KAPITOLA 23. Překlady adres NAT

Podobné dokumenty
Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Analýza protokolů rodiny TCP/IP, NAT

Základy IOS, Přepínače: Spanning Tree

VLSM Statické směrování

VLSM Statické směrování

Podsíťování. Počítačové sítě. 7. cvičení

Konfigurace sítě s WLAN controllerem

Semestrální projekt do předmětu SPS

Použití Virtual NAT interfaces na Cisco IOS

Příkazy Cisco IOS. 1 Přehled módů. 1.2 Uživatelský mód (User Mode) 1.3 Privilegovaný mód (Privileged Mode) 1.1 Klávesové zkratky

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

Access Control Lists (ACL)

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Konfigurace směrovače, CDP

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Konfigurace síťových stanic

Praktikum WIFI. Cíl cvičení:

Počítačové sítě, ZS 2007/2008, kombinované studium. Návrh sítě zadání. Petr Grygárek, FEI VŠB-TU Ostrava

Projekt VRF LITE. Jiří Otisk, Filip Frank

Podmíněná propagace cest do protokolu BGP

5. Směrování v počítačových sítích a směrovací protokoly

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Možnosti reakce na události na rozhraních (Interface Events)

Laboratorní práce: SNMP - Linux snmputils

X36PKO Úvod Protokolová rodina TCP/IP

Kabelážní systémy Základy IOS přepínače

STRUČNÝ NÁVOD K POUŽITÍ

Konfigurace Cisco směrovače

Pokročilé možnosti DHCP serveru v Cisco IOS. Vladimír Jarotek

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Síťová vrstva. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Uživatelská příručka k síťovému projektoru

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Cisco IOS TCL skriptování využití SMTP knihovny

Směrovací protokol OSPF s využitím systému Mikrotom. Ing. Libor Michalek, Ph.D.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

2N EasyRoute UMTS datová a hlasová brána

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Uživatelský modul. Transparent Mode

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek

Xesar. Uvedení do provozu Síťový adaptér

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

J M K UP 009 IP KAMERA T865. Uživatelská příručka. Stručný průvodce instalací

Další nástroje pro testování

Příručka rychlého nastavení připojení sítě

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

OBSAH ÚVOD... 3 PŘIPOJENÍ SÍŤOVÉHO MODULU... 3 INSTALACE SÍŤOVÉHO MODULU... 3 PŘÍKLADY SÍŤOVÉHO PŘIPOJENÍ... 6 ZMĚNA IP ADRESY...

1. Cisco směrovače (routery) a Cisco Internetwork Operating System. Zadání: Úkolem je vyzkoušet základní funkce systému IOS.

Komunikace v sítích TCP/IP (1)

MONTÁŽNÍ NÁVOD RSLAN. Komunikační převodník RS485-TCP/IP

Směrování. static routing statické Při statickém směrování administrátor manuálně vloží směrovací informace do směrovací tabulky.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

V300/301. Příručka pro rychlou instalaci. IP telefon. Verze / vydání. Copyright Všechna práva vyhrazena.

Příručka nastavení funkcí snímání

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Příručka rychlého nastavení sítě

Xesar. Uvedení do provozu Síťový adaptér

Vyvažování zátěže na topologii přepínačů s redundandními linkami

VoIP telefon Gigaset A580IP

Základní příkazy Cisco IOS pro správu směrovačů a přepínačů

Instrukční návod pro základní aktivitu Packet Tracer

Počítačové sítě ZS 2008/2009 Projekt návrhu sítě zadání

Systém elektronické evidence návštěvnosti TDL500

Počítačové sítě ZS 2009/2010 Projekt návrhu sítě zadání

Konfigurace směrovačů a přepínačů s Cisco IOS

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS


Základní nastavení brány 2N VoiceBlue MAX

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

Velikost a určení IP adresy

Nastavení Linksys PAP2 (sipura) služba. Ha-loo Nová Moravo

Počítačové sítě ZS 2012/2013 Projekt návrhu sítě zadání

Zásobník protokolů TCP/IP

TEPELNÉ ČERPADLO-SPLIT

Instalační a uživatelská příručka aplikace PSImulator2 Obsah

Návod na změnu nastavení modemu s aktivní Wi-Fi ARRIS TG 2494

Směrování. 4. Přednáška. Směrování s částečnou znalostí sítě

DŮLEŽITÉ INFORMACE, PROSÍM ČTĚTE!

