Σήμερα θα μελετήσουμε το PAT (Port Address Translation), μια τεχνολογία μετάφρασης διευθύνσεων IP με χρήση θυρών, και το NAT (Network Address Translation), μια τεχνολογία μετάφρασης διευθύνσεων IP διαμετακομιστικών πακέτων. Το ΠΑΤ είναι μια ειδική περίπτωση του ΝΑΤ. Θα καλύψουμε τρία θέματα:
- ιδιωτικές ή εσωτερικές (intranet, τοπικές) διευθύνσεις IP και δημόσιες ή εξωτερικές διευθύνσεις IP.
- NAT και PAT.
— ρύθμιση NAT/PAT.
Ας ξεκινήσουμε με τις εσωτερικές Ιδιωτικές διευθύνσεις IP. Γνωρίζουμε ότι χωρίζονται σε τρεις κατηγορίες: Α, Β και Γ.
Οι εσωτερικές διευθύνσεις κατηγορίας Α καταλαμβάνουν το εύρος δεκάδων από 10.0.0.0 έως 10.255.255.255 και οι εξωτερικές διευθύνσεις κυμαίνονται από 1.0.0.0 έως 9 και από 255.255.255 έως 11.0.0.0.
Οι εσωτερικές διευθύνσεις κατηγορίας Β κυμαίνονται από 172.16.0.0 έως 172.31.255.255, ενώ οι εξωτερικές διευθύνσεις κυμαίνονται από 128.0.0.0 έως 172.15.255.255 και από 172.32.0.0 έως 191.255.255.255.
Οι εσωτερικές διευθύνσεις κατηγορίας C κυμαίνονται από 192.168.0.0 έως 192.168.255.255, ενώ οι εξωτερικές διευθύνσεις κυμαίνονται από 192.0.0 έως 192.167.255.255 και από 192.169.0.0 έως 223.255.255.255.
Οι διευθύνσεις κλάσης Α είναι διευθύνσεις /8, διευθύνσεις κατηγορίας Β είναι /12 και διευθύνσεις κατηγορίας C είναι /16. Έτσι, οι εξωτερικές και εσωτερικές διευθύνσεις IP διαφορετικών κλάσεων καταλαμβάνουν διαφορετικές περιοχές.
Έχουμε συζητήσει επανειλημμένα ποια είναι η διαφορά μεταξύ ιδιωτικών και δημόσιων διευθύνσεων IP. Σε γενικές γραμμές, εάν έχουμε έναν δρομολογητή και μια ομάδα εσωτερικών διευθύνσεων IP, όταν προσπαθούν να αποκτήσουν πρόσβαση στο Διαδίκτυο, ο δρομολογητής τις μετατρέπει σε εξωτερικές διευθύνσεις IP. Οι εσωτερικές διευθύνσεις χρησιμοποιούνται αποκλειστικά σε τοπικά δίκτυα και όχι στο Διαδίκτυο.
Εάν χρησιμοποιήσω τη γραμμή εντολών για να προβάλω τις παραμέτρους δικτύου του υπολογιστή μου, βλέπω την εσωτερική μου διεύθυνση IP LAN 192.168.1.103 εκεί.
Για να μάθετε τη δημόσια διεύθυνση IP σας, μπορείτε να χρησιμοποιήσετε μια υπηρεσία Διαδικτύου όπως "What is my IP"; Όπως μπορείτε να δείτε, η εξωτερική διεύθυνση 78.100.196.163 του υπολογιστή είναι διαφορετική από την εσωτερική του διεύθυνση.
Σε όλες τις περιπτώσεις, ο υπολογιστής μου είναι ορατός στο Διαδίκτυο στην εξωτερική διεύθυνση IP. Έτσι, η εσωτερική διεύθυνση του υπολογιστή μου είναι 192.168.1.103 και η εξωτερική είναι 78.100.196.163. Η εσωτερική διεύθυνση χρησιμοποιείται μόνο για τοπική επικοινωνία, δεν μπορείτε να έχετε πρόσβαση στο Διαδίκτυο με αυτήν, για αυτό χρειάζεστε μια δημόσια διεύθυνση IP. Μπορείτε να θυμηθείτε γιατί έγινε η διαίρεση σε ιδιωτικές και δημόσιες διευθύνσεις, ανατρέχοντας στο εκπαιδευτικό βίντεο της Ημέρας 3.
Σκεφτείτε τι είναι το NAT. Υπάρχουν τρεις τύποι NAT: στατικό, δυναμικό και "υπερφορτωμένο" NAT ή PAT.
Υπάρχουν 4 όροι στη Cisco που περιγράφουν NAT. Όπως είπα, το NAT είναι ένας μηχανισμός μετατροπής εσωτερικών διευθύνσεων σε εξωτερικές. Εάν μια συσκευή συνδεδεμένη στο Διαδίκτυο λάβει ένα πακέτο από άλλη συσκευή στο τοπικό δίκτυο, απλώς θα απορρίψει αυτό το πακέτο, καθώς η μορφή της εσωτερικής διεύθυνσης δεν ταιριάζει με τη μορφή των διευθύνσεων που χρησιμοποιούνται στο παγκόσμιο Διαδίκτυο. Επομένως, η συσκευή πρέπει να αποκτήσει μια δημόσια διεύθυνση IP για πρόσβαση στο Διαδίκτυο.
