راه اندازی NAT در سیسکو

راه اندازی NAT در سیسکو، یکی از مهم ترین و اصلی ترین مفاهیم در روتر های مبحث NAT می باشد. در این مقاله قصد داریم راه اندازی NAT در روتر سیسکو را مورد بررسی قرار دهیم. در ابتدا با مفهوم NAT آشنا خواهیم شد.

راه اندازی NAT در سیسکو

فهرست مطالب

1. NAT چیست
2. انواع NAT
3. بررسی واژگان
4. پیاده سازی

NAT چیست

ایده NAT این است که به چندین دستگاه در شبکه داخلی ( LAN ) اجازه می دهد از طریق یک آدرس IP عمومی ( Public ) به اینترنت دسترسی داشته باشند. به منظور دستیابی به این هدف، به فرایند ترجمه آدرس های IP خصوصی ( private ) به یک آدرس عمومی ( public ) نیاز است. ترجمه آدرس شبکه (NAT) فرآیندی است که در آن یک یا چند آدرس IP محلی به منظور دسترسی به اینترنت به یک یا چند آدرس IP عمومی ترجمه می شود و بالعکس. همچنین فرایند ترجمه پورت نیز انجام می گیرد. به این صورت که شماره پورت میزبان با شماره پورت دیگری در بسته ای که به مقصد هدایت می شود، ماسک می گردد. سپس آدرس IP و شماره پورت مربوطه را در جدول NAT وارد می شود. NAT عموماً روی روتر یا فایروال پیاده سازی می گردد.

به طور کلی، NAT  بر روی روتر مرزی پیکربندی می گردد، روتری که دارای یک اینترفیس در شبکه محلی ( LAN ) و یک اینترفیس در شبکه جهانی (اینترنت) است. هنگامی که یک بسته از شبکه محلی ( LAN ) به مقصد شبکه اینترنت عبور می کند، NAT آن آدرس IP محلی ( private ) را به یک آدرس IP عمومی ( public ) تبدیل می نماید. همچنین هنگامی که یک بسته از شبکه خارجی وارد شبکه محلی می شود، آدرس IP عمومی ( Public ) به آدرس IP محلی ( private  ) تبدیل می شود.  اگر آدرس های ( public ) درون NAT pool تمام شوند بسته های ارسالی به مقصد اینترنت Drop خواهند شد و دسترسی به اینترنت برای دستگاه های شبکه داخلی امکان پذیر نخواهد بود.

انواع NAT

Static NAT : در این نوع از NAT یک آدرس IP داخلی ( Private ) به یک آدرس IP عمومی ( Public ) ترجمه یا اصطلاحا Map می گردد. که به این حالت One to One Mapping هم می گویند. از این روش معمولا برای میزبانی وب استفاده می گردد. این روش در سازمان ها استفاده نمی شوند زیرا دستگاه های زیادی در شبکه داخلی سازمان ها وجود دارند که به اینترنت نیازمند هستند و در این روش برای ارائه دسترسی هر دستگاه به اینترنت، یک آدرس IP عمومی مورد نیاز است که این کار عملا انجام پذیر نمی باشد. فرض کنید یک سازمان با 300 دستگاه نیاز به دسترسی به اینترنت داشته باشد می بایست 300 آدرس عمومی خریداری شود که انجام این کار هزینه بسیاری را به سازمان تحمیل خواهد نمود.

Dynamic NAT : در این نوع یک pool از آدرس های IP عمومی ( Public ) وجود دارد که به واسطه NAT یک آدرس IP داخلی ( Private ) به یکی از آدرس های موجود در pool ترجمه می گردد. اگر آدرس های IP عمومی ( Public ) موجود در Pool تمام شوند بسته ها به مقصد اینترنت Drop خواهد شد. در این حالت به تعداد آدرس های موجود در pool ، NAT انجام می پذیرد.

Port Address Translation (PAT) : این نوع NAT به عنوان NAT overload نیز شناخته می شود. در این روش ، تعداد زیادی از آدرس های IP محلی ( private ) می توانند به یک آدرس IP عمومی ( Public ) ترجمه شوند. در این نوع از NAT از شماره پورت ها برای تشخیص ترافیک استفاده می شود، و مشخص می گردد که کدام ترافیک به کدام آدرس IP تعلق دارد. در اکثر مواقع از این نوع NAT استفاده می گردد چرا که هزاران کاربر می توانند تنها به واسطه یک آدرس IP عمومی ( Public ) به اینترنت متصل شوند. پس استفاده از این روش بسیار مقرون به صرفه خواهد بود.

