NAT Konfigurasyonu

burner · 08.10.2008, 16:03

newbie Nickli Üyeden Alıntı

önerileriniz için teşekkürler.
bir interface'e, biri inbound, diğeri outbound olmak üzere iki access-list atıyabiliyoruz diye biliyordum. dediğini yapmaya çalıştım ancak interface'e,
"#ip access-group 1 in" komutunu verdiğimde daha önceki atadığım access-list 2 siliniyor

. bu konfigürasyon mantığıyla bu istediğim yapılamıyorsa diğer yöntemleri de öğrenmeye açık bi insanım

, access-group u neden kullaniyorsun anlayamadim ....Neyse acl leri nat translationlari icin yaratiyoruz orada kullanmaniz icin...Interfaceye uygulamaniz icin degil, bildiginiz dogru one acl in and one acl out yapabilirsiniz ayni interfacede...ama buradaki acl in int ile alakasi yok
interfaceler altinda yapmaniz gereken bir komut var; ip nat out, yada ip nat out
oki...

Kod:

                      
                                | bu okun ucundaki 1 acl 1 oluyor,
                                V
ip nat inside source list 1 pool natPOOL1 overload

newbie · 10.10.2008, 10:18

burner Nickli Üyeden Alıntı

, access-group u neden kullaniyorsun anlayamadim ....Neyse acl leri nat translationlari icin yaratiyoruz orada kullanmaniz icin...Interfaceye uygulamaniz icin degil, bildiginiz dogru one acl in and one acl out yapabilirsiniz ayni interfacede...ama buradaki acl in int ile alakasi yok
interfaceler altinda yapmaniz gereken bir komut var; ip nat out, yada ip nat out
oki...

Kod:

                      
                                | bu okun ucundaki 1 acl 1 oluyor,
                                V
ip nat inside source list 1 pool natPOOL1 overload

interface'e uyguladığım access-listi interface'den kaldırdığımda router nat yapmıyor. tekrar attach ettiğimde nat tekrardan çalışmaya başlıyor...

**yaman** · 10.10.2008, 14:01

Simdi benim kafam karisti, senin interfacedeki ACL'in amaci nedirde NAT tercumesi etkilisin. Burner'in dedgi gibi senin kullandigin her hangi ACL sadece tercume isleminde 1 blok IP adresi yakalyip cevirme yapmak istedigin IP address blogu icin olmalidir.

Yane ne bileyin

access-list 100 permit ip 10.0.0.0 0.0.0.255 any

ip nat pool TEST 205.15.25.1 205.15.25.254 prefix-length 24
ip nat inside source list 100 pool TEST <<<Opsiyon olarak "overload" yazip PAT yapilabilir>>>

ACL 100'un isi bukadar #######

newbie · 10.10.2008, 16:58

hocam natlayan routerdaki ilgili konfigürasyon :

Kod:

interface FastEthernet1/0
 ip address 10.0.0.2 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet1/1
 ip address 112.112.112.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
ip nat pool deneme 112.112.112.10 112.112.112.10 netmask 255.255.255.0
ip nat inside source list 1 pool deneme overload
!
access-list 1 permit 192.168.1.0 0.0.0.255 log

şu halde 112.112.112.2'ye (natlayanın ötesinde olan router) 192.168.1.0 networkunden ping atıyorum:

Kod:

natlanan#ping 112.112.112.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 112.112.112.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

ve şimdi access-list 1'i natlayan routerdaki fast ethernet 1/0'a attach ediyorum ve bu sırada da natlayan routerda "debug ip nat" komutu çalışıyor ve natlanan routerdan ping atılıyor:

Kod:

natlayan(config-if)#ip access-group 1 in
natlayan(config-if)#
*Oct 10 16:54:41.079: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.2 [75]
*Oct 10 16:54:41.655: NAT*: s=112.112.112.2, d=112.112.112.10->192.168.1.1 [75]
*Oct 10 16:54:41.947: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.2 [76]
*Oct 10 16:54:42.123: NAT*: s=112.112.112.2, d=112.112.112.10->192.168.1.1 [76]
*Oct 10 16:54:42.455: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.2 [77]
*Oct 10 16:54:42.611: NAT*: s=112.112.112.2, d=112.112.112.10->192.168.1.1 [77]
*Oct 10 16:54:42.859: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.2 [78]
*Oct 10 16:54:43.043: NAT*: s=112.112.112.2, d=112.112.112.10->192.168.1.1 [78]
*Oct 10 16:54:43.331: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.2 [79]
*Oct 10 16:54:43.395: NAT*: s=112.112.112.2, d=112.112.112.10->192.168.1.1 [79]

yani diyorum ki access-listi interface'e attach etmeden cihaz nat yapmıyor. hal böyle olunca da 2 farklı networku 2 farklı ip'ye statik olarak natlayamıyorum

**ipek** · 10.10.2008, 17:50

bilgilerinizden dolayı çok teşekkür ederim..