Έτσι, ο πρώτος όρος είναι Inside Local, που σημαίνει τη διεύθυνση IP του κεντρικού υπολογιστή στο εσωτερικό, τοπικό δίκτυο. Με απλά λόγια, αυτή είναι η κύρια διεύθυνση πηγής όπως 192.168.1.10. Ο δεύτερος όρος, Inside Global, είναι η διεύθυνση IP του τοπικού κεντρικού υπολογιστή κάτω από τον οποίο είναι ορατός στο εξωτερικό δίκτυο. Στην περίπτωσή μας, αυτή είναι η διεύθυνση IP της εξωτερικής θύρας του δρομολογητή 200.124.22.10.
Μπορούμε να πούμε ότι το Inside Local είναι μια ιδιωτική διεύθυνση IP, ενώ το Inside Global είναι μια δημόσια διεύθυνση IP. Θυμηθείτε ότι ο όρος Inside χρησιμοποιείται σε σχέση με την πηγή της κίνησης και ο όρος Outside χρησιμοποιείται σε σχέση με τον προορισμό της κίνησης. Το Outside Local είναι η διεύθυνση IP του κεντρικού υπολογιστή στο εξωτερικό δίκτυο στο οποίο είναι ορατός στο εσωτερικό δίκτυο. Με απλά λόγια, αυτή είναι η διεύθυνση του παραλήπτη όπως φαίνεται από το εσωτερικό δίκτυο. Ένα παράδειγμα τέτοιας διεύθυνσης είναι η διεύθυνση IP 200.124.22.100 μιας συσκευής που βρίσκεται στο Διαδίκτυο.
Το Outside Global είναι η διεύθυνση IP του κεντρικού υπολογιστή όπως φαίνεται στο εξωτερικό δίκτυο. Στις περισσότερες περιπτώσεις, οι διευθύνσεις Outside Local και Outside Global φαίνονται ίδιες, επειδή ακόμη και μετά τη μετάφραση, η διεύθυνση IP προορισμού είναι ορατή στην πηγή όπως ήταν πριν από τη μετάφραση.
Εξετάστε τι είναι το στατικό NAT. Στατικό NAT σημαίνει μετάφραση ένας προς έναν εσωτερικών διευθύνσεων IP σε εξωτερικές ή μετάφραση ένας προς έναν. Όταν οι συσκευές στέλνουν κίνηση στο Διαδίκτυο, οι εσωτερικές τους διευθύνσεις Inside Local μεταφράζονται σε εσωτερικές διευθύνσεις Inside Global.
Έχουμε 3 συσκευές στο τοπικό μας δίκτυο και όταν πρόκειται να συνδεθούν στο διαδίκτυο, η καθεμία έχει τη δική της διεύθυνση Inside Global. Αυτές οι διευθύνσεις εκχωρούνται στατικά σε πηγές επισκεψιμότητας. Η αρχή ένας προς έναν σημαίνει ότι εάν υπάρχουν 100 συσκευές στο τοπικό δίκτυο, λαμβάνουν 100 εξωτερικές διευθύνσεις.
Το NAT γεννήθηκε για να σώσει το Διαδίκτυο, το οποίο τελείωσε από δημόσιες διευθύνσεις IP. Χάρη στο NAT, πολλές εταιρείες, πολλά δίκτυα μπορούν να έχουν μια κοινή εξωτερική διεύθυνση IP, στην οποία θα μετατρέπονται οι τοπικές διευθύνσεις των συσκευών κατά την πρόσβαση στο Διαδίκτυο. Μπορείτε να πείτε ότι σε αυτή την περίπτωση του στατικού NAT δεν υπάρχει εξοικονόμηση στον αριθμό των διευθύνσεων, αφού σε εκατό τοπικούς υπολογιστές έχουν εκχωρηθεί εκατό εξωτερικές διευθύνσεις και θα έχετε απόλυτο δίκιο. Ωστόσο, το στατικό NAT εξακολουθεί να έχει μια σειρά από πλεονεκτήματα.
Για παράδειγμα, έχουμε έναν διακομιστή με εσωτερική διεύθυνση IP 192.168.1.100. Εάν κάποια συσκευή στο Διαδίκτυο θέλει να επικοινωνήσει μαζί της, δεν θα μπορεί να το κάνει χρησιμοποιώντας την εσωτερική διεύθυνση προορισμού, για αυτό πρέπει να χρησιμοποιήσει τη διεύθυνση εξωτερικού διακομιστή 200.124.22.3. Εάν το στατικό NAT έχει ρυθμιστεί στο δρομολογητή, όλη η κίνηση που απευθύνεται στο 200.124.22.3 προωθείται αυτόματα στο 192.168.1.100. Αυτό παρέχει εξωτερική πρόσβαση σε συσκευές στο τοπικό δίκτυο, σε αυτήν την περίπτωση στον διακομιστή web της εταιρείας, κάτι που μπορεί να είναι απαραίτητο σε ορισμένες περιπτώσεις.
Εξετάστε το δυναμικό NAT. Είναι πολύ παρόμοιο με το στατικό, αλλά δεν εκχωρεί μόνιμες εξωτερικές διευθύνσεις σε κάθε τοπική συσκευή. Για παράδειγμα, έχουμε 3 τοπικές συσκευές και μόνο 2 εξωτερικές διευθύνσεις. Εάν η δεύτερη συσκευή θέλει να αποκτήσει πρόσβαση στο Διαδίκτυο, θα της εκχωρηθεί η πρώτη δωρεάν διεύθυνση IP. Εάν ένας διακομιστής ιστού θέλει να συνδεθεί στο διαδίκτυο μετά από αυτόν, ο δρομολογητής θα του εκχωρήσει μια δεύτερη διαθέσιμη εξωτερική διεύθυνση. Εάν μετά από αυτό η πρώτη συσκευή θέλει να μεταβεί στο εξωτερικό δίκτυο, δεν θα υπάρχει διαθέσιμη διεύθυνση IP για αυτήν και ο δρομολογητής θα απορρίψει το πακέτο της.
