Адресация в корпоративной сети

Внедрение коммутаторов позволяет уменьшить число коллизий в локальной сети. Однако при использовании полностью коммутируемой сети часто создается единый домен широковещательной рассылки. В едином домене широковещательной рассылки (плоской сети) все устройства расположены в одной и той же сети и получают все рассылки. В небольших сетях использование единого домена широковещательной рассылки приемлемо.
При использовании большого числа узлов плоская сеть становится менее эффективной. По мере увеличения числа узлов в коммутируемой сети увеличивается число передаваемых и получаемых широковещательных рассылок. Пакеты широковещательных рассылок занимают большую часть полосы пропускания, что приводит к задержкам при передаче трафика и тайм-аутам.
Одно из решений проблем больших плоских сетей - создание сетей VLAN. Сеть VLAN является собственным доменом широковещательной рассылки.

Другое решение - реализация иерархической сети с использованием маршрутизаторов.
Большие корпоративные сети выигрывают от внедрения модели иерархической сети и соответствующей структуры адресов. Структура иерархической адресации логически делит сети на менее крупные подсети.
Эффективная схема иерархической адресации состоит из адреса классовой сети на центральном уровне, который подразделяется на менее крупные подсети на уровнях распределения и доступа.
Можно использовать иерархическую сеть без использования иерархической адресации. Хотя сеть продолжает функционировать, эффективность конструкции сети снижается, а определенные функции протокола маршрутизации (например, суммирование маршрутов) работают некорректно.
В корпоративной сети, охватывающей множество географически разбросанных подразделений, модель и структура адресов иерархической сети упрощает управление сетью и устранение неисправностей, а также повышает масштабируемость и эффективность маршрутизации.

Существует много причин разделить сеть на подсети, включая:

• физическое местоположение;
• логическую группировку;
• безопасность;
• требования приложений;
• ограничение широковещательной рассылки;
• модель иерархической сети.

Например, если в организации используется сеть 10.0.0.0 для всего предприятия, можно использовать схему адресации 10.X.Y.0, где X соответствует географическому местоположению, а Y - зданию или этажу в этом месте. Эта схема адресации позволяет использовать:

• 255 разных географических местоположений;
• 255 зданий в каждом местоположении;
• 254 узла в каждом здании.

создания иерархической модели, необходимо четко понимать структуру маски подсети.
Маска подсети указывает, находятся ли узлы в одной и той же сети. Маска подсети - это 32-битное значение для различения битов сети и битов узлов. Она состоит из строки единиц, за которой следует строка нулей. Единицы соответствуют сети, а нули - узлу.

1. В адресах класса А используется маска подсети по умолчанию вида 255.0.0.0 или запись с косой чертой вида /8.
2. В адресах класса B используется маска по умолчанию вида 255.255.0.0 или /16.
3. В адресах класса С используется маска по умолчанию вида 255.255.255.0 или /24.

Запись /x означает число битов в маске подсети, составляющую сетевую часть адреса.

В корпоративной сети маски подсети различаются длиной. Сегменты сети ЛВС часто содержат разное число узлов, следовательно, неэффективно использовать маску подсети одной и той же длины для всех создаваемых подсетей.
Для обмена данными между узлами IP-адрес и маска подсети узла-отправителя сравнивается с IP-адресом и маской подсети узла назначения. Это позволяет определить, находятся ли два адреса в одной и той же локальной сети.

Маска подсети - это 32-битное значение для различения битов сети и битов узла в IP-адресе. Маска подсети состоит из строки единиц, за которой следует строка нулей. Единицы указывают число сетевых битов, а нули - число битов узла в IP-адресе. Сравниваются сетевые биты адреса отправителя и адреса назначения. Если оказывается, что они находятся в одной и той же сети, то пакет можно доставить локально. Если они не совпадают, то пакет направляется на шлюз по умолчанию.

Например, предположим, что необходимо передать сообщения с узла Н1, имеющего IP-адрес 192.168.1.44 и маску подсети 255.255.255.0 или /24, на узел Н2, имеющий IP-адрес 192.168.1.66 и маску подсети 255.255.255.0. В этом случае оба узла используют маску подсети по умолчанию, равную 255.255.255.0, что означает, что сетевые биты заканчиваются на границе третьего октета. На обоих узлах используются одинаковые сетевые биты 192.168.1, следовательно, они находятся в одной и той же сети.

