Днес ще изучаваме PAT (превод на адреси на портове), технология за превод на IP адреси с помощта на портове, и NAT (превод на мрежови адреси), технология за преобразуване на IP адреси на транзитни пакети. PAT е специален случай на NAT. Ще разгледаме три теми:
- частни, или вътрешни (интранет, локални) IP адреси и публични, или външни IP адреси;
- NAT и PAT;
— настройка на NAT/PAT.
Да започнем с вътрешните частни IP адреси. Знаем, че те са разделени на три класа: A, B и C.
Вътрешните адреси от клас А заемат десетките в диапазона от 10.0.0.0 до 10.255.255.255, а външните адреси в диапазона от 1.0.0.0 до 9 и от 255.255.255 до 11.0.0.0.
Вътрешните адреси от клас B варират от 172.16.0.0 до 172.31.255.255, докато външните адреси варират от 128.0.0.0 до 172.15.255.255 и от 172.32.0.0 до 191.255.255.255.
Вътрешните адреси от клас C варират от 192.168.0.0 до 192.168.255.255, докато външните адреси варират от 192.0.0 до 192.167.255.255 и от 192.169.0.0 до 223.255.255.255.
Адресите от клас A са /8 адреси, клас B адреси са /12, а клас C адреси са /16. По този начин външните и вътрешните IP адреси от различни класове заемат различни диапазони.
Многократно сме обсъждали каква е разликата между частни и публични IP адреси. Най-общо казано, ако имаме рутер и група вътрешни IP адреси, когато се опитат да влязат в интернет, рутерът ги преобразува във външни IP адреси. Вътрешните адреси се използват изключително в локални мрежи, а не в Интернет.
Ако използвам командния ред, за да видя мрежовите параметри на моя компютър, виждам своя вътрешен LAN IP адрес 192.168.1.103 там.
За да разберете публичния си IP адрес, можете да използвате интернет услуга като „Какъв е моят IP“? Както можете да видите, външният адрес на компютъра 78.100.196.163 е различен от неговия вътрешен адрес.
Във всички случаи компютърът ми е видим в Интернет на външния IP адрес. И така, вътрешният адрес на моя компютър е 192.168.1.103, а външният е 78.100.196.163. Вътрешният адрес се използва само за локална комуникация, не можете да влезете в интернет с него, за това ви е необходим публичен IP адрес. Можете да си спомните защо е направено разделението на частни и публични адреси, като прегледате видео урока за Ден 3.
Помислете какво е NAT. Има три вида NAT: статичен, динамичен и "претоварен" NAT или PAT.
В Cisco има 4 термина, които описват NAT. Както казах, NAT е механизъм за преобразуване на вътрешни адреси във външни. Ако устройство, свързано към интернет, получи пакет от друго устройство в локалната мрежа, то просто ще отхвърли този пакет, тъй като форматът на вътрешния адрес не съвпада с формата на адресите, използвани в глобалния интернет. Следователно устройството трябва да получи публичен IP адрес за достъп до интернет.
И така, първият термин е Inside Local, което означава IP адреса на хоста във вътрешната локална мрежа. Просто казано, това е основният адрес на източника като 192.168.1.10. Вторият термин, Inside Global, е IP адресът на локалния хост, под който той е видим във външната мрежа. В нашия случай това е IP адресът на външния порт на рутера 200.124.22.10.
Можем да кажем, че Inside Local е частен IP адрес, докато Inside Global е публичен IP адрес. Не забравяйте, че терминът Inside се използва по отношение на източника на трафика, а Outside се използва по отношение на дестинацията на трафика. Outside Local е IP адресът на хоста във външната мрежа, под който той е видим за вътрешната мрежа. Просто казано, това е адресът на получателя, както се вижда от вътрешната мрежа. Пример за такъв адрес е IP адресът 200.124.22.100 на устройство, намиращо се в Интернет.
Outside Global е IP адресът на хоста, както се вижда във външната мрежа. В повечето случаи външните локални и външните глобални адреси изглеждат еднакви, тъй като дори след превода целевият IP адрес е видим за източника, както е бил преди превода.
