Skalovanie IP adries

Network Address Translation (NAT) pomáha riešiť nedostatok IP adresného priestoru, veľa privátnych adries
klientskych staníc prekladá na niekoľko verejných.
Port Address Translation (PAT) je podobný NAT, ale umožňuje preložiť veľa privátnych adries len na jednu
verejnú.
Dynamic Host Configuration Protocol (DHCP) bol navrhnutý na dynamické prideľovanie IP adries a iných
dôležitých sieťových konfiguračných informácií.
- Routre, servery a iné kľúčové zariadenia na sieti obyčajne vyžadujú statickú IP konfiguráciu
-  Klientske stanice nevyžadujú špecifickú adresu, ale jednu z rozsahu, zatiaľ čo iné hodnoty sú statické (SM,
Default Gateway, DNS server).
1.1.1.     Privátne adresovanie


Adresy pre privátne siete, použiteľné len pre vnútorné siete:

Class        RFC 1918 Internal Address Rango          CIDR Prefix

A

10,0.0.0-10,255.255,255

10.0.0 Ľ'S

B

172.16.0.0-172.31.255.255

172.16.0.0/12

C

192.168.0.0 -192.168.255.255

192.i6e.00ne

je nevyhnutný NAT.
1.1.2.     Úvod do NAT a PAT


Nie sú smerované cez internet. Nevyžadujú registráciu. Aby spoločnosti mohli zrealizovať prístup svojich klientov s privátnou adresou na internet,


NAT je určený na udržiavanie privátnych adries v privátnej sieti a ich preklad na smerované verejné adresy, čím
sa zvyšuje sieťová bezpečnosť ukrytím privátnych adries.


cisco

cisco

NAT pracuje na hranici netranzitnej siete. Netranzitná sieť má priame pripojenie na susednú sieť. Keď host v netranzitnej sieti chce komunikovať s hostom vonkajšej siete, pošle paket na router, ten ju preloží cez NAT na vonkajšiu smerovatelnú adresu.
NAT termíny:
Inside local address: IP adresy vo vnútornej siete, privátne IP
adresy
Inside global address: IP adresy pridelené poskytovateľom
služby, predstavujú jednu alebo niekoľko lokálnych adries vo
svete
Outside local address: IP adresa vonkajšieho hosta,
predstavuje hosta vnútornej siete
Outside global address: IP adresa pridelená hostovi vo
vonkajšej sieti, jedinečná v rámci internetu
1.1.3.     Vlastnosti NAT a PAT
NAT:
statický, jednoduché mapovanie lokálnych a globálnych adries. Vhodné pri hostoch, kde musí byť rovnaká adresa, kvôli prístupu z internetu, ako podnikové servery a sieťové zariadenia dynamický, dynamické mapovanie privátnych adries na verejné adresy. Hocijaká adresa z rozsahu verejných IP adries je pridelená hostovi.


1


cisco

Port Address Translation (PAT): viacnásobné mapovanie privátnych IP adries na jednu verejnú IP adresu. Rozlišuje sa podľa čísla portu, je 16 bitový. Teoretický počet interných adries, ktoré môžu byť preložené na vonkajšie je 65535, prakticky je to okolo 4000.


Výhody NAT:

  1. eliminuje nutnosť prideľovania novej adresy každému hostovi pri zmene ISP.
  2. šetrí adresy, z PAT vnútorný hosti môžu zdieľať jedny verejnú IP adresu.
  3. zvyšuje sieťovú bezpečnosť, nie sú zverejnené vnútorné IP adresy

1.1.4.     Konfigurovanie NAT a PAT


ciscoStatický preklad:
-      zabezpečiť statický preklad
medzi vnútornou lokálnou
adresou a vnútornou globálnou
adresou
onfíqj itlp n&t   insids  ssuíca  státie global-ip
-      špecifikovať vnútorné
rozhranie
conf iq) Itintarfaca   tiyps nuniber
-      označiť rozhranie za vnútorné
-       špecifikovať vonkajšie
:onfig-ifj#ip nat  insida
rozhranie conf ig-if} # in terfs.ee   type number
-      označiť rozhranie za vonkaj šie
Router(config-ifj4ip nat outsid*
Dynamický preklad:

  1. ip nat pool name start IP end IP netmask net mask - zadefinujem rozsah globálnych adries
  2. do access listu zadáme adresy, ktoré budú prekladané

Rr?uLer (cr?nfig; ťicoesa-liet 1 permit 10.0,0.0  0.0-255-255
zavedenie dynamického prekladu na základe access listu a rozsahu globálnych adries
RouLer{cor.fiq) #ip n&t inside semtce  List 1 pool n&t-pool


cisco

Preklad zdrojových adries podľa AL1 v rozsahu 10.1.0.0/24 na adresy z rozsahu 179.9.8.80/24 - 179.9.8.95/24 10.1.1.2 – pre túto adresu nebude povolený preklad, nie je v AL.


