Сёння мы будзем вывучаць PAT (Port Address Translation), тэхналогію трансляцыі IP-адрасоў з выкарыстаннем партоў, і NAT (Network Address Translation), тэхналогію пераўтварэння IP-адрасоў транзітных пакетаў. PAT з'яўляецца прыватным выпадкам NAT. Мы разгледзім тры тэмы:
- прыватныя, або ўнутраныя (унутрысеткавыя, лакальныя) IP-адрасы і публічныя, або знешнія IP-адрасы;
- NAT і PAT;
- Настройка NAT / PAT.
Пачнём з унутраных адрасоў Private IP. Мы ведаем, што яны дзеляцца на тры класы: А, В і С.
Унутраныя адрасы класа А займаюць дыяпазон "дзясяткі" ад 10.0.0.0 да 10.255.255.255, а знешнія - дыяпазон ад 1.0.0.0 да 9. 255.255.255 і ад 11.0.0.0 да 126.255.255.255
Унутраныя адрасы класа Ў займаюць дыяпазон ад 172.16.0.0 да 172.31.255.255, а вонкавыя – ад 128.0.0.0 да 172.15.255.255 і ад 172.32.0.0 да 191.255.255.255
Унутраныя адрасы класа З займаюць дыяпазон ад 192.168.0.0 да 192.168.255.255, а знешнія - ад 192.0.0 да 192.167.255.255 і ад 192.169.0.0 да 223.255.255.255.
Адрасы класа А - гэта адрасы / 8, класа У - / 12 і класа С - / 16. Такім чынам, вонкавыя і ўнутраныя IP-адрасы розных класаў займаюць розныя дыяпазоны.
Мы неаднаразова абмяркоўвалі, у чым заключаецца розніца паміж прыватнымі і публічнымі IP-адрасамі. У агульных рысах, калі ў нас ёсць роўтэр і група ўнутраных IP-адрасоў, пры спробе іх выхаду ў інтэрнэт роўтэр канвертуе іх у знешнія IP-адрасы. Унутраныя адрасы выкарыстоўваюцца выключна ў лакальных сетках, а не ў Інтэрнеце.
Калі я з дапамогай каманднага радка прагледжу сеткавыя параметры свайго кампутара, то ўбачу там свой унутраны LAN IP-адрас 192.168.1.103.
Для таго, каб даведацца пра свой публічны IP-адрас, можна карыстацца інтэрнэт-сэрвісам кшталту «Які ў мяне IP»? Як бачыце, вонкавы адрас кампутара 78.100.196.163 адрозніваецца ад яго ўнутранага адрасу.
Ва ўсіх выпадках мой кампутар бачны ў інтэрнэце менавіта па вонкавым IP-адрасу. Такім чынам, унутраны адрас майго кампутара 192.168.1.103, а вонкавы - 78.100.196.163. Унутраны адрас выкарыстоўваецца толькі для лакальнай сувязі, з ім нельга выйсці ў інтэрнэт, для гэтага вам патрэбен публічны IP-адрас. Вы можаце ўспомніць, навошта было зроблена падзел на прыватныя і публічныя адрасы, перагледзеўшы відэаўрок Дзень 3.
Разгледзім, што такое NAT. Існуе тры тыпу NAT: статычны, дынамічны і "перагружаны" NAT, або PAT.
У Cisco існуюць 4 тэрміна, якія апісваюць NAT. Як я сказаў, NAT - гэта механізм пераўтварэння ўнутраных адрасоў у знешнія. Калі прылада, падлучаная да інтэрнэту, атрымае пакет ад іншай прылады з лакальнай сеткі, яна проста адкіне гэты пакет, бо фармат унутранага адраса не адпавядае фармату адрасоў, якія выкарыстоўваюцца ў глабальнай сетцы інтэрнэт. Таму прылада павінна атрымаць публічны IP-адрас для выхаду ў інтэрнэт.