Хотя достаточно легко определить сетевую и узловую части IP-адреса, когда маска подсети заканчивается на границе сети, процесс определения сетевых битов выполняется точно так же, даже если сетевая часть составляет не целый октет. Например, IP-адрес узла Н1 - 192.168.13.21 с маской подсети 255.255.255.248, или /29. Это означает, что из 32 битов 29 образуют сетевую часть адреса. Сетевые биты содержатся в первых трех октетах и части четвертого октета. В этом случае значение идентификатора сети - 192.168.13.16.
Чтобы узел Н1 с IP-адресом 192.168.13.21/29 мог обмениваться данными с другим узлом, Н2, с адресом 192.168.13.25/29, необходимо сравнивать сетевую часть адреса этих двух узлов, чтобы определить, находятся ли они в одной и той же локальной сети. В этом случае сетевое значение узла Н1 составляет 192.168.13.16, а сетевое значение узла Н2 - 192.168.13.24. Узлы Н1 и Н2 расположены в разных сетях, и для обмена данными между ними необходимо использовать маршрутизатор.
Используя схему иерархической адресации, можно многое узнать, глядя на IP-адрес и запись маски подсети косой чертой (/х). Например, IP-адрес 192.168.1.75 /26 содержит следующие сведения:

Десятичная маска подсети

• Обозначение /26 означает маску подсети 255.255.255.192.

Число создаваемых подсетей

• Предположим, что мы начали с маски подсети по умолчанию /24, то тогда 2
  дополнительных бита узла заимствованы для сети. Это позволяет создать 4 подсети (2^2 = 4).

Число узлов, пригодных для использования в каждой подсети

• Шесть битов оставлены для узла, что дает 62 узла в каждой подсети (2^6 = 64 - 2 = 62).

Сетевой адрес

• Используя маску подсети для определения размещения сетевых битов, можно получить значение сетевого адреса. В этом примере это значение равно 192.168.1.64.

Первый применимый адрес узла

• Среди битов узла не могут содержаться все нули, поскольку они соответствуют сетевому адресу подсети. Следовательно, первым применимым адресом узла в подсети . 64 будет .65.

Широковещательный адрес

• Среди битов узла не могут содержаться все единицы, поскольку они соответствуют широковещательному адресу подсети. В этом случае в качестве адреса широковещательной рассылки используется .127. Сетевой адрес следующей подсети начинается с .128.

Базового разбиения на подсети достаточно для небольших сетей, но оно не обеспечивает гибкости, необходимой для крупных корпоративных сетей.

Маски подсети переменной длины (VLSM) обеспечивают эффективное использование адресного пространства. Они также позволяют использовать иерархическую IP-адресацию, за счет которой маршрутизаторы могут эффективно применять суммирование маршрутов. Суммирование маршрутов снижает размер таблиц маршрутизации в распределительных и основных маршрутизаторах. При уменьшении размера таблиц маршрутизации ЦПУ требуется меньше времени для поиска маршрутов.

VLSM - это концепция, используемая при разделении подсети на подсети. Они были изначально разработаны для повышения эффективности адресации. С внедрением частной адресации основное преимущество VLSM в настоящее время - организация и объединение.

VLSM поддерживается не всеми протоколами маршрутизации. Классовые протоколы маршрутизации (например, RIPv1) не включают поле маски подсети на обновление маршрутизации. Если маска подсети назначена интерфейсу маршрутизатора, он считает, что всем пакетам одного класса назначена одна и та же маска подсети.
Бесклассовые протоколы маршрутизации поддерживают использование VLSM, поскольку маска подсети передается со всеми пакетами с обновлением маршрутизации. К бесклассовым протоколам маршрутизации относятся RIPv2, EIGRP и OSPF.

Преимущества VLSM:

• позволяет эффективно использовать адресное пространство;
• позволяет использовать маски подсети разной длины;
• разбивает блок адресов на менее крупные блоки;
• позволяет суммировать маршруты;
• обеспечивает большую гибкость при конструировании сети;
• поддерживает иерархические корпоративные сети.

