Statický vs. dynamický NAT v systému Cisco: co, kdy a proč?

Při správě podnikových sítí na Cisco zařízeních se často zamýšlíme nad otázkou: jak efektivně přeložit interní adresy na jednu nebo více veřejných a zároveň zajistit správnou dostupnost provozu? Odpověď najdeme v NAT – Network Address Translation –, zejména ve formě statického NATu, dynamického NATu a jeho oblíbené varianty PAT (Port Address Translation). V tomto článku se naučíte, kdy použít který typ, jak jej nakonfigurovat a jak se vyhnout běžným chybám. Vysvětlujeme jednoduše, srozumitelně, ale zároveň technicky přesně.

1. Proč potřebujeme NAT?

Úspora veřejných IP adres: jsou omezené a zpravidla zpoplatněné.
Zabezpečení sítí: NAT „skrývá“ interní sítě před internetem, čímž snižuje prostor pro útoky.
Dostupnost služeb: NAT umožňuje, aby interní server (web, mail, VPN) byl přístupný z internetu.

Existují tři hlavní režimy NAT: statický, dynamický a PAT. Každý slouží jinému účelu a má své výhody i omezení.

2. Statický NAT – pevně přiřazená IP

Statický NAT mapuje jednu interní IP adresu pevně na jednu veřejnou. Používá se zejména pro servery, které musí být trvale dostupné z internetu.

ip nat inside source static 192.168.1.100 203.0.113.5

Výhody: jednoduchý přístup, předvídatelnost, vhodné pro audit a ACL.
Omezení: nutnost dostatečného počtu veřejných adres.

Scénář: máte webový nebo poštovní server, chcete, aby byl vždy dostupný pod konkrétní IP. Použijete statický NAT.

3. Dynamický NAT – flexibilní skupina adres

Dynamický NAT využívá pool veřejných IP adres. Interní zařízení si z něj vybírají podle dostupnosti.

ip nat pool WebPool 203.0.113.10 203.0.113.20 netmask 255.255.255.0
access-list 10 permit 192.168.1.0 0.0.0.255
ip nat inside source list 10 pool WebPool

Výhody: automatické přidělování, přehlednost pro administrátory.
Nevýhody: vyžaduje pool – omezený počet IP adres.

Scénář: interní uživatelé potřebují internet, ale nevyžadují statickou veřejnou adresu – dynamický NAT je ideální.

Networking Vás výzýva!

Chcete zažiariť? Za 5 dní nadobudnete skvelé základy administrácie TCP/IP sietí, ktoré vám dajú networking skills na celý život. Stačí konať a prijať Networking výzvu a rezervovať si tento kurz

Prvá hodina zadarmo!

Ovládnite VLANy a Switche

Počítač môžete využiť aj inak ako na hry a zábavu. Poďte zarábať ako králi. Iba týždeň Vám stačí a máš skvelé základy TCP/IP networkingu nato, aby ste si napr. našli job ako jr. Networking engineer. Stačí prijať Networking výzvu

Prvá hodina zadarmo!

4. PAT – sdílení jedné adresy

PAT, známý také jako přetížený NAT, umožňuje více interním klientům používat jednu veřejnou IP pomocí různých portů.

access-list 10 permit 192.168.1.0 0.0.0.255
ip nat inside source list 10 interface GigabitEthernet0/1 overload

Výhody: nejefektivnější využití veřejné IP, ideální pro mnoho klientů.
Omezení: NAT tabulka může být přeplněná při vysokém počtu spojení.

Scénář: kancelář/desítky počítačů – PAT umožní všem připojení k internetu přes jednu veřejnou IP.

5. Kdy použít který typ NAT?

Typ NAT	Výhoda	Kdy použít
Statický NAT	Pevné mapování IP, předvídatelnost	Pro servery (web, mail, VPN)
Dynamický NAT	Flexibilita, pool více IP	Pro interní přístup na internet
PAT	Jedna IP → mnoho klientů, oddělení porty	Standard pro kancelářskou infrastrukturu

6. Přesměrování portů a firewall

Jak zajistit, aby externí svět mohl přistupovat pouze na určité služby? Pomůže kombinace NAT a ACL.

ip nat inside source static tcp 192.168.1.100 80 203.0.113.5 80
access-list 100 permit tcp any host 203.0.113.5 eq 80
access-list 100 deny ip any any log
interface GigabitEthernet0/1
 ip access-group 100 in

Zajistíme, že pouze port 80 bude přístupný zvenku.
Zamezíme nechtěnému přístupu na jiné porty.

7. Běžné chyby při konfiguraci NAT

Nedefinovaná rozhraní NAT (inside/outside).
ACL bez explicitního „deny any“ na konci.
Chybné masky v ACL (wildcard vs netmask).
Přeplněná PAT tabulka při velkém počtu relací.

8. Zajímavosti o NAT/PAT

PAT zvládne až ~64 000 simultánních spojení přes jednu IP.
Statický NAT je „transparentnější“ pro reverse DNS a audity.
PAT tabulka se aktualizuje při každé relaci – router může být přetížen.
Při změně veřejné IP je nutné upravit NAT pravidla.
ACL a NAT se často kombinují – NAT překládá IP, ACL filtruje přenosy.

Závěr

Statický NAT, dynamický NAT a PAT jsou základní technologie pro překlad adres na Cisco routeru. Každá má svůj účel – od zabezpečení serverů, přes poskytování připojení k internetu, až po efektivní sdílení IP. Kombinace s ACL posiluje bezpečnost sítě. Chcete-li mít vše pod kontrolou a připravit se na reálné scénáře, doporučujeme kurz NA3 – Základy překladu adres, NAT, PAT a základní firewall.

Kurz NA0 - Administrace a návrh LAN/WAN TCP/IP sítí - základní koncepty

Kurz NA1 - Základy administrace sítí LAN/WAN a směrování v TCP/IP sítích

Jak začít programovat?

Úvod do programování pro každého bez předchozích znalostí.

Stáhněte si náš ebook teď výjimečně zdarma!!!

STÁHNOUT TEĎ

Viac informacií preberáme na kurze:

Kurz NA3 - Základy překladu adres NAT/PAT a základní firewall

Marián Knězek