Такім чынам, першы тэрмін - гэта Inside Local, які азначае IP-адрас хаста ва ўнутранай, лакальнай сеткі. Прасцей кажучы, гэта першасны адрас крыніцы тыпу 192.168.1.10. Другі тэрмін, Inside Global, гэта IP-адрас лакальнага хаста, пад якім ён бачны ў вонкавай сетцы. У нашым выпадку гэта IP-адрас вонкавага порта роўтара 200.124.22.10.
Можна сказаць, што Inside Local гэта прыватны IP-адрас, а Inside Global - публічны IP-адрас. Запомніце, што тэрмін Inside ужываецца па стаўленні да крыніцы трафіку, а Outside - па стаўленні да прызначэння трафіку. Outside Local - гэта IP-адрас хаста ў вонкавай сетцы, пад якім ён бачны для ўнутранай сеткі. Прасцей кажучы, гэта адрас атрымальніка, бачны з унутранай сеткі. Прыклад такога адрасу - гэта IP-адрас 200.124.22.100 прылады, размешчанага ў інтэрнэце.
Outside Global - гэта IP-адрас хаста, бачны ў знешняй сетцы. У большасці выпадкаў адрасы Outside Local і Outside Global выглядаюць аднолькава, таму што нават пасля пераўтварэння IP-адрас прызначэння бачым для крыніцы такім жа, як і да пераўтварэння.
Разгледзім, што ўяўляе сабою статычны NAT. Статычны NAT азначае ўзаемна адназначнае пераўтварэнне ўнутраных IP-адрасоў у вонкавыя, ці пераўтварэнне "адзін да аднаго". Калі прылады адпраўляюць трафік у Інтэрнэт, іх унутраныя адрасы Inside Local пераўтворацца ва ўнутраныя адрасы Inside Global.
У нашай лакальнай сетцы маюцца 3 прылады, і калі яны збіраюцца выйсці ў Інтэрнэт, то кожная з іх атрымлівае свой уласны адрас Inside Global. Гэтыя адрасы статычна прыпісаны да крыніц трафіку. Прынцып "адзін да аднаго" азначае, што калі ў лакальнай сетцы размешчаны 100 прылад, яны атрымліваюць 100 вонкавых адрасоў.
NAT з'явіўся для таго, каб выратаваць Інтэрнэт, у якім заканчваліся публічныя IP-адрасы. Дзякуючы NAT мноства кампаній, мноства сетак могуць мець адзін агульны вонкавы IP-адрас, у які будуць пераўтварацца лакальныя адрасы прылад пры выхадзе ў сетку Інтэрнэт. Вы можаце сказаць, што ў дадзеным выпадку статычнага NAT няма ніякай эканоміі колькасці адрасоў, бо сотні лакальных кампутараў прысвойваецца сотня вонкавых адрасоў, і будзеце цалкам правы. Аднак статычны NAT усё ж валодае шэрагам пераваг.
Напрыклад, у нас ёсць сервер з унутраным IP-адрасам 192.168.1.100. Калі нейкая прылада з Інтэрнэту захоча з ім звязацца, яна не зможа гэта зрабіць, выкарыстоўваючы ўнутраны адрас прызначэння, для гэтага яму неабходна выкарыстоўваць вонкавы адрас сервера 200.124.22.3. Калі ў роўтары наладжаны статычны NAT, увесь трафік, адрасаваны 200.124.22.3, аўтаматычна пераадрасоўваецца на 192.168.1.100. Такім чынам забяспечваецца вонкавы доступ да прылад лакальнай сеткі, у дадзеным выпадку да вэба-серверу кампаніі, што можа быць неабходна ў асобных выпадках.
