14 Aralık 2009 Pazartesi

Dinamik NAT Konfigürasyonu

Bu yazımızda Cisco marka bir yönlendiricide dinamik NAT (Network Address Translation) ayarının nasıl yapıldığını göstermeye çalışacağız. Topolojimiz aşağıdaki gibi. ANKARA yönlendiricisine bağlı NAT yapacağımız iki adet ağımız var: 192.168.1.0/24 ağı ve 192.168.2.0/24 ağı. Amacımız; bu iki ağa ait olan IP adreslerini 171.69.238.208/28 ağına ait olan IP adreslerine dönüştürmek ve TRABZON yönlendiricisine bağlı olan 194.99.2.0/24 ve 192.11.33.0/24 ağlarına eriştirebilmek.

İlk olarak NAT yapılacak IP adres bloklarını belirlememiz gerekiyor. Bunun için yönlendiricimizin konfigürasyonuna aşağıdaki gibi bir erişim kontrol listesi girmemiz gerekiyor:

Router(config)#access-list 61 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 61 permit 192.168.2.0 0.0.0.255


Yukarıdaki 61 numaralı erişim kontrol listesine yazılmış olan IP adres bloklarına NAT uygulanacaktır.
Bundan sonra adres dönüşümlerinin yapılacağı adres havuzunun yönlendiricinin konfigürasyonunda aşağıdaki gibi belirtilmesi gerekiyor:

Router(config)#ip nat pool IP-HAVUZU 171.69.233.210 171.69.233.221 netmask 255.255.255.240

Yukarıdaki konfigürasyon satırında adres dönüşümlerinin yapılacağı IP adresi havuzunun ismi, "IP-HAVUZU" olarak belirtilmiştir. Sonra dönüşüm yapılacak adreslerin başlangıç ve bitiş IP adresleri belirtilmiştir. Yukarıdaki örnek için adres havuzunda bulunacak olan başlangıç IP adresi 171.69.233.210 ve bitiş IP adresi de 171.69.233.221 olarak belirtilmiştir.
Bundan sonra adres dönüşümü yapacağımız IP adreslerini IP adres havuzumuzla aşağıdaki gibi eşleştirmek olacaktır:

Router(config)#ip nat inside source list 61 pool IP-HAVUZU

Yukarıdaki konfigürasyon satırında söylenmek istenen şudur: 61 numaralı erişim kontrol listesine uyan IP paketleri "IP-HAVUZU" adı verilen IP havuzundan IP adres alacaktır. Yani 192.168.1.0/24 ve 192.168.2.0/24 IP adres blokları 171.69.233.210 ile 171.69.233.221 IP adres aralığında yer alan IP adreslerine dönüştürülecektir.
Bundan sonra yapılacak iş, arayüzlerin hangisinin "iç", hangisinin "dış" olduğunun belirlenmesidir. Toplojimize göre ANKARA yönlendiricisi üzerindeki 192.168.1.0/24 (FastEthernet 0/0) ve 192.168.2.0/24 (FastEthernet 0/1) ağları "iç ağ (inside)" ve dönüşüm yapılacak olan 171.69.233.208/28 (FastEthernet 0/2) ağı da "dış ağ (outside)" olacaktır. Aşağıda, yönlendiricide olması gereken arayüz ayarları gösterilmiştir:

ANKARA
!

interface FastEthernet 0/0

ip address 192.168.1.111 255.255.255.0
ip nat inside
!
interface FastEthernet 0/1
ip address 192.168.2.111 255.255.255.0
ip nat inside
!
interface FastEthernet 0/2
ip address 171.69.233.209 255.255.255.240
ip nat outside

192.168.1.0/24 ve 192.168.2.0/24 ağlarının 194.99.2.0/24 ve 192.11.33.0/24 ağlarına NAT yapılmış olarak erişebilmeleri için ANKARA yönlendiricisinde bu ağlar için aşağıdaki gibi yön girilmesi gerekir:

Router(config)#ip route 194.99.2.0 255.255.255.0 171.69.233.222
Router(config)#ip route 192.11.33.0 255.255.255.0 171.69.233.222

192.168.1.101 ve 192.168.2.101 IP numaralı bilgisayarlardan 194.99.2.101 ve 192.11.33.101 IP numaralı bilgisayarlara "ping" atıldığında bu ağların birbirleriyle görüşebildiği görülecektir.

ANKARA ve TRABZON yönlendiricilerinin NAT ve buna bağlı yönlendirme konfigürasyonları aşağıdaki gibi olacaktır:

ANKARA Yönlendiricisi

interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
ip nat inside
!
interface FastEthernet0/1
ip address 192.168.2.254 255.255.255.0
ip nat inside
!
interface FastEthernet1/0
ip address 171.69.233.210 255.255.255.240
ip nat outside
!
ip nat pool IP-HAVUZU 171.69.233.210 171.69.233.223 netmask 255.255.255.240
ip nat inside source list 61 pool IP-HAVUZU
!
ip route 194.99.2.0 255.255.255.0 171.69.233.222
ip route 192.11.33.0 255.255.255.0 171.69.233.222
!
access-list 61 permit 192.168.1.0 0.0.0.255
access-list 61 permit 192.168.2.0 0.0.0.255

****************************************************
TRABZON Yönlendiricisi

interface FastEthernet0/0
ip address 194.99.2.254 255.255.255.0
!
interface FastEthernet0/1
ip address 192.11.33.254 255.255.255.0
!
interface FastEthernet1/0
ip address 171.69.233.222 255.255.255.240
Not: Yukarıdaki toplojiye ait konfigürasyonlar "Packet Tracer 5.1" yazılımı üzerinde denenip, çalıştırılmış konfigürasyonlardır.