NAT: pule nieciągłe na CAT8500

Cześć, w dzisiejszym wpisie odkryjemy pewną „tajemnicę” dotyczącą konfiguracji NAT na routerach serii CATALYST 8500! Zapraszam do krótkiej, ale jakże wartościowej lektury.

O samym mechanizmie NAT można by napisać osobną książkę. O konfiguracji również ? Wydawać by się mogło, że NAT to tylko translacja prywatnych źródłowych adresów IP, w celu zapewnienia dostępu do Internetu użytkownikom w sieci domowej czy firmowej. Tymczasem NAT to przykładowo również:

  • translacja docelowych adresów IP (destination NAT)
  • jednoczesna translacja adresów źródłowych i docelowych (twice NAT)
  • translacja typu CGNAT (używane przez ISP, istnieją dedykowane platformy pod CGNAT, np. A10)
  • NAT-PT oraz NAT64 (translacja między IPv4 a IPv6)
  • NAT ALG (translacja adresów w protokołach warstwy wyższej, np. SIP)

Jak już zdążyliśmy się przekonać świat NATa jest znacznie szerszy niż mogłoby się wydawać ?

Jednak wracając do sedna. Z naszego doświadczenia wynika, że większość naszych Klientów przy konfiguracji puli NAT używa standardowego polecenia:

ip nat pool MOJA-PULA 1.1.1.0 1.1.1.255 prefix-length 24

Nic dziwnego, taka konfiguracja jest jak najbardziej prawidłowa i była szeroko wykorzystywana również na starszej platformie ASR1000. Okazuje się jednak, że nie każdy jest w stanie przeznaczyć na potrzeby NAT jedną ciągłą pulę – czy to /25, /24, /23 itp. Z różnych powodów (np. zaszłości historyczno-konfiguracyjne) spowodowały, że również niemożliwe jest uporządkowanie całej przestrzeni adresowej bez spowodowania przerwy w działaniu usług, co może być nieakceptowalne. Co więc zrobić, gdy na potrzeby NAT możemy przeznaczyć „nieuporządkowane” adresy IP?

Zużyte przestrzenie adresowe

Wyjaśniając sytuację z grafiki:

  • niebieski blok to nasza przestrzeń adresowa,
  • czerwone bloki to zajęte adresy IP, więc pozostają nam puste i nieciągłe przestrzenie pod NAT.

Na platformach CAT8500 (jak i również ASR1000) mamy na to rozwiązanie! Konfiguracja wygląda w następujący sposób:

ip nat pool PULA-NIECIAGLA prefix-length 25

address 1.1.1.192 1.1.1.255

address 1.1.3.128 1.1.3.196

address 1.1.3.224 1.1.3.247

Jak widać sposób jest bardzo prosty, ale jak pokazuje nasze doświadczenie, znaczna część naszych klientów po prostu go nie zna. Jednak drogi czytelniku pamiętaj – konfiguracja NAT to nie tylko pula adresów IP, ale również szereg różnych innych ustawień, chociażby:

Wszystkie te i inne parametry składają się na dość złożony i nieoczywisty proces konfiguracji NAT. Jest wiele czynników, które należy uwzględnić i w oparciu o nie prawidłowo dobrać wartości konkretnych parametrów. Nasz zespół ekspertów sieciowych przez lata praktyki i poprzez wiele wdrożeń w różnych sektorach opracował standardy i schematy konfiguracyjne skrojone na miarę każdych potrzeb. Jeśli potrzebujesz skonfigurować NAT w sposób ekspercki, wydajny i bezpieczny to trafiłeś w dziesiątkę – serdecznie zapraszamy do kontaktu!

Marcin Kaczyński – starszy inżynier ds. sieci, CCNA, CCNP, CCIE

Od wielu lat związany z branżą, wywodzi się z rynku operatorów ISP, przez co ma bardzo duże wyczucie specyfiki i potrzeb operatorskich. Marcin obecnie jest głównym wdrożeniowcem technologii u operatorów. Dodatkowo wyróżnia się certyfikacją rozwiązań Infoblox – DDIP – i z pasją zgłębia tajniki bezpieczeństwa ekosystemu DNS. W prywatnym czasie pochłania go rozwój zawodowy, sport i zdobywanie szczytów górskich.

Marcin Kaczyński - starszy inżynier sieciowy
2024-10-28T15:03:29+01:00
Przejdź do góry