VLSM позволяет использовать для каждой подсети свою маску. После разделения сетевого адреса на подсети при дальнейшем дроблении этих подсетей создаются под-подсети.

Например, сеть 10.0.0.0/8 с маской подсети /16 делится на 256 подсетей, каждая из которых может поддерживать 16 382 узла.
10.0.0.0/16 10.1.0.0/16
10.2.0.0/16 до 10.255.0.0/16

Применив маску подсети /24 к любой из этих подсетей /16 (например, 10.1.0.0/16), можно получить разбиение на 256 подсетей. В каждой из этих новых подсетей можно поддерживать 254 узла.
10.1.1.0/24 10.1.2.0/24
10.1.3.0/24 до 10.1.255.0/24

Применив маску подсети /28 к любой из этих подсетей /24 (например, 10.1.3.0/28), можно получить разбиение на 16 подсетей. В каждой из этих новых подсетей можно поддерживать 14 узлов.
10.1.3.0/28 10.1.3.16/28
10.1.3.32/28 до 10.1.3.240/28

Конструирование схемы IP-адресации с использованием VLSM требует опыта и планирования. В этом практическом упражнении к сети предъявляются следующие требования:

• главный офис в Атланте = 58 адресов узлов;
• главный офис в Перте = 26 адресов узлов;
• главный офис в Сиднее = 10 адресов узлов;
• главный офис в Корпус-Кристи = 10 адресов узлов;
• каналы связи через сети WAN = 2 адреса узлов (каждый).

Для поддержки самого большого участка сети, состоящего из 58 узлов, необходима подсеть /26. Использование схемы базового разбиения на подсети просто нерационально, поскольку в результате создается только четыре подсети. Этого недостаточно для выделения адресов для каждого из семи необходимых сегментов сети LAN/WAN. Использование схемы адресации VLSM решает эту проблему.

Для помощи при планировании адресации существует множество инструментальных средств. Схема VLSM
В одном из методов используется схема VLSM, чтобы определить, какие блоки адресов доступны и какие из них уже назначены.

Круг VLSM
В другом методе используется подход круга. Круг делится на все уменьшающиеся сегменты, соответствующие более мелким подсетям.
Эти методы предотвращают назначение уже выделенных адресов. Они также позволяют избежать назначения перекрывающихся диапазонов адресов.

Такие технологии, как VLSM, позволяют преобразовать систему классовой адресации IPv4 в бесклассовую систему. Бесклассовая адресация сделала возможным экспоненциальные темпы роста Интернета.
Классовые адреса состоят из трех основных классов IP-адресов и связанной маски подсети по умолчанию:

• Класс A (255.0.0.0 или /8)
• Класс B (255.255.0.0 или /16)
• Класс C (255.255.255.0 или /24)

В компании, использующей сетевые адреса класса А, доступно более 16 миллионов адресов узлов.
При использовании сетевых адресов класса В доступно 65 000 узлов, а класса С - только 254 узла.
Поскольку в обращении имеется ограниченное число адресов классов А и В, многие компании приобретают несколько адресов класса С, чтобы иметь достаточное количество адресов для удовлетворения потребностей своих сетей.
В результате приобретение огромного количества адресов класса С привело к исчерпанию адресного пространства класса С быстрее, чем изначально планировалось.

В классовых IP-адресах значение первого октета (первых трех битов) определяет, является ли главная сеть сетью класса A, B или C. В каждой главной сети используется маска подсети по умолчанию 255.0.0.0, 255.255.0.0 или 255.255.255.0 соответственно.