Разгледзім дынамічны NAT. Ён вельмі падобны на статычны, але не прысвойвае сталыя вонкавыя адрасы кожнай лакальнай прыладзе. Напрыклад, у нас ёсць 3 лакальныя прылады і ўсяго 2 знешнія адрасы. Калі другая прылада захоча выйсці ў інтэрнэт, яму будзе прысвоены першы вольны IP-адрас. Калі пасля яго ў інтэрнэт захоча выйсці вэб-сервер, роўтэр прысвоіць яму другі даступны вонкавы адрас. Калі пасля гэтага ў вонкавую сетку захоча выйсці першую прыладу, для яго не апынецца даступнага IP-адрасы, і роўтар адкіне яго пакет.
У нас можа быць сотня прылад з унутранымі IP-адрасамі, і кожная з гэтых прылад можа выйсці ў інтэрнэт. Але так як у нас няма статычнага прызначэння знешніх адрасоў, адначасова выйсці ў інтэрнэт змогуць не больш за 2 прылады з сотні, таму што ў нас ёсць усяго два дынамічна прызначаныя знешнія адрасы.
У прыладах Cisco прадугледжана фіксаваны час пераўтварэння адрасоў, па змаўчанні роўнае 24 гадзінам. Яго можна змяніць на 1,2,3, 10 хвілін, на любы заўгоднае вам час. Па заканчэнні гэтага часу вонкавыя адрасы вызваляюцца і аўтаматычна вяртаюцца ў пул адрасоў. Калі ў гэты момант першая прылада захоча выйсці ў інтэрнэт і які-небудзь вонкавы адрас апынецца даступным, тое яно яго атрымае. Роўтар змяшчае табліцу NAT, якая дынамічна абнаўляецца, і пакуль час пераўтварэнні не скончыўся, прызначаны адрас захоўваецца за прыладай. Прасцей кажучы, дынамічны NAT працуе па прынцыпе: "хто прыйшоў першым, таго і абслужылі".
Разгледзім, што ўяўляе сабою перагружаны NAT, ці PAT. Гэта найболей распаўсюджаны тып NAT. У вашай хатняй сетцы можа быць мноства прылад – ПК, смартфон, ноўтбук, планшэт, і ўсе яны падлучаюцца да роўтара, які мае адзін знешні IP-адрас. Дык вось, PAT дазваляе мноству прылад з унутранымі IP-адрасамі адначасова выходзіць у інтэрнэт пад адным вонкавым IP-адрасам. Гэта магчыма дзякуючы таму, што кожны прыватны, унутраны IP-адрас выкарыстоўвае пэўны нумар порта падчас сеансу сувязі.
Выкажам здагадку, у нас маецца адзін публічны адрас 200.124.22.1 і мноства лакальных прылад. Дык вось, пры выхадзе ў інтэрнэт усе гэтыя хасты будуць атрымліваць адзін і той жа адрас 200.124.22.1. Адзінае, што будзе іх адрозніваць сябар ад сябра, гэта нумар порта.
Калі вы падушыце абмеркаванне транспартнага ўзроўня, то ведаеце, што транспартны ўзровень утрымоўвае нумары портаў, прычым нумар порта крыніцы ўяўляе сабой выпадковы лік.
Выкажам здагадку, што ў вонкавай сетцы маецца хост з IP-адрасам 200.124.22.10, які звязаны з інтэрнэтам. Калі кампутар 192.168.1.11 захоча звязацца з кампутарам 200.124.22.10, ён створыць выпадковы порт крыніцы 51772. Пры гэтым порт прызначэння кампутара вонкавай сеткі будзе 80.
Калі роўтэр атрымае пакет лакальнага кампутара, накіраваны ў знешнюю сетку, ён транслюе яго лакальны адрас Inside Local у адрас Inside Global 200.124.22.1 і прысвоіць порце нумар 23556. Пакет дасягне кампутара 200.124.22.10, і той павінен будзе адправіць зваротна згодна з працэдур пры гэтым прызначэннем будзе адрас 200.124.22.1 і порт 23556.
Роўтар мае табліцу трансляцыі NAT, таму, атрымаўшы пакет вонкавага кампутара, ён вызначыць адрас Inside Local, які адпавядае адрасу Inside Global як 192.168.1.11: 51772, і перашле яму пакет. Пасля гэтага сувязь паміж двума кампутарамі можна лічыць усталяванай.
