วันนี้เราจะศึกษา PAT (การแปลที่อยู่พอร์ต) ซึ่งเป็นเทคโนโลยีสำหรับการแปลที่อยู่ IP โดยใช้พอร์ต และ NAT (การแปลที่อยู่เครือข่าย) ซึ่งเป็นเทคโนโลยีสำหรับการแปลที่อยู่ IP ของแพ็กเก็ตการขนส่ง PAT เป็นกรณีพิเศษของ NAT เราจะครอบคลุมสามหัวข้อ:
- ที่อยู่ IP ส่วนตัวหรือภายใน (อินทราเน็ต ท้องถิ่น) และที่อยู่ IP สาธารณะหรือภายนอก
- แนทและแพท;
— การกำหนดค่า NAT/PAT
เริ่มจากที่อยู่ IP ส่วนตัวภายในกันก่อน เรารู้ว่าพวกมันแบ่งออกเป็นสามคลาส: A, B และ C
ที่อยู่ภายในคลาส A ใช้ช่วงตั้งแต่ 10.0.0.0 ถึง 10.255.255.255 และที่อยู่ภายนอกใช้ช่วงตั้งแต่ 1.0.0.0 ถึง 9 และตั้งแต่ 255.255.255 ถึง 11.0.0.0
ที่อยู่คลาส B ภายในมีช่วงตั้งแต่ 172.16.0.0 ถึง 172.31.255.255 และที่อยู่ภายนอกมีตั้งแต่ 128.0.0.0 ถึง 172.15.255.255 และตั้งแต่ 172.32.0.0 ถึง 191.255.255.255
ที่อยู่คลาส C ภายในมีช่วงตั้งแต่ 192.168.0.0 ถึง 192.168.255.255 และที่อยู่ภายนอกมีตั้งแต่ 192.0.0 ถึง 192.167.255.255 และตั้งแต่ 192.169.0.0 ถึง 223.255.255.255
ที่อยู่คลาส A คือ /8, คลาส B คือ /12 และคลาส C คือ /16 ดังนั้นที่อยู่ IP ภายนอกและภายในของคลาสที่แตกต่างกันจึงใช้ช่วงที่แตกต่างกัน
เราได้พูดคุยกันหลายครั้งว่าความแตกต่างระหว่างที่อยู่ IP ส่วนตัวและสาธารณะคืออะไร โดยทั่วไป หากเรามีเราเตอร์และกลุ่มที่อยู่ IP ภายใน เมื่อพวกเขาพยายามเข้าถึงอินเทอร์เน็ต เราเตอร์จะแปลงให้เป็นที่อยู่ IP ภายนอก ที่อยู่ภายในจะใช้เฉพาะบนเครือข่ายท้องถิ่น ไม่ใช่บนอินเทอร์เน็ต
หากฉันดูพารามิเตอร์เครือข่ายของคอมพิวเตอร์โดยใช้บรรทัดคำสั่ง ฉันจะเห็นที่อยู่ IP ของ LAN ภายใน 192.168.1.103
หากต้องการค้นหาที่อยู่ IP สาธารณะของคุณ คุณสามารถใช้บริการอินเทอร์เน็ต เช่น "IP ของฉันคืออะไร" อย่างที่คุณเห็นที่อยู่ภายนอกของคอมพิวเตอร์ 78.100.196.163 นั้นแตกต่างจากที่อยู่ภายใน
ในทุกกรณี คอมพิวเตอร์ของฉันสามารถมองเห็นได้บนอินเทอร์เน็ตอย่างแม่นยำด้วยที่อยู่ IP ภายนอก ดังนั้น ที่อยู่ภายในคอมพิวเตอร์ของฉันคือ 192.168.1.103 และที่อยู่ภายนอกคือ 78.100.196.163 ที่อยู่ภายในใช้สำหรับการสื่อสารในท้องถิ่นเท่านั้น คุณไม่สามารถเข้าถึงอินเทอร์เน็ตได้เพราะเหตุนี้คุณต้องมีที่อยู่ IP สาธารณะ คุณสามารถจำได้ว่าเหตุใดจึงแบ่งที่อยู่ส่วนตัวและที่อยู่สาธารณะโดยการทบทวนวิดีโอบทแนะนำวันที่ 3
มาดูกันว่า NAT คืออะไร NAT มีสามประเภท: คงที่ ไดนามิก และ NAT “โอเวอร์โหลด” หรือ PAT
Cisco มีคำศัพท์ 4 คำที่อธิบาย NAT อย่างที่ฉันบอกไป NAT เป็นกลไกในการแปลงที่อยู่ภายในเป็นที่อยู่ภายนอก หากอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตได้รับแพ็กเก็ตจากอุปกรณ์อื่นในเครือข่ายท้องถิ่น อุปกรณ์นั้นจะละทิ้งแพ็กเก็ตนี้ เนื่องจากรูปแบบที่อยู่ภายในไม่ตรงกับรูปแบบของที่อยู่ที่ใช้บนอินเทอร์เน็ตทั่วโลก ดังนั้นอุปกรณ์จะต้องได้รับที่อยู่ IP สาธารณะเพื่อเข้าถึงอินเทอร์เน็ต
ดังนั้นคำแรกคือ Inside Local ซึ่งหมายถึงที่อยู่ IP ของโฮสต์บนเครือข่ายท้องถิ่นภายใน พูดง่ายๆ ก็คือนี่คือที่อยู่ต้นทางหลักประเภท 192.168.1.10 คำที่สอง Inside Global คือที่อยู่ IP ของโฮสต์ภายในเครื่องซึ่งสามารถมองเห็นได้บนเครือข่ายภายนอก ในกรณีของเรา นี่คือที่อยู่ IP ของพอร์ตภายนอกของเราเตอร์ 200.124.22.10
เราสามารถพูดได้ว่า Inside Local เป็นที่อยู่ IP ส่วนตัว และ Inside Global เป็นที่อยู่ IP สาธารณะ โปรดจำไว้ว่าคำว่า Inside หมายถึงแหล่งที่มาของการรับส่งข้อมูล และภายนอกหมายถึงปลายทางของการรับส่งข้อมูล ภายนอก Local คือที่อยู่ IP ของโฮสต์บนเครือข่ายภายนอก ซึ่งเครือข่ายภายในสามารถมองเห็นได้ พูดง่ายๆ ก็คือนี่คือที่อยู่ของผู้รับที่มองเห็นได้จากเครือข่ายภายใน ตัวอย่างของที่อยู่ดังกล่าวคือที่อยู่ IP 200.124.22.100 ของอุปกรณ์ที่อยู่บนอินเทอร์เน็ต
Outside Global คือที่อยู่ IP ของโฮสต์ที่มองเห็นได้บนเครือข่ายภายนอก ในกรณีส่วนใหญ่ ที่อยู่ภายนอกท้องถิ่นและภายนอกทั่วโลกจะมีลักษณะเหมือนกัน เนื่องจากแม้หลังจากการแปลแล้ว ที่อยู่ IP ปลายทางก็สามารถมองเห็นแก่แหล่งที่มาได้เหมือนก่อนการแปล
มาดูกันว่า NAT แบบคงที่คืออะไร NAT แบบคงที่หมายถึงการแปลที่อยู่ IP ภายในแบบหนึ่งต่อหนึ่งไปเป็นที่อยู่ภายนอก หรือการแปลแบบตัวต่อตัว เมื่ออุปกรณ์ส่งการรับส่งข้อมูลไปยังอินเทอร์เน็ต ที่อยู่ Inside Local จะถูกแปลเป็นที่อยู่ Inside Global
มีอุปกรณ์ 3 เครื่องบนเครือข่ายท้องถิ่นของเรา และเมื่ออุปกรณ์ออนไลน์ อุปกรณ์แต่ละเครื่องจะได้รับที่อยู่ Inside Global ของตัวเอง ที่อยู่เหล่านี้ถูกกำหนดให้กับแหล่งที่มาของการเข้าชมแบบคงที่ หลักการแบบหนึ่งต่อหนึ่งหมายความว่าหากมีอุปกรณ์ 100 เครื่องบนเครือข่ายท้องถิ่น อุปกรณ์เหล่านั้นจะได้รับที่อยู่ภายนอก 100 ที่อยู่
NAT เกิดมาเพื่อปกป้องอินเทอร์เน็ต ซึ่งที่อยู่ IP สาธารณะกำลังจะหมด ต้องขอบคุณ NAT ที่ทำให้หลายบริษัทและหลายเครือข่ายสามารถมีที่อยู่ IP ภายนอกทั่วไปได้เพียงที่อยู่เดียว ซึ่งที่อยู่ท้องถิ่นของอุปกรณ์จะถูกแปลงเมื่อเข้าถึงอินเทอร์เน็ต คุณสามารถพูดได้ว่าในกรณีของ NAT แบบคงที่นี้ จะไม่มีการบันทึกจำนวนที่อยู่ เนื่องจากคอมพิวเตอร์ในพื้นที่หนึ่งร้อยเครื่องได้รับการกำหนดที่อยู่ภายนอกหนึ่งร้อยที่อยู่ และคุณจะพูดถูกอย่างแน่นอน อย่างไรก็ตาม NAT แบบคงที่ยังคงมีข้อดีหลายประการ
ตัวอย่างเช่น เรามีเซิร์ฟเวอร์ที่มีที่อยู่ IP ภายใน 192.168.1.100 หากอุปกรณ์ใด ๆ จากอินเทอร์เน็ตต้องการติดต่อ จะไม่สามารถทำได้โดยใช้ที่อยู่ปลายทางภายใน ด้วยเหตุนี้จึงจำเป็นต้องใช้ที่อยู่เซิร์ฟเวอร์ภายนอก 200.124.22.3 หากเราเตอร์ของคุณได้รับการกำหนดค่าด้วย NAT แบบคงที่ การรับส่งข้อมูลทั้งหมดที่ส่งถึง 200.124.22.3 จะถูกส่งต่อไปยัง 192.168.1.100 โดยอัตโนมัติ ซึ่งให้การเข้าถึงอุปกรณ์เครือข่ายท้องถิ่นจากภายนอก ในกรณีนี้ไปยังเว็บเซิร์ฟเวอร์ของบริษัท ซึ่งอาจจำเป็นในบางกรณี
ลองพิจารณา NAT แบบไดนามิก มันคล้ายกับสแตติกมาก แต่ไม่ได้กำหนดที่อยู่ภายนอกถาวรให้กับอุปกรณ์ในเครื่องแต่ละเครื่อง ตัวอย่างเช่น เรามีอุปกรณ์ภายใน 3 เครื่องและที่อยู่ภายนอกเพียง 2 รายการ หากอุปกรณ์ตัวที่สองต้องการเข้าถึงอินเทอร์เน็ต อุปกรณ์นั้นจะได้รับที่อยู่ IP ฟรีอันแรก หากเว็บเซิร์ฟเวอร์ต้องการเข้าถึงอินเทอร์เน็ตหลังจากนั้น เราเตอร์จะกำหนดที่อยู่ภายนอกที่สองที่มีอยู่ให้กับเว็บเซิร์ฟเวอร์ หากหลังจากนี้อุปกรณ์แรกต้องการเชื่อมต่อกับเครือข่ายภายนอก จะไม่มีที่อยู่ IP สำหรับอุปกรณ์นั้น และเราเตอร์จะทิ้งแพ็คเก็ตของมัน
เราอาจมีอุปกรณ์หลายร้อยเครื่องที่มีที่อยู่ IP ภายใน และอุปกรณ์เหล่านี้แต่ละเครื่องสามารถเข้าถึงอินเทอร์เน็ตได้ แต่เนื่องจากเราไม่มีการกำหนดที่อยู่ภายนอกแบบคงที่ อุปกรณ์ไม่เกิน 2 เครื่องจากร้อยเครื่องจึงจะสามารถเข้าถึงอินเทอร์เน็ตได้ในเวลาเดียวกัน เนื่องจากเรามีที่อยู่ภายนอกที่กำหนดแบบไดนามิกเพียงสองเครื่องเท่านั้น
อุปกรณ์ Cisco มีเวลาการแปลที่อยู่คงที่ ซึ่งมีค่าเริ่มต้นอยู่ที่ 24 ชั่วโมง สามารถเปลี่ยนเป็น 1,2,3, 10 นาที ได้ทุกเวลาที่ต้องการ หลังจากเวลานี้ ที่อยู่ภายนอกจะถูกปล่อยและส่งคืนไปยังกลุ่มที่อยู่โดยอัตโนมัติ หากในขณะนี้อุปกรณ์เครื่องแรกต้องการเข้าถึงอินเทอร์เน็ตและมีที่อยู่ภายนอกใด ๆ อุปกรณ์ก็จะรับมัน เราเตอร์มีตาราง NAT ที่ได้รับการอัปเดตแบบไดนามิก และจนกว่าเวลาการแปลจะหมดลง อุปกรณ์จะคงที่อยู่ที่กำหนดไว้ พูดง่ายๆ ก็คือ Dynamic NAT ทำงานบนหลักการ "มาก่อนได้ก่อน"
มาดูกันว่า NAT หรือ PAT ที่โอเวอร์โหลดคืออะไร นี่คือ NAT ประเภทที่พบบ่อยที่สุด อาจมีอุปกรณ์มากมายบนเครือข่ายในบ้านของคุณ - พีซี สมาร์ทโฟน แล็ปท็อป แท็บเล็ต และอุปกรณ์ทั้งหมดเชื่อมต่อกับเราเตอร์ที่มีที่อยู่ IP ภายนอกเดียว ดังนั้น PAT อนุญาตให้อุปกรณ์หลายเครื่องที่มีที่อยู่ IP ภายในสามารถเข้าถึงอินเทอร์เน็ตได้พร้อมกันภายใต้ที่อยู่ IP ภายนอกเดียว สิ่งนี้เป็นไปได้เนื่องจากที่อยู่ IP ภายในส่วนตัวแต่ละรายการใช้หมายเลขพอร์ตเฉพาะในระหว่างเซสชันการสื่อสาร
สมมติว่าเรามีที่อยู่สาธารณะหนึ่งรายการ 200.124.22.1 และอุปกรณ์ท้องถิ่นจำนวนมาก ดังนั้นเมื่อเข้าถึงอินเทอร์เน็ต โฮสต์ทั้งหมดเหล่านี้จะได้รับที่อยู่เดียวกัน 200.124.22.1 สิ่งเดียวที่แยกความแตกต่างออกจากกันคือหมายเลขพอร์ต
หากคุณจำการสนทนาเกี่ยวกับเลเยอร์การขนส่งได้ คุณจะรู้ว่าเลเยอร์การขนส่งนั้นมีหมายเลขพอร์ต โดยหมายเลขพอร์ตต้นทางจะเป็นตัวเลขสุ่ม
สมมติว่ามีโฮสต์บนเครือข่ายภายนอกที่มีที่อยู่ IP 200.124.22.10 ซึ่งเชื่อมต่อกับอินเทอร์เน็ต หากคอมพิวเตอร์ 192.168.1.11 ต้องการสื่อสารกับคอมพิวเตอร์ 200.124.22.10 มันจะสร้างพอร์ตต้นทางแบบสุ่ม 51772 ในกรณีนี้ พอร์ตปลายทางของคอมพิวเตอร์เครือข่ายภายนอกจะเป็น 80
เมื่อเราเตอร์ได้รับแพ็กเก็ตคอมพิวเตอร์ในระบบที่ส่งตรงไปยังเครือข่ายภายนอก มันจะแปลที่อยู่ Inside Local เป็นที่อยู่ Inside Global 200.124.22.1 และกำหนดหมายเลขพอร์ต 23556 แพ็กเก็ตจะไปถึงคอมพิวเตอร์ 200.124.22.10 และจะต้อง ส่งตอบกลับตามขั้นตอนการจับมือ โดยปลายทางจะเป็น Address 200.124.22.1 และพอร์ต 23556
เราเตอร์มีตารางการแปล NAT ดังนั้นเมื่อได้รับแพ็กเก็ตจากคอมพิวเตอร์ภายนอก เราเตอร์จะกำหนดที่อยู่ Inside Local ที่สอดคล้องกับที่อยู่ Inside Global เป็น 192.168.1.11: 51772 และส่งต่อแพ็กเก็ตไปยังเราเตอร์ หลังจากนี้ จะสามารถพิจารณาการเชื่อมต่อระหว่างคอมพิวเตอร์ทั้งสองเครื่องได้
ในเวลาเดียวกัน คุณอาจมีอุปกรณ์นับร้อยที่ใช้ที่อยู่เดียวกัน 200.124.22.1 ในการสื่อสาร แต่มีหมายเลขพอร์ตต่างกัน เพื่อให้อุปกรณ์ทั้งหมดสามารถเข้าถึงอินเทอร์เน็ตได้ในเวลาเดียวกัน นี่คือสาเหตุที่ PAT เป็นวิธีออกอากาศที่ได้รับความนิยม
มาดูการตั้งค่า NAT แบบคงที่กันดีกว่า สำหรับเครือข่ายใด ๆ ก่อนอื่นจำเป็นต้องกำหนดอินเทอร์เฟซอินพุตและเอาต์พุต แผนภาพแสดงเราเตอร์ที่การรับส่งข้อมูลถูกส่งจากพอร์ต G0/0 ไปยังพอร์ต G0/1 นั่นคือจากเครือข่ายภายในไปยังเครือข่ายภายนอก ดังนั้นเราจึงมีอินเทอร์เฟซอินพุต 192.168.1.1 และอินเทอร์เฟซเอาต์พุต 200.124.22.1
ในการกำหนดค่า NAT เราไปที่อินเทอร์เฟซ G0/0 และตั้งค่าพารามิเตอร์ ip addres 192.168.1.1 255.255.255.0 และระบุว่าอินเทอร์เฟซนี้เป็นอินพุตหนึ่งโดยใช้คำสั่ง ip nat inside
ในทำนองเดียวกัน เรากำหนดค่า NAT บนอินเทอร์เฟซเอาต์พุต G0/1 โดยระบุที่อยู่ IP 200.124.22.1, ซับเน็ตมาสก์ 255.255.255.0 และ ip nat ภายนอก โปรดจำไว้ว่าการแปล NAT แบบไดนามิกจะดำเนินการจากอินพุตไปยังอินเทอร์เฟซเอาต์พุตจากภายในสู่ภายนอกเสมอ โดยปกติแล้ว สำหรับ NAT แบบไดนามิก การตอบสนองจะมาที่อินเทอร์เฟซอินพุตผ่านอินเทอร์เฟซเอาต์พุต แต่เมื่อการรับส่งข้อมูลเริ่มต้นขึ้น ทิศทางเข้า-ออกจะถูกทริกเกอร์ ในกรณีของ NAT แบบคงที่ การเริ่มต้นการรับส่งข้อมูลสามารถเกิดขึ้นได้ในทิศทางใดทิศทางหนึ่ง - เข้าออกหรือออกเข้า
ต่อไป เราต้องสร้างตาราง NAT แบบคงที่ โดยที่ที่อยู่ในเครื่องแต่ละแห่งจะสอดคล้องกับที่อยู่ร่วมที่แยกจากกัน ในกรณีของเรามีอุปกรณ์ 3 เครื่องดังนั้นตารางจะประกอบด้วย 3 ระเบียนซึ่งระบุที่อยู่ IP ภายในท้องถิ่นของแหล่งที่มาซึ่งจะถูกแปลงเป็นที่อยู่ Inside Global: ip nat ภายใน static 192.168.1.10 200.124.22.1
ดังนั้นใน NAT แบบคงที่ คุณจะต้องเขียนคำแปลสำหรับที่อยู่โฮสต์ท้องถิ่นแต่ละรายการด้วยตนเอง ตอนนี้ฉันจะไปที่ Packet Tracer และทำการตั้งค่าตามที่อธิบายไว้ข้างต้น
ที่ด้านบนเรามีเซิร์ฟเวอร์ 192.168.1.100 ด้านล่างคือคอมพิวเตอร์ 192.168.1.10 และที่ด้านล่างสุดคือคอมพิวเตอร์ 192.168.1.11 พอร์ต G0/0 ของ Router0 มีที่อยู่ IP 192.168.1.1 และพอร์ต G0/1 มีที่อยู่ IP 200.124.22.1 ใน "คลาวด์" ซึ่งเป็นตัวแทนของอินเทอร์เน็ต ฉันวางเราเตอร์ 1 ซึ่งฉันกำหนดที่อยู่ IP 200.124.22.10
ฉันเข้าไปที่การตั้งค่าของ Router1 แล้วพิมพ์คำสั่ง debug ip icmp ตอนนี้เมื่อ ping ไปถึงอุปกรณ์นั้น ข้อความแก้ไขข้อบกพร่องจะปรากฏขึ้นในหน้าต่างการตั้งค่าเพื่อแสดงว่าแพ็กเก็ตคืออะไร
มาเริ่มตั้งค่าเราเตอร์ Router0 กัน ฉันเข้าสู่โหมดการตั้งค่าส่วนกลางและเรียกอินเทอร์เฟซ G0/0 ต่อไป ฉันป้อนคำสั่ง ip nat inside จากนั้นไปที่อินเทอร์เฟซ g0/1 และป้อนคำสั่ง ip nat inside ดังนั้นฉันจึงกำหนดอินเทอร์เฟซอินพุตและเอาต์พุตของเราเตอร์ ตอนนี้ฉันต้องกำหนดค่าที่อยู่ IP ด้วยตนเองนั่นคือโอนบรรทัดจากตารางด้านบนไปยังการตั้งค่า:
Ip nat ภายในแหล่งที่มาคงที่ 192.168.1.10 200.124.22.1
Ip nat ภายในแหล่งที่มาคงที่ 192.168.1.11 200.124.22.2
Ip nat ภายในแหล่งที่มาคงที่ 192.168.1.100 200.124.22.3
ตอนนี้ฉันจะส่ง Ping Router1 จากอุปกรณ์แต่ละเครื่องของเราและดูว่า IP ใดที่ Ping ได้รับแสดง ในการดำเนินการนี้ ฉันวางตำแหน่งหน้าต่าง CLI ที่เปิดอยู่ของเราเตอร์ R1 ไว้ทางด้านขวาของหน้าจอ เพื่อให้ฉันเห็นข้อความแก้ไขข้อบกพร่อง ตอนนี้ฉันไปที่เทอร์มินัลบรรทัดคำสั่ง PC0 และ ping ที่อยู่ 200.124.22.10 หลังจากนั้นข้อความจะปรากฏขึ้นในหน้าต่างว่าได้รับ ping จากที่อยู่ IP 200.124.22.1 ซึ่งหมายความว่าที่อยู่ IP ของคอมพิวเตอร์ในระบบ 192.168.1.10 ได้ถูกแปลเป็นที่อยู่สากล 200.124.22.1 แล้ว
ฉันทำเช่นเดียวกันกับคอมพิวเตอร์เครื่องถัดไปและเห็นว่าที่อยู่ของมันได้รับการแปลเป็น 200.124.22.2 จากนั้นฉันก็ ping ไปยังเซิร์ฟเวอร์และดูที่อยู่ 200.124.22.3
ดังนั้น เมื่อการรับส่งข้อมูลจากอุปกรณ์เครือข่ายท้องถิ่นไปถึงเราเตอร์ที่มีการกำหนดค่า NAT แบบคงที่ เราเตอร์จะแปลงที่อยู่ IP ในเครื่องไปเป็นที่อยู่ทั่วโลก และส่งการรับส่งข้อมูลไปยังเครือข่ายภายนอกตามตาราง หากต้องการตรวจสอบตาราง NAT ฉันป้อนคำสั่ง show ip nat Translation
ตอนนี้เราสามารถดูการเปลี่ยนแปลงทั้งหมดที่เราเตอร์ทำได้แล้ว คอลัมน์แรก Inside Global มีที่อยู่ของอุปกรณ์ก่อนออกอากาศ นั่นคือที่อยู่ที่อุปกรณ์สามารถมองเห็นได้จากเครือข่ายภายนอก ตามด้วยที่อยู่ Inside Local นั่นคือที่อยู่ของอุปกรณ์บนเครือข่ายท้องถิ่น คอลัมน์ที่สามแสดงที่อยู่ภายนอกในเครื่อง และคอลัมน์ที่สี่แสดงที่อยู่ภายนอกทั่วโลก ซึ่งทั้งสองค่าเหมือนกันเนื่องจากเราไม่ได้แปลที่อยู่ IP ปลายทาง อย่างที่คุณเห็น หลังจากผ่านไปไม่กี่วินาที ตารางก็ถูกล้าง เนื่องจาก Packet Tracer มีการตั้งค่าการหมดเวลาการ ping ที่สั้น
ฉันสามารถ ping เซิร์ฟเวอร์ที่ 1 จากเราเตอร์ R200.124.22.3 และถ้าฉันกลับไปที่การตั้งค่าเราเตอร์ ฉันจะเห็นว่าตารางเต็มไปด้วยบรรทัด ping สี่บรรทัดอีกครั้งพร้อมที่อยู่ปลายทางที่แปลแล้ว 192.168.1.100
อย่างที่ฉันบอกไป แม้ว่าการหมดเวลาการแปลจะถูกกระตุ้น แต่เมื่อการรับส่งข้อมูลเริ่มต้นจากแหล่งภายนอก กลไก NAT จะถูกเปิดใช้งานโดยอัตโนมัติ สิ่งนี้จะเกิดขึ้นเมื่อใช้ NAT แบบคงที่เท่านั้น
ตอนนี้เรามาดูกันว่า NAT แบบไดนามิกทำงานอย่างไร ในตัวอย่างของเรา มีที่อยู่สาธารณะ 2 รายการสำหรับอุปกรณ์เครือข่ายท้องถิ่นสามเครื่อง แต่อาจมีโฮสต์ส่วนตัวนับสิบหรือหลายร้อยรายการ ในเวลาเดียวกันมีเพียง 2 อุปกรณ์เท่านั้นที่สามารถเข้าถึงอินเทอร์เน็ตได้ในเวลาเดียวกัน ลองพิจารณาว่าอะไรคือความแตกต่างระหว่าง NAT แบบคงที่และไดนามิก
เช่นเดียวกับในกรณีก่อนหน้านี้ คุณต้องกำหนดอินเทอร์เฟซอินพุตและเอาต์พุตของเราเตอร์ก่อน ต่อไป เราจะสร้างรายการเข้าถึงประเภทหนึ่ง แต่นี่ไม่ใช่ ACL แบบเดียวกับที่เราพูดถึงในบทเรียนที่แล้ว รายการเข้าถึงนี้ใช้เพื่อระบุการรับส่งข้อมูลที่เราต้องการแปลง คำว่า "การเข้าชมที่น่าสนใจ" หรือ "การเข้าชมที่น่าสนใจ" ใหม่จะปรากฏขึ้นที่นี่ นี่คือการรับส่งข้อมูลที่คุณสนใจด้วยเหตุผลบางประการ และเมื่อการรับส่งข้อมูลนั้นตรงกับเงื่อนไขของรายการเข้าถึง การรับส่งข้อมูลนั้นจะอยู่ภายใต้ NAT และได้รับการแปล คำนี้ใช้กับการรับส่งข้อมูลในหลายกรณี เช่น ในกรณีของ VPN “น่าสนใจ” คือการรับส่งข้อมูลที่จะผ่านอุโมงค์ VPN
เราต้องสร้าง ACL ที่ระบุการรับส่งข้อมูลที่น่าสนใจ ในกรณีของเรา นี่คือการรับส่งข้อมูลของเครือข่าย 192.168.1.0 ทั้งหมด พร้อมกับระบุมาสก์ส่งคืน 0.0.0.255
จากนั้นเราจะต้องสร้างพูล NAT ซึ่งเราใช้คำสั่ง ip nat pool <ชื่อพูล> และระบุพูลของที่อยู่ IP 200.124.22.1 200.124.22.2 ซึ่งหมายความว่าเราให้ที่อยู่ IP ภายนอกเพียงสองแห่งเท่านั้น จากนั้นคำสั่งจะใช้คีย์เวิร์ด netmask และเข้าสู่ subnet mask 255.255.255.252 ออคเต็ตสุดท้ายของมาสก์คือ (255 - จำนวนที่อยู่พูล - 1) ดังนั้นหากคุณมีที่อยู่ 254 รายการในพูล ซับเน็ตมาสก์จะเป็น 255.255.255.0 นี่เป็นการตั้งค่าที่สำคัญมาก ดังนั้นอย่าลืมป้อนค่าเน็ตมาสก์ที่ถูกต้องเมื่อตั้งค่า NAT แบบไดนามิก
ต่อไป เราใช้คำสั่งที่เริ่มกลไก NAT: ip nat ภายในรายการแหล่งที่มา 1 พูล NWKING โดยที่ NWKING คือชื่อของพูล และรายการ 1 หมายถึงหมายเลข ACL 1 ข้อควรจำ - เพื่อให้คำสั่งนี้ทำงานได้ คุณต้องสร้างกลุ่มที่อยู่แบบไดนามิกและรายการเข้าถึงก่อน
ดังนั้นภายใต้เงื่อนไขของเรา อุปกรณ์ตัวแรกที่ต้องการเข้าถึงอินเทอร์เน็ตจะสามารถทำได้ อุปกรณ์ตัวที่สองจะสามารถทำได้ แต่อุปกรณ์ตัวที่สามจะต้องรอจนกว่าที่อยู่พูลตัวใดตัวหนึ่งจะว่าง การตั้งค่า NAT แบบไดนามิกประกอบด้วย 4 ขั้นตอน: การกำหนดอินเทอร์เฟซอินพุตและเอาต์พุต การระบุการรับส่งข้อมูลที่ "น่าสนใจ" การสร้างกลุ่ม NAT และการกำหนดค่าจริง
ตอนนี้เราจะไปยัง Packet Tracer แล้วลองกำหนดค่า NAT แบบไดนามิก ก่อนอื่นเราต้องลบการตั้งค่า NAT แบบคงที่ซึ่งเราป้อนคำสั่งตามลำดับ:
ไม่มี Ip nat ภายในแหล่งที่มาคงที่ 192.168.1.10 200.124.22.1
ไม่มี Ip nat ภายในแหล่งที่มาคงที่ 192.168.1.11 200.124.22.2
ไม่มี Ip nat ภายในแหล่งที่มาคงที่ 192.168.1.100 200.124.22.3
ต่อไป ฉันสร้างรายการเข้าถึงรายการที่ 1 สำหรับทั้งเครือข่ายด้วยคำสั่ง access-list 1 อนุญาต 192.168.1.0 0.0.0.255 และสร้างกลุ่ม NAT โดยใช้คำสั่ง ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 255.255.255.252 ในคำสั่งนี้ ฉันระบุชื่อของพูล ที่อยู่ที่รวมอยู่ในนั้น และเน็ตมาสก์
จากนั้นฉันระบุว่าเป็น NAT ใด - ภายในหรือภายนอกและแหล่งที่มาที่ NAT ควรดึงข้อมูลในกรณีของเราคือรายการโดยใช้คำสั่ง ip nat ภายในรายการแหล่งที่มา 1 หลังจากนั้นระบบจะแจ้งให้คุณทราบว่าคุณ ต้องการพูลทั้งหมดหรืออินเทอร์เฟซเฉพาะ ฉันเลือกพูลเพราะเรามีที่อยู่ภายนอกมากกว่า 1 แห่ง หากคุณเลือกอินเทอร์เฟซ คุณจะต้องระบุพอร์ตด้วยที่อยู่ IP เฉพาะ ในรูปแบบสุดท้าย คำสั่งจะมีลักษณะดังนี้: ip nat ภายในรายการแหล่งที่มา 1 พูล NWKING ขณะนี้พูลนี้ประกอบด้วยที่อยู่สองแห่ง 200.124.22.1 200.124.22.2 แต่คุณสามารถเปลี่ยนได้อย่างอิสระหรือเพิ่มที่อยู่ใหม่ที่ไม่เกี่ยวข้องกับอินเทอร์เฟซเฉพาะ
คุณต้องตรวจสอบให้แน่ใจว่าตารางเส้นทางของคุณได้รับการอัปเดตแล้ว ดังนั้นที่อยู่ IP เหล่านี้ในพูลจะต้องถูกกำหนดเส้นทางไปยังอุปกรณ์นี้ มิฉะนั้น คุณจะไม่ได้รับการรับส่งข้อมูลกลับมา เพื่อให้แน่ใจว่าการตั้งค่าใช้งานได้ เราจะทำซ้ำขั้นตอนการส่ง Ping ไปยังเราเตอร์คลาวด์ ซึ่งเราทำกับ NAT แบบคงที่ ฉันจะเปิดหน้าต่างของเราเตอร์ 1 เพื่อดูข้อความโหมดแก้ไขข้อบกพร่องและ ping จากอุปกรณ์ทั้ง 3 เครื่อง
เราเห็นว่าที่อยู่ต้นทางทั้งหมดที่แพ็กเก็ต ping มานั้นสอดคล้องกับการตั้งค่า ในเวลาเดียวกัน ping จากคอมพิวเตอร์ PC0 ไม่ทำงานเนื่องจากมีที่อยู่ภายนอกที่ว่างไม่เพียงพอ หากคุณเข้าไปที่การตั้งค่าของเราเตอร์ 1 คุณจะเห็นว่าพูลที่อยู่ 200.124.22.1 และ 200.124.22.2 กำลังใช้งานอยู่ ตอนนี้ฉันจะปิดการออกอากาศแล้วคุณจะเห็นว่าเส้นหายไปทีละเส้น ฉันส่ง Ping ไปที่ PC0 อีกครั้ง และอย่างที่คุณเห็น ตอนนี้ทุกอย่างใช้งานได้แล้วเพราะสามารถรับที่อยู่ภายนอก 200.124.22.1 ได้ฟรี
ฉันจะล้างตาราง NAT และเลิกทำการแปลที่อยู่ที่กำหนดได้อย่างไร ไปที่การตั้งค่าของเราเตอร์ Router0 และพิมพ์คำสั่ง clear ip nat Translation * โดยมีเครื่องหมายดอกจันที่ท้ายบรรทัด หากตอนนี้เราดูสถานะการแปลโดยใช้คำสั่ง show ip nat การแปล ระบบจะให้บรรทัดว่างแก่เรา
หากต้องการดูสถิติ NAT ให้ใช้คำสั่ง show ip nat Statistics
นี่เป็นคำสั่งที่มีประโยชน์มากที่ช่วยให้คุณสามารถค้นหาจำนวนการแปล NAT/PAT แบบไดนามิก คงที่ และขั้นสูงทั้งหมด จะเห็นว่ามีค่าเป็น 0 เนื่องจากเราล้างข้อมูลการออกอากาศด้วยคำสั่งก่อนหน้า ซึ่งจะแสดงอินเทอร์เฟซอินพุตและเอาต์พุต จำนวน Hit และการแปลงที่พลาดที่สำเร็จและไม่สำเร็จ (จำนวนความล้มเหลวเกิดจากการไม่มีที่อยู่ภายนอกที่ว่างสำหรับโฮสต์ภายใน) ชื่อของรายการเข้าถึงและพูล
ตอนนี้เราจะไปยังประเภทการแปลที่อยู่ IP ที่ได้รับความนิยมมากที่สุด - NAT ขั้นสูงหรือ PAT ในการกำหนดค่า PAT คุณต้องทำตามขั้นตอนเดียวกับการกำหนดค่า NAT แบบไดนามิก: กำหนดอินเทอร์เฟซอินพุตและเอาต์พุตของเราเตอร์ ระบุการรับส่งข้อมูลที่ “น่าสนใจ” สร้างกลุ่ม NAT และกำหนดค่า PAT เราสามารถสร้างที่อยู่หลายรายการเดียวกันได้เหมือนในกรณีก่อนหน้านี้ แต่ไม่จำเป็นเนื่องจาก PAT ใช้ที่อยู่ภายนอกเดียวกันตลอดเวลา ข้อแตกต่างระหว่างการกำหนดค่า NAT แบบไดนามิกและ PAT คือคีย์เวิร์ดโอเวอร์โหลดที่สิ้นสุดคำสั่งการกำหนดค่าล่าสุด หลังจากป้อนคำนี้ NAT แบบไดนามิกจะเปลี่ยนเป็น PAT โดยอัตโนมัติ
นอกจากนี้ คุณใช้ที่อยู่เดียวในกลุ่ม NWKING เช่น 200.124.22.1 แต่ระบุสองครั้งเป็นที่อยู่ภายนอกเริ่มต้นและสิ้นสุดด้วย netmask 255.255.255.0 คุณสามารถทำได้ง่ายขึ้นโดยใช้พารามิเตอร์อินเทอร์เฟซต้นทางและที่อยู่คงที่ 1 ของอินเทอร์เฟซ G200.124.22.1/200.124.22.1 แทนบรรทัด ip nat 255.255.255.0 NWKING 200.124.22.1 0 netmask 1 ในกรณีนี้ ที่อยู่ในท้องถิ่นทั้งหมดเมื่อเข้าถึงอินเทอร์เน็ตจะถูกแปลงเป็นที่อยู่ IP นี้
คุณยังสามารถใช้ที่อยู่ IP อื่น ๆ ในพูลได้ ซึ่งไม่จำเป็นต้องสอดคล้องกับอินเทอร์เฟซทางกายภาพเฉพาะ อย่างไรก็ตาม ในกรณีนี้ คุณต้องแน่ใจว่าเราเตอร์ทั้งหมดบนเครือข่ายสามารถส่งต่อการรับส่งข้อมูลกลับไปยังอุปกรณ์ที่คุณเลือกได้ ข้อเสียของ NAT คือ ไม่สามารถใช้สำหรับการกำหนดที่อยู่แบบ end-to-end ได้ เนื่องจากเมื่อถึงเวลาที่แพ็กเก็ตส่งคืนกลับไปยังอุปกรณ์ภายในเครื่อง ที่อยู่ IP ของ NAT แบบไดนามิกอาจมีเวลาในการเปลี่ยนแปลง นั่นคือคุณต้องแน่ใจว่าที่อยู่ IP ที่เลือกจะยังคงอยู่ตลอดระยะเวลาของเซสชันการสื่อสาร
ลองดูสิ่งนี้ผ่าน Packet Tracer ก่อนอื่นฉันต้องลบไดนามิก NAT ด้วยคำสั่ง no Ip nat ในรายการซอร์ส 1 NWKING และลบพูล NAT ด้วยคำสั่ง no Ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 225.255.255.252
จากนั้นฉันต้องสร้างพูล PAT ด้วยคำสั่ง Ip nat pool NWKING 200.124.22.2 200.124.22.2 netmask 225.255.255.255 คราวนี้ฉันใช้ที่อยู่ IP ที่ไม่ได้เป็นของอุปกรณ์จริงเนื่องจากอุปกรณ์จริงมีที่อยู่ 200.124.22.1 และฉันต้องการใช้ 200.124.22.2 ในกรณีของเราใช้งานได้เพราะเรามีเครือข่ายท้องถิ่น
ต่อไป ฉันกำหนดค่า PAT ด้วยคำสั่ง Ip nat ภายในรายการแหล่งที่มา 1 พูล NWKING โอเวอร์โหลด หลังจากป้อนคำสั่งนี้แล้ว การแปลที่อยู่ PAT จะถูกเปิดใช้งาน เพื่อตรวจสอบว่าการตั้งค่าถูกต้อง ฉันไปที่อุปกรณ์ของเรา เซิร์ฟเวอร์ และคอมพิวเตอร์สองเครื่อง และ ping PC0 Router1 ที่ 200.124.22.10 จากคอมพิวเตอร์ ในหน้าต่างการตั้งค่าเราเตอร์ คุณจะเห็นบรรทัดแก้ไขข้อบกพร่องที่แสดงว่าแหล่งที่มาของการ ping ตามที่เราคาดไว้คือที่อยู่ IP 200.124.22.2 ping ที่ส่งโดยคอมพิวเตอร์ PC1 และเซิร์ฟเวอร์ Server0 มาจากที่อยู่เดียวกัน
มาดูกันว่าเกิดอะไรขึ้นในตารางการแปลของ Router0 คุณจะเห็นว่าการแปลทั้งหมดสำเร็จ แต่ละอุปกรณ์ได้รับการกำหนดพอร์ตของตัวเอง และที่อยู่ในเครื่องทั้งหมดเชื่อมโยงกับ Router1 ผ่านที่อยู่ IP ของพูล 200.124.22.2
ฉันใช้คำสั่ง show ip nat Statistics เพื่อดูสถิติ PAT
เราเห็นว่าจำนวน Conversion หรือการแปลที่อยู่ทั้งหมดคือ 12 เราเห็นลักษณะของพูลและข้อมูลอื่นๆ
ตอนนี้ฉันจะทำอย่างอื่น - ฉันจะป้อนคำสั่ง Ip nat ภายในรายการแหล่งที่มา 1 อินเทอร์เฟซกิกะบิตอีเทอร์เน็ต g0/1 โอเวอร์โหลด หากคุณ ping เราเตอร์จาก PC0 คุณจะเห็นว่าแพ็กเก็ตนั้นมาจากที่อยู่ 200.124.22.1 นั่นคือจากอินเทอร์เฟซทางกายภาพ! นี่เป็นวิธีที่ง่ายกว่า: หากคุณไม่ต้องการสร้างพูลซึ่งมักเกิดขึ้นเมื่อใช้เราเตอร์ที่บ้าน คุณสามารถใช้ที่อยู่ IP ของอินเทอร์เฟซทางกายภาพของเราเตอร์เป็นที่อยู่ NAT ภายนอกได้ นี่คือวิธีการแปลที่อยู่โฮสต์ส่วนตัวของคุณสำหรับเครือข่ายสาธารณะบ่อยที่สุด
วันนี้เราได้เรียนรู้หัวข้อที่สำคัญมากแล้ว ดังนั้นคุณต้องฝึกฝน ใช้ Packet Tracer เพื่อทดสอบความรู้ทางทฤษฎีของคุณกับปัญหาการกำหนดค่า NAT และ PAT ที่ใช้งานได้จริง เรามาถึงจุดสิ้นสุดของการศึกษาหัวข้อ ICND1 ซึ่งเป็นการสอบครั้งแรกของหลักสูตร CCNA ดังนั้นฉันอาจจะอุทิศบทเรียนวิดีโอถัดไปเพื่อสรุปผลลัพธ์
ขอบคุณที่อยู่กับเรา คุณชอบบทความของเราหรือไม่? ต้องการดูเนื้อหาที่น่าสนใจเพิ่มเติมหรือไม่ สนับสนุนเราโดยการสั่งซื้อหรือแนะนำให้เพื่อน ส่วนลด 30% สำหรับผู้ใช้ Habr ในอะนาล็อกที่ไม่ซ้ำใครของเซิร์ฟเวอร์ระดับเริ่มต้น ซึ่งเราคิดค้นขึ้นเพื่อคุณ: (ใช้ได้กับ RAID1 และ RAID10 สูงสุด 24 คอร์ และสูงสุด 40GB DDR4)
Dell R730xd ถูกกว่า 2 เท่า? ที่นี่ที่เดียวเท่านั้น ในเนเธอร์แลนด์! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - จาก $99! อ่านเกี่ยวกับ
ที่มา: will.com