NAT: Network Address Translation

Транскрипт

1 NAT: Network Address Translation Prima di tutto bisogna definire che cosa si sta cercando di realizzare con NAT 1. Stai cercando di consentire agli utenti interni di accedere a Internet? 2. Stai cercando di permettere agli utenti di internet di accedere a dispositivi interni? 3. Stai cercando di reindirizzare il traffico TCP ad un'altra porta TCP? 4. Si sta utilizzando NAT per consentire reti sovrapposte di comunicare? E quindi necessario determinare quale delle seguenti funzionalità utilizzare : 1. Static NAT 2. Dynamic NAT 3. Overloading Definizione delle interfacce NAT interne ed esterne Il primo passo per implementare il NAT è quello di definire quali interfacce sono interne ed esterne per il NAT. Questa figura mostra un esempio. 1

2 Permettere agli utenti interni di accedere a Internet Si consentire agli utenti interni di accedere a Internet ma non si hanno a disposizione sufficienti indirizzi validi per tutti. Gli indirizzi validi (pubblici) sono contenuti in un pool di indirizzi, nel caso più restrittivo può essere solo uno. In questo o in un pool di indirizzi. Il pool è stato definito come l'intervallo di indirizzi esempio si utilizza il NAT per consentire ad alcuni dispositivi interni (i primi 31 di ogni sottorete ) all'interno di comunicare verso l esterno traducendo il loro indirizzo non valido in un indirizzo valido fino a da condividere fra le due reti. Per realizzare quanto sopra definito si utilizza il NAT DINAMICO. Col NAT Dinamico la tabella di conversione del router è inizialmente vuota e viene popolata una volta che c è traffico che attraverso il router. I record nella Translation Tabke hanno un periodo di timeout, dopo il quale vengono eliminati. Al contrario del NAT STATICO in cui la traduzione è configurata staticamente ed è posta nella tabella di traduzione senza bisogno di traffico. In questo esempio si può configurare il NAT per tradurre l IP address dei dispositivi interni in un pool di indirizzi validi, o per tradurre l IP address dei dispositivi interni in un unico indirizzo. Questo secondo metodo è noto come OVERLOAD. 2

3 NAT DINAMICO interface ethernet 0 Router(config-if)# ip address exit interface ethernet 1 Router(config-if)# ip address exit interface serial 0 Router(config-if)# ip address ip nat outside exit! Defines a NAT pool named no overload! ip nat pool no overload prefix 24! Access list 7 permits packets with source addresses ranging from! through and through access list 7 permit access list 7 permit ! Indicates that any packets received on the inside interface that! are permitted by access list 7 has! the source address translated to an address out of the! NAT pool "no overload". source list 7 pool no overload 3

4 OVERLOADING interface ethernet 0 Router(config-if)# ip address exit interface ethernet 1 Router(config-if)# ip address exit interface serial 0 Router(config-if)# ip address ip nat outside exit! Defines a NAT pool named ovrld with a range of a single IP! address, ip nat pool ovrld prefix 24 access list 7 permit access list 7 permit ! Indicates that any packets received on the inside interface that! are permitted by access list 7 has the source address! translated to an address out of the NAT pool named ovrld.! Translations are overloaded, which allows multiple inside! devices to be translated to the same valid IP address. source list 7 pool overld overload 4

5 Configurazione NAT per reindirizzare il traffico TCP ad un'altra porta TCP o indirizzoip Avere un server Web sulla rete interna è un esempio di comunicazione che inizia da Internet verso dispositivi interni. In alcuni casi, il server web interno può essere configurato per l'ascolto per il traffico web su una porta TCP diversa dalla porta 80. Ad esempio il server web interno può essere configurato per l'ascolto sulla porta TCP In questo caso è possibile utilizzare il NAT per reindirizzare il traffico destinato a TCP porta 80 alla porta TCP Dopo aver definito le interfacce, si può decidere che si desidera NAT per reindirizzare i pacchetti dall'esterno destinato per :80 a :8080. Si può usare il comando NAT statico al fine di tradurre il numero della porta TCP per raggiungere questo obiettivo. interface ethernet 0 ip address interface serial 0 ip address ip nat outside source static tcp

6 Utilizzo di NAT Durante una Network Transition L implementazione NAT è utile quando è necessario reindirizzare i dispositivi in rete o quando si sostituisce un dispositivo con un altro. Ad esempio, se tutti i dispositivi della rete utilizzano un determinato server e questo server deve essere sostituito con uno nuovo che ha un nuovo indirizzo IP, la riconfigurazione di tutti i dispositivi di rete richiede un certo tempo. Nel frattempo è possibile utilizzare NAT per configurare i dispositivi con il vecchio indirizzo per tradurre i loro pacchetti nella comunicazione con il nuovo server. Dopo aver definito le interfacce NAT come indicato sopra, si configura il NAT per consentire ai pacchetti esterni destinati al vecchio indirizzo server ( ) di essere tradotti ed inviati al nuovo indirizzo del server. interface ethernet 0 ip address ip nat outside interface ethernet 1 ip address interface serial 0 ip address ! States that any packet received on the inside interface with a! source IP address of is translated to source static

7 Permettere l'accesso da Internet verso i dispositivi interni 7

8 NAT ROUTER hostname NATRouter interface e 0 ip address interface s 0 ip address ip nat outside ip route ip nat pool test netmask access list 7 permit source list 7 pool test source static NATrouter#show ip nat translations NATrouter#debug ip nat 8

9 OUTSIDE A ROUTER hostname outsidea interface Serial1/0 ip address serial restart delay 0 clockrate interface FastEthernet2/0 ip address speed auto half duplex ip route INSIDE A ROUTER hostname insidea interface Ethernet1/0 ip address half duplex ip route Differenza tra il Mapping uno-a-uno e molti-a-molti Una configurazione NAT statica crea una mappatura uno-a-uno e traduce un indirizzo specifico nell'altro indirizzo specifico. Questo tipo di configurazione crea una entry permanente nella tabella NAT finché la configurazione è presente e consente sia ad host interni che ad host esterni di avviare una connessione. Ciò è particolarmente utile per gli host interno che svolgono funzioni di server. source static Il NAT Dinamico è utile quando si ha un numero di indirizzi disponibili inferiore rispetto al numero effettivo di host da tradurre. Esso crea una entry nella tabella di NAT solo quando l'host inizia una connessione e stabilisce una mappatura tra gli indirizzi uno-a-uno. Ma la mappatura può variare e dipende all'indirizzo registrato disponibile all interno del pool. In NAT Dinamico permette di creare sessioni avviate solo dall'interno verso l esterno. Le entry NAT dinamiche vengono rimosse dalla tabella se l'host non comunica per un determinato periodo di tempo. Tale valore è configurabile. Crea un pool di indirizzi ip nat pool MYPOOLEXAMPLE netmask

10 Crea un access list for per gli host interni access list 100 permit ip any Associa the access list 100 al pool source list 100 pool MYPOOLEXAMPLE overload 10

11 11

12 12