У гэты ж час у вас можа быць сотня прылад, якія выкарыстоўваюць для сувязі адзін і той жа адрас 200.124.22.1, але розныя нумары портаў, дзякуючы чаму яны ўсё адначасова змогуць выйсці ў інтэрнэт. Вось чаму PAT з'яўляецца такім папулярным спосабам трансляцыі.
Давайце разгледзім настройку статычнага NAT. Для любой сеткі ў першую чаргу неабходна вызначыць уваходны і выходны інтэрфейсы. На схеме паказаны роўтар, праз які ажыццяўляецца перадача трафіку ад порта G0/0 да порта G0/1, гэта значыць з унутранай сеткі ў вонкавую сетку. Такім чынам, у нас ёсць уваходны інтэрфейс 192.168.1.1 і выходны інтэрфейс 200.124.22.1.
Для налады NAT мы пераходзім да інтэрфейсу G0/0 і задаём параметры ip addres 192.168.1.1 255.255.255.0 і паказваем, што дадзены інтэрфейс з'яўляецца ўваходным, выкарыстаўшы каманду ip nat inside.
Аналагічнай выявай мы наладжваем NAT на выходным інтэрфейсе G0/1, паказаўшы ip address 200.124.22.1, маску падсеткі 255.255.255.0 і ip nat outside. Запомніце, што пераўтварэнне дынамічнага NAT заўсёды ажыццяўляецца ад уваходнага да выходнага інтэрфейсу, ад inside да outside. Натуральна, што для дынамічнага NAT адказ прыходзіць да ўваходнага інтэрфейсу праз выходны, але пры ініцыяцыі трафіку спрацоўвае менавіта кірунак in-out. У выпадку статычнага NAT ініцыяцыя трафіку можа адбывацца ў любым з напрамкаў - in-out або out-in.
Далей нам неабходна скласці табліцу статычнага NAT, дзе кожнаму лакальнаму адрасу адпавядае асобны глабальны адрас. У нашым выпадку маецца 3 прылады, таму табліца будзе складацца з 3-х запісаў, у якіх паказваецца Inside Local IP-адрас крыніцы, які ператвараецца ў Inside Global адрас: ip nat inside static 192.168.1.10 200.124.22.1.
Такім чынам, у статычным NAT вы ўручную прапісваеце пераўтварэнне для кожнага адраса лакальнага хаста. Цяпер я перайду да Packet Tracer і зраблю апісаныя вышэй налады.
Зверху ў нас размешчаны сервер 192.168.1.100, ніжэй знаходзіцца кампутар 192.168.1.10 і ў самым нізе кампутар 192.168.1.11. Порт G0/0 роўтара Router0 мае IP-адрас 192.168.1.1, а порт G0/1 - 200.124.22.1. У "воблаку", які паказвае інтэрнэт, я размясціў Router1, якому прысвоіў IP-адрас 200.124.22.10.
Я заходжу ў налады Router1 і набіраю каманду debug ip icmp. Цяпер, як толькі пінг дасягне гэтай прылады, у акне налад з'явіцца паведамленне адладкі, якое паказвае, што гэта за пакет.
