NAT (Network Address Translation)

e
PAT (Port Address Translation)

Indirizzi private: RFC 1918 pone 3 blocchi di indirizzi IP privati:

Classe A: 10.0.0.0 ÷ 10.255.255.255 1 indirizzo di Classe A
Classe B: 172.160.0 ÷ 172.31.255.225 16 indirizzi di Classe B
Classe C: 192.168.0.0 ÷ 192.168.255.255 256 indirizzi di Classe C

I pacchetti con questi indirizzi non possono essere instradati su Internet. Gli indirizzi Internet Pubblici devono essere registrati
da autorità autorizzate dal a livello regionale; ad esempio per l’ Europa il registro è il RIPE che si occupa di riservare blocchi
di indirizzi IP pubblici ai registri nazionali (in Italia è il NIC di Pisa) e da questi agli ISP cioè ai provider.

Il NAT traduce gli indirizzi privati in indirizzi pubblici instradabili. Incrementa la sicurezza perché nasconde gli indirizzi IP
privati. Un dispositivo NAT è in genere al bordo di una stub network (rete con un solo accesso verso l’esterno).

Cisco usa la seguente terminologia NAT:

 Inside local address: indirizzo IP interno (normalmente l’ indirizzo IP privato) alla rete; ad es. 192.168.10.10
 Inside global address: indirizzo IP pubblico con cui l’ IP interno viene tradotto per uscire su Internet; ad es.
109.165.200.226 che è il primo indirizzo utile del pool (109.165.200.226 -109.165.200.230) di indirizzi IP disponibili.
 Outside global address: rappresenta l’ indirizzo pubblico del server ad es. 209.165.201.1 da raggiungere su Internet.

 Outside local address: normalmente coincide con l’ outside global address (209.165.201.1); raramente nel caso in cui sia
un indirizzo privato (es.192.168.10.201) rappresenta l’indirizzo non pubblico e quindi interno non instradabile con cui è
conosciuto il server esterno.

1
 Caratteristiche principali di NAT e PAT
NAT può essere statico o dinamico.
 Il NAT statico permette una mappatura manuale 1 a 1 tra un indirizzo locale e un indirizzo globale. E’ utile per gli host che
devono avere una diretta visibilità da Internet (esempio: WEB enterprise servers).
 Il NAT dinamico 1 a 1 serve a mappare dinamicamente un indirizzo IP privato in un indirizzo pubblico.

 Il NAT dinamico n a 1 detto Overload o PAT (Port Address Translation) permette di mappare dinamicamente tanti
indirizzi IP privati in un solo indirizzo IP pubblico. Questo è possibile perché ogni indirizzo privato è accompagnato da un
numero di porta TCP o UDP.

Il numero di porta è codificato a 6 bit. Il numero di indirizzi interni che può essere tradotto con un solo indirizzo pubblico è
sono teoricamente 65536 indirizzi, in pratica circa 64000 (da 1024 a 65535) perché i primi 1024 sono riservati ai servizi.
PAT cerca di preservare la porta sorgente originale, se è già usata assegna quella successiva disponibile
Quando non ci sono più porte disponibili e c’è più di un indirizzo IP esterno disponibile, PAT usa l’indirizzo IP successivo del
pool di indirizzi IP assegnati pubblici
I vantaggi del NAT/PAT sono:
1) Preserva e permette di ottimizzare l’ uso degli indirizzi pubblici assegnati ad un’ organizzazione.
2) Protegge la sicurezza della rete
3) Evita di dover rassegnare tutti gli indirizzi se si cambia provider.

Configurazione di NAT e PAT

 NAT statico: nell’ esempio l’ indirizzo privato 10.1.1.2 viene conosciuto su Internet come 192.168.1.2; tale configurazione
permette connessioni entranti e uscenti dalla rete interna.

2
 NAT dinamico: (1 a 1) nel caso in cui si ha a disposizione un pool di n indirizzi pubblici (nell’esempio n=16 da 179.9.8.80
fino a 179.9.8.95) si possono fare fino ad un massimo n traduzioni dinamiche 1 a 1. Nel caso di NAT dinamico occorre
scrivere prima una access list per indicare gli indirizzi privati (es. rete 10.1.0.0/24) che sono permessi per la traduzione in IP
pubblico. Tale configurazione permette solo connessioni uscenti dalla rete interna.

 NAT dinamico n a 1 o OVERLOAD (PAT):è configurato in 2 modi a seconda del numero di IP pubblici disponibili
1) ISP dà un solo indirizzo IP pubblico (esempio modem/router ADSL di casa): tale configurazione permette la navigazione
verso Internet da parte delle sottoreti 192.168.2.0/24 e 192.168.3.0/24) con il solo indirizzo IP pubblico assegnato alla seriale 0
(172.16.2.1)

2) se ISP mette a disposizione più indirizzi IP pubblici (pool)

Rispetto alla configurazione precedente viene definito un pool di indirizzi IP pubblici (nat-pool2) con il comando ip nat pool;
questo pool va indicato nel comando ip nat inside source list 1 pool nat-pool2 overload (parametro pool nat-pool2 anziché
serial 0 nel caso di un solo indirizzo IP)

3
 Comandi di verifica (troubleshooting) del NAT/PAT

 Router# show ip nat translations mostra la tabella delle traduzioni attive

 Router# show ip nat statistics mostra le statistiche delle traduzioni attive

 Router# clear ip nat translation cancella tutte le traduzioni dinamiche

 Router# debug ip nat per verificare in tempo reale le operazioni fatte da NAT

dove
s=indirizzo ip sorgente -> indirizzo ip tradotto
d=indirizzo ip destinatario [value]
value è il numero di identificazione IP, è un numero crescente ad ogni pacchetto

 Router# debug ip nat detailed genera una descrizione dettagliata per ogni pacchetto tradotto