Cisco NAT NVI Konfiguration: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
PoC (Diskussion | Beiträge) (→Beispielkonfigurationsausschnitt: Erklärung) |
(kein Unterschied)
|
Aktuelle Version vom 26. Juli 2011, 06:02 Uhr
Als Alternativkonfiguration zu ip nat inside/ip nat outside besteht die Möglichkeit, den via NAT umzuschreibenden Datenverkehr durch ein virtuelles NAT-Interface zu schieben.
Beispielkonfigurationsausschnitt
interface Vlan1 description LAN/Inside ip address 192.168.1.1 255.255.255.0 ip nat enable ! interface Vlan2 description WAN/Outside ip address 217.36.75.33 255.255.255.240 ip nat enable ! ip nat pool NATPOOL 217.36.75.33 217.36.75.33 netmask 255.255.255.252 add-route ip nat source list NAT pool NATPOOL overload ! ip access-list extended NAT deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255 deny ip 192.168.1.0 0.0.0.255 172.16.0.0 0.15.255.255 deny ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255 permit ip 192.168.1.0 0.0.0.255 any
Durch den (impliziten) Parameter add-route wird eine statische Route für das Outside-Interface angelegt, welche auf NVI0, das Virtual-NAT-Interface zeigt.
Vorteile
- Kein ip virtual-reassembly in den Interfaces: Die Reassembly wird auch bei mehreren inside-Interfaces und Datenverkehr zwischen diesen Netzen angewendet. Je nach dem schafft ein Router dann nicht die gewünschte Rate an Datenverkehr.[1]
Nachteile
- Wenige Konfigurationsbeispiele, Parameter nicht so ganz klar:
- Bei einer einzigen Adresse zur Einwahl müsste eine Netzmaske von /32 benutzt werden. Diese wird aber vom Exec zurückgewiesen: Man müsse mindestens ein /30 zuweisen.
- Ein Test mit IOS 15 auf einem Cisco 876 mit einem VLAN-Interface für extern hat gezeigt: Es funktioniert. Ein zweiter Test mit 12.4.15T14 auf einem Cisco 3661 mit mehreren insides und Dialer für outside schlug fehl. Test 3 wie 1, nur mit 12.4.24T5: OK.
Weblinks
Fußnoten
- ↑ Diese kann allerdings beim klassischen inside/outside-NAT auch mit no ip virtual-reassembly forciert abgeschaltet werden.