Hari ini kita akan mempelajari PAT (Port Address Translation), teknologi untuk menerjemahkan alamat IP menggunakan port, dan NAT (Network Address Translation), teknologi untuk menerjemahkan alamat IP dari paket transit. PAT adalah kasus khusus NAT. Kami akan membahas tiga topik:
- alamat IP pribadi, atau internal (intranet, lokal) dan alamat IP publik atau eksternal;
- NAT dan PAT;
- konfigurasikan NAT / PAT.
Mari kita mulai dengan alamat IP pribadi. Kita tahu bahwa mereka dibagi menjadi tiga kelas: A, B dan C.
Alamat internal Kelas A menempati rentang puluhan dari 10.0.0.0 hingga 10.255.255.255, dan alamat eksternal menempati rentang dari 1.0.0.0 hingga 9. 255.255.255 dan dari 11.0.0.0 hingga 126.255.255.255.
Alamat internal kelas B berkisar dari 172.16.0.0 hingga 172.31.255.255, dan alamat eksternal berkisar dari 128.0.0.0 hingga 172.15.255.255 dan dari 172.32.0.0 hingga 191.255.255.255.
Alamat internal kelas C berkisar dari 192.168.0.0 hingga 192.168.255.255, dan alamat eksternal berkisar dari 192.0.0 hingga 192.167.255.255 dan dari 192.169.0.0 hingga 223.255.255.255.
Alamat Kelas A adalah alamat / 8, kelas B - / 12 dan kelas C - / 16. Dengan demikian, alamat IP eksternal dan internal kelas yang berbeda menempati rentang yang berbeda.
Kami telah berulang kali membahas apa perbedaan antara alamat IP privat dan publik. Secara umum, jika kita memiliki router dan grup alamat IP internal, ketika mereka mencoba mengakses Internet, router mengubahnya menjadi alamat IP eksternal. Alamat internal digunakan secara eksklusif di jaringan lokal, dan bukan di Internet.
Jika saya menggunakan baris perintah untuk melihat parameter jaringan komputer saya, maka saya akan melihat alamat IP LAN internal saya 192.168.1.103 di sana.
Untuk mengetahui alamat IP publik Anda, Anda dapat menggunakan layanan Internet seperti "What is my IP"? Seperti yang Anda lihat, alamat eksternal komputer 78.100.196.163 berbeda dari alamat internalnya.
Dalam semua kasus, komputer saya terlihat di Internet tepatnya dengan alamat IP eksternal. Jadi, alamat internal komputer saya adalah 192.168.1.103, dan eksternal adalah 78.100.196.163. Alamat internal hanya digunakan untuk komunikasi lokal, Anda tidak dapat mengakses Internet dengannya, untuk ini Anda memerlukan alamat IP publik. Anda dapat mengingat mengapa pemisahan dibuat menjadi alamat pribadi dan publik dengan meninjau video tutorial Hari 3.
Pertimbangkan apa itu NAT. Ada tiga jenis NAT: NAT statis, dinamis, dan kelebihan beban, atau PAT.
Ada 4 istilah dalam Cisco yang menggambarkan NAT. Seperti yang saya katakan, NAT adalah mekanisme untuk mengubah alamat internal menjadi alamat eksternal. Jika perangkat yang terhubung ke Internet menerima paket dari perangkat lain dari jaringan lokal, itu hanya akan menjatuhkan paket ini, karena format alamat internal tidak cocok dengan format alamat yang digunakan di Internet global. Karena itu, perangkat harus menerima alamat IP publik untuk mengakses Internet.
Jadi, istilah pertama adalah Inside Local, yang berarti alamat IP dari host di LAN internal. Sederhananya, ini adalah alamat sumber utama tipe 192.168.1.10. Istilah kedua, Inside Global, adalah alamat IP dari host lokal, di mana itu terlihat di jaringan eksternal. Dalam kasus kami, ini adalah alamat IP port eksternal router 200.124.22.10.