Классовые протоколы маршрутизации (например, RIPv1) не включают поле маски подсети с обновлением маршрутизации. Поскольку маска подсети не включена, получающий маршрутизатор делает определенные предположения.
Если при использовании классового протокола маршрутизатор передает обновление о сети, разделенной на подсети, например, 172.16.1.0/24, на маршрутизатор, соединяющий интерфейс которого расположен в той же самой главной сети, что и обновление (например, 172.16.2.0/24), тогда:
передающий маршрутизатор объявляет полный сетевой адрес, но не объявляет маску подсети. В этом случае адрес сети - 172.16.1.0;
принимающий маршрутизатор, на котором настроен интерфейс 172.16.2.0/24, использует маску подсети настроенного интерфейса и применяет его к объявленной сети. Следовательно, в этом примере принимающий маршрутизатор делает предположение, что маска подсети 255.255.255.0 относится к сети 172.16.1.0.
Если маршрутизатор передает обновление о сети, разделенной на подсети, например, 172.16.1.0/24, на маршрутизатор, соединяющий интерфейс которого расположен в другой главной сети (например, 192.168.1.0/24), то
передающий маршрутизатор объявляет только адрес главной классовой сети, а не адрес в подсети. В этом случае объявляемый адрес сети - 172.16.0.0;
принимающий маршрутизатор делает предположение о маске подсети по умолчанию для этой сети. Маска подсети по умолчанию для адреса класса B - 255.255.0.0.
С учетом быстрого истощения адресов IPv4 инженерная группа по развитию Интернета (IETF) создала технологию бесклассовой маршрутизации внутри домена (CIDR). В CIDR адресное пространство IPv4 используется более эффективно для агрегации или объединения адресов, что позволяет снизить размер таблиц маршрутизации.

Для использования CIDR необходим протокол бесклассовой маршрутизации (например, RIPv2 или EIGRP) или статическая маршрутизация. Для маршрутизаторов, совместимых с технологией CIDR, понятие класса адреса не используется. Маска подсети сети определяет сетевую часть адреса. Она также называется сетевым префиксом или длиной префикса. Сетевой адрес больше не определяется классом адреса.
ПУИ назначают блоки IP-адресов сетям на основе требований клиентов, которые варьируются от нескольких узлов до сотен и тысяч узлов. Используя CIDR и VLSM, ПУИ больше не должны в качестве длины префикса использовать только /8, /16 или /24.

К протоколам бесклассовой маршрутизации, которые могут поддерживать VLSM и CIDR, относятся протоколы внутреннего шлюза RIPv2, EIGRP, OSPF и IS-IS. ПУИ также используют протоколы внешних шлюзов, такие как протокол BGP.

Отличие протоколов классовой и бесклассовой маршрутизации заключается в том, что протоколы бесклассовой маршрутизации включают в обновления маршрутизации сведения о маске подсети и о сетевых адресах. Протоколы бесклассовой маршрутизации необходимы, когда маску нельзя вычислить или определить по значению первого октета.

Если в бесклассовом протоколе маршрутизатор передает обновление о сети (например, 172.16.1.0) на маршрутизатор, соединяющий интерфейс которого расположен в той же самой главной сети, что и обновление (например, 172.16.2.0/24), тогда

• передающий маршрутизатор объявляет все подсети вместе со сведениями о маске подсети.

Если маршрутизатор передает обновление о сети, разделенной на подсети (например, 172.16.1.0/24) на маршрутизатор, соединяющий интерфейс которого расположен в другой главной сети (например, 192.168.1.0/24), то

• передающий маршрутизатор по умолчанию объединяет все подсети и объявляет главную классовую сеть. Этот процесс часто называется объединением на границе сети. Хотя большинство протоколов бесклассовой маршрутизации допускает объединение на границе сети по умолчанию, процесс объединения можно отключить;
• при отключении объединения передающий маршрутизатор объявляет все подсети вместе со сведениями о маске подсети.

Быстрый рост сети Интернет привел к значительному увеличению числа маршрутизаторов в сетях во всем мире. Этот рост привел к большой нагрузке на маршрутизаторы сети Интернет. Схема адресации VLSM позволяет использовать объединение маршрутов, что сокращает число объявляемых маршрутизаторов.
При объединении маршрутов происходит группировка смежных сетей или подсетей с использованием единого адреса. Объединение маршрутов, также называемое агрегированием маршрутов, происходит на границе сети на пограничном маршрутизаторе.