Site - Zapich. Varianta 1

FIREWALL - IPTABLES. 1. Co je to firewall 2. IPTABLES 3. Manuálové stránky 4. Nastavení směrovače 5. Příklady. 1. Co je to firewall?

QoS na MPLS (Diffserv)

ZMODO NVR KIT. Instalační příručka

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Část l«rozbočovače, přepínače a přepínání

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model

V okně Network nastavte požadované parametry IP. IP adresa musí být z rozsahu sítě, kde GNOME485 budete provozovat. Totéž se týká masky a brány.

Multiple Event Support

Popis zapojení jednotlivých provozních režimů WELL WRC3500_V2 WiFi GW/AP/klient/repeater/switch, 54 Mb/s, R-SMA

Počítačové sítě ZS 2011/2012 Projekt návrhu sítě zadání

Instalační příručka. Instalace a základní konfigurace Next Generation UTM a Firewallu gateprotect

IP adaptér Linksys SPA-1001 (SIP) Stručný průvodce instalací a konfigurací

Vysílací modul ECT-16

Signalizace a ovládací prvky. Konektory a připojení

IP telefon Cisco SPA303g (SIP) Stručný průvodce instalací a konfigurací

Transkript:

KAPITOLA 23 Překlady adres NAT V této kapitole najdete informace a příkazy k následujícím tématům: Privátní IP adresy: RFC 1918 Konfigurace dynamického NAT: překlad jedné privátní adresy na jednu veřejnou Konfigurace mechanismu PAT: překlad mnoha privátních adres na jednu veřejnou Konfigurace statického NAT: překlad jedné privátní adresy na jednu trvale definovanou veřejnou Zobrazení konfigurace NAT a PAT Řešení problémů s konfiguracemi NAT a PAT Příklad konfigurace PAT Privátní IP adresy: RFC 1918 Následující tabulka uvádí intervaly adres definované v dokumentu RFC 1918, které může kdokoli používat jako interní privátní adresy. Jsou to tedy adresy uvnitř mojí LAN, které se pro přenos a směrování ve veřejném Internetu musí převést (přeložit) na veřejné adresy. Zmíněné adresy může pro své vnitřní potřeby používat libovolná síť, ale do veřejného Internetu směrovány být nesmí.

224 Část VIII Správa služeb IP Privátní adresy Třída Interval privátních adres RFC 1918 Prefix pro CIDR A 10.0.0.0 10.255.255.255 10.0.0.0/8 B 172.16.0.0 172.31.255.255 172.16.0.0/12 C 192.168.0.0 192.168.255.255 192.168.0.0/16 Konfigurace dynamického NAT: překlad jedné privátní adresy na jednu veřejnou Poznámka Kompletní konfiguraci mechanismu NAT/PAT včetně názorného diagramu sítě najdete v ukázce konfigurace ke konci této kapitoly. Krok 1: Na vzdáleném směrovači definujeme statickou cestu a určíme v ní, kam se mají veřejné adresy směrovat. Krok 2: Na lokálním směrovači, který bude provádět překlady NAT, definujeme fond dostupných veřejných IP adres. Krok 3: Vytvoříme přístupový seznam (ACL), jenž popisuje, které privátní IP adresy se budou překládat. ISP(config)#ip route 64.64.64.64 s0/0/0 Corp(config)#ip nat pool scott 64.64.64.70 64.64.64.126 netmask Corp(config)#accesslist 1 permit 172.16.10.0 0.0.0.255 Směrovači u poskytovatele (ISP) stanovíme, kam má odesílat pakety určené na adresy v síti 64.64.64.64. Privátní adresa dostane vždy přiřazenu první volnou veřejnou IP adresu z fondu. Definuje následující fond: Název fondu je scott. (Jako název je možné zadat libovolný řetězec.) Začátek intervalu fondu je 64.64.64.70. Konec intervalu fondu je 64.64.64.126. Maska podsítě je.