Прыступім да налады роўтара Router0. Я пераходжу ў рэжым глабальных налад і выклікаю інтэрфейс G0/0. Далей я ўводжу каманду ip nat inside, затым пераходжу да інтэрфейсу g0/1 і ўводжу каманду ip nat outside. Такім чынам я прызначыў уваходны і выходны інтэрфейсы роўтара. Цяпер мне трэба ўручную наладзіць IP-адрасы, гэта значыць перанесці ў наладкі радка прыведзенай раней табліцы:
Ip nat inside source static 192.168.1.10 200.124.22.1
Ip nat inside source static 192.168.1.11 200.124.22.2
Ip nat inside source static 192.168.1.100 200.124.22.3
Цяпер я прапінгу Router1 з кожнага з нашых прылад і пагляджу, якія IP-адрасы пакажа прыняты ім пінг. Для гэтага я размяшчаю адчыненае акно CLI роўтара R1 у правай частцы экрана, каб бачыць паведамленні адладкі. Цяпер я пераходжу ў тэрмінал каманднага радка PC0 і пінгую адрас 200.124.22.10. Пасля гэтага ў акне з'яўляецца паведамленне, што пінг атрыманы з IP-адрасы 200.124.22.1. Гэта азначае, што IP-адрас лакальнага кампутара 192.168.1.10 быў пераўтвораны ў глабальны адрас 200.124.22.1.
Тое ж самае я раблю з наступным лакальным кампутарам і бачу, што ягоны адрас быў ператвораны ў 200.124.22.2. Затым я адпраўляю пінг з сервера і бачу адрас 200.124.22.3.
Такім чынам, калі трафік з прылады лакальнай сеткі дасягае роўтара, на якім наладжаны статычны NAT, роўтэр у адпаведнасці з табліцай пераўтворыць лакальны IP-адрас у глабальны і адпраўляе трафік у вонкавую сетку. Каб праверыць табліцу NAT, я ўводжу каманду show ip nat translations.
Цяпер мы можам прагледзець усе пераўтварэнні, якія здзяйсняе роўтар. У першым слупку Inside Global размешчаны адрас прылады да трансляцыі, гэта значыць той адрас, пад якім прылада мабыць з вонкавай сеткі, далей варта адрас Inside Local, гэта значыць адрас прылады ў лакальнай сетцы. Трэці слупок паказвае Outside Local, а чацвёрты - адрас Outside Global, прычым абодва гэтыя адрасы аднолькавыя, таму што мы не падвяргаем пераўтварэнню IP-адрас прызначэння. Як бачыце, праз некалькі секунд табліца ачысцілася, таму што ў Packet Tracer усталяваны кароткі тайм-аўт пінгу.
Я магу прапінгаваць з роўтара R1 сервер па адрасе 200.124.22.3, і калі зноў перайсці да налад роўтара, можна ўбачыць, што табліца зноў запоўнілася чатырма радкамі пінгу з пераўтвораным адрасам прызначэння 192.168.1.100.
Як я ўжо сказаў, нават калі спрацаваў тайм-аўт трансляцыі, пры ініцыяцыі трафіку са знешняй крыніцы механізм NAT аўтаматычна актывуецца. Такое адбываецца толькі пры выкарыстанні статычнага NAT.
Цяпер разгледзім, як працуе дынамічны NAT. У нашым прыкладзе маецца 2 публічныя адрасы для трох прылад лакальнай сеткі, аднак могуць быць дзясяткі і сотні такіх прыватных хастоў. Пры гэтым адначасова выйсці ў інтэрнэт змогуць усяго 2 прылады. Разгледзім, у чым, акрамя гэтага, заключаецца розніца паміж статычным і дынамічным NAT.
Як і ў папярэднім выпадку, спачатку трэба вызначыць уваходны і выходны інтэрфейсы роўтара. Далей мы ствараем своеасаблівы спіс доступу, аднак гэта не той ACL, пра які мы казалі на папярэднім уроку. Гэты спіс доступу выкарыстоўваецца для ідэнтыфікацыі трафіку, які мы хочам пераўтварыць. Тут з'яўляецца новы тэрмін "interesting traffic", ці "цікавы трафік". Гэта трафік, які цікавіць вас па нейкай прычыне, і калі гэты трафік супадае з умовамі спісу доступу, ён трапляе пад дзеянне NAT і пераўтвараецца. Дадзены тэрмін дастасоўны да трафіку ў многіх выпадках, напрыклад, у выпадку з VPN "цікавым" называюць трафік, які збіраюцца прапусціць праз VPN-тунэль.
