Порядок выполнения и сдачи работы. 1. Изучить теоретическую и практическую часть.
1. Изучить теоретическую и практическую часть.
2. Сдать преподавателю теорию работы путём ответа на контрольные вопросы.
3. Выполнить подряд три пункта практической части. Проверить доступ согласно таблице1, а затем таблице 2.
4. Показать преподавателю, что сеть удовлетворяет матрице доступа из таблицы 1.
5. Показать преподавателю, что сеть удовлетворяет матрице доступа из таблицы 2.
6. Выполните в Packet Tracer задание для самостоятельной работы.
7. Построить свою матрицу доступа согласно варианту и показать преподавателю, что сеть удовлетворяет этой матрице.
8. Оформите отчёт. Содержание отчёта смотри ниже.
9. Защитите отчёт.
Задание для самостоятельной работы
1. Применить список доступа 2, соданный в пункте 3 практической части, согласно варианту
Вариант | Маршрутизатор | Интерфейс | Вх/вых |
router 1 | E0 | вх | |
router 1 | S0 | вых | |
router 1 | E1 | вх | |
router 1 | E1 | вых | |
router 2 | E0 | вх | |
router 2 | E0 | вых | |
router 2 | S0 | вх | |
router 2 | S0 | вых | |
router 2 | E1 | вх | |
router 2 | E1 | вых |
2. Создать скриншот результата выполнения команд
router1#show access-list
и
router1#show running-config
3. Построить матрицу доступа.
4. Выполните три подпункта пункта 6 практической части для топологии на рисунке 4 и своего варианта vконфигурации, приведенной в таблице
Router1 | Router2 | |
Fa0/0 | 1.v.3.1/24 | 1.v.1.129/25 |
Fa0/1 | 1.v.1.1/25 | |
Serial0 | 1.v.2.1/24 | 1.v.2.2/24 |
Hostname | IP на ethernet | Шлюз |
PC1 | 1.v.3.2 255.255.255.0 | 1.v.3.1 |
PC2 | 1.v.1.130 255.255.255.128 | 1.v.1.129 |
PC3 | 1.v.1.131 255.255.255.128 | 1.v.1.129 |
PC4 | 1.v.1.2 255.255.255.128 | 1.v.1.1 |
PC5 | 1.v.1.3 255.255.255.128 | 1.v.1.1 |
Сделайте те же скриншоты, которые сделаны в пункте 6 практической части.
Содержание отчёта.
Отчёт готовится в электронном виде и распечатывается. Отчёт содержит
1. Скриншоты топологий, созданных при выполнении практической части.
2. Все скриншоты, созданные при выполнении практической части.
3. Конфигурации всех маршрутизаторов из .txt файлов конфигураций, созданных при выполнении практической части.
4. Конфигурацию маршрутизаторов из .txt файлов, созданную при выполнении пункта 1 задания для самостоятельной работы.
5. Матрицу доступа, указанные в пункте 3 задания для самостоятельной работы.
6. Конфигурацию маршрутизаторов из .txt файлов, созданную при выполнении пункта 4 задания для самостоятельной работы.
7. Все скриншоты, указанные в задании для самостоятельной работы.
Лабораторная работа №10. Преобразование сетевых адресов NAT
Теоретическая часть
Network address translation (NAT - перенос сетевых адресов) создан для упрощения и сокрытия IP адресации. NAT позволяет представить внешнему миру внутреннюю структуру IP адресации предприятия иначе, чем она на самом деле выглядит. Это разрешает организации соединяться с Интернетом, не имея внутри себя глобальной уникальной IP адресации. Это даёт возможность выхода в Интернет для корпоративных внутренних IP сетей с внутренними IP адресами (intranet), которые глобально неуникальны и поэтому не могут маршрутизироваться в Интернете. NAT применяется также для связи территориально распределённых подразделений организации через Интернет.