Kapitola 23 Překlady adres NAT 225 Krok 4: Přístupový seznam napojíme na fond adres a tím aktivujeme překlad adres. Krok 5: Definujeme rozhraní, která se nacházejí ve vnitřní síti (obsahují privátní adresy). Krok 6: Nakonec definujeme vnější rozhraní, tedy rozhraní, které vede do veřejné sítě. Corp(config)#ip nat inside source list 1 pool scott Corp(config)# interface fastethernet 0/0 Corp(config-if)#ip nat inside Corp(config-if)#exit Corp(config)# interface serial 0/0/0 Corp(config-if)#ip nat outside Definujeme toto nastavení: Zdroj privátních adres pochází z ACL 1. Fond dostupných veřejných adres má název scott. Přejde do režimu konfigurace Na jednom směrovači může být i více než jedno vnitřní Poté povolíme překlad adres z každého vnitřního rozhraní na veřejnou adresu. Návrat do globálního konfiguračního režimu. Přejde do režimu konfigurace Definuje, které rozhraní bude mechanismem NAT považováno za vnější Konfigurace mechanismu PAT: překlad mnoha privátních adres na jednu veřejnou V této konfiguraci se všechny privátní adresy překládají na jedinou veřejnou IP adresu a na více čísel portů. Krok 1: Na vzdáleném směrovači definujeme statickou cestu a určíme v ní, kam se mají veřejné adresy směrovat. Krok 2: Na lokálním směrovači, který bude provádět překlady NAT, definujeme fond dostupných veřejných IP adres (nepovinný). ISP(config)#ip route 64.64.64.64 s0/0/0 Směrovači u poskytovatele (ISP) stanovíme, kam má odesílat pakety určené na adresy v síti 64.64.64.64. Tento krok provedeme v případě, že máme velké množství privátních adres na překlad. Jediná veřejná IP adresa může takto zvládnout i několik tisíc privátních adres. Bez fondu adres můžeme veškeré privátní adresy přeložit na IP adresu výstupního rozhraní (například sériové linky vedoucí k poskytovateli Internetu). 23 Překlady adres NAT

226 Část VIII Správa služeb IP Krok 3: Vytvoříme přístupový seznam (ACL), jenž popisuje, které privátní IP adresy se budou překládat. Krok 4, varianta 1: Přístupový seznam napojíme na fond adres a tím aktivujeme překlad adres. Krok 4, varianta 2: Přístupový seznam napojíme na fond adres a tím aktivujeme překlad adres. Krok 5: Definujeme rozhraní, která se nacházejí ve vnitřní síti (obsahují privátní adresy). Krok 6: Nakonec definujeme vnější rozhraní, tedy rozhraní, které vede do veřejné sítě. Corp(config)#ip nat pool scott 64.64.64.70 64.64.64.70 netmask Corp(config)#accesslist 1 permit 172.16.10.0 0.0.0.255 Corp(config)#ip nat inside source list 1 interface serial 0/0/0 overload Corp(config)#ip nat inside source list 1 pool scott overload Corp(config)# interface fastethernet 0/0 Corp(config-if)#ip nat inside Corp(config-if)#exit Corp(config)# interface serial 0/0/0 Corp(config-if)#ip nat outside Definuje následující fond: Název fondu je scott. (Jako název je možné zadat libovolný řetězec.) Začátek intervalu fondu je 64.64.64.70. Konec intervalu fondu je také 64.64.64.70. Maska podsítě je. Zdroj privátních adres pochází z ACL 1. Adresy se budou překládat na veřejnou adresu, která je přiřazena k rozhraní serial 0/0/0. Jestliže se rozhodneme použít fond vytvořený v kroku 1... Zdroj privátních adres pochází z ACL 1. Fond dostupných veřejných adres má název scott. Klíčové slovo overload stanovuje, že se pro překlady většího počtu adres budou používat čísla portů. Přejde do režimu konfigurace Na jednom směrovači může být i více než jedno vnitřní Návrat do globálního konfiguračního režimu. Přejde do režimu konfigurace Definuje, které rozhraní bude mechanismem NAT považováno za vnější

Kapitola 23 Překlady adres NAT 227 Poznámka Příkazem ip nat pool můžeme podle potřeby do fondu zařadit také více než jednu adresu. Syntaxe vypadá následovně: Corp(config)#ip nat pool scott 64.64.64.70 64.64.64.101 netmask Takto vytvoříme fond 32 adres, který bude se všemi svými porty celý k dispozici pro překlady adres. Konfigurace statického NAT: překlad jedné privátní adresy na jednu trvale definovanou veřejnou Krok 1: Na vzdáleném směrovači definujeme statickou cestu a určíme v ní, kam se mají veřejné adresy směrovat. ISP(config)#ip route 64.64.64.64 s0/0/0 Směrovači u poskytovatele (ISP) stanovíme, kam má odesílat pakety určené na adresy v síti 64.64.64.64. Krok 2: Na lokálním směrovači, který bude provádět překlady NAT, vytvoříme statické mapování. Corp(config)#ip nat inside source static 172.16.10.5 64.64.64.65 Vnitřní adresa 172.16.10.5 se bude trvale překládat na veřejnou adresu 64.64.64.65. Příkaz musíme zadat zvlášť pro každou privátní IP adresu, kterou chceme staticky mapovat na veřejnou adresu. Krok 3: Definujeme rozhraní, která se nacházejí ve vnitřní síti (obsahují privátní adresy). Corp(config)# interface fastethernet 0/0 Přejde do režimu konfigurace Krok 4: Nakonec definujeme vnější rozhraní, tedy rozhraní, které vede do veřejné sítě. Corp(configif)#ip nat inside Corp(config-if)# interface serial 0/0/0 Corp(configif)#ip nat outside Na jednom směrovači může být i více než jedno vnitřní Přejde do režimu konfigurace Definuje, které rozhraní bude mechanismem NAT považováno za vnější 23 Překlady adres NAT Upozornění Nezapomeňte v konfiguraci směrovače definovat správné směrování paketů k poskytovateli internetových služeb a také dávejte pozor, aby směrovač poskytovatele věděl, kam posílat provoz pro definovaný fond NAT adres na lokálním směrovači. Bez těchto opatření, tedy pokud by směrovač poskytovatele nebyl obeznámen, kde se v síti fond veřejných IP adres nachází, by pakety opustily síť s veřejnou IP adresou, ale už by se nedokázaly vrátit.

228 Část VIII Správa služeb IP Zobrazení konfigurace NAT a PAT Router#show ip nat translations Router#show ip nat statistics Router#clear ip nat translations inside a.b.c.d outside e.f.g.h Router#clear ip nat translations * Zobrazí překladovou tabulku Vypíše statistiky mechanismu NAT Vymaže z tabulky určitý překlad adres ještě před vypršením jeho časového limitu Vymaže celou překladovou tabulku ještě před vypršením časového limitu položek Řešení problémů s konfiguracemi NAT a PAT Zobrazí informace o každém překládaném paketu. Router#debug ip nat Router#debug ip nat detailed S tímto příkazem zacházejte opatrně: může se stát, že procesor směrovače nezvládne tak velký objem výstupu zpracovat a celý systém tak začne váznout. O každém překládaném paketu zobrazí podrobnější informace. Příklad konfigurace PAT Nyní si řekneme, jak pomocí příkazů probraných v této kapitole provést konfiguraci mechanismu PAT, a to v příkladu sítě podle obrázku 23.1. 172.16.10.10 fa0/0 172.16.10.1 Směrovač Company s0/0/0 198.133.219.1/30 DCE DCE s0/0/1 198.133.219.2/30 Směrovač ISP Lo0 192.31.7.1/24 Síť 172.16.10.0/24 Síť 198.133.219.0/30 Vnitřní síť IP NAT Vnější síť IP NAT Obrázek 23.1: Konfigurace překladového mechanismu PAT

Kapitola 23 Překlady adres NAT 229 Směrovač poskytovatele ISP router>enable router#configure terminal router(config)#host ISP ISP(config)#no ip domain-lookup ISP(config)#enable secret cisco ISP(config)#line console 0 ISP(config-line)#password class ISP(config-line)#login ISP(config-line)#logging synchronous ISP(config-line)#exit ISP(config)#interface serial 0/0/1 ISP(config-if)#ip address 198.133.219.2 255.255.255.252 ISP(config-if)#clock rate 56000 ISP(config-if)#no shutdown ISP(config-if)#interface loopback 0 ISP(config-if)#ip address 192.31.7.1 255.255.255.255 ISP(config-if)#exit ISP(config)#exit ISP#copy running-config startupconfig Firemní směrovač Company router>enable router#configure terminal router(config)#host Company Company(config)#no ip domainlookup Company(config)#enable secret cisco Company(config)#line console 0 Company(config-line)#password class Přejde do privilegovaného režimu Přejde do globálního konfiguračního režimu Definuje hostitelský název Vypne vyhodnocování dotazů DNS (Domain Name System), aby nás každý překlep nezpomaloval Nastaví oprávněné tajné heslo na cisco Vstoupí do režimu konfigurace konzolové linky Nastaví heslo konzolové linky na class Zapíná ověřování hesla Příkazy se zapisují na konec nového řádku Návrat do globálního konfiguračního režimu Přechod do režimu konfigurace sériového rozhraní Přiřadí IP adresu a síťovou masku Přiřadí hodinovou rychlost kabelu DCE na této straně linky Zapne rozhraní Vytvoří zpětnovazební rozhraní 0 a přejde do režimu konfigurace rozhraní Přiřadí IP adresu a síťovou masku Návrat do globálního konfiguračního režimu Návrat do privilegovaného režimu Uloží aktivní konfiguraci do paměti NVRAM Přejde do privilegovaného režimu Přejde do globálního konfiguračního režimu Definuje hostitelský název Vypne vyhodnocování dotazů DNS (Domain Name System), aby nás každý překlep nezpomaloval Nastaví oprávněné tajné heslo na cisco Vstoupí do režimu konfigurace konzolové linky Nastaví heslo konzolové linky na class 23 Překlady adres NAT

230 Část VIII Správa služeb IP Firemní směrovač Company Company(config-line)#login Company(config-line)#logging synchronous Company(config-line)#exit Company(config)#interface fastethernet 0/0 Company(config-if)#ip address 172.16.10.1 255.255.255.0 Company(config-if)#no shutdown Company(config-if)#interface serial 0/0/0 Company(config-if)#ip address 198.133.219.1 255.255.255.252 Company(config-if)#no shutdown Company(config-if)#exit Company(config)#ip route 0.0.0.0 0.0.0.0 198.133.219.2 Company(config)#access-list 1 permit 172.16.10.0 0.0.0.255 Company(config)#ip nat inside source list 1 interface serial 0/0/0 overload Company(config)#interface fastethernet 0/0 Company(config-if)#ip nat inside Company(config-if)#interface serial 0/0/0 Company(config-if)#ip nat outside Company(config-if)# +Z Company#copy running-config startup-config Zapíná ověřování hesla Příkazy se zapisují na konec nového řádku Návrat do globálního konfiguračního režimu Přechod do režimu konfigurace rozhraní Přiřadí IP adresu a síťovou masku Zapne rozhraní Přechod do režimu konfigurace rozhraní Přiřadí IP adresu a síťovou masku Zapne rozhraní Návrat do globálního konfiguračního režimu Všechny pakety, jejichž cílová adresa není ve směrovací tabulce definována, se odešlou do směrovače u poskytovatele. Definuje adresy, jejichž průchod bude povolen; jsou to zároveň adresy, u kterých bude povolen překlad NAT. Zahájí překlady NAT, v nichž sloučí přístupový seznam 1 s rozhraním serial 0/0/0. Adresy v lokální síti budou překládané na jednu veřejnou adresu sériového Přechod do režimu konfigurace rozhraní Umístění privátních vnitřních adres Přechod do režimu konfigurace rozhraní Umístění veřejných vnějších adres Návrat do privilegovaného režimu Uloží aktivní konfiguraci do paměti NVRAM

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář