Sieci komputerowe Wyklad ACL NAT v2


Akademia Górniczo-Hutnicza
w Krakowie
Katedra Telekomunikacji
Wykład
SIECI KOMPUTEROWE I
SIECI KOMPUTEROWE I
Prowadzący:
prof. dr hab. inż. Andrzej Pach
mgr inż. Jacek Rząsa
Kraków 2010
Sieci komputerowe I  wykład  Listy sterowania dostępem, NAT
Listy sterowania dostępem,
NAT
Plan wykładu:
I. Wprowadzenie
II. Zastosowanie i rodzaje list ACL
III. Zasada działania list sterowania dostępem
IV. Standardowa lista sterowania dostępem
V. Rozszerzona lista sterowania dostępem
VI. Nienumerowana lista sterowania dostępem
VII. Translacja adresów
VIII. PAT
2
Sieci komputerowe I  wykład  Listy sterowania dostępem, NAT
I Wprowadzenie
Listy sterowania dostępem (ang. Access Control List  ACL) to jedno z najczęściej
używanych narzędzi administratora sieci. Są one wykorzystywane zarówno w przełącznikach, ruterach
jak i zaporach ogniowych (ang. firewall). Równie istotny element pracy administratora sieci
komputerowych to translacja adresów (ang. Network Address Translation  NAT). Translacja
adresów jest przeprowadzana na styku domen administracyjnych, zwykle w ruterach oraz w zaporach
ogniowych.
W ramach niniejszego wykładu przedstawione zostaną najważniejsze zastosowania ACL oraz NAT,
sposób działania oraz konfiguracji.
II Zastosowanie i rodzaje list ACL
Listy ACL to jedno z najczęściej używanych narzędzi administratora sieci komputerowych. Listy
sterowania dostępem umożliwiają:
" filtrowanie odebranych jednostek danych,
" filtrowanie wysyłanych jednostek danych,
" modyfikowanie uaktualnień protokołów rutingu,
" sterowanie dostępem do urządzeń sieciowych,
" zestawianie połączeń na żądanie (ang. Dial on Demand Routing  DDR),
" modyfikowanie informacji kontrolnych wyswietlanych przez urządzenie sieciowe,
" identyfikacji ruchu do kolejkowania, nadawania priorytetów, itd.
Najczęściej listy ACL kojarzone są z blokowaniem zdefiniowanych przez administratora sieci
jednostek danych oraz z przesyłaniem pozostałych. Filtrowane w ten sposób mogą być zarówno
jednostki danych warstwy drugiej modelu OSI/ISO, np. ramki techniki Ethernet, warstwy trzeciej tj.
pakiety i datagramy, jaki i jednostki warstwy czwartej  segmenty TCP. Listy ACL są jednak
stosowane w znacznie szerszym zakresie funkcjonalnym, przykładowo używa się list ACL do
zdefiniowania ruchu, który wymusza zestawienie dedykowanego połączenia np. w technice ISDN.
Listy sterowania dostępem wykorzystywane są w procesie dodawania lub zmieniania niektórych
parametrów w przesyłanych uaktualnieniach protokołów rutingu. W takim przypadku, wymieniane
dane nie są filtrowane, a jedynie wzbogacane, lub nie, o dodatkowe elementy.
Jeden z istotnych obszarów zastosowań list ACL to translacja adresów, która szerzej zostanie opisana
w dalszej części wykładu.
Listy sterowania dostępem dzielą się na takie, w których sprawdzany jest jedynie adres zródłowy oraz
takie, w których sprawdzane są adres zródłowy i docelowy, numery portów czy też inne
charakterystyczne elementy transmisji danych. Te pierwsze określane są terminem standardowe, drugie
 rozszerzone. Listy ACL stosowane są w wersji numerowanej, tzn. takiej w którym elementem
identyfikującym listę jest liczba. W nowszych wersjach systemów operacyjnych urządzeń sieciowych
możliwe jest również użycie identyfikatora listy ACL zbudowanego ze znaków alfanumerycznych
zamiast liczby. Jeśli identyfikatorem jest liczba, to stanowi ona wyróżnik listy ACL jak również
definiuje czy dana lista sterowania dostępem jest typu standardowego czy rozszerzonego.