Мировым сообществом для Интранет адресации выделены следующие диапазоны адресов
Class A: 10.0.0.0-10.255.255.255
Class B: 172.16.0.0-172.16.255.255
Class C: 192.168.1-192.168.255.255
NAT переводит внутренний IP адрес из внутреннего адресного пространства в IP адрес во внешнем адресном пространстве. Когда NAT получает пакет из intranet, он изменяет в нём адрес источника, пересчитывает контрольную сумму и отправляет его в Интернет.
NAT преобразует и отображает адреса из одной области в другую. Это обеспечивает прозрачную маршрутизацию от узла к узлу. В NAT существует несколько способов трансляции адресов, используемых в различных частных случаях.
Cisco использует для NAT специфическую терминологию для узлов в intranet и интернет как до, так и после преобразования адресов:
Внутренний (inside) адрес. Адрес, используемый в организации. Разные организации могут иметь одинаковые внутренние адреса.
Внешний адрес (outside). Адрес, определённый где-либо вне данной организации. Внешний адрес иной организации может совпадать с внутренним адресом данной организации.
Глобальный адрес. Это зарегистрированный и законный адрес IP, который может проходить через Интернет.
Локальный адрес. Адрес IP, используемый внутренне в Intranet. Эти адреса не пересекают Интернет адреса и поэтому рассматриваются как локальные.
Внутренний локальный адрес (inside local). Адрес, используемый в организации, не пересекающие Интернет адреса.
Внутренний глобальный адрес (inside global). Адрес, используемый в организации, являющийся Интернет адресом.
Внешний локальный адрес (outside local). Адрес, определённый где-либо вне данной организации, не являющийся Интернет адресом.
Внешний глобальный адрес (outside global). Адрес, определённый где-либо вне данной организации, являющийся Интернет адресом.
Cимулятор всегда показывает, что Внешний локальный адрес ( Outside Local) всегда равен внешнему глобальному адресу (outside global).
При отправке пакетов от интерфейса внутреннего хоста NAT заменяет в нём адрес источника на некоторый глобальный адрес. При приёме ответного пакета NAT заменяет в нём глобальный адрес приёмника (адрес внешнего интерфейса локального маршрутизатора) на адрес интерфейса внутреннего хоста. Для такой замены маршрутизатор поддерживает специальные таблицы преобразований адресов, которые постоянно обновляются. Различают три способа преобразования адресов: статический, динамический и перегрузка (overload). При статическом NAT в явном виде с помощью команд IOS задаются пары внутренний_адрес - глобальный _адрес. При динамическом преобразовании глобальные адреса берутся из определённого пула внешних адресов. При перегрузке все внутренние адреса, подлежащие преобразованию, заменяются на единственный глобальный адрес внешнего интерфейса маршрутизатора.
Для конфигурирования NAT следует определить на маршрутизаторе внутренние и внешние сети с помощью команд ip nat inside | outside. Эти команда определяется на уровне интерфейсов, то есть в контексте команды interface. Дополнительные команды зависят от используемого типа NAT. Это либо задание статического NAT, либо определение пула внешних адресов либо задание команды для перегрузки. Как правило, следует также задать список управления доступом ACL для определения внутреннего трафика, который будет преобразовываться. Сам по себе ACL не осуществляет никакого NAT преобразования.
Остановимся дополнительно на перегрузке, которую, как правило называют PAT (Port Address Translation - преобразование адресов с помощью портов). PAT разрешает нескольким внутренним хостам использовать один глобальный адрес. Один из вариантов реализации PAT базируется на использовании последовательности свободных TCP и UDP портов и состоит в следующем.
