Дибров М.В., Кузьменко Н.Г., Журавлев А.А. Маршрутизаторы. Учебно-методическое обеспечение самостоятельной работы
Подождите немного. Документ загружается.
4.2.1 Преобразование внутренних локальных адресов
Внутренний
локальный IP адрес
10.1.1.1
Внутренний
глобальный IP адрес
10.1.1.2
NAT
Internet
10.1.1.1
SA
10.1.1.1
SA
192 .168 .2.2
DA
192 .168 .2.2
172 .20.7.3
1
3
DA
10.1.1.1
4
10.1.1.2
192 .168.2.2
192 .168.2.3
Внутренняя сеть
Внешняя сеть
Простая таблица NAT
2
5
Рисунок 4.4 – Преобразование адресов
На рисунке 4.4 показано функционирование службы NAT тогда, когда
она используется для преобразования адресов внутренней сети к получате-
лям, которые находятся во внешней сети. В приведенном ниже списке шаги
соответствуют пронумерованным операциям службы NAT.
– Шаг 1. Пользователь хоста 10.1.1.1 открывает соединение к внешнему
хосту B.
– Шаг 2. Поступление первого пакета на граничный маршрутизатор с
хоста 10.1.1.1 вызывает проверку этим маршрутизатором своей таблицы
NAT.
Если соответствующая запись в таблице преобразования найдена (т.е.
она была статически сконфигурирована), то маршрутизатор переходит к шагу
3. Если преобразование не найдено, то устройство принимает решение о том,
что адрес 10.1.1.1 должен быть преобразован. Маршрутизатор динамически
выделяет новый адрес и задает преобразование внутреннего локального адре-
са 10.1.1.1 в зарегистрированный внутренний глобальный адрес из пула дина-
мических адресов. Такой тип преобразования называется простой записью
(simple entry) таблицы службы NAT.
Шаг 3. Граничный маршрутизатор заменяет внутренний локальный IP
адрес 10.1.1.1 выбранным внутренним глобальным адресом 192.168.2.2 и от-
правляет пакет дальше.
Шаг 4. Хост B получает пакет и отвечает узлу, используя внутренний
глобальный IP адрес 192.168.2.2.
Шаг 5. Когда граничный маршрутизатор получает пакет с внутренним
глобальным IP адресом, он просматривает таблицу соответствий службы
NAT, используя в качестве ссылки внутренний глобальный адрес. После это-
71
го маршрутизатор преобразует адрес во внутренний локальный адрес 10.1.1.1
и направляет пакет соответствующему получателю. Хост с адресом 10.1.1.1
получает пакет и продолжает диалог с удаленной системой.
Маршрутизатор выполняет шаги 2 – 5 для каждого пакета.
При статической трансляции можно инициировать как внутренние или
внешние соединения потому, что соответствующие преобразование всегда на-
ходится в таблице NAT. При динамической трансляции соединения должны
инициироваться как «внутренние во внешние» или «внешние во внутренние».
При настройке соединения «внутренние во внешние» необходимо
воспользоваться командой ip nat inside source list, соединение должно иниции-
роваться внутренним хостом. Таким же образом команда ip nat outside source
list задает динамическую трансляцию «внешние во внутренние», соединение
должно быть инициировано внешним хостом.
4.2.2 Перегрузка внутренних глобальных адресов
Протокол
10.1.1.1
TCP
Порт внутреннего
локального адреса
10.1.1.2
NAT
Internet
10.1.1.1
SA
10.1.1.1
SA
192 .168 .2.2
DA
192 .168 .2.2
172 .21.7.3
1
3
DA
10.1.1.1
4
TCP
Внутренняя сеть
Простая таблица NAT
2
5
Порт внутреннего
глобального адреса
Порт внешнего
глобального адреса
172 .21.7.3:23
172 .20.7.3:23
10.1.1.1:1024
10.1.1.2:1723
192.168.2.2:1024
192.168.2.3:1723
172 .20.7.3
DA
192 .168 .2.2
4
Рисунок 4.5 – Перегрузка адресов
На рисунке 4.5 проиллюстрирован принцип работы службы NAT в том
случае, когда один внутренний глобальный адрес может быть использован
для одновременного представления нескольких внутренних локальных адре-
сов. В данном примере используется таблица расширенных записей преоб-
разования. В такой таблице комбинация адреса и порта делает каждый гло-
бальный IP адрес уникальным. В действительности использование портов для
того, чтобы сделать адрес уникальным, представляет собой преобразование
PAT, подмножеством функций службы NAT. Данная операция состоит из
следующих шагов:
Шаг 1. Пользователь хоста 10.1.1.1 инициирует соединение с хостом B.