Помислете какво е статичен NAT. Статичният NAT означава транслация едно към едно на вътрешни IP адреси към външни или транслация едно към едно. Когато устройствата изпращат трафик към интернет, техните вътрешни локални адреси се преобразуват във вътрешни глобални адреси.
Имаме 3 устройства в нашата локална мрежа и когато са на път да влязат онлайн, всяко от тях получава свой собствен Inside Global адрес. Тези адреси са статично присвоени на източници на трафик. Принципът едно към едно означава, че ако има 100 устройства в локалната мрежа, те получават 100 външни адреса.
NAT е роден, за да спаси интернет, който изчерпваше публичните IP адреси. Благодарение на NAT, много компании, много мрежи могат да имат един общ външен IP адрес, в който локалните адреси на устройствата ще бъдат преобразувани при достъп до Интернет. Можете да кажете, че в този случай на статичен NAT няма спестявания в броя на адресите, тъй като на сто локални компютъра се присвояват сто външни адреса и ще бъдете абсолютно прави. Въпреки това статичният NAT все още има редица предимства.
Например, имаме сървър с вътрешен IP адрес 192.168.1.100. Ако някое устройство в Интернет иска да се свърже с него, то няма да може да направи това чрез вътрешния адрес на местоназначение, за целта трябва да използва външния адрес на сървъра 200.124.22.3. Ако на рутера е конфигуриран статичен NAT, целият трафик, адресиран до 200.124.22.3, автоматично се пренасочва към 192.168.1.100. Това осигурява външен достъп до устройства в локалната мрежа, в случая до уеб сървъра на компанията, което може да се наложи в някои случаи.
Помислете за динамичен NAT. Той е много подобен на статичния, но не присвоява постоянни външни адреси на всяко локално устройство. Например имаме 3 локални устройства и само 2 външни адреса. Ако второто устройство иска достъп до интернет, ще му бъде присвоен първият свободен IP адрес. Ако уеб сървър иска да влезе онлайн след него, рутерът ще му присвои втори наличен външен адрес. Ако след това първото устройство иска да отиде във външната мрежа, няма да има наличен IP адрес за него и рутерът ще изпусне своя пакет.
Можем да имаме стотици устройства с вътрешни IP адреси и всяко от тези устройства има достъп до интернет. Но тъй като нямаме статично присвояване на външни адреси, не повече от 2 устройства от сто ще могат да имат достъп до интернет едновременно, защото имаме само два динамично присвоени външни адреса.
Устройствата на Cisco имат фиксирано време за разрешаване на адреса, което по подразбиране е 24 часа. Може да се промени на 1,2,3, 10, XNUMX, XNUMX минути по всяко време. След това време външните адреси се освобождават и автоматично се връщат в адресния пул. Ако в този момент първото устройство иска да влезе онлайн и има наличен външен адрес, то ще го получи. Рутерът съдържа NAT таблица, която се актуализира динамично и до изтичане на времето за транслация зададеният адрес се пази от устройството. Просто казано, динамичният NAT работи на принципа: "който дойде първи, той беше обслужен."
Помислете какво е претоварен NAT или PAT. Това е най-често срещаният тип NAT. Може да има много устройства във вашата домашна мрежа - компютър, смартфон, лаптоп, таблет и всички те се свързват към рутер, който има един външен IP адрес. И така, PAT позволява на много устройства с вътрешни IP адреси едновременно да имат достъп до интернет под един външен IP адрес. Това е възможно поради факта, че всеки частен, вътрешен IP адрес използва определен номер на порт по време на комуникационна сесия.
Да предположим, че имаме един публичен адрес 200.124.22.1 и много локални устройства. Така че при достъп до интернет всички тези хостове ще получат един и същ адрес 200.124.22.1. Единственото нещо, което ще ги отличава един от друг, е номерът на порта.
Ако си спомняте дискусията за транспортния слой, знаете, че транспортният слой съдържа номера на портове, като номерът на порт източника е произволно число.