Служба NAT находится на маршрутизаторе М с внутренним глобальным адресом X. Пусть имеется пакет П от внутреннего локального адреса Yi и порта Pi к внешнему адресу G и порту p. Пакет проходит через маршрутизаторМ. NAT заменяет в нём адрес Yi источника и порт источника Pi внутреннего хоста на уникальную пару X:Pinew, где Pinew – очередной свободный номер порта. Строка (Yi:Pi , X: Pinew, G:p) заносится в таблицу NAT маршрутизатора М. Ответный пакет в поле адрес приёмника будет содержать X, а в поле порт приёмника – Pinew. В поле адрес:порт источника будет G:p . Маршрутизатор М по значениям X, Pinew, G, p находит в своей NAT таблице строку (Yi:Pi , X: Pinew, G:p) и заменяет в пакете адрес приёмника X на Yi, а порт назначения Pinew на Pi. Ответный пакет придёт по нужному адресу Yi с нужным номером порта назначения Pi. Порт Pinew возвращается в список свободных портов.
Процесс NAT прозрачен для внутренних адресов. Так хост с внутренним адресом Yi, отправивший пакет во внешний мир и получивший ответ «не догадывается», что пакет прошел NAT преобразование на маршрутизаторе как при отправке так и при приёме. Внутреннему хосту представляется, что он имеет непосредственный выход во внешний мир.
Практическая часть.
1. Загрузите в симулятор топологию изображённую на рисунке.
Рисунок 10.1
Создайте конфигурацию
L1 | G1 | G2 | |
Ethern | 10.10.1.2 255.255.255.0 | 10.10.1.1 255.255.255.0 | |
Serial | 175.10.1.1 255.255.255.0 | 175.10.1.2 255.255.255.0 |
Задайте OSPF маршрутизацию на G1
G1(config)#router ospf 1
G1(config- router)#network 10.10.1.0 0.0.0.255 area 0
G1(config- router)#network 175.10.1.0 0.0.0.255 area 0
НаL1
L1 (config)#router ospf 1
L1 (config- router)#network 10.10.1.0 0.0.0.255 area 0
Для G2
G2 (config)#router ospf 1
G2(config- router)#network 175.10.1.0 0.0.0.255 area 0
На G2 разрешим вход по телнет с паролем G2
G2 (config)#line vty 0 4
G2 (config-line)#login
G2 (config-line)#password G2
Проверьте работоспособность сети с помощью команды ping. Проверьте Telnet-соединение из L1 (10.10.1.2) к G2
L1# telnet 175.10.1.2
Password:G2
G2>show users
Выйдите из телнета:ctrl+shift+6 затем x. Закройте сессии телнет с помощью команды disconnect на L1 и G2.
Необходимо настроить NAT/PAT на маршрутизаторе G1. Нужно настроить три формы перевода адресов: статистический перевод сетевых адресов, динамический перевод и перегрузка (перевод адресов портов). Предполагаем, что сеть Ethernet 10.10.1.0/24 это внутренняя сеть intranet, которая соединяется с внешним миром через G1, а именно через сеть 175.10.1.0/24 последовательного интерфейса.
1.1На маршрутизаторе G1 настроим NAT на статистический перевод внутреннего локального Ethernet-адреса маршрутизатора L1 10.10.1.2 в новый внутренний глобальный адрес 169.10.1.2, имеющийся у организации:
G1(config)#ip nat inside source static 10.10.1.2 169.10.1.2
Определим сеть fastEthernet0/0 интерфейса как внутреннюю
G1(config)#interface fa0/0
G1(config-if)# ip nat inside
Определим сеть serial2/0 интерфейса как внешнюю
G1(config-if)#interface s2/0
G1(config-if#ip nat outside
Для вывода таблицы переводов адресов введите команду на маршрутизаторе
G1#show ip nat translations
Проверьте перевод, создав Telnet-соединение из L1 к G2. Войдя по Telnet на G2 введите команду show users. Вы должны увидеть переведенный IP-адрес 169.10.1.2.
