Heute beschäftigen wir uns mit PAT (Port Address Translation), einer Technologie zur Übersetzung von IP-Adressen mithilfe von Ports, und NAT (Network Address Translation), einer Technologie zur Übersetzung von IP-Adressen von Transitpaketen. PAT ist ein Sonderfall von NAT. Wir werden drei Themen behandeln:
- private oder interne (Intranet, lokale) IP-Adressen und öffentliche oder externe IP-Adressen;
- NAT und PAT;
— NAT/PAT einstellen.
Beginnen wir mit internen privaten IP-Adressen. Wir wissen, dass sie in drei Klassen eingeteilt werden: A, B und C.
Interne Adressen der Klasse A belegen den Zehnerbereich von 10.0.0.0 bis 10.255.255.255, und externe Adressen reichen von 1.0.0.0 bis 9 und von 255.255.255 bis 11.0.0.0.
Interne Adressen der Klasse B reichen von 172.16.0.0 bis 172.31.255.255, während externe Adressen von 128.0.0.0 bis 172.15.255.255 und von 172.32.0.0 bis 191.255.255.255 reichen.
Interne Adressen der Klasse C reichen von 192.168.0.0 bis 192.168.255.255, während externe Adressen von 192.0.0 bis 192.167.255.255 und von 192.169.0.0 bis 223.255.255.255 reichen.
Adressen der Klasse A sind /8-Adressen, Adressen der Klasse B sind /12 und Adressen der Klasse C sind /16. Somit belegen externe und interne IP-Adressen unterschiedlicher Klassen unterschiedliche Bereiche.
Wir haben wiederholt darüber gesprochen, was der Unterschied zwischen privaten und öffentlichen IP-Adressen ist. Im Allgemeinen gilt: Wenn wir über einen Router und eine Gruppe interner IP-Adressen verfügen und diese versuchen, auf das Internet zuzugreifen, wandelt der Router diese in externe IP-Adressen um. Interne Adressen werden ausschließlich in lokalen Netzwerken verwendet, nicht im Internet.
Wenn ich über die Befehlszeile die Netzwerkparameter meines Computers ansehe, sehe ich dort meine interne LAN-IP-Adresse 192.168.1.103.
Um Ihre öffentliche IP-Adresse herauszufinden, können Sie einen Internetdienst wie „Was ist meine IP“ nutzen? Wie Sie sehen, unterscheidet sich die externe Adresse des Computers (78.100.196.163) von seiner internen Adresse.
In jedem Fall ist mein Computer im Internet unter der externen IP-Adresse sichtbar. Die interne Adresse meines Computers lautet also 192.168.1.103 und die externe 78.100.196.163. Die interne Adresse dient nur der lokalen Kommunikation, Sie können damit nicht auf das Internet zugreifen, hierfür benötigen Sie eine öffentliche IP-Adresse. Sie können sich daran erinnern, warum die Unterteilung in private und öffentliche Adressen vorgenommen wurde, indem Sie sich das Video-Tutorial von Tag 3 ansehen.
Überlegen Sie, was NAT ist. Es gibt drei Arten von NAT: statisches, dynamisches und „überlastetes“ NAT oder PAT.
In Cisco gibt es vier Begriffe, die NAT beschreiben. Wie gesagt, NAT ist ein Mechanismus zur Umwandlung interner Adressen in externe. Wenn ein mit dem Internet verbundenes Gerät ein Paket von einem anderen Gerät im lokalen Netzwerk empfängt, wird es dieses Paket einfach verwerfen, da das Format der internen Adresse nicht mit dem Format der im globalen Internet verwendeten Adressen übereinstimmt. Daher muss das Gerät eine öffentliche IP-Adresse erhalten, um auf das Internet zugreifen zu können.