**yaman** · 11.10.2008, 02:07

Eger gorsel olarak anlatim anlamak isterseniz, grafike bakiniz. "Grafik en altta, ve .doc formatinda"

Static PAT Overloading, simdi sen musterisin, senin IP adres blogun, ozel IP adresi blogu 192.168.1.0/24, ve farz etki ikitane serverin var 192.168.1.1 ve 192.168.1.2, yane bu serverler hayali olarak loopback 0 ve loopback 1 interfacelerine bagli. Ve bu interfacelerde IP NAT INSIDE komutu var

interface Loopback0
ip address 192.168.1.1 255.255.255.255<<<<SERVER 1>>>>
ip nat inside
ip virtual-reassembly
!
interface Loopback1
ip address 192.168.1.2 255.255.255.255<<<<SERVER 2>>>>
ip nat inside
ip virtual-reassembly

Sen bu serverlerin IP adreslerini PAT yapmak istiyorsun, ama durum su ki, senin 2 tane ISP baglantin var eger server 1'e ISP_1'den bgalanan olursa bu serverin dis bacak IP adresi 100.100.100.10 olacak, yok eger ISP_2'den baglanan olursa server 1'in adresi 200.200.200.10 olacak.

Ayni sekilde eger server 2'ye ISP_1'den baglanan olursa Server 2'nin dis bacak IP adresi yine ayni sekilde 100.100.100.10 olacak ve tekrar ISP_2'den server 2'ye baglanan olursa server 2'nin IP adresi 200.200.200.10 olucak, bu sekilde 2 server arasinda ayni IP adres uzerinden load balancing, yapabilirsin.

Bu islem icin 2 tane loopback daha ayarla, ayni alt kisimdaki gibi loopback 100 ve 200. Bu loopback'ler NAT/PAT tercume isleminde kulanilmak icin ayarlanmis "oyuncak adresler".

interface Loopback100
ip address 100.100.100.10 255.255.255.255
!
interface Loopback200
ip address 200.200.200.10 255.255.255.255

Sen her iki ISP'ye point-to-point sub-interfacelerle baglisin, senin ISP_1 baglantisi icin dis adresin 100.100.100.2 ve ISP_2 icin dis adresin 200.200.200.2. NOT bu dis adresleride loopback 100 ve 200 yerine kullanabilrdin ama, kafan karismasin diye ben loopbacklerde ayarladim. Bu interfacelerde IP NAT OUTSIDE komutu var

!
interface Serial0/0
no ip address
encapsulation frame-relay
!
interface Serial0/0.1 point-to-point
ip address 100.100.100.2 255.255.255.252
ip nat outside
ip virtual-reassembly
snmp trap link-status
frame-relay interface-dlci 102
!
interface Serial0/0.2 point-to-point
ip address 200.200.200.2 255.255.255.252
ip nat outside
ip virtual-reassembly
snmp trap link-status
frame-relay interface-dlci 103
!

ISP'lerle baglantini diyelimki EIGRP uzuerinden yapiyorsun, bu baglanti her hangi bir IGP veya EGP yonlendirme protokolu olabilir, ama ben EIGRP kullandim her neyse, EIGRP'yi iki ayri islem ISP_1 baglantisi icin EIGRP 100 islemini kullandim, ISP_2 icinde EIGRP 200 islemini kullandim.

!
router eigrp 100
redistribute connected route-map EIGRP_CONNECTED
network 100.100.100.2 0.0.0.0
no auto-summary
eigrp router-id 0.0.0.1
!
router eigrp 200
redistribute connected route-map EIGRP_CONNECTED
network 200.200.200.2 0.0.0.0
no auto-summary
eigrp router-id 0.0.0.1
!

Simdi gelelim PAT islemine, ACL 1 senin ic adres blogun 192.168.1.0/24'u yakaliyor, ACL 2 ISP_1'in adresini yakaliyor ve ACL 3 ISP_2'in adresini yakaliyor

!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 permit 100.100.100.1
access-list 3 permit 200.200.200.1
!