Anda dapat mengatakan bahwa Inside Local adalah alamat IP pribadi, dan Inside Global adalah alamat IP publik. Ingat bahwa istilah Di dalam digunakan untuk merujuk ke sumber lalu lintas, dan Luar digunakan untuk merujuk ke tujuan lalu lintas. Outside Local adalah alamat IP dari host di jaringan eksternal, di mana itu terlihat oleh jaringan internal. Sederhananya, ini adalah alamat penerima yang terlihat dari jaringan internal. Contoh dari alamat tersebut adalah alamat IP 200.124.22.100 dari perangkat yang terletak di Internet.
Outside Global adalah alamat IP host yang terlihat di jaringan eksternal. Dalam kebanyakan kasus, alamat Luar Lokal dan Luar Global terlihat sama, karena bahkan setelah konversi, alamat IP tujuan adalah sama untuk sumber seperti sebelum konversi.
Pertimbangkan apa itu NAT statis. NAT Statis berarti konversi satu-ke-satu dari alamat IP internal ke konversi eksternal, atau satu-ke-satu. Ketika perangkat mengirim lalu lintas ke Internet, alamat internal Lokal Lokal mereka dikonversi ke alamat internal Inside Global.
Ada 3 perangkat di jaringan lokal kami, dan ketika mereka akan online, masing-masing mendapat alamat Inside Global sendiri. Alamat-alamat ini ditetapkan secara statis ke sumber lalu lintas. Prinsip satu-ke-satu berarti bahwa jika 100 perangkat berada di jaringan lokal, mereka menerima 100 alamat eksternal.
NAT tampaknya menyelamatkan Internet, yang berakhir dengan alamat IP publik. Berkat NAT, banyak perusahaan, banyak jaringan dapat memiliki satu alamat IP eksternal yang sama, ke mana alamat perangkat lokal akan dikonversi ketika mengakses Internet. Anda dapat mengatakan bahwa dalam kasus NAT statis ini tidak ada penghematan dalam jumlah alamat, karena seratus komputer lokal diberikan seratus alamat eksternal, dan Anda akan benar. Namun, NAT statis masih memiliki beberapa keunggulan.
Misalnya, kami memiliki server dengan alamat IP internal 192.168.1.100. Jika beberapa perangkat dari Internet ingin menghubunginya, ia tidak akan dapat melakukan ini menggunakan alamat tujuan internal, untuk ini ia perlu menggunakan alamat eksternal dari server 200.124.22.3. Jika NAT statis dikonfigurasi di router, semua lalu lintas yang ditujukan ke 200.124.22.3 secara otomatis diteruskan ke 192.168.1.100. Ini memberikan akses eksternal ke perangkat di jaringan lokal, dalam hal ini, ke server web perusahaan, yang mungkin diperlukan dalam beberapa kasus.
Pertimbangkan NAT dinamis. Ini sangat mirip dengan statis, tetapi tidak menetapkan alamat eksternal permanen untuk setiap perangkat lokal. Misalnya, kami memiliki 3 perangkat lokal dan hanya 2 alamat eksternal. Jika perangkat kedua ingin online, itu akan diberi alamat IP gratis pertama. Jika setelah itu server web ingin online, router akan menetapkannya sebagai alamat eksternal kedua yang tersedia. Jika setelah itu perangkat pertama ingin pergi ke jaringan eksternal, tidak akan ada alamat IP yang tersedia untuk itu, dan router akan menjatuhkan paketnya.
Kami dapat memiliki ratusan perangkat dengan alamat IP internal, dan masing-masing perangkat ini dapat online. Tetapi karena kita tidak memiliki penugasan statis alamat eksternal, pada saat yang sama tidak lebih dari 2 perangkat dari seratus akan dapat mengakses Internet, karena kita hanya memiliki dua alamat eksternal yang ditetapkan secara dinamis.
Perangkat Cisco memiliki waktu terjemahan alamat tetap 24 jam secara default. Itu dapat diubah menjadi 1,2,3, 10 menit, kapan saja Anda suka. Setelah waktu ini, alamat eksternal dilepaskan dan secara otomatis dikembalikan ke kumpulan alamat. Jika saat ini perangkat pertama ingin online dan alamat eksternal apa pun tersedia, maka ia akan menerimanya. Perute berisi tabel NAT yang diperbarui secara dinamis, dan hingga waktu konversi berakhir, alamat yang ditetapkan disimpan oleh perangkat. Sederhananya, NAT dinamis bekerja dengan prinsip: "siapa yang datang pertama, mereka melayani."
