Podkast 22T7 NAT na routerze [Konfiguracja Cisco]

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podcastu. Dzisiejszy temat to NAT – Network Address Translation. Ten mechanizm miał początkowo nie funkcjonować. Jak wymyślano adresację IPv4 to początkowo było założenie, że (tak jak jest dzisiaj przy IPv6) nie będzie zamiany adresów IP w pakietach, ponieważ jest to nie potrzebny nakład obliczeniowy dla procesora w każdym urządzeniu sieciowym, który realizuje NAT-a. Trzeba zmienić adres dla każdego pakietu, następnie ponownie zmienić dla pakietu, który powraca. Jest to dodatkowa komplikacja. Niestety życie życiem i okazało się, że IPv4 jest szeroko wdrożone a adresów publicznych zaczyna być coraz mniej. W związku z tym, aby przedłużyć życie tego standardu wprowadzono translację adresów, która umożliwia po dziś korzystanie w wielu miejscach nadal z adresacji IPv4.

Głównie IPv6 dziś to jest Azja i operatorzy telefonii komórkowej, czy urządzeń mobilnych. Oni często używają adresów publicznych. Natomiast korporacje i firmy prywatne najczęściej korzystają z adresacji prywatnej i NATowania tego ruchu, czyli wymiany adresów prywatnych na publiczne dla ruchu wychodzącego.

Jeśli chodzi o inny aspekt, który często jest używany, czyli bezpieczeństwo – często NAT jest używany jako element zabezpieczający. Poniekąd jest to faktycznie skuteczna metoda, dlatego, że jeżeli nie jest właściwie skonfigurowany, czy nie ma sesji powracającej to oznacza tylko, że nie może się ktoś z zewnątrz podłączyć, jeśli ta sesja nie była zainicjowana od zewnątrz. Jest to plus, natomiast nie ma żadnej przeszkody, żeby zastosować tego typu mechanizm na Firewall stosując NAT-a. Firewall i tak jest w stanie rozróżniać sesje i przepuszczać te, które są zezwolone. Natomiast te, które nie były inicjowane od wewnątrz firmy, od strefy bardziej zaufanej i tak będzie blokował. Niestety okazuje się, że przejście z IPv4 na IPv6 jest to olbrzymi wysiłek. Im większa organizacja tym ten wysiłek jest większy w związku z tym, jeżeli nie ma konieczności, to po prostu firmy nie przechodzą na taki tryb. Nie wdrażają od razu IPv6. Najczęściej jest to realizowane przez etap przejściowy – równoległe używanie IPv4 i IPv6.

Tak czy inaczej NAT jest problemem dla urządzeń tańszych, prostszych, czyli dla chipset-ów, przełączników i iSIC-ów. To dlatego, że one nie trzymają informacji o stanie sesji. Jeśli dane urządzenie nie jest w stanie nam zarejestrować sesji wchodzących i wychodzących to nie jest też w stanie zareagować na to jaki ruch należy przepuszczać a jaki blokować w kontekście ruchu od strefy bardziej zaufanej do mniej zaufanej. Jednocześnie okazuje się, że najczęściej te NAT-y są realizowane na routerach, czyli na urządzeniach, które mają bardziej uniwersalny procesor, który umożliwia rejestrowanie sesji. To też oznacza, że rozwiązanie jest po prostu droższe. W zależności od tego, kto i co chce zrealizować, to można dobrać albo realizacje danej funkcjonalności na przełączniku, na routerze, na przełączniku routującym, na firewall-u lub na innych rozwiązaniach software-owych, np VPN-owych. W zależności od tego, jaki cel jest do uzyskania i jaki jest optymalny sposób realizacji i od strony bezpieczeństwa danej funkcjonalności i od strony realizacji funkcjonalności, czyli danego elementu, który ma nam dostarczyć tą usługę.

Na dziś to tyle, dziękuję Ci za uwagę. Jeśli chcesz zobaczyć konfigurację zapraszam do poniedziałkowego odcinka. Pozdrawiam 🙂