NAT és címfordítás a hálózatokban

Bevezetés

A modern hálózatokban gyakran előfordul, hogy:

• több száz vagy több ezer eszköz
• egyetlen internetkapcsolatot
  használ.

Felmerül a kérdés:

Hogyan tud egyszerre sok eszköz kommunikálni az interneten, ha a publikus IPv4 címek száma korlátozott?

Erre ad megoldást:

NAT: Network Address Translation

A NAT:

• IP-cím fordítást végez
• a belső és külső hálózat között.

Mert az internet eredetileg nem több milliárd telefonra, laptopra, tévére és hűtőszekrényre készült. Az IPv4-címek elfogytak, ezért az emberiség kitalálta a NAT-ot: egy elegáns kerülőút a matematika ellen.

Mi az a NAT?

A NAT:

• hálózati címfordítási eljárás.

Feladata:

• privát IP-címek
  publikus IP-címre fordítása.

NAT céljai

Fontos:

• IPv4 címek megtakarítása
• internetelérés biztosítása
• belső hálózat elrejtése
• hálózatok összekapcsolása

Privát IP-címek

A privát IP-címek:

• interneten közvetlenül
  nem használhatók.

Privát tartományok

Publikus IP-cím

A publikus IP:

• egyedi
• interneten elérhető

Példa: 84.2.15.17

NAT működése

Példa: PC: 192.168.1.10

Internet felé: 84.2.15.17

NAT folyamat

1. A kliens csomagot küld.
2. A router megvizsgálja.
3. Lecseréli a forráscímet.
4. Elküldi az internet felé.
5. A válasz visszaérkezik.
6. A router visszafordítja a címet.

NAT címek

NAT típusok

Három fő típus:

• statikus NAT
• dinamikus NAT
• PAT

Statikus NAT

A statikus NAT:

• egy fix privát címet
  egy fix publikus címhez rendel.

Működés

192.168.1.10
↓
84.2.15.17

Mire használható?

Példák:

• webszerver
• FTP szerver
• kamerarendszer
• VPN szerver

Előnye

• állandó kapcsolat
• mindig ugyanaz a cím

Hátránya

• sok publikus címet igényel

Cisco statikus NAT példa: ip nat inside source static 192.168.1.10 84.2.15.17

Dinamikus NAT

A dinamikus NAT:

• címkészletből
  választ publikus címet.

Működés

192.168.1.10
↓
84.2.15.17

192.168.1.11
↓
84.2.15.18

Hátránya

Ha:

• elfogy a publikus készlet

akkor:

• új kapcsolat nem jön létre.

PAT

PAT: Port Address Translation

Másik neve: NAT Overload

Mi az a PAT?

A PAT:

• több privát IP-t
  egy publikus cím mögé helyez.

Hogyan működik?

Nemcsak az IP-címet,

hanem:

• a portszámot is módosítja.

Példa

PAT előnye

Előnyök:

• egyetlen publikus IP is elegendő
• rendkívül hatékony
• SOHO hálózatokban ideális

SOHO

SOHO: Small Office / Home Office

Kis irodai vagy otthoni hálózat.

Cisco PAT konfiguráció

ACL létrehozása: access-list 1 permit 192.168.1.0 0.0.0.255

NAT engedélyezése: ip nat inside source list 1 interface g0/0 overload

Interface-ek beállítása

Belső:

interface g0/1
ip nat inside

Külső:

interface g0/0
ip nat outside

NAT tábla

A router:

• NAT táblát vezet.

Ebben tárolja:

• eredeti cím
• fordított cím
• portok

NAT ellenőrzése

Aktív NAT kapcsolatok: show ip nat translations

Statisztika: show ip nat statistics

Port forwarding

Port forwarding:

• külső kapcsolatot
  egy belső gépre irányít.

Példa

Külső: 84.2.15.17:80

Belső: 192.168.1.10:80

Port forwarding Cisco példa: ip nat inside source static tcp 192.168.1.10 80 84.2.15.17 80

NAT előnyei

Előnyök:

• IPv4 megtakarítás
• egyszerű internetelérés
• hálózat elrejtése
• biztonság növelése

NAT hátrányai

Hátrányok:

• növeli a router terhelését
• problémát okozhat VPN esetén
• egyes alkalmazásokkal gond lehet
• bonyolíthatja a hibakeresést

NAT és VPN

Bizonyos VPN technológiák:

• problémásak NAT mögött.

Megoldás: NAT Traversal (NAT-T)

Gyakori NAT hibák

Problémák:

• hibás ACL
• rossz inside/outside beállítás
• hiányzó route
• túlterhelt NAT tábla

NAT hibakeresés

NAT tábla: show ip nat translations

Interface ellenőrzés: show ip interface brief

Routing ellenőrzés: show ip route

Gyakorlati példa

Iskolai hálózat

Belső hálózat: 192.168.10.0/24

Internet: 84.2.15.17

Megoldás:

• PAT használata
• egyetlen publikus IP
• több száz kliens internetelérése

Ellenőrző kérdések