L1# telnet 175.10.1.2
Password:G2
G2> show users
Вместо 169.10.1.2 можно использовать и задействованный адрес интерфейса Serial2/0 G1
175.10.1.1
G1(config)#no ip nat inside source static 10.10.1.2 169.10.1.2
G1(config)#ip nat inside source static 10.10.1.2 175.10.1.1
L1# telnet 175.10.1.2
Password:G2
G2> show users
1.2.На маршрутизаторе G1 удалите предыдущую NAT-команду статистического перевода
G1(config)#no ip nat inside source static 10.10.1.2 175.10.1.1
и настройте NAT для динамического перевода Ethernet-адреса маршрутизатора L1. Используем область адресов в диапазоне: 169.10.1.50 - 169.10.1.100. Определим пул адресов pool1
G1(config)#ip nat pool pool1 169.10.1.50 169.10.1.100 netmask 255.255.255.0
Зададим NAT преобразование адресов из списка 1 в пул адресов pool1
G1(config)#ip nat inside source list 1 pool pool1
Настроим и проверим список доступа 1 для внутренних адресов, которые будут преобразовываться
G1(config)#access-list 1 permit 10.10.1.0 0.0.0.255
^Z
G1#Show access-list
Обязательно с помощью команды show running-config проверьте, что маршрутизатор G1 «подхватил» введённые команды. Среди вывода должно быть
Проверьте перевод, создав Telnet-соединение из L1 к маршрутизатору G2. Войдя по Telnet на G2 введите команду show users. Вы должны увидеть переведенный IP-адрес 169.10.1.50.
L1# telnet 175.10.1.2
Password:G2
G2> show users
То есть NAT взял из пула адресов первый свободный адрес 169.10.1.50.
Для вывода таблицы переводов адресов введите команду show ip nat translations на маршрутизаторе G1.
1.3На маршрутизаторе G1 удалите предыдущие NAT-команды динамического перевода и настройте перегрузку (перевод адресов портов) Ethernet-адреса маршрутизатора L1 (10.10.1.2) на адрес интерфейса serial2/0 (175.10.1.1) на маршрутизаторе G1.
G1(config)#no ip nat pool pool1 169.10.1.50 169.10.1.100 netmask 255.255.255.0
G1(config)#no nat inside source list 1 pool pool1
G1(config)#ip nat inside source list 1 interface s2/0 overload
Обязательно с помощью команды show running-config проверьте, что маршрутизатор G1 «подхватил» введённые команды. Среди вывода должно быть
Проверьте перевод, создав Telnet-соединение из L1 к маршрутизатору G2. Находясь на маршрутизаторе G2, введите команду show users. Вы должны увидеть переведенный IP-адрес 175.10.1.1.
L1# telnet 175.10.1.2
Password:G2
G2> show users
Выведите список NAT-переводов на маршрутизаторе G1.
G1#show ip nat translations
2. Создайте топологию. Модели маршрутизаторов L1, L2, G1 и G2 -805, а LG и G – 1605.
Рисунок 10.2
Сконфигурируем адреса согласно таблицы. Все маски 255.255.255.0
L1 | L2 | LG | G | G1 | G2 | |
Eth0 | 10.1.1.2 | 10.1.1.1 | 1.1.2.1 | 1.1.2.2 | ||
Eth1 | 10.1.2.2 | 10.1.2.1 | 1.1.3.1 | 1.1.3.2 | ||
serial | 1.1.1.1 | 1.1.1.2 |
Настроим маршрутизацию OSPF
LG(config)#router ospf 1
LG(config-router)#network 1.1.1.0 0.0.0.255 area 10
LG(config-router)#network 10.1.1.0 0.0.0.255 area 10
LG(config-router)#network 10.1.2.0 0.0.0.255 area 10
G(config)#router ospf 1
G(config-router)#network 1.1.1.0 0.0.0.255 area 10
G(config-router)#network 1.1.2.0 0.0.0.255 area 10
G(config-router)#network 1.1.3.0 0.0.0.255 area 10
L1(config)#router ospf 1
L1(config-router)#network 10.1.1.0 0.0.0.255 area 10
L2(config)#router ospf 1
L2(config-router)#network 10.1.2.0 0.0.0.255 area 10
G1(config)#router ospf 1
G1(config-router)#network 1.1.2.0 0.0.0.255 area 10
G2(config)#router ospf 1
G2(config-router)#network 1.1.3.0 0.0.0.255 area 10
и разрешим телнет на G1 и G2:
G1(config)#line vty 0 4
G1(config-line)#login
G1(config-line)#password G1
G2(config)#line vty 0 4
G2(config-line)#login
G2(config-line)#password G2
Проверьте функционирование: зайдите телнетом из L1 на G1, из L1 на G2, из L2 на G1, из L2 на G2.
Обязательно убейте все телнет сессии командой disconnect 1. Всего вам понадобится 8 команд. По две на каждое устройство: L1, L2, G1 и G2.
Проверьте отсутствие телнет соединений командой show session.
Объявите на роутере LG сети 10.1.1.0/24 и 10.1.2.0/24 как внутренние, а сеть 1.1.1.0/24 как внешнюю
LG(config)#interface s2/0
LG(config-if)#ip nat outside
LG(config-if)#interface fa0/0
LG(config-if)#ip nat inside
LG(config-if)#interface fa1/0
LG(config-if)#ip nat inside
Создадим список доступа для адресов двух внутренних Ethernetсетей
LG(config)#access-list 2 permit 10.1.0.0 0.0.255.255
И запустим PAT преобразование этих адресов на внутренний глобальный адрес 1.1.1.1 интерфейса Serial2/0
LG(config)#ip nat inside source list 2 interface s2/0 overload
Проверьте функционирование: зайдите телнетом из L1 на G1
L1# telnet 1.1.2.2
Password:G1
G1> show users
Выйдите из телнет сессии, нажав Ctrl-shift-6 затем x.
Зайдите телнетом из L1 на G2
L1# telnet 1.1.3.2
Password:G2
G2> show users
Выйдите из телнет сессии, нажав Ctrl-shift-6 затем x.
Перейдём на устройство L2. Зайдите телнетом из L2 на G1
L2# telnet 1.1.2.2
Password:G1
G1>sh us
Выйдите из телнет сессии, нажав Ctrl-shift-6 затем x.
Зайдите телнетом из L2 на G2
L2# telnet 1.1.2.2
Password:G2
G2>sh us
Мы видим и на G1 и на G2 по две телнет сессии. Все четыре сессии показаны как сессии от одного адреса - внутреннего глобального адреса 1.1.1.1 интерфейса Serial2/0.
Перейдём на LG. Посмотрим четыре трансляции адресов
LG#show ip nat tr
Порядок трансляций соответствует порядку ввода команд telnet
Первая порция трансляций соответствует команде
L1# telnet 1.1.2.2
Вторая порция трансляций соответствует команде
L1# telnet 1.1.3.2
Третяя порция трансляций соответствует команде
L2# telnet 1.1.2.2
Четвёртая порция трансляций соответствует команде
L2# telnet 1.1.3.2
Во всех случаях используется внутренний глобальный адрес 1.1.1.1 интерфейса Serial2/0.
Контрольные вопросы
1. Какие задачи решает NAT.
2. Как связана проблема нехватки IP адресов и NAT?
3. Какие вы знаете диапазоны для Интранет адресации?
4. Что такое внутренний адрес?
5. Что такое внешний адрес?
6. Что такое глобальный адрес?
7. Что такое локальный адрес?
8. Что такое внутренний локальный адрес?
9. Что такое внутренний глобальный адрес?
10. Что такое внешний глобальный адрес?
11. Что такое внешний локальный адрес?
12. Назовите три способа преобразования адресов.
13. Объясните как работает PAT.
14. Какая функциональность теряется у хоста с внутренним локальным адресом в сети, имеющей связь с внешним миром через NAT, по сравнению с хостом с глобальным адресом?