat inside source list 1 pool deneme overload
    !
    access-list 1 permit 192.168.1.0 0.0.0.255 log
    şu halde 112.112.112.2'ye (natlayanın ötesinde olan router) 192.168.1.0 networkunden ping atıyorum:
    Kod:
    natlanan#ping 112.112.112.2
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 112.112.112.2, timeout is 2 seconds:
    .....
    Success rate is 0 percent (0/5)
    ve şimdi access-list 1'i natlayan routerdaki fast ethernet 1/0'a attach ediyorum ve bu sırada da natlayan routerda "debug ip nat" komutu çalışıyor ve natlanan routerdan ping atılıyor:
    Kod:
    natlayan(config-if)#ip access-group 1 in
    natlayan(config-if)#
    *Oct 10 16:54:41.079: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.2 [75]
    *Oct 10 16:54:41.655: NAT*: s=112.112.112.2, d=112.112.112.10->192.168.1.1 [75]
    *Oct 10 16:54:41.947: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.2 [76]
    *Oct 10 16:54:42.123: NAT*: s=112.112.112.2, d=112.112.112.10->192.168.1.1 [76]
    *Oct 10 16:54:42.455: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.2 [77]
    *Oct 10 16:54:42.611: NAT*: s=112.112.112.2, d=112.112.112.10->192.168.1.1 [77]
    *Oct 10 16:54:42.859: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.2 [78]
    *Oct 10 16:54:43.043: NAT*: s=112.112.112.2, d=112.112.112.10->192.168.1.1 [78]
    *Oct 10 16:54:43.331: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.2 [79]
    *Oct 10 16:54:43.395: NAT*: s=112.112.112.2, d=112.112.112.10->192.168.1.1 [79]
    yani diyorum ki access-listi interface'e attach etmeden cihaz nat yapmıyor. hal böyle olunca da 2 farklı networku 2 farklı ip'ye statik olarak natlayamıyorum

  5. #15
    ipek isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Jul 2008
    Mesajlar
    11

    Standart

    bilgilerinizden dolayı çok teşekkür ederim..

  6. #16
    yaman isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Londra
    Mesajlar
    245

    Post

    Eger gorsel olarak anlatim anlamak isterseniz, grafike bakiniz. "Grafik en altta, ve .doc formatinda"

    Static PAT Overloading, simdi sen musterisin, senin IP adres blogun, ozel IP adresi blogu 192.168.1.0/24, ve farz etki ikitane serverin var 192.168.1.1 ve 192.168.1.2, yane bu serverler hayali olarak loopback 0 ve loopback 1 interfacelerine bagli. Ve bu interfacelerde IP NAT INSIDE komutu var

    interface Loopback0
    ip address 192.168.1.1 255.255.255.255<<<<SERVER 1>>>>
    ip nat inside
    ip virtual-reassembly
    !
    interface Loopback1
    ip address 192.168.1.2 255.255.255.255<<<<SERVER 2>>>>
    ip nat inside
    ip virtual-reassembly


    Sen bu serverlerin IP adreslerini PAT yapmak istiyorsun, ama durum su ki, senin 2 tane ISP baglantin var eger server 1'e ISP_1'den bgalanan olursa bu serverin dis bacak IP adresi 100.100.100.10 olacak, yok eger ISP_2'den baglanan olursa server 1'in adresi 200.200.200.10 olacak.

    Ayni sekilde eger server 2'ye ISP_1'den baglanan olursa Server 2'nin dis bacak IP adresi yine ayni sekilde 100.100.100.10 olacak ve tekrar ISP_2'den server 2'ye baglanan olursa server 2'nin IP adresi 200.200.200.10 olucak, bu sekilde 2 server arasinda ayni IP adres uzerinden load balancing, yapabilirsin.

