Лабораторная работа №4 Настройка статического nat на маршрутизаторе Cisco.
Цель работы: Изучение трансляции сетевых адресов на примере команды ip nat outside source static и ip nat inside source static.
Краткие теоретические сведения.
NAT — Network Address Translation или «преобразование сетевых адресов» — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation.
NAT — это механизм, обеспечивающий доступ в Интернет для сети, использующей приватные адреса. Пакеты с приватными или «серыми» адресами отбрасываются магистральными маршрутизаторами.
Пространство приватных IP-адресов состоит из трех блоков:
10.0.0.0/8 (одна сеть класса A);
172.16.0.0/12 (диапазон адресов, состоящий из 16 сетей класса B — от 172.16.0.0/16 до 172.31.0.0/16);
192.168.0.0/16(диапазон адресов, состоящий из 256 сетей класса C — от 192.168.0.0/24 до 192.168.255.0/16).
NAT позволяет выдавать организациям один или несколько реальных адресов Интернета и надежно скрывать внутреннюю сеть для внешних хостов.
Для настройки NAT используют следующие базовые понятия:
Inside Local Address — внутренний локальный адрес — адрес, назначенный хосту внутри локальной сети. Обычно сконфигурирован как параметр ОС или получен через DHCP. Обычно, он из диапазона «серых» адресов
Inside Global Address — внутренний глобальный адрес - разрешенный адрес, назначенный NIC или сервис-провайдером, который представляет локальный IP адрес внешнему миру
Outside local address — внешний локальный адрес — IP адрес внешнего хоста как он виден во внутренней сети. Не обязательно является легитимным адресом, выделяется из диапазона внутренней сети
Outside global address — внешний глобальный адрес — IP адрес, назначенный хосту во внешней сети владельцем хоста. Адрес выделяется из диапазона глобально-маршрутизируемых адресов
Рис.14. Базовые понятия NAT
Направление интерфейса на маршрутизаторе принудительно назначается командами: ip nat inside и ip nat outside.
Направление преобразования адресов определяется направлением движения пакета — из внутренней сети во внешнюю и наоборот. На рис. 15 представлена конфигурация сети из двух компьютеров и маршрутизатора Cisco, которая позволяет продемонстрировать три основные конфигурации NAT.
Рис.15. Адреса хостов в лабораторной работе.
Конфигурация ip nat inside source static простейшая конфигурация статического NATа:
ip nat inside source static 10.10.10.1 171.16.68.5
interface s0
ip nat inside
interface s1
ip nat outside
В этой конфигурации, когда роутер получает на inside интерфейс пакет с адресом источника 10.10.10.1 этот адрес транслируется в 171.16.68.5. Это также означает, что, когда NAT роутер получает на outside интерфейс с адресом получателя 171.16.68.5, адрес получателя транслируется в 10.10.10.1.
Внутренний хост известен во внешней сети как 171.16.68.5. Для того, чтобы проверить трансляции NAT на маршрутизаторе, можно использовать команду show ip nat translations. Когда пакет перемещается из «внутренней» (inside) сети во «внешнюю» (outside),результат команды show ip nat translations выглядит следующим образом (рис. 16).
Рис. 16. Результат работы команды на Cisco
Адреса Outside Local и Outside Global будут иметь тот же самый адрес внешнего хоста, то еть 171.16.68.1.
Локальные адреса – это адреса, которые видны во «внутренней» сети и ли сети со стороны интерфейса, который мы определили как inside. Глобальные адреса – это адреса, которые видны во «внешней» сети, или сети со стороны интерфейса, который мы определили как outside.
Мы использовали одну строку конфигурации ip inside source static, поэтому только «внутренние» (inside) адреса будут транслированы. Поэтому на рисунке 17 адрес inside local отличается от адреса inside global.
Рис.17. Пакет во внешней и во внутренней сети.
Конфигурация ip nat outside source static
В такой конфигурации, когда роутер получает пакет на свой «внутренний» интерфейс с адресом источника 10.10.10.1, он транслируется в адрес 171.16.68.5. Это также означает, что, когда роутер NAT получает пакет на свой «внешний» интерфейс с адресом получателя 171.16.68.5, он транслируется в 10.10.10.1
ip nat outside source static 171.16.68.1 10.10.10.5
interface s0
ip nat inside
interface s1
ip nat outside
Внешний хост известен во внутренней сети как 10.10.10.5. Когда пакет перемещается из «внешней» (outside) сети во «внутреннюю» (inside),результат команды show ip nat translations выглядит следующим образом (рис.18):
Рис. 18. Результат работы команды на Cisco
Адреса Inside Global и Inside Local и будут иметь тот же самый адрес внешнего хоста, то есть 10.10.10.1
Локальные адреса – это адреса, которые видны во «внутренней» сети и ли сети со стороны интерфейса, который мы определили как inside. Глобальные адреса – это адреса, которые видны во «внешней» сети, или сети со стороны интерфейса, который мы определили как outside.
Мы использовали одну строку конфигурации ip outside source static, поэтому только «внешние» (outside) адреса будут транслированы. Поэтому на рисунке 5 адрес outside local отличается от адреса outside global.
