Настройка NAT для сохранения IP-адресов в Cisco

Опубликовано: 24 Февраля, 2023

Сохранение IP-адресов является целью преобразования сетевых адресов (NAT). Это позволяет частным IP-сетям подключаться к Интернету с использованием незарегистрированных IP-адресов. Перед маршрутизацией пакетов в другую сеть NAT действует как маршрутизатор, обычно соединяющий две сети, и преобразует частные (не глобально уникальные) адреса во внутренней сети в законные адреса. NAT может быть настроен для объявления во внешний мир только одного адреса для всей сети как часть этой функциональности. Эффективное сокрытие всей внутренней сети за одним адресом повышает безопасность. NAT часто используется в контекстах с удаленным доступом, поскольку он обеспечивает комбинированные преимущества безопасности и сохранения адресов.

Требования для настройки NAT:

  • Списки доступа: все списки доступа, необходимые для использования с предоставленными задачами настройки, должны быть настроены до начала действий по настройке.
  • Предварительные требования NAT: Перед настройкой NAT в вашей сети убедитесь, что вы понимаете, какие интерфейсы настроены для NAT и для каких целей.

Следующие предварительные условия помогут вам определить, как настроить и использовать NAT:

  • Пользователи существуют через различные интерфейсы.
  • Интернет доступен через несколько интерфейсов.

Назначение конфигурации NAT:

  • Разрешить доступ в Интернет для внутренних пользователей.
  • Разрешить доступ в Интернет к внутренним устройствам, таким как почтовый сервер.
  • Разрешить перекрывающимся сетям взаимодействовать друг с другом.
  • Разрешить сетям с различными схемами адресации взаимодействовать друг с другом.
  • TCP-трафик перенаправляется на другой TCP-порт или адрес.
  • NAT следует использовать во время сетевого перехода.

Работа НАТ:

По сути, NAT позволяет одному устройству, например маршрутизатору, работать в качестве посредника между локальной сетью и Интернетом (или общедоступной сетью). В результате требуется всего один отличительный IP-адрес, чтобы представить целую группу машин кому-либо за пределами их сети. Традиционный NAT требует создания как минимум двух интерфейсов маршрутизатора, один для внешнего NAT, а другой для внутреннего NAT, а также настройки правил преобразования IP-адресов в заголовках пакетов (и полезных данных, если требуется). Для настройки виртуального интерфейса Nat (NVI) вам потребуется по крайней мере один интерфейс, настроенный с включенным NAT вместе с тем же набором правил, как указано выше.

Типы НАТ:

При использовании NAT на маршрутизаторе обычно подключаются только две сети. Частные (внутри локальных) адреса во внутренней сети преобразуются в общедоступные (внутри глобальных) адреса с помощью NAT, прежде чем какие-либо пакеты будут отправлены в другую сеть. У вас есть возможность настроить NAT с помощью этой функции, чтобы он рекламировал только один адрес во внешний мир для всей вашей сети. Выполняя эту трансляцию, NAT эффективно скрывает внутреннюю сеть от внешнего мира, повышая вашу безопасность. NAT может принимать следующие формы:

  • Сопоставление один к одному между локальными и глобальными адресами возможно с использованием статической трансляции адресов (статический NAT).
  • Незарегистрированные IP-адреса преобразуются в зарегистрированные IP-адреса из пула зарегистрированных IP-адресов с использованием динамического преобразования адресов (динамического NAT).
  • Перегрузка Использует разные порты для сопоставления множества незарегистрированных IP-адресов с одним зарегистрированным IP-адресом (многие к одному). Преобразование адресов портов — другое название этой техники (PAT). Один единственный глобальный IP-адрес может быть использован для перегрузки подключений тысяч пользователей к Интернету.

Внешние и внутренние адреса NAT:

Сети, контролируемые организацией, которую необходимо преобразовать, называются внутри в контексте преобразования сетевых адресов (NAT). Когда NAT настроен, хосты в этой сети имеют адреса, которые помещаются в единое пространство (известное как локальное адресное пространство). Пользователи вне сети воспринимают эти узлы как находящиеся в другой области (известной как глобальное адресное пространство). Точно так же сети, к которым подключается тупиковая сеть, но не управляются организацией, называются внешними. Кроме того, узлы во внешних сетях могут быть преобразованы и поэтому имеют как локальные, так и глобальные адреса. NAT использует следующие определения:

  • IP-адрес, присвоенный хосту во внутренней сети, называется внутренним локальным адресом. Скорее всего, адрес, предоставленный Сетевым информационным центром (NIC) или поставщиком услуг, является недопустимым IP-адресом.
  • Внутренний глобальный адрес: Действительный IP-адрес, назначенный сетевой картой или поставщиком услуг, который во внешнем мире соответствует одному или нескольким внутренним локальным IP-адресам.
  • IP-адрес внешнего хоста, видимый во внутренней сети, называется «внешним локальным адресом». Он назначается из адресного пространства с внутренней маршрутизацией, однако он не всегда может быть допустимым адресом.
  • IP-адрес, который владелец хоста назначает ему во внешней сети, называется внешним глобальным адресом. Адрес выбирается из сетевого пространства или глобально маршрутизируемого адреса.

Преимущества настройки NAT:

  • Когда предприятия должны получить доступ к Интернету, используя свои существующие сети, но сталкиваются с проблемой исчерпания IP-адресов, NAT позволяет им это сделать.
  • Веб-сайты должны получать IP-адреса, зарегистрированные в Сетевом информационном центре (NIC). Отсутствие адресов класса B становится серьезной проблемой, если присутствует или ожидается более 254 клиентов. Чтобы решить эти проблемы, Cisco IOS XE NAT преобразует тысячи скрытых внутренних адресов в набор доступных адресов класса C.
  • Веб-сайты, которые уже имеют IP-адреса, зарегистрированные для пользователей во внутренней сети, могут захотеть сохранить эти адреса частными в Интернете. Этот шаг лишает хакеров возможности атаковать клиентов напрямую. Уровень безопасности устанавливается путем сокрытия адресов клиентов.
  • Администраторы локальных сетей имеют полную возможность увеличить адресацию класса A с помощью Cisco IOS XE NAT. Резервный пул Internet Assigned Numbers Authority используется для расширения адресации класса A (RFC 1597). Этот организационный рост происходит без учета изменений адресов на интерфейсе LAN/Internet.
  • NAT можно выполнять выборочно или динамически с помощью программного обеспечения Cisco IOS XE. Сетевой администратор может использовать комбинацию RFC 1597, RFC 1918 и зарегистрированных адресов благодаря этой гибкости. NAT предназначен для использования на различных устройствах для сохранения и упрощения IP-адресов. Кроме того, Cisco IOS XE NAT позволяет выбирать внутренние хосты, открытые для NAT.
  • Ключевым преимуществом является возможность настройки NAT без внесения изменений в сетевые узлы или устройства. На некоторых других устройствах, где настроен NAT, необходимы корректировки.
  • В версии Cisco IOS XE Denali 16.3 была добавлена поддержка нескольких арендаторов для возможности NAT. На изменения конфигурации экземпляра Virtual Routing and Forwarding (VRF) не влияет поддержка нескольких арендаторов. Изменения конфигурации, внесенные в один экземпляр Virtual Routing and Forwarding (VRF), не останавливают трафик, проходящий через другие VRF в сети, благодаря поддержке нескольких арендаторов.
  • NAT — это функция, которая позволяет IP-сети организации казаться внешнему миру использующей другое пространство IP-адресов, чем оно есть на самом деле. Таким образом, NAT позволяет организациям, не поддерживающим глобальную маршрутизацию, подключаться к Интернету путем преобразования своих адресов в адресное пространство с глобальной маршрутизацией. Для предприятий, меняющих поставщиков услуг или добровольно перенумеровывающих в блоки бесклассовой междоменной маршрутизации (CIDR), NAT также позволяет использовать метод щадящей перенумерации. RFC 1631 описывает преобразование сетевых адресов (NAT).

Использование NAT:

Следующие обстоятельства могут принести пользу от NAT:

  • Подключитесь к Интернету, если ни один из ваших хостов не имеет глобального уникального IP-адреса. Частные IP-сети, использующие незарегистрированные IP-адреса, могут подключаться к Интернету через преобразование сетевых адресов (NAT). NAT настраивается на устройстве на границе между доменом-заглушкой (называемым внутренней сетью) и общедоступной сетью, такой как Интернет (называемой внешней сетью). Перед передачей пакетов во внешнюю сеть NAT преобразует внутренние локальные адреса в глобально уникальные IP-адреса. NAT полезен только в качестве решения для подключения, когда только несколько хостов в домене-заглушке одновременно обмениваются данными за пределами домена. Только небольшая часть IP-адресов домена должна быть преобразована в глобально уникальные IP-адреса, когда требуется внешняя связь. Кроме того, когда эти адреса больше не нужны, их можно использовать снова.
  • Замените внутренние адреса. Вместо обновления внутренних адресов, что может потребовать много работы, вы можете использовать NAT для их преобразования.
  • Для основного распределения нагрузки TCP-трафика. Распределение нагрузки TCP позволяет сопоставить один глобальный IP-адрес с несколькими локальными IP-адресами.