Інструкція користувача

Як точно налаштувати NAT (трансляція мережевих адрес) у маршрутизаторі через інтерфейс командного рядка (CLI) за допомогою команди ip static?

1. Опис та використання команди 'ip static'

Ця команда дозволяє створити статичну прив'язку локальних IP-адрес до глобальних. Якщо interface або network відповідає інтерфейсу з публічним рівнем безпеки (параметр security-level public встановлено в налаштуваннях інтерфейсу в CLI), буде виконано трансляцію адреси призначення (DNAT). Якщо to-address відповідає інтерфейсу з публічним рівнем безпеки, буде виконано трансляцію вихідної адреси (SNAT).

Номер порту TCP/UDP завжди вважається портом призначення.

Якщо network дорівнює одній адресі, і ця адреса дорівнює to-address, це правило заборонятиме трансляцію вказаної адреси, яка могла б бути виконана на основі вказаних правил ip nat.

2. Синтаксис команди 'ip static'

ip static [ <protocol>] ( <interface› | ( <address> <mask>) ) ( <port> through <end-port> (<to-address> | <to-host> | <to-interface>) | <port> (<to-address> | <to-host> | <to-interface>) [<to-port>] | <to-address> | <to-host> | <to-interface>)

Правило може працювати або для одного з двох протоколів (tcp або udp), або для всіх протоколів (включаючи icmp). Якщо тип протоколу tcp або udp не вказано, то в синтаксисі неможливо вибрати номер порту.

Розглянемо найпоширеніші приклади налаштування DNAT за допомогою команди ip static.

Приклад 1. У локальній мережі є сервер з IP-адресою 192.168.1.33, до якого необхідно організувати доступ у межах зазначеного діапазону портів. Після створення правила будь-який запит на зовнішню IP-адресу маршрутизатора через порти TCP з 10000 до 20000 буде перенаправлено на локальний сервер.

Переадресація діапазону портів TCP призначення із зовнішнього інтерфейсу на хост у локальній мережі:

ip static tcp ISP 10000 through 20000 192.168.1.33

Це правило переадресовуватиме порти TCP з 10000 до 20000 на IP-адресу 192.168.1.33.

Приклад 2. У локальній мережі є IP-камера з адресою 192.168.1.33, до якої потрібно отримати доступ через порт UDP 554 для перегляду потокового відео. У програмі для відтворення відео потрібно буде відкрити адресу rtsp://WAN_IP:554.

Переадресація одного порту UDP призначення із зовнішнього інтерфейсу на хост у локальній мережі:

ip static udp ISP 554 192.168.1.33

Це правило переадресовуватиме порт UDP 554 на локальну IP-адресу 192.168.1.33.

Приклад 3. У локальній мережі є кілька пристроїв, які мають однаковий порт керування, і вам потрібно налаштувати віддалений доступ до кожного з них. Неможливо відкрити один і той самий зовнішній порт для різних хостів одночасно, тому потрібно налаштувати правила так, щоб клієнти, які звертаються до різних зовнішніх портів, направлялися на необхідний пристрій у локальній мережі.

Трансляція одного зовнішнього порту призначення TCP в інший порт призначення в локальній мережі:

ip static tcp ISP 8080 192.168.1.1 80

Це правило переспрямовує трафік, що надходить на зовнішній інтерфейс на порт 8080, на маршрутизатор на порт 80.

Приклад 4. У локальній мережі є сервер з IP-адресою 192.168.1.33, до якого необхідно надати доступ за всіма портами.

Трансляція запитів на будь-якому зовнішньому порту на хост у локальній мережі (DMZ, відкритий сервер)

ip static ISP 192.168.1.33

3. Нижче наведено найпоширеніші приклади налаштування SNAT за допомогою команди 'ip static':

Приклад 1. Інтернет-провайдер надає дві публічні IP-адреси, і домашня підмережа Home повинна підключатися через одну IP-адресу, а гостьова підмережа Wi-Fi — через іншу.

Підключення локальної мережі маршрутизатора через глобальний інтерфейс із певною IP-адресою:

ip static Home 180.100.100.10

Це правило буде застосовуватися до всіх пакетів, що надходять з локальної мережі (Home) до всіх глобальних інтерфейсів (опція Використовувати для виходу в Інтернет увімкнена в налаштуваннях інтерфейсу), а вихідна IP-адреса буде замінена на 180.100.100.10.

Приклад 2. Постачальник послуг Інтернету надає дві загальнодоступні IP-адреси. У локальній мережі є сервер, і його потрібно опублікувати в Інтернеті з власною IP-адресою, тоді як решта мережі публікується через другу IP-адресу.

Виведення одного хоста з локальної мережі в глобальну мережу з певною IP-адресою (1-to-1 NAT):

ip static 192.168.1.33 255.255.255.255 180.100.100.10

Це правило працюватиме лише для локального хоста 192.168.1.33, і він виходитиме через глобальний інтерфейс з адресою 180.100.100.10. Решта локальної підмережі працюватиме відповідно до правила ip nat Home і виходитиме в глобальну мережу з вихідною IP-адресою, зареєстрованою на зовнішньому інтерфейсі.

<config> interface ISP
<config-if> ip alias 180.100.100.10 255.255.255.255

Приклад 3. У локальній мережі є сервер з IP-адресою 192.168.1.33, який повинен мати доступ до зовнішньої мережі з власною IP-адресою для класичної маршрутизації (без NAT).

Вимкнення правила SNAT для хоста в локальній мережі:

ip static 192.168.1.33 255.255.255.255 192.168.1.33

Це правило дозволяє локальному хосту з адресою 192.168.1.33 та маскою 255.255.255.255 отримувати доступ до глобальних інтерфейсів (WAN) зі своєю локальною IP-адресою. Решта локальної підмережі працюватиме відповідно до правила ip nat Home і буде підключатися до глобальної мережі з вихідною IP-адресою, зареєстрованою на зовнішньому інтерфейсі.

ip static Home ISP