Der erste Begriff lautet also Inside Local, was die IP-Adresse des Hosts im internen, lokalen Netzwerk bedeutet. Einfach ausgedrückt ist dies die primäre Quelladresse wie 192.168.1.10. Der zweite Begriff, Inside Global, ist die IP-Adresse des lokalen Hosts, unter dem er im externen Netzwerk sichtbar ist. In unserem Fall ist dies die IP-Adresse des externen Ports des Routers 200.124.22.10.
Wir können sagen, dass Inside Local eine private IP-Adresse ist, während Inside Global eine öffentliche IP-Adresse ist. Denken Sie daran, dass der Begriff „Innen“ in Bezug auf die Quelle des Datenverkehrs und „Außen“ in Bezug auf das Ziel des Datenverkehrs verwendet wird. Outside Local ist die IP-Adresse des Hosts im externen Netzwerk, unter der er für das interne Netzwerk sichtbar ist. Vereinfacht ausgedrückt ist dies die Adresse des Empfängers aus Sicht des internen Netzwerks. Ein Beispiel für eine solche Adresse ist die IP-Adresse 200.124.22.100 eines Geräts, das sich im Internet befindet.
Outside Global ist die IP-Adresse des Hosts, wie sie im externen Netzwerk angezeigt wird. In den meisten Fällen sehen die Outside Local- und Outside Global-Adressen gleich aus, da die Ziel-IP-Adresse auch nach der Übersetzung für die Quelle so sichtbar ist, wie sie vor der Übersetzung war.
Überlegen Sie, was statisches NAT ist. Statisches NAT bedeutet Eins-zu-eins-Übersetzung interner IP-Adressen in externe oder Eins-zu-eins-Übersetzung. Wenn Geräte Datenverkehr an das Internet senden, werden ihre internen Inside Local-Adressen in interne Inside Global-Adressen übersetzt.
Wir haben drei Geräte in unserem lokalen Netzwerk, und wenn sie online gehen, erhalten sie jeweils eine eigene Inside Global-Adresse. Diese Adressen werden Verkehrsquellen statisch zugewiesen. Das Eins-zu-eins-Prinzip bedeutet, dass wenn sich 3 Geräte im lokalen Netzwerk befinden, diese 100 externe Adressen erhalten.
NAT wurde geboren, um das Internet zu retten, dem die öffentlichen IP-Adressen ausgingen. Dank NAT können viele Unternehmen und viele Netzwerke eine gemeinsame externe IP-Adresse haben, in die die lokalen Adressen von Geräten beim Zugriff auf das Internet umgewandelt werden. Man kann sagen, dass es in diesem Fall des statischen NAT keine Einsparung an Adressen gibt, da hundert lokalen Computern hundert externe Adressen zugewiesen werden, und Sie werden völlig Recht haben. Allerdings bietet statisches NAT dennoch eine Reihe von Vorteilen.
Wir haben beispielsweise einen Server mit der internen IP-Adresse 192.168.1.100. Wenn ein Gerät im Internet Kontakt mit ihm aufnehmen möchte, kann es dies nicht über die interne Zieladresse tun, sondern muss die externe Serveradresse 200.124.22.3 verwenden. Wenn auf dem Router statisches NAT konfiguriert ist, wird der gesamte an 200.124.22.3 adressierte Datenverkehr automatisch an 192.168.1.100 weitergeleitet. Dies ermöglicht den externen Zugriff auf Geräte im lokalen Netzwerk, in diesem Fall auf den Webserver des Unternehmens, was in manchen Fällen erforderlich sein kann.
Ziehen Sie dynamisches NAT in Betracht. Es ist statisch sehr ähnlich, weist jedoch nicht jedem lokalen Gerät permanente externe Adressen zu. Wir haben zum Beispiel 3 lokale Geräte und nur 2 externe Adressen. Möchte das zweite Gerät auf das Internet zugreifen, wird ihm die erste freie IP-Adresse zugewiesen. Möchte ein Webserver danach online gehen, weist ihm der Router eine zweite verfügbare externe Adresse zu. Wenn danach das erste Gerät in das externe Netzwerk gehen möchte, ist für es keine IP-Adresse verfügbar und der Router verwirft sein Paket.