Μπορούμε να έχουμε εκατοντάδες συσκευές με εσωτερικές διευθύνσεις IP και καθεμία από αυτές τις συσκευές μπορεί να έχει πρόσβαση στο Διαδίκτυο. Επειδή όμως δεν έχουμε στατική εκχώρηση εξωτερικών διευθύνσεων, όχι περισσότερες από 2 συσκευές στις εκατό θα μπορούν να έχουν πρόσβαση στο Διαδίκτυο ταυτόχρονα, επειδή έχουμε μόνο δύο δυναμικά εκχωρημένες εξωτερικές διευθύνσεις.
Οι συσκευές Cisco έχουν σταθερό χρόνο ανάλυσης διεύθυνσης, ο οποίος είναι 24 ώρες από προεπιλογή. Μπορεί να αλλάξει σε 1,2,3, 10 λεπτά, όποτε θέλετε. Μετά από αυτό το χρονικό διάστημα, οι εξωτερικές διευθύνσεις απελευθερώνονται και επιστρέφουν αυτόματα στο χώρο συγκέντρωσης διευθύνσεων. Εάν αυτή τη στιγμή η πρώτη συσκευή θέλει να συνδεθεί στο διαδίκτυο και είναι διαθέσιμη οποιαδήποτε εξωτερική διεύθυνση, τότε θα τη λάβει. Ο δρομολογητής περιέχει έναν πίνακα NAT που ενημερώνεται δυναμικά και μέχρι να λήξει ο χρόνος μετάφρασης, η εκχωρημένη διεύθυνση διατηρείται από τη συσκευή. Με απλά λόγια, το δυναμικό ΝΑΤ λειτουργεί με την αρχή: «ποιος ήρθε πρώτος, εξυπηρετήθηκε».
Σκεφτείτε τι είναι ένα υπερφορτωμένο NAT ή PAT. Αυτός είναι ο πιο κοινός τύπος NAT. Μπορεί να υπάρχουν πολλές συσκευές στο οικιακό σας δίκτυο - ένας υπολογιστής, ένα smartphone, ένας φορητός υπολογιστής, ένα tablet και όλες συνδέονται σε έναν δρομολογητή που έχει μία εξωτερική διεύθυνση IP. Έτσι, το PAT επιτρέπει σε πολλές συσκευές με εσωτερικές διευθύνσεις IP να έχουν ταυτόχρονη πρόσβαση στο Διαδίκτυο με μία εξωτερική διεύθυνση IP. Αυτό είναι δυνατό λόγω του γεγονότος ότι κάθε ιδιωτική, εσωτερική διεύθυνση IP χρησιμοποιεί έναν συγκεκριμένο αριθμό θύρας κατά τη διάρκεια μιας συνεδρίας επικοινωνίας.
Ας υποθέσουμε ότι έχουμε μια δημόσια διεύθυνση 200.124.22.1 και πολλές τοπικές συσκευές. Έτσι, κατά την πρόσβαση στο Διαδίκτυο, όλοι αυτοί οι κεντρικοί υπολογιστές θα λαμβάνουν την ίδια διεύθυνση 200.124.22.1. Το μόνο που θα τα ξεχωρίσει μεταξύ τους είναι ο αριθμός θύρας.
Εάν θυμάστε τη συζήτηση σχετικά με το επίπεδο μεταφοράς, γνωρίζετε ότι το επίπεδο μεταφοράς περιέχει αριθμούς θύρας, με τον αριθμό θύρας προέλευσης να είναι ένας τυχαίος αριθμός.
Ας υποθέσουμε ότι υπάρχει ένας κεντρικός υπολογιστής στο εξωτερικό δίκτυο με διεύθυνση IP 200.124.22.10 που είναι συνδεδεμένος στο Διαδίκτυο. Εάν ο υπολογιστής 192.168.1.11 θέλει να επικοινωνήσει με τον υπολογιστή 200.124.22.10, θα δημιουργήσει μια θύρα τυχαίας πηγής 51772. Σε αυτήν την περίπτωση, η θύρα προορισμού του εξωτερικού υπολογιστή δικτύου θα είναι 80.
Όταν ο δρομολογητής λάβει ένα πακέτο από τον τοπικό υπολογιστή που κατευθύνεται στο εξωτερικό δίκτυο, θα μεταφράσει την τοπική του διεύθυνση Inside Local στη διεύθυνση Inside Global 200.124.22.1 και θα εκχωρήσει τον αριθμό θύρας 23556. Το πακέτο θα φτάσει στον υπολογιστή 200.124.22.10 και θα πρέπει να στείλει πίσω μια απάντηση σύμφωνα με τη διαδικασία χειραψίας, ο προορισμός θα είναι 200.124.22.1 και η θύρα 23556.
Ο δρομολογητής έχει έναν πίνακα μετάφρασης NAT, επομένως, όταν λαμβάνει ένα πακέτο από έναν εξωτερικό υπολογιστή, θα προσδιορίσει τη διεύθυνση Inside Local που αντιστοιχεί στη διεύθυνση Inside Global ως 192.168.1.11:51772 και θα προωθήσει το πακέτο σε αυτόν. Μετά από αυτό, η σύνδεση μεταξύ των δύο υπολογιστών μπορεί να θεωρηθεί ότι έχει εδραιωθεί.
