همیشه نمی توان Policy NAT را با extended access-list انجام داد. به عنوان مثال وقتی می خواهید بگویید اگر ترافیک از روی اینترفیس خاصی خارج شد، NAT اتفاق بیفتد. خارج شدن ترافیک از روی یک اینترفیس خاص با ابزار access-list قابل پیاده سازی نیست. اتفاقا این سناریو بسیار نیز پر کاربرد است.
وقتی مدیر شبکه تصمیم می گیرد که ترافیک اینترنت را از ISP خاصی خارج کند و ترافیک از هر مسیری که خارج می شود روی همان مسیر بازگردد، کاربرد این سناریو بروز می کند.
به این جملات توجه کنید: " ترافیک های اینترنتی که از ISP1 خارج می شود باید از ISP1 بازگردد و ترافیک هایی که از ISP2 خارج می شوند، باید از ISP2 بازگردند" و یا بر عکس"ترافیک هایی که از ISP1 خارج می شوند باید از ISP2 بازگردند و ترافیک هایی که از ISP2 خارج می شوند باید از ISP1 بازگردند" نمونه هایی از کاربرد NAT بر اساس مسیر خروجی را نشان می دهد. چگونه؟
مسیر خروج ترافیک بر اساس مسیریابی در روتر تعیین می شود. اما با NAT می توان مسیر ورودی ترافیک را تعیین نمود. بدین ترتیب که وقتی ترافیک خروجی به آدرسی از ISPx، NAT می شود حتما از ISPx باز می گردد زیرا آن آدرس از ISP های دیگر دیده نمی شود.
همانطور که گفته شد نمی توان این نوع سیاست گذاری در NAT را با extended access-list پیاده سازی نمود. در چنین شرایطی از route-map در سیاست گذاری NAT استفاده خواهد شد.
در مثال زیر اگر مشخصات ترافیک با access-list 101 مطابقت داشته باشد و همچنین این ترافیک از اینترفیس eth0/1 خارج شود، آنگاه آدرس مبدا ترافیک به آدرس اینترفیس خروجی eth0/1، NAT خواهد شد که تضمین می کند ترافیک از همین مسیر یعنی eth0/1 بازگردد.
|
route-map TEST permit 10 match ip address 101 match interface eth0/1 ! ip nat inside source route-map TEST interface eth0/1 overload |
Policy based NAT با ابزار route-map و کاربرد آن در redundancy اینترنت
چگونه از ابزار Policy NAT with route-map در redundancy اینترنت استفاده می شود؟ قبلا چگونگی پیاده سازی redundancy اینترنت با ابزار "تاثیر خروجی IP SLA در مسیریابی static" در همین فصل نشان داده شده است. اگر به خاطر داشته باشید بخشی از اجرای این سناریو به NAT وابسته بوده است. در ذیل مثال دیگری می آوریم که کاریرد NAT را در ایجاد redundancy اینترنت نشان می دهد. در این مثال فرض کنید که به صورت پیش فرض ترافیک LAN به اینترنت از ISP1 خارج می شود. چنانچه اینترنت اول قطع شود، ترافیک به ISP2 هدایت خواهد شد.
Policy based NAT با ابزار route-map و کاربرد آن در redundancy اینترنت
برای پیاده سازی این سناریو دو گام اصلی زیر باید صورت گیرد:
گام اول: دو مسیر default یکی به ISP1 و دیگری به ISP2 روی روتر GW ایجاد می گردد. مسیر default به ISP2 با distance و یا اولویت پایین تر نوشته می شود تا به صورت پیش فرض همه ترافیک های اینترنت از ISP1 خارج شوند. در ذیل شیوه پیاده سازی آن نشان داده شده است
|
!!! towards ISP1 ip route 0.0.0.0 0.0.0.0 12.1.1.1 ;; towards ISP2 ip route 0.0.0.0 0.0.0.0 12.1.2.1 10 |
ایجاد دو مسیر مختلف با اولویت های مختلف برای اینترنت
گام دوم: در گام دوم با ابزار NAT تعیین می کنیم که ترافیک خروجی از ISP1 حتما باید از ISP1 بازگردد و همچنین ترافیک خروجی از ISP2 نیز حتما باید از ISP2 بازگردد. برای پیاده سازی این بخش از سناریو به صورت زیر عمل می کنیم.
|
interface Ethernet0/0 ip nat inside ! interface Ethernet0/1 ip nat outside ! interface Ethernet0/2 ip nat outside ! route-map TOWARDS-ISP2 permit 10 match interface Ethernet0/2 ! route-map TOWARDS-ISP1 permit 10 match interface Ethernet0/1 ! ip nat inside source route-map TOWARDS-ISP1 interface Ethernet0/1 overload ip nat inside source route-map TOWARDS-ISP2 interface Ethernet0/2 overload |
بکارگیری route-map در NAT و کاربرد آن در redundancy اینترنت
در ذیل نشان داده شده است که پیش فرض ترافیک از ISP1 به اینترنت خارج می شود و در صورت قطع لینک به ISP1، ترافیک به ISP2 جابجا می شود. این جابجایی همه در حوزه مسیریابی و هم در حوزه NAT صورت می گیرد.
|
PC1#traceroute 7.7.7.7 Type escape sequence to abort. Tracing the route to 7.7.7.7 1 192.168.1.1 0 msec 0 msec 4 msec 2 12.1.1.1 0 msec 0 msec 4 msec 3 13.1.1.2 0 msec 8 msec * ! GW#sh ip nat translations Pro Inside global Inside local Outside local Outside global icmp 12.1.1.2:1 192.168.1.10:1 7.7.7.7:1 7.7.7.7:1 ! GW(config)#interface ethernet 0/1 GW(config-if)#shutdown ! PC1#traceroute 7.7.7.7 Type escape sequence to abort. Tracing the route to 7.7.7.7 1 192.168.1.1 0 msec 4 msec 0 msec 2 12.1.2.1 0 msec 4 msec 4 msec 3 13.1.2.2 4 msec 4 msec * |
نمایش خروجی redundancy اینترنت
مکانیزم Query and Reply در EIGRP 
مکانیزم Feasible Successor در EIGRP 
مروری بر GRE Tunnel و پیاده سازی آن 
آدرس دهی IPv6 
مدیریت MTU در GRE Tunnel