Да предположим, че във външната мрежа има хост с IP адрес 200.124.22.10, който е свързан към интернет. Ако компютър 192.168.1.11 иска да се свърже с компютър 200.124.22.10, той ще създаде произволен изходен порт 51772. В този случай целевият порт на компютъра от външната мрежа ще бъде 80.
Когато рутерът получи пакет от локалния компютър, насочен към външната мрежа, той ще преведе своя локален вътрешен локален адрес във вътрешен глобален адрес 200.124.22.1 и ще присвои номер на порт 23556. Пакетът ще достигне до компютъра 200.124.22.10 и ще ще трябва да изпрати обратно отговор съгласно процедурата за ръкостискане, дестинацията ще бъде 200.124.22.1 и порт 23556.
Рутерът има таблица за транслация на NAT, така че когато получи пакет от външен компютър, той ще определи вътрешния локален адрес, съответстващ на вътрешния глобален адрес като 192.168.1.11:51772, и ще препрати пакета към него. След това връзката между двата компютъра може да се счита за установена.
В същото време можете да имате стотици устройства, използващи един и същ адрес 200.124.22.1 за комуникация, но различни номера на портове, така че всички те да имат достъп до интернет едновременно. Ето защо PAT е толкова популярен метод за превод.
Нека да разгледаме настройката на статичен NAT. За всяка мрежа първо трябва да дефинирате входните и изходните интерфейси. Диаграмата показва рутер, през който трафикът се предава от порта G0 / 0 към порта G0 / 1, тоест от вътрешната мрежа към външната мрежа. Така имаме входен интерфейс 192.168.1.1 и изходен интерфейс 200.124.22.1.
За да конфигурираме NAT, отиваме на интерфейса G0 / 0 и задаваме параметрите ip адрес 192.168.1.1 255.255.255.0 и посочваме, че този интерфейс е вход с помощта на вътрешната команда ip nat.
По същия начин конфигурираме NAT на изходящия интерфейс G0/1, като посочим ip адрес 200.124.22.1, подмрежова маска 255.255.255.0 и ip nat отвън. Не забравяйте, че динамичният NAT превод винаги се извършва от входния интерфейс към изходния интерфейс, отвътре навън. Естествено, за динамичен NAT, отговорът идва към входния интерфейс през изходния, но когато трафикът е иницииран, това е посоката in-out, която работи. В случай на статичен NAT, трафикът може да бъде иницииран във всяка от посоките - in-out или out-in.
След това трябва да създадем статична NAT таблица, където всеки локален адрес съответства на отделен глобален адрес. В нашия случай има 3 устройства, така че таблицата ще се състои от 3 записа, които показват вътрешния локален IP адрес на източника, който се преобразува във вътрешния глобален адрес: ip nat inside static 192.168.1.10 200.124.22.1.
Така при статичен NAT вие ръчно пишете превод за всеки адрес на локален хост. Сега ще отида в Packet Tracer и ще направя настройките, описани по-горе.
Най-отгоре имаме сървър 192.168.1.100, отдолу е компютър 192.168.1.10, а най-долу е компютър 192.168.1.11. Порт G0/0 на Router0 има IP адрес 192.168.1.1, а порт G0/1 е 200.124.22.1. В "облака", представляващ Интернет, поставих Router1, на който зададох IP адрес 200.124.22.10.
Влизам в настройките на Router1 и въвеждам командата debug ip icmp. Сега, веднага щом ping достигне това устройство, в прозореца с настройки ще се появи съобщение за отстраняване на грешки, показващо какъв вид пакет е.
Нека започнем да конфигурираме рутера Router0. Влизам в режим на глобални настройки и извиквам интерфейс G0/0. След това въвеждам вътрешната команда ip nat, след което отивам на интерфейса g0/1 и въвеждам външната команда ip nat. Така зададох входните и изходните интерфейси на рутера. Сега трябва ръчно да конфигурирам IP адресите, тоест да прехвърля редовете от таблицата по-горе към настройките:
Ip nat вътрешен източник статичен 192.168.1.10 200.124.22.1
Ip nat вътрешен източник статичен 192.168.1.11 200.124.22.2
Ip nat вътрешен източник статичен 192.168.1.100 200.124.22.3
Сега ще изпратя ping на Router1 от всяко от нашите устройства и ще видя на какви IP адреси се показва полученият ping. За да направя това, позиционирам отворения R1 CLI прозорец от дясната страна на екрана, така че да виждам съобщенията за отстраняване на грешки. Сега отивам на терминала на командния ред PC0 и пингвам адреса 200.124.22.10. След това в прозореца се появява съобщение, че ping е получен от IP адрес 200.124.22.1. Това означава, че IP адресът на локалната машина 192.168.1.10 е преведен в глобалния адрес 200.124.22.1.
