Kullanım Kılavuzu

ip static komutu kullanılarak komut satırı arayüzü (CLI) aracılığıyla bir Router'daki NAT (Ağ Adresi Çevirisi) ince ayarı nasıl yapılır?

1. 'ip static' komutunun açıklaması ve kullanımı

Bu komut, yerel IP adreslerinin genel IP adreslerine statik olarak bağlanmasını oluşturmanıza olanak tanır. Eğer interface veya network, genel güvenlik seviyesine sahip bir arayüze karşılık geliyorsa (CLI'daki arayüz ayarlarında security-level public parametresi ayarlanmışsa), hedef adres çevirisi (DNAT) gerçekleştirilecektir. Eğer to-address, genel güvenlik seviyesine sahip bir arayüze karşılık geliyorsa, kaynak adres çevirisi (SNAT) gerçekleştirilecektir.

TCP/UDP bağlantı noktası numarası her zaman hedef bağlantı noktası olarak kabul edilir.

Eğer network tek bir adrese eşitse ve bu adres to-address adresine eşitse, bu kural, belirtilen ip nat kurallarına dayanarak gerçekleştirilebilecek olan belirtilen adresin çevrilmesini yasaklar.

2. 'ip static' komutunun sözdizimi

ip static [ <protocol>] ( <interface› | ( <address> <mask>) ) ( <port> through <end-port> (<to-address> | <to-host> | <to-interface>) | <port> (<to-address> | <to-host> | <to-interface>) [<to-port>] | <to-address> | <to-host> | <to-interface>)

Kural, iki protokolden biri (tcp veya udp) veya tüm protokoller (icmp dahil) için çalışabilir. Eğer tcp veya udp protokol türü belirtilmemişse, sözdiziminde bir bağlantı noktası numarası seçmek mümkün değildir.

Şimdi ip static komutu ile en sık kullanılan DNAT yapılandırma örneklerini inceleyelim.

Örnek 1. Yerel ağda 192.168.1.33 IP adresine sahip bir sunucu bulunmaktadır ve bu sunucuya belirtilen bağlantı noktası aralığında erişim sağlanmalıdır. Kural oluşturulduktan sonra, Router'ın harici IP adresine TCP bağlantı noktaları 10000 ile 20000 arasında yapılan herhangi bir istek yerel sunucuya yönlendirilecektir.

Hedef TCP bağlantı noktası aralığını harici arayüzden yerel ağdaki bir ana bilgisayara yönlendirme:

ip static tcp ISP 10000 through 20000 192.168.1.33

Bu kural, TCP bağlantı noktalarını 10000 ile 20000 arasından 192.168.1.33 IP adresine yönlendirecektir.

Örnek 2. Yerel ağda 192.168.1.33 adresli bir IP kamera bulunmaktadır ve bu kameraya akış videosunu görüntülemek için UDP bağlantı noktası 554 üzerinden erişilmesi gerekir. Video oynatma programında rtsp://WAN_IP:554 adresini açmanız gerekecektir.

Tek bir UDP hedef bağlantı noktasını harici arayüzden yerel ağdaki bir ana bilgisayara yönlendirme:

ip static udp ISP 554 192.168.1.33

Bu kural, UDP bağlantı noktası 554'ü yerel IP adresi olan 192.168.1.33'e yönlendirecektir.

Örnek 3. Yerel ağda aynı kontrol bağlantı noktasına sahip birkaç cihaz bulunmaktadır ve her birine uzaktan erişim yapılandırmanız gerekir. Farklı ana bilgisayarlar için aynı anda aynı harici bağlantı noktasını açmak imkansızdır, bu nedenle farklı harici bağlantı noktalarına erişen istemcilerin yerel ağdaki gerekli cihaza yönlendirilmesi için kuralları yapılandırmanız gerekir.

Bir harici TCP hedef bağlantı noktasının yerel ağdaki başka bir hedef bağlantı noktasına çevrilmesi:

ip static tcp ISP 8080 192.168.1.1 80

Bu kural, 8080 numaralı bağlantı noktasındaki harici arayüze gelen trafiği, Router'ın 80 numaralı bağlantı noktasına yönlendirir.

Örnek 4. Yerel ağda 192.168.1.33 IP adresine sahip bir sunucu bulunmaktadır ve bu sunucuya tüm bağlantı noktalarından erişim sağlanmalıdır.

Herhangi bir harici bağlantı noktasındaki isteklerin yerel ağdaki bir ana bilgisayara çevrilmesi (DMZ, açık sunucu)

ip static ISP 192.168.1.33

3. Aşağıda, 'ip static' komutu kullanılarak yapılan SNAT yapılandırmasının en yaygın örnekleri bulunmaktadır:

Örnek 1. İSS iki genel IP adresi sağlar ve Home alt ağı bir IP üzerinden, Misafir Wi-Fi alt ağı ise diğer IP üzerinden bağlanmalıdır.

Router'ın yerel ağını belirli bir IP adresine sahip genel bir arayüz üzerinden bağlama:

ip static Home 180.100.100.10

Bu kural, yerel ağdan (Home) tüm genel arayüzlere gelen tüm paketler için geçerli olacaktır (arayüz ayarlarında İnternete erişmek için kullan seçeneği etkindir) ve kaynak IP adresi 180.100.100.10 ile değiştirilecektir.

Örnek 2. İSS iki genel IP adresi sağlar. Yerel ağda bir sunucu vardır ve bu sunucunun kendi IP adresiyle İnternet'te yayınlanması gerekirken, ağın geri kalanı ikinci IP adresi üzerinden yayınlanır.

Yerel ağdan bir ana bilgisayarı belirli bir IP adresiyle genel ağa çıkarma (1'e 1 NAT):

ip static 192.168.1.33 255.255.255.255 180.100.100.10

Bu kural yalnızca yerel ana bilgisayar 192.168.1.33 için çalışacak ve 180.100.100.10 adresli genel arayüz üzerinden çıkış yapacaktır. Yerel alt ağın geri kalanı ip nat Home kuralına göre çalışacak ve harici arayüzde kayıtlı olan kaynak IP adresi ile genel ağa çıkacaktır.

<config> interface ISP
<config-if> ip alias 180.100.100.10 255.255.255.255

Örnek 3. Yerel ağda, klasik yönlendirme (NAT olmadan) için harici ağa kendi IP adresiyle erişmesi gereken 192.168.1.33 IP adresine sahip bir sunucu bulunmaktadır.

Yerel ağdaki bir ana bilgisayar için SNAT kuralını devre dışı bırakma:

ip static 192.168.1.33 255.255.255.255 192.168.1.33

Bu kural, 192.168.1.33 adresine ve 255.255.255.255 maskesine sahip yerel ana bilgisayarın kendi yerel IP adresiyle genel arayüzlere (WAN) erişmesine olanak tanır. Yerel alt ağın geri kalanı ip nat Home kuralına göre çalışacak ve harici arayüzde kayıtlı olan kaynak IP adresi ile genel ağa bağlanacaktır.

ip static Home ISP