Przykładowo, jeden z producentów urządzeń sieciowych określa zakres liczbowy od 1 do 99 jako
identyfikator list standardowych, a 100 - 199 jako rozszerzonych.
3
Sieci komputerowe I  wykład  Listy sterowania dostępem, NAT
III Zasada działania list sterowania dostępem
Lista ACL jest zbudowana z szeregu uporządkowanych elementów. Każdy element szeregu zawiera
kryterium decyzyjne oraz słowo-klucz, definiujące działanie, które zostanie podjęte, jeśli zostanie
spełniony warunek zapisany w kryterium decyzyjnym. Kryterium decyzyjne zawierać może adres
zródłowy lub zbiór adresów zródłowych w przypadku listy standardowej albo adresy zródłowe,
docelowe, numery portów warstwy czwartej, itd.  w przypadku listy rozszerzonej. Jako słowo-klucz
stosowane są terminy: jak deny lub permit. Dla odebranej jednostki danych lista ACL jest
przeszukiwana dotąd, aż zostanie znaleziony element szeregu, w którym spełniony jest warunek
kryterium decyzyjnego. Każdorazowo, jeśli taki element szeregu jest znaleziony, to pozostała część
listy jest ignorowana. Taki sposób konstrukcji list ACL oznacza, że konstruowanie listy ACL składa się
z dwóch części: zdefiniowania warunków kryterium decyzyjnego oraz odpowiedniego uszeregowania
elementów listy. W poprawnie zbudowanej liście ACL (np. filtrującej przesyłane dane) musi się
znalezć przynajmniej jedno kryterium decyzyjne połączone ze słowem permit. Warto pamiętać, że
domyślnie na końcu każdej listy dopisywane jest kryterium decyzyjne, które zawsze jest spełnione.
Kryterium takie jest powiązane ze słowem deny.
Sposób obsługi jednostki danych, która spełnia warunek kryterium decyzyjnego, jest uzależniony od
funkcji jaką ma pełnić lista ACL. W najczęstszym przypadku, gdy lista ACL służy do filtrowania
otrzymanych pakietów użycie słowa-klucza deny oznacza, że pakiet zostanie usunięty przez dane
urządzenie sieciowe. Równocześnie jest wysłany pakiet ICMP Host Unreachable do nadawcy
usuniętego pakietu. Przykład przetwarzania pakietu przez listę sterowania dostępem pokazano na rys.
1.
Rysunek 1. Przykład obsługi pakietu IP przez listę kontroli dostępu filtrującą dane
Warunek kryterium decyzyjnego w listach ACL podawany jest w postaci adresu IP oraz znaków
4
Sieci komputerowe I  wykład  Listy sterowania dostępem, NAT
wieloznaczności (ang. wildcard). Warunek ten może zostać zdefiniowany w taki sposób, aby spełniony
był przez tylko jeden adres IP, albo przez zestaw adresów. Jeśli w warunku kryterium decyzyjnego
znak wieloznaczności umieszczony został ustawiony na wartości 1 (jeden), to oznacza to, że w
odpowiadającym temu bitowi elemencie adresu IP może być umieszczona dowolna wartość aby
warunek został spełniony. Jeśli znak wieloznaczności został ustawiony na wartość 0 (zero) to warunek
jest spełniony tylko gdy odpowiednie elementy adresu w otrzymanym pakiecie IP są identyczne z
elementami adresu zapisanego w liście ACL. Przykładowo, jeśli element listy sterowania dostępem
zawiera następujący adres oraz znaki wieloznaczności: 192.168.1.0 0.0.0.255 to oznacza to, że
wszystkie adresy z zakresu: 192.168.1.0 - 192.168.1.255 spełniają warunek kryterium decyzyjnego.