2


Overloading – PAT


cisco

špecifikujeme vnútorné a vonkajšie rozhranie vytvoríme dynamický preklad zdrojových adries špecifikovaný AL


1.1.5.      Overovanie PAT konfigurácie
Príkazy pre overovanie: clear a show
clear ip nat translation – zmaže všetky záznamy z NAT translation tabuľky, umožní zmenu konfigurácie NAT
show ip nat translation – zobrazí aktívny preklad
show ip nat statistics – zobrazí prekladovú štatistiku
1.1.6.      Riešenie problémov v NAT a PAT konfigurácii


Kroky pre určenie správnej funkčnosti NAT:

  1. v závislosti na konfigurácii, jasne definujme, či sa NAT uskutoční
  2. overiť, či je správny preklad podľa záznamov v tabuľke prekladov
  3. pomocou príkazov show a debug overiť, či nastáva preklad

-        overiť, či router má správne smerovacie informácie, na presun paketu
debug ip nat – zobrazenie informácií o všetkých paketoch, ktoré sú prekladané routrom
debug ip nat detailed - generuje výpis každého prekladaného paketu , generuje tiež všetky chyby a výnimky


cisco

V prvých 2 riadkoch je DNS požiadavka a odpoveď. V ostatných riadkoch je telnetové pripojenie hosta z vnútornej siete na hosta vo vonkajšej sieti Popis debug:

  1. * za NAT indikuje, že preklad nastal v rýchlej prepínanej časti. 1 paket vždy ide cez pomalú cestu, je postupne prepínaný. Ostatné pakety idú cez rýchlu cestu ak existujú záznamy v CACHE
  2. s= a.b.c.d je zdrojová adresa
  3. zdrojová adresa je preložená na w.x.y.z.
  4. d=e.f.g.h je cieľová adresa
  5. hodnota v [] je IP identifikačné číslo

3


1.1.7.     Otázky s NAT
Výhody NAT:

  1. NAT šetrí registrované IP adresy privatizáciou intranetu
  2. zvyšuje flexibilitu pri pripojení na verejné siete

-        vnútorná adresná schéma je stála, pri zmene verejnej IP nie je potrebné prečíslovanie hostov
Nevýhody:

  1. pri použití NAT nebudú pracovať niektoré protokoly alebo aplikácie, sú skryté end to end adresy, niekedy sa dá tento problém vyriešiť statickým mapovaním
  2. NAT zvyšuje oneskorenie

-        zaťaženie procesora, zariadenie kontroluje každú hlavičku paketu a rozhoduje, či bude prekladaný
Cisco IOS umožňuje nasledujúce typy komunikácie: Cisco IOS nepodporuje nasledovnú komunikáciu:

  1. ICMP                                                              -     aktualizácie smerovacích tabuliek
  2. File Transfer Protocol (FTP)                                 -     prenos DNS oblasti
  3. NetBIOS cez TCP/IP                                           -     BOOTP
  4. RealNetworks' RealAudio                                    -     protokoly talk a ntalk
  5. Xing Technologies' StreamWorks                         -     Simple Network Management Protocol (SNMP)
  6. DNS "A" a "PTR" požiadavky
  7. H.323/Microsoft NetMeeting, IOS verzia 12.0(1)/12.0(1)T a neskoršia
  8. VDOnet's VDOLive, IOS verzia 11.3(4)11.3(4)T a neskoršia
  9. VXtreme's Web Theater, IOS verzia 11.3(4)11.3(4)T a neskoršia
  10. IP Multicast, IOS verzia 12.0(1)T len preklad zdrojových adries

1.2.1. Úvod do DHCP
Dynamic Host Configuration Protocol (DHCP) pracuje v móde klient – server podľa RFC 2131. DHCP Klient
získa IP konfiguráciu z DHCP servera, čím sa ušetrí práca pri konfigurovaní klientov.
DHCP klienta obsahuje veľa rôznych OS: Windows operating systems, Novell Netware, Sun Solaris,
Linux a MAC OS


cisco

Klient požaduje adresné hodnoty od DHCP servera. Server odpovie klientovi podľa konfigurácie a podľa prideleného adresného priestoru, prenajatie adresy je vymedzený na určitú periódu, po jej vypršaní klient musí požiadať o novú adresu. DHCP nie je určené: routre, prepínače, servery – vyžaduje sa statická konfigurácia
DHCP umožňuje poskytnutie ďalších informácií, ako adresu WINS servera, doménové meno, rezervovanie určitej adresy na základe MAC adresy.
DHCP využíva na komunikáciu transportný protokol, klienti posielajú požiadavky na porte 67 a server posiela správy na porte 68.
1.2.2. Rozdiely medzi BOOTP a DHCP
BOOTP bol vyvinutý v roku 1985, je definovaný RFC 951. Bol predchodca DHCP a tiež používal porty 67 a 68. Základné IP parametre:

  1. IP adresa
  2. adresa východzej brány
  3. maska siete
  4. adresa DNS servera

BOOTP nepodporoval dynamické prideľovanie adries, na BOOTP servery boli predom nadefinované IP adresy a k nim MAC adresy, na základe tejto väzby bola klientovi pridelená IP, vždy mal tú istú IP adresu.
4


Rozdiely medzi BOOTP a DHCP:

  1. pri DHCP je pridelenie adresy na určité obdobie, po ktorom musí požiadať o novú adresu, klient si môže prenajať adresu
  2. DHCP poskytuje klientovi aj iné informácie ako WINS a doménové meno

1.2.3. Hlavné výhody DHCP
Mechanizmy na prideľovanie IP adries:

  1. automatické pridelenie, DHCP prideľuje trvalú IP adresu
  2. manuálne pridelenie, IP adresa pre klienta je pridelená administrátorom, DHCP pridelí IP klientovi

-        dynamické pridelenie, automatické pridelenie na určité obdobie
Niektoré konfiguračné parametre podľa IETF RFC 1533:

  1. sieťová maska
  2. Router
  3. meno domény
  4. Domain Name Server

-        WINS Server
Na sieti môže byť viac DHCP serverov, klient si môže vybrať len jeden.
1.2.4. Fungovanie DHCP
Postup konfigurácie klienta:

  1. klient musí mať nakonfigurovaný DHCP pri spustení siete. Klient posiela požiadavku na server o IP konfiguráciu cez broadcast nazývaný DHCPDISCOVER. Niekedy môže klient navrhnúť IP, napr. pri požiadavke na predĺženie prenájmu.
  2. pri príjme požiadavky serverom sa určuje, či je možné spracovať túto žiadosť podľa jeho databázy. Ak nemôže, môže presmerovať požiadavku na iný server. Ak môže, pridelí klientovi konfiguračné informácie cez unicast DHCPOFFER. V informácii je navrhnutá IP adresa, adresa DNS servera a čas prenájmu.
  3. pri príjme ponuky klient posiela broadcast DHCPREQUEST, aby aj ostatné servery vedeli o akceptovanej ponuke.
  4. server, ktorý prijal DHCPREQUEST, potvrdí konfiguráciu cez unicast DHCPACK. Toto potvrdenie oprávňuje klienta používať pridelenú IP adresu.
  5. ak klient zdeteguje, že adresa je už používaná, pošle DHCPDECLINE a proces začne od znova. Ak klient prijme DHCPNACK od serveru po poslaní DHCPREQUEST, proces sa naštartuje od znova.

-     ak klient nepotrebuje IP, pošle na server DHCPRELEASE
Cisco IOS DHCP server vždy pred pridelením IP adresy klientovi kontroluje, či adresa už nie je používaná. Bude posielať ICMP echo požiadavku alebo ping, pred poslaním DHCPOFFER.
cisco


5

1.2.5. Konfigurovanie DHCP
ip dhcp pool – vytvára blok so špecifickým menom a prepína router do DHCP konfiguračného módu. network IP rozsah SN – zadáva sa v DHCP konfiguračnom móde, definuje rozsah adries ip dhcp excluded-address IP – rezervuje individuálnu adresu alebo rozsah adries pre klienta default-router IP – nastavuje východziu bránu dns-server IP– adresa DNS servera netbios-name-server IP - WINS server


cisco

domain-name – špecifikuje doménové meno pre klienta lease – doba prenájmu, default je jeden deň


1.2.6. Overovanie funkčnosti DHCP


show ip dhcp binding – zobrazí všetky pridelené adresy DHCP serverom show ip dhcp server statistics – zobrazí množstvo poslaných a prijatých správ
1.2.7. Riešenie problémov DHCP
debug ip dhcp server events – príkaz bude zobrazovať periodické kontroly servera, či niektoré prenajatie nevypršalo.
1.2.8. Zmena DHCP
DHCP klient využíva broadcast na nájdenie DHCP servera, ak sa server nachádza za routrom, server nebude nájdený, pretože router neprepúšťa broadcast. Broadcast sa taktiež využíva pri hľadaní TFTP a TACACS (security server) servera. Riešením je umiestniť DHCP server na všetky podsiete alebo využiť Cisco IOS helper address feature. Druhá je praktickejšia.
ip helper-address – spustí prenos broadcastových požiadaviek pre kľúčové UDP služby podporované UDP služby pri ip helper-address:

  1. Time                                         -     BOOTP/DHCP Server                   -     NetBIOS Name Service
  2. TACACS                                   -     BOOTP/DHCP Client                   -     NetBIOS datagram
  3. DNS                                          -     TFTP                                                Service

cisco

Pri vyslaní DHCPDISCOVER broadcastového paketu klientom a nakonfigurovanej helper-address na routri je paket východzou bránou na špecifickú adresu. Pred presunom paketu router vyplní GIADDR pole IP adresou routra pre tento segment. Táto adresa potom bude východzou bránou pre DHCP klienta.