Ταυτόχρονα, μπορείτε να έχετε εκατοντάδες συσκευές που χρησιμοποιούν την ίδια διεύθυνση 200.124.22.1 για επικοινωνία, αλλά διαφορετικούς αριθμούς θύρας, ώστε να μπορούν όλες να έχουν πρόσβαση στο Διαδίκτυο ταυτόχρονα. Αυτός είναι ο λόγος για τον οποίο το PAT είναι μια τόσο δημοφιλής μέθοδος μετάφρασης.
Ας ρίξουμε μια ματιά στη ρύθμιση του στατικού NAT. Για οποιοδήποτε δίκτυο, πρέπει πρώτα να ορίσετε τις διεπαφές εισόδου και εξόδου. Το διάγραμμα δείχνει έναν δρομολογητή μέσω του οποίου η κίνηση μεταδίδεται από τη θύρα G0 / 0 στη θύρα G0 / 1, δηλαδή από το εσωτερικό δίκτυο στο εξωτερικό δίκτυο. Έτσι, έχουμε μια διεπαφή εισόδου 192.168.1.1 και μια διεπαφή εξόδου 200.124.22.1.
Για να διαμορφώσουμε το NAT, πηγαίνουμε στη διεπαφή G0 / 0 και ορίζουμε τις παραμέτρους διευθύνσεις ip 192.168.1.1 255.255.255.0 και υποδεικνύουμε ότι αυτή η διεπαφή είναι η είσοδος χρησιμοποιώντας την εντολή ip nat inside.
Ομοίως, διαμορφώνουμε το NAT στην εξερχόμενη διεπαφή G0/1, προσδιορίζοντας τη διεύθυνση IP 200.124.22.1, τη μάσκα υποδικτύου 255.255.255.0 και το ip nat έξω. Να θυμάστε ότι η δυναμική μετάφραση NAT γίνεται πάντα από τη διεπαφή εισόδου στη διεπαφή εξόδου, από μέσα προς τα έξω. Φυσικά, για το δυναμικό NAT, η απόκριση έρχεται στη διεπαφή εισόδου μέσω της εξόδου, αλλά όταν ξεκινά η κυκλοφορία, είναι η κατεύθυνση προς τα έξω που λειτουργεί. Στην περίπτωση του στατικού NAT, η κυκλοφορία μπορεί να ξεκινήσει προς οποιαδήποτε από τις κατευθύνσεις - in-out ή out-in.
Στη συνέχεια, πρέπει να δημιουργήσουμε έναν στατικό πίνακα NAT, όπου κάθε τοπική διεύθυνση αντιστοιχεί σε μια ξεχωριστή καθολική διεύθυνση. Στην περίπτωσή μας, υπάρχουν 3 συσκευές, οπότε ο πίνακας θα αποτελείται από 3 καταχωρήσεις, οι οποίες υποδεικνύουν την Inside Local IP διεύθυνση της πηγής, η οποία μετατρέπεται στη διεύθυνση Inside Global: ip nat inside static 192.168.1.10 200.124.22.1.
Έτσι, στο στατικό NAT, γράφετε με μη αυτόματο τρόπο μια μετάφραση για κάθε τοπική διεύθυνση κεντρικού υπολογιστή. Τώρα θα πάω στο Packet Tracer και θα κάνω τις ρυθμίσεις που περιγράφονται παραπάνω.
Στην κορυφή έχουμε τον διακομιστή 192.168.1.100, παρακάτω είναι ο υπολογιστής 192.168.1.10 και στο κάτω μέρος είναι ο υπολογιστής 192.168.1.11. Η θύρα G0/0 του Router0 έχει διεύθυνση IP 192.168.1.1 και η θύρα G0/1 είναι 200.124.22.1. Στο «σύννεφο» που αντιπροσωπεύει το Διαδίκτυο, τοποθέτησα το Router1, στο οποίο εκχώρησα τη διεύθυνση IP 200.124.22.10.
Μπαίνω στις ρυθμίσεις του Router1 και πληκτρολογώ την εντολή debug ip icmp. Τώρα, μόλις το ping φτάσει σε αυτήν τη συσκευή, θα εμφανιστεί ένα μήνυμα εντοπισμού σφαλμάτων στο παράθυρο ρυθμίσεων που δείχνει τι είδους πακέτο είναι.
Ας ξεκινήσουμε τη διαμόρφωση του δρομολογητή Router0. Μπαίνω στη λειτουργία καθολικών ρυθμίσεων και καλώ τη διεπαφή G0/0. Στη συνέχεια, εισάγω την εντολή ip nat inside, μετά πηγαίνω στη διεπαφή g0/1 και εισάγω την εντολή ip nat out. Έτσι, εκχώρησα τις διεπαφές εισόδου και εξόδου του δρομολογητή. Τώρα πρέπει να διαμορφώσω με μη αυτόματο τρόπο τις διευθύνσεις IP, δηλαδή να μεταφέρω τις σειρές του παραπάνω πίνακα στις ρυθμίσεις:
Ip nat εντός της πηγής static 192.168.1.10 200.124.22.1
Ip nat εντός της πηγής static 192.168.1.11 200.124.22.2
Ip nat εντός της πηγής static 192.168.1.100 200.124.22.3
Τώρα θα κάνω ping στο Router1 από κάθε συσκευή μας και θα δω ποιες διευθύνσεις IP εμφανίζεται το ping που λαμβάνει. Για να το κάνω αυτό, τοποθετώ το ανοιχτό παράθυρο R1 CLI στη δεξιά πλευρά της οθόνης έτσι ώστε να μπορώ να δω τα μηνύματα εντοπισμού σφαλμάτων. Τώρα πηγαίνω στο τερματικό της γραμμής εντολών PC0 και κάνω ping στη διεύθυνση 200.124.22.10. Μετά από αυτό, εμφανίζεται ένα μήνυμα στο παράθυρο ότι το ping ελήφθη από τη διεύθυνση IP 200.124.22.1. Αυτό σημαίνει ότι η διεύθυνση IP του τοπικού υπολογιστή 192.168.1.10 έχει μεταφραστεί στην καθολική διεύθυνση 200.124.22.1.
Κάνω το ίδιο με τον επόμενο τοπικό υπολογιστή και βλέπω ότι η διεύθυνσή του έχει μεταφραστεί σε 200.124.22.2. Στη συνέχεια στέλνω ένα ping από τον διακομιστή και βλέπω τη διεύθυνση 200.124.22.3.
Έτσι, όταν η κίνηση από μια συσκευή LAN φτάνει σε έναν δρομολογητή που έχει διαμορφωθεί με στατικό NAT, ο δρομολογητής μετατρέπει την τοπική διεύθυνση IP σε καθολική σύμφωνα με τον πίνακα και στέλνει την κίνηση στο εξωτερικό δίκτυο. Για να ελέγξω τον πίνακα NAT, εκδίδω την εντολή show ip nat translations.
Τώρα μπορούμε να δούμε όλους τους μετασχηματισμούς που κάνει ο δρομολογητής. Η πρώτη στήλη Inside Global περιέχει τη διεύθυνση της συσκευής πριν από τη μετάδοση, δηλαδή τη διεύθυνση με την οποία είναι ορατή η συσκευή από το εξωτερικό δίκτυο, ακολουθούμενη από την Inside Local address, δηλαδή τη διεύθυνση της συσκευής στο τοπικό δίκτυο . Η τρίτη στήλη εμφανίζει το Outside Local και η τέταρτη στήλη δείχνει τη διεύθυνση Outside Global, και οι δύο είναι ίδιες επειδή δεν μεταφράζουμε τη διεύθυνση IP προορισμού. Όπως μπορείτε να δείτε, μετά από λίγα δευτερόλεπτα ο πίνακας διαγράφηκε επειδή το Packet Tracer είχε ένα σύντομο χρονικό όριο ping.
Μπορώ να κάνω ping στον διακομιστή στο 1 από το R200.124.22.3 και αν επιστρέψω στις ρυθμίσεις του δρομολογητή, μπορώ να δω ότι ο πίνακας είναι και πάλι γεμάτος με τέσσερις γραμμές ping με τη μεταφρασμένη διεύθυνση προορισμού 192.168.1.100.
Όπως είπα, ακόμα κι αν έχει ενεργοποιηθεί το χρονικό όριο της μετάφρασης, κατά την εκκίνηση κίνησης από εξωτερική πηγή, ο μηχανισμός NAT ενεργοποιείται αυτόματα. Αυτό συμβαίνει μόνο όταν χρησιμοποιείτε στατικό NAT.
Τώρα ας δούμε πώς λειτουργεί το δυναμικό NAT. Στο παράδειγμά μας, υπάρχουν 2 δημόσιες διευθύνσεις για τρεις συσκευές LAN, αλλά μπορεί να υπάρχουν δεκάδες ή εκατοντάδες τέτοιοι ιδιωτικοί κεντρικοί υπολογιστές. Ταυτόχρονα, μόνο 2 συσκευές μπορούν να έχουν πρόσβαση στο Διαδίκτυο ταυτόχρονα. Ας εξετάσουμε ποια είναι, εκτός από αυτό, η διαφορά μεταξύ στατικού και δυναμικού NAT.
Όπως και στην προηγούμενη περίπτωση, πρέπει πρώτα να προσδιορίσετε τις διεπαφές εισόδου και εξόδου του δρομολογητή. Στη συνέχεια, δημιουργούμε ένα είδος λίστας πρόσβασης, αλλά αυτό δεν είναι το ίδιο ACL για το οποίο μιλήσαμε στο προηγούμενο μάθημα. Αυτή η λίστα πρόσβασης χρησιμοποιείται για τον προσδιορισμό της κυκλοφορίας που θέλουμε να μετατρέψουμε. Εδώ έρχεται ο νέος όρος "interesting traffic" ή "interesting traffic". Αυτή είναι η επισκεψιμότητα που σας ενδιαφέρει για κάποιο λόγο και όταν αυτή η κίνηση ταιριάζει με τις συνθήκες της λίστας πρόσβασης, μεταφράζεται με NAT. Αυτός ο όρος ισχύει για την κυκλοφορία σε πολλές περιπτώσεις, για παράδειγμα, στην περίπτωση ενός VPN, το "ενδιαφέρον" αναφέρεται στην κίνηση που πρόκειται να διέλθει μέσω μιας σήραγγας VPN.
Πρέπει να δημιουργήσουμε ένα ACL που προσδιορίζει ενδιαφέρουσα κυκλοφορία, στην περίπτωσή μας είναι η κίνηση ολόκληρου του δικτύου 192.168.1.0, μαζί με την οποία υποδεικνύεται η αντίστροφη μάσκα 0.0.0.255.
