Розкриваються основи технології трансляції мережних адрес NAT. Розглянуті статичний та динамічний NAT, PAT. На основі курсу Cisco CCNA Security.

1. ЗАХИСТУ ІНФОРМАЦІЇ В
ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМАХ
Доцент кафедри № 33, кандидат технічних наук
ШЕВЧЕНКО Андрій Сергійович
(NAT)

2. НАВЧАЛЬНІ ПИТАННЯ
1. Загальні принципи роботи NAT. Основні
визначення.
2. Статичне перетворення (статичний NAT)
3. Динамічне перетворення (динамічний NAT)
4. Перетворення адрес портів (PAT)
2

3. Види IPv4 адрес
3
Види IPv4 адрес:
приватні;
публічні (відкриті).
Приватні IPv4 адреси не можна використовувати для
маршрутизації через Інтернет!
Діапазони приватних ІР v4 адрес

4. Загальні принципи роботи NAT
4
NAT забезпечує перетворення приватних
адрес в публічні адреси.
NAT здійснює підвищення безпеки мережі за рахунок
приховування внутрішніх IPv4-адрес від зовнішніх
мереж.

5. Основні визначення
Маршрутизатор NAT зазвичай працює на
межі тупикової мережі.
Тупикова мережа – це мережа, що
використовує єдине з'єднання з сусідньою
мережею, один вхідний маршрут і один
вихідний маршрут.
NAT можне призначати одну або декілька
діючих публічних IPv4-адрес.
Пул адрес NAT – множина публічних IPv4-
адрес з якої NAT здійснює вибір під час заміни
приватної адреси.
5

6. Межа NAT
6

7. Основні визначення
Внутрішня мережа – мережа в якій знаходяться пристрої ІР
адреси яких перетворюються у публічні.
Зовнішня мережа – мережа дзеркальна внутрішній мережі;
мережа по якій передається пакет що містить у якості ІР адреси
джерела публічну адресу.
7

8. Основні визначення
У NAT передбачено 4 типи адрес :
 внутрішня локальна адреса;
 внутрішня глобальна адреса;
 зовнішня локальна адреса;
 зовнішня глобальна адреса.
Внутрішня адреса — це адреса пристрою, що
перетворюється механізмом NAT.
Зовнішня адреса — це адреса призначення.
Локальна адреса — це будь-яка адреса, що
з'являється у внутрішній частині мережі.
Глобальна адреса — це будь-яка адреса, що
з'являється в зовнішній частині мережі. 8

9. 9
Типи адрес NAT

10. Види ІР адрес
Внутрішня локальна адреса – це адреса
джерела, видима з внутрішньої мережі.
Внутрішня глобальна адреса – це адреса
джерела, видима із зовнішньої мережі.
Зовнішня глобальна адреса – це адреса
призначення, видима із зовнішньої мережі. Це
глобально IPv4, що маршрутизується, -адреса,
призначена вузлу в Інтернеті.
Зовнішня локальна адреса – це адреса
призначення, видима з внутрішньої зовнішньої
мережі.
10

11. 11

12. Механізми перетворень мережних
адрес NAT:
Статичне перетворення мережних адрес
(статичний NAT) – взаємо-однозначна
відповідність між локальною і глобальною
адресою.
Динамічне перетворення мережевих адрес
(динамічний NAT) – зіставлення адрес за схемою
«багато до багатьох» між локальними і
глобальними адресами.
Перетворення адрес портів (PAT, NAT з
перевантаженням) – зіставлення адрес за схемою
«багато до одного» між локальними і глобальним
адресами. 12

13. Статичний NAT
Статичний NAT використовує зіставлення локальних
і глобальних IP-адрес за схемою «один до одного».
Випадки застосування:
 для веб-серверів або пристроїв, які повинні мати
постійну приватну адресу, доступну з Інтернету;
 для пристроїв, які мають бути доступні
авторизованому персоналу, який працює поза
підрозділом (віддалені користувачі) тощо.
Особливості: для статичного NAT потрібно достатню
кількість публічних адрес, доступних для загальної
кількості одночасних сеансів користувачів.
13

14. Статичне перетворення мережевих адрес
14

15. Динамічний NAT
Динамічний NAT використовує пул
публічних адрес, які привласнюються в порядку
живої черги.
Коли внутрішній пристрій просить доступ до
зовнішньої мережі, динамічний NAT
привласнює доступну публічну IPv4-адресу з
пулу.
Особливості: для динамічного NAT потрібно
достатню кількість публічних адрес, здатну
забезпечити загальну кількість одночасних
сеансів користувачів. 15