Asagideki, route-map da diyorki, eger ACL 1 takilan 1 adres varsa (yane senin ic IP adres bolugundan herhangi bir adres), ve bu adresin gidis yonu ISP_1'in adresi ise, bu paketi notla ve bu packet icin ayarlanmis komutlara bak, (biz bu paket icin PAT kumutunu verecegiz ama bekle).

route-map ISP_1_NAT permit 10
match ip address 1<<<ACL 1>>>
match ip next-hop 2<<<ACL 2>>>
!

Asagideki, route-map da diyorki, eger ACL 1 takilan 1 adres varsa (yane senin ic IP adres bolugundan herhangi bir adres), ve bu adresin gidis yonu ISP_2'in adresi ise, bu paketi notla ve bu packet icin ayarlanmis komutlara bak, (biz bu paket icin PAT kumutunu verecegiz ama yine bekle).

route-map ISP_2_NAT permit 10
match ip address 1<<<ACL 1>>>
match ip next-hop 3<<<ACL 3>>>
!

Gelelim sona Dogru, asagida PAT islemini baslatiyoruz, yane route-maplarin yakaladiklari paketlei simdi isleyecegiz, ISP_1_NAT'a takilan paketleri loopback 100'un IP addresi 100.100.100.10'a cevirecegiz. ISP_2_NAT'a takilan paketleri loopback 200'un IP addresi 200.200.200.10'a cevirecegiz.

ip nat inside source route-map ISP_1_NAT interface Loopback100 overload
ip nat inside source route-map ISP_2_NAT interface Loopback200 overload
!

Ve Son olarakta, eger EIGRP protokolunu ayarlarken yapmis oldumuz konfogurasyona bakarsa "redistribute connected route-map EIGRP_CONNECTED" komutu var, bunun sebebi ise iki yinlu routing calismasi ve ISP_lerin senin NAT edilmis IP adreslerinin dis bacagini taniyip yanit vermeleri icin. yane diyoruzki ISP_1 ve ISP_2 eger bana packet gondereceksen bende sadece loopback 100 ve 200 adreslirm var yoksa baska paket gonderme bana kardesim.

!
route-map EIGRP_CONNECTED permit 10
match interface Loopback100 Loopback200
!

Simdi yaptiklarimizi deneyelim ve gorelim; Bu islem icin ping (ICMP) paketlerini ic bacak adresi loopback 0 ve 1 den gonderecegizki ACL'ler paketleri isleyebilsin, yoksa paketler NAT'a takilmaz.

MUSTERI_NAT_ROUTER#ping 100.100.100.1 source 192.168.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/69/128 ms
################################################## ############################
MUSTERI_NAT_ROUTER#ping 200.200.200.1 source 192.168.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.200.200.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/93/172 ms
################################################## #############################
MUSTERI_NAT_ROUTER#ping 100.100.100.1 source 192.168.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/110/148 ms
################################################## ##############################
MUSTERI_NAT_ROUTER#ping 200.200.200.1 source 192.168.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.200.200.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/84/172 ms

################################################## ###############################

MUSTERI_NAT_ROUTER#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 100.100.100.10:12 192.168.1.1:12 100.100.100.1:12 100.100.100.1:12
icmp 200.200.200.10:13 192.168.1.1:13 200.200.200.1:13 200.200.200.1:13
icmp 100.100.100.10:14 192.168.1.2:14 100.100.100.1:14 100.100.100.1:14
icmp 200.200.200.10:15 192.168.1.2:15 200.200.200.1:15 200.200.200.1:15
MUSTERI_NAT_ROUTER#

Oley calsiti, iste bukadar. yoruldum be hay ben bu CISCO'nun beeeeeeeeeeeeeeeeeeeeeppppppp.

Biraz karman corman ama yanlis anlamdi isem senin senaryoya benzer birseyler yapmak istemissin. Tabi NAT bu kadarla sinirli degil daha neler neler varama uzun hikaye be daha kendim ogrenemedim bile

burner · 13.10.2008, 09:53

Slm;

Oncelikle Yaman arkadasimiza ben tesekkur etmek istiyorum, bu guzel aciklamasindan dolayi...
Ayni zamanda sizin configuration lariniz gayet guzel calisiyor..test ettim, geriye bir problem kaliyor oda sizin Routing iniz yanlis...sizin conf leri copy and paste ile benim routerlerde uyguladim gayet guzel calisiyor... Buda gosteriyorki routing de bir hataniz var...

