Camada de Redes - Parte 05

Prévia do material em texto

Redes de computadores
CAMADA DE REDE
- PARTE 05 -
Universidade Federal de Mato Grosso
Instituto de Computação
Prof. Dr. Luís Cézar Darienzo Alves
Network Address Translation – Motivação
 Escassez de endereços IP disponíveis
 Fusão ou aquisição de empresas
 Mudanças de provedor de internet (ISP)
 Gerenciamento de endereços IP
 RFC 1918 – Endereços privativos
 10.0.0.0 a 10.255.255.255 (10/8)
 172.16.0.0 a 172.31.255.255 (172.16/12)
 192.168.0.0 a 192.168.255.255 (192.168/16) 
 Segurança
Endereço 
Interno
Endereço 
Externo
10.0.0.3 179.9.8.80
Exemplos NAT
128.23.2.2 10.0.0.3 .... Data
DA SA
IP Header
128.23.2.2 179.9.8.80 .... Data
DA SA
IP Header1 2
Exemplo NAT
179.9.8.80 128.23.2.2 .... Data
DA SA
IP Header
10.0.0.3 128.23.2.2 .... Data
DA SA
IP Header
Vantagens e desvantagens de NAT
 NAT conserva o esquema de endereçamento registrado 
legalmente, à medida que permite o uso de endereços 
privados nas intranets
 NAT reduz as instâncias em que esquemas de endereçamento 
se sobrepõem
 NAT aumenta a flexibilidade de conexão com a rede pública
 Desprivatização da rede requer a troca de todos os endereços 
da mesma 
 NAT permite que o esquema atual permaneça e suporta a 
adição de novos endereços além dos privados
Terminologia NAT
Endereço Global Externo
Endereço IP Local 
Interno
Endereço IP Global 
Interno
10.1.1.2 171.70.2.3
10.1.1.1 171.70.2.2
Tipos de NAT
 NAT Estático
 “Um para um”
 NAT Dinâmico
 “Muitos para muitos”
 Sobrecarga (ou Overloading)
 “Muitos para um”
 Sobreposição (ou Overlapping)
 “Muitos para muitos”
 Usado em redes sobrepostas
NAT Estático
 Tradução estática (um para um) ocorre quando um 
endereço é especificamente configurado numa tabela. 
 Um Inside Local Address específico é mapeado para um 
Inside Global Address específico.
Configurando NAT Estático
Passo 1: Define o mapeamento estático
Passo 2: Especifica a interface interna
Passo 3: Especifica a interface externa
Exemplo configuração NAT Estático
NAT Dinâmico
 Associação dinâmica dos IPs privados a endereços públicos 
disponíveis de um conjunto definido
 Relação “muitos para muitos”
Tabela NAT
IP Local Interno IP Global Interno
10.1.1.0/24 200.143.190.1-254
Configurando NAT Dinâmico
Passo 5: Especifica uma interface externa
Passo 4: Especifica uma interface interna
Passo 3: Configura NAT Dinâmico baseado no endereço de origem
Passo 2: Cria uma ACL para identificar hosts para tradução
Passo 1: Cria um pool de endereços globais
Configurando NAT Dinâmico
ISP
Port Address Translation (PAT)
 Com PAT, vários endereços IP privados podem ser 
traduzidos para um único endereço público (“muitos 
para um”).
 Isto resolve a limitação do NAT Estático, que era “um para 
um”.
Exemplo de PAT
202.6.3.2 10.0.0.3 80 1331 Data
DA SA
IP Header
DP SP
TCP/UDP
Header
128.23.2.2 10.0.0.2 80 1555 Data
DA SA
IP Header
DP SP
TCP/UDP
Header
202.6.3.2 179.9.8.80 80 3333 Data
DA SA
IP Header
DP SP
TCP/UDP
Header
128.23.2.2 179.9.8.80 80 2222 Data
DA SA
IP Header
DP SP
TCP/UDP
Header
Tabela NAT/PAT 
manter a tradução de: 
DA, SA, SP
Exemplo de PAT
179.9.8.80 202.6.3.2 3333 80 Data
DA SA
IP Header
DP SP
TCP/UDP
Header
179.9.8.80 128.23.2.2 2222 80 Data
DA SA
IP Header
DP SP
TCP/UDP
Header
10.0.0.3 202.6.3.2 1331 80 Data
DA SA
IP Header
DP SP
TCP/UDP
Header
10.0.0.2 128.23.2.2 1555 80 Data
DA SA
IP Header
DP SP
TCP/UDP
Header
NAT/PAT table maintains 
translation of: 
SA (DA), DA (SA), DP (SP)
Configurando PAT
 Neste exemplo, um único endereço IP público é utilizado, 
usando PAT e portas de origem para diferenciação entre os 
diversos fluxos de tráfego.
10.1.0.0
Configurando PAT
Esse é um exemplo 
diferente, utilizando o 
endereço IP da 
interface exterior ao 
invés de especificar um 
endereço IP
Distribuição de carga TCP
 Roteadores Cisco suportam 
distribuição de carga TCP como 
uma extensão ao mapeamento 
estático. 
 Esta facilidade do NAT permite 
que um endereço global seja 
mapeado para múltiplos 
endereços internos, a fim de 
distribuir conversações 
entre múltiplos hosts. 
No exemplo, quando um host externo solicita serviços 
web em 171.70.2.10, o roteador NAT faz um rodízio entre 
dois servidores web internos em 10.1.1.6 e 10.1.1.7
Configurando distribuição de carga TCP
 Similar ao NAT, mas com type rotary.
 Estabelece tradução dinâmica para destinos internos 
identificados por uma lista de acesso.
RTA(config)#ip nat pool webservers 171.70.2.3 171.70.2.4 netmask 
255.255.255.0 type rotary
RTA(config)#access-list 46 permit host 171.70.2.10
RTA(config)#ip nat inside destination list 46 pool webservers
RTA(config)#interface e0
RTA(config-if)#ip nat inside
RTA(config-if)#interface s0
RTA(config-if)#ip nat outside
Configurando distribuição de carga TCP
Redes sobrepostas (Overlapping Networks) 
Host A deseja estabelecer uma conexão com Host Z, mas 
não pode usar o endereço IP 10.1.1.6
Redes sobrepostas (Overlapping Networks)
Redes sobrepostas (Overlapping Networks) 
Redes sobrepostas (Overlapping Networks) 
Configurando redes sobrepostas
Verificando redes sobrepostas
 Três entradas são criadas, como verificamos em show ip nat 
translations depois do Host A ter enviado um pacote IP para Host Z. 
 A primeira entrada foi criada quando o Host A enviou uma consulta 
DNS. 
 A segunda entrada foi criada quando RTA traduziu o payload da 
resposta DNS. 
 A terceira entrada foi criada quando o pacote foi trocado entre 
Host A e Host Z. Ela é um sumário das duas primeiras entradas.
Verificando traduções NAT 
Resolução de problemas em traduções NAT
 O asterisco próximo da palavra NAT indica que a tradução está 
ocorrendo em fast path (caminho rápido) 
 O primeiro pacote numa conversação sempre percorre o slow path
(caminho lento), isto é, deve ser process-switched
Limpando traduções NAT
 Uma vez que NAT é habilitado, nenhuma mudança pode ser feita 
no seu processo enquanto traduções dinâmicas estiverem ativas
 Use o comando clear ip nat translation * para limpar a tabela NAT
Network Address Translation – Resumo
 Acessos à internet podem ser feitos em redes privadas sem 
que seus equipamentos utilizem endereços públicos
 Permite conectividade entre redes que usem a mesma faixa 
de endereços
 Elimina a necessidade de reendereçar os equipamentos 
quando há a mudança de provedor ou do esquema de 
endereçamento
 Melhora a privacidade na rede, uma vez que os endereços 
“reais” ficam escondidos
 Permite o balanceamento de carga no tráfego TCP
Tradução de endereços
Endereço IP
Interno Local
Endereço IP
Interno Global
10.0.0.2
10.0.0.3
200.255.10.1
200.255.10.2
Tabela NAT
10.0.0.310.0.0.3
10.0.0.2
SA
10.0.0.2
SA
200.255.10.1
NAT
Host B
Internet/
Intranet
Tradução dinâmica com overload (PAT)
10.0.0.2:1600
10.0.0.3:1810
200.255.10.1:1600
200.255.10.1:1810
Tabela NAT
10.0.0.310.0.0.3
10.0.0.2
SA
10.0.0.2
SA
200.255.10.1
NAT
TCPTCP
164.10.20.1:25
139.82.1.1:20
Host B
164.10.20.1
Host C
139.82.1.1
Internet
Endereço IP
Interno Local:Port
Endereço IP
Interno Global:Port
Protocolo
Endereço IP
Externo Global:Port
DP
25
SP
1600
SA
10.0.0.3
SA
200.255.10.1
SP
1810
DA
164.10.20.1
SP
1600
DA
139.82.1.1
SP
1600
DP
20
Distribuição de carga TCP 
 Requisições oriundas de redes externas para um serviço TCP 
muito utilizado podem ser distribuídas entre diversos 
servidores
 É definida uma lista de servidores que respondem por um 
único endereço externo
 A alocação é feita em round-robin (lista circular)
 Só são atendidas conexões iniciadas de redes externas
 Tráfego que não seja TCP não sofre tradução
Distribuição de carga TCP
Internet/
Intranet
10.0.0.310.0.0.3
10.0.0.2 NAT
10.0.0.4
10.0.0.2:25
10.0.0.3:25
10.0.0.4:25
10.0.0.10:25
10.0.0.10:25
10.0.0.10:25
Tabela NAT
TCP
TCP
TCP
164.10.20.1:1450
139.82.1.1:1510
164.10.2.1:1920
Endereço IP
Interno Local:Port
Endereço IP
Interno Global:Port
Protocolo
Endereço IP
Externo Global:Port
Host
Virtual
10.0.0.10