16. Динамічне перетворення мережевих адрес NAT
16

17. Перетворення адрес портів – PAT
Перетворення адрес портів (PAT), так зване NAT
з перевантаженням, зіставляє безліч приватних
IPv4-адрес одному або декільком публічним IPv4-
адресам.
NAT з перевантаженням – це найбільш
поширений метод перетворення мережних адрес.
За допомогою цього методу безліч адрес можуть
бути зіставлені одному або декільком адресам,
оскільки кожна приватна адреса також
відстежуються по номеру порту.
PAT додає унікальні номери портів джерела до
внутрішньої глобальної адреси.
17

18. Механізм дії PAT
При ініціації сеансу TCP/IP, робоча станція
(джерело) створює унікальний для цього сеансу номер
порту TCP або UDP, який унікальним чином визначає
цей сеанс. Маршрутизатор NAT здійснює перетворення
IP-адреси та прикріпляє номер порту джерела, щоб
унікальним чином визначити конкретне перетворення
NAT.
PAT гарантує, що пристрої використовуватимуть
різні номери портів TCP для кожного сеансу взаємодії з
сервером в Інтернеті.
Номер порту зовнішньої мережі не змінюється!
18

19. Механізм дії PAT
Перетворення PAT намагається зберегти
оригінальний порт джерела. У тому випадку, якщо
оригінальний порт джерела вже використовується, PAT
призначає перший доступний номер порту, починаючи
з початку відповідної групи портів — 0-511, 512-1023
або 1024-65535.
При поверненні відповіді від сервера по
унікальному номер порту маршрутизатор визначає
робочу станцію якій адресовано цей пакет.
19

20. Перетворення адрес портів
20

21. Наступний доступний порт
21

22. Налаштування статичного NAT
Крок 1. Cтворення відповідності між внутрішньою
локальною і внутрішньою глобальною адресою.
Наприклад, на рисунку в якості статичного перетворення
NAT налагоджена внутрішня локальна адреса 192.168.10.254 і
внутрішня глобальна адреса 209.165.201.5.
Крок 2. Визначення внутрішнього або зовнішнього
відносно NAT інтерфейсів, що беруть участь в перетворенні.
Наприклад, інтерфейс Serial 0/0/0 маршрутизатора R2 є
внутрішнім, а Serial 0/1/0 — зовнішнім інтерфейсом.
22

23. Топологія статичного NAT
23

24. Налаштування статичного NAT
24

25. Приклад конфігурації статичного NAT
25

26. Перевірка статичного NAT
26

27. Перевірка статичного NAT
27

28. Налаштування динамічного NAT
Крок 1. За допомогою команди ip nat pool задайте пул
адрес, які використовуватимуться для перетворення. Ці
адреси визначаються за допомогою вказівки початкової і
кінцевої IP-адреси пулу. Ключове слово netmask або
prefix — length вказує, які біти адреси відносяться до
мережі, а які — до діапазону адрес вузлів.
Цей пул адрес зазвичай є групою публічних адрес.
Крок 2. Настройте стандартний ACL-список, щоб
визначити (дозволити) тільки ті адреси, які мають
бути перетворені. ACL-список із занадто великою
кількістю дозволяючих команд може привести до
непередбачуваних результатів. Пам'ятайте, що у кінці
кожного ACL-списку знаходиться рядок deny all.
28

29. Налаштування динамічного NAT
Крок 3. Виконайте прив'язку ACL-списку до пулу.
Команда ip nat inside source list access - list -
number pool name використовується для прив'язки
списку до пулу.
Ця конфігурація використовується
маршрутизатором, щоб визначити, які пристрої
(list), які адреси отримують (pool).
Крок 4. Визначте інтерфейси, що є внутрішніми
по відношенню до NAT, тобто будь-який інтерфейс,
підключений до внутрішньої мережі.
Крок 5. Визначте інтерфейси, що є зовнішніми
відносно NAT, тобто будь-який інтерфейс,
підключений до зовнішньої мережі.
29

30. Налаштування динамічного NAT
30

31. Приклад конфігурації динамічного NAT
31

32. Приклад конфігурації динамічного NAT
32

33. Перевірка динамічного NAT
33

34. Видалення перетворень NAT
34

35. Перевірка динамічного NAT
35

36. Налаштування перетворення адрес
портів (PAT)
36

37. Приклад PAT з пулом адрес
37

38. Приклад PAT з пулом адрес
38

39. Перевірка перетворення PAT
39

40. Перевірка перетворення PAT
40

41. Приклад налаштування
статичного NAT
41