72
Шаг 2. Первый пакет, который маршрутизатор получает от устройства с
адресом 10.1.1.1, приводит к тому, что маршрутизатор проверяет свою табли-
цу NAT.
Если запись преобразования адреса не найдена, то маршрутизатор при-
нимает решение, что адрес 10.1.1.1 должен быть динамически преобразован.
В этом случае маршрутизатор выделяет новый адрес и производит преобразо-
вание внутреннего локального адреса 10.1.1.1 в зарегистрированный глобаль-
ный адрес. Если включена функция перегрузки адресов и имеется другое ак-
тивное преобразование, то маршрутизатор будет повторно использовать гло-
бальный адрес преобразования, и сохранит информацию, чтобы отличить его
от других в таблице преобразования адресов. Такой тип записи в таблице на-
зывается расширенной записью (extended entry) службы NAT.
Шаг 3. Маршрутизатор заменяет внутренний локальный IP адрес
10.1.1.1 выбранным внутренним глобальным адресом 192.168.2.2 и направ-
ляет пакет дальше по маршруту.
Шаг 4. Внешний хост B получает пакет и отвечает хосту отправителю,
используя внутренний глобальный IP–адрес 192.168.2.2.
Шаг 5. Когда маршрутизатор получает пакет с внутренним глобальным
IP адресом, он просматривает таблицу NAT, используя внутренний глобаль-
ный адрес и номер порта, а также внешний адрес и номер порта в качестве
ссылок. После этого маршрутизатор преобразует адрес во внутренний локаль-
ный адрес 10.1.1.1 и направляет данный пакет устройству получателю. Хост
10.1.1.1 принимает пакет и продолжает диалог с удаленной системой.
Маршрутизатор выполняет шаги 2 – 5 для каждого пакета.
4.2.3 Распределение нагрузки с помощью протокола TCP
Протокол
10.1.1.1
TCP
Порт внутреннего
локального адреса
10.1.1.2
NAT
Internet
10.1.1.1
SA
10.1.1.1
SA
10.1.1.127
DA
10.1.1.127
172 .21.7.3
4
5
DA
10.1.1.1
1
TCP
Внутренняя сеть
Простая таблица NAT
2
3
Порт внутреннего
глобального адреса
Порт внешнего
глобального адреса
172 .21.7.3:23
172 .20.7.3:23
10.1.1.1:80
10.1.1.2:80
10.1.1.127 :80
10.1.1.127 :80
172 .20.7.3
DA
10.1.1.127
10.1.1.127
Реальные узлы
Виртуальный
узел
Рисунок 4.6 – Распределение нагрузки протокола TCP
73
На рисунке 4.6 показаны действия, выполняемые службой преобразова-
ния NAT в том случае, когда она используется для отображения одного адре-
са виртуального узла на несколько реально существующих устройств. В при-
веденном ниже списке шаги соответствуют пронумерованным операциям
службы NAT, показанным на рисунке.
Шаг 1. Пользователь хоста B, открывает TCP соединение с виртуаль-
ным хостом, имеющим адрес 10.1.1.127.
Шаг 2. Маршрутизатор принимает запрос на соединение и создает но-
вую запись преобразования адреса, выделяя следующий реальный хост (с ад-
ресом 10.1.1.1) для использования в качестве внутреннего локального IP адре-
са.
Шаг 3. Маршрутизатор заменяет адрес получателя выбранным адресом
реального хоста и направляет пакет дальше по маршруту.
Шаг 4. Хост 10.1.1.1 принимает пакет и отвечает.