Правя същото със следващия локален компютър и виждам, че неговият адрес е преведен на 200.124.22.2. След това изпращам ping от сървъра и виждам адреса 200.124.22.3.
Така, когато трафик от LAN устройство достигне до рутер, конфигуриран със статичен NAT, рутерът преобразува локалния IP адрес в глобален според таблицата и изпраща трафика към външната мрежа. За да проверя NAT таблицата, издавам командата show ip nat translations.
Сега можем да видим всички трансформации, които рутерът прави. Първата колона Inside Global съдържа адреса на устройството преди излъчването, т.е. адреса, под който устройството е видимо от външната мрежа, следван от вътрешния локален адрес, т.е. адреса на устройството в локалната мрежа . Третата колона показва външния локален, а четвъртата колона показва външния глобален адрес, като и двата са еднакви, защото не превеждаме целевия IP адрес. Както можете да видите, след няколко секунди таблицата беше изчистена, тъй като Packet Tracer имаше кратко време за изчакване на ping.
Мога да пингвам сървъра на 1 от R200.124.22.3 и ако се върна към настройките на рутера, мога да видя, че таблицата отново е пълна с четири ping реда с преведен адрес на дестинация 192.168.1.100.
Както казах, дори ако времето за изчакване на превода е задействано, при иницииране на трафик от външен източник, NAT механизмът се активира автоматично. Това се случва само при използване на статичен NAT.
Сега нека да разгледаме как работи динамичният NAT. В нашия пример има 2 публични адреса за три LAN устройства, но може да има десетки или стотици такива частни хостове. В същото време само 2 устройства могат да имат достъп до интернет едновременно. Нека разгледаме каква освен това е разликата между статичния и динамичния NAT.
Както в предишния случай, първо трябва да определите входните и изходните интерфейси на рутера. След това създаваме вид списък за достъп, но това не е същият ACL, за който говорихме в предишния урок. Този списък за достъп се използва за идентифициране на трафика, който искаме да трансформираме. Тук идва новият термин „интересен трафик“ или „интересен трафик“. Това е трафик, който ви интересува по някаква причина и когато този трафик отговаря на условията на списъка за достъп, той се NAT и превежда. Този термин е приложим за трафик в много случаи, например, в случай на VPN, „интересен“ се отнася за трафик, който ще премине през VPN тунел.
Трябва да създадем ACL, който идентифицира интересен трафик, в нашия случай това е трафикът на цялата мрежа 192.168.1.0, заедно с който е посочена обратната маска 0.0.0.255.
След това трябва да създадем NAT пул, за който използваме командата ip nat pool <pool name> и да посочим IP адресния пул 200.124.22.1 200.124.22.2. Това означава, че предоставяме само два външни IP адреса. След това командата използва ключовата дума netmask и въвежда подмрежовата маска 255.255.255.252. Последният октет на маската е (255 - броят на адресите на пула е 1), така че ако имате 254 адреса в пула, тогава подмрежовата маска ще бъде 255.255.255.0. Това е много важна настройка, така че не забравяйте да въведете правилната стойност на мрежовата маска, когато настройвате динамичен NAT.
След това използваме команда, която стартира NAT механизма: ip nat в списъка на източници 1 пул NWKING, където NWKING е името на пула, а списък 1 е ACL номер1. Не забравяйте, че за да работи тази команда, първо трябва да създадете динамичен адресен пул и списък за достъп.
