Tänään tutkimme PAT (Port Address Translation) -tekniikkaa, joka on teknologia IP-osoitteiden kääntämiseen porttien avulla, ja NAT (Network Address Translation), teknologiaa siirtopakettien IP-osoitteiden kääntämiseen. PAT on NAT:n erikoistapaus. Käsittelemme kolmea aihetta:
— yksityiset tai sisäiset (intranet, paikallinen) IP-osoitteet ja julkiset tai ulkoiset IP-osoitteet;
- NAT ja PAT;
— NAT/PAT-kokoonpano.
Aloitetaan sisäisillä yksityisillä IP-osoitteilla. Tiedämme, että ne on jaettu kolmeen luokkaan: A, B ja C.
Sisäiset luokan A osoitteet ovat kymmeniä välillä 10.0.0.0 - 10.255.255.255 ja ulkoiset osoitteet välillä 1.0.0.0 - 9 ja 255.255.255 - 11.0.0.0.
Sisäiset luokan B osoitteet ovat välillä 172.16.0.0 - 172.31.255.255 ja ulkoiset osoitteet välillä 128.0.0.0 - 172.15.255.255 ja 172.32.0.0 - 191.255.255.255.
C-luokan sisäiset osoitteet ovat välillä 192.168.0.0 - 192.168.255.255 ja ulkoiset osoitteet välillä 192.0.0 - 192.167.255.255 ja 192.169.0.0 - 223.255.255.255.
Luokan A osoitteet ovat /8, luokan B ovat /12 ja luokan C osoitteet ovat /16. Siten eri luokkien ulkoiset ja sisäiset IP-osoitteet ovat eri alueita.
Olemme keskustelleet useaan otteeseen yksityisten ja julkisten IP-osoitteiden eroista. Yleisesti ottaen, jos meillä on reititin ja joukko sisäisiä IP-osoitteita, reititin muuntaa ne ulkoisiksi IP-osoitteiksi yrittäessään päästä Internetiin. Sisäisiä osoitteita käytetään vain paikallisissa verkoissa, ei Internetissä.
Jos tarkastelen tietokoneeni verkkoparametreja komentorivillä, näen sisäisen LAN-IP-osoitteeni 192.168.1.103.
Julkisen IP-osoitteesi selvittämiseksi voit käyttää Internet-palvelua, kuten "Mikä on IP-osoite?" Kuten näet, tietokoneen ulkoinen osoite 78.100.196.163 on eri kuin sen sisäinen osoite.
Joka tapauksessa tietokoneeni näkyy Internetissä juuri sen ulkoisen IP-osoitteen perusteella. Joten tietokoneeni sisäinen osoite on 192.168.1.103 ja ulkoinen 78.100.196.163. Sisäistä osoitetta käytetään vain paikalliseen viestintään, sillä et pääse Internetiin, tätä varten tarvitset julkisen IP-osoitteen. Voit muistaa, miksi jako yksityisiin ja julkisiin osoitteisiin tehtiin, katsomalla video-opetusohjelman Päivä 3.
Katsotaanpa mitä NAT on. NAT:ia on kolmea tyyppiä: staattinen, dynaaminen ja "ylikuormitettu" NAT tai PAT.
Ciscolla on 4 termiä, jotka kuvaavat NAT:ia. Kuten sanoin, NAT on mekanismi sisäisten osoitteiden muuntamiseksi ulkoisiksi. Jos Internetiin yhdistetty laite vastaanottaa paketin toiselta paikallisverkon laitteelta, se yksinkertaisesti hylkää tämän paketin, koska sisäinen osoitemuoto ei vastaa maailmanlaajuisessa Internetissä käytettyjen osoitteiden muotoa. Siksi laitteen on hankittava julkinen IP-osoite päästäkseen Internetiin.