Мы павінны стварыць ACL, які ідэнтыфікуе interesting traffic, у нашым выпадку гэта трафік цэлай сеткі 192.168.1.0, разам з якім указваецца зваротная маска 0.0.0.255.
Затым мы павінны стварыць NAT-пул, для чаго выкарыстаны каманду ip nat pool < імя пула > і паказваем пул IP-адрасоў 200.124.22.1 200.124.22.2. Гэта азначае, што мы даем толькі два знешніх IP-адрасы. Далей у камандзе выкарыстоўваецца ключавое слова netmask і ўводзіцца маска падсеткі 255.255.255.252. Апошні актэт маскі роўны (255 - колькасць адрасоў пула - 1), так што калі ў вас у пуле будзе 254 адрасы, то маска падсеткі будзе 255.255.255.0. Гэта вельмі важны параметр, таму пры наладзе дынамічнага NAT сачыце за тым, каб увесці правільнае значэнне netmask.
Далей мы выкарыстоўваем каманду, якая запускае механізм NAT: NWKING, дзе NWKING - імя пула, а list 1 азначае спіс доступу ACL нумар1. Запомніце - для таго, каб гэтая каманда спрацавала, спачатку неабходна стварыць пул дынамічных адрасоў і спіс доступу.
Такім чынам, пры нашых умовах першая прылада, жадаючае выйсці ў інтэрнэт, зможа гэта зрабіць, другая прылада таксама, а вось трэцяму прыйдзецца чакаць, пакуль вызваліцца адзін з адрасоў пула. Налада дынамічнага NAT складаецца з 4-х крокаў: вызначэнне ўваходнага і выходнага інтэрфейсу, вызначэнне "цікавага" трафіку, стварэнне NAT – пула і ўласна настройка.
Цяпер мы пяройдзем да Packet Tracer і паспрабуем наладзіць дынамічны NAT. Спачатку мы павінны выдаліць наладкі статычнага NAT, для чаго паслядоўна ўводны каманды:
no Ip nat inside source static 192.168.1.10 200.124.22.1
no Ip nat inside source static 192.168.1.11 200.124.22.2
Ip nat inside source static 192.168.1.100 200.124.22.3.
Далее я создаю список доступа List 1 для целой сети командой access-list 1 permit 192.168.1.0 0.0.0.255 и формирую NAT- пул с помощью команды ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 255.255.255.252. У гэтай камандзе я ўказаў імя пула, адрасы, якія ў яго ўваходзяць, і сеткавую маску.
Затым я паказваю, які гэта NAT - унутраны ці вонкавы, і крыніца, адкуль NAT павінен чэрпаць інфармацыю, у нашым выпадку гэта list, з дапамогай каманды ip nat inside source list 1. Пасля гэтага сістэма выдасць падказку - ці патрэбен цэлы пул ці вызначаны інтэрфейс . Я выбіраю pool таму што ў нас больш за 1 вонкавы адрас. Калі абраць interface, тое трэба будзе паказаць порт з пэўным IP-адрасам. У канчатковым выглядзе каманда будзе выглядаць так: ip nat inside source list 1 pool NWKING. Цяпер гэты пул складаецца з двух адрасоў 200.124.22.1 200.124.22.2, аднак вы свабодна можаце іх змяніць або дадаць новыя адрасы, непрывязаныя да канкрэтнага інтэрфейсу.
Вы павінны пераканацца, што ваша табліца маршрутызацыі абнавілася так, што любы з гэтых IP-адрасоў у пуле павінен быць накіраваны на гэтую прыладу, інакш вы не атрымаеце зваротны трафік. Каб пераканацца ў працаздольнасці налад, мы паўторым працэдуру пінгавання хмарнага роўтара, якую праводзілі для статычнага NAT. Я адкрыю акно роўтара Router 1, каб бачыць паведамленні рэжыму адладкі, і прапінгу яго з кожнага з 3-х прылад.
