4. NAT

Det finns flera situationer där vi behöver adressöversättning, t.ex. ett nätverk som inte har tillräckliga publika IP-adresser vill ansluta till Internet, två nätverk som har samma IP-adresser vill slå samman eller på grund av säkerhetsskäl vill ett nätverk dölja sin intern IP-struktur från den yttre världen. Bilden nedan illustrerar ett nätverk som har endast en anslutning till Internet via en ISP. Det interna nätet använder privata IPv4 adresser och för att dess nätverksenheter gå ut till Internet behöver en NAT server.

Bild 1: NAT koncept

NAT (Network Address Translation) är processen som översätter IP-adresser. NAT kan utföras på brandvägg, server och router. I denna handledning kommer vi att förstå hur det implementeras på Cisco routrar.

Fördelar och nackdelar med NAT

Några fördelar:

  • NAT löser IP-adress överlappande
  • NAT döljer intern nätverksstruktur
  • NAT tillåter åtkomst till vilket nätverk som helst utan att behöva ändra avsändarens IP-adresser
  • NAT stödjer fler klientdatorers IP-adresser associerade mot en enskild global IP-adress

Några nackdelar:

  • NAT lägger till ytterligare fördröjning i nätverket
  • Flera program är inte kompatibla med NAT
  • Inte alla säkerhetsfunktioner fungerar med NAT
  • En-till-En kommunikation fungerar inte med NAT

NAT adresser

NAT inkluderar fyra typer av adresser:

  • Inside – adressen som översätts av NAT (routers perspektiv)
  • Outside  – destinationsadressen (routers perspektiv)
  • Local – adressen inuti
  • Global – adressen utanför
Bild 2: NAT adresser
  • Adressen som översätts av NAT. PC1 har en inside local adress 192.168.10.10
  • Destinationsadressen  är 209.165.201.1 (webb-server). Denna adress är en outside local.
  • Från det externa nätverkets perspektiv (OUTSIDE) syns inte inside local adresser. Detta eftersom NAT-server översätter dessa adresser till en annan IPv4 publik adress känd som inside global.
  • Från det externa nätverkets perspektiv (OUTSIDE) den publika IPv4 destinationsadressen är en outside global adress

Studera nätverket nedan där en dator är anslutet tillsammans med routern till vänster till ett LAN.

Bild 3: Begrepp Inside – Outside
  • Routern till vänster har en inside local adress 10.8.8.1
  • Samma router ansluts till ett publikt nät 200.5.5.0 via ett annat interface som har för adress en inside global 200.5.5.1.

I exemplet ovan startar en användare en webbläsare. Datorn adresserad med privat IP-adressen 10.8.8.10 är ansluten till Internet via NAT. När användaren beställer en hemsida går begäran till en DNS server som associerar webb-serverns (hemsidan) IP-adress med namnet som användaren skrivit på webbläsaren.

  • Från datorn inkluderas Source IP: 10.8.8.10 och Destination IP: 192.168.5.1 i IP-packets headern.
  • DNS servern associerar hemsida beställning: Source IP: 200.5.5.1 – Destination IP: 200.5.5.2

Varför är destinationsadress 200.5.5.2? DNS associerar endast publika/global IP adresser.

  • Nu lämnar paketet användarens dator och hamnar på router R1.
  • Routern R1 kapslar av paketet och läser adresser: Source IP 10.8.8.10 – Destination IP 200.5.5.2
  • Routern R1 kapslar om paketet med adresser: Source IP 200.5.5.1 – Destination IP 200.5.5.2

I detta exempel två privata nätverk ansluts via NAT till ett publik nätverk, men i verkligheten är oftast webb-servrar på det publika nätverket.

Dessa termer intern, extern, lokal och global används för att förklara hur NAT fungerar, annars är de mindre viktiga när vi konfigurerar routrar. Adressöversättningar kan göras på tre olika sätt:

  • Statisk NAT – Mappningen görs en-till-en.
  • Dynamisk NAT – Mappningen görs flera till flera. Nätverksadministratören skapar en IP-pool med flera interna IP-adresser och låter NAT associera flera globala IP-adresser.
  • Port Address Translation (PAT) – Mappningen flera till en. Denna översättningssätt använder IP-adresser och portnummer och är känd som NAT overload.