Pertimbangkan apa yang merupakan NAT, atau PAT yang kelebihan beban. Ini adalah jenis NAT yang paling umum. Jaringan rumah Anda dapat memiliki banyak perangkat - PC, smartphone, laptop, tablet, dan semuanya terhubung ke router yang memiliki satu alamat IP eksternal. Jadi, PAT memungkinkan banyak perangkat dengan alamat IP internal untuk secara bersamaan online di bawah satu alamat IP eksternal. Ini dimungkinkan karena setiap alamat IP internal pribadi menggunakan nomor port tertentu selama sesi komunikasi.
Misalkan kita memiliki satu alamat publik 200.124.22.1 dan banyak perangkat lokal. Jadi, ketika mengakses Internet, semua host ini akan menerima alamat yang sama 200.124.22.1. Satu-satunya hal yang akan membedakan mereka satu sama lain adalah nomor port.
Jika Anda ingat diskusi tentang layer transport, Anda tahu bahwa layer transport berisi nomor port, dan nomor port sumber adalah nomor acak.
Misalkan ada host di jaringan eksternal dengan alamat IP 200.124.22.10, yang terhubung ke Internet. Jika komputer 192.168.1.11 ingin menghubungi komputer 200.124.22.10, itu akan membuat port sumber acak 51772. Dalam kasus ini, port tujuan komputer pada jaringan eksternal adalah 80.
Ketika router menerima paket komputer lokal yang dikirim ke jaringan eksternal, router menerjemahkan alamat lokal lokalnya ke alamat Inside Global 200.124.22.1 dan menetapkan port 23556 ke port.Paket akan mencapai komputer 200.124.22.10 dan akan mengirim respons kembali sesuai dengan prosedur jabat tangan, tujuan akan menjadi alamat 200.124.22.1 dan port 23556.
Router memiliki tabel terjemahan NAT, oleh karena itu, setelah menerima paket dari komputer eksternal, itu akan menentukan alamat Inside Local yang sesuai dengan alamat Inside Global sebagai 192.168.1.11: 51772 dan meneruskan paket ke sana. Setelah itu, koneksi antara kedua komputer dapat dianggap terjalin.
Pada saat yang sama, Anda dapat memiliki ratusan perangkat yang menggunakan alamat yang sama 200.124.22.1 untuk komunikasi, tetapi nomor port yang berbeda, sehingga semuanya dapat online pada saat yang sama. Inilah sebabnya mengapa PAT adalah metode terjemahan yang populer.
Mari kita lihat konfigurasi NAT statis. Untuk jaringan apa pun, pertama-tama, perlu untuk menentukan antarmuka input dan output. Diagram menunjukkan sebuah router di mana lalu lintas ditransfer dari port G0 / 0 ke port G0 / 1, yaitu, dari jaringan internal ke jaringan eksternal. Dengan demikian, kami memiliki antarmuka input 192.168.1.1 dan antarmuka keluaran 200.124.22.1.
Untuk mengkonfigurasi NAT, kita pergi ke antarmuka G0 / 0 dan mengatur ip addres 192.168.1.1 255.255.255.0 parameter ip dan menunjukkan bahwa antarmuka ini adalah input menggunakan perintah ip nat inside.
Demikian pula, kita mengkonfigurasi NAT pada antarmuka keluaran G0 / 1 dengan menentukan alamat ip 200.124.22.1, subnet mask 255.255.255.0 dan ip nat di luar. Ingat bahwa terjemahan NAT dinamis selalu dilakukan dari input ke antarmuka output, dari dalam ke luar. Secara alami, untuk NAT dinamis, jawabannya datang ke antarmuka input melalui antarmuka output, tetapi ketika lalu lintas dimulai, arah masuk-keluar dipicu. Dalam kasus NAT statis, inisiasi lalu lintas dapat terjadi di salah satu arah - masuk atau keluar.