Мы бачым, што ўсе адрасы крыніц, адкуль прыходзяць пакеты пінгу, адпавядаюць настройкам. Пры гэтым пінг з кампутара PC0 не праходзіць, таму што яму не хапіла вольнага вонкавага адрасу. Калі зайсці ў налады Router 1, відаць, што ў дадзены момант выкарыстоўваюцца адрасы пула 200.124.22.1 і 200.124.22.2. Цяпер я адключу трансляцыю, і вы ўбачыце, як радкі знікаюць адна за адной. Я зноў запускаю пінг з кампутара PC0, і як бачыце, зараз усё працуе, таму што ён змог атрымаць які вызваліўся вонкавы адрас 200.124.22.1.
Як можна ачысціць табліцу NAT і адмяніць зададзенае пераўтварэнне адрасоў? Заходзім у налады роўтара Router0 і набіраем каманду clear ip nat translation * са «зорачкай» у канцы радка. Калі зараз паглядзець на стан пераўтварэння з дапамогай каманды show ip nat translation, сістэма выдасць нам пусты радок.
Для прагляду статыстыкі NAT выкарыстоўваецца каманда show ip nat statistics.
Гэта вельмі карысная каманда, дзякуючы якой можна пазнаць агульную колькасць дынамічных, статычных і пашыраных пераўтварэнняў NAT/PAT. Вы бачыце, што яно роўна 0, паколькі мы ачысцілі дадзеныя трансляцыі папярэдняй камандай. Тут адлюстроўваецца ўваходны і выходны інтэрфейсы, колькасць удалых і няўдалых пераўтварэнняў hits і misses (колькасць няўдач злучана з адсутнасцю вольнага вонкавага адрасу для ўнутранага хаста), назоў спісу доступу і пула.
Цяпер мы пяройдзем да самага папулярнага ўвазе пераўтварэнні IP-адрасоў – пашыранаму NAT, або PAT. Для наладкі PAT неабходна здзейсніць тыя ж крокі, што і для налады дынамічнага NAT: вызначыць уваходны і выходны інтэрфейсы роўтара, ідэнтыфікаваць «цікавы» трафік, стварыць пул NAT і наладзіць PAT. Мы можам стварыць такі ж пул з некалькіх адрасоў, як і ў папярэднім выпадку, але ў гэтым няма неабходнасці, таму што ў PAT увесь час выкарыстоўваецца адзін і той жа вонкавы адрас. Розніца паміж наладай дынамічнага NAT і PAT заключаецца толькі ў ключавым слове overload, якім заканчваецца апошняя каманда наладкі. Пасля ўводу гэтага слова дынамічны NAT аўтаматычна ператвараецца ў PAT.
Акрамя таго, вы выкарыстоўваеце толькі адзін адрас у пуле NWKING, напрыклад, 200.124.22.1, але паказваеце яго два разы як пачатковы і канчатковы вонкавы адрас з сеткавай маскай 255.255.255.0. Можна паступіць прасцей, выкарыстаўшы замест радка ip nat 1 pool NWKING 200.124.22.1 200.124.22.1 netmask 255.255.255.0 параметр source interface і фіксаваны адрас 200.124.22.1 інтэрфейсу У гэтым выпадку ўсе лакальныя адрасы пры выхадзе ў інтэрнэт будуць пераўтварацца ў дадзены IP-адрас.
У пуле таксама можна выкарыстоўваць любы іншы IP-адрас, не абавязкова які адпавядае пэўнаму фізічнаму інтэрфейсу. Аднак у гэтым выпадку вы павінны пераканацца, што ўсе роўтэры ў сетцы змогуць накіроўваць трафік у адказ абранай вамі прыладзе. Недахоп NAT складаецца ў тым, што яго нельга выкарыстоўваць для скразнога адрасавання, бо пакуль зваротны пакет вернецца да лакальнай прылады, яго дынамічны NAT IP-адрас можа паспець памяняцца. Гэта значыць, вы павінны быць упэўненыя, што абраны IP-адрас застанецца даступным на ўвесь час сеансу сувязі.
