PAT

I detta avsnitt lär du dig hur man konfigurerar och verifierar PAT. Det ingår även en Packet Tracer-aktivitet där du får testa dina färdigheter.

Det finns två sätt att konfigurera PAT, beroende på hur många publika IPv4-adresser din ISP tilldelar:

  • ISP:n tilldelar en enda publik IPv4-adress, som organisationen använder för all utgående trafik.
  • ISP:n tilldelar flera publika IPv4-adresser, som organisationen kan använda som en pool.

Båda metoderna demonstreras i scenariot som visas i figuren.

Konfigurera PAT med en enda IPv4-adress

För att konfigurera PAT med en enda publik adress, lägg helt enkelt till nyckelordet overload till kommandot ip nat inside source. Resten av konfigurationen är liknande statisk och dynamisk NAT, med den skillnaden att flera interna värdar delar på samma publika adress, tack vare portnumren.

I exemplet kommer alla host i nätverket 192.168.0.0/16 (tillåtet enligt ACL 1) att översättas till 209.165.200.225 (adressen på gränssnittet Serial 0/1/1). NAT-tabellen kommer att använda portnummer för att skilja trafiken, eftersom overload är aktiverat.

R2(config)# ip nat inside source list 1 interface serial 0/1/1 overload
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# interface serial0/1/0
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface serial0/1/1
R2(config-if)# ip nat outside

Konfigurera PAT med en adress-pool

Om ISP tilldelar fler än en publik IPv4-adress, kan organisationen konfigurera PAT med en adresspool. En liten uppsättning publika adresser kan delas av många interna enheter – varje adress i poolen kan samtidigt användas av flera klienter tack vare PAT.

För att aktivera PAT för en adress-pool lägger du till nyckelordet overload även här. Den relevanta topologin återges i nästa figur.

I detta exempel:

  • En pool kallad NAT-POOL2 definieras med adresserna 209.165.200.226–209.165.200.240
  • ACL 1 tillåter översättning av adresser i 192.168.0.0/16
  • overload möjliggör att adresserna i poolen delas mellan flera interna värdar
R2(config)# ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.224
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# ip nat inside source list 1 pool NAT-POOL2 overload
R2(config)# interface serial0/1/0
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface serial0/1/1
R2(config-if)# ip nat outside
R2(config-if)# end
R2#

Analysera PAT – Från PC till server

Processen för PAT (NAT overload) är densamma oavsett om en pool med publika adresser används eller bara en enda. I detta exempel är PAT konfigurerat för att använda en enda publik IPv4-adress i stället för en adress-pool.

PC1 vill kommunicera med webbservern Svr1, medan PC2 samtidigt vill skapa en session med webbservern Svr2. Både PC1 och PC2 har privata IPv4-adresser, och R2 är konfigurerad med PAT.

Bild 18

Följande steg illustreras i figuren:

  1. PC1 och PC2 skickar paket till Svr1 respektive Svr2. PC1 har IPv4-adressen 192.168.10.10 och använder TCP source-port 1444. PC2 har adressen 192.168.10.11 och råkar också använda port 1444.
  2. Paketet från PC1 når R2 först. R2 översätter PC1:s privata adress till inside global address 209.165.200.225. Eftersom ingen annan enhet i NAT-tabellen använder port 1444, får denna översättning behålla samma port. Paketet vidarebefordras mot Svr1 på 209.165.201.1.
  3. Därefter anländer PC2:s paket till R2. Även detta översätts till samma publika adress: 209.165.200.225. Men eftersom port 1444 redan används av PC1 i NAT-tabellen, måste PAT tilldela en unik port. PAT inkrementerar portnumret och tilldelar i detta fall port 1445 till PC2:s session.

Analysera PAT – Från server till PC

Trots att PC1 och PC2 båda använder samma publika adress (209.165.200.225) och samma ursprungliga portnummer (1444), är varje post i NAT-tabellen unik tack vare att portnumret för PC2 modifierades till 1445. Detta tydliggörs när svarspaketen skickas från servrarna tillbaka till klienterna, som visas i figuren.

Följande steg sker i denna andra figur:

  1. Servrarna svarar på paketen de har mottagit. De använder den mottagna source-adressen som destinationsadress, och source-porten som destinations-port. Båda servrarna verkar kommunicera med 209.165.200.225, men använder olika portar.
  2. När svars paketet från Svr1 når R2. R2 söker i NAT-tabellen efter en post med destination 209.165.200.225:1444. En sådan post finns och pekar på PC1 (192.168.10.10). R2 byter ut destinationsadressen till 192.168.10.10 utan att ändra porten och skickar paketet vidare.
  3. När svars paketet från Svr2 anländer. R2 hittar en annan post för 209.165.200.225:1445, som pekar på PC2 (192.168.10.11). Destinations adressen ändras till 192.168.10.11, och porten modifieras tillbaka till den ursprungliga 1444, som lagrats i NAT-tabellen. Paketet skickas sedan vidare till PC2.

Verifiera PAT

Router R2 är konfigurerad för att tillhandahålla PAT (Port Address Translation) åt klienterna i nätverket 192.168.0.0/16. När interna värdar skickar trafik ut till internet via R2, översätts deras privata IPv4-adresser till en publik adress från PAT-poolen, kombinerat med ett unikt källportnummer.

Samma kommandon som används för att verifiera statisk och dynamisk NAT används även för att verifiera PAT. I följande exempel visas utdatan från kommandot show ip nat translations. Den visar två översättningar från olika klienter till olika webbservrar. Observera att båda klienterna tilldelats samma publika adress (209.165.200.225), men olika source-portar, vilket särskiljer översättningarna i NAT-tabellen.

R2# show ip nat translations
  Pro Inside global          Inside local         Outside local      Outside global
  tcp 209.165.200.225:1444  192.168.10.10:1444  209.165.201.1:80   209.165.201.1:80
  tcp 209.165.200.225:1445  192.168.11.10:1444  209.165.202.129:80 209.165.202.129:80
R2#

I nästa exempel används kommandot show ip nat statistics för att verifiera att NAT-POOL2 har allokerat en enda publik adress för båda översättningarna. Utdatan innehåller information om:

  • Antalet och typen av aktiva översättningar
  • NAT-konfigurationsparametrar
  • Antalet adresser i poolen
  • Hur många adresser som för närvarande är i bruk
R2# show ip nat statistics
Total active translations: 4 (0 static, 2 dynamic; 2 extended)
Peak translations: 2, occurred 00:31:43 ago
Outside interfaces:
  Serial0/1/1
Inside interfaces:
  Serial0/1/0
Hits: 4  Misses: 0
CEF Translated packets: 47, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 3] access-list 1 pool NAT-POOL2 refcount 2
  pool NAT-POOL2: netmask 255.255.255.224
      start 209.165.200.225 end 209.165.200.240
      type generic, total addresses 15, allocated 1 (6%), misses 0
(output omitted)