Шаг 5. Маршрутизатор получает пакет и просматривает таблицу соот-
ветствий службы NAT, используя внутренний локальный адрес и номер пор-
та, а также внешний адрес и номер порта в качестве критерия поиска. После
этого маршрутизатор преобразует адрес отправителя в адрес виртуального
узла и направляет пакет дальше.
Следующий запрос на соединение приводит к тому, что рассматривае-
мый маршрутизатор выделяет адрес 10.1.1.2 в качестве внутреннего локаль-
ного адреса.
4.2.4 Обработка перекрывающихся адресов
10.1.1.1
Internet
10.1.1.3
DNS Server
З
а
п
р
о
с
D
N
S
A
S
=
1
9
2
.
2
.
2
.
2
|
D
A
=
x
x
x
x
xxxx
Запрос DNS
AS=10.1.1.1 | DA=xxxx
AS=xxxx | DA=10.1.1.1 | C=193.3.3.3
Сообщение от 10.1.1.1 узлу
AS=10.1.1.1 | DA=193 .3.3.3
Ответ DNS
AS=xxxx | DA=192 .2.2.2 | C=10.1.1.3
Сообщение от 10.1.1.1 узлу
AS=192.2.2.2 | DA=10.1.1.3
Внутренний
локальный адрес
10.1.1.1
Внутренний
глобальный адрес
Таблица NAT
Внешний глобальный
адрес
Внешний локальный
адрес
193 .3.3.3192 .2.2.2 10.1.1.3
Рисунок 4.7 – Обработка перекрывающихся адресов
74
На рисунке 4.7 показаны операции, выполняемые службой NAT в тех
случаях, когда адреса внутренней сети перекрываются адресами внешней
сети.
Шаг 1. Пользователь хоста 10.1.1.1 открывает соединение с хостом B, и
для адреса 10.1.1.1 просматривается список соответствий "имя–адрес" серве-
ра DNS.
Шаг 2. Маршрутизатор перехватывает ответ службы DNS и, если обна-
руживает перекрытие адресов, преобразует обратный адрес. В рассматривае-
мой ситуации адрес 10.1.1.3 перекрывается внутренним адресом. Для преоб-
разования обратного адреса хоста B маршрутизатор создает простую запись в
таблице преобразования адресов, которая отображает перекрывающийся ад-
рес 10.1.1.3 в адрес отдельно сконфигурированного пула внешних локальных
адресов. В данном случае таким адресом является 193.3.3.3.
Шаг 3. Далее маршрутизатор направляет ответ службы DNS на адрес
10.1.1.1. В ответе адресом хоста B является 193.3.3.3. В данном случае
устройство 10.1.1.1 устанавливает соединение с адресом 193.3.3.3.
Шаг 4. Когда маршрутизатор получает пакет для хоста B, он создает за-
пись преобразования адреса, которая связывает внутренний локальный адрес,
внутренний глобальный, внешний глобальный и локальный адреса. Маршру-
тизатор заменяет адрес отправителя 10.1.1.1 внутренним глобальным адресом
192.2.2.2, а адрес получателя 193.3.3.3 заменяет внешним глобальным адре-
сом хоста B 10.1.1.3.
Шаг 5. Хост B получает пакет и продолжает диалог с удаленной систе-
мой.
Для каждого пакета, пересылаемого между устройством 10.1.1.1 и хо-
стом B, маршрутизатор осуществляет просмотр таблицы записей службы
NAT, заменяет адрес получателя внутренним локальным адресом, а адрес от-
правителя – внешним локальным адресом.
4.3 Конфигурирование NAT
4.3.1 Конфигурирование статического преобразования адресов
Для конфигурирования службы статического NAT необходимо выпол-
нить следующие шаги:
Шаг 1. В качестве подготовительного этапа на маршрутизаторе сконфи-
гурировать IP маршрутизацию и указать соответствующие IP адреса.
Шаг 2. Если используется механизм статического преобразования для
внутренних локальных адресов, то следует указать необходимые адреса, ис-
пользуя команду ip nat inside source static в режиме глобального конфигуриро-
75
вания. Для удаления записи статического преобразования используется фор-
ма данной команды с ключевым словом no перед ней.
