A7. Adreçament privat. NAT i PAT
torna M7 - UF3 Administració avançada de Xarxes
Contingut
Adreçament privat. NAT i PAT
Introducció
La traducció d'adreces de xarxa NAT/PAT és la solució actual més utilitzada per evitar l'esgotament d'adreces IPv4 públiques.
NAT (Network Address Translation), Un dispositiu de xarxa, router o firewall, canvia les adreces dels paquets que el travessen entre públiques i privades. Aquest funcionament és estàtic, sempre són les mateixes adreces, i és útil per mapejar adreces de dispositius que siguin accessibles des de l'exterior com servidors.
També facilita l'administració de xarxa perquè l'adreçament IP és independent del proveïdor de serveis (ISP).
PAT (Port Address Translation) és una variació del protocol que fa la traducció d'adreces en ports, de manera que totes les adreces privades es tradueixen en una sola pública però amb un número de port diferent.
En general intenta conservar el port origen, però en cas que els ports origen coincideixin, PAT usa un altre port.
Rangs d'adreces privades (RFC 1918)
| Classe | Interval |
| A | 10.0.0.0 - 10.255.255.255 |
| B | 172.16.0.0 - 172.31.255.255 |
| C | 192.168.0.0 - 192.168.255.255 |
Els routers mai han d'enrutar aquestes adreces.
Exemples Configuració
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094e77.shtml
Les interfaces locals es marque com internes (inside) i les púliques/sèries com externes (outside)
Comandes IOS NAT, estàtic
// Marca la interfície com connectada a l'interior
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip nat inside
Router(config-if)#exit
// Marca la interfície com connectada a l'exterior
Router(config)#interface Serial 0/0/0
Router(config-if)#ip nat outside
// Estableix la traducció d'adreces
Router(config)#ip nat inside source static 192.168.10.100 80.34.13.190
És el mateix que la redirecció, que es veu més endavant, l'adreça local es mappeja amb la pública i tot el que arriba a la pública es dirigeix a la privada.
Comandes IOS PAT, dinàmic
Utilitza llistes d'accés ACL, primerament cal definir una llista per incloure totes les adreces privades que seran traduïdes.
Cal recordar que a les llistes les màscares s'indiquen amb el format wildcard.
Es poden crear vàries llistes d'accés amb el mateix número per incloure adreces de diferents xarxes.
En aquest cas totes les adreces privades es tradueixen per una única adreça pública, normalment la que està configurada a la interfície externa (pública, outside).
Relació many-to-one, cada IP privada sempre se li assigna la mateixa IP pública (Hi ha overload).
// Marca la interfície com connectada a l'interior
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip nat inside
Router(config-if)#exit
// Marca la interfície com connectada a l'exterior
Router(config)#interface Serial 0/0/0
Router(config-if)#ip nat outside
// Definir la llista d'accés
Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
Router(config)#ip nat inside source list 1 interface Serial0/0/0 overload
Comandes IOS PAT, dinàmic vàries adreces públiques POOL.
En aquest cas l'organització disposa d'un rang d'adreces públiques (pool) que es van assignant a mesura que els clients surten a l'exterior.
Relació many-to-many. Tradueix les adreces locals de la llista d'accés a una de les adreces del pool, per exemple seguint una planificació round robin.
// Marca la interfície com connectada a l'interior
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip nat inside
Router(config-if)#exit
// Marca la interfície com connectada a l'exterior
Router(config)#interface Serial 0/0/0
Router(config-if)#ip nat outside
// Definir la llista d'accés
Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
// pool d'adreces públiques, per indicar la màscara també es pot fer servir prefix-length NUM
Router(config)# ip nat pool net-10 80.34.13.190 80.34.13.210 netmask 255.255.255.0
// Estableix la traducció de les adreces de la llista amb el pool d'adreces públiques
Router(config)# ip nat inside source list 1 pool net
Port forwarding
Per redireccionar les comunicacions a un servidor intern.
Es tracta d'un NAT invers, les peticions arriben destinades a la IP pública del Router des de l'exterior i a port concret.
El router reenvia aquestes peticions a l'adreça IP privada d'un dels equips xarxa local (Un servidor generalment), al mateix port o a un altre de diferent.
// Marca la interfície com connectada a l'interior
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip nat inside
Router(config-if)#exit
// Marca la interfície com connectada a l'exterior
Router(config)#interface Serial 0/0/0
Router(config-if)#ip nat outside
// Les peticions que arribin al port 8080 de la IP 85.10.15.7 externa del Router,
// seran reenviats al port 80 del servidor local 192.168.10.5
Router(config)#ip nat inside source static tcp 192.168.10.5 80 85.10.15.7 8080
Consulta i verificació de les traduccions
// Registre de les traduccions actives
Router#show ip nat translations
// Estadístiques del NAT
Router#show ip nat statistics
// Esborra totes les traduccions dinàmiques
Router#clear ip nat translations *
// Depuració de les traduccions
Router# debug ip nat