Najprostsza technika szybkiego ustalania wartości znaków wieloznaczności polega na policzeniu
różnicy, gdzie odjemna to liczba 255.255.255.255, odjemnik to maska adresu IP, a otrzymany wynik
daje znaki wieloznaczności. Przykładowo, jeśli warunek kryterium decyzyjengo powinien być tak
napisany, aby był spełniony przez każdy pakiet wchodzący w skład sieci 172.17.1.1/25 to należy
wykonać działanie:
Czasami, zamiast znaków wieloznaczności, można użyć określeń any i host. Pierwszy termin jest
równoważny zapisowi 0.0.0.0 255.255.255.255, zatem warunek ten jest spełniony przez każdy
odebrany pakiet. Użycie terminu host oznacza, że każdy bit adresu musi odpowiadać wzorcowi, jeśli
ma być zakwalifikowany jako spełniający warunek.
IV Standardowa lista sterowania dostępem
Standardowa lista ACL zawiera kryterium decyzyjne oraz słowo-klucz określające działanie, jakie
zostanie podjęte, gdy warunek jest spełniony. Kryterium decyzyjne w standardowej liście złożone jest z
adresu i znaków wieloznaczności. Testowanie czy spełniony jest warunek kryterium decyzyjnego w
standardowej liście ACL dotyczy tylko adresów zródłowych, zatem tylko te adresy będą testowane
przez listę. Na rys. 2 przedstawiono przykład sieci, w której została zdefiniowana standardowa lista
sterowania dostępem.
5
Sieci komputerowe I  wykład  Listy sterowania dostępem, NAT
Rysunek 2. Przykładowa sieć, w której użyto standardową listę sterowania dostępem
W przedstawionej na rys. 2. sieci zdecydowano, że zostanie zablokokowane przesyłanie danych z PC 2
do serwera www. Do tego serwera mogą być przesyłane dane tylko z PC2. Aby wdrożyć takie
filtrowanie ruchu stworzona została następująca lista ACL:
R1(config)# access-list 1 permit 192.168.10.1 0.0.0.0
R1(config)# access-list 1 deny host 192.168.11.1
Poszczególne elementy listy oznaczają:
" access-list - instrukcja pozwalająca stworzyć listę sterowania dostępem,
" 1 - identyfikator listy, definiujący dodatkowo użycie standardowej listy ACL,
" permit/deny - słowo-klucz, permit - oznacza, że pakiety mogą być przesyłane, deny -
pakiety są usuwane,
" 192.168.10.1 - adres IP,
" 0.0.0.0 - znaki wieloznaczności, w tym przypadku warunek kryterium jest spełniony tylko
wtedy, gdy odebranie zostanie pakiet z adresem zródłowym 192.168.10.1
" host - jedna z opcji instrukcji access-list równoważna z znakami wieloznaczności
zapisanymi w formacie: 0.0.0.0.
Lista ta powinna być następnie przyporządkowana do interfejsu łączącego router R1 z serwerem www
dla pakietów opuszczających router przez ten interfejs. Przyporządkowanie to jest realizowane przy
użyciu następującej instrukcji:
R1(config-if)# ip access-group 1 out
Poszczególne elementy instrukcji przypisania listy ACL oznaczają:
" ip access-group - instrukcja pozwalająca przyporządkować list ACL do interfejsu,
" 1 - identyfikator listy, która zostanie przyporządkowana,
" out - kierunek przepływu pakietów, które będą testowane w liście sterowania dostępem.
W powyższej instrukcji użyte zostało słowo definiujące kierunk przepływu jednostek danych, które
podlegać będą sprawdzaniu przez liste sterowania dostępem. Poza opcją out można również przypisać
listę ACL do interfejsu w kierunku in. Przypisanie takie oznacza, że jednostki danych które docierają
6
Sieci komputerowe I  wykład  Listy sterowania dostępem, NAT
do urządzenia przez dany interfejs będą testowane przez listę sterowania dostępem. W takim
przypadku, najpierw nastąpi filtracja pakietów przychodzących, a następnie przeszukanie tablicy
rutingu by znalezć interfejs prowadzący do węzłów docelowyych.
Działanie powyższej listy sterowania dostępem jest następujące:
" jeśli w ruterze R1 pojawią się pakiety, które powinny być przesłane z rutera do serwera, to
zanim zostaną one przygotowane do wysłania będą testowane za pomocą listy ACL o
identyfikatorze nr 1,
" jeśli pakiet, który powinien być wysłany z R1 do serwera www zawiera adres zródłowy o
numerze 192.168.10.1, to pakiet taki będzie przesłany do serwera www,
" jeśli pakiet, który powinien być wysłany z R1 do serwera www zawiera adres zródłowy o
numerze 192.168.11.1, to pakiet taki zostanie skasowany, a w kierunku nadawcy tego pakietu
zostanie wysłany pakiet ICMP Host Unreachable.
" każdy pakiet o adresie zródłowym innym niż wyżej wymienione, który powinien być wysłany
z R1 do serwera www w wyniku działania listy ACL 1 zostanie skasowany, a w kierunku
nadawcy takich pakietów zostaną wysłane odpowiednie pakiety ICMP Host Unreachable.
Usuwanie wszystkich pakietów o adresach innych niż 192.168.10.1 i 192.168.11.1 wynika z
domyślnego kryterium decyzyjnego, który jest automatycznie wstawiany na końcu każdej listy ACL.
Warunek w takim kryterium decyzyjnym jest zawsze spełniony przez wszystkie pakiety czy inne
jednostki danych, a użyte słowo-klucz to deny.
V Rozszerzona lista sterowania dostępem
Rozszerzona lista sterowania dostępem zapewnia znacznie bogatszy zestaw warunków sprawdzanych
w trakcie obsługi jednostek danych. Możliwe jest bowiem zdefiniowanie, poza adresami zródłowymi,
kryteriów decyzyjnych opartych o adres docelowy, port zródłowy czy docelowy, protokół, itp.
192.168.50.1
R3
PC 3
R1
R2
172.18.1.120
SERWER
WWW
SERWER
FTP
Rysunek 3. Przykład sieci, w której zastosowano rozszerzoną listę dostępową
7
Sieci komputerowe I  wykład  Listy sterowania dostępem, NAT
Użycie szerszego zestawu dostępnych testów pozwala na np. blokowanie pakietów związanych z daną
usługą, a przesyłanie pozostałych danych. Przykładowa sieć, w której zastosowano rozszerzoną listę
dostępową pokazano na rys. 3. W sieci tej zdecydowano o blokowaniu pomiędzy PC 3, a serwerem
www i FTP ruchu związanego z przeglądaniem stron internetowych, natomiast dozwolone jest
nawiązywanie sesji FTP i przesyłanie danych przy użyciu aplikacji korzystających z tego protokołu.
Poniżej przedstawiono odpowiednią listę ACL:
R2(config)# access-list 100 deny tcp host 192.168.50.1 host 172.18.1.120 eq 80
R2(config)# access-list 100 permit tcp host 192.168.50.1 host 172.18.1.120 eq ftp
R2(config)# access-list 100 permit tcp host 192.168.50.1 host 172.18.1.120 eq ftp-data
Poszczególne elementy listy oznaczają:
" access-list - instrukcja umożliwiająca stworzenie listy,
" 100 - identyfikator listy, jest to równocześnie element definiujący listę rozszerzoną,
" deny/permit - zablokowanie lub pozwolenie na przesyłanie danych,
" tcp - sprawdzany protokół,
" 192.168.50.1 - adres zródłowy,
" 172.18.1.120 - docelowy adres IP,
" eq - równy (ang. equal),
" 80 - numer portu do komunikacji http,
" ftp, ftp-data - numery portów protokołu FTP.