    Bu islem icin 2 tane loopback daha ayarla, ayni alt kisimdaki gibi loopback 100 ve 200. Bu loopback'ler NAT/PAT tercume isleminde kulanilmak icin ayarlanmis "oyuncak adresler".

    interface Loopback100
    ip address 100.100.100.10 255.255.255.255
    !
    interface Loopback200
    ip address 200.200.200.10 255.255.255.255


    Sen her iki ISP'ye point-to-point sub-interfacelerle baglisin, senin ISP_1 baglantisi icin dis adresin 100.100.100.2 ve ISP_2 icin dis adresin 200.200.200.2. NOT bu dis adresleride loopback 100 ve 200 yerine kullanabilrdin ama, kafan karismasin diye ben loopbacklerde ayarladim. Bu interfacelerde IP NAT OUTSIDE komutu var

    !
    interface Serial0/0
    no ip address
    encapsulation frame-relay
    !
    interface Serial0/0.1 point-to-point
    ip address 100.100.100.2 255.255.255.252
    ip nat outside
    ip virtual-reassembly
    snmp trap link-status
    frame-relay interface-dlci 102
    !
    interface Serial0/0.2 point-to-point
    ip address 200.200.200.2 255.255.255.252
    ip nat outside
    ip virtual-reassembly
    snmp trap link-status
    frame-relay interface-dlci 103
    !

    ISP'lerle baglantini diyelimki EIGRP uzuerinden yapiyorsun, bu baglanti her hangi bir IGP veya EGP yonlendirme protokolu olabilir, ama ben EIGRP kullandim her neyse, EIGRP'yi iki ayri islem ISP_1 baglantisi icin EIGRP 100 islemini kullandim, ISP_2 icinde EIGRP 200 islemini kullandim.

    !
    router eigrp 100
    redistribute connected route-map EIGRP_CONNECTED
    network 100.100.100.2 0.0.0.0
    no auto-summary
    eigrp router-id 0.0.0.1
    !
    router eigrp 200
    redistribute connected route-map EIGRP_CONNECTED
    network 200.200.200.2 0.0.0.0
    no auto-summary
    eigrp router-id 0.0.0.1
    !


    Simdi gelelim PAT islemine, ACL 1 senin ic adres blogun 192.168.1.0/24'u yakaliyor, ACL 2 ISP_1'in adresini yakaliyor ve ACL 3 ISP_2'in adresini yakaliyor

    !
    access-list 1 permit 192.168.1.0 0.0.0.255
    access-list 2 permit 100.100.100.1
    access-list 3 permit 200.200.200.1
    !

    Asagideki, route-map da diyorki, eger ACL 1 takilan 1 adres varsa (yane senin ic IP adres bolugundan herhangi bir adres), ve bu adresin gidis yonu ISP_1'in adresi ise, bu paketi notla ve bu packet icin ayarlanmis komutlara bak, (biz bu paket icin PAT kumutunu verecegiz ama bekle).


    route-map ISP_1_NAT permit 10
    match ip address 1<<<ACL 1>>>
    match ip next-hop 2<<<ACL 2>>>
    !


    Asagideki, route-map da diyorki, eger ACL 1 takilan 1 adres varsa (yane senin ic IP adres bolugundan herhangi bir adres), ve bu adresin gidis yonu ISP_2'in adresi ise, bu paketi notla ve bu packet icin ayarlanmis komutlara bak, (biz bu paket icin PAT kumutunu verecegiz ama yine bekle).


    route-map ISP_2_NAT permit 10
    match ip address 1<<<ACL 1>>>
    match ip next-hop 3<<<ACL 3>>>
    !


    Gelelim sona Dogru, asagida PAT islemini baslatiyoruz, yane route-maplarin yakaladiklari paketlei simdi isleyecegiz, ISP_1_NAT'a takilan paketleri loopback 100'un IP addresi 100.100.100.10'a cevirecegiz. ISP_2_NAT'a takilan paketleri loopback 200'un IP addresi 200.200.200.10'a cevirecegiz.


    ip nat inside source route-map ISP_1_NAT interface Loopback100 overload
    ip nat inside source route-map ISP_2_NAT interface Loopback200 overload
    !

    Ve Son olarakta, eger EIGRP protokolunu ayarlarken yapmis oldumuz konfogurasyona bakarsa "redistribute connected route-map EIGRP_CONNECTED" komutu var, bunun sebebi ise iki yinlu routing calismasi ve ISP_lerin senin NAT edilmis IP adreslerinin dis bacagini taniyip yanit vermeleri icin. yane diyoruzki ISP_1 ve ISP_2 eger bana packet gondereceksen bende sadece loopback 100 ve 200 adreslirm var yoksa baska paket gonderme bana kardesim.