Wir können Hunderte von Geräten mit internen IP-Adressen haben und jedes dieser Geräte kann auf das Internet zugreifen. Da wir jedoch keine statische Zuweisung externer Adressen haben, können nicht mehr als 2 von hundert Geräten gleichzeitig auf das Internet zugreifen, da wir nur zwei dynamisch zugewiesene externe Adressen haben.
Cisco-Geräte haben eine feste Adressauflösungszeit, die standardmäßig 24 Stunden beträgt. Sie kann jederzeit auf 1,2,3, 10, XNUMX oder XNUMX Minuten geändert werden. Nach dieser Zeit werden externe Adressen freigegeben und automatisch an den Adresspool zurückgegeben. Wenn in diesem Moment das erste Gerät online gehen möchte und eine externe Adresse verfügbar ist, wird es diese empfangen. Der Router enthält eine NAT-Tabelle, die dynamisch aktualisiert wird. Bis zum Ablauf der Übersetzungszeit bleibt die zugewiesene Adresse im Gerät erhalten. Einfach ausgedrückt funktioniert dynamisches NAT nach dem Prinzip: „Wer zuerst war, der wurde bedient.“
Überlegen Sie, was ein überlastetes NAT oder PAT ist. Dies ist die häufigste Art von NAT. In Ihrem Heimnetzwerk befinden sich möglicherweise viele Geräte – ein PC, ein Smartphone, ein Laptop, ein Tablet – und alle sind mit einem Router verbunden, der über eine externe IP-Adresse verfügt. PAT ermöglicht es also vielen Geräten mit internen IP-Adressen, gleichzeitig unter einer externen IP-Adresse auf das Internet zuzugreifen. Dies ist dadurch möglich, dass jede private, interne IP-Adresse während einer Kommunikationssitzung eine bestimmte Portnummer verwendet.
Angenommen, wir haben eine öffentliche Adresse 200.124.22.1 und viele lokale Geräte. Beim Zugriff auf das Internet erhalten alle diese Hosts also die gleiche Adresse 200.124.22.1. Das einzige, was sie voneinander unterscheidet, ist die Portnummer.
Wenn Sie sich an die Diskussion über die Transportschicht erinnern, wissen Sie, dass die Transportschicht Portnummern enthält, wobei die Quellportnummer eine Zufallszahl ist.
Angenommen, es gibt einen Host im externen Netzwerk mit der IP-Adresse 200.124.22.10, der mit dem Internet verbunden ist. Wenn Computer 192.168.1.11 Kontakt zu Computer 200.124.22.10 aufnehmen möchte, wird ein zufälliger Quellport von 51772 erstellt. In diesem Fall ist der Zielport des externen Netzwerkcomputers 80.
Wenn der Router ein Paket vom lokalen Computer empfängt, das an das externe Netzwerk gerichtet ist, übersetzt er seine Inside Local-Adresse in die Inside Global-Adresse 200.124.22.1 und weist die Portnummer 23556 zu. Das Paket erreicht den Computer 200.124.22.10 und dieser muss gemäß dem Handshake-Verfahren eine Antwort mit der Zieladresse 200.124.22.1 und Port 23556 zurücksenden.
Der Router verfügt über eine NAT-Übersetzungstabelle. Wenn er also ein Paket von einem externen Computer empfängt, ermittelt er die Inside Local-Adresse, die der Inside Global-Adresse entspricht, als 192.168.1.11:51772 und leitet das Paket an diesen weiter. Danach kann die Verbindung zwischen den beiden Computern als hergestellt gelten.
Gleichzeitig können Sie Hunderte von Geräten nutzen, die für die Kommunikation dieselbe Adresse 200.124.22.1, aber unterschiedliche Portnummern verwenden, sodass sie alle gleichzeitig auf das Internet zugreifen können. Aus diesem Grund ist PAT eine so beliebte Übersetzungsmethode.