Rozszerzona lista ACL jest dowiązywana do interfejsu w identyczny sposób jak lista podstawowa.
Przyporządkowanie listy do interfejsu łączącego ruter R2 z PC 3 odbywa się zatem poleceniem:
R2(config-if)# ip access-group 100 in
Użyte w powyższej instrukcji słowo in określa, że przychodzący pakiet jest sprawdzany w chwili, gdy
zostanie odebrany w ruterze R2 w interfejsie łączącym ruter z PC 3. Testowanie odebranego pakietu
nastąpi przed przeszukiwaniem tablicy rutingu.
Warto zauważyć, że ograniczona jest liczba list sterowania dostępem, które można przyporządkować w
danym interfejsie. W jednym styku możliwe jest użycie jednej listy ACL, w jednym kierunku, dla
jednego protokołu.
Listy sterowania dostępem można również przypisać do interfejsów wirtualnych terminali, Możliwe
jest wówczas sprawdzanie czy urządzenie z danym adresem zródłowym może użyte do zestawienia
połączenia przy użyciu protokołu Telnet. Przykład dowiązania listy do interfejsów wirtualnych
terminali okazano poniżej.
R1(config)# line vty 0 4
R1(config-line)# access-class 1 in
8
Sieci komputerowe I  wykład  Listy sterowania dostępem, NAT
VI Nienumerowana list sterowania dostępem
Działanie listy numerowanej i nienumerowanej jest identyczne. Nienumerowana lista ACL pojawiła się
w ostatnich wersjach systemu operacyjnego urządzeń sieciowych. Inna jest natomiast składnia
instrukcji. Przykład definicji list nienumerowanej pokazano poniżej.
Router(config)# ip access-list standard Komputery
Router(config-std-nacl)# permit host 192.168.3.3
Powyższa lista definiuje standardową listę sterowania dostępem o nazwie Komputery. Lista ta pozwala
np. na przesyłanie pakietu tylko wtedy gdy jego adres zródłowy wynosi 192.168.3.3. Cechą
wyróżniającą nienumerowane listy ACL jest możliwość dodawania kolejnego elementu listy w innym
miejscu niż na jej końcu. Funkcja ta znacznie ułatwia konstruowanie list.
Usytuowanie list ACL
Przyjeło się, że listy standardowe przyporządkowywać należy w interfejsie leżącym możliwie blisko
węzła docelowego, do którego transportowane są dane. Analogicznie, wskazuje się, że listy
rozszerzone należy sytuować blisko węzła zródłowego. Jest to jednak tylko zalecenie, a nie dogmat,
który należy bezwzględnie przestrzegać. Czasami wydajność węzła lub szczególny rozkład ruchu może
wskazywać na inne, lepsze przyporządkowanie listy sterowania dostępem.
VII Translacja adresów
Jedną z wad protokołu IPv4 jest stosunkowo niewielki zbiór dostępnych adresów. Problem
ograniczonej liczby dostępnych adresów IP stał się szczególnie widoczny pod koniec lat
dziewięćdziesiątych XX w. wraz z bezprecedensowym upowszechnieniem się Internetu.
Jeden ze sposobów częściowego rozwiązania tego problemu to wprowadzenie adresów prywatnych
oraz translacji adresów. Translacja pozwala zamieniać adres IPv4 na inny adres IPv4. Z reguły
zamieniany jest adres z prywatnej przestrzeni adresowej na adres publiczny i na odwrót, ale zamiana
może też polegać na np. zamianie adresu prywatnego na inny adres prywatny.
Translacja ma szereg zalet, z których najważniejsze to:
" możliwość ograniczenia liczby niezbędnych adresów publicznych,
" ułatwione dołączenie sieci przedsiębiorstwa do sieci publicznej,
" zwiększona elastyczność organizacji używanego schematu adresacji,
" poprawa bezpieczeństwa.
