Dzisiaj przyjrzymy się PAT (Port Address Translation), technologii tłumaczenia adresów IP za pomocą portów, oraz NAT (Network Address Translation), technologii tłumaczenia adresów IP pakietów tranzytowych. PAT jest szczególnym przypadkiem NAT. Poruszymy trzy tematy:
— prywatne lub wewnętrzne (intranetowe, lokalne) adresy IP oraz publiczne lub zewnętrzne adresy IP;
- NAT i PAT;
— Konfiguracja NAT/PAT.
Zacznijmy od wewnętrznych prywatnych adresów IP. Wiemy, że dzielą się one na trzy klasy: A, B i C.
Wewnętrzne adresy klasy A zajmują zakres dziesiątek od 10.0.0.0 do 10.255.255.255, a adresy zewnętrzne zajmują zakres od 1.0.0.0 do 9 i od 255.255.255 do 11.0.0.0.
Adresy wewnętrzne klasy B zajmują zakres od 172.16.0.0 do 172.31.255.255, natomiast adresy zewnętrzne mieszczą się w zakresie od 128.0.0.0 do 172.15.255.255 i od 172.32.0.0 do 191.255.255.255.
Adresy wewnętrzne klasy C zajmują zakres od 192.168.0.0 do 192.168.255.255, natomiast adresy zewnętrzne mieszczą się w zakresie od 192.0.0 do 192.167.255.255 i od 192.169.0.0 do 223.255.255.255.
Adresy klasy A to /8, klasy B to /12, a klasy C to /16. Zatem zewnętrzne i wewnętrzne adresy IP różnych klas zajmują różne zakresy.
Kilka razy omawialiśmy różnicę między prywatnymi i publicznymi adresami IP. Ogólnie rzecz biorąc, jeśli mamy router i grupę wewnętrznych adresów IP, gdy próbują uzyskać dostęp do Internetu, router konwertuje je na zewnętrzne adresy IP. Adresy wewnętrzne są używane wyłącznie w sieciach lokalnych, a nie w Internecie.
Jeśli przeglądam parametry sieciowe mojego komputera za pomocą wiersza poleceń, zobaczę mój wewnętrzny adres IP sieci LAN 192.168.1.103.
Aby poznać Twój publiczny adres IP, możesz skorzystać z usługi internetowej typu „Jaki jest mój adres IP?” Jak widać, adres zewnętrzny komputera 78.100.196.163 różni się od jego adresu wewnętrznego.
We wszystkich przypadkach mój komputer jest widoczny w Internecie dokładnie po swoim zewnętrznym adresie IP. Tak więc adres wewnętrzny mojego komputera to 192.168.1.103, a adres zewnętrzny to 78.100.196.163. Adres wewnętrzny służy wyłącznie do komunikacji lokalnej, nie można za jego pomocą uzyskać dostępu do Internetu, do tego potrzebny jest publiczny adres IP. Dlaczego dokonano podziału na adresy prywatne i publiczne, możesz przypomnieć sobie oglądając film instruktażowy Dzień 3.
Przyjrzyjmy się, czym jest NAT. Istnieją trzy typy NAT: statyczny, dynamiczny i „przeciążony” NAT, czyli PAT.
Cisco ma 4 terminy opisujące NAT. Jak powiedziałem, NAT to mechanizm konwersji adresów wewnętrznych na zewnętrzne. Jeśli urządzenie podłączone do Internetu odbierze pakiet od innego urządzenia w sieci lokalnej, po prostu odrzuci ten pakiet, ponieważ format adresu wewnętrznego nie jest zgodny z formatem adresów używanych w globalnym Internecie. Dlatego, aby uzyskać dostęp do Internetu, urządzenie musi uzyskać publiczny adres IP.
Zatem pierwszy termin to Inside Local, co oznacza adres IP hosta w wewnętrznej sieci lokalnej. W uproszczeniu jest to podstawowy adres źródłowy typu 192.168.1.10. Drugi termin, Inside Global, to adres IP lokalnego hosta, pod którym jest on widoczny w sieci zewnętrznej. W naszym przypadku jest to adres IP zewnętrznego portu routera 200.124.22.10.
Można powiedzieć, że Inside Local to prywatny adres IP, zaś Inside Global to publiczny adres IP. Pamiętaj, że termin Wewnątrz odnosi się do źródła ruchu, a Na Zewnątrz odnosi się do miejsca docelowego ruchu. Outside Local to adres IP hosta w sieci zewnętrznej, pod którym jest on widoczny dla sieci wewnętrznej. W uproszczeniu jest to adres odbiorcy widoczny z sieci wewnętrznej. Przykładem takiego adresu jest adres IP 200.124.22.100 urządzenia znajdującego się w Internecie.
Outside Global to adres IP hosta widoczny w sieci zewnętrznej. W większości przypadków adresy Outside Local i Outside Global wyglądają tak samo, ponieważ nawet po tłumaczeniu docelowy adres IP jest widoczny dla źródła tak samo, jak przed tłumaczeniem.
Przyjrzyjmy się, czym jest statyczny NAT. Statyczny NAT oznacza translację jeden do jednego wewnętrznych adresów IP na zewnętrzne lub translację jeden do jednego. Kiedy urządzenia wysyłają ruch do Internetu, ich adresy Inside Local są tłumaczone na adresy Inside Global.
W naszej sieci lokalnej znajdują się 3 urządzenia, a kiedy zostaną połączone z Internetem, każde z nich otrzymuje swój własny adres Inside Global. Adresy te są statycznie przypisywane do źródeł ruchu. Zasada jeden do jednego oznacza, że jeśli w sieci lokalnej znajduje się 100 urządzeń, otrzymują one 100 adresów zewnętrznych.
NAT powstał, aby ratować Internet, w którym kończyły się publiczne adresy IP. Dzięki NAT wiele firm i wiele sieci może mieć jeden wspólny zewnętrzny adres IP, na który podczas uzyskiwania dostępu do Internetu konwertowane będą lokalne adresy urządzeń. Można powiedzieć, że w tym przypadku statycznego NAT nie ma oszczędności w liczbie adresów, ponieważ stu lokalnym komputerom przypisanych jest sto adresów zewnętrznych i będziesz miał całkowitą rację. Jednak statyczny NAT nadal ma wiele zalet.
Na przykład mamy serwer z wewnętrznym adresem IP 192.168.1.100. Jeśli jakiekolwiek urządzenie z Internetu chce się z nim skontaktować, nie może tego zrobić za pomocą wewnętrznego adresu docelowego, w tym celu musi skorzystać z adresu serwera zewnętrznego 200.124.22.3. Jeśli router jest skonfigurowany ze statycznym NAT, cały ruch adresowany do 200.124.22.3 jest automatycznie przekazywany do 192.168.1.100. Zapewnia to zewnętrzny dostęp do lokalnych urządzeń sieciowych, w tym przypadku do firmowego serwera WWW, co w niektórych przypadkach może być konieczne.
Rozważmy dynamiczny NAT. Jest bardzo podobny do statycznego, ale nie przypisuje stałych adresów zewnętrznych każdemu urządzeniu lokalnemu. Przykładowo mamy 3 urządzenia lokalne i tylko 2 adresy zewnętrzne. Jeśli drugie urządzenie będzie chciało uzyskać dostęp do Internetu, zostanie mu przydzielony pierwszy wolny adres IP. Jeśli serwer WWW będzie chciał po tym uzyskać dostęp do Internetu, router przypisze mu drugi dostępny adres zewnętrzny. Jeśli po tym pierwsze urządzenie będzie chciało połączyć się z siecią zewnętrzną, nie będzie dla niego dostępnego adresu IP, a router odrzuci jego pakiet.
Możemy mieć setki urządzeń z wewnętrznymi adresami IP, a każde z tych urządzeń może uzyskać dostęp do Internetu. Ponieważ jednak nie mamy statycznego przydzielania adresów zewnętrznych, nie więcej niż 2 urządzenia na sto będą mogły uzyskać dostęp do Internetu w tym samym czasie, ponieważ mamy tylko dwa dynamicznie przydzielane adresy zewnętrzne.
Urządzenia Cisco mają stały czas translacji adresów, który domyślnie wynosi 24 godziny. Można go zmienić na 1,2,3, 10 minut, w dowolnym momencie. Po tym czasie adresy zewnętrzne są zwalniane i automatycznie zwracane do puli adresów. Jeśli w tym momencie pierwsze urządzenie będzie chciało uzyskać dostęp do Internetu i będzie dostępny jakiś adres zewnętrzny, to otrzyma to. Router zawiera tablicę NAT, która jest dynamicznie aktualizowana i do czasu upłynięcia czasu translacji przypisany adres pozostaje w urządzeniu. Mówiąc najprościej, dynamiczny NAT działa na zasadzie „kto pierwszy, ten lepszy”.
Przyjrzyjmy się, czym jest przeciążony NAT (PAT). Jest to najpopularniejszy typ NAT. W Twojej sieci domowej może znajdować się wiele urządzeń - komputer stacjonarny, smartfon, laptop, tablet i wszystkie one łączą się z routerem, który ma jeden zewnętrzny adres IP. Zatem PAT umożliwia wielu urządzeniom z wewnętrznymi adresami IP jednoczesny dostęp do Internetu pod jednym zewnętrznym adresem IP. Jest to możliwe dzięki temu, że każdy prywatny, wewnętrzny adres IP korzysta podczas sesji komunikacyjnej z określonego numeru portu.
Załóżmy, że mamy jeden adres publiczny 200.124.22.1 i wiele urządzeń lokalnych. Zatem podczas uzyskiwania dostępu do Internetu wszystkie te hosty otrzymają ten sam adres 200.124.22.1. Jedyne co będzie je od siebie odróżniać to numer portu.
Jeśli pamiętasz dyskusję o warstwie transportowej, wiesz, że warstwa transportowa zawiera numery portów, przy czym numer portu źródłowego jest liczbą losową.
Załóżmy, że w sieci zewnętrznej znajduje się host o adresie IP 200.124.22.10, który jest podłączony do Internetu. Jeśli komputer 192.168.1.11 będzie chciał komunikować się z komputerem 200.124.22.10, utworzy losowy port źródłowy 51772. W tym przypadku portem docelowym komputera w sieci zewnętrznej będzie 80.
Kiedy router odbierze pakiet komputera lokalnego skierowany do sieci zewnętrznej, przetłumaczy swój adres Inside Local na adres Inside Global 200.124.22.1 i przypisze numer portu 23556. Pakiet dotrze do komputera 200.124.22.10 i będzie musiał odeślij odpowiedź zgodnie z procedurą uzgadniania, w tym przypadku miejscem docelowym będzie adres 200.124.22.1 i port 23556.
Router posiada tablicę translacji NAT, więc kiedy odbierze pakiet z komputera zewnętrznego, określi adres Inside Local odpowiadający adresowi Inside Global jako 192.168.1.11: 51772 i przekaże pakiet do niego. Następnie połączenie między dwoma komputerami można uznać za nawiązane.
Jednocześnie możesz mieć sto urządzeń korzystających z tego samego adresu 200.124.22.1 do komunikacji, ale z różnymi numerami portów, dzięki czemu wszystkie będą mogły uzyskać dostęp do Internetu w tym samym czasie. Dlatego PAT jest tak popularną metodą transmisji.
Przyjrzyjmy się konfigurowaniu statycznego NAT. W przypadku każdej sieci należy przede wszystkim określić interfejsy wejściowe i wyjściowe. Schemat przedstawia router, przez który przesyłany jest ruch z portu G0/0 do portu G0/1, czyli z sieci wewnętrznej do sieci zewnętrznej. Mamy więc interfejs wejściowy 192.168.1.1 i interfejs wyjściowy 200.124.22.1.
Aby skonfigurować NAT wchodzimy do interfejsu G0/0 i ustawiamy parametry ip adress 192.168.1.1 255.255.255.0 i wskazujemy, że ten interfejs jest interfejsem wejściowym za pomocą polecenia ip nat inside.
W ten sam sposób konfigurujemy NAT na interfejsie wyjściowym G0/1, podając adres ip 200.124.22.1, maskę podsieci 255.255.255.0 oraz ip nat na zewnątrz. Pamiętaj, że dynamiczna translacja NAT jest zawsze wykonywana od interfejsu wejściowego do interfejsu wyjściowego, od wewnątrz na zewnątrz. Oczywiście w przypadku dynamicznego NAT odpowiedź dociera do interfejsu wejściowego poprzez interfejs wyjściowy, ale gdy inicjowany jest ruch, wyzwalany jest kierunek wejście-wyjście. W przypadku statycznego NAT inicjacja ruchu może nastąpić w dowolnym kierunku – in-out lub out-in.
Następnie musimy utworzyć statyczną tabelę NAT, w której każdemu adresowi lokalnemu odpowiada odrębny adres globalny. W naszym przypadku są to 3 urządzenia, więc tabela będzie składać się z 3 rekordów, które wskazują lokalny adres IP źródła, który jest konwertowany na adres Inside Global: ip nat inside static 192.168.1.10 200.124.22.1.
Dlatego w statycznym NAT ręcznie piszesz tłumaczenie dla każdego lokalnego adresu hosta. Teraz przejdę do Packet Tracer i dokonam ustawień opisanych powyżej.
Na górze mamy serwer 192.168.1.100, poniżej komputer 192.168.1.10 a na samym dole komputer 192.168.1.11. Port G0/0 routera 0 ma adres IP 192.168.1.1, a port G0/1 ma adres IP 200.124.22.1. W „chmurze” reprezentującej Internet umieściłem Router1, któremu przypisałem adres IP 200.124.22.10.
Wchodzę w ustawienia Router1 i wpisuję polecenie debug ip icmp. Teraz, gdy ping dotrze do tego urządzenia, w oknie ustawień pojawi się komunikat debugowania pokazujący, jaki jest pakiet.
Zacznijmy konfigurować router Router0. Wchodzę w tryb ustawień globalnych i wywołuję interfejs G0/0. Następnie wpisuję polecenie ip nat inside, następnie przechodzę do interfejsu g0/1 i wpisuję polecenie ip nat outside. W ten sposób przypisałem interfejsy wejściowe i wyjściowe routera. Teraz muszę ręcznie skonfigurować adresy IP, czyli przenieść linie z tabeli powyżej do ustawień:
IP nat wewnątrz źródła statycznego 192.168.1.10 200.124.22.1
IP nat wewnątrz źródła statycznego 192.168.1.11 200.124.22.2
IP nat wewnątrz źródła statycznego 192.168.1.100 200.124.22.3
Teraz wyślę polecenie ping do Routera 1 z każdego z naszych urządzeń i zobaczę, jakie adresy IP otrzyma w wyniku otrzymanego polecenia ping. Aby to zrobić, ustawiam otwarte okno CLI routera R1 po prawej stronie ekranu, aby móc zobaczyć komunikaty debugowania. Teraz idę do terminala wiersza poleceń PC0 i pinguję adres 200.124.22.10. Następnie w oknie pojawia się komunikat, że ping został odebrany z adresu IP 200.124.22.1. Oznacza to, że adres IP komputera lokalnego 192.168.1.10 został przetłumaczony na adres globalny 200.124.22.1.
Robię to samo z kolejnym komputerem lokalnym i widzę, że jego adres został przetłumaczony na 200.124.22.2. Następnie pinguję serwer i widzę adres 200.124.22.3.
Tym samym, gdy ruch z urządzenia sieci lokalnej dociera do routera, na którym skonfigurowany jest statyczny NAT, router zgodnie z tabelą konwertuje lokalny adres IP na globalny i wysyła ruch do sieci zewnętrznej. Aby sprawdzić tabelę NAT, wpisuję polecenie show ip nat Translations.
Teraz możemy zobaczyć wszystkie transformacje dokonane przez router. Pierwsza kolumna Inside Global zawiera adres urządzenia przed rozgłoszeniem, czyli adres pod którym urządzenie jest widoczne z sieci zewnętrznej, po którym następuje adres Inside Local, czyli adres urządzenia w sieci lokalnej. Trzecia kolumna pokazuje zewnętrzny adres lokalny, a czwarta kolumna pokazuje zewnętrzny adres globalny, oba są takie same, ponieważ nie tłumaczymy docelowego adresu IP. Jak widać, po kilku sekundach tabela została wyczyszczona, ponieważ Packet Tracer miał ustawiony krótki limit czasu pingu.
Mogę pingować serwer pod adresem 1 z routera R200.124.22.3, a gdy wrócę do ustawień routera, widzę, że tabela jest ponownie wypełniona czterema wierszami pingów z przetłumaczonym adresem docelowym 192.168.1.100.
Jak powiedziałem, nawet jeśli zostanie uruchomiony limit czasu tłumaczenia, gdy ruch zostanie zainicjowany ze źródła zewnętrznego, mechanizm NAT zostanie automatycznie aktywowany. Dzieje się tak tylko przy użyciu statycznego NAT.
Przyjrzyjmy się teraz, jak działa dynamiczny NAT. W naszym przykładzie istnieją 2 adresy publiczne dla trzech urządzeń w sieci lokalnej, ale takich prywatnych hostów może być dziesiątki lub setki. Jednocześnie tylko 2 urządzenia mogą uzyskać dostęp do Internetu w tym samym czasie. Zastanówmy się, jaka jest dodatkowo różnica między statycznym i dynamicznym NAT.
Podobnie jak w poprzednim przypadku, najpierw musisz określić interfejsy wejściowe i wyjściowe routera. Następnie tworzymy rodzaj listy dostępu, ale nie jest to ta sama lista ACL, o której mówiliśmy w poprzedniej lekcji. Ta lista dostępu służy do identyfikacji ruchu, który chcemy przekształcić. Tutaj pojawia się nowy termin „interesujący ruch” lub „ciekawy ruch”. Jest to ruch, który z jakiegoś powodu Cię interesuje i kiedy spełnia warunki listy dostępu, podlega translacji NAT i jest tłumaczony. Termin ten odnosi się do ruchu w wielu przypadkach, np. w przypadku VPN „interesujący” jest ruch, który będzie przechodził przez tunel VPN.
Musimy stworzyć listę ACL identyfikującą interesujący ruch, w naszym przypadku jest to ruch całej sieci 192.168.1.0, wraz z określoną maską powrotu 0.0.0.255.
Następnie musimy utworzyć pulę NAT, dla której używamy polecenia ip natpool <nazwa puli> i określamy pulę adresów IP 200.124.22.1 200.124.22.2. Oznacza to, że udostępniamy tylko dwa zewnętrzne adresy IP. Następnie polecenie używa słowa kluczowego netmask i wprowadza maskę podsieci 255.255.255.252. Ostatni oktet maski to (255 - liczba adresów puli - 1), więc jeśli w puli masz 254 adresy, to maska podsieci będzie wynosić 255.255.255.0. Jest to bardzo ważne ustawienie, dlatego podczas konfigurowania dynamicznego NAT pamiętaj o wprowadzeniu prawidłowej wartości maski sieci.
Następnie używamy polecenia uruchamiającego mechanizm NAT: ip nat inside source list 1 pula NWKING, gdzie NWKING to nazwa puli, a lista 1 oznacza numer ACL 1. Pamiętaj - aby to polecenie zadziałało, musisz najpierw utworzyć dynamiczną pulę adresów i listę dostępową.
Zatem w naszych warunkach pierwsze urządzenie, które będzie chciało uzyskać dostęp do Internetu, będzie mogło to zrobić, drugie urządzenie będzie mogło to zrobić, ale trzecie będzie musiało poczekać, aż jeden z adresów puli będzie wolny. Konfiguracja dynamicznego NAT składa się z 4 kroków: określenia interfejsu wejściowego i wyjściowego, identyfikacji „interesującego” ruchu, utworzenia puli NAT i właściwej konfiguracji.
Teraz przejdziemy do Packet Tracer i spróbujemy skonfigurować dynamiczny NAT. Najpierw musimy usunąć statyczne ustawienia NAT, dla których wpisujemy kolejno polecenia:
brak IP nat wewnątrz źródła statycznego 192.168.1.10 200.124.22.1
brak IP nat wewnątrz źródła statycznego 192.168.1.11 200.124.22.2
brak IP nat wewnątrz źródła statycznego 192.168.1.100 200.124.22.3.
Następnie tworzę listę dostępu Lista 1 dla całej sieci za pomocą polecenia access-list 1 zezwolenie 192.168.1.0 0.0.0.255 i tworzę pulę NAT za pomocą polecenia ip nat Pool NWKING 200.124.22.1 200.124.22.2 maska sieci 255.255.255.252. W tym poleceniu podałem nazwę puli, zawarte w niej adresy i maskę sieci.
Następnie określam, który to NAT - wewnętrzny czy zewnętrzny oraz źródło, z którego NAT ma pobierać informacje, w naszym przypadku jest to lista, za pomocą polecenia ip nat inside source list 1. Następnie system zapyta, czy potrzebujesz całej puli lub określonego interfejsu. Wybieram pulę, ponieważ mamy więcej niż 1 adres zewnętrzny. Jeśli wybierzesz interfejs, będziesz musiał określić port z określonym adresem IP. W ostatecznej formie polecenie będzie wyglądać następująco: ip nat inside source list 1 Pool NWKING. Obecnie ta pula składa się z dwóch adresów 200.124.22.1 200.124.22.2, ale możesz je dowolnie zmieniać lub dodawać nowe adresy, które nie są powiązane z konkretnym interfejsem.
Musisz upewnić się, że Twoja tabela routingu jest zaktualizowana, tak aby każdy z adresów IP w puli musiał być kierowany do tego urządzenia, w przeciwnym razie ruch zwrotny nie będzie odbierany. Aby upewnić się, że ustawienia działają, powtórzymy procedurę pingowania routera w chmurze, którą zrobiliśmy w przypadku statycznego NAT. Otworzę okno Routera 1, aby zobaczyć komunikaty trybu debugowania i pingować je z każdego z 3 urządzeń.
Widzimy, że wszystkie adresy źródłowe, z których pochodzą pakiety ping, odpowiadają ustawieniom. Jednocześnie nie działa ping z komputera PC0, gdyż nie ma on wystarczającej ilości wolnego adresu zewnętrznego. Jeśli wejdziesz w ustawienia Routera 1, zobaczysz, że adresy puli 200.124.22.1 i 200.124.22.2 są obecnie w użyciu. Teraz wyłączę transmisję i zobaczysz, jak linie znikają jedna po drugiej. Ponownie pinguję PC0 i jak widać wszystko już działa, ponieważ udało mu się uzyskać wolny adres zewnętrzny 200.124.22.1.
Jak mogę wyczyścić tabelę NAT i cofnąć translację danego adresu? Przejdź do ustawień routera Router0 i wpisz polecenie clear ip nat Translation * z gwiazdką na końcu linii. Jeśli teraz sprawdzimy status tłumaczenia za pomocą polecenia show ip nat Translation, system wyświetli pustą linię.
Aby wyświetlić statystyki NAT, użyj polecenia show ip natstatistics.
Jest to bardzo przydatne polecenie, które pozwala sprawdzić całkowitą liczbę dynamicznych, statycznych i zaawansowanych tłumaczeń NAT/PAT. Widać, że jest to 0, ponieważ poprzednią komendą wyczyściliśmy dane rozgłoszeniowe. Wyświetla interfejsy wejściowe i wyjściowe, liczbę udanych i nieudanych konwersji trafień i chybień (liczba niepowodzeń wynika z braku wolnego adresu zewnętrznego dla hosta wewnętrznego), nazwę listy dostępowej i puli.
Teraz przejdziemy do najpopularniejszego rodzaju translacji adresów IP - zaawansowanego NAT, czyli PAT. Aby skonfigurować PAT, musisz wykonać te same kroki, co przy konfigurowaniu dynamicznego NAT: określ interfejsy wejściowe i wyjściowe routera, zidentyfikuj „interesujący” ruch, utwórz pulę NAT i skonfiguruj PAT. Możemy utworzyć tę samą pulę wielu adresów, co w poprzednim przypadku, ale nie jest to konieczne, ponieważ PAT cały czas korzysta z tego samego adresu zewnętrznego. Jedyną różnicą pomiędzy konfiguracją dynamicznego NAT i PAT jest słowo kluczowe przeciążenie, które kończy ostatnie polecenie konfiguracyjne. Po wpisaniu tego słowa dynamiczny NAT automatycznie zamienia się w PAT.
Ponadto używasz tylko jednego adresu w puli NWKING, na przykład 200.124.22.1, ale określasz go dwukrotnie jako początkowy i końcowy adres zewnętrzny z maską sieci 255.255.255.0. Można to zrobić łatwiej, używając parametru interfejsu źródłowego i stałego adresu 1 interfejsu G200.124.22.1/200.124.22.1 zamiast linii ip nat 255.255.255.0 pula NWKING 200.124.22.1 0 maska sieci 1. W takim przypadku wszystkie adresy lokalne podczas uzyskiwania dostępu do Internetu zostaną przekonwertowane na ten adres IP.
Można także wykorzystać w puli dowolny inny adres IP, który niekoniecznie odpowiada konkretnemu interfejsowi fizycznemu. Jednak w tym przypadku musisz upewnić się, że wszystkie routery w sieci mogą przekazywać ruch zwrotny do wybranego urządzenia. Wadą NAT jest to, że nie można go używać do adresowania typu end-to-end, ponieważ zanim pakiet zwrotny powróci do urządzenia lokalnego, jego dynamiczny adres IP NAT może mieć czas na zmianę. Oznacza to, że musisz mieć pewność, że wybrany adres IP pozostanie dostępny przez cały czas trwania sesji komunikacyjnej.
Przyjrzyjmy się temu za pomocą Packet Tracer. Najpierw muszę usunąć dynamiczny NAT za pomocą polecenia no Ip nat wewnątrz listy źródeł 1 NWKING i usunąć pulę NAT za pomocą polecenia no Ip nat Pool NWKING 200.124.22.1 200.124.22.2 maska sieci 225.255.255.252.
Następnie muszę utworzyć pulę PAT za pomocą polecenia Ip nat Pool NWKING 200.124.22.2 200.124.22.2 maska sieci 225.255.255.255. Tym razem używam adresu IP, który nie należy do urządzenia fizycznego, ponieważ urządzenie fizyczne ma adres 200.124.22.1, a chcę użyć adresu 200.124.22.2. W naszym przypadku to się sprawdza, bo mamy sieć lokalną.
Następnie konfiguruję PAT za pomocą polecenia Ip nat wewnątrz listy źródeł 1 Przeciążenie NWKING puli. Po wprowadzeniu tej komendy aktywowana jest translacja adresów PAT. Aby sprawdzić, czy konfiguracja jest prawidłowa, idę do naszych urządzeń, serwera i dwóch komputerów, i wysyłam z komputera polecenie ping PC0 Router1 pod adresem 200.124.22.10. W oknie ustawień routera widać linie debugowania, które pokazują, że źródłem pingu, zgodnie z oczekiwaniami, jest adres IP 200.124.22.2. Ping wysłany przez komputer PC1 i serwer Server0 pochodzi z tego samego adresu.
Zobaczmy, co się stanie w tabeli translacji Router0. Możesz zobaczyć, że wszystkie translacje powiodły się, każdemu urządzeniu przypisany jest własny port, a wszystkie adresy lokalne są powiązane z Routerem 1 poprzez pulę adresów IP 200.124.22.2.
Do przeglądania statystyk PAT używam polecenia show ip natstatistics.
Widzimy, że łączna liczba konwersji, czyli tłumaczeń adresów, wynosi 12, widzimy charakterystykę puli i inne informacje.
Teraz zrobię coś innego - wpiszę polecenie Ip nat wewnątrz listy źródeł 1 interfejsu Gigabit Ethernet g0/1 przeciążenie. Jeśli następnie wykonasz polecenie ping do routera z komputera PC0, zobaczysz, że pakiet pochodzi z adresu 200.124.22.1, czyli z interfejsu fizycznego! Jest to prostszy sposób: jeśli nie chcesz tworzyć puli, co zdarza się najczęściej przy korzystaniu z domowych routerów, możesz wykorzystać adres IP fizycznego interfejsu routera jako zewnętrzny adres NAT. W ten sposób najczęściej tłumaczony jest adres prywatnego hosta dla sieci publicznej.
Dzisiaj nauczyliśmy się bardzo ważnego tematu, więc musisz go przećwiczyć. Użyj Packet Tracer, aby sprawdzić swoją wiedzę teoretyczną pod kątem praktycznych problemów z konfiguracją NAT i PAT. Zakończyliśmy studiowanie tematów ICND1 - pierwszego egzaminu kursu CCNA, więc prawdopodobnie kolejną lekcję wideo poświęcę podsumowaniu wyników.
Dziękujemy za pobyt z nami. Podobają Ci się nasze artykuły? Chcesz zobaczyć więcej ciekawych treści? Wesprzyj nas składając zamówienie lub polecając znajomym, 30% zniżki dla użytkowników Habr na unikalny odpowiednik serwerów klasy podstawowej, który został przez nas wymyślony dla Ciebie: (dostępne z RAID1 i RAID10, do 24 rdzeni i do 40 GB DDR4).
Dell R730xd 2 razy tańszy? Tylko tutaj w Holandii! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gb/s 100 TB — od 99 USD! Czytać o
Źródło: www.habr.com