Werfen wir einen Blick auf die Einrichtung von statischem NAT. Für jedes Netzwerk müssen Sie zunächst die Eingabe- und Ausgabeschnittstellen definieren. Das Diagramm zeigt einen Router, über den der Datenverkehr von Port G0/0 zu Port G0/1, also vom internen Netzwerk zum externen Netzwerk, übertragen wird. Somit haben wir eine Eingabeschnittstelle 192.168.1.1 und eine Ausgabeschnittstelle 200.124.22.1.
Um NAT zu konfigurieren, gehen wir zur G0/0-Schnittstelle und legen die Parameter IP-Adresse 192.168.1.1 255.255.255.0 fest und geben mit dem Befehl ip nat inside an, dass diese Schnittstelle die Eingabe ist.
In ähnlicher Weise konfigurieren wir NAT auf der ausgehenden Schnittstelle G0/1, indem wir die IP-Adresse 200.124.22.1, die Subnetzmaske 255.255.255.0 und die IP-NAT außerhalb angeben. Denken Sie daran, dass die dynamische NAT-Übersetzung immer von der Eingangsschnittstelle zur Ausgangsschnittstelle von innen nach außen erfolgt. Bei dynamischem NAT erfolgt die Antwort natürlich über die Ausgabeschnittstelle an die Eingabeschnittstelle, aber wenn der Datenverkehr initiiert wird, funktioniert die Ein-Aus-Richtung. Bei statischem NAT kann der Datenverkehr in jede Richtung initiiert werden – eingehend oder ausgehend.
Als nächstes müssen wir eine statische NAT-Tabelle erstellen, in der jede lokale Adresse einer separaten globalen Adresse entspricht. In unserem Fall gibt es 3 Geräte, daher besteht die Tabelle aus 3 Einträgen, die die Inside Local IP-Adresse der Quelle angeben, die in die Inside Global-Adresse konvertiert wird: ip nat inside static 192.168.1.10 200.124.22.1.
Daher schreiben Sie beim statischen NAT manuell eine Übersetzung für jede lokale Hostadresse. Nun gehe ich zum Packet Tracer und nehme die oben beschriebenen Einstellungen vor.
Oben haben wir den Server 192.168.1.100, unten den Computer 192.168.1.10 und ganz unten den Computer 192.168.1.11. Port G0/0 von Router0 hat die IP-Adresse 192.168.1.1 und Port G0/1 ist 200.124.22.1. In der „Wolke“, die das Internet darstellt, habe ich Router1 platziert, dem ich die IP-Adresse 200.124.22.10 zugewiesen habe.
Ich gehe in die Router1-Einstellungen und gebe den Befehl debug ip icmp ein. Sobald der Ping nun dieses Gerät erreicht, erscheint im Einstellungsfenster eine Debug-Meldung, die anzeigt, um welche Art von Paket es sich handelt.
Beginnen wir mit der Konfiguration des Router0-Routers. Ich gehe in den globalen Einstellungsmodus und rufe die Schnittstelle G0/0 auf. Als nächstes gebe ich den Befehl „ip nat inside“ ein, gehe dann zur g0/1-Schnittstelle und gebe den Befehl „ip nat external“ ein. Somit habe ich die Ein- und Ausgabeschnittstellen des Routers zugewiesen. Jetzt muss ich die IP-Adressen manuell konfigurieren, also die Zeilen der Tabelle oben in die Einstellungen übertragen:
IP-NAT innerhalb der Quelle statisch 192.168.1.10 200.124.22.1
IP-NAT innerhalb der Quelle statisch 192.168.1.11 200.124.22.2
IP-NAT innerhalb der Quelle statisch 192.168.1.100 200.124.22.3
Jetzt werde ich Router1 von jedem unserer Geräte aus anpingen und sehen, welche IP-Adressen der empfangene Ping anzeigt. Dazu positioniere ich das geöffnete R1-CLI-Fenster auf der rechten Seite des Bildschirms, sodass ich die Debug-Meldungen sehen kann. Jetzt gehe ich zum PC0-Befehlszeilenterminal und pinge die Adresse 200.124.22.10 an. Danach erscheint im Fenster eine Meldung, dass der Ping von der IP-Adresse 200.124.22.1 empfangen wurde. Dies bedeutet, dass die IP-Adresse 192.168.1.10 des lokalen Computers in die globale Adresse 200.124.22.1 übersetzt wurde.