Proces zamiany adresów nie jest pozbawiony wad, z których szczególnie istotnie wydaje się
zmniejszenie wydajności urządzeń sieciowych, utrudnione użycie niektórych aplikacji czy większa
złożoność sieci, a zatem trudniejsze wykrywanie błędów konfiguracji.
Translacja adresów realizowana jest w sposób statyczny oraz dynamiczny. Statyczna zamiana adresów
polega na stałym przypisaniu jednego adresu wewnętrznego do jednego adresu zewnętrznego. Dany
adres wewnętrzny jest zamieniany zawsze na ten sam adres zewnętrzny. W przypadku translacji
dynamicznej tworzony jest zbiór adresów i w chwili gdy pojawi się adres, którym ma być poddany
translacji to z utworzonego zbioru jest wybierany dowolny element, który będzie używany jako adres
zewnętrzny. Adres, który podlega zamianie nazywany jest adresem wewnętrznym lokalnym (ang.
inside local), natomiast adres, który jest widoczny po translacji nazywany jest wewnętrznym
9
Sieci komputerowe I  wykład  Listy sterowania dostępem, NAT
globalnym (ang. inside global). Przykładowo w sieci na rys. 4. w trakcie przesyłania danych ze stacji o
adresie 192.168.40.254 do urządzenia o adresie 172.145.12.2, adres zródłowy 192.168.40.254
(wewnętrzny lokalny) jest zamieniany na adres 149.156.1.2 (wewnętrzny globalny). Gdy
transportowane są dane w relacji odwrotnej, wówczas w pokazanym na rysunku ruterze następuje
translacja adresu docelowego 149.156.1.2 na adres 192.168.40.254.
.
Rysunek 4. Przykład sieci, w której dokonywana jest translacja adresów
Konfiguracja statycznej translacji w pokazanym na rys. 5. ruterze może być zrealizowana
następującymi instrukcjami:
Router(config)# ip nat inside source static 192.168.40.200 149.156.1.42
Router(config)# interface Fa 0/1
Router(config-if)# ip nat inside
Router(config)# interface Fa 0/0
Router(config-if)# ip nat outside
Fa 0/1 Fa 0/0
Inside local Inside global
192.168.40.200 149.156.1.42
Rysunek 5. Przykład sieci z translacją statyczną
Poszczególne elementy instrukcji oznaczają:
" ip nat inside source static  instrukcja translacji statycznej,
" 192.168.40.200  adres, który nie będzie widoczny po translacji,
" 149.156.1.42  adres zródłowy, który zastąpi adres 192.168.40.200,
10
Sieci komputerowe I  wykład  Listy sterowania dostępem, NAT
" ip nat inside  interfejs, w którym widoczny będzie adres IP przed zamianą,
" ip nat outside  interfejs, w którym widoczny będzie adres po translacji.
Fa 0/1
149.156.1.42
192.168.40.1
Fa 0/0
192.168.40.20
Rysunek 6. Przykład sieci z translacją dynamiczną
W procesie konfiguracji translacji dynamicznej konieczne jest zdefiniowanie zbioru adresów IP, które
będą widoczne po przeprowadzeniu zamiany adresów. Przykładowa konfiguracja zbioru adresów w
sieci pokazanej na rys. 6 realizowana jest następującą instrukcją:
Router(config)# ip nat pool MojeKomputery 149.156.1.1 149.156.1.10
Kolejno należy stworzyć listę sterowania dostępem, w której zdefiniowane zostaną adresy podlegające
translacji:
Router(config)# access-list 1 permit 192.168.40.0 0.0.0.255
Następnie przy użyciu instrukcji ip nat inside source zestawiane są adresy IP, które będą zamieniane
oraz adresy widoczne po translacji:
Router(config)# ip nat inside source list 1 pool MojeKomputery
Ostatnim etapem konfiguracji translacji statycznej jest przypisanie interfejsów do części wewnętrznej,
gdzie będą widoczne adresy przed zamianą i zewnętrznej, gdzie widoczne będą adresy po zamianie. W
tym celu użyć należy identyczne instrukcje jak w przypadku translacji statycznej.
VIII PAT
Możliwa jest również taka translacja, w której wiele adresów jest zamienianych na jeden adres IP. Taki
rodzaj translacji określany jest akronimem PAT (ang. Port Address Translation).
Rozróżnienie, do której stacji należy dany pakiet odbywa się w oparciu o numer portu warstwy IV
modelu OSI/ISO. Przykładowo, jeśli stacja w sieci prywatnej nawiązuje połączenie z adresem
publicznym, to w ruterze brzegowym może być dokonana zamiana adresu zródłowego na adres
publiczny, a port zródłowy o numerze większym niż 1023 jest pozostawiany bez zmian o ile port ten
11
Sieci komputerowe I  wykład  Listy sterowania dostępem, NAT
nie jest już używany przez wcześniej realizowaną translację. Jeśli port zródłowy jest już używany,
wówczas w procesie translacji wykorzystywany jest następny wolny numer portu. Port docelowy
zwykle pozostaje niezmieniony. Jeśli stacja w sieci publicznej przesyła dane w odpowiedzi na
otrzymane dane, to w ruterze brzegowym następuje konwersja adresu publicznego docelowego na
adres prywatny. Jednoznaczne rozróżnienie jaki prywatny adres docelowy powinen być w ruterze
brzegowym użyty do przesłania danych, zamiast otrzymanego adresu publicznego, realizowane jest w
oparciu o port docelowy w pakiecie. Przykładowe adresy i porty zródłowe oraz docelowe pakietów
przesyłanych z sieci z adresami prywatnymi do sieci z adresacją publiczną pokazano w Tabeli 1 oraz 2.
W podanym przykładzie, konwersja adresu 192.168.40.1 dokonana została bez zmiany numerów
portów. Translacja adresu 192.168.40.20 zrealizowana została ze zmianą numeru portu zródłowego.
Tabela 1. Adresy i porty zródłowe oraz docelowe przed translacją
Adres zródłowy Port zródłowy Adres docelowy Port docelowy
192.168.40.1 15768 190.150.120.4 80
192.168.40.20 20456 190.150.120.4 80
Tabela 2. Adresy i porty zródłowe oraz docelowe po translacji PAT
Adres zródłowy Port zródłowy Adres docelowy Port docelowy
149.156.1.42 15768 190.150.120.4 80
149.156.1.42 20457 190.150.120.4 80
Konfiguracja translacji PAT uruchamiana jest przez użycie słowa overload. Przykład konfiguracji
zamiany adresów w ruterze przedstawionym na rys. 6 podany został poniżej.
Router(config)# access-list 1 permit 192.168.40.0 0.0.0.255
Router(config)# ip nat pool MojeKomputery 149.156.1.42
Router(config)# ip nat inside source list 1 pool MojeKomputery overload
Router(config)# interface Fa 0/0
Router(config)# ip nat outside
Router(config)# interface Fa0/1
Router(config)# ip nat inside
12


Wyszukiwarka

Podobne podstrony:
Sieci komputerowe I ACL NAT v2
Sieci komputerowe wyklady dr Furtak
Sieci komputerowe I Wykład 5
Sieci komputerowe I Wykład 8P
Sieci komputerowe I Wykład 6
Sieci komputerowe I Wykład 2P
Sieci komputerowe I Wykład 1P
Sieci komputerowe I Wykład 8
Sieci komputerowe I Wyklad 4P
Sieci komputerowe I Wykład 1
Sieci komputerowe I Wykład 6P
Sieci komputerowe I Wykład 3
Sieci komputerowe I Wyklad Mosty v1
Sieci komputerowe I Wyklad 3P
Sieci komputerowe I Wyklad 5P
Sieci komputerowe I Wykład 4
wyklad3 Wykłady z przedmiotu Sieci komputerowe – podstawy
4 Sieci komputerowe 04 11 05 2013 [tryb zgodności]

więcej podobnych podstron