Baixe o app para aproveitar ainda mais
Prévia do material em texto
Redes de computadores CAMADA DE REDE - PARTE 05 - Universidade Federal de Mato Grosso Instituto de Computação Prof. Dr. Luís Cézar Darienzo Alves Network Address Translation – Motivação Escassez de endereços IP disponíveis Fusão ou aquisição de empresas Mudanças de provedor de internet (ISP) Gerenciamento de endereços IP RFC 1918 – Endereços privativos 10.0.0.0 a 10.255.255.255 (10/8) 172.16.0.0 a 172.31.255.255 (172.16/12) 192.168.0.0 a 192.168.255.255 (192.168/16) Segurança Endereço Interno Endereço Externo 10.0.0.3 179.9.8.80 Exemplos NAT 128.23.2.2 10.0.0.3 .... Data DA SA IP Header 128.23.2.2 179.9.8.80 .... Data DA SA IP Header1 2 Exemplo NAT 179.9.8.80 128.23.2.2 .... Data DA SA IP Header 10.0.0.3 128.23.2.2 .... Data DA SA IP Header Vantagens e desvantagens de NAT NAT conserva o esquema de endereçamento registrado legalmente, à medida que permite o uso de endereços privados nas intranets NAT reduz as instâncias em que esquemas de endereçamento se sobrepõem NAT aumenta a flexibilidade de conexão com a rede pública Desprivatização da rede requer a troca de todos os endereços da mesma NAT permite que o esquema atual permaneça e suporta a adição de novos endereços além dos privados Terminologia NAT Endereço Global Externo Endereço IP Local Interno Endereço IP Global Interno 10.1.1.2 171.70.2.3 10.1.1.1 171.70.2.2 Tipos de NAT NAT Estático “Um para um” NAT Dinâmico “Muitos para muitos” Sobrecarga (ou Overloading) “Muitos para um” Sobreposição (ou Overlapping) “Muitos para muitos” Usado em redes sobrepostas NAT Estático Tradução estática (um para um) ocorre quando um endereço é especificamente configurado numa tabela. Um Inside Local Address específico é mapeado para um Inside Global Address específico. Configurando NAT Estático Passo 1: Define o mapeamento estático Passo 2: Especifica a interface interna Passo 3: Especifica a interface externa Exemplo configuração NAT Estático NAT Dinâmico Associação dinâmica dos IPs privados a endereços públicos disponíveis de um conjunto definido Relação “muitos para muitos” Tabela NAT IP Local Interno IP Global Interno 10.1.1.0/24 200.143.190.1-254 Configurando NAT Dinâmico Passo 5: Especifica uma interface externa Passo 4: Especifica uma interface interna Passo 3: Configura NAT Dinâmico baseado no endereço de origem Passo 2: Cria uma ACL para identificar hosts para tradução Passo 1: Cria um pool de endereços globais Configurando NAT Dinâmico ISP Port Address Translation (PAT) Com PAT, vários endereços IP privados podem ser traduzidos para um único endereço público (“muitos para um”). Isto resolve a limitação do NAT Estático, que era “um para um”. Exemplo de PAT 202.6.3.2 10.0.0.3 80 1331 Data DA SA IP Header DP SP TCP/UDP Header 128.23.2.2 10.0.0.2 80 1555 Data DA SA IP Header DP SP TCP/UDP Header 202.6.3.2 179.9.8.80 80 3333 Data DA SA IP Header DP SP TCP/UDP Header 128.23.2.2 179.9.8.80 80 2222 Data DA SA IP Header DP SP TCP/UDP Header Tabela NAT/PAT manter a tradução de: DA, SA, SP Exemplo de PAT 179.9.8.80 202.6.3.2 3333 80 Data DA SA IP Header DP SP TCP/UDP Header 179.9.8.80 128.23.2.2 2222 80 Data DA SA IP Header DP SP TCP/UDP Header 10.0.0.3 202.6.3.2 1331 80 Data DA SA IP Header DP SP TCP/UDP Header 10.0.0.2 128.23.2.2 1555 80 Data DA SA IP Header DP SP TCP/UDP Header NAT/PAT table maintains translation of: SA (DA), DA (SA), DP (SP) Configurando PAT Neste exemplo, um único endereço IP público é utilizado, usando PAT e portas de origem para diferenciação entre os diversos fluxos de tráfego. 10.1.0.0 Configurando PAT Esse é um exemplo diferente, utilizando o endereço IP da interface exterior ao invés de especificar um endereço IP Distribuição de carga TCP Roteadores Cisco suportam distribuição de carga TCP como uma extensão ao mapeamento estático. Esta facilidade do NAT permite que um endereço global seja mapeado para múltiplos endereços internos, a fim de distribuir conversações entre múltiplos hosts. No exemplo, quando um host externo solicita serviços web em 171.70.2.10, o roteador NAT faz um rodízio entre dois servidores web internos em 10.1.1.6 e 10.1.1.7 Configurando distribuição de carga TCP Similar ao NAT, mas com type rotary. Estabelece tradução dinâmica para destinos internos identificados por uma lista de acesso. RTA(config)#ip nat pool webservers 171.70.2.3 171.70.2.4 netmask 255.255.255.0 type rotary RTA(config)#access-list 46 permit host 171.70.2.10 RTA(config)#ip nat inside destination list 46 pool webservers RTA(config)#interface e0 RTA(config-if)#ip nat inside RTA(config-if)#interface s0 RTA(config-if)#ip nat outside Configurando distribuição de carga TCP Redes sobrepostas (Overlapping Networks) Host A deseja estabelecer uma conexão com Host Z, mas não pode usar o endereço IP 10.1.1.6 Redes sobrepostas (Overlapping Networks) Redes sobrepostas (Overlapping Networks) Redes sobrepostas (Overlapping Networks) Configurando redes sobrepostas Verificando redes sobrepostas Três entradas são criadas, como verificamos em show ip nat translations depois do Host A ter enviado um pacote IP para Host Z. A primeira entrada foi criada quando o Host A enviou uma consulta DNS. A segunda entrada foi criada quando RTA traduziu o payload da resposta DNS. A terceira entrada foi criada quando o pacote foi trocado entre Host A e Host Z. Ela é um sumário das duas primeiras entradas. Verificando traduções NAT Resolução de problemas em traduções NAT O asterisco próximo da palavra NAT indica que a tradução está ocorrendo em fast path (caminho rápido) O primeiro pacote numa conversação sempre percorre o slow path (caminho lento), isto é, deve ser process-switched Limpando traduções NAT Uma vez que NAT é habilitado, nenhuma mudança pode ser feita no seu processo enquanto traduções dinâmicas estiverem ativas Use o comando clear ip nat translation * para limpar a tabela NAT Network Address Translation – Resumo Acessos à internet podem ser feitos em redes privadas sem que seus equipamentos utilizem endereços públicos Permite conectividade entre redes que usem a mesma faixa de endereços Elimina a necessidade de reendereçar os equipamentos quando há a mudança de provedor ou do esquema de endereçamento Melhora a privacidade na rede, uma vez que os endereços “reais” ficam escondidos Permite o balanceamento de carga no tráfego TCP Tradução de endereços Endereço IP Interno Local Endereço IP Interno Global 10.0.0.2 10.0.0.3 200.255.10.1 200.255.10.2 Tabela NAT 10.0.0.310.0.0.3 10.0.0.2 SA 10.0.0.2 SA 200.255.10.1 NAT Host B Internet/ Intranet Tradução dinâmica com overload (PAT) 10.0.0.2:1600 10.0.0.3:1810 200.255.10.1:1600 200.255.10.1:1810 Tabela NAT 10.0.0.310.0.0.3 10.0.0.2 SA 10.0.0.2 SA 200.255.10.1 NAT TCPTCP 164.10.20.1:25 139.82.1.1:20 Host B 164.10.20.1 Host C 139.82.1.1 Internet Endereço IP Interno Local:Port Endereço IP Interno Global:Port Protocolo Endereço IP Externo Global:Port DP 25 SP 1600 SA 10.0.0.3 SA 200.255.10.1 SP 1810 DA 164.10.20.1 SP 1600 DA 139.82.1.1 SP 1600 DP 20 Distribuição de carga TCP Requisições oriundas de redes externas para um serviço TCP muito utilizado podem ser distribuídas entre diversos servidores É definida uma lista de servidores que respondem por um único endereço externo A alocação é feita em round-robin (lista circular) Só são atendidas conexões iniciadas de redes externas Tráfego que não seja TCP não sofre tradução Distribuição de carga TCP Internet/ Intranet 10.0.0.310.0.0.3 10.0.0.2 NAT 10.0.0.4 10.0.0.2:25 10.0.0.3:25 10.0.0.4:25 10.0.0.10:25 10.0.0.10:25 10.0.0.10:25 Tabela NAT TCP TCP TCP 164.10.20.1:1450 139.82.1.1:1510 164.10.2.1:1920 Endereço IP Interno Local:Port Endereço IP Interno Global:Port Protocolo Endereço IP Externo Global:Port Host Virtual 10.0.0.10
Compartilhar