Dieses Video setze ich mit dem NAT bzw. dem S-NAT auseinander. Im ersten Schritt werde ich etwas Grundlegendes zum NAT erklären, das heißt, wofür ist es gut und wie funktioniert es.
Im zweiten Schritt werde ich in Kurzform einige Befehle des Cisco Packet Tracers zum Thema NAT erläutern, woraufhin dann eine praktische Umsetzung im Cisco Packet Tracer selber erfolgt. Wenn wir von NAT reden, reden wir in der Regel vom S-NAT, das heißt vom Source NAT. Beim SourceNAT wird die Adresse eines Datenpakets durch eine andere Adresse ersetzt.
Dies hat den Sinn, dass die IPv4-Adressen knapp geworden sind. So lassen sich in den verschiedenen privaten Netzwerken beispielsweise die Adressen 192.168, 1 bis 1 0 2 1 6 8 punkt 5 nutzen ein router verbindet dieses netzwerk daraufhin mit dem internet der ip service provider benötigt hierbei nur eine öffentliche ip adresse da alle privaten Adressen durch das NAT in eine öffentliche Adresse umgewandelt werden. Wir können uns dies ähnlich wie bei einem Mehrfamilienhaus vorstellen. Alle Menschen, die in diesem Haus wohnen, nutzen die gleiche Adresse. Der Router speichert bei jedem Verbindungsaufbau von einem Client die interne Quelladresse und die öffentliche Adresse in einer NAT-Tabelle.
Beispielsweise nehmen die beiden Rechner aus dem Intranet 192.168.1 und 192.168.3 eine Verbindung zu 172.168.1. 2 an 7 18.3 auf. Der Router mit der IP nutzt nun jeweils für jede Verbindung einen freien Port.
Für die erste Verbindung nimmt der Router den Port 1, hier nimmt er eine Verbindung mit dem Ziel auf und kann nun alle Datenpakete auch wieder dieser Verbindung zuordnen, da diese auch über den Port laufen. Für die Verbindung von dem Rechner 192.168.3 nutzt der Rechner den Port 2. Oberflächlich geht es beim Source NAT auch um den Sicherheitsaspekt, da eine Trennung von dem internen und dem externen Netzwerk geschaffen wird. Das NAT, und das ist ganz wichtig, ersetzt dabei allerdings keinesfalls eine Sicherheitsinfrastruktur.
Nun wollen wir uns einmal in Kurzform die Befehle anschauen, die gleich ausgeführt bzw. die gleich genutzt werden für den Cisco Packet Tracer. Als ersten Befehl nutzen wir Access List, dann eine Nummer, Permit und dann das Netzwerk.
In diesem Fall... die Access List 1 für das Netzwerk Hier wird eine Zugriffsliste definiert, die dieser Access-Liste zugeordnet ist. Der zweite Befehl IP NAT Inside Source List 1 Interface Fast fastethernet00 overload besagt, dass die Adressen aus der Sourcelist bzw. Accesslist 1, die gerade ja definiert wurden, über das Interface fastethernet00 aus dem Router herausgehen sollen und durch ein SNAT übersetzt werden sollen.
Das heißt, wir aktivieren an dieser Stelle schon das Sourcenat. Dazu kommt IP-NUT-INSIDE. Dieser Befehl richtet die Ethernet-Schnittstelle als die interne Schnittstelle ein. Das Gegenstück hierzu ist IP-NUT-OUTSIDE, welches die Ethernet-Schnittstelle als die äußere Schnittstelle definiert. Zum Prüfen des Ganzen ist noch der Befehl show ip nut translation interessant.
Hier können wir sehen, welche Adressen der Router bisher intern übersetzt hat. In diesem Beispiel werde ich jetzt einmal erklären, wie wir das S-NUT einmal praktizieren. praktisch im Cisco Packet Tracer umsetzen.
Hierzu nutzen wir links ein internes Netzwerk mit internen IP-Adressen, in dem Fall und die jeweils einen Standard-Gateway eingestellt haben zu Diese internen IP-Adressen sollen nicht nach außen gelangen und sollen vom Router 0 durch die öffentliche IP-Adresse 213. 2.10.10.1 ersetzt werden. Als Ziel des Ganzen bzw. der Server, der erreicht werden soll, steht rechts und ist mit der IP-Adresse 172.217.18.200 gesetzt.
Jetzt beginnen wir damit, dass wir die beiden Router konfigurieren. Der Rest ist schon voreingestellt, das heißt Standard-Gateways und IP-Adressen habe ich im Vorfeld bereits gesetzt. Und wir beginnen damit, dass der Router 0 konfiguriert wird.
Jetzt ist es natürlich wichtig, bei unserem Router zu sagen, dass die IP-Adresse zum Web-Server gesetzt wird und die IP-Adresse zum anderen Router bzw. das Interface mit einer IP-Adresse versehen wird. Wir beginnen jetzt damit, die IP-Adresse zum Web-Server zu setzen und rufen deswegen das Interface FastEthernet 1.0 auf und setzen die IP-Adresse. Und in diesem Fall nutzen wir die IP-Adresse 172.217.18.1 mit der Subnetzmaske Fällt an D.
