NAT - CCNA-Powertraining
Transcription
NAT - CCNA-Powertraining
Network Address Translation (NAT) NAT dient zum Übersetzen von IP-Adressen. Dies ist z.B. notwendig, wenn auf beiden Seiten identische Adressbereiche genutzt werden oder die von den Endgeräten verwendeten Adressen nicht geroutet werden, wie es bei privaten IP-Adressen nach RFC 1918 der Fall ist, wenn diese mit dem Internet kommunizieren wollen. NAT bei Cisco unterscheidet in inside und outside (Standorte der Geräte) sowie local und global (Blickwinkel auf die Adressen). Somit ist inside local die „echte“ Adresse des internen Systems. Inside global ist die Adresse des internen Systems, wie sie im Internet betrachtet wird, während outside global die „echte“ Adresse des Kommunikationspartners im Internet ist. Die Outside-Local-Adresse entspricht in CCNA-Szenarien immer der Outside-Global-Adresse, da kein Destination-NAT vorgenommen wird. Für die Konfiguration von NAT muss grundsätzlich das Inside- und das OutsideInterface festgelegt werden. Es gibt drei relevante Arten von NAT im Rahmen des CCNA-Prüfungsstoffs: - Static NAT (1 zu 1-NAT) - Dynamic NAT mit Pool - Dynamic NAT Overload (PAT) Alle drei NAT-Varianten werden im Folgenden konfiguriert: NAT-Interface-Zuordnung Das Interface Fa0/0 als Inside-NAT-Interface (LAN) festlegen: (config)#int FastEthernet0/0 (config-if)#ip nat inside Das Interface Serial0/0 als Outside-NAT-Interface (LAN) festlegen: (config)#int s0/0 (config-if)#ip nat outside Static NAT Die Inside-Local-Adresse 10.1.1.100 in die Inside-Global-Adresse 200.1.1.100 übersetzen: (config)#ip nat inside source static 10.1.1.100 200.1.1.100 Dynamic NAT mit Pool: Einen Pool namens BERLIN-NAT im Bereich 200.1.1.10 – 20 erstellen: (config)#ip nat pool BERLIN-NAT 200.1.1.10-200.1.1.20 netmask 255.255.255.0 Oder alternativ: (config)#ip nat pool BERLIN-NAT 200.1.1.10-200.1.1.20 prefix-length 24 Traffic mit Absender-Adressen aus dem Subnetz 10.1.1.0/24 für das NAT filtern: (config)#access-list 10 permit 10.1.1.0 0.0.0.255 Die ACL 10 auf den NAT-Pool anwenden: (config)#ip nat inside source list 10 pool BERLIN-NAT Sind die Interfaces NAT-Inside und NAT-Outside zugeordnet, können nun aus dem NAT-Pool Adressen vergeben werden, wenn Inside-Local-Adressen aus dem Subnetz 10.1.1.0/24 nach außen kommunizieren wollen. Ist der NAT-Pool aufgebraucht, werden keine weiteren Adressen mehr vergeben. Die NAT-Zuordnung bei NAT-Pool-Adressen besteht für eine längere Zeit statisch, so dass die internen Systeme damit über ihre NAT-Adresse (200.1.1.x) auch temporär von außen erreichbar sind. NAT Overload (PAT) Traffic mit Absender-Adressen aus dem Subnetz 172.16.1.0/24 für das NAT filtern: (config)#access-list 10 permit 172.16.1.0 0.0.0.255 Die ACL 10 auf das Interface Serial0 anwenden und PAT konfigurieren: (config)#ip nat inside source list 10 interface Serial0 overload Nun wird jede interne Absender-Adressse aus dem Subnetz 172.16.1.0/24, die über das Serial0Interface nach außen geroutet wird, durch die Adresse des Interfaces Serial0 ersetzt. Wie bei jedem NAT-Prozess erkennt der NAT-Router die Rückpakete und übersetzt hier automatisch die entsprechenden Zieladressen. NAT überprüfen NAT-Translations-Tabelle anzeigen: #show ip nat translations NAT-Debugging aktivieren: #debug ip nat NAT-Konfiguration und –Statistiken anzeigen: #show ip nat statistics Einträge in der NAT-Tabelle löschen: #clear ip nat translation * Einträge in der NAT-Statistik löschen: #clear ip nat statistics