Στη συνέχεια, πρέπει να δημιουργήσουμε μια ομάδα NAT, για την οποία χρησιμοποιούμε την εντολή ip nat pool <όνομα πισίνας> και προσδιορίζουμε τη συγκέντρωση διευθύνσεων IP 200.124.22.1 200.124.22.2. Αυτό σημαίνει ότι παρέχουμε μόνο δύο εξωτερικές διευθύνσεις IP. Στη συνέχεια, η εντολή χρησιμοποιεί τη λέξη-κλειδί μάσκας δικτύου και εισάγει τη μάσκα υποδικτύου 255.255.255.252. Η τελευταία οκτάδα της μάσκας είναι (255 - ο αριθμός των διευθύνσεων του χώρου συγκέντρωσης είναι 1), οπότε αν έχετε 254 διευθύνσεις στο χώρο συγκέντρωσης, τότε η μάσκα υποδικτύου θα είναι 255.255.255.0. Αυτή είναι μια πολύ σημαντική ρύθμιση, επομένως φροντίστε να εισαγάγετε τη σωστή τιμή μάσκας δικτύου κατά τη ρύθμιση του δυναμικού NAT.
Στη συνέχεια, χρησιμοποιούμε μια εντολή που ξεκινά τον μηχανισμό NAT: ip nat μέσα στη λίστα πηγής 1 πισίνα NWKING, όπου NWKING είναι το όνομα της ομάδας και η λίστα 1 είναι ο αριθμός ACL1. Θυμηθείτε, για να λειτουργήσει αυτή η εντολή, πρέπει πρώτα να δημιουργήσετε μια ομάδα δυναμικών διευθύνσεων και μια λίστα πρόσβασης.
Έτσι, υπό τις συνθήκες μας, η πρώτη συσκευή που θέλει να έχει πρόσβαση στο Διαδίκτυο θα μπορεί να το κάνει αυτό, η δεύτερη συσκευή επίσης, αλλά η τρίτη θα πρέπει να περιμένει έως ότου μια από τις διευθύνσεις της πισίνας είναι ελεύθερη. Η ρύθμιση του δυναμικού NAT αποτελείται από 4 βήματα: ορισμός της διεπαφής εισόδου και εξόδου, προσδιορισμός «ενδιαφέρουσας» κίνησης, δημιουργία μιας ομάδας NAT και ουσιαστική ρύθμισή της.
Τώρα θα προχωρήσουμε στο Packet Tracer και θα προσπαθήσουμε να ρυθμίσουμε το δυναμικό NAT. Πρώτα πρέπει να αφαιρέσουμε τις στατικές ρυθμίσεις NAT, για τις οποίες εισάγουμε τις ακόλουθες εντολές με τη σειρά:
όχι Ip nat μέσα στην πηγή static 192.168.1.10 200.124.22.1
όχι Ip nat μέσα στην πηγή static 192.168.1.11 200.124.22.2
όχι Ip nat μέσα στην πηγή static 192.168.1.100 200.124.22.3.
Στη συνέχεια, δημιουργώ μια λίστα πρόσβασης List 1 για ολόκληρο το δίκτυο με την εντολή Access-list 1 permit 192.168.1.0 0.0.0.255 και σχηματίζω μια ομάδα NAT με την εντολή ip nat pool NWKING 200.124.22.1 200.124.22.2 255.255.255.252 XNUMX netmask.XNUMX. Σε αυτήν την εντολή, καθόρισα το όνομα του pool, τις διευθύνσεις που περιλαμβάνει και τη μάσκα δικτύου.
Στη συνέχεια, καθορίζω ποιο NAT είναι - εσωτερικό ή εξωτερικό, και την πηγή από την οποία το NAT πρέπει να αντλεί πληροφορίες, στην περίπτωσή μας είναι λίστα, χρησιμοποιώντας την εντολή ip nat inside source list 1. Μετά από αυτό, το σύστημα θα σας ζητήσει αν χρειάζεστε μια ολόκληρη πισίνα ή μια συγκεκριμένη διεπαφή. Επιλέγω πισίνα γιατί έχουμε περισσότερες από 1 εξωτερικές διευθύνσεις. Εάν επιλέξετε διεπαφή, θα χρειαστεί να καθορίσετε μια θύρα με μια συγκεκριμένη διεύθυνση IP. Στην τελική μορφή, η εντολή θα μοιάζει με αυτό: ip nat εντός λίστας πηγών 1 pool NWKING. Τώρα αυτό το pool αποτελείται από δύο διευθύνσεις 200.124.22.1 200.124.22.2, αλλά μπορείτε να τις αλλάξετε ελεύθερα ή να προσθέσετε νέες διευθύνσεις που δεν συνδέονται με μια συγκεκριμένη διεπαφή.
Πρέπει να βεβαιωθείτε ότι ο πίνακας δρομολόγησης έχει ενημερωθεί, έτσι ώστε οποιαδήποτε από αυτές τις διευθύνσεις IP στο χώρο συγκέντρωσης πρέπει να κατευθύνεται σε αυτήν τη συσκευή, διαφορετικά δεν θα λαμβάνετε επισκεψιμότητα. Για να βεβαιωθούμε ότι οι ρυθμίσεις λειτουργούν, θα επαναλάβουμε τη διαδικασία για το ping του δρομολογητή cloud, η οποία πραγματοποιήθηκε για στατικό NAT. Θα ανοίξω ένα παράθυρο στο Router 1 για να δω τα μηνύματα της λειτουργίας εντοπισμού σφαλμάτων και να κάνω ping από καθεμία από τις 3 συσκευές.
Βλέπουμε ότι όλες οι διευθύνσεις πηγής από όπου προέρχονται τα πακέτα ping αντιστοιχούν στις ρυθμίσεις. Ταυτόχρονα, ένα ping από το PC0 δεν λειτουργεί, επειδή δεν είχε αρκετή ελεύθερη εξωτερική διεύθυνση. Εάν μεταβείτε στις ρυθμίσεις του Router 1, μπορείτε να δείτε ότι οι διευθύνσεις συγκέντρωσης 200.124.22.1 και 200.124.22.2 χρησιμοποιούνται αυτήν τη στιγμή. Τώρα θα κλείσω την εκπομπή και θα δείτε πώς εξαφανίζονται οι γραμμές μία προς μία. Κάνω ξανά ping από το PC0, και όπως μπορείτε να δείτε, όλα λειτουργούν τώρα, επειδή μπόρεσε να πάρει την ελεύθερη εξωτερική διεύθυνση 200.124.22.1.
Πώς μπορώ να διαγράψω τον πίνακα NAT και να ακυρώσω τη μετάφραση της δεδομένης διεύθυνσης; Μπαίνουμε στις ρυθμίσεις του δρομολογητή Router0 και πληκτρολογούμε την εντολή clear ip nat translation * με έναν αστερίσκο στο τέλος της γραμμής. Εάν τώρα δούμε την κατάσταση μετάφρασης χρησιμοποιώντας την εντολή μετάφρασης show ip nat, το σύστημα θα μας δώσει μια κενή συμβολοσειρά.
Για να δείτε στατιστικά NAT, χρησιμοποιήστε την εντολή show ip nat statistics.
Αυτή είναι μια πολύ χρήσιμη εντολή που δείχνει τον συνολικό αριθμό δυναμικών, στατικών και εκτεταμένων μεταφράσεων NAT/PAT. Μπορείτε να δείτε ότι είναι 0 επειδή καθαρίσαμε τα δεδομένα εκπομπής με την προηγούμενη εντολή. Εμφανίζει τις διεπαφές εισόδου και εξόδου, τον αριθμό των επιτυχημένων και αποτυχημένων επισκέψεων και αστοχιών (ο αριθμός των αποτυχιών οφείλεται στην έλλειψη δωρεάν εξωτερικής διεύθυνσης για τον εσωτερικό κεντρικό υπολογιστή), το όνομα της λίστας πρόσβασης και της ομάδας.
Τώρα προχωράμε στην πιο δημοφιλή μορφή μετάφρασης διευθύνσεων IP, το εκτεταμένο NAT ή το PAT. Για να ρυθμίσετε το PAT, πρέπει να ακολουθήσετε τα ίδια βήματα όπως και για τη ρύθμιση του δυναμικού NAT: προσδιορίστε τις διεπαφές εισόδου και εξόδου του δρομολογητή, προσδιορίστε την «ενδιαφέρουσα» κίνηση, δημιουργήστε μια ομάδα NAT και διαμορφώστε το PAT. Μπορούμε να δημιουργήσουμε την ίδια ομάδα πολλαπλών διευθύνσεων όπως στην προηγούμενη περίπτωση, αλλά αυτό δεν είναι απαραίτητο επειδή το PAT χρησιμοποιεί την ίδια εξωτερική διεύθυνση συνεχώς. Η μόνη διαφορά μεταξύ της διαμόρφωσης δυναμικού NAT και PAT είναι η λέξη-κλειδί υπερφόρτωσης που τερματίζει την τελευταία εντολή διαμόρφωσης. Μετά την εισαγωγή αυτής της λέξης, το δυναμικό NAT μετατρέπεται αυτόματα σε PAT.
Επίσης, χρησιμοποιείτε μόνο μία διεύθυνση στο χώρο συγκέντρωσης NWKING, για παράδειγμα 200.124.22.1, αλλά την καθορίζετε δύο φορές ως εξωτερική διεύθυνση έναρξης και λήξης με μάσκα δικτύου 255.255.255.0. Μπορείτε να το κάνετε ευκολότερα χρησιμοποιώντας την παράμετρο διασύνδεσης πηγής και τη σταθερή διεύθυνση 1 της διεπαφής G200.124.22.1 / 200.124.22.1 αντί της γραμμής ip nat 255.255.255.0 pool NWKING 200.124.22.1 0 μάσκα δικτύου 1. Σε αυτήν την περίπτωση, όλες οι τοπικές διευθύνσεις κατά την πρόσβαση στο Διαδίκτυο θα μετατραπούν σε αυτήν τη διεύθυνση IP.
Μπορείτε επίσης να χρησιμοποιήσετε οποιαδήποτε άλλη διεύθυνση IP στο pool, που δεν αντιστοιχεί απαραίτητα σε μια συγκεκριμένη φυσική διεπαφή. Ωστόσο, σε αυτήν την περίπτωση, πρέπει να βεβαιωθείτε ότι όλοι οι δρομολογητές στο δίκτυο θα μπορούν να στέλνουν επιστροφές στη συσκευή που έχετε επιλέξει. Το μειονέκτημα του NAT είναι ότι δεν μπορεί να χρησιμοποιηθεί για διευθυνσιοδότηση από άκρο σε άκρο, επειδή ενώ το επιστρεφόμενο πακέτο επιστρέφει στην τοπική συσκευή, η δυναμική διεύθυνση IP NAT μπορεί να έχει χρόνο να αλλάξει. Δηλαδή, πρέπει να είστε βέβαιοι ότι η επιλεγμένη διεύθυνση IP θα παραμείνει διαθέσιμη κατά τη διάρκεια της συνεδρίας επικοινωνίας.