Selanjutnya, kita perlu membuat tabel NAT statis, di mana setiap alamat lokal sesuai dengan alamat global yang terpisah. Dalam kasus kami, ada 3 perangkat, sehingga tabel akan terdiri dari 3 entri yang menunjukkan alamat IP Lokal Inside dari sumber, yang diterjemahkan ke dalam alamat Global Inside: ip nat inside static 192.168.1.10 200.124.22.1.
Jadi, dalam NAT statis, Anda secara manual meresepkan terjemahan untuk setiap alamat host lokal. Sekarang saya akan pergi ke Packet Tracer dan membuat pengaturan yang dijelaskan di atas.
Di bagian atas kita memiliki server 192.168.1.100, di bawah ini adalah komputer 192.168.1.10 dan di bagian paling bawah adalah komputer 192.168.1.11. Port G0 / 0 dari Router0 memiliki alamat IP 192.168.1.1, dan port G0 / 1 memiliki 200.124.22.1. Dalam "cloud" yang menggambarkan Internet, saya menempatkan Router1, yang diberi alamat IP 200.124.22.10.
Saya masuk ke pengaturan Router1 dan ketik perintah debug ip icmp. Sekarang, begitu ping mencapai perangkat ini, sebuah pesan debug akan muncul di jendela pengaturan yang menunjukkan jenis paketnya.
Mari kita mengatur Router0 router. Saya masuk ke mode pengaturan global dan memanggil antarmuka G0 / 0. Selanjutnya, saya masukkan perintah ip nat di dalam, lalu pergi ke antarmuka g0 / 1 dan masukkan perintah ip nat di luar. Jadi, saya menetapkan antarmuka input dan output dari router. Sekarang saya perlu mengkonfigurasi alamat IP secara manual, yaitu, mentransfer baris tabel di atas ke pengaturan:
Ip nat sumber dalam statis 192.168.1.10 200.124.22.1
Ip nat sumber dalam statis 192.168.1.11 200.124.22.2
Ip nat sumber dalam statis 192.168.1.100 200.124.22.3
Sekarang saya akan melakukan ping Router1 dari masing-masing perangkat kami dan melihat alamat IP yang diterimanya akan ditampilkan. Untuk melakukan ini, saya menempatkan jendela CLI terbuka dari router R1 di sisi kanan layar untuk melihat pesan debug. Sekarang saya pergi ke terminal baris perintah PC0 dan ping alamat 200.124.22.10. Setelah itu, sebuah pesan muncul di jendela bahwa ping diterima dari alamat IP 200.124.22.1. Ini berarti bahwa alamat IP komputer lokal 192.168.1.10 telah dikonversi ke alamat global 200.124.22.1.
Saya melakukan hal yang sama dengan komputer lokal berikutnya dan melihat bahwa alamatnya telah dikonversi ke 200.124.22.2. Kemudian saya mengirim ping dari server dan melihat alamat 200.124.22.3.
Jadi, ketika lalu lintas dari perangkat LAN mencapai router di mana NAT statis dikonfigurasi, router, sesuai dengan tabel, mengubah alamat IP lokal ke alamat global dan mengirimkan lalu lintas ke jaringan eksternal. Untuk memeriksa tabel NAT, saya memasukkan perintah show ip nat translation.
Sekarang kita bisa melihat semua transformasi yang dilakukan router. Di kolom pertama Inside Global adalah alamat perangkat sebelum siaran, yaitu alamat di mana perangkat itu terlihat dari jaringan eksternal, kemudian alamat Inside Local, yaitu alamat perangkat di jaringan lokal. Kolom ketiga menunjukkan Outside Local, dan yang keempat menunjukkan alamat Outside Global, yang keduanya sama karena kami tidak menerjemahkan alamat IP tujuan. Seperti yang dapat Anda lihat, setelah beberapa detik tabel dibersihkan karena ping timeout singkat diatur dalam Packet Tracer.
Saya dapat melakukan ping server dari router R1 di alamat 200.124.22.3, dan jika saya kembali ke pengaturan router, Anda dapat melihat bahwa tabel itu lagi diisi dengan empat garis ping dengan alamat tujuan yang dikonversi 192.168.1.100.