Объединение сокращает число записей в обновлениях маршрутизации и записей в локальных таблицах маршрутизации. Оно также снижает использование полосы пропускания для обновлений маршрутизации и приводит к ускорению поиска в таблицах маршрутизации.
Термин "объединение маршрутов" означает то же самое, что и организация суперсетей. Процесс организации суперсетей противоположен процессу разделения сети на подсети. Он позволяет объединить несколько более мелких смежных сетей вместе.
Если сетевые биты превышают значение по умолчанию для этого класса, то это соответствует подсети. В качестве примера рассмотрим адрес 172.16.3.0/26. Для адреса класса В, если значение любого сетевого префикса превышает /16, то это - подсеть.

Если сетевые биты меньше, чем значение по умолчанию для этого класса, то это соответствует суперсети. В качестве примера рассмотрим адрес 172.16.0.0/14. Для адреса класса В сетевой префикс меньше /16

Пограничный маршрутизатор объявляет ПУИ все известные сети внутри предприятия. При наличии восьми разных сетей маршрутизатор должен объявить все восемь. Если бы каждое предприятие следовало этому правилу, это бы привело к огромным таблицам маршрутизации у
ПУИ.
Используя объединение маршрутов, маршрутизатор группирует смежные сети вместе и объявляет их как одну большую группу. Например, в телефонной книге компании используется единый список для главного офиса, но при этом можно позвонить непосредственно на добавочный номер каждого сотрудника.

предприятия с использованием CIDR, следует назначить ему сходные сети.
Чтобы рассчитать объединенный маршрут, необходимо объединить сети в единый адрес. Этот процесс выполняется в три этапа.

Шаг 1
Перечислите сети в двоичном формате

Шаг 2
Подсчитайте число самых левых совпадающих битов для определения маски для объединенного маршрута. Это число соответствует сетевому префиксу или маске подсети для объединенного маршрута. В качестве примера можно привести /14 или 255.252.0.0.

Шаг 3
Определите адрес объединенной сети. Скопируйте совпадающие биты, а затем добавьте нулевые биты в конец. Быстрее всего использовать наименьшее сетевое значение.
Если не используется смежная иерархическая схема адресации, объединение маршрутов может оказаться невозможным. Если сетевые адреса не имеют общих битов слева направо, объединенную маску применить невозможно.

Администратор настраивает объединение маршрутов вручную, или эта функция выполняется автоматически с использованием протокола маршрутизации.
К примерам протоколов маршрутизации, выполняющих автоматическое объединение, относятся протоколы RIPv1 и EIGRP. Важно контролировать процесс объединения, чтобы маршрутизаторы не объявляли неверные сети.

Предположим, что три маршрутизатора используются для подсоединения к интерфейсам Ethernet, используя адреса с подсетями сетей класса С (например, 192.168.3.0). Три маршрутизатора также подключены друг к другу через последовательные интерфейсы, настроенные с использованием другой главной сети (например, 172.16.100.0/24). Классовая маршрутизация приводит к тому, что каждый маршрутизатор объявляет главную сеть класса С без маски подсети. В результате средний маршрутизатор получает объявления об одной и той же сети из двух разных направлений. Такой сценарий называется несмежной сетью.
Несмежные сети вызывают ненадежную или неоптимальную маршрутизацию. Для избегания этой ситуации администратор может:

• изменить, по возможности, схему адресации;
• использовать протокол бесклассовой маршрутизации (например, RIPv2 или OSPF);
• отключить автоматическое объединение;
• вручную выполнить объединение на границе класса.

Даже после тщательного планирования можно столкнуться с ситуацией возникновения несмежных сетей. Для выявления этой ситуации можно использовать следующие модели трафика и маршрутизации:

• на одном из маршрутизаторов нет маршрутов в локальные сети, хотя в его настройках предусмотрено их объявление;
• на среднем маршрутизаторе имеется два пути равной стоимости на главную сеть, хотя подсети разделены на несколько сетевых сегментов;
• средний маршрутизатор балансирует трафик, направляемый в любую подсеть главной сети;
• создается впечатление, что маршрутизатор получает только половину трафика.

Для создания иерархической сети необходима правильно реализованная схема адресации VLSM. При создании схемы адресации VLSM выполняйте эти базовые рекомендации:

• используйте более новые протоколы маршрутизации, поддерживающие VLSM и несмежные подсети;
• при необходимости отключите автоматическое объединение;
• используйте во всей сети один и тот же протокол маршрутизации;
• используйте современный маршрутизатор IOS, поддерживающий использование нулевой подсети;
• не смешивайте диапазоны частных сетевых адресов в одной и той же сети;
• по возможности избегайте возникновения несмежных подсетей;
• используйте VLSM, чтобы максимизировать эффективность адресации;
• назначайте диапазоны VLSM с учетом требований от самой крупной до самой мелкой подсети;
• предусматривайте объединение с использованием моделей иерархической сети и непрерывной адресации;
• выполняйте объединение на границах сетей;
• используйте диапазоны /30 для каналов связи через сети WAN;
• при планировании числа подсетей и поддерживаемых узлов учитывайте рост в будущем.

Кроме технологий VLSM и CIDR к дальнейшему улучшению масштабирования адресного пространства IPv4 привело использование частной адресации и преобразования сетевых адресов (NAT).
Частные адреса доступны в корпоративных сетях для всех пользователей, поскольку частные адреса маршрутизируются внутри сети и никогда не отображаются в сети Интернет.

Использование пространства частных адресов регулируется RFC 1918.

• Класс A: 10.0.0.0 - 10.255.255.255
• Класс B: 172.16.0.0 - 172.31.255.255
• Класс C: 192.168.0.0 - 192.168.255.255

Использование частных адресов имеет три преимущества:

• они позволяют снизить высокие затраты, связанные с приобретением публичных адресов для каждого узла;
• они позволяют тысячам внутренних сотрудников использовать несколько публичных адресов;
• они обеспечивают необходимый уровень безопасности, поскольку пользователи других сетей и организаций не могут видеть внутренние адреса.

Хотя частные адреса не маршрутизируются в Интернет, они часто маршрутизируются во внутреннюю сеть. При использовании частных адресов также могут возникнуть проблемы, связанные с несмежными сетями, следовательно, следует тщательно разрабатывать схему адресации.
Убедитесь, что адреса должным образом распределены в соответствии с концепциями VLSM. Кроме того, применяйте допустимые границы и оптимальные методы иерархической IP-адресации для эффективного использования объединения адресов.

Многие организации хотят использовать преимущества частных адресов при подключении к Интернету. Организации создают огромные локальные и глобальные сети с частной адресацией и подключаются к Интернету с использованием преобразования сетевых адресов (NAT).
Технология NAT преобразует внутренние частные адреса в один или несколько публичных адресов для маршрутизации в сети Интернет. NAT меняет исходный частный IP-адрес внутри каждого пакета на публично зарегистрированный IP-адрес до передачи его в Интернет.

Организации малого и среднего бизнеса подключаются к ПУИ, используя единственное подключение. Локальный пограничный маршрутизатор, на котором настроена технология NAT, подключается к ПУИ.

Более крупные организации могут использовать несколько подключений к ПУИ, и в каждом из этих местоположений пограничный маршрутизатор выполняет преобразование сетевых адресов.
Использование NAT на пограничных маршрутизаторах повышает безопасность. Внутренние частные адреса преобразуются каждый раз в разные публичные адреса. Это позволяет скрыть реальный адрес узлов и серверов предприятия. Большинство маршрутизаторов, использующих преобразование NAT, также блокируют пакеты, поступающие извне частной сети за исключением случаев, когда они поступают в ответ на запрос от внутреннего узла.

 

Можно настроить преобразование NAT статически или динамически.

Статическое преобразование NAT сопоставляет единый внутренний локальный адрес с единым глобальным или публичным адресом. Это сопоставление позволяет всегда связывать определенный внутренний локальный адрес с одним и тем же публичным адресом. Статическое преобразование NAT гарантирует, что внешние устройства всегда получают доступ к внутреннему устройству. В качестве примера можно привести веб-серверы и FTP-серверы, доступные для публики.

Динамическое преобразование NAT использует пул доступных публичных Интернет-адресов и назначает их внутренним адресам. Динамическое преобразование NAT назначает внутреннему устройству первый доступный IP-адрес из пула публичных адресов. Этот узел использует назначенный глобальный IP-адрес на протяжении всего сеанса. По завершении сеанса внешний глобальный адрес возвращается в пул и может использоваться другим узлом.

Для обмена данными между внутренними узлами используется внутренний локальный адрес. Публичный адрес, назначенный организации, называется внутренним глобальным адресом. Внутренний глобальный адрес иногда используется как адрес внешнего интерфейса пограничного маршрутизатора.

Маршрутизатор NAT управляет преобразованиями внутренних локальных и глобальных адресов, поскольку на нем хранится таблица, содержащая все пары адресов.
При настройке статического или динамического преобразования NAT:

• перечислите все серверы, для которых необходим постоянный внешний адрес;
• определите, для каких внутренних узлов необходимо преобразование;
• определите, какие интерфейсы являются источником внутреннего трафика (они станут внутренними интерфейсами);
• определите, какой интерфейс передает трафик в Интернет (он станет внешним интерфейсом);
• определите диапазон доступных публичных адресов.

Настройка статического преобразования NAT

Определите публичный IP-адрес, который должны использовать внешние пользователи для получения доступа к внутреннему устройству/серверу. Администраторы обычно используют адреса, расположенные в

1. начале или в конце диапазона статического NAT. Сопоставьте внутренний (частный) адрес с публичным адресом.
2. Настройте внутренний и внешний интерфейсы.

Настройка динамического NAT

1. Укажите пул доступных публичных IP-адресов.
2. Создайте список контроля доступа (ACL-список) и укажите узлы, для которых требуется выполнять преобразование.
3. Назначьте интерфейсы как внутренние или внешние.
4. Свяжите список доступа и пул адресов.

Важной частью настройки динамического преобразования NAT является использование стандартных списков контроля доступа. Стандартные ACL-списки используются для задания диапазона узлов, для которых необходимо выполнять преобразование. Это выполняется в форме разрешения или отказа. В ACL-список может входить вся сеть, подсеть или просто определенный узел. ACL-список может варьироваться от одной строчки до набора из нескольких разрешений и отказов.

Один из наиболее популярных вариантов динамического преобразования NAT называется преобразованием адреса и номера порта (PAT), также известное как перегрузка NAT. PAT динамически преобразует множество внутренних локальных адресов в один публичный адрес.

Когда узел источника отправляет сообщение узлу назначения, он использует сочетание IP-адреса и номера порта и, таким образом, отслеживает каждый отдельный сеанс связи. При использовании PAT шлюз преобразует сочетание локального адреса и номера порта источника в единый глобальный IP-адрес и уникальный номер порта, значение которого превышает 1024.

В таблице маршрутизатора находится список внутренних IP-адресов и номеров портов, которые преобразуются во внешние адреса. Хотя все узлы преобразуются в один и тот же глобальный IP-адрес, номер порта, связанный с сеансом связи, уникален.
Поскольку доступно более 64 000 портов, маловероятно, что на маршрутизаторе могут кончиться адреса.
Функциями PAT могут эффективно пользоваться как корпоративные, так и домашние сети. PAT встраивается в интегрированные маршрутизаторы и активизируется по умолчанию.

Для настройки PAT необходимо выполнить те же самые основные шаги и команды, что и при настройке NAT. Однако вместо преобразования в пул адресов PAT преобразует в один адрес. Для преобразования внутренних адресов в IP-адрес последовательного интерфейса используйте следующую команду:

ip nat inside source list 1 interface serial 0/0/0 overload

Для проверки функциональных возможностей NAT и PAT используйте следующие команды. show ip nat translations
Эта команда отображает активные преобразования. Если преобразование не используется, его срок действия через некоторое время истечет. Записи статического преобразования NAT остаются в таблице постоянно. Записи динамического преобразования NAT требуют выполнения некоторого действия от узла в отношении внешней сети. При правильно выполненной настройке простой эхо-запрос или трассировка создают запись в таблице NAT.

show ip nat statistics

Эта команда отображает статистику по преобразованиям, включая число использованных адресов и число попаданий и пропусков. Выходные данные также содержат список доступа, указывающий внутренние адреса, пул глобальных адресов и диапазон указанных адресов.