logo
Программа Сетевой академии Cisco CCNA 3 и 4 (Вс

Адресации nat и pat

Сущность NAT-адресации состоит в замене в IP-заголовке пакета адреса получа­теля, источника или их обоих другими, назначаемыми администратором адресами. Этот процесс замены адресов осуществляется специализированным программным или аппаратным обеспечением с функциями NAT. Назначение адресации NAT со­стоит в упрощении и сбережении IP-адресов, поскольку при ее использовании част­ные объединенные IP-сети, использующие незарегистрированные IP-адреса, могут подсоединяться к Internet транслируя эти частные адреса в глобально уникальные зарегистрированные адреса. Адресация NAT IOS Cisco также повышает уровень конфиденциальности сети, поскольку при этом внутренние IP-адреса оказываются "спрятанными" от внешних сетей.

Устройство с функциями NAT обычно работает на границе тупиковой сети. Под тупиковой сетью понимается сеть, имеющая только одно соединение с соседней се­тью. На рис. 11.2 приведен простой пример тупиковой сети. В том случае, когда узлу тупиковой сети требуется передать данные узлу, находящемуся вне его собственной, пересылка осуществляется через граничный шлюзовой маршрутизатор. В этом слу­чае граничный шлюзовой маршрутизатор также должен обладать функциями NAT-адресации.

Рис. 11.2. Пример тупиковой сети

Адресация NAT обычно функционирует на маршрутизаторе Cisco, соединяя две сети и транслирует частные (внутренние локальные) адреса внутренней сети в от­крытые адреса (глобальной сети) перед отправкой пакетов в другую сеть, как пока­зано на рис. 11.3-11.5.

Как показано на рис. 11.3, внутреннему узлу (10.0.0.2) требуется обменяться дан­ными с внешним узлом (128.23.2.2). Для этого он посылает пакеты своему шлюзово­му маршрутизатору RTA.

Рис.11.3. Адресация NAT

Маршрутизатор RTA выясняет, что пакет необходимо переслать во внешнюю сеть Internet. Процесс адресации NAT выбирает глобально уникальный IP-адрес (179.9.8.80) и заменяет локальный адрес в поле источника пакета этим глобальным адресом. Он сохраняет это преобразование локального адреса в глобальный в своей NAT-таблице, как показано на рис. 11.4.

После этого пакет направляется получателю. В среде "клиент-сервер" сервер мо­жет ответить пакетом, возвращающимся к маршрутизатору RTA с глобальным адре­сом 179.9.8.80, как показано на рис. 11.5.

В ситуации, показанной на рис. 11.6, процесс адресации NAT просматривает па­кет, направленный из внешней сети во внутреннюю и просматривает свою адресную таблицу для нахождения преобразования данного глобального адреса в локальный. После этого глобальный адрес в поле получателя пакета заменяется на локальный и пакет пересылается по внутренней сети.

В терминах NAT-адресации под внутренней сетью понимается набор сетей, для кото­рых осуществляется трансляция адресов. Понятие внешней сети относится ко всем ос­тальным адресам. Обычно это зарегистрированные адреса, расположенные в Internet.

Рис. 1I.4. Адресная таблица NA Т

Рис. 11.5. Адресация NAT: получение ответного пакета

Рис. 11,6. Адресация NAT: окончание пересылки пакета

В качестве составной части этих функций адресация NAT может быть сконфигу­рирована для анонсирования только одного адреса для всей сети для внешнего мира. Такой способ эффективно скрывает внутреннюю структуру сети от внешнего мира и повышает уровень безопасности. Эта функция адресации NAT называется стати­ческой PAT; она проиллюстрирована на рис. 11.7 и 11.8. Понятие PAT также упот­ребляется в конфигурировании IOS Cisco. Использование адресации NAT позволяет выполнить трансляцию ряда внутренних адресов, в то время как PAT может транс­лировать лишь один или несколько внешних адресов. Как показано на рис. 11.7, уз-

лы 10.0.0.2 и 10.0.0.3 посылают пакеты во внешнюю среду, используя один IP-адрес 179.9.8.80. Маршрутизатор регистрирует пакеты каждого узла путем добавления к внешнему IP-адресу уникального номера порта источника.

Рис. 11,7. Функционирование РАТ-адресации

Для того, чтобы отличать транслированные адреса друг от друга адресация PAT ис­пользует во внутреннем глобальном IP-адресе уникальный номер порта источника. По­скольку номер порта записывается 16 битами, общее количество внутренних адресов, ко­торые могут быть транслированы в один внешний адрес при использовании PAT теоре­тически может достигать 65 536 для каждого IP-адреса. PAT' пытается сохранить первоначальный порт источника. Если порт источника уже выделен, то адресация PAT пытается найти первый доступный номер порта, начиная с соответствующей группы порта 0-511, 512-1023 или 1024-65535. Если в соответствующей группе порта нет доступ­ных портов и конфигурируется более одного IP-адреса, то PAT переходит к следующему IP-адресу и пытается вновь выделить первоначальный порт источника. Это процесс про­должается до тех пор, пока PAT не исчерпает доступные порты и внешние IP-адреса.


Рис, 11.8. Функционирование адресации PAT: окончание