NAT/PAT

Szmtgp hlzatok gyakorlata

BUDAI EGYETEM
2011 TAVASZI FLV
10. LABORGYAKORLAT
PRM DNIEL

Cmkezels problematikja
Az Internetes hlzatokban ahhoz, hogy
elrhetv vljanak az egyes hlzatok egyms
szmra, globlisan rvnyes cmeket hasznlunk.
Hogy cskkentsk a felhasznlt cmek szmt s
nveljk a biztonsgot, autonm hlzatainkon
(Intraneteinken) bell loklisan rvnyes cmeket
hasznlunk. Ezek rvnytelenek az Interneten.
Ezrt autonm rendszereink hatrn a loklis cmeinket
globlis cmre, vagy cmekre fordtjuk.
Ezt a megoldst hvjuk cmfordtsnak. (NAT/PAT)

Network Address Translation

A NAT egy cmtranszformcis eljrs, melyben IP cmeket
kpeznk le egy cmzsi vezetbl egy msikba

Tulajdonsgok:
Transzparens cmsszerendels (nyilvntarts alapjn)
Transzparens forgalomirnyts biztostsa
ICMP hibazenetek adatrsznek transzformcija
Megvalstsa:
Statikus sszerendels
Dinamikus sszerendels

NAT elnyei s htrnyai

Elnyei:

Privt cmek hasznlata a bels hlzaton (cmtakarkossg)

Biztonsg nvelse
(a bels hlzat cm-struktrja nem lthat a kls hlzatrl)

Htrnyai:
A cmfordtst vgz eszkzre jelents terhelst r
Azon protokollok, amelyek a csomagok adatrszben cm
informcikat tovbbtanak, csak akkor NAT trek, ha a
cmfordtst vgz eszkz kpes az adatrszben tovbbtott
tartalomban is elvgezni a szksges cmek cserjt!
(Application Level Gateway ALG funkci)

Fogalmak
Cmzsi vezet (address realm):
Az a hlzatrsz, amelyben biztostani kell az IP cmek egyedisgt

Kls hlzat (public/global/external network):

Az IANA ltal kezelt cmtartomnnyal rendelkez cmzsi vezet

Bels hlzat (Private/Local Network):

Az intzmny sajt (bels) cmzssel rendelkez cmzsi vezete.
Gyakran privt cmtartomny: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16

Bels hlzat

Kls hlzat

Fogalmak
Loklis cm:
A bels hlzaton hasznlt cm

Globlis cm:
A kls hlzaton hasznlt cm

Bels loklis cm:

Egy bels hlzati csompont IP cme a bels hlzaton

Bels globlis cm:

Egy bels hlzati csompont IP cme a kls hlzaton

Kls loklis cm:

Egy kls hlzati csompont IP cme a bels hlzaton

Kls globlis cm:

Egy kls hlzati csompont IP cme a kls hlzaton

NAT Plda
1

2
R1

S
1

R3

R2

S
5

10.0.0.2 10.0.0.3

10.0.0.10

200.100.1.2

Bels helyi cmek: 10.0.0.1 10.0.0.10

Cmfordtsban rsztvev cmek

Bels globlis cmek: 197.10.1.1 197.10.1.15

Cmkszlet (pool)

Bejv csomag:

Kimen csomag:
Forrs IP
10.0.0.2

Cl IP
200.100.1.2

Forrs IP

Cl IP

200.100.1.2

197.10.1.2

NAT fordts

NAT fordts
197.10.1.2

200.100.1.2

200.100.1.2

10.0.0.2

Port Address Translation

A NAT olyan megvalstsa, amikor lehetsges, hogy
a cmfordts sorn a bels loklis s a bels globlis
cmek kztt nem 1:1 tpus megfeleltetst
alkalmazunk, hanem egy-egy globlis IP-cmnek tbb
loklis cmet is megfeleltetnk: N:1 tpus lekpzs
A transzformcikat tartalmaz tblzatot ki kell
egszteni a Bels loklis s globlis cmeken tl:
a TCP/UDP port vagy az
ICMP saquece number rtkvel.

PAT Plda
1
R1

S
1

10.0.0.2

10.0.0.3

2
R3

R2

10.0.0.10

S
5

Tbb bels helyi cm fordthat

ugyanarra a bels globlis cmre.

Bels helyi cmek: 10.0.0.1 10.0.0.10

Cmfordtsban rsztvev cmek

Bels globlis cmek: 197.10.1.1 197.10.1.4

Cmkszlet (pool)

Kimen csomag:
Forrs IP;port
10.0.0.2; 1111

Kimen csomag:
Cl IP;port
200.100.1.2: 80

Forrs IP;port

Cl IP;port

10.0.0.4: 1111

200.100.1.2; 80

200.100.1.2; 80

Cmfordts

Cmfordts
197.10.1.1; 1111

200.100.1.2: 80

10.0.0.3; 2222

200.100.1.2: 80

Portfordts

197.10.1.1: 1112

A TCP port cmet is

t kell rni!

Cmfordts
197.10.1.1; 2222

200.100.1.2

200.100.1.2: 80

Prostsok
Bels loklis cm

Bels Globlis cm

Md

1 db

1 db

NAT

Tbb

1 db

PAT

Tbb

Tbb (pool)

NAT/PAT

1db

Tbb (pool)

NAT

Dinamikus trsts:
A kommunikci csak a bels hlzatrl a kls hlzat irnyba kezddhet.
Majd a dinamikusan ltrejtt bejegyzs tjn a vlaszcsomagok
visszarkezhetnek. De a kls hlzat nem kezdemnyezheti a kommunikcit!

Statikus trsts:
Adott eszkzt mindig ugyan arra a cmre kpez le. Emiatt a kls hlzatbl is
kezdemnyezhet a kommunikci. PAT esetn Port Forward alkalmazhat.

Dinamikus NAT pool konfigurci

Tbb bels globlis cm ll rendelkezsre a bels loklis cmekkel rendelkez hlzat kiszolglsra.
Viszont ha loklis tbb mint a pool, akkor a PAT is engedlyezhet az overload parancs hasznlatval!

Pool ltrehozsa:
Router(config)# ip nat pool PoolName 197.10.1.2 197.10.1.15 netmask 255.255.255.240

Cmfordtsban rsztvev gpek megadsa:

Router(config)# access-list 1 permit 10.0.0.0 0.0.0.255

Cmhalmazok sszekapcsolsa:
Router(config)# ip nat inside source list 1 pool PoolName [overload]

A cmfordts bels s kls interfszei:

Router(config)# interface FastEthernet 0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface Serial 2/0
Router(config-if)# ip nat outside
Router(config-if)# exit

Dinamikus PAT konfigurci

Minden bels loklis cm az egyetlen bels globlis cmet hasznlja ami nem ms,
mint a kls interfsz cme is egyben!

Cmfordtsban rsztvev gpek megadsa:

Router(config)# access-list 1 permit 10.0.0.0 0.0.0.255

A cmfordts interfsznek megadsa:

Router(config)# ip nat inside source list 1 interface Serial 2/0 overload

A cmfordts bels s kls interfszei:

Router(config)# interface FastEthernet 0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface Serial 2/0
Router(config-if)# ip nat outside
Router(config-if)# exit

Statikus NAT konfigurci

A tipikus 1-1 kapcsolat megvalstsa

Statikus cmfordt bejegyzs:

Router(config)# ip nat inside source static 10.0.0.254 197.10.1.14

A cmfordts bels s kls interfszei:

Router(config)# interface FastEthernet 0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface Serial 2/0
Router(config-if)# ip nat outside
Router(config-if)# exit

Statikus PAT konfigurci

A tipikus N-1 kapcsolat megvalstsa port tovbbtssal

Statikus cm s port fordt bejegyzs:

Router(config)# ip nat inside source static tcp 10.0.0.254 80 197.10.1.14 80
Router(config)# ip nat inside source static tcp 10.0.0.253 22 197.10.1.14 22

A cmfordts bels s kls interfszei:

Router(config)# interface FastEthernet 0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface Serial 2/0
Router(config-if)# ip nat outside
Router(config-if)# exit