در روترهای سیسکو از نسخه ای به بعد ویژگی جدیدی به نام NAT NVI اضافه شد که در آن نیازی نیست تا بخش inside و outside روتر را مشخص نمایید. در روش قدیمی NAT وقتی ترافیک از inside به outside خارج می شود، عمل NAT و یا تغییر آدرس بعد از مسیریابی انجام می شود اما وقتی ترافیک از outside به inside وارد می شود،

ابتدا NAT انجام شده و سپس مسیریابی صورت می گیرد. در روش جدید NAT که NVI نام دارد، روی اینترفیس ها به جای استفاده از دستور ip nat inside و یا ip nat outside از دستور ip nat enable استفاده می شود. همچنین کلمات inside و outside از همه دستورات NAT حذف شده است. در NVI وقتی NAT را روی اینترفیسی فعال می کنید، بلافاصله اینترفیس مجازی با نام NVI به لیست اینترفیس های روتر اضافه می شود که با دستور show ip interface brief قابل مشاهده است (در ذیل نشان داده شده است). در این صورت هر گاه ترافیکی وارد روتر شود که نیاز به تغییر آدرس داشته باشد، ابتدا به اینترفیس NVI مسیریابی شده، و روی آن اینترفیس آدرس تغییر داده می شود و نهایتا ترافیک روی اینترفیس فیزیکی خروجی مسیریابی می شود. بنابراین ترتیب NAT در ورود و یا خروج ترافیک تفاوتی نخواهد داشت.

GW#sh ip int brief | exc unass

Interface                  IP-Address      OK? Method Status                Protocol

FastEthernet0/0            192.168.1.1     YES manual up                    up 

FastEthernet0/1            12.1.1.2           YES manual up                    up 

NVI0                               192.168.1.1     YES unset    up                    up  

ایجاد اینترفیس NVI در صورت فعال کردن NAT به شیوه جدید

در روش قدیمی NAT حداقل دو اینترفیس یکی به عنوان inside و دیگری به عنوان outside برای عملکرد صحیح NAT لازم است اما در روش جدید با توجه به ایجاد اینترفیس مجازی NVI، وجود یک اینترفیس برای تغییر آدرس ترافیک کافی است. هر چند استفاده از یک اینترفیس برای NAT خیلی کاربردی نیست.

ویژگی NAT NVI علی رغم مزیت های آن معایبی نیز دارد از جمله این که Stateful NAT را که در ادامه به آن می پردازیم، پشتیبانی نمی کند. همچنین در NVI نمی توان از route-map استفاده نمود. به نظر هم نمی اید که سیسکو قصد توسعه این ویژگی را داشته باشد. استفاده از این روش در سازمانها به صورت معمول پیشنهاد نمی شود مگر آنکه سناریوی خاصی مد نظر باشد.

پیشنهاد سیسکو در استفاده از NVI وقتی است که می خواهید ترافیک را بین VRF های مختلف NAT کنید. زمانی که ترافیک بین اینترفیس های یک VRF و یا اینترفیس های جدول مسیریابی اصلی جابجا می شود، استفاده از روش قدیمی NAT پیشنهاد می شود. مفهوم VRF در کتاب MPLS ارائه خواهد شد.

در ادامه شیوه پیاده سازی NAT را در Static NAT، Dynamic NAT و PAT با ابزار NVI نشان می دهیم. هر چند که استفاده از آن پیشنهاد نمی شود.

در ذیل شیوه پیکربندی Static NAT با هر دو شیوه قدیمی و جدید نشان داده شده است. به جای استفاده از دستورات ip nat inside و ip nat outside در اینترفیس از دستور ip nat enable استفاده شده است. همچنین کلمات inside و outside از بقیه دستورات nat حذف شده است.

!!! پیاده سازی static NAT با شیوه قدیمی

interface Ethernet0/0

 ip nat inside

!

interface Ethernet0/1

 ip nat outside

!

ip nat inside source static 192.168.1.10 12.1.1.10

!

!!! پیاده سازی static NAT با شیوه جدید NVI

interface Ethernet0/0

 ip nat enable

!

interface Ethernet0/1

 ip nat enable

!

ip nat source static 192.168.1.10 12.1.1.10

!

پیاده سازی Static NAT با دو شیوه قدیمی و جدید

دستورات مانیتورینگ و رفع اشکال NAT نیز تا حدودی تغییر کرده است. بدین صورت که از کلمه nvi در دستورات مانیتورینگ استفاده شده است.

GW#sh ip nat nvi translations

Pro Source global      Source local       Destin  local      Destin  global

icmp 12.1.1.10:4       192.168.1.10:4     13.1.1.2:4         13.1.1.2:4

---      12.1.1.10          192.168.1.10       ---                ---

!

GW#sh ip nat nvi statistics

Total active translations: 2 (1 static, 1 dynamic; 1 extended)

NAT Enabled interfaces:

  FastEthernet0/0, FastEthernet0/1

Hits: 120  Misses: 96

CEF Translated packets: 108, CEF Punted packets: 0

Expired translations: 95

Dynamic mappings:

GW#deb

!

GW#debug ip nat nvi

IP NAT NVI debugging is on

ماتیتورینگ NAT در شیوه جدید

!!! پیاده سازی dynamic NAT با روش قدیمی

access-list 1 permit 192.168.1.0 0.0.0.255

!

ip nat pool DYNAMIC-POOL 12.1.1.20 12.1.1.21 netmask 255.255.255.0

!

ip nat inside source list 1 pool DYNAMIC-POOL

!

!!! پیاده سازی dynamic NAT با روش جدید NVI

access-list 1 permit 192.168.1.0 0.0.0.255

!

ip nat pool DYNAMIC-POOL 12.1.1.20 12.1.1.21 netmask 255.255.255.0

!

ip nat source list 1 pool DYNAMIC-POOL

مقایسه پیاده سازی dynamic NAT با دو شیوه قدیمی و جدید

!!! پیاده سازی PAT با روش قدیمی

ip nat inside source list 1 pool DYNAMIC-POOL overload

!

!!! پیاده سازی PAT با روش جدید NVI

ip nat source list 1 pool DYNAMIC-POOL overload

مقایسه پیاده سازی PAT با دو شیوه قدیمی و جدید

نوشتن دیدگاه


تصویر امنیتی
تصویر امنیتی جدید