بررسی واژگان

پیش از پیاده سازی NAT می بایست با واژگان مربوط به این فناوری آشنا باشیم تا در هنگام پیاده سازی ابهام ایجاد نگردد. واژه هایی که در NAT مورد استفاده قرار می گیرند عبارتند از : Inside، Outside، Local، Global . در قسمت اول Inside و Outside را از منظر صاحب آدرس ها مورد بررسی قرار می دهیم. Inside آدرسی است که به خودمان تعلق دارد و Outside را با آدرسی که به دیگری اختصاص دارد متصور می شویم. در قسمت Local و Global نیز Local به معنای Private و Global به معنای Public می باشد. در تنظیمات NAT ، Inside Local به آدرس های Private درون شبکه داخلی ما اشاره خواهد داشت. هنگامی که به یک وب سایت یا آدرس IP خاص به اینترنت متصل می شویم این آدرس به عنوان Outside Global محسوب می گردد چرا که یک آدرسی است که به دیگری تعلق دارد و در عین حال Public نیز می باشد. هنگامی که ما قصد برقراری ارتباط با این وب سرور را داریم در واقع ما آدرس داخلی خود را (Inside Local) به یک آدرس Public ترجمه می نماییم تا ارتباط ما با وب سرور امکان پذیر گردد. در اینجا ما باید یک آدرس Public نیز داشته باشیم که توسط ISP به تخصیص یافته است. این آدرس Public که متعلق به ما می باشد با عنوان Inside Global در پیاده سازی ها شناخته می شود که قاعدتا بر روی اینترفیس خروجی روتر به سمت اینترنت قرار می گیرد. همچنین یک گزینه دیگر به نام Outside Local نیز وجود خواهد داشت که این آدرس نیز یک آدرس است که به شبکه داخلی متعلق به دیگری اشاره دارد. Outside Local در سناریو هایی مورد استفاده قرار می گیرد که قصد داریم دو آدرس Private IP را به یکدیگر ترجمه نماییم.

پیاده سازی NAT overload (PAT) در سیسکو

پیاده سازی PAT شامل مراحل زیر می گردد :

• مرحله اول پیاده سازی ایجاد Access List ایجاد دسترسی برای آدرس های IP مورد نظر به NAT است (Source).
• در مرحله دوم تنظیمات اینترفیس ها انجام می گیرد. در این مرحله باید مشخص کنیم کدام اینترفیس ها Inside و کدام اینترفیس Outside می باشند.
• اجرای دستور عمومی NAT در روتر. در این مرحله تنها یک دستور را اجرا خواهیم نمود اما این دستور تمامی قطعه های پازل را کنار یکدیگر قرار خواهد داد.

جهت پیاده سازی NAT overload (PAT) در سیسکو سناریو زیر را در نظر می گیریم:

در مرحله اول می بایست یک Access List ایجاد نماییم تا به شبکه 192.168.1.0/24 مجوز عبور از NAT را اعمال نماییم. در اینجا یک Access List با شماره 1  ایجاد می نماییم و شبکه 192.168.1.0 را Permit می کنیم.

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255

در مرحله دوم می بایست اینترفیس های Inside و outside را مشخص نماییم. در سناریو مذکور در روتر R1 اینترفیس g 0/0 به عنوان Inside و g 1/0 به عنوان Outside محسوب می گردد.

R1(config)#interface gigabitEthernet 0/0
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#interface gigabitEthernet 1/0
R1(config-if)#ip nat outside

در مرحله آخر می بایست دستور عمومی NAT را در روتر اجرا نماییم. در این دستور ابتدا می بایست Source مشخص گردد که این کار به واسطه انتخاب شماره Access List انجام خواهد شد و سپس اینترفیس خروجی را مشخص می نماییم. در نظر داشته باشید که حتما Overload را در پایان دستور باید لحاظ نماییم در غیر این صورت با اولین ترجمه آدرس مورد نظر اشغال شده و درخواست های بعدی Drop خواهید گردید.

R1(config)#ip nat inside source list 1 interface gigabitEthernet 1/0 overload

اکنون کامپیوتر های شبکه داخلی به راحتی می توانند از اینترنت استفاده نمایند و تنها با یک آدرس IP میتوان به تعداد زیادی دستگاه در شبکه داخلی اینترنت را ارائه نمود. همچنین جهت مشاهده جدول ترجمه آدرس ها و پورت های مربوطه از دستور زیر می توان استفاده نمود.

R1#show ip nat translations