Рис.19. Пакет во внешней и во внутренней сети
Конфигурация ip nat inside source static и ip nat outside source static
В такой конфигурации, когда NAT роутер получает пакет на его «внутренний» интерфейс с адресом источника 10.10.10.1 он транслируется в 171.16.68.5. Интерфейс, соотвветствующий IP адресу 10.10.10.1 - Inside Local Address, в то время как интерфейс, соответствующий IP адресу 171.16.68.5 - Inside Global Address. Когда NAT роутер получает пакет на свой «внешний» (outside) интерфейс с адресом источника 171.16.68.1, адрес источника транслируется в 10.10.10.5.
Это также означает что когда NAT роутер получается пакет на свой «внешний» (outside) интерфейс с адресом получателя 171.16.68.5, он транслируется в 10.10.10.1. Также , когда роутер получает пакет на свой «внутренний» (inside) интерфейс, с адресом получателя 10.10.10.5, он транслируется в адрес 171.16.68.1.
ip nat inside source static 10.10.10.1 171.16.68.5
ip nat outside source static 171.16.68.1 10.10.10.5
interface s0
ip nat inside
interface s1
ip nat outside
Локальные адреса – это адреса, которые видны во «внутренней» сети или сети со стороны интерфейса, который мы определили как inside. Глобальные адреса – это адреса, которые видны во «внешней» сети, или сети со стороны интерфейса, который мы определили как outside.
При такой конфигурации оба inside адреса и outside адреса транслируются. Поэтому inside local адреса отличаются от outside global.
Внешний хост известен во внутренней сети как 10.10.10.5
Внутренний хост известен во внешней сети как 171.16.68.5
Для того, чтобы пакет проходил маршрутизацию, необходимо прописать два дополнительных маршрута на роутере NAT.
Ip route 10.10.10.5 255.255.255.255 171.16.68.1
Ip route 171.16.68.5 255.255.255.255 10.10.10.1
Когда пакет перемещается из «внешней» (outside) сети во «внутреннюю» (inside) и наоборот, результат команды show ip nat translations выглядит следующим образом:
Рис. 20. Результат работы команды на Cisco
Практические задания
Задание 1. Настройка IP адресации согласно схеме на рис.21.
Настройте конфигурацию сети согласно схеме на рис.7.
Зарисуйте схему в рабочую тетрадь
Рис. 21. Схема IP адресации для выполнения лабораторной работы..
Запишите в рабочую тетрадь статические маршруты на каждом устройстве.
ПОКАЖИТЕ РЕЗУЛЬТАТ ПРЕПОДАВАТЕЛЮ
Задание 2. Настройка трансляции согласно схеме ip nat inside source static.
Настройте конфигурацию на базе ip nat inside source static согласно описанию, данному в теоретической части.
Проверьте работу конфигурации с помощью команды show ip nat translations.
Запустите на серверах Server1 и Server2 программу wireshark и выберите интерфейс для захвата пакетов.
На сервере Server1 запустите командную строку cmd.exe и в ней команду ping 171.16.68.5.
На сервере Server2 запустите командную строку cmd.exe и в ней команду ping 10.10.10.1.
Проследите, какие пакеты захватываются программой Wireshark на каждом из серверов.
Запишите в тетрадь, какие адреса получателя и отправителя видны на сервере Server1 и Server2.
ПОКАЖИТЕ РЕЗУЛЬТАТ ПРЕПОДАВАТЕЛЮ
Задание 3. Настройка трансляции согласно схеме ip nat outside source static.
Настройте конфигурацию на базе ip nat outside source static согласно описанию, данному в теоретической части.
Проверьте работу конфигурации с помощью команды show ip nat translations.
Запустите на серверах Server1 и Server2 программу wireshark и выберите интерфейс для захвата пакетов.
На сервере Server2 запустите командную строку cmd.exe и в ней команду ping 10.10.10.5.
На сервере Server1 запустите командную строку cmd.exe и в ней команду ping 171.16.68.1.
Проследите, какие пакеты захватываются программой Wireshark на каждом из серверов.
Запишите в тетрадь, какие адреса получателя и отправителя видны на сервере Server1 и Server2.
ПОКАЖИТЕ РЕЗУЛЬТАТ ПРЕПОДАВАТЕЛЮ
Задание 4. Настройка трансляции согласно схеме ip nat inside source static и ip nat outside source static.
Настройте конфигурацию на базе ip nat inside source static и ip nat outside source static согласно описанию, данному в теоретической части.
Проверьте работу конфигурации с помощью команды show ip nat translations.
Запустите на серверах Server1 и Server2 программу Wireshark и выберите интерфейс для захвата пакетов.
На сервере Server2 запустите командную строку cmd.exe и в ней команду ping 171.16.68.5.
На сервере Server1 запустите командную строку cmd.exe и в ней команду ping 10.10.10.5.
Проследите, какие пакеты захватываются программой Wireshark на каждом из серверов.
Запишите в тетрадь, какие адреса получателя и отправителя видны на сервере Server1 и Server2.
ПОКАЖИТЕ РЕЗУЛЬТАТ ПРЕПОДАВАТЕЛЮ
Контрольные вопросы
Что такое «приватные» или «серые» IP адреса?
Перечислите диапазоны «приватных» IP адресов?
Перечислите определения адресов, необходимые для понимания трансляции NAT.
Опишите ситуации, в которых может использоваться каждый из типов трансляции NAT.
Напишите команду для добавления трансляции NAT.
Какая команда используется для просмотра таблицы NAT?
Какие задачи позволяет решать технология трансляции сетевых адресов?
На каком уровне модели OSI и стека протоколов TCP/IP работает трансляция сетевых адресов?