Joten ensimmäinen termi on Inside Local, mikä tarkoittaa isännän IP-osoitetta sisäisessä paikallisverkossa. Yksinkertaisesti sanottuna tämä on ensisijainen lähdeosoite, jonka tyyppi on 192.168.1.10. Toinen termi, Inside Global, on paikallisen isännän IP-osoite, jonka alla se näkyy ulkoisessa verkossa. Meidän tapauksessamme tämä on reitittimen ulkoisen portin IP-osoite 200.124.22.10.
Voimme sanoa, että Inside Local on yksityinen IP-osoite ja Inside Global on julkinen IP-osoite. Muista, että termi Inside viittaa liikenteen lähteeseen ja Outside viittaa liikenteen määränpäähän. Outside Local on ulkoisen verkon isännän IP-osoite, jonka alla se näkyy sisäiselle verkolle. Yksinkertaisesti sanottuna tämä on vastaanottajan osoite, joka näkyy sisäisestä verkosta. Esimerkki tällaisesta osoitteesta on Internetissä olevan laitteen IP-osoite 200.124.22.100.
Outside Global on isännän IP-osoite sellaisena kuin se näkyy ulkoisessa verkossa. Useimmissa tapauksissa Outside Local- ja Outside Global -osoitteet näyttävät samalta, koska jopa kääntämisen jälkeen kohde-IP-osoite näkyy lähteelle sellaisena kuin se oli ennen käännöstä.
Katsotaanpa mitä staattinen NAT on. Staattinen NAT tarkoittaa sisäisten IP-osoitteiden yksi-yhteen käännöstä ulkoisiksi tai yksi-yhteen-käännöstä. Kun laitteet lähettävät liikennettä Internetiin, niiden Inside Local -osoitteet muunnetaan Inside Global -osoitteiksi.
Paikallisverkossamme on 3 laitetta, ja kun ne menevät verkkoon, jokainen niistä saa oman Inside Global -osoitteensa. Nämä osoitteet on määritetty staattisesti liikenteen lähteille. Yksi-yhteen-periaate tarkoittaa, että jos paikallisverkossa on 100 laitetta, ne saavat 100 ulkoista osoitetta.
NAT syntyi pelastamaan Internet, jonka julkiset IP-osoitteet olivat loppumassa. NAT:n ansiosta monilla yrityksillä ja monilla verkoilla voi olla yksi yhteinen ulkoinen IP-osoite, joksi laitteiden paikalliset osoitteet muunnetaan Internetin yhteydessä. Voit sanoa, että tässä staattisen NAT:n tapauksessa osoitteiden lukumäärässä ei säästetä, koska sadalle paikalliselle tietokoneelle on määritetty sata ulkoista osoitetta, ja olet täysin oikeassa. Staattisella NAT:lla on kuitenkin edelleen useita etuja.
Meillä on esimerkiksi palvelin, jonka sisäinen IP-osoite on 192.168.1.100. Jos jokin Internetin laite haluaa ottaa siihen yhteyttä, se ei voi tehdä sitä sisäisellä kohdeosoitteella, vaan sitä varten sen on käytettävä ulkoisen palvelimen osoitetta 200.124.22.3. Jos reitittimessäsi on staattinen NAT, kaikki numeroon 200.124.22.3 osoitettu liikenne välitetään automaattisesti osoitteeseen 192.168.1.100. Tämä tarjoaa ulkoisen pääsyn paikallisiin verkkolaitteisiin, tässä tapauksessa yrityksen web-palvelimeen, mikä voi joissain tapauksissa olla tarpeen.
Tarkastellaan dynaamista NAT:ia. Se on hyvin samanlainen kuin staattinen, mutta se ei anna pysyviä ulkoisia osoitteita jokaiselle paikalliselle laitteelle. Meillä on esimerkiksi 3 paikallista laitetta ja vain 2 ulkoista osoitetta. Jos toinen laite haluaa käyttää Internetiä, sille annetaan ensimmäinen ilmainen IP-osoite. Jos verkkopalvelin haluaa käyttää Internetiä sen jälkeen, reititin määrittää sille toisen käytettävissä olevan ulkoisen osoitteen. Jos tämän jälkeen ensimmäinen laite haluaa muodostaa yhteyden ulkoiseen verkkoon, sille ei ole saatavilla IP-osoitetta ja reititin hylkää pakettinsa.
Meillä voi olla satoja laitteita, joilla on sisäinen IP-osoite, ja jokainen näistä laitteista voi käyttää Internetiä. Mutta koska meillä ei ole staattista ulkoisten osoitteiden määritystä, enintään 2 laitetta sadasta voi käyttää Internetiä samanaikaisesti, koska meillä on vain kaksi dynaamisesti määritettyä ulkoista osoitetta.
Cisco-laitteilla on kiinteä osoitteen käännösaika, joka on oletuksena 24 tuntia. Sen voi muuttaa 1,2,3, 10 minuuttiin, milloin tahansa. Tämän ajan jälkeen ulkoiset osoitteet vapautetaan ja palautetaan automaattisesti osoitepankkiin. Jos tällä hetkellä ensimmäinen laite haluaa muodostaa yhteyden Internetiin ja jokin ulkoinen osoite on käytettävissä, se vastaanottaa sen. Reititin sisältää NAT-taulukon, joka päivitetään dynaamisesti, ja kunnes käännösaika on kulunut umpeen, laite säilyttää osoitetun osoitteen. Yksinkertaisesti sanottuna dynaaminen NAT toimii "ensin tullutta palvellaan ensin" -periaatteella.
Katsotaanpa, mikä ylikuormitettu NAT tai PAT on. Tämä on yleisin NAT-tyyppi. Kotiverkossasi voi olla monia laitteita - PC, älypuhelin, kannettava tietokone, tabletti, ja ne kaikki muodostavat yhteyden reitittimeen, jolla on yksi ulkoinen IP-osoite. Joten PAT mahdollistaa useiden sisäisten IP-osoitteiden omaavien laitteiden pääsyn Internetiin samanaikaisesti yhdellä ulkoisella IP-osoitteella. Tämä on mahdollista, koska jokainen yksityinen sisäinen IP-osoite käyttää tiettyä porttinumeroa viestintäistunnon aikana.
Oletetaan, että meillä on yksi julkinen osoite 200.124.22.1 ja useita paikallisia laitteita. Joten, kun käytät Internetiä, kaikki nämä isännät saavat saman osoitteen 200.124.22.1. Ainoa asia, joka erottaa ne toisistaan, on portin numero.
Jos muistat keskustelun kuljetuskerroksesta, tiedät, että kuljetuskerros sisältää porttinumeroita, jolloin lähdeportin numero on satunnainen numero.
Oletetaan, että ulkoisessa verkossa on isäntä, jonka IP-osoite on 200.124.22.10 ja joka on yhteydessä Internetiin. Jos tietokone 192.168.1.11 haluaa kommunikoida tietokoneen 200.124.22.10 kanssa, se luo satunnaisen lähdeportin 51772. Tässä tapauksessa ulkoisen verkon tietokoneen kohdeportti on 80.
Kun reititin vastaanottaa ulkoiseen verkkoon ohjatun paikallisen tietokonepaketin, se kääntää Inside Local -osoitteensa Inside Global -osoitteeksi 200.124.22.1 ja antaa portin numeron 23556. Paketti saavuttaa tietokoneen 200.124.22.10, ja sen on lähetä vastaus kättelymenettelyn mukaisesti, tässä tapauksessa kohteena on osoite 200.124.22.1 ja portti 23556.
Reitittimessä on NAT-käännöstaulukko, joten kun se vastaanottaa paketin ulkoisesta tietokoneesta, se määrittää Inside Local -osoitteen, joka vastaa Inside Global -osoitetta, 192.168.1.11: 51772 ja lähettää paketin sille. Tämän jälkeen kahden tietokoneen välistä yhteyttä voidaan pitää muodostuneena.
Samanaikaisesti sinulla voi olla sata laitetta, jotka käyttävät samaa osoitetta 200.124.22.1 kommunikointiin, mutta eri porttinumeroita, jotta ne voivat kaikki käyttää Internetiä samanaikaisesti. Tästä syystä PAT on niin suosittu lähetysmenetelmä.
Katsotaanpa staattisen NAT:n määrittämistä. Jokaiselle verkolle on ensinnäkin määritettävä tulo- ja lähtöliitännät. Kaaviossa näkyy reititin, jonka kautta liikenne siirretään portista G0/0 porttiin G0/1, eli sisäisestä verkosta ulkoiseen verkkoon. Joten meillä on tuloliitäntä 192.168.1.1 ja lähtöliitäntä 200.124.22.1.
Määrittääksesi NAT:n, siirrymme G0/0-liitäntään ja asetamme parametrit ip-osoitteet 192.168.1.1 255.255.255.0 ja osoitamme, että tämä liitäntä on tuloliitäntä käyttämällä ip nat inside -komentoa.
Samalla tavalla konfiguroimme NAT:n lähtöliitännässä G0/1 määrittämällä IP-osoitteen 200.124.22.1, aliverkon peitteen 255.255.255.0 ja ip nat:n ulkopuolella. Muista, että dynaaminen NAT-käännös suoritetaan aina tuloliitännästä lähtöliitäntään, sisältä ulos. Luonnollisesti dynaamiselle NAT:lle vastaus tulee tulorajapintaan lähtörajapinnan kautta, mutta kun liikennettä käynnistetään, laukeaa sisään-ulos-suunta. Staattisen NAT:n tapauksessa liikenteen aloitus voi tapahtua kumpaan tahansa suuntaan - sisään-ulos tai ulos.
Seuraavaksi meidän on luotava staattinen NAT-taulukko, jossa jokainen paikallinen osoite vastaa erillistä globaalia osoitetta. Meidän tapauksessamme laitteita on 3, joten taulukko koostuu 3 tietueesta, jotka osoittavat lähteen Inside Local IP -osoitteen, joka muunnetaan Inside Global -osoitteeksi: ip nat inside static 192.168.1.10 200.124.22.1.
Näin ollen staattisessa NAT:ssa kirjoitat manuaalisesti käännöksen jokaiselle paikalliselle isäntäosoitteelle. Siirryn nyt Packet Traceriin ja teen yllä kuvatut asetukset.
Ylhäällä on palvelin 192.168.1.100, alla tietokone 192.168.1.10 ja aivan alareunassa tietokone 192.168.1.11. Router0:n portin G0/0 IP-osoite on 192.168.1.1 ja portin G0/1 IP-osoite on 200.124.22.1. Internetiä edustavaan "pilveen" sijoitin Router1:n, jolle annoin IP-osoitteen 200.124.22.10.
Siirryn Router1:n asetuksiin ja kirjoitan komennon debug ip icmp. Nyt, kun ping saavuttaa kyseisen laitteen, asetusikkunaan tulee virheenkorjausviesti, joka näyttää paketin.
Aloitetaan Router0-reitittimen määrittäminen. Siirryn yleisten asetusten tilaan ja soitan G0/0-liitäntään. Seuraavaksi kirjoitan ip nat inside -komennon, siirryn sitten g0/1-liittymään ja kirjoitan ip nat outside -komennon. Siten määritin reitittimen tulo- ja lähtöliitännät. Nyt minun on määritettävä IP-osoitteet manuaalisesti, eli siirrettävä rivit yllä olevasta taulukosta asetuksiin:
Ip nat staattisen lähteen sisällä 192.168.1.10 200.124.22.1
Ip nat staattisen lähteen sisällä 192.168.1.11 200.124.22.2
Ip nat staattisen lähteen sisällä 192.168.1.100 200.124.22.3
Nyt pingin Router1:n jokaiselta laitteeltamme ja katson, mitä IP-osoitteita sen vastaanottama ping näyttää. Tätä varten asetan R1-reitittimen avoimen CLI-ikkunan näytön oikealle puolelle, jotta voin nähdä virheenkorjausviestit. Nyt menen PC0-komentorivipäätteeseen ja pingin osoitteen 200.124.22.10. Tämän jälkeen ikkunaan tulee viesti, että ping on vastaanotettu IP-osoitteesta 200.124.22.1. Tämä tarkoittaa, että paikallisen tietokoneen IP-osoite 192.168.1.10 on käännetty globaaliksi osoitteeksi 200.124.22.1.
Teen saman seuraavan paikallisen tietokoneen kanssa ja näen, että sen osoite on käännetty muotoon 200.124.22.2. Sitten pingin palvelimelle ja näen osoitteen 200.124.22.3.
Näin ollen kun liikenne paikallisverkon laitteelta saavuttaa reitittimen, johon on konfiguroitu staattinen NAT, reititin muuntaa taulukon mukaisesti paikallisen IP-osoitteen globaaliksi ja lähettää liikenteen ulkoiseen verkkoon. Tarkistaakseni NAT-taulukon syötän show ip nat translations -komennon.
Nyt voimme tarkastella kaikkia reitittimen tekemiä muunnoksia. Ensimmäinen sarake Inside Global sisältää laitteen osoitteen ennen lähetystä, eli osoitteen, jonka alla laite näkyy ulkoisesta verkosta, ja sen jälkeen Inside Local -osoite, eli laitteen osoite paikallisessa verkossa. Kolmannessa sarakkeessa näkyy Outside Local -osoite ja neljännessä sarakkeessa Outside Global -osoite, jotka molemmat ovat samoja, koska emme käännä kohde-IP-osoitetta. Kuten näet, muutaman sekunnin kuluttua taulukko tyhjennettiin, koska Packet Tracerilla oli lyhyt ping-aikakatkaisu.
Voin pingata palvelimen numeroon 1 reitittimestä R200.124.22.3, ja jos palaan reitittimen asetuksiin, huomaan, että taulukko on jälleen täynnä neljä ping-riviä, joiden käännetty kohdeosoite on 192.168.1.100.
Kuten sanoin, vaikka käännöksen aikakatkaisu laukaisisi, kun liikenne käynnistetään ulkoisesta lähteestä, NAT-mekanismi aktivoituu automaattisesti. Tämä tapahtuu vain käytettäessä staattista NAT:ia.
Katsotaanpa nyt, kuinka dynaaminen NAT toimii. Esimerkissämme on 2 julkista osoitetta kolmelle paikallisverkkolaitteelle, mutta tällaisia yksityisiä isäntiä voi olla kymmeniä tai satoja. Samaan aikaan vain 2 laitetta voi käyttää Internetiä samanaikaisesti. Tarkastellaan lisäksi, mikä on ero staattisen ja dynaamisen NAT:n välillä.
Kuten edellisessä tapauksessa, sinun on ensin määritettävä reitittimen tulo- ja lähtöliitännät. Seuraavaksi luomme eräänlaisen käyttöoikeusluettelon, mutta tämä ei ole sama ACL, josta puhuimme edellisellä oppitunnilla. Tätä käyttöoikeusluetteloa käytetään muutettavan liikenteen tunnistamiseen. Täällä ilmestyy uusi termi "mielenkiintoinen liikenne" tai "mielenkiintoinen liikenne". Tämä on liikennettä, josta olet jostain syystä kiinnostunut, ja kun se liikenne vastaa käyttöoikeusluettelon ehtoja, se tulee NAT:iin ja käännetään. Tämä termi koskee liikennettä monissa tapauksissa, esimerkiksi VPN:n tapauksessa "kiinnostava" on liikenne, joka kulkee VPN-tunnelin läpi.
Meidän on luotava ACL, joka tunnistaa kiinnostavan liikenteen, meidän tapauksessamme tämä on koko 192.168.1.0-verkon liikennettä, jonka mukana määritetään paluumaski 0.0.0.255.
Sitten meidän on luotava NAT-varasto, jolle käytämme komentoa ip nat pool <poolin nimi> ja määritämme IP-osoitteiden poolin 200.124.22.1 200.124.22.2. Tämä tarkoittaa, että tarjoamme vain kaksi ulkoista IP-osoitetta. Seuraavaksi komento käyttää verkkomask-avainsanaa ja syöttää aliverkon peitteen 255.255.255.252. Maskin viimeinen oktetti on (255 - pooliosoitteiden lukumäärä - 1), joten jos poolissa on 254 osoitetta, aliverkon peite on 255.255.255.0. Tämä on erittäin tärkeä asetus, joten muista syöttää oikea verkkopeitearvo, kun määrität dynaamisen NAT:n.
Seuraavaksi käytämme komentoa, joka käynnistää NAT-mekanismin: ip nat lähdeluettelossa 1 pool NWKING, jossa NWKING on poolin nimi ja lista 1 tarkoittaa ACL-numeroa 1. Muista - jotta tämä komento toimisi, sinun on ensin luotava dynaaminen osoitevarasto ja käyttöoikeusluettelo.
Joten meidän olosuhteissamme ensimmäinen laite, joka haluaa käyttää Internetiä, pystyy tekemään tämän, toinen laite pystyy tekemään niin, mutta kolmannen on odotettava, kunnes yksi poolin osoitteista on vapaa. Dynaamisen NAT:n määrittäminen koostuu neljästä vaiheesta: tulo- ja lähtöliitäntöjen määrittäminen, "kiinnostavan" liikenteen tunnistaminen, NAT-varannon luominen ja varsinainen kokoonpano.
Nyt siirrymme Packet Traceriin ja yritämme määrittää dynaamisen NAT:n. Ensin meidän on poistettava staattiset NAT-asetukset, joille annamme komennot peräkkäin:
ei IP nat -lähdettä staattisen lähteen sisällä 192.168.1.10 200.124.22.1
ei IP nat -lähdettä staattisen lähteen sisällä 192.168.1.11 200.124.22.2
ei IP nat lähdekoodin sisällä staattinen 192.168.1.100 200.124.22.3.
Seuraavaksi luon käyttöoikeusluettelon List 1 koko verkolle komennolla access-list 1 lupa 192.168.1.0 0.0.0.255 ja luon NAT-varannon komennolla ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 255.255.255.252 netmask XNUMX netmask XNUMX. Tässä komennossa määritin poolin nimen, siihen sisältyvät osoitteet ja verkkopeitteen.
Sitten määritän, mikä NAT se on - sisäinen vai ulkoinen, ja lähteen, josta NAT:n tulee hankkia tiedot, meidän tapauksessamme se on lista, käyttämällä komennolla ip nat lähdeluettelossa 1. Tämän jälkeen järjestelmä kysyy, oletko tarvitaan koko pooli tai tietty käyttöliittymä. Valitsen poolin, koska meillä on enemmän kuin yksi ulkoinen osoite. Jos valitset rajapinnan, sinun on määritettävä portti tietyllä IP-osoitteella. Viimeinen komento näyttää tältä: ip nat lähdeluettelossa 1 pool NWKING. Tällä hetkellä tämä pooli koostuu kahdesta osoitteesta 1 200.124.22.1, mutta voit vapaasti muuttaa niitä tai lisätä uusia osoitteita, jotka eivät liity tiettyyn rajapintaan.
Sinun on varmistettava, että reititystaulukkosi päivitetään niin, että mikä tahansa näistä poolissa olevista IP-osoitteista on reititetty tälle laitteelle, muuten et saa paluuliikennettä. Varmistaaksemme, että asetukset toimivat, toistamme pilvireitittimen ping-ping-toiminnon, jonka teimme staattisen NAT:n tapauksessa. Avaan reitittimen 1 ikkunan, jotta voin nähdä virheenkorjaustilan viestit ja pingata sen jokaisesta kolmesta laitteesta.