Ich mache dasselbe mit dem nächsten lokalen Computer und sehe, dass seine Adresse in 200.124.22.2 übersetzt wurde. Dann sende ich einen Ping vom Server und sehe die Adresse 200.124.22.3.
Wenn also der Datenverkehr von einem LAN-Gerät einen mit statischem NAT konfigurierten Router erreicht, wandelt der Router die lokale IP-Adresse gemäß der Tabelle in eine globale um und sendet den Datenverkehr an das externe Netzwerk. Um die NAT-Tabelle zu überprüfen, gebe ich den Befehl show ip nat translators aus.
Jetzt können wir alle Transformationen sehen, die der Router vornimmt. Die erste Spalte Inside Global enthält die Adresse des Geräts vor dem Broadcast, also die Adresse, unter der das Gerät vom externen Netzwerk aus sichtbar ist, gefolgt von der Inside Local-Adresse, also der Adresse des Geräts im lokalen Netzwerk. Die dritte Spalte zeigt die Outside Local-Adresse und die vierte Spalte die Outside Global-Adresse. Beide Werte sind identisch, da wir die Ziel-IP-Adresse nicht übersetzen. Wie Sie sehen können, wurde die Tabelle nach einigen Sekunden gelöscht, da Packet Tracer eine kurze Ping-Zeitüberschreitung hatte.
Ich kann den Server bei 1 von R200.124.22.3 aus anpingen, und wenn ich zurück zu den Router-Einstellungen gehe, sehe ich, dass die Tabelle wieder mit vier Ping-Zeilen mit der übersetzten Zieladresse 192.168.1.100 gefüllt ist.
Wie gesagt, selbst wenn das Übersetzungs-Timeout ausgelöst wurde, wird der NAT-Mechanismus automatisch aktiviert, wenn Datenverkehr von einer externen Quelle initiiert wird. Dies geschieht nur, wenn statisches NAT verwendet wird.
Schauen wir uns nun an, wie dynamisches NAT funktioniert. In unserem Beispiel gibt es zwei öffentliche Adressen für drei LAN-Geräte, es können jedoch Dutzende oder Hunderte solcher privater Hosts vorhanden sein. Gleichzeitig können nur 2 Geräte gleichzeitig auf das Internet zugreifen. Betrachten wir darüber hinaus den Unterschied zwischen statischem und dynamischem NAT.
Wie im vorherigen Fall müssen Sie zunächst die Ein- und Ausgabeschnittstellen des Routers ermitteln. Als nächstes erstellen wir eine Art Zugriffsliste, aber das ist nicht dieselbe ACL, über die wir in der vorherigen Lektion gesprochen haben. Diese Zugriffsliste wird verwendet, um den Datenverkehr zu identifizieren, den wir umwandeln möchten. Hier kommt der neue Begriff „interessanter Verkehr“ oder „interessanter Verkehr“. Dabei handelt es sich um Datenverkehr, an dem Sie aus irgendeinem Grund interessiert sind. Wenn dieser Datenverkehr den Bedingungen der Zugriffsliste entspricht, wird er NAT-verschlüsselt und übersetzt. Dieser Begriff ist in vielen Fällen auf Datenverkehr anwendbar. Im Fall eines VPN bezieht sich „interessant“ beispielsweise auf Datenverkehr, der durch einen VPN-Tunnel geleitet wird.
Wir müssen eine ACL erstellen, die interessanten Verkehr identifiziert. In unserem Fall ist es der Verkehr des gesamten Netzwerks 192.168.1.0, zusammen mit der Angabe der umgekehrten Maske 0.0.0.255.