Ας το δούμε μέσω του Packet Tracer. Πρώτα πρέπει να αφαιρέσω το δυναμικό NAT με την εντολή no Ip nat στη λίστα πηγών 1 NWKING και να αφαιρέσω το χώρο συγκέντρωσης NAT με την εντολή no Ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 225.255.255.252.
Στη συνέχεια, πρέπει να δημιουργήσω μια ομάδα PAT με την εντολή Ip nat pool NWKING 200.124.22.2 200.124.22.2 netmask 225.255.255.255. Αυτή τη φορά χρησιμοποιώ μια διεύθυνση IP που δεν ανήκει στη φυσική συσκευή, επειδή η φυσική συσκευή έχει διεύθυνση 200.124.22.1 και θέλω να χρησιμοποιήσω το 200.124.22.2. Στην περίπτωσή μας, αυτό λειτουργεί επειδή έχουμε τοπικό δίκτυο.
Στη συνέχεια, διαμορφώνω το PAT με την εντολή Ip nat μέσα στη λίστα πηγών 1 pool NWKING υπερφόρτωση. Μετά την εισαγωγή αυτής της εντολής, ενεργοποιείται για εμάς η μετάφραση διεύθυνσης PAT. Για να επαληθεύσω ότι η ρύθμιση είναι σωστή, πηγαίνω στις συσκευές μας, τον διακομιστή και δύο υπολογιστές και κάνω ping στο PC0 Router1 στο 200.124.22.10. Στο παράθυρο ρυθμίσεων του δρομολογητή, μπορείτε να δείτε τις γραμμές εντοπισμού σφαλμάτων, οι οποίες δείχνουν ότι η πηγή ping, όπως περιμέναμε, είναι η διεύθυνση IP 200.124.22.2. Το ping που αποστέλλεται από το PC1 και το Server0 προέρχεται από την ίδια διεύθυνση.
Ας δούμε τι συμβαίνει στον πίνακα αναζήτησης του Router0. Μπορείτε να δείτε ότι όλες οι μετατροπές είναι επιτυχείς, σε κάθε συσκευή έχει εκχωρηθεί η δική της θύρα και όλες οι τοπικές διευθύνσεις συσχετίζονται με το Router1 μέσω της διεύθυνσης IP του χώρου συγκέντρωσης 200.124.22.2.
Χρησιμοποιώ την εντολή show ip nat statistics για να προβάλω στατιστικά στοιχεία PAT.
Βλέπουμε ότι ο συνολικός αριθμός μετατροπών ή μεταφράσεων διευθύνσεων είναι 12, βλέπουμε τα χαρακτηριστικά της ομάδας και άλλες πληροφορίες.
Τώρα θα κάνω κάτι άλλο - θα εισαγάγω την εντολή Ip nat μέσα στη λίστα πηγών 1 διεπαφή gigabit Ethernet g0 / 1 υπερφόρτωση. Εάν μετά από αυτό κάνετε ping στο δρομολογητή από το PC0, μπορείτε να δείτε ότι το πακέτο προήλθε από τη διεύθυνση 200.124.22.1, δηλαδή από τη φυσική διεπαφή! Αυτός είναι ένας ευκολότερος τρόπος: εάν δεν θέλετε να δημιουργήσετε μια πισίνα, κάτι που συμβαίνει συχνότερα όταν χρησιμοποιείτε οικιακούς δρομολογητές, τότε μπορείτε να χρησιμοποιήσετε τη διεύθυνση IP της φυσικής διεπαφής του δρομολογητή ως εξωτερική διεύθυνση NAT. Αυτός είναι ο τρόπος με τον οποίο η ιδιωτική σας διεύθυνση κεντρικού υπολογιστή μεταφράζεται συχνότερα στο δημόσιο δίκτυο.
Σήμερα μάθαμε ένα πολύ σημαντικό θέμα, οπότε πρέπει να το εξασκήσετε. Χρησιμοποιήστε το Packet Tracer για να ελέγξετε τις θεωρητικές σας γνώσεις στην επίλυση πρακτικών προβλημάτων διαμόρφωσης NAT και PAT. Φτάσαμε στο τέλος του θέματος ICND1, της πρώτης εξέτασης του μαθήματος CCNA, οπότε μάλλον θα αφιερώσω το επόμενο μάθημα βίντεο στο debriefing.
Σας ευχαριστούμε που μείνατε μαζί μας. Σας αρέσουν τα άρθρα μας; Θέλετε να δείτε πιο ενδιαφέρον περιεχόμενο; Υποστηρίξτε μας κάνοντας μια παραγγελία ή προτείνοντας σε φίλους, Έκπτωση 30% για χρήστες Habr σε ένα μοναδικό ανάλογο διακομιστών εισαγωγικού επιπέδου, που εφευρέθηκε από εμάς για εσάς: (διατίθεται με RAID1 και RAID10, έως 24 πυρήνες και έως 40 GB DDR4).
Dell R730xd 2 φορές φθηνότερο; Μόνο εδώ στην Ολλανδία! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - από 99$! Διαβάστε σχετικά
Πηγή: www.habr.com