Näemme, että kaikki lähdeosoitteet, joista ping-paketit tulevat, vastaavat asetuksia. Samaan aikaan ping tietokoneelta PC0 ei toimi, koska sillä ei ole tarpeeksi vapaata ulkoista osoitetta. Jos siirryt reitittimen 1 asetuksiin, näet, että pooliosoitteet 200.124.22.1 ja 200.124.22.2 ovat tällä hetkellä käytössä. Nyt sammutan lähetyksen, niin näet kuinka rivit katoavat yksi kerrallaan. Pingin uudelleen PC0:lle ja kuten näet, kaikki toimii nyt, koska se onnistui saamaan ilmaisen ulkoisen osoitteen 200.124.22.1.
Kuinka voin tyhjentää NAT-taulukon ja kumota annetun osoitteen käännöksen? Siirry Router0-reitittimen asetuksiin ja kirjoita komento clear ip nat translation * ja tähdellä rivin lopussa. Jos nyt katsomme käännöksen tilaa show ip nat translation -komennolla, järjestelmä antaa meille tyhjän rivin.
Voit tarkastella NAT-tilastoja käyttämällä show ip nat Statistics -komentoa.
Tämä on erittäin hyödyllinen komento, jonka avulla voit selvittää dynaamisten, staattisten ja edistyneiden NAT/PAT-käännösten kokonaismäärän. Voit nähdä, että se on 0, koska tyhjensimme lähetystiedot edellisellä komennolla. Tämä näyttää syöttö- ja lähtöliitännät, onnistuneiden ja epäonnistuneiden osumien ja muunnosten määrän (epäonnistumisen määrä johtuu sisäisen isännän vapaan ulkoisen osoitteen puuttumisesta), käyttöoikeusluettelon ja poolin nimen.
Siirrymme nyt suosituimpaan IP-osoitteen käännöstyyppiin - edistyneeseen NAT:iin tai PAT:iin. PAT:n määrittäminen edellyttää samoja vaiheita kuin dynaamisen NAT:n määrittäminen: määritä reitittimen tulo- ja lähtöliitännät, tunnista "mielenkiintoinen" liikenne, luo NAT-varasto ja määritä PAT. Voimme luoda saman useiden osoitteiden poolin kuin edellisessä tapauksessa, mutta tämä ei ole välttämätöntä, koska PAT käyttää samaa ulkoista osoitetta koko ajan. Ainoa ero dynaamisen NAT:n ja PAT:n määrittämisen välillä on ylikuormitusavainsana, joka päättää viimeisen määrityskomennon. Tämän sanan syöttämisen jälkeen dynaaminen NAT muuttuu automaattisesti PAT:ksi.
Lisäksi käytät vain yhtä osoitetta NWKING-varannossa, esimerkiksi 200.124.22.1, mutta määrität sen kahdesti ulkoisena aloitus- ja loppuosoitteena verkkopeitteen ollessa 255.255.255.0. Voit tehdä sen helpommin käyttämällä lähdeliitäntäparametria ja G1/200.124.22.1-liitännän kiinteää osoitetta 200.124.22.1 ip nat 255.255.255.0 pool NWKING 200.124.22.1 0 netmask 1 rivin sijaan. Tässä tapauksessa kaikki paikalliset osoitteet Internetiä käytettäessä muunnetaan tähän IP-osoitteeseen.
Voit käyttää poolissa myös mitä tahansa muuta IP-osoitetta, joka ei välttämättä vastaa tiettyä fyysistä käyttöliittymää. Tässä tapauksessa sinun on kuitenkin varmistettava, että kaikki verkon reitittimet voivat välittää paluuliikennettä valitsemaasi laitteeseen. NAT:n haittana on, että sitä ei voida käyttää päästä päähän -osoitteeseen, koska kun paluupaketti palaa paikalliseen laitteeseen, sen dynaaminen NAT-IP-osoite saattaa ehtiä muuttua. Eli sinun on oltava varma, että valittu IP-osoite on käytettävissä koko viestintäistunnon ajan.
Katsotaanpa tätä Packet Tracerin kautta. Ensin minun on poistettava dynaaminen NAT komennolla no Ip nat lähdeluettelossa 1 NWKING ja poistettava NAT-varasto komennolla no Ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 225.255.255.252.
Sitten minun on luotava PAT-varasto komennolla Ip nat pool NWKING 200.124.22.2 200.124.22.2 netmask 225.255.255.255. Tällä kertaa käytän IP-osoitetta, joka ei kuulu fyysiseen laitteeseen, koska fyysisen laitteen osoite on 200.124.22.1 ja haluan käyttää 200.124.22.2. Meidän tapauksessamme se toimii, koska meillä on paikallinen verkko.
Seuraavaksi määritän PAT:n komennolla Ip nat lähdeluettelossa 1 pool NWKING overload. Tämän komennon antamisen jälkeen PAT-osoitteen käännös aktivoituu. Tarkistaakseni, että asetukset ovat oikein, siirryn laitteillemme, palvelimelle ja kahdelle tietokoneelle, ja ping PC0 Router1:lle numeroon 200.124.22.10 tietokoneelta. Reitittimen asetusikkunassa näet virheenkorjausrivit, jotka osoittavat, että pingin lähde, kuten odotimme, on IP-osoite 200.124.22.2. PC1:n ja palvelimen Server0 lähettämä ping tulee samasta osoitteesta.
Katsotaan mitä tapahtuu Router0:n muunnostaulukossa. Voit nähdä, että kaikki käännökset onnistuvat, jokaiselle laitteelle on määritetty oma porttinsa ja kaikki paikalliset osoitteet on liitetty Router1:een poolin IP-osoitteen 200.124.22.2 kautta.
Käytän show ip nat Statistics -komentoa PAT-tilastojen katseluun.
Näemme, että konversioiden tai osoitekäännösten kokonaismäärä on 12, näemme poolin ominaisuudet ja muut tiedot.
Nyt teen jotain muuta - kirjoitan komennon Ip nat lähdeluettelon 1 rajapinnan gigabit Ethernet g0/1 overloadin sisään. Jos pingaat sitten reititintä PC0:sta, näet, että paketti tuli osoitteesta 200.124.22.1, eli fyysisestä rajapinnasta! Tämä on helpompi tapa: jos et halua luoda poolia, mikä useimmiten tapahtuu kotireitittimiä käytettäessä, voit käyttää reitittimen fyysisen liitännän IP-osoitetta ulkoisena NAT-osoitteena. Näin julkisen verkon yksityinen isäntäosoitteesi käännetään useimmiten.
Tänään olemme oppineet erittäin tärkeän aiheen, joten sinun täytyy harjoitella sitä. Käytä Packet Traceria testataksesi teoreettisia tietojasi käytännön NAT- ja PAT-määritysongelmia vastaan. Olemme tulleet CCNA-kurssin ensimmäisen kokeen ICND1-aiheiden opiskelun päätökseen, joten todennäköisesti omistan seuraavan videotunnin tulosten yhteenvetoon.
Kiitos, että pysyt kanssamme. Pidätkö artikkeleistamme? Haluatko nähdä mielenkiintoisempaa sisältöä? Tue meitä tekemällä tilauksen tai suosittelemalla ystäville, 30 %:n alennus Habr-käyttäjille ainutlaatuisesta lähtötason palvelimien analogista, jonka me keksimme sinulle: (saatavana RAID1:n ja RAID10:n kanssa, jopa 24 ydintä ja jopa 40 Gt DDR4-muistia).
Dell R730xd 2 kertaa halvempi? Vain täällä Alankomaissa! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - alkaen 99 dollaria! Lukea
Lähde: will.com