Ön Bilgi : Nat yapılacak ip adresleri Private olmak zorundadır. Peki nedir Private ip adresleri

10.0.0.0 ile 10.255.255.255

172.16.0.0 ile 172.31.255.255

192.168.0.0 192.168.255.255 arasındadır.

Static Nat: Her bir hostu dışarda dolaşacağı ip aralığını static olarak belirliyoruz. Yani bir pc içerdeki ip sini dışardaki bir ip ye natlıyoruz.

Bakanlıkta bunun örneğini firewall üzerinde gerçekleştiriyoruz.

Örneğin mail sunucularını firewall üzerinde iç iplerini her birini bir tane dış ip ye yönlendiriyoruz. Böylece mail sunucusunun yaptığı mail alışveriş trafiği sadece bu ip üzerinden gerçekleşmiş oluyor.

Aşağıda static natın configurasyonu yer alıyor.

Config# interface gigabitethernet 0/1

Config-if# ip adress 209.165.201.1. 255.255.255.240

Config-if# İp nat outside

Config-if# Exit

Yukarıda routerın interfaceinden birini outside olarak ayarlıyoruz.

Aşagıda da routerın interfaceinden birini inside olarak tanımlıyoruz.

Config# interface gigabitethernet 0/0

Config-if# ip adress 10.1.1.1 255.255.255.0

Config-if# İp nat inside

Config-if# Exit

Config# ip nat inside source static 10.1.1.2 209.165.201.5 =>Bu satırda içerdeki bir hostun ip sinin dışarda hangi ip ile çıkacağını belirttik.

Static natın çalışıp çalışmadığını nasıl anlarız.

#show ip nat translations

Inside local: bizim iç bacaktan çıktığımız ip ve port

İnside global: bizim dış bacaktan çıktığımız ip ve port

Outside local,Outside global: bu da eriştiğimiz sunucunun iç ve dış ip adresleri

Yukarıda yapılan işlemde bizim hostun dışardaki bir hoşta telnet yaptığını anladık çünkü eriştiğimiz outside local deki port 23. Eğer hiç erişim yapmasaydık bir yere bağlanmasaydık sadece en alttaki satırı görecektik.

Dynamic Nat: İçerdeki belli bir ip grubunu, telekomdan aldığım belli bir ip grubu ile çıkartmak.

Aşağıda yine iç bacağa bir network tanımladık inside olarak, dış bacağa da bir network tanımladık outside olarak.

 En üsteki Access-list in amacı sadece bu Access liste takılanları nata uğratacağız. Bunun için önce bir Access list yazdık

Wild cart mask nasıl yazılıyordu hatırlayalım

10.1.1.0 networkunün 0.0.0.255 wide cart mask adreslerindeki 0 lar bire bir aynı olsun demek yani 10.1.1 networküne sahip olanlar olsun.  Sondaki 255 ise son okteti ne olursa olsun 1 den 254 de kadar. Böylece 254 clientı kapsayabiliyoruz.

İkinci satırda da bir pool oluşturduk. Bu poolu tanımlamadaki amaç servis provider dan aldığımız adresi belirtmek yani benim aldığım ip adres aralığı çok büyük de olabilir ama ben burda sadece 5 adresten iç ip leri dışarıya çıkartmak istiyorum. Bu yüzden pool oluşturuyoruz.

 Kodun yorumu

NAT- POOL isim önemli değil Ahmet Mehmet yaz. Sonrası da aralık yani başlangıç ve bitiş iplerini  ve subnetini yazdık.

En alttaki satırda ise translation komutu

İp nat inside source =içerdekileri nata uğrat demek

Source list 1: kaynağın ise list 1 olsun yani burdakileri natlayacaksın demek.

Pool NAT- POOL = bu nat pooldaki adresleri kullanarak natla

Böyle ce 5 adet makinayı internete çıkartabiliyoruz buradaki soru 6 ve 7. Makinalar internet çıkabilir mi öğrenmeliyim.

Çalıştığını görmek için Show ip nat translations

Burada ilk trafik yapan ip 201.5 i alır

Pat: İçerde birden fazla ip var ancak dışarıya tek ip ile çıkılmasını istiyoruz.

Burda port adres translations yapılıyor .İçerdeki iki host dışarıya aynı ip adresiyle çıkar ancak burda belirleyici olan port numarasıdır.

İçerdeki ip adresi farklı ancak aynı port numarası ile dışarıya çıkmaya çalışan iki hosttan birinin portunu router kendi bir port numarası belirleyerek gönderir. Bu işleme pat denir.

Aşağıdaki resimde 10.1.1.100 ve 10.1.1.101 local adresler ikisi de aynı porta sahiptir ancak dışarıya çıkarken aynı ip adresi ile çıkmaları gerektiğinden router inside global adress te bunlardan birinin port numarasını 1724 yapmıştır.

Pat configuration :

İlk satırda inside tarafında hangi networkü natlayacağımızı belirtmek için Access list tanımlıyoruz.

Sonraki adımlarda yine inside ve outside tanımlanır.

Son satırda is ip nat inside source list 1 = inside tarafını natla kaynağın ise list 1 olsun

Natlayacağın yer ise interface gi 0/1 olsun ve overload yap yani haddinden fazla yükle yani ne kadar ip gelirse gelsin hepsini translate et

Overload yapmazsak sadece 1 ip yi çevirir.

Peki kaç makinayı bu şekilde bir pat işlemine dahil edebiliriz. Bir client hiç bişey yapmasa 10 portu kullanır. 60000 port var pc de 10 a bölsek 6 bin insanı pata dahil edebiliriz gibi.

Troubleshooting:

1.       Show komutları dinamiktir cpu yormaz

#debug ip nat => burada real time yani live trafiği gösteriyor.

Network yoğunluğu çok olan bir routerda debug ı açtığımızda cihazın gücünün yetip yetmeyeceğine dikkat tmek gerekir.

Debug kapatmak için #no debug all  demek gerekiyor.

2.       Show ip statistic komut ile kaç translation yapmış router bunu tespit edebiliyoruz. Böylece çalışıp çalışmadığını da tespit etmiş oluyoruz.

              Total translation: 5 (0 statci 5 dynamic,  5 extended) gibi