NAT - CCNA-Powertraining

Transcription

NAT - CCNA-Powertraining
Network Address Translation (NAT)
NAT dient zum Übersetzen von IP-Adressen. Dies ist z.B. notwendig, wenn auf beiden Seiten
identische Adressbereiche genutzt werden oder die von den Endgeräten verwendeten Adressen
nicht geroutet werden, wie es bei privaten IP-Adressen nach RFC 1918 der Fall ist, wenn diese mit
dem Internet kommunizieren wollen.
NAT bei Cisco unterscheidet in inside und outside (Standorte der Geräte) sowie local und global
(Blickwinkel auf die Adressen). Somit ist inside local die „echte“ Adresse des internen Systems. Inside
global ist die Adresse des internen Systems, wie sie im Internet betrachtet wird, während outside
global die „echte“ Adresse des Kommunikationspartners im Internet ist. Die Outside-Local-Adresse
entspricht in CCNA-Szenarien immer der Outside-Global-Adresse, da kein Destination-NAT
vorgenommen wird. Für die Konfiguration von NAT muss grundsätzlich das Inside- und das OutsideInterface festgelegt werden.
Es gibt drei relevante Arten von NAT im Rahmen des CCNA-Prüfungsstoffs:
-
Static NAT (1 zu 1-NAT)
-
Dynamic NAT mit Pool
-
Dynamic NAT Overload (PAT)
Alle drei NAT-Varianten werden im Folgenden konfiguriert:
NAT-Interface-Zuordnung
Das Interface Fa0/0 als Inside-NAT-Interface (LAN) festlegen:
(config)#int FastEthernet0/0
(config-if)#ip nat inside
Das Interface Serial0/0 als Outside-NAT-Interface (LAN) festlegen:
(config)#int s0/0
(config-if)#ip nat outside
Static NAT
Die Inside-Local-Adresse 10.1.1.100 in die Inside-Global-Adresse 200.1.1.100 übersetzen:
(config)#ip nat inside source static 10.1.1.100 200.1.1.100
Dynamic NAT mit Pool:
Einen Pool namens BERLIN-NAT im Bereich 200.1.1.10 – 20 erstellen:
(config)#ip nat pool BERLIN-NAT 200.1.1.10-200.1.1.20 netmask 255.255.255.0
Oder alternativ:
(config)#ip nat pool BERLIN-NAT 200.1.1.10-200.1.1.20 prefix-length 24
Traffic mit Absender-Adressen aus dem Subnetz 10.1.1.0/24 für das NAT filtern:
(config)#access-list 10 permit 10.1.1.0 0.0.0.255
Die ACL 10 auf den NAT-Pool anwenden:
(config)#ip nat inside source list 10 pool BERLIN-NAT
Sind die Interfaces NAT-Inside und NAT-Outside zugeordnet, können nun aus dem NAT-Pool
Adressen vergeben werden, wenn Inside-Local-Adressen aus dem Subnetz 10.1.1.0/24 nach außen
kommunizieren wollen. Ist der NAT-Pool aufgebraucht, werden keine weiteren Adressen mehr
vergeben. Die NAT-Zuordnung bei NAT-Pool-Adressen besteht für eine längere Zeit statisch, so dass
die internen Systeme damit über ihre NAT-Adresse (200.1.1.x) auch temporär von außen erreichbar
sind.
NAT Overload (PAT)
Traffic mit Absender-Adressen aus dem Subnetz 172.16.1.0/24 für das NAT filtern:
(config)#access-list 10 permit 172.16.1.0 0.0.0.255
Die ACL 10 auf das Interface Serial0 anwenden und PAT konfigurieren:
(config)#ip nat inside source list 10 interface Serial0 overload
Nun wird jede interne Absender-Adressse aus dem Subnetz 172.16.1.0/24, die über das Serial0Interface nach außen geroutet wird, durch die Adresse des Interfaces Serial0 ersetzt. Wie bei jedem
NAT-Prozess erkennt der NAT-Router die Rückpakete und übersetzt hier automatisch die
entsprechenden Zieladressen.
NAT überprüfen
NAT-Translations-Tabelle anzeigen:
#show ip nat translations
NAT-Debugging aktivieren:
#debug ip nat
NAT-Konfiguration und –Statistiken anzeigen:
#show ip nat statistics
Einträge in der NAT-Tabelle löschen:
#clear ip nat translation *
Einträge in der NAT-Statistik löschen:
#clear ip nat statistics