Давайце паглядзім на гэта праз Packet Tracer. Спачатку я павінен выдаліць дынамічны NAT камандай no Ip nat у сістэме крыніцы 1 NWKING і выдаліць пул NAT з дапамогай каманды no Ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 225.255.255.252.
Затым я павінен стварыць пул PAT камандай Ip nat pool NWKING 200.124.22.2 200.124.22.2 netmask 225.255.255.255. На гэты раз я выкарыстоўваю IP-адрас, які не належыць фізічнай прыладзе, таму што фізічная прылада мае адрас 200.124.22.1, а я хачу выкарыстоўваць 200.124.22.2. У нашым выпадку гэта працуе, бо ў нас лакальная сетка.
Далей я наладжваю PAT камандай Ip nat inside source list 1 pool NWKING overload. Пасля ўводу гэтай каманды ў нас актывуецца пераўтварэнне адрасоў PAT. Каб праверыць карэктнасць налады, я пераходжу да нашых прылад, серверу і двум кампутарам, і пінгую з кампутара PC0 Router1 па адрасе 200.124.22.10. У акне налад роўтара відаць радкі адладкі, у якіх паказана, што крыніцай пінгу, як мы і чакалі, з'яўляецца IP-адрас 200.124.22.2. З гэтага ж адраса прыходзіць пінг, дасланы кампутарам PC1 і серверам Server0.
Паглядзім, што адбываецца ў табліцы пераўтварэнняў роўтара Router0. Вы бачыце, што ўсе пераўтварэнні паспяховыя, кожнаму прыладзе прысвойваецца свой уласны порт, і ўсе лакальныя адрасы звязваюцца з Router1 праз IP-адрас пула 200.124.22.2.
Я выкарыстоўваю каманду show ip nat statistics, каб прагледзець статыстыку PAT.
Мы бачым, што агульная колькасць пераўтварэнняў, або трансляцый адрасоў, роўна 12, бачым характарыстыкі пула і іншую інфармацыю.
Зараз я яшчэ сёе-тое зраблю - увяду каманду Ip nat ў інтэрнэце gigabit Ethernet g1/0 overload. Калі пасля гэтага прапінгаваць роўтар з кампутара PC1, відаць, што пакет прыйшоў з адраса 0, гэта значыць з фізічнага інтэрфейсу! Гэта лягчэйшы шлях: калі вы не жадаеце ствараць пул, што часцей за ўсё адбываецца пры выкарыстанні хатніх роўтэраў, то ў якасці вонкавага NAT-адрасы можна выкарыстаць IP-адрас фізічнага інтэрфейсу роўтара. Менавіта так часцей за ўсё адбываецца пераўтварэнне адраса вашага прыватнага хаста для публічнай сеткі.
Сёння мы вывучылі вельмі важную тэму, таму вам неабходна ў ёй папрактыкавацца. Выкарыстоўвайце Packet Tracer, каб праверыць вашыя тэарэтычныя веды ў вырашэнні практычных задач па наладзе NAT і PAT. Мы падышлі да канца вывучэння тэматыкі ICND1 — першага іспыту курса CCNA, таму наступны відэаўрок я, верагодна, прысвячу падвядзенню вынікаў.
Дзякуй, што застаяцеся з намі. Вам падабаюцца нашыя артыкулы? Жадаеце бачыць больш цікавых матэрыялаў? Падтрымайце нас аформіўшы замову або парэкамендаваўшы знаёмым, 30% зніжка для карыстальнікаў Хабра на ўнікальны аналаг entry-level сервераў, які быў прыдуманы намі для Вас: (даступныя варыянты з RAID1 і RAID10, да 24 ядраў і да 40GB DDR4).
Dell R730xd у 2 разы танней? Толькі ў нас у Нідэрландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – ад $99! Чытайце аб тым
Крыніца: habr.com