Cisco NAT / PAT


Tagek: Cisco,
Írta: toshy
Publikálva: 2008-08-17 19:13:36

Gondolkodtam, miket írjak CISCO témában. Nehéz, vagy triviális dolgokat. Persze lesz majd mindegyikből példa, de a triviális dolgokon sokat törtem az agyam, hogy mégis mit, hiszen nem hiába hívom őket triviálisnak. Aztán arra gondoltam, hogy ami triviális nekem az még lehet valaki másnak hasznos. Ennek a gondolatmenetnek szellemében, kezdtem el megírni ezt a NAT/PAT írást.

Az IP címek osztályozását is vegyük akkor.

A Osztály: binárisan 0xxx, decimálisan 1-töl 126-ig.


B Osztály: binárisan 10xx, decimálisan 128-tól 191-ig.


C Osztály: binárisan 110x, decimálisan 192-töl 223-ig.


Van még D , és E osztály is ezek fel vannak tartva bizonyos broadcast adat folyamoknak, erről most ne beszéljünk.

Binárisan így néznek ki ezek az IP címek.

A Osztály NNNNNNNN.nnnnnnnn.nnnnnnnn.nnnnnnnn
B Osztály NNNNNNNN.NNNNNNNN.nnnnnnnn.nnnnnnnn
C Osztály NNNNNNNN.NNNNNNNN.NNNNNNNN.nnnnnnnn

Ezek az IP osztályok,A,B,C ezekben vannak a privát osztályú IP címek:

A Osztályu 10.0.0.0, Mask 255.0.0.0.


B Osztályu 172.16.0.0, Mask 255.240.0.0.


C Osztályu 192.168.0.0,Mask 255.255.0.0.


Ezek az IP címek a privát címek, ezeket nem lehet ki route-olni, az internet felé például.

Na-tolásról akkor beszélünk amikor egy olyan eszközről akarunk kommunikálni aminek privát IP címe van, egy olyan másik eszközre aminek viszont nem privát IP címe van. Ilyenkor nat-olásal lehet ezt megoldani, ezt magyarul IP cím fordításnak hivják.

például:

10.1.1.5 -> 88.173.xxx.xxx



Lássuk CISCO-os környezetben hogy néz ez ki.

Van NAT és van PAT.

NAT (Network Address Translation) akkor van amikor egy címet nat-olunk egy másik címre, erről beszéltünk feljebb.

PAT (Port Address Translation) akkor van amikor van több belső IP címünk, és ezt mind ugyanarra a külső IP címre fordítjuk. Vagy inkább mondjuk úgy, hogy egy külső IP címre több belső címet is fordíthatunk. Ezt úgy kell elképzelni, hogy mondjuk a 10.1.1.5 és a 10.1.1.6 egyszerre kommunikál az internet felé a 88.173.xxx.xxx ip címmel. De mivel ezek egyszerre akarnak kommunikálni ezért ezeket a publikus cím egy egy portjához rendelni.

példa:

10.1.1.5 -> 88.173.xxx.xxx:15345


10.1.1.6 -> 88.173.xxx.xxx:15346



Így lehet az IP címekel takarékoskodni. Nem kell megvenni annyi IP címet.

Lássuk hogy kell ezt konfigurálni egy CISCO router-en:
Mindkét, (vagy több) hálózatban kell legyen egy interface-e a router-nek, tehát adjunk neki IP címet:


interface ethernet 0
ip address 10.1.1.1 255.255.255.0
ip nat inside


Az “ip nat inside” -jelöli a nat-olandó hálózaton lévő interface-t.


interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside


Itt természetesen az “ip nat outside” kell, lévén ez az kimenő interface. Gondolom, hogy mindenki észre vette, hogy ez egy nem publikus ip cím. Természetesen az ip cím csak a példa kedvéért van itt. Ha NAT-ról beszélünk akkor kelleni fog 1 IP lista amire nat-olni fogunk:

ip nat pool listam 172.16.10.1 172.16.10.63 prefix 24

A “lista” megfelelője a “pool”, a neve pedig “listam”. A kezdeti és az utolsó IP cím van még itt.
Konfigurálni kell még hogy milyen IP címeket nat-oljuk. Ezt ACL-el kell megadni. Tehát csinálunk egy ACL-t.

access-list 10 permit 10.1.1.0 0.0.0.31

Ezek után ki adjuk a parancsot ami inditja a NAT-olást.

ip nat inside source list 10 pool listam
És kész is. Debug szempontjából érdekes még, hogy hogyan lehet megtekinteni a az éppen folyamatban lévő NAT listát.
A parancs:

show ip nat translations

Meg lehet adni static nat-olást is. Ez esetben az “ip nat inside” kezedtű sor a következőre módosul:


ip nat inside source static 10.1.1.5 172.16.10.5

Nem sokban módosul a konfiguráció ha PAT-ot csinálunk a különbség az “overload” szóban van. Ez jelzi, hogy több ip-t is lehet hozzá adni.

ip nat inside source list 10 pool listam overload
Ebben az esetben mivel ez PAT, nem muszáj ugyanakkora listából nat-olnunk mint amennyi publikus ip címmel rendelkezünk, tehát mondjuk van 3 publikus ip címünk akkor módosul még a következő sor is:

ip nat pool listam 172.16.10.1 172.16.10.3 prefix 24

Röviden ennyi. Talán a végét megint összecsaptam egy kicsit. Valahogy mindig elfogy a türelmem a végére. Egyébként a CCNA vizsgán, legalább is mikor én csináltam akkor vizsga “kérdés”volt a NAT/PAT. Illetve gyakorlat-ban is meg kellet csinálni.

Szólj hozzá

Hozzászólások(0)