Kod:

!
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip route-cache cef
 no ip route-cache
 half-duplex
!
interface Ethernet0/1
 ip address 112.112.112.2 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 no ip route-cache cef
 no ip route-cache
 half-duplex
!
interface Ethernet0/2
 no ip address
 shutdown
 half-duplex
!         
interface Ethernet0/3
 no ip address
 shutdown
 half-duplex
!
router rip
 version 2
 network 10.0.0.0
 network 112.0.0.0
 no auto-summary
!
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.1
!
!
ip nat pool deneme 112.112.112.10 112.112.112.10 netmask 255.255.255.0
ip nat inside source list 1 pool deneme overload
!
access-list 1 permit 192.168.1.0 0.0.0.255 log
!

alinan sonuc:

R2#
*Mar  1 01:12:04.571: %SEC-6-IPACCESSLOGNP: list 1 permitted 0 0.0.0.0 -> 192.168.1.1, 1 packet 
R2#
*Mar  1 01:14:53.675: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.3 [90]
*Mar  1 01:14:53.775: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.1 [90]
*Mar  1 01:14:53.847: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.3 [91]
*Mar  1 01:14:53.855: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.1 [91]
*Mar  1 01:14:53.867: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.3 [92]
*Mar  1 01:14:53.883: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.1 [92]
*Mar  1 01:14:53.903: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.3 [93]
*Mar  1 01:14:53.919: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.1 [93]
R2#
*Mar  1 01:14:53.931: NAT: s=192.168.1.1->112.112.112.10, d=112.112.112.3 [94]
*Mar  1 01:14:53.939: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.1 [94]

R2#sh ip nat translations 
Pro Inside global      Inside local       Outside local      Outside global
icmp 112.112.112.10:18 192.168.1.1:18     112.112.112.3:18 112.112.112.3:18
R2#

R2#
*Mar  1 01:16:15.467: %SEC-6-IPACCESSLOGNP: list 1 permitted 0 0.0.0.0 -> 192.168.1.2, 1 packet 
*Mar  1 01:16:15.471: NAT: s=192.168.1.2->112.112.112.10, d=112.112.112.3 [95]
*Mar  1 01:16:15.535: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.2 [95]
*Mar  1 01:16:15.631: NAT: s=192.168.1.2->112.112.112.10, d=112.112.112.3 [96]
*Mar  1 01:16:15.683: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.2 [96]
*Mar  1 01:16:15.723: NAT: s=192.168.1.2->112.112.112.10, d=112.112.112.3 [97]
*Mar  1 01:16:15.791: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.2 [97]
*Mar  1 01:16:15.827: NAT: s=192.168.1.2->112.112.112.10, d=112.112.112.3 [98]
*Mar  1 01:16:15.843: NAT*: s=112.112.112.3, d=112.112.112.10->192.168.1.2 [98]
R2#

R2#sh ip nat tra
Pro Inside global      Inside local       Outside local      Outside global
icmp 112.112.112.10:19 192.168.1.2:19     112.112.112.3:19   112.112.112.3:19

Iyi gunler

kasikcielmasi · 14.10.2008, 11:02

Yaman Bey çok güzel anlatmışsınız teşekkürler bunu hemen packet tracer da oluyorsa bir deniyim ve üzerine bir çalışma yapımm,çok teşekkürler,çok önemli bilgiler.

kasikcielmasi · 14.10.2008, 11:40

Üstadlar sorum size bayağı bir kolay gelebilir ama kafam karıştı,Şekildeki server lar gerçek hayatta router a ne gibi fiziksel bağlantı ile bağlılar,Serverlar ile router arasında bir switch mi var?Ethernetten mi bağlılar,loopback mantıksal bir şey degilmi?teşekkürler.

newbie · 14.10.2008, 17:21

öncelikle yardımlar ve bilgiler için teşekkürler. özellikle yaman bilgi açısından zengin bi döküman yazmış hiç bişey anlamadım

. yaman'ın yazdığı aynı networkteki iki ipnin farklı iplere natlanması gibi görünüyor (tabi ki tek yapılan bu değil) ama benim istediğim farklı networkleri farklı iplere statik olarak natlamak. bu konuyu daha çok incelersem birşeyler yapabilirim tabi ki.

benim gns3 topolojimi de buraya ekliyorum. burner çalışıyor diyor ama çalıştıramadım. herneyse, ayıracak vakti olanlar çalışmamdaki konfigürasyonu düzeltip tekrar buraya ekleyebilirler...

hepinize tekrar tekrar teşekkürlerimi sunarım.

Seçenekler

Konuda Ara

Görünüm

Nat

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz