I detta exempel tas up NAT overload eller PAT. I nätverkstopologin används två 4331 routrar, två PT-server och två datorer samt en 2960 switch. Det INSIDE området är det privata nätverket exempelvis ett hemnätverk och det OUTSIDE är det publika området eller Internet. Som exempel på Internet finns en DNS och HTTP server.
PAT eller Port Address Translation är precis det som dess namn antyder, en översättning av portnummer men även IP-adresser. Det intressanta med PAT är det att den tillåter flera nätverksenheter, adresserade med privata adresser, att gå ut till Internet genom att använda en enda publik IP-adress.
Nätverkstopologi
Konfigurationer
- IP-adressera alla interface och konfigurera en default route mot ISP
- Konfigurera en åtkomstkontroll list eller ACL
- Definiera INSIDE och OUTSIDE interface
- Konfigurera NAT overload
- Verifiera:
- Router# show ip nat translations
- Router# show ip nat translations verbose
- Router# show ip nat statistics
- Router# clear ip nat statistics
- Router# show running-config
- Router> enable
- Router# configure terminal
- Router(config)# hostname R1-NAT
- R1-NAT(config)# no ip domain-lookup
- R1-NAT(config)# interface Gig 0/0/0
- R1-NAT(config-if)# description Connected to INSIDE LAN
- R1-NAT(config-if)# ip address 172.30.10.254 255.255.255.0
- R1-NAT(config-if)# no shutdown
- R1-NAT(config-if)# exit
- R1-NAT(config)# interface Gig 0/0/1
- R1-NAT(config-if)# description Connected to OUTSIDE ISP
- R1-NAT(config-if)# ip address 201.20.2.1 255.255.255.252
- R1-NAT(config-if)# no shutdown
- R1-NAT(config-if)# exit
- R1-NAT(config)# ip route 0.0.0.0 0.0.0.0 201.20.2.2
- R1-NAT(config)#
- R1-NAT(config)# ip access-list extended INTERNET
- R1-NAT(config-ext-nacl)# permit 172.30.10.0 0.0.0.255 any
- R1-NAT(config-ext-nacl)# deny ip any any
- R1-NAT(config-ext-nacl)# exit
- R1-NAT(config)#
- R1-NAT(config)# interface Gig 0/0/0
- R1-NAT(config-if)# ip nat inside
- R1-NAT(config-if)# exit
- R1-NAT(config)# interface Gig 0/0/1
- R1-NAT(config-if)# ip nat outside
- R1-NAT(config-if)# exit
- R1-NAT(config)#
- R1-NAT(config)# ip nat inside source list INTERNET interface Gig 0/0/1 overload
- R1-NAT(config)# end
- R1-NAT# show ip nat translations
- Router> enable
- Router# configure terminal
- Router(config)# hostname ISP
- ISP(config)# no ip domian-lookup
- ISP(config)# interface Gig0/0/1
- ISP(config-if)# description Connected to GOOGLE
- ISP(config-if)# ip address 8.8.8.14 255.255.255.240
- ISP(config-if)# no shut
- ISP(config-if)# exit
- ISP(config)# interface Gig0/0/0
- ISP(config-if)# description Connected to R1-NAT
- ISP(config-if)# ip address 201.20.2.2 255.255.255.252
- ISP(config-if)# no shutdown
- ISP(config-if)# end
- ISP#
Observationer
Från PC2 exekveras ping 8.8.8.8 och på routern R1-NAT exekveras show ip nat translations visas följande resultat:
- PC2 har adresserat med 172.30.10.20 och vid sändande av det första PING-paket eller echo-request så genereras portnummer 71, det andra paket får portnummer 72 och så vidare.
- Varje PING-paket översätts till IP-adressen 201.20.2.1 samt samma portnummer som den lokala.
- Själv förväntade jag mig se högre portnummer från klient-sidan, högre än 1024 eller från 49 152. Se bilden nedan:
- En sak till att ta reda på, men fokus är PAT och med hjälp av en enkel nätverkstopologi så har jag visat hur det fungerar.