Als nächstes müssen wir einen NAT-Pool erstellen, für den wir den Befehl ip nat pool <Poolname> verwenden und den IP-Adresspool 200.124.22.1 200.124.22.2 angeben. Das bedeutet, dass wir nur zwei externe IP-Adressen bereitstellen. Der Befehl verwendet dann das Schlüsselwort netmask und gibt die Subnetzmaske 255.255.255.252 ein. Das letzte Oktett der Maske ist (255 – die Anzahl der Pooladressen beträgt 1). Wenn Sie also 254 Adressen im Pool haben, lautet die Subnetzmaske 255.255.255.0. Dies ist eine sehr wichtige Einstellung. Achten Sie daher darauf, beim Einrichten von dynamischem NAT den richtigen Netzmaskenwert einzugeben.
Als nächstes verwenden wir einen Befehl, der den NAT-Mechanismus startet: ip nat inside sourse list 1 pool NWKING, wobei NWKING der Name des Pools und list 1 die ACL-Nummer 1 ist. Denken Sie daran, dass Sie zunächst einen dynamischen Adresspool und eine Zugriffsliste erstellen müssen, damit dieser Befehl funktioniert.
Unter unseren Bedingungen kann also das erste Gerät, das auf das Internet zugreifen möchte, dies tun, das zweite Gerät auch, aber das dritte muss warten, bis eine der Pooladressen frei ist. Das Einrichten von dynamischem NAT besteht aus vier Schritten: Definieren der Eingabe- und Ausgabeschnittstelle, Identifizieren von „interessantem“ Datenverkehr, Erstellen eines NAT-Pools und eigentliches Einrichten.
Nun gehen wir zum Packet Tracer über und versuchen, dynamisches NAT einzurichten. Zuerst müssen wir die statischen NAT-Einstellungen entfernen, wofür wir nacheinander folgende Befehle eingeben:
kein IP-NAT innerhalb der Quelle statisch 192.168.1.10 200.124.22.1
kein IP-NAT innerhalb der Quelle statisch 192.168.1.11 200.124.22.2
kein IP-NAT innerhalb der Quelle statisch 192.168.1.100 200.124.22.3.
Als nächstes erstelle ich mit dem Befehl access-list 1 erlauben 1 192.168.1.0 eine Liste-0.0.0.255-Zugriffsliste für das gesamte Netzwerk und bilde mit dem Befehl ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 255.255.255.252 einen NAT-Pool. In diesem Befehl habe ich den Namen des Pools, die darin enthaltenen Adressen und die Netzmaske angegeben.
Anschließend lege ich mit dem Befehl ip nat inside source list 1 fest, um welches NAT es sich handelt – intern oder extern – und die Quelle, aus der NAT Informationen beziehen soll, in unserem Fall handelt es sich um list. Danach fragt Sie das System, ob Sie einen ganzen Pool oder eine bestimmte Schnittstelle benötigen. Ich wähle Pool, weil wir mehr als eine externe Adresse haben. Wenn Sie Schnittstelle auswählen, müssen Sie einen Port mit einer bestimmten IP-Adresse angeben. In der endgültigen Form sieht der Befehl folgendermaßen aus: ip nat inside source list 1 pool NWKING. Dieser Pool besteht nun aus zwei Adressen 1 und 200.124.22.1, Sie können diese jedoch frei ändern oder neue Adressen hinzufügen, die nicht an eine bestimmte Schnittstelle gebunden sind.
Sie müssen sicherstellen, dass Ihre Routing-Tabelle aktualisiert wurde, sodass alle IP-Adressen im Pool an dieses Gerät weitergeleitet werden müssen, sonst erhalten Sie keinen Rückverkehr. Um sicherzustellen, dass die Einstellungen funktionieren, wiederholen wir den Vorgang zum Pingen des Cloud-Routers, der für statisches NAT durchgeführt wurde. Ich öffne ein Fenster auf Router 1, um die Debug-Modus-Meldungen anzuzeigen und es von jedem der drei Geräte anzupingen.
Wir sehen, dass alle Quelladressen, von denen Ping-Pakete kommen, den Einstellungen entsprechen. Gleichzeitig funktioniert ein Ping von PC0 nicht, da nicht genügend freie externe Adresse vorhanden war. Wenn Sie in die Einstellungen von Router 1 gehen, können Sie sehen, dass derzeit die Pooladressen 200.124.22.1 und 200.124.22.2 verwendet werden. Jetzt schalte ich die Übertragung aus und Sie werden sehen, wie die Zeilen nacheinander verschwinden. Ich pinge erneut von PC0 aus, und wie Sie sehen, funktioniert jetzt alles, da er die frei gewordene externe Adresse 200.124.22.1 erhalten konnte.
Wie kann ich die NAT-Tabelle löschen und die angegebene Adressübersetzung abbrechen? Wir gehen in die Einstellungen des Routers Router0 und geben den Befehl clear ip nat translation * mit einem Sternchen am Ende der Zeile ein. Wenn wir uns nun mit dem Befehl show ip nat translation den Übersetzungsstatus ansehen, liefert uns das System einen leeren String.
Um NAT-Statistiken anzuzeigen, verwenden Sie den Befehl show ip nat Statistics.
Dies ist ein sehr nützlicher Befehl, der die Gesamtzahl der dynamischen, statischen und erweiterten NAT/PAT-Übersetzungen anzeigt. Sie können sehen, dass es 0 ist, weil wir die Broadcast-Daten mit dem vorherigen Befehl gelöscht haben. Es zeigt die Ein- und Ausgabeschnittstellen, die Anzahl erfolgreicher und erfolgloser Hits und Misses (die Anzahl der Fehler ist auf das Fehlen einer freien externen Adresse für den internen Host zurückzuführen), den Namen der Zugriffsliste und des Pools an.
Wir wenden uns nun der beliebtesten Form der IP-Adressübersetzung zu, dem erweiterten NAT oder PAT. Um PAT einzurichten, müssen Sie die gleichen Schritte wie beim Einrichten von dynamischem NAT ausführen: Bestimmen Sie die Eingabe- und Ausgabeschnittstellen des Routers, identifizieren Sie „interessanten“ Datenverkehr, erstellen Sie einen NAT-Pool und konfigurieren Sie PAT. Wir können denselben Pool mehrerer Adressen wie im vorherigen Fall erstellen, dies ist jedoch nicht erforderlich, da PAT immer dieselbe externe Adresse verwendet. Der einzige Unterschied zwischen der Konfiguration von dynamischem NAT und PAT ist das Schlüsselwort „overload“, das den letzten Konfigurationsbefehl beendet. Nach Eingabe dieses Wortes wird dynamisches NAT automatisch in PAT umgewandelt.
Außerdem verwenden Sie nur eine Adresse im NWKING-Pool, zum Beispiel 200.124.22.1, geben diese jedoch zweimal als externe Start- und Endadresse mit der Netzmaske 255.255.255.0 an. Sie können es einfacher machen, indem Sie den Quellschnittstellenparameter und die feste Adresse 1 der G200.124.22.1/200.124.22.1-Schnittstelle anstelle der Zeile ip nat 255.255.255.0 pool NWKING 200.124.22.1 0 netmask 1 verwenden. In diesem Fall werden alle lokalen Adressen beim Zugriff auf das Internet auf diese IP-Adresse umgewandelt.
Sie können auch jede andere IP-Adresse im Pool verwenden, die nicht unbedingt einer bestimmten physischen Schnittstelle entspricht. Allerdings müssen Sie in diesem Fall sicherstellen, dass alle Router im Netzwerk den Rückverkehr an das von Ihnen gewählte Gerät senden können. Der Nachteil von NAT besteht darin, dass es nicht für eine End-to-End-Adressierung verwendet werden kann, denn während das Rückpaket zum lokalen Gerät zurückkehrt, hat seine dynamische NAT-IP-Adresse möglicherweise Zeit, sich zu ändern. Das heißt, Sie müssen sicher sein, dass die ausgewählte IP-Adresse für die Dauer der Kommunikationssitzung verfügbar bleibt.
Schauen wir es uns mit Packet Tracer an. Zuerst muss ich das dynamische NAT mit dem NWKING-Befehl „no Ip nat inside source list 1“ und den NAT-Pool mit dem Befehl „no Ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 225.255.255.252“ entfernen.
Dann muss ich einen PAT-Pool mit dem Befehl Ip nat pool NWKING 200.124.22.2 200.124.22.2 netmask 225.255.255.255 erstellen. Dieses Mal verwende ich eine IP-Adresse, die nicht zum physischen Gerät gehört, da das physische Gerät die Adresse 200.124.22.1 hat und ich 200.124.22.2 verwenden möchte. In unserem Fall funktioniert das, weil wir über ein lokales Netzwerk verfügen.
Als Nächstes konfiguriere ich PAT mit dem NWKING-Überlastungsbefehl „Ip nat inside source list 1 pool“. Nach Eingabe dieses Befehls wird für uns die PAT-Adressübersetzung aktiviert. Um zu überprüfen, ob die Einrichtung korrekt ist, gehe ich zu unseren Geräten, dem Server und zwei Computern, und pinge PC0 Router1 unter 200.124.22.10 an. Im Router-Einstellungsfenster sehen Sie die Debug-Zeilen, die zeigen, dass die Ping-Quelle erwartungsgemäß die IP-Adresse 200.124.22.2 ist. Der von PC1 und Server0 gesendete Ping stammt von derselben Adresse.
Sehen wir uns an, was in der Nachschlagetabelle von Router0 passiert. Sie können sehen, dass alle Konvertierungen erfolgreich waren, jedem Gerät ein eigener Port zugewiesen wurde und alle lokalen Adressen über die Pool-IP-Adresse 1 mit Router200.124.22.2 verknüpft sind.
Ich verwende den Befehl show ip nat Statistics, um PAT-Statistiken anzuzeigen.
Wir sehen, dass die Gesamtzahl der Konvertierungen oder Adressübersetzungen 12 beträgt, wir sehen die Eigenschaften des Pools und andere Informationen.
Jetzt werde ich etwas anderes tun – ich werde den Befehl Ip nat in die Quellliste 1 Schnittstelle Gigabit Ethernet G0/1 Überlastung eingeben. Wenn Sie anschließend den Router von PC0 aus anpingen, können Sie sehen, dass das Paket von der Adresse 200.124.22.1, also von der physischen Schnittstelle, stammt! Dies ist eine einfachere Möglichkeit: Wenn Sie keinen Pool erstellen möchten, was bei der Verwendung von Heimroutern am häufigsten der Fall ist, können Sie die IP-Adresse der physischen Schnittstelle des Routers als externe NAT-Adresse verwenden. Auf diese Weise wird Ihre private Hostadresse am häufigsten in das öffentliche Netzwerk übersetzt.
Heute haben wir ein sehr wichtiges Thema gelernt, also müssen Sie es üben. Testen Sie mit Packet Tracer Ihr theoretisches Wissen bei der Lösung praktischer NAT- und PAT-Konfigurationsprobleme. Wir sind am Ende des ICND1-Themas angelangt, der ersten Prüfung des CCNA-Kurses, daher werde ich die nächste Videolektion wahrscheinlich der Nachbesprechung widmen.
Vielen Dank, dass Sie bei uns geblieben sind. Gefallen Ihnen unsere Artikel? Möchten Sie weitere interessante Inhalte sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder an Freunde weiterempfehlen. 30 % Rabatt für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das von uns für Sie erfunden wurde: (verfügbar mit RAID1 und RAID10, bis zu 24 Kerne und bis zu 40 GB DDR4).
Dell R730xd 2-mal günstiger? Nur hier in den Niederlanden! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbit/s 100 TB – ab 99 $! Lesen über
Source: habr.com