Шаг 3. Войти в режим конфигурирования интерфейса и включить
преобразование с помощью службы NAT, по крайней мере, на одном вну-
треннем и на одном внешнем интерфейсах посредством ввода команды ip nat
{inside | outside}.
Параметры команды ip nat inside source static приведены в таблице 4.2.
Таблица 4.2 – Параметры команды ip nat inside source static
Параметр Описание
local–ip Задает отдельную запись статическо-
го преобразования. Задает локальный
IP адрес, назначенный узлу во вну-
тренней сети. Такой адрес должен со-
ответствовать стандарту RFC 1918
global–ip Задает отдельную запись статическо-
го преобразования. Задает глобаль-
ный уникальный IP адрес внутренне-
го узла в том виде, как он выглядит
для внешней сети
В примере 4.1 приводится пример настройки статического NAT. Соот-
ветствующая ей топология сети представлена на рисунке 4.8
Пример 4.1 –Настройка статического преобразования адресов
!
ip nat inside source static 10.1.1.1 192.168.2.2
!
interface Ethernet 0
ip address 10.1.1.10 255.255.255.0
ip nat inside
!
interface Serial O
ip address 172.16.2.1 255.255.255.0
ip nat outside
!
76
10.1.1.2
NAT
Internet
10.1.1.1
SA
10.1.1.1
SA
192 .168 .2.2
DA
192 .168.2.2
172 .20.7.3
DA
10.1.1.1
Внутренняя сеть
Внешняя сеть
E0
S0
Рисунок 4.8 – Статическое преобразование адресов
4.3.2 Конфигурирование динамического преобразования адресов
Для включения службы динамического преобразования IP–адресов
необходимо выполнить следующее шаги.
Шаг 1. В качестве подготовительного этапа сконфигурировать на марш-
рутизаторе IP маршрутизацию и указать соответствующие IP адреса.
Шаг 2. Далее необходимо задать стандартный IP список доступа с по-
мощью команды access–list.
Шаг 3. Указать пул адресов для службы NAT протокола IP с помощью
команды ip nat pool pool–name start–ip end–ip {netmask netmask | prefix–length
prefix–length] [type rotary]. Параметры которой описаны в таблице 4.3.
Шаг 4. Выполнить привязку списка доступа к пулу службы NAT с по-
мощью команды ip nat inside source list access–list number pool–name.
Шаг 5. Включить службу NAT, по крайней мере, на одном внутреннем
и на одном внешнем интерфейсе с помощью команды ip nat {inside | outside}.
Таблица 4.3 – Параметры команды ip nat pool
Параметр Описание
pool–name Имя пула.
start–ip Начальный IP адрес выделенного
диапазона адресов пула.
end–ip Заключительный IP адрес выделенно-
го диапазона адресов пула.
netmask Маска сети для адресов пула.
prefix–length Префикс сети.
type rotary Диапазон адресов в пуле описывает
реальные внутренние узлы, между ко-
торыми будет происходить распреде-
ление нагрузки по протоколу TCP.
77
Транслироваться будут только пакеты, перемещающиеся между вну-
тренними и внешними интерфейсами. Например, если пакет получен на вну-
треннем интерфейсе и не направляется во внешний интерфейс, то его адрес
не будет преобразован.
В примере 4.2 приводится пример настройки динамического NAT.
Пример 4.2 –Настройка динамического преобразования адресов
ip nat pool dyn–nat 192.168.2.1 192.168.2.254 netmask 255.255.255.0
ip nat inside source list 1 pool dyn–nat
!
interface Ethernet 0
ip address 10.1.1.10 255.255.255.0
ip nat inside
!
interface Serial 0
ip address 172.16.2.1 255.255.255.0
ip nat outside
!
access–list 1 permit 10.1.1.0 0.0.0.255
!
4.3.3 Конфигурирование перегрузки внутренних глобальных адресов
Для того чтобы сконфигурировать перегрузку внутренних глобальных
адресов, необходимо выполнить следующее:
Шаг 1. В качестве подготовительного этапа сконфигурировать на марш-
рутизаторе IP–маршрутизацию и указать соответствующие IP–адреса.
Шаг 2. Сконфигурировать службу динамического преобразования адре-
сов.
Шаг 3. После того, как сконфигурирован список доступа для пула адре-
сов службы NAT необходимо ввести команду ip nat inside source list access–
list number pool name overload.
Шаг 4. Далее необходимо включить службу NAT на соответствующих
интерфейсах с помощью команды ip nat {inside | outside}.
В примере 4.3 приведена конфигурация механизма перегрузки адресов.
Соответствующая ей топология сети представлена на рисунке 4.9.
78
Пример 4.3 –Настройка перераспределения нагрузки
ip nat pool ovrld–nat 192.168.2.2 192.168.2.2 netmask 255.255.255.0
ip nat inside source list 1 pool ovrld–nat overload
!
interface Ethernet 0/0
ip address 10.1.1.10 255.255.255.0
ip nat inside
!
interface Serial 0/0
ip address 172.16.2.1 255.255.255.0
ip nat outside
!
access–list 1 permit 10.1.1.0 0.0.0.255
10.1.1.2
NAT
Internet
10.1.1.1
SA
10.1.1.1
SA
192 .168 .2.2
DA
192 .168 .2.2
172 .21.7.3
DA
10.1.1.1
Внутренняя сеть
172 .20.7.3
DA
192 .168 .2.2
S0
E0
Рисунок 4.9 – Перегрузка нагрузки
4.3.4 Конфигурирование распределения нагрузки протокола TCP
Для того чтобы сконфигурировать распределение нагрузки протокола
TCP, необходимо выполнить следующее.
Шаг 1. В качестве подготовительного этапа сконфигурировать на марш-
рутизаторе должны быть IP маршрутизацию и указать соответствующие IP
адреса.
Шаг 2. Указать стандартный список доступа IP с помощью директивы
permit для виртуального узла.
Шаг 3. Указать пул адресов службы NAT протокола IP для реально су-
ществующих узлов c помощью команды ip nat pool pool–name с параметром
type rotary.
Шаг 4. Задать привязку списка доступа к пулу выбранных сетевых
узлов.
Шаг 5. Включить службу NAT на соответствующем интерфейсе.
В примере 4.4 приведена конфигурация службы преобразования адре-
сов для распределения нагрузки по протоколу TCP. Соответствующая ей то-
пология сети представлена на рисунке 4.10
79
Пример 4.4 –Настройка перераспределения нагрузки
ip nat pool real–hosts 10.1.1.1 10.1.1.3 prefix–length 24 type rotary
ip nat inside destination list 2 pool real–hosts
!
interface serial 0
ip address 192.168.1.129 255.255.255.224
ip nat outside
!
interface ethernet 0
ip address 10.1.1.254 255.255.255.0
ip nat inside
!
access–list 2 permit 10.1.1.127
10.1.1.2
NAT
Internet
10.1.1.1
SA
10.1.1.1
SA
10.1.1.127
DA
10.1.1.127
172 .21.7.3
DA
10.1.1.1
Внутренняя сеть
172 .20.7.3
DA
10.1.1.127
10.1.1.127
Реальные узлы
Виртуальный
узел
E0
S0
Рисунок 4.10 –Настройка распределения нагрузки протокола TCP
4.3.5 Конфигурирование NAT для перекрывающихся адресов
Для того чтобы сконфигурировать преобразование перекрывающихся
адресов, необходимо выполнить следующее.
Шаг 1. В качестве подготовительного этапа сконфигурировать на марш-
рутизаторе должны быть IP маршрутизацию и указать соответствующие IP
адреса.
Шаг 2. Указать стандартный список доступа IP для внутренней сети.
Шаг 3. Указать пул адресов службы NAT протокола IP для внутренней
сети.
Шаг 4. Указать пул адресов службы NAT протокола IP для внешней
сети.
Шаг 5. Задать привязку списка доступа к пулу выбранных внутренних
сетевых узлов.
80