Seperti yang saya katakan, bahkan jika waktu tunggu siaran telah bekerja, ketika lalu lintas dimulai dari sumber eksternal, mekanisme NAT secara otomatis diaktifkan. Ini hanya terjadi ketika menggunakan NAT statis.
Sekarang mari kita lihat bagaimana dinamiknya NAT bekerja. Dalam contoh kami, ada 2 alamat publik untuk tiga perangkat di jaringan lokal, namun, bisa ada puluhan dan ratusan host pribadi semacam itu. Pada saat yang sama, hanya 2 perangkat yang bisa online. Pertimbangkan apa, di samping itu, perbedaan antara NAT statis dan dinamis.
Seperti pada kasus sebelumnya, Anda harus terlebih dahulu menentukan antarmuka input dan output router. Selanjutnya, kita membuat semacam daftar akses, tetapi ini bukan ACL yang telah kita bahas dalam pelajaran sebelumnya. Daftar akses ini digunakan untuk mengidentifikasi lalu lintas yang ingin kita konversi. Di sini istilah baru "traffic menarik", atau "traffic menarik", muncul. Ini adalah lalu lintas yang menarik minat Anda untuk beberapa alasan, dan ketika lalu lintas ini cocok dengan ketentuan daftar akses, itu jatuh di bawah tindakan NAT dan dikonversi. Istilah ini berlaku untuk lalu lintas dalam banyak kasus, misalnya, dalam kasus VPN, "menarik" disebut lalu lintas yang akan mereka lewati melalui terowongan VPN.
Kita harus membuat ACL yang mengidentifikasi lalu lintas yang menarik, dalam kasus kami itu adalah lalu lintas seluruh jaringan 192.168.1.0, dengan mana topeng terbalik 0.0.0.255 ditunjukkan.
Kemudian kita perlu membuat kumpulan NAT, yang kita gunakan perintah ip nat pool <pool name> dan tentukan kumpulan alamat IP 200.124.22.1 200.124.22.2. Ini berarti bahwa kami hanya menyediakan dua alamat IP eksternal. Selanjutnya, perintah tersebut menggunakan kata kunci netmask dan memasuki subnet mask 255.255.255.252. Oktet terakhir dari mask adalah (255 - jumlah alamat pool adalah 1), jadi jika Anda memiliki 254 alamat di pool, maka subnet mask adalah 255.255.255.0. Ini adalah parameter yang sangat penting, jadi ketika mengatur NAT dinamis, pastikan untuk memasukkan nilai netmask yang benar.
Selanjutnya, kita menggunakan perintah yang memulai mekanisme NAT: ip nat di dalam daftar sourse 1 pool NWKING, di mana NWKING adalah nama pool dan daftar 1 berarti daftar akses ACL number1. Ingat - agar perintah ini berfungsi, Anda harus terlebih dahulu membuat kumpulan alamat dinamis dan daftar akses.
Jadi, di bawah kondisi kami, perangkat pertama yang ingin mengakses Internet dapat melakukan ini, perangkat kedua juga, tetapi yang ketiga harus menunggu sampai salah satu alamat kumpulan dilepaskan. Konfigurasi NAT dinamis terdiri dari 4 langkah: menentukan antarmuka input dan output, menentukan lalu lintas "menarik", membuat kumpulan NAT, dan mengaturnya.
Sekarang kita akan pergi ke Packet Tracer dan mencoba mengkonfigurasi NAT dinamis. Pertama, kita harus menghapus pengaturan NAT statis, yang kita masukkan perintah secara berurutan:
tidak ada ip nat sumber dalam statis 192.168.1.10 200.124.22.1
tidak ada ip nat sumber dalam statis 192.168.1.11 200.124.22.2
tidak ada ip nat sumber dalam statis 192.168.1.100 200.124.22.3.
Selanjutnya, saya membuat daftar akses daftar 1 untuk seluruh jaringan dengan izin akses-daftar 1 192.168.1.0 0.0.0.255 perintah dan mengkonfigurasi kolam NAT menggunakan kolam ip nat NWKING 200.124.22.1 200.124.22.1 netmask 255.255.255.252 perintah. Dalam perintah ini, saya menentukan nama kumpulan, alamat yang memasukkannya, dan topeng jaringan.
Lalu saya menunjukkan apakah NAT ini internal atau eksternal, dan sumber dari mana NAT harus mendapatkan informasi, dalam kasus kami adalah daftar, menggunakan ip nat di dalam perintah daftar sumber 1. Setelah itu, sistem akan menanyakan apakah seluruh kumpulan atau antarmuka tertentu diperlukan . Saya memilih kumpulan karena kami memiliki lebih dari 1 alamat eksternal. Jika Anda memilih antarmuka, Anda harus menentukan port dengan alamat IP tertentu. Dalam bentuk terakhir, perintahnya akan terlihat seperti ini: ip nat di dalam daftar sumber 1 pool NWKING. Sekarang kumpulan ini terdiri dari dua alamat 200.124.22.1 200.124.22.2, namun Anda dapat dengan bebas mengubahnya atau menambahkan alamat baru yang tidak terikat ke antarmuka tertentu.
Anda harus memastikan bahwa tabel perutean Anda diperbarui sehingga salah satu dari alamat IP ini di kolam harus diarahkan ke perangkat ini, jika tidak, Anda tidak akan menerima lalu lintas kembali. Untuk memastikan bahwa pengaturan bekerja, kami akan mengulangi prosedur ping router cloud, yang dilakukan untuk NAT statis. Saya akan membuka jendela Router 1 router untuk melihat pesan mode debug, dan ping dari masing-masing 3 perangkat.
Kami melihat bahwa semua alamat sumber dari mana paket ping berasal sesuai dengan pengaturan. PC0 , . Router 1, , 200.124.22.1 200.124.22.2. , , . PC0, , , 200.124.22.1.
NAT ? Router0 clear ip nat translation * ยซยป . show ip nat translation, .
NAT show ip nat statistics.
, , NAT/PAT. , 0, . , hits misses ( ), .
IP- โ NAT, PAT. PAT , NAT: , ยซยป , NAT PAT. , , , PAT . NAT PAT overload, . NAT PAT.
, NWKING, , 200.124.22.1, 255.255.255.0. , ip nat 1 pool NWKING 200.124.22.1 200.124.22.1 netmask 255.255.255.0 source interface 200.124.22.1 G0/1. IP-.
IP-, . , . NAT , , , NAT IP- . , IP- .
Packet Tracer. NAT no Ip nat inside source list 1 NWKING NAT no Ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 225.255.255.252.
PAT Ip nat pool NWKING 200.124.22.2 200.124.22.2 netmask 225.255.255.255. IP-, , 200.124.22.1, 200.124.22.2. , .
PAT Ip nat inside source list 1 pool NWKING overload. PAT. , , , PC0 Router1 200.124.22.10. , , , , IP- 200.124.22.2. , PC1 Server0.
, Router0. , , , Router1 IP- 200.124.22.2.
show ip nat statistics, PAT.
, , , 12, .
- โ Ip nat inside source list 1 interface gigabit Ethernet g0/1 overload. PC0, , 200.124.22.1, ! : , , NAT- IP- . .
, . Packet Tracer, NAT PAT. ICND1 โ CCNA, , , .
Terima kasih telah tinggal bersama kami. Apakah Anda suka artikel kami? Ingin melihat materi yang lebih menarik? Dukung kami dengan melakukan pemesanan atau merekomendasikannya kepada teman-teman Anda,
diskon 30% untuk pengguna Habr pada analog unik dari server entry-level yang kami temukan untuk Anda: Seluruh kebenaran tentang VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps dari $ 20 atau bagaimana membagi server? (opsi tersedia dengan RAID1 dan RAID10, hingga 24 core dan hingga 40GB DDR4).
Dell R730xd 2 kali lebih murah? Hanya kami yang memiliki
2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV dari $ 199 di Belanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mulai dari $ 99! Baca tentang
Cara Membangun Infrastruktur Bldg. kelas menggunakan server Dell R730xd E5-2650 v4 seharga 9.000 euro untuk satu sen?