    !
    route-map EIGRP_CONNECTED permit 10
    match interface Loopback100 Loopback200
    !

    Simdi yaptiklarimizi deneyelim ve gorelim; Bu islem icin ping (ICMP) paketlerini ic bacak adresi loopback 0 ve 1 den gonderecegizki ACL'ler paketleri isleyebilsin, yoksa paketler NAT'a takilmaz.

    MUSTERI_NAT_ROUTER#ping 100.100.100.1 source 192.168.1.1

    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 100.100.100.1, timeout is 2 seconds:
    Packet sent with a source address of 192.168.1.1
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 16/69/128 ms

    ################################################## ############################
    MUSTERI_NAT_ROUTER#ping 200.200.200.1 source 192.168.1.1

    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 200.200.200.1, timeout is 2 seconds:
    Packet sent with a source address of 192.168.1.1
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 20/93/172 ms

    ################################################## #############################
    MUSTERI_NAT_ROUTER#ping 100.100.100.1 source 192.168.1.2

    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 100.100.100.1, timeout is 2 seconds:
    Packet sent with a source address of 192.168.1.2
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 56/110/148 ms

    ################################################## ##############################
    MUSTERI_NAT_ROUTER#ping 200.200.200.1 source 192.168.1.2

    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 200.200.200.1, timeout is 2 seconds:
    Packet sent with a source address of 192.168.1.2
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 32/84/172 ms

    ################################################## ###############################

    MUSTERI_NAT_ROUTER#sh ip nat translations
    Pro Inside global Inside local Outside local Outside global

    icmp 100.100.100.10:12 192.168.1.1:12 100.100.100.1:12 100.100.100.1:12
    icmp 200.200.200.10:13 192.168.1.1:13 200.200.200.1:13 200.200.200.1:13

    icmp 100.100.100.10:14 192.168.1.2:14 100.100.100.1:14 100.100.100.1:14
    icmp 200.200.200.10:15 192.168.1.2:15 200.200.200.1:15 200.200.200.1:15

    MUSTERI_NAT_ROUTER#

    Oley calsiti, iste bukadar. yoruldum be hay ben bu CISCO'nun beeeeeeeeeeeeeeeeeeeeeppppppp.

    Biraz karman corman ama yanlis anlamdi isem senin senaryoya benzer birseyler yapmak istemissin. Tabi NAT bu kadarla sinirli degil daha neler neler varama uzun hikaye be daha kendim ogrenemedim bile
    Eklenmiş Dosya Eklenmiş Dosya
    • Dosya tipi: doc NAT.doc‎ (40.5 KB (Kilobyte), 948 kez indirilmiştir)
    Konu yaman tarafından (11.10.2008 Saat 04:34 ) değiştirilmiştir.
    Yaman

  7. #17
    burner Guest

    Standart

    Slm;

    Oncelikle Yaman arkadasimiza ben tesekkur etmek istiyorum, bu guzel aciklamasindan dolayi...
    Ayni zamanda sizin configuration lariniz gayet guzel calisiyor..test ettim, geriye bir problem kaliyor oda sizin Routing iniz yanlis...sizin conf leri copy and paste ile benim routerlerde uyguladim gayet guzel calisiyor... Buda gosteriyorki routing de bir hataniz var...

    Kod:
    !
    interface Ethernet0/0
     ip address 10.0.0.2 255.255.255.0
     ip nat inside
     ip virtual-reassembly
     no ip route-cache cef
     no ip route-cache
     half-duplex
    !
    interface Ethernet0/1
     ip address 112.112.112.2 255.255.255.0
     ip nat outside
     ip virtual-reassembly
     no ip route-cache cef
     no ip route-cache
     half-duplex
    !
    interface Ethernet0/2
     no ip address
     shutdown
     half-duplex
    !         
    interface Ethernet0/3
     no ip address
     shutdown
     half-duplex
    !
    router rip
     version 2
     network 10.0.0.0
     network 112.0.0.0
     no auto-summary
    !
    ip http server
    no ip http secure-server
    ip classless
    ip route 0.0.0.0 0.0.0.0 10.0.0.1
    !
    !
    ip nat pool deneme 112.112.112.10 112.112.112.10 netmask 255.255.255.0
    ip nat inside source list 1 pool deneme overload
    !
    access-list 1 permit 192.168.1.0 0.0.0.255 log
    !
    
    alinan sonuc:
    
    R2#
    *Mar  1 01:12:04.571: %SEC-6-IPACCESSLOGNP: list 1 permitted 0 0.0.0.0 -> 192.168.1.1, 1 packet 
    R2#
    *Mar  1 01:14:53.675: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.3 [90]
    *Mar  1 01:14:53.775: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.1 [90]
    *Mar  1 01:14:53.847: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.3 [91]
    *Mar  1 01:14:53.855: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.1 [91]
    *Mar  1 01:14:53.867: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.3 [92]
    *Mar  1 01:14:53.883: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.1 [92]
    *Mar  1 01:14:53.903: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.3 [93]
    *Mar  1 01:14:53.919: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.1 [93]
    R2#
    *Mar  1 01:14:53.931: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.3 [94]
    *Mar  1 01:14:53.939: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.1 [94]
    
    R2#sh ip nat translations 
    Pro Inside global      Inside local       Outside local      Outside global
    icmp 112.112.112.10:18 192.168.1.1:18     112.112.112.3:18 112.112.112.3:18
    R2#
    
    R2#
    *Mar  1 01:16:15.467: %SEC-6-IPACCESSLOGNP: list 1 permitted 0 0.0.0.0 -> 192.168.1.2, 1 packet 
    *Mar  1 01:16:15.471: NAT: s=192.168.1.2->112.112.112.10, d=112.112.112.3 [95]
    *Mar  1 01:16:15.535: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.2 [95]
    *Mar  1 01:16:15.631: NAT: s=192.168.1.2->112.112.112.10, d=112.112.112.3 [96]
    *Mar  1 01:16:15.683: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.2 [96]
    *Mar  1 01:16:15.723: NAT: s=192.168.1.2->112.112.112.10, d=112.112.112.3 [97]
    *Mar  1 01:16:15.791: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.2 [97]
    *Mar  1 01:16:15.827: NAT: s=192.168.1.2->112.112.112.10, d=112.112.112.3 [98]
    *Mar  1 01:16:15.843: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.2 [98]
    R2#
    
    R2#sh ip nat tra
    Pro Inside global      Inside local       Outside local      Outside global
    icmp 112.112.112.10:19 192.168.1.2:19     112.112.112.3:19   112.112.112.3:19
    Iyi gunler

  8. #18
    kasikcielmasi Guest

    Standart

    Yaman Bey çok güzel anlatmışsınız teşekkürler bunu hemen packet tracer da oluyorsa bir deniyim ve üzerine bir çalışma yapımm,çok teşekkürler,çok önemli bilgiler.

  9. #19
    kasikcielmasi Guest

    Standart

    Üstadlar sorum size bayağı bir kolay gelebilir ama kafam karıştı,Şekildeki server lar gerçek hayatta router a ne gibi fiziksel bağlantı ile bağlılar,Serverlar ile router arasında bir switch mi var?Ethernetten mi bağlılar,loopback mantıksal bir şey degilmi?teşekkürler.

  10. #20
    newbie Guest

    Standart

    öncelikle yardımlar ve bilgiler için teşekkürler. özellikle yaman bilgi açısından zengin bi döküman yazmış hiç bişey anlamadım . yaman'ın yazdığı aynı networkteki iki ipnin farklı iplere natlanması gibi görünüyor (tabi ki tek yapılan bu değil) ama benim istediğim farklı networkleri farklı iplere statik olarak natlamak. bu konuyu daha çok incelersem birşeyler yapabilirim tabi ki.

    benim gns3 topolojimi de buraya ekliyorum. burner çalışıyor diyor ama çalıştıramadım. herneyse, ayıracak vakti olanlar çalışmamdaki konfigürasyonu düzeltip tekrar buraya ekleyebilirler...

    hepinize tekrar tekrar teşekkürlerimi sunarım.
    Eklenmiş Dosya Eklenmiş Dosya
    • Dosya tipi: rar nat.rar‎ (2.7 KB (Kilobyte), 699 kez indirilmiştir)

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok