Трансляция адресов. Конфигурирование оборудования ПРИМЕР
Осуществляется трансляция всех адресов узлов-источников, определенных списком доступа 1 (разрешены адреса от 192.168.1.0/24), в пул адресов, названный net-208. Этот пул содержит адреса с 171.69.233.208 по 171.69.233.233.
ip nat pool net-208 171.69.233.208 171.69.233.233 netmask 255.255.255.240 ip nat inside source list 1 pool net-208
!
interface serial 0
ip address 171.69.232.182 255.255.255.240 ip nat outside
!
interface ethernet 0 ip address 192.168.1.94 255.255.255.0 ip nat inside
!
access-list 1 permit 192.168.1. 0 0.0.0.255
21
Трансляция адресов. Использование одного глобального адреса (маскарадинг)
N внутренних локальных IP 
1 внешний глобальный IP
Технология трансляции предусматривает использование информации протоколов более высокого уровня (транспортный уровень). TCP –Transmition Control Protocol ( протокол управления передачей) и UDP - User Datagram Protocol (протокол пользовательских дейтаграмм), которые содержат номера портов.
Номера портов используют для корректного решения задачи соответствия нескольких внутренних локальных адресов одному глобальному адресу (номера портов связаны с внутренним локальным адресом)
22
Трансляция адресов. Номер порта.
Номер порта (в TCP и UDP) – это системный ресурс, который идентифицируется номером и выделяется приложению, выполняемому на некотором сетевом хосте для связи с приложениями, выполняемыми на других сетевых хостах.
Компьютер (поддерживающий TCP) содержит в |
|
составе ОС транспортную подсистему (библиотечная |
|
процедура, часть ядра или процесс пользователя). В |
|
основе работы этой подсистемы лежит понятие |
|
сокетов (Беркли) – (гнездо, конечная точка). У каждого |
|
сокета есть адрес, который состоит из IP адреса |
|
хоста и 16- битного номера (локального относительно |
|
хоста). Этот 16- битный номер и получил название |
|
порта. |
23 |
Трансляция адресов. Номер порта.
Номера портов выбираются по требованию приложений. В выборе номеров портов существует определенный порядок.
Порты с номерами ниже 1024 зарезервированы стандартными сервисами и доступны только привилегированным пользователям. Эти порты получили название well-known ports (известные порты). Список известных портов можно посмотреть на сайте WWW.IANA.ORG
Порты с 1024 по 49151 можно зарегистрировать через IANA . Но обычно с выбором портов по требованиям приложений справляется ОС
24
Трансляция адресов. Номер порта.
ПОРТ |
ПРОТОКОЛ |
ИСПОЛЬЗОВАНИЕ |
20, 21 |
FTP |
Передача файлов |
25 |
SMTP |
Электронная почта |
80 |
HTTP |
WWW (интернет) |
110 |
POP-3 |
Удаленный доступ |
|
|
к электронной |
|
|
почте |
25
Трансляция адресов. Маскарадинг
В качестве критерия принадлежности пакета определенному внутреннему локальному адресу используется номер порта из протокола более высокого уровня (транспортного).
26
Корпоративные сети. Маскарадинг.
N внутренних локальных IP 
1 внешний глобальный IP
9.6.7.3
SA=1.1.1.1 |
SA=2.2.2.2 |
DA=9.6.7.3 |
DA=9.6.7.3 |
1.1.1.1
|
|
|
NAT |
INet |
|
1.1.1.2 |
SA=9.6.7.3 |
|
|
||
DA=1.1.1.1 |
|
6.5.4.7 |
|||
Протокол |
Внутр. |
|
Внутр. |
Внешний |
SA=9.6.7.3 |
|
DA=2.2.2.2 |
||||
|
Локальный адрес |
Глобальный |
Глобальный |
|
|
|
|
|
адрес |
адрес |
|
|
|
|
|
|
Extended |
ТСР |
1.1.1.1 :1024 |
2.2.2.2 : 1024 |
9.6.7.3 : 23 |
Entry |
|
ТСР |
1.1.1.2 : 1723 |
2.2.2.2 : 1723 |
6.5.4.7 : 80 |
27 |
|
|
|
|
|
|
|
Корпоративные сети. Маскарадинг.
ПУСК |
ПУСК |
1.1.1.1:1024 открывает соединение с 9.6.7.3:23
Есть зап. |
да |
|
|
трансл. |
нет |
|
Формирование Extended entry
Трансляция пакета согласно записи в табл.
Конец
Останов
NAT получает пакет от 9.6.7.3 : 23
Поиск в NAT по ключу 9.6.7.3:23 записи
Обратная трансляция 2.2.2.2:1024 в 1.1.1.1:1024
Конец
Останов
28
Корпоративные сети. Маскарадинг.
Пример: доступ локальных пользователей в Internet посредством Overload (PAT)
PAT (Port Address Translation) — трансляция адресов портов.
interface ethernet 0
ip address 10.10.10.1 255.255.255.0 ip nat inside
!--- Настройка IP-адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса.
interface ethernet 1
ip address 10.10.20.1 255.255.255.0 ip nat inside
!--- Настройка IP-адреса для Ethernet 1 и использование в качестве внутреннего NAT интерфейса.
29
Корпоративные сети. Маскарадинг.
Пример: доступ локальных пользователей в Internet посредством Overload (PAT)
interface serial 0
ip address 172.16.10.64 255.255.255.0 ip nat outside
!--- Настройка IP-адреса для serial 0 и использование в качестве внешнего NAT интерфейса.
ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
!
!--- Конфигурирование NAT пула с именем ovrld с единственным IP-адресом, 172.16.10.1.
30