Hoje estudaremos PAT (Port Address Translation), uma tecnologia para traduzir endereços IP usando portas, e NAT (Network Address Translation), uma tecnologia para traduzir endereços IP de pacotes de trânsito. PAT é um caso especial de NAT. Abordaremos três tópicos:
— endereços IP privados ou internos (intranet, locais) e endereços IP públicos ou externos;
- NAT e PAT;
— Configuração NAT/PAT.
Vamos começar com endereços IP privados internos. Sabemos que eles estão divididos em três classes: A, B e C.
Os endereços internos de Classe A ocupam o intervalo de dezenas de 10.0.0.0 a 10.255.255.255, e os endereços externos ocupam o intervalo de 1.0.0.0 a 9 e de 255.255.255 a 11.0.0.0.
Os endereços internos de classe B ocupam o intervalo de 172.16.0.0 a 172.31.255.255, e os endereços externos variam de 128.0.0.0 a 172.15.255.255 e de 172.32.0.0 a 191.255.255.255.
Os endereços internos da classe C ocupam o intervalo de 192.168.0.0 a 192.168.255.255, e os endereços externos variam de 192.0.0 a 192.167.255.255 e de 192.169.0.0 a 223.255.255.255.
Os endereços de classe A são /8, os de classe B são /12 e os de classe C são /16. Assim, endereços IP externos e internos de diferentes classes ocupam intervalos diferentes.
Discutimos várias vezes qual é a diferença entre endereços IP públicos e privados. Em termos gerais, se tivermos um roteador e um grupo de endereços IP internos, quando tentam acessar a Internet, o roteador os converte em endereços IP externos. Os endereços internos são usados exclusivamente em redes locais, não na Internet.
Se eu visualizar os parâmetros de rede do meu computador usando a linha de comando, verei meu endereço IP interno da LAN 192.168.1.103.
Para descobrir o seu endereço IP público, você pode usar um serviço de Internet como “Qual é o meu IP?” Como você pode ver, o endereço externo do computador 78.100.196.163 é diferente do seu endereço interno.
Em todos os casos, meu computador fica visível na Internet precisamente pelo seu endereço IP externo. Portanto, o endereço interno do meu computador é 192.168.1.103 e o externo é 78.100.196.163. O endereço interno é utilizado apenas para comunicação local, não é possível acessar a Internet com ele, para isso é necessário um endereço IP público. Você pode lembrar por que a divisão em endereços privados e públicos foi feita revisando o vídeo tutorial do Dia 3.
Vejamos o que é NAT. Existem três tipos de NAT: NAT estático, dinâmico e “sobrecarregado”, ou PAT.
A Cisco possui 4 termos que descrevem o NAT. Como eu disse, NAT é um mecanismo para converter endereços internos em externos. Se um dispositivo conectado à Internet receber um pacote de outro dispositivo da rede local, ele simplesmente descartará esse pacote, pois o formato do endereço interno não corresponde ao formato dos endereços utilizados na Internet global. Portanto, o dispositivo deve obter um endereço IP público para acessar a Internet.
Portanto, o primeiro termo é Inside Local, significando o endereço IP do host na rede local interna. Em termos simples, este é o endereço de origem primário do tipo 192.168.1.10. O segundo termo, Inside Global, é o endereço IP do host local sob o qual é visível na rede externa. No nosso caso, este é o endereço IP da porta externa do roteador 200.124.22.10.
Podemos dizer que Inside Local é um endereço IP privado e Inside Global é um endereço IP público. Lembre-se de que o termo Dentro refere-se à origem do tráfego e Fora refere-se ao destino do tráfego. Outside Local é o endereço IP do host na rede externa, sob o qual é visível para a rede interna. Simplificando, este é o endereço do destinatário visível na rede interna. Um exemplo desse endereço é o endereço IP 200.124.22.100 de um dispositivo localizado na Internet.
Outside Global é o endereço IP do host visível na rede externa. Na maioria dos casos, os endereços Outside Local e Outside Global parecem iguais porque, mesmo após a tradução, o endereço IP de destino fica visível para a origem como era antes da tradução.
Vejamos o que é NAT estático. NAT estático significa uma tradução um-para-um de endereços IP internos para externos ou uma tradução um-para-um. Quando os dispositivos enviam tráfego para a Internet, seus endereços Inside Local são traduzidos em endereços Inside Global.
Existem 3 dispositivos em nossa rede local e, quando ficam online, cada um deles recebe seu próprio endereço Inside Global. Esses endereços são atribuídos estaticamente às fontes de tráfego. O princípio um para um significa que se houver 100 dispositivos na rede local, eles receberão 100 endereços externos.
O NAT nasceu para salvar a Internet, que estava ficando sem endereços IP públicos. Graças ao NAT, muitas empresas e muitas redes podem ter um endereço IP externo comum, no qual os endereços locais dos dispositivos serão convertidos ao acessar a Internet. Você pode dizer que neste caso de NAT estático não há economia no número de endereços, já que cem computadores locais recebem cem endereços externos, e você terá toda razão. No entanto, o NAT estático ainda tem várias vantagens.
Por exemplo, temos um servidor com endereço IP interno 192.168.1.100. Se algum dispositivo da Internet quiser contatá-lo, não poderá fazê-lo utilizando o endereço de destino interno, para isso deverá utilizar o endereço do servidor externo 200.124.22.3. Se o seu roteador estiver configurado com NAT estático, todo o tráfego endereçado a 200.124.22.3 será automaticamente encaminhado para 192.168.1.100. Permite acesso externo a dispositivos de rede local, neste caso ao servidor web da empresa, o que pode ser necessário em alguns casos.
Vamos considerar o NAT dinâmico. É muito semelhante ao estático, mas não atribui endereços externos permanentes a cada dispositivo local. Por exemplo, temos 3 dispositivos locais e apenas 2 endereços externos. Se o segundo dispositivo quiser acessar a Internet, será atribuído o primeiro endereço IP livre. Se um servidor web quiser acessar a Internet depois dele, o roteador atribuirá a ele um segundo endereço externo disponível. Se depois disso o primeiro dispositivo quiser se conectar à rede externa, não haverá endereço IP disponível para ele e o roteador descartará seu pacote.
Podemos ter centenas de dispositivos com endereços IP internos e cada um desses dispositivos pode acessar a Internet. Mas como não temos uma atribuição estática de endereços externos, não mais do que 2 dispositivos em cada cem poderão acessar a Internet ao mesmo tempo, porque temos apenas dois endereços externos atribuídos dinamicamente.
Os dispositivos Cisco têm um tempo de tradução de endereço fixo, cujo padrão é 24 horas. Pode ser alterado para 1,2,3, 10 minutos, a qualquer hora que você quiser. Após esse período, os endereços externos são liberados e retornados automaticamente ao pool de endereços. Se neste momento o primeiro dispositivo quiser acessar a Internet e algum endereço externo estiver disponível, ele o receberá. O roteador contém uma tabela NAT que é atualizada dinamicamente e, até que o tempo de tradução expire, o endereço atribuído é retido pelo dispositivo. Simplificando, o NAT dinâmico funciona com base no princípio “primeiro a chegar, primeiro a ser servido”.
Vejamos o que é um NAT sobrecarregado, ou PAT. Este é o tipo mais comum de NAT. Pode haver muitos dispositivos em sua rede doméstica - PC, smartphone, laptop, tablet, e todos eles se conectam a um roteador que possui um endereço IP externo. Assim, o PAT permite que vários dispositivos com endereços IP internos acessem simultaneamente a Internet sob um endereço IP externo. Isto é possível devido ao fato de que cada endereço IP interno privado utiliza um número de porta específico durante uma sessão de comunicação.
Vamos supor que temos um endereço público 200.124.22.1 e muitos dispositivos locais. Assim, ao acessar a Internet, todos esses hosts receberão o mesmo endereço 200.124.22.1. A única coisa que os distinguirá um do outro é o número da porta.
Se você se lembra da discussão sobre a camada de transporte, sabe que a camada de transporte contém números de porta, sendo o número da porta de origem um número aleatório.
Vamos supor que exista um host na rede externa com o endereço IP 200.124.22.10, que esteja conectado à Internet. Se o computador 192.168.1.11 quiser se comunicar com o computador 200.124.22.10, ele criará uma porta de origem aleatória 51772. Nesse caso, a porta de destino do computador da rede externa será 80.
Quando o roteador recebe um pacote de computador local direcionado para a rede externa, ele traduzirá seu endereço Inside Local para o endereço Inside Global 200.124.22.1 e atribuirá o número de porta 23556. O pacote alcançará o computador 200.124.22.10 e terá que enviar de volta uma resposta de acordo com o procedimento de handshake, neste caso o destino será o endereço 200.124.22.1 e a porta 23556.
O roteador possui uma tabela de tradução NAT, portanto, ao receber um pacote de um computador externo, ele determinará o endereço Inside Local correspondente ao endereço Inside Global como 192.168.1.11:51772 e encaminhará o pacote para ele. Depois disso, a conexão entre os dois computadores pode ser considerada estabelecida.
Ao mesmo tempo, você pode ter cem dispositivos usando o mesmo endereço 200.124.22.1 para se comunicar, mas números de porta diferentes, para que todos possam acessar a Internet ao mesmo tempo. É por isso que o PAT é um método de transmissão tão popular.
Vejamos como configurar o NAT estático. Para qualquer rede, antes de mais nada, é necessário determinar as interfaces de entrada e saída. O diagrama mostra um roteador através do qual o tráfego é transmitido da porta G0/0 para a porta G0/1, ou seja, da rede interna para a rede externa. Portanto, temos uma interface de entrada 192.168.1.1 e uma interface de saída 200.124.22.1.
Para configurar o NAT, vamos até a interface G0/0 e configuramos os parâmetros endereço ip 192.168.1.1 255.255.255.0 e indicamos que esta interface é a de entrada utilizando o comando ip nat inside.
Da mesma forma, configuramos o NAT na interface de saída G0/1, especificando o endereço IP 200.124.22.1, máscara de sub-rede 255.255.255.0 e IP nat externo. Lembre-se de que a tradução dinâmica do NAT é sempre realizada da interface de entrada para a interface de saída, de dentro para fora. Naturalmente, para o NAT dinâmico, a resposta chega à interface de entrada através da interface de saída, mas quando o tráfego é iniciado, é a direção de entrada-saída que é acionada. No caso do NAT estático, o início do tráfego pode ocorrer em qualquer direção – entrada-saída ou saída-entrada.
Em seguida, precisamos criar uma tabela NAT estática, onde cada endereço local corresponda a um endereço global separado. No nosso caso são 3 dispositivos, portanto a tabela será composta por 3 registros, que indicam o endereço IP Inside Local da fonte, que é convertido para o endereço Inside Global: ip nat inside static 192.168.1.10 200.124.22.1.
Assim, no NAT estático, você escreve manualmente uma tradução para cada endereço de host local. Agora irei ao Packet Tracer e farei as configurações descritas acima.
No topo temos o servidor 192.168.1.100, abaixo está o computador 192.168.1.10 e na parte inferior está o computador 192.168.1.11. A porta G0/0 do Router0 possui um endereço IP 192.168.1.1 e a porta G0/1 possui um endereço IP 200.124.22.1. Na “nuvem” que representa a Internet, coloquei o Router1, ao qual atribuí o endereço IP 200.124.22.10.
Entro nas configurações do Router1 e digito o comando debug ip icmp. Agora, assim que o ping atingir esse dispositivo, uma mensagem de depuração aparecerá na janela de configurações mostrando qual é o pacote.
Vamos começar a configurar o roteador Router0. Entro no modo de configurações globais e chamo a interface G0/0. Em seguida, insiro o comando ip nat inside, vou para a interface g0/1 e insiro o comando ip nat outside. Assim, atribuí as interfaces de entrada e saída do roteador. Agora preciso configurar manualmente os endereços IP, ou seja, transferir as linhas da tabela acima para as configurações:
Ip nat dentro da fonte estática 192.168.1.10 200.124.22.1
Ip nat dentro da fonte estática 192.168.1.11 200.124.22.2
Ip nat dentro da fonte estática 192.168.1.100 200.124.22.3
Agora farei ping no Router1 de cada um de nossos dispositivos e verei quais endereços IP o ping que ele recebe mostra. Para fazer isso, posiciono a janela CLI aberta do roteador R1 no lado direito da tela para poder ver as mensagens de depuração. Agora vou para o terminal de linha de comando PC0 e faço ping no endereço 200.124.22.10. Depois disso, aparece uma mensagem na janela informando que o ping foi recebido do endereço IP 200.124.22.1. Isso significa que o endereço IP 192.168.1.10 do computador local foi traduzido para o endereço global 200.124.22.1.
Faço o mesmo com o próximo computador local e vejo que seu endereço foi traduzido para 200.124.22.2. Então faço ping no servidor e vejo o endereço 200.124.22.3.
Assim, quando o tráfego de um dispositivo de rede local chega a um roteador no qual está configurado o NAT estático, o roteador, conforme tabela, converte o endereço IP local em um global e envia o tráfego para a rede externa. Para verificar a tabela NAT, insiro o comando show ip nat traduções.
Agora podemos visualizar todas as transformações que o roteador faz. A primeira coluna Inside Global contém o endereço do dispositivo antes da transmissão, ou seja, o endereço sob o qual o dispositivo é visível da rede externa, seguido do endereço Inside Local, ou seja, o endereço do dispositivo na rede local. A terceira coluna mostra o endereço Local Externo e a quarta coluna mostra o endereço Global Externo, ambos iguais porque não estamos traduzindo o endereço IP de destino. Como você pode ver, após alguns segundos a tabela foi apagada porque o Packet Tracer tinha um tempo limite de ping curto definido.
Posso executar ping no servidor em 1 a partir do roteador R200.124.22.3 e, se voltar às configurações do roteador, posso ver que a tabela está novamente preenchida com quatro linhas de ping com o endereço de destino traduzido 192.168.1.100.
Como eu disse, mesmo que o tempo limite de tradução seja acionado, quando o tráfego é iniciado de uma fonte externa, o mecanismo NAT é ativado automaticamente. Isso só acontece ao usar NAT estático.
Agora vamos ver como funciona o NAT dinâmico. Em nosso exemplo, existem 2 endereços públicos para três dispositivos de rede local, mas pode haver dezenas ou centenas desses hosts privados. Ao mesmo tempo, apenas 2 dispositivos podem acessar a Internet ao mesmo tempo. Vamos considerar qual é, além disso, a diferença entre NAT estático e dinâmico.
Como no caso anterior, primeiro você precisa determinar as interfaces de entrada e saída do roteador. A seguir, criamos uma espécie de lista de acesso, mas esta não é a mesma ACL da qual falamos na lição anterior. Esta lista de acesso é usada para identificar o tráfego que queremos transformar. Aqui aparece um novo termo “tráfego interessante” ou “tráfego interessante”. Este é o tráfego que lhe interessa por algum motivo, e quando esse tráfego corresponde às condições da lista de acesso, ele entra no NAT e é traduzido. Este termo se aplica ao tráfego em muitos casos, por exemplo, no caso da VPN, “interessante” é o tráfego que vai passar pelo túnel VPN.
Devemos criar uma ACL que identifique o tráfego interessante, no nosso caso é o tráfego de toda a rede 192.168.1.0, junto com a qual é especificada uma máscara de retorno de 0.0.0.255.
Então devemos criar um pool NAT, para o qual usamos o comando ip nat pool <nome do pool> e especificamos o pool de endereços IP 200.124.22.1 200.124.22.2. Isso significa que fornecemos apenas dois endereços IP externos. Em seguida, o comando usa a palavra-chave netmask e insere a máscara de sub-rede 255.255.255.252. O último octeto da máscara é (255 - número de endereços do pool - 1), portanto, se você tiver 254 endereços no pool, a máscara de sub-rede será 255.255.255.0. Esta é uma configuração muito importante, portanto, certifique-se de inserir o valor correto da máscara de rede ao configurar o NAT dinâmico.
Em seguida, usamos o comando que inicia o mecanismo NAT: ip nat inside source list 1 pool NWKING, onde NWKING é o nome do pool e list 1 significa ACL número 1. Lembre-se: para que este comando funcione, você deve primeiro criar um conjunto de endereços dinâmicos e uma lista de acesso.
Então, nas nossas condições, o primeiro dispositivo que quiser acessar a Internet poderá fazer isso, o segundo dispositivo poderá fazê-lo, mas o terceiro terá que esperar até que um dos endereços do pool esteja livre. A configuração do NAT dinâmico consiste em 4 etapas: determinação da interface de entrada e saída, identificação do tráfego “interessante”, criação de um pool NAT e a configuração real.
Agora passaremos para o Packet Tracer e tentaremos configurar o NAT dinâmico. Primeiro devemos remover as configurações estáticas de NAT, para as quais inserimos os comandos sequencialmente:
sem Ip nat dentro da fonte estática 192.168.1.10 200.124.22.1
sem Ip nat dentro da fonte estática 192.168.1.11 200.124.22.2
sem Ip nat dentro da fonte estática 192.168.1.100 200.124.22.3.
Em seguida, crio uma lista de acesso Lista 1 para toda a rede com o comando access-list 1 permit 192.168.1.0 0.0.0.255 e crio um pool NAT usando o comando ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 255.255.255.252. Neste comando, especifiquei o nome do pool, os endereços nele incluídos e a máscara de rede.
Então eu especifico qual é o NAT - interno ou externo, e a fonte da qual o NAT deve extrair informações, no nosso caso é lista, usando o comando ip nat dentro da lista de fontes 1. Depois disso, o sistema perguntará se você precisa de um pool inteiro ou de uma interface específica. Escolhi pool porque temos mais de 1 endereço externo. Se você selecionar interface, precisará especificar uma porta com um endereço IP específico. Na forma final, o comando ficará assim: ip nat inside source list 1 pool NWKING. Atualmente este pool consiste em dois endereços 200.124.22.1 200.124.22.2, mas você pode alterá-los livremente ou adicionar novos endereços que não estejam associados a uma interface específica.
Você deve garantir que sua tabela de roteamento esteja atualizada para que qualquer um desses endereços IP no pool seja roteado para este dispositivo, caso contrário você não receberá tráfego de retorno. Para ter certeza de que as configurações estão funcionando, repetiremos o procedimento de ping no roteador da nuvem, que fizemos para NAT estático. Abrirei a janela do Roteador 1 para poder ver as mensagens do modo de depuração e fazer ping de cada um dos três dispositivos.
Vemos que todos os endereços de origem dos quais vêm os pacotes de ping correspondem às configurações. Ao mesmo tempo, o ping do computador PC0 não funciona porque não possui endereço externo livre suficiente. Se você acessar as configurações do Roteador 1, poderá ver que os endereços do pool 200.124.22.1 e 200.124.22.2 estão em uso no momento. Agora vou desligar a transmissão e você verá como as linhas vão desaparecendo uma a uma. Eu fiz ping no PC0 novamente e como você pode ver, tudo funciona agora porque foi possível obter o endereço externo gratuito 200.124.22.1.
Como posso limpar a tabela NAT e desfazer uma determinada tradução de endereço? Acesse as configurações do roteador Router0 e digite o comando clear ip nat translation * com um asterisco no final da linha. Se agora observarmos o status da tradução usando o comando show ip nat translation, o sistema nos fornecerá uma linha vazia.
Para visualizar estatísticas NAT, use o comando show ip nat stats.
Este é um comando muito útil que permite descobrir o número total de traduções NAT/PAT dinâmicas, estáticas e avançadas. Você pode ver que é 0 porque limpamos os dados de transmissão com o comando anterior. Isso exibe as interfaces de entrada e saída, o número de conversões de acertos e erros bem-sucedidos e malsucedidos (o número de falhas é devido à falta de um endereço externo livre para o host interno), o nome da lista de acesso e do pool.
Agora passaremos para o tipo mais popular de tradução de endereços IP - NAT avançado ou PAT. Para configurar o PAT, você precisa seguir os mesmos passos para configurar o NAT dinâmico: determinar as interfaces de entrada e saída do roteador, identificar o tráfego “interessante”, criar um pool NAT e configurar o PAT. Podemos criar o mesmo conjunto de múltiplos endereços como no caso anterior, mas isso não é necessário porque o PAT usa o mesmo endereço externo o tempo todo. A única diferença entre configurar NAT dinâmico e PAT é a palavra-chave de sobrecarga que encerra o último comando de configuração. Após inserir esta palavra, o NAT dinâmico se transforma automaticamente em PAT.
Além disso, você usa apenas um endereço no pool NWKING, por exemplo 200.124.22.1, mas especifica-o duas vezes como endereço externo inicial e final com uma máscara de rede de 255.255.255.0. Você pode fazer isso mais facilmente usando o parâmetro da interface de origem e o endereço fixo 1 da interface G200.124.22.1/200.124.22.1 em vez da linha ip nat 255.255.255.0 pool NWKING 200.124.22.1 0 netmask 1. Neste caso, todos os endereços locais ao acessar a Internet serão convertidos para este endereço IP.
Você também pode usar qualquer outro endereço IP no pool, que não corresponda necessariamente a uma interface física específica. No entanto, neste caso, você deve garantir que todos os roteadores da rede possam encaminhar o tráfego de retorno para o dispositivo escolhido. A desvantagem do NAT é que ele não pode ser usado para endereçamento ponta a ponta, porque no momento em que o pacote de retorno retorna ao dispositivo local, seu endereço IP NAT dinâmico pode ter tempo para mudar. Ou seja, você deve ter certeza de que o endereço IP selecionado permanecerá disponível durante toda a sessão de comunicação.
Vejamos isso por meio do Packet Tracer. Primeiro tenho que remover o NAT dinâmico com o comando no Ip nat inside source list 1 NWKING e remover o pool NAT com o comando no Ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 225.255.255.252.
Então tenho que criar um pool PAT com o comando Ip nat pool NWKING 200.124.22.2 200.124.22.2 netmask 225.255.255.255. Desta vez estou usando um endereço IP que não pertence ao dispositivo físico porque o dispositivo físico tem um endereço 200.124.22.1 e quero usar 200.124.22.2. No nosso caso funciona porque temos uma rede local.
Em seguida, configuro o PAT com o comando Ip nat dentro da lista de fontes 1 pool NWKING sobrecarga. Depois de inserir este comando, a tradução de endereços PAT é ativada. Para verificar se a configuração está correta, vou até nossos dispositivos, o servidor e dois computadores, e faço ping no PC0 Router1 em 200.124.22.10 do computador. Na janela de configurações do roteador, você pode ver linhas de depuração que mostram que a origem do ping, como esperávamos, é o endereço IP 200.124.22.2. Um ping enviado pelo computador PC1 e pelo servidor Server0 vem do mesmo endereço.
Vamos ver o que acontece na tabela de conversão do Router0. Você pode ver que todas as traduções foram bem-sucedidas, cada dispositivo recebeu sua própria porta e todos os endereços locais estão associados ao Roteador1 por meio do endereço IP do pool 200.124.22.2.
Eu uso o comando show ip nat stats para visualizar as estatísticas do PAT.
Vemos que o número total de conversões, ou traduções de endereços, é 12, vemos as características do pool e outras informações.
Agora farei outra coisa - inserirei o comando Ip nat dentro da lista de fontes 1 interface gigabit Ethernet g0/1 sobrecarga. Se você executar ping no roteador do PC0, verá que o pacote veio do endereço 200.124.22.1, ou seja, da interface física! Esta é uma maneira mais fácil: se você não deseja criar um pool, o que acontece com mais frequência ao usar roteadores domésticos, você pode usar o endereço IP da interface física do roteador como um endereço NAT externo. É assim que o seu endereço de host privado para a rede pública é traduzido com mais frequência.
Hoje aprendemos um tema muito importante, então você precisa praticá-lo. Use o Packet Tracer para testar seu conhecimento teórico em relação a problemas práticos de configuração de NAT e PAT. Chegamos ao final do estudo dos tópicos do ICND1 - primeiro exame do curso CCNA, então provavelmente dedicarei a próxima videoaula para resumir os resultados.
Obrigado por ficar com a gente. Gostou dos nossos artigos? Quer ver mais conteúdos interessantes? Apoie-nos fazendo um pedido ou recomendando a amigos, 30% de desconto para usuários do Habr em um análogo exclusivo de servidores básicos, que foi inventado por nós para você: (disponível com RAID1 e RAID10, até 24 núcleos e até 40 GB DDR4).
Dell R730xd 2 vezes mais barato? Só aqui na Holanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - a partir de US$ 99! Ler sobre
Fonte: habr.com