Cisco NAT NVI Konfiguration

Als Alternativkonfiguration zu ip nat inside/ip nat outside besteht die Möglichkeit, den via NAT umzuschreibenden Datenverkehr durch ein virtuelles NAT-Interface zu schieben.

Beispielkonfigurationsausschnitt

interface Vlan1
 description LAN/Inside
 ip address 192.168.1.1 255.255.255.0
 ip nat enable
!
interface Vlan2
 description WAN/Outside
 ip address 217.36.75.33 255.255.255.240
 ip nat enable
!
ip nat pool NATPOOL 217.36.75.33 217.36.75.33 netmask 255.255.255.252 add-route
ip nat source list NAT pool NATPOOL overload
!
ip access-list extended NAT
deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255
deny   ip 192.168.1.0 0.0.0.255 172.16.0.0 0.15.255.255
deny   ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255
permit ip 192.168.1.0 0.0.0.255 any

Durch den (impliziten) Parameter add-route wird eine statische Route für das Outside-Interface angelegt, welche auf NVI0, das Virtual-NAT-Interface zeigt.

Vorteile

• Kein ip virtual-reassembly in den Interfaces: Die Reassembly wird auch bei mehreren inside-Interfaces und Datenverkehr zwischen diesen Netzen angewendet. Je nach dem schafft ein Router dann nicht die gewünschte Rate an Datenverkehr.^[1]

Nachteile

• Wenige Konfigurationsbeispiele, Parameter nicht so ganz klar:
  • Bei einer einzigen Adresse zur Einwahl müsste eine Netzmaske von /32 benutzt werden. Diese wird aber vom Exec zurückgewiesen: Man müsse mindestens ein /30 zuweisen.
  • Ein Test mit IOS 15 auf einem Cisco 876 mit einem VLAN-Interface für extern hat gezeigt: Es funktioniert. Ein zweiter Test mit 12.4.15T14 auf einem Cisco 3661 mit mehreren insides und Dialer für outside schlug fehl. Test 3 wie 1, nur mit 12.4.24T5: OK.

Weblinks

• Cisco.com: NAT Virtual Interface

Fußnoten