Така че при нашите условия първото устройство, което иска достъп до интернет, ще може да направи това, второто устройство също, но третото ще трябва да изчака, докато един от адресите на пула се освободи. Настройването на динамичен NAT се състои от 4 стъпки: дефиниране на входния и изходния интерфейс, идентифициране на „интересния“ трафик, създаване на NAT пул и действителното му настройване.
Сега ще преминем към Packet Tracer и ще се опитаме да настроим динамичен NAT. Първо трябва да премахнем статичните NAT настройки, за което въвеждаме последователно следните команди:
не Ip nat вътрешен източник статичен 192.168.1.10 200.124.22.1
не Ip nat вътрешен източник статичен 192.168.1.11 200.124.22.2
не Ip nat вътрешен източник статичен 192.168.1.100 200.124.22.3.
След това създавам списък за достъп List 1 за цялата мрежа с командата access-list 1 permit 192.168.1.0 0.0.0.255 и формирам NAT pool с командата ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 255.255.255.252. В тази команда посочих името на пула, адресите, които включва, и мрежовата маска.
След това посочвам кой NAT е - вътрешен или външен и източника, от който NAT трябва да черпи информация, в нашия случай това е list, използвайки командата ip nat inside source list 1. След това системата ще ви подкани дали имате нужда цял пул или конкретен интерфейс. Избирам басейн, защото имаме повече от 1 външен адрес. Ако изберете интерфейс, ще трябва да посочите порт с конкретен IP адрес. В окончателния вид командата ще изглежда така: ip nat в списъка с източници 1 пул NWKING. Сега този пул се състои от два адреса 200.124.22.1 200.124.22.2, но можете свободно да ги променяте или да добавяте нови адреси, които не са обвързани с конкретен интерфейс.
Трябва да се уверите, че вашата таблица за маршрутизиране е актуализирана, така че всеки от тези IP адреси в пула да бъде насочен към това устройство или няма да получите обратен трафик. За да сме сигурни, че настройките работят, ще повторим процедурата за пингване на облачния рутер, която беше извършена за статичен NAT. Ще отворя прозорец на рутер 1, за да видя съобщенията за режим на отстраняване на грешки и ще го изпратя ping от всяко от 3-те устройства.
Виждаме, че всички адреси на източника, откъдето идват ping пакетите, съответстват на настройките. В същото време пинг от PC0 не работи, защото нямаше достатъчно свободен външен адрес. Ако влезете в настройките на рутер 1, можете да видите, че в момента се използват адреси на пула 200.124.22.1 и 200.124.22.2. Сега ще изключа предаването и ще видите как редовете изчезват една по една. Отново пингвам от PC0 и както виждате, сега всичко работи, защото той успя да получи освободения външен адрес 200.124.22.1.
Как мога да изчистя NAT таблицата и да отменя дадения превод на адреса? Влизаме в настройките на рутера Router0 и въвеждаме командата clear ip nat translation * със звездичка в края на реда. Ако сега погледнем състоянието на превода с помощта на командата за превод show ip nat, системата ще ни даде празен низ.
За да видите NAT статистика, използвайте командата show ip nat statistics.
Това е много полезна команда, която показва общия брой динамични, статични и разширени NAT/PAT преводи. Можете да видите, че е 0, защото изчистихме излъчваните данни с предишната команда. Той показва входните и изходните интерфейси, броя на успешните и неуспешните удари и пропуски (броят на неуспешните се дължи на липсата на свободен външен адрес за вътрешния хост), името на списъка за достъп и пула.
Сега преминаваме към най-популярната форма на превод на IP адреси, разширен NAT или PAT. За да настроите PAT, трябва да следвате същите стъпки като за настройка на динамичен NAT: определете входните и изходните интерфейси на рутера, идентифицирайте „интересния“ трафик, създайте NAT пул и конфигурирайте PAT. Можем да създадем същия пул от множество адреси, както в предишния случай, но това не е необходимо, защото PAT използва един и същ външен адрес през цялото време. Единствената разлика между конфигурирането на динамичен NAT и PAT е ключовата дума за претоварване, която завършва последната команда за конфигуриране. След въвеждане на тази дума динамичният NAT автоматично се превръща в PAT.
