NAT er forkortelsen for “Network Address Translation” og benyttes til f.eks. at oversætte private IP-adresser til offentlige. Ved at benytte alternerende sourceports kan man translatere et eller flere netværk til en offentlig IP-adresse. Den teknik kendes som many-one NAT, IP masquarading, PAT (Port Address Translation) og SUA (Single User Account). NAT oversætter IP pakkerne således at de på ydersiden ser ud til at have en anden afsenderadresse (eller source/destination port) end maskinen, de oprindeligt kommer fra. NAT er i langt de fleste tilfælde transparent for slutbrugeren.
Der vil dog i visse tilfælde opstå et problem, på grund af at slutbrugeren ikke har en unik offentlig IP-adresse. Der er visse protokoller og aplikationer, der kræver dette. NAT-enheden tager specielt hensyn til de mest udbredte tjenester som f.eks. aktiv FTP eller Voice over IP, men der kan være problemer med netværksspil over Internettet. Hvis en bruger bag en NAT-device har brug for at opsætte en server, kræver det en statisk 1-1 mapning af IP-adresserne eller at en specifik port translateres og mappes til en intern IP-adress.
Der findes tre forskellige former for nat:
- Statisk NAT = Mapping af 1 IP addresse til 1 IP addresse
- Dynamisk Nat = Mapping af flere IP addresser til 1 IP addresse
- Overloaded Nat = Nat med Port-Address Translation = PAT (Bliver gjort I OSI lag 4)
NAT modes
- Outside Local
- Inside Global
- Inside Local
- Inside netværk = typisk organisationens eget LAN
- Outside network = typisk internettet
- Local addresses = En netværks-ID som den ser ud fra en anden node eller host på samme LAN
- Global addresses = Hvordan noden ser ud set fra et andet netværk
- Inside local address = Adressen set fra samme LAN
- Inside global address = Adressen set udefra
Eksempel: Hvis man fx ønsker at bruge adressen 209.165.201.2 til internet adgang skal man:
- Både definere sit inside og outside interface
- Opret en acl-liste for at kunne identificerere interessant trafik
- Skab en pool af adresser
- Aktiver adresse oversættelsen
// All you need to know
Interface ethernet 0 ip address 10.10.10.1 255.255.255.0 ip nat inside
!— Difines ethernet 0 with an ip address and as a nat inside interface
Interface serial 0 ip address 172.16.10.64 255.255.255.0 ip nat outside
!—Defines serial 0 with an ip address as a Nat outside interface
Ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
!— Defines a Nat pool named ovrld with a range of a single ip !– Address, 172.16.10.1
Ip nat inside source list 7 pool ovrld overload
!…. Indicates that any packets recived on the inside interface that! — are permitte by access-list 7 has the source address!— translated to an address out of the NAT pool named ovrld! — Translations are overloaded, witch allows multiple inside! .. Devices to be translated to the same valid P address!.