Und dann starten wir den Router noch. und das heißt wir haben jetzt eine verbindung vom router 1 zum web server jetzt geht es noch darum das interface links zum anderen router mit einer ip adresse zu versehen hier nutzen wir die ip adresse 2 1 2 10 10 2 und nun starten wir den Router bzw. das Interface Jetzt ist noch wichtig, dass wir dem Router sagen, eine eingehende Verbindung soll das Interface FastEthernet 0.0 als Basis benutzen, um ausgehende Verbindungen zu realisieren. Hierzu nutzen wir den Befehl IP-Route und standardmäßig nutzen wir immer das Interface passinternet.0 das ist das linke Interface welches mit dem Router 0 verbunden ist das heißt unser Router 1 ist jetzt verbunden mit dem Router 0 Und jetzt kommt das eigentlich interessante, was wir für NAT brauchen. Die Konfiguration des Routers 0, welcher das NAT vornehmen soll.
Auch hier gilt es wieder, dass wir zwei Interfaces mit IP-Adressen versehen müssen. Hier nutzen wir die die wir auch als Standard-Gateway eingegeben haben. Und starten auch dieses Interface.
Jetzt muss natürlich noch das zweite Interface gesetzt werden und da nutzen wir die IP-Adresse 2.1.2.10.10.1. Hier fehlt die Subnetzmaske. Und nun kommen wir zu dem, worum es eigentlich geht. Das heißt, dass wir ein NUT bzw. das S-NUT realisieren.
Hierzu müssen wir erst einmal eine Access-List anlegen. Diese Access-List beinhaltet das linke Netzwerk und alle PCs in diesem Netzwerk finden sich in dieser Access-Liste wieder. Diese Access-List versehen wir mit einer Nummer, und zwar mit der Nummer 1. Dazu kommt die inverse Subnetzmaske. Das heißt, die Access-Liste existiert nun.
Jetzt geht es darum, dass wir dem Router sagen, an dieser Stelle alle eingehenden Verbindungen aus dem Netzwerk In der Access List 0, in dem Fall sollen an dem Interface FastEthernet 0.0, das ist dieses hier, herausgehen und übersetzt werden. Hierzu nutzen wir den Befehl ip nut inside. Source List.
Mit Source List greifen wir auf unsere Access-Liste zu. Die haben wir gerade, oder der haben wir gerade die Nummer 1 gegeben. Und jetzt geben wir das Interface FastEthernet 0 0 an. Und sagen, alle eingehenden Verbindungen sollen über dieses Interface herausgehen. Jetzt ist es noch wichtig, dass wir den einzelnen Interfaces auch mitschalten.
Hier befinden wir uns intern im NAT und die andere Seite ist die äußere Seite des NATs. Hier beginnen wir mit dem Interface FAS Ethernet 1.0. Das ist das zu der linken Seite.
Das ist das IP NAT Inside. Jetzt ist noch wichtig, wenn wir den Webserver rechts erreichen wollen, müssen wir natürlich auch wissen, über welchen Hopf wir als nächstes gehen sollen. Hierzu oder hierbei kommt wieder das IP-Route ins Spiel.
Und hier geht es darum, dass wir das Netzwerk erreichen möchten. Um das zu tun, müssen wir nun Ausschau halten, was... ist der nächste Hop hierfür beziehungsweise erstmal sagen wir, wir möchten, dass Netz mit der Subnetzmaske erreichen. Und hierzu nutzen wir als nächsten Hop den Router 1 mit der IP 2.1.2.10.10.2.
Sehen wir. Das hat geklappt und jetzt müssten wir vom PC0 zum Webserver einen Ping ausführen können. Wobei der Webserver keine Ahnung hat, dass wir uns hier in einem internen Netzwerk mit der IP befinden. Klappt noch nicht.
Das kann daran liegen, dass noch nicht genug Zeit vergangen ist. Daran lag es auch. Das heißt, wir haben den Web-Server 17221718200 jetzt einmal angepingt.
Und schauen uns an. Mit dem Befehl show ip nat. Translations, welche Übersetzung der Router an dieser Stelle vorgenommen hat.
Doch richtig. Kommando zurück. Wir sehen an dieser Stelle, intern, bzw. lokal, kamen von dem PC mehrere Anfragen.
Also Hier wurde dann jeweils ein verschiedener Port genutzt. dann wurde die IP-Adresse durch die 2.1.2.10.10.1 ersetzt an Port 3 und dann wurde der Server mit der IP 172.0 217 18 200 aufgerufen noch besser sieht man das ganze in einer simulation wenn wir ein paket vom pc 0 zum web server schicken wir sehen jetzt am router kommt etwas an und zwar von der IP was der PC ist, mit der Destination IP 172.217.18.200. Das Ganze wird allerdings jetzt ersetzt durch die Source IP 212.10.10.1. Das heißt, die Übersetzung findet hier statt.
An dieser Stelle hat der Router selber, der Router 0, keine Ahnung mehr, wie es in dem Netzwerk aussieht. Er kennt nur die IP-Adresse vom Router 0 und gleiches gilt auch für den Web-Server. der als Source-IP bzw. Destination-IP für das Paket zurück die 212.10.10.1 besitzt. Erst an dieser Stelle vom Router 0 sehen wir, hier wird die Destination-IP von 212.10.10.1 dann wieder durch das heißt die interne IP-Adresse, ersetzt.