Освен това използвате само един адрес в пула NWKING, например 200.124.22.1, но го посочвате два пъти като начален и краен външен адрес с мрежова маска 255.255.255.0. Можете да го направите по-лесно, като използвате параметъра на интерфейса източник и фиксирания адрес 1 на интерфейса G200.124.22.1 / 200.124.22.1 вместо реда ip nat 255.255.255.0 pool NWKING 200.124.22.1 0 мрежова маска 1. В този случай всички локални адреси при достъп до интернет ще бъдат преобразувани в този IP адрес.
Можете също така да използвате всеки друг IP адрес в пула, който не е непременно съответстващ на конкретен физически интерфейс. В този случай обаче трябва да се уверите, че всички рутери в мрежата ще могат да изпращат обратен трафик към устройството, което сте избрали. Недостатъкът на NAT е, че не може да се използва за адресиране от край до край, защото докато обратният пакет се връща към локалното устройство, неговият динамичен NAT IP адрес може да има време да се промени. Тоест, трябва да сте сигурни, че избраният IP адрес ще остане достъпен по време на комуникационната сесия.
Нека го разгледаме чрез Packet Tracer. Първо трябва да премахна динамичния NAT с командата no Ip nat inside source list 1 NWKING и да премахна NAT пула с командата no Ip nat pool NWKING 200.124.22.1 200.124.22.2 мрежова маска 225.255.255.252.
След това трябва да създам PAT пул с командата Ip nat pool NWKING 200.124.22.2 200.124.22.2 netmask 225.255.255.255. Този път използвам IP адрес, който не принадлежи на физическото устройство, защото физическото устройство има адрес 200.124.22.1, а аз искам да използвам 200.124.22.2. В нашия случай това работи, защото имаме локална мрежа.
След това конфигурирам PAT с командата за претоварване на Ip nat в списъка на източниците 1 на пул NWKING. След въвеждане на тази команда, преводът на PAT адрес се активира за нас. За да проверя дали настройката е правилна, отивам на нашите устройства, сървъра и два компютъра, и пингвам PC0 Router1 на 200.124.22.10. В прозореца с настройки на рутера можете да видите редовете за отстраняване на грешки, които показват, че източникът на ping, както очаквахме, е IP адресът 200.124.22.2. Пингът, изпратен от PC1 и Server0, идва от един и същи адрес.
Нека да видим какво се случва в справочната таблица на Router0. Можете да видите, че всички преобразувания са успешни, на всяко устройство е присвоен собствен порт и всички локални адреси са свързани с Router1 чрез IP адреса на пула 200.124.22.2.
Използвам командата show ip nat statistics за преглед на PAT статистика.
Виждаме, че общият брой реализации или преводи на адреси е 12, виждаме характеристиките на пула и друга информация.
Сега ще направя нещо друго - ще въведа командата Ip nat в списъка на източниците 1 интерфейс gigabit Ethernet g0 / 1 overload. Ако след това пингвате рутера от PC0, ще видите, че пакетът идва от адрес 200.124.22.1, тоест от физическия интерфейс! Това е по-лесен начин: ако не искате да създавате пул, което най-често се случва при използване на домашни рутери, тогава можете да използвате IP адреса на физическия интерфейс на рутера като външен NAT адрес. Ето как вашият частен адрес на хост най-често се превежда в публичната мрежа.
Днес научихме много важна тема, така че трябва да я практикувате. Използвайте Packet Tracer, за да тествате теоретичните си познания при решаване на практически NAT и PAT конфигурационни проблеми. Стигнахме до края на темата ICND1, първият изпит от курса на CCNA, така че вероятно ще посветя следващия видео урок на разбора.
Благодарим ви, че останахте с нас. Харесвате ли нашите статии? Искате ли да видите още интересно съдържание? Подкрепете ни, като направите поръчка или препоръчате на приятели, 30% отстъпка за потребителите на Habr за уникален аналог на сървъри от начално ниво, който беше измислен от нас за вас: (предлага се с RAID1 и RAID10, до 24 ядра и до 40GB DDR4).
Dell R730xd 2 пъти по-евтин? Само тук в Холандия! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - от $99! Прочети за
Източник: www.habr.com