RFC 3022: NAT – Ako funguje preklad adries v praxi

V sieťových kurzoch ako CCNA či CCNP sa určite stretnete s pojmom NAT – Network Address Translation. Tento protokol umožňuje viacerým zariadeniam v súkromnej sieti používať jednu verejnú IPv4 adresu – a to bezpečne a efektívne. Dokument RFC 3022 popisuje tzv. “Traditional NAT”, vrátane portovej verzie (NAPT/PAT) spolu s detailami o checksum korekcii. V tejto prehĺbenej príručke si krok‑za‑krokom rozoberieme statický NAT, dynamický NAT aj PAT, ukážeme debug výstupy a Cisco konfigurácie – tak, aby ste to zvládli v reálnom i lab prostredí.

Čo je RFC 3022 a prečo je dôležitý?

RFC 3022 (január 2001) nadväzuje na predchádzajúci RFC 1631 a definuje tzv. „traditional NAT“, teda základný preklad medzi súkromnými a verejnými IP adresami. Obsahuje tiež rozšírenie o porty (NAPT), čo umožňuje simultánne prekladať stovky vnútorných klientov na jedinú verejnú IP.

Hlavný účel NAT je šetriť cenné verejné IPv4 adresy, zároveň poskytovať základnú vrstvu izolácie medzi internou a externou sieťou. Podľa oficiálneho abstraktu RFC 3022, NAT umožňuje "many-to-one mapping of private to public addresses and ports" :contentReference[oaicite:0]{index=0}.

Typy NAT podľa RFC 3022

Static NAT (1:1) – pevný záznam medzi jednou privátnou a jednou verejnou adresou. Používa sa pre servery, kde potrebujete konzistentný reachable vstup zvonka.
Dynamic NAT – skupina verejných IP sa prideľuje automaticky podľa potreby, ale vždy v jednom ext. IP na interný klient.
NAPT / PAT (Many-to-One) – pričlenenie portov na jednej verejnej IP pre stovky súkromných klientov; najpoužívanejšia forma NAT v domácnostiach/firmách :contentReference[oaicite:1]{index=1}.

Detaily Traditional NAT a NAPT

Traditional NAT prekladá iba IP adresu, zmenou kontrolných súčtov prenášaných paketov :contentReference[oaicite:2]{index=2}. NAPT navyše mení portové čísla v TCP/UDP hlavičkách, čím umožňuje many‐to‐one mapping – keďže IP+port definujú unikátnu session :contentReference[oaicite:3]{index=3}.

Networking Vás výzýva!

Chcete zažiariť? Za 5 dní nadobudnete skvelé základy administrácie TCP/IP sietí, ktoré vám dajú networking skills na celý život. Stačí konať a prijať Networking výzvu a rezervovať si tento kurz

Prvá hodina zadarmo!

Ovládnite VLANy a Switche

Počítač môžete využiť aj inak ako na hry a zábavu. Poďte zarábať ako králi. Iba týždeň Vám stačí a máš skvelé základy TCP/IP networkingu nato, aby ste si napr. našli job ako jr. Networking engineer. Stačí prijať Networking výzvu

Prvá hodina zadarmo!

Ukážka výpočtu: Pri odchádzajúcom pakete je preložená aj transport checksum – router preregeneruje checksumy po prepise zdrojovej IP/portu.

Typická NAT konfigurácia na Cisco

!-- Static NAT (server interný):
ip nat inside source static 192.168.1.10 203.0.113.10

!-- Dynamic NAT s poolom:
ip nat pool DYN_POOL 203.0.113.20 203.0.113.30 prefix-length 24
access-list 100 permit 192.168.1.0 0.0.0.255
ip nat inside source list 100 pool DYN_POOL

!-- PAT (NAPT) – najčastejšie):
access-list 101 permit 192.168.1.0 0.0.0.255
ip nat inside source list 101 interface GigabitEthernet0/1 overload

Pomocou debug príkazov sledujeme spracovanie NAT:

debug ip nat translation
debug ip packet detail
show ip nat translations

Obmedzenia a šortky Traditional NAT

Symetria komunikácie: všetka komunikácia musí prechádzať cez rovnaký NAT router – inak sa v prekladoch stratia mappingy :contentReference[oaicite:4]{index=4}.
Protokoly používajúce embedované adresy (FTP, SIP, RTSP) vyžadujú ALGs – inak NAT „rozbije“ obsah paketu.
Problém s IPSec transport/ESP: NAT zmenou záhlavia poškodí autentifikáciu paketov.
Hairpinning: NAT smeruje traffic z interného klienta na externú IP späť dovnútra – niektoré zariadenia to nepodporujú.

Praktické scénare

Scenár 1: Carp obsluhujúci web server

Interný server 192.168.1.10 potrebuje byť dostupný z internetu.
aplikujeme static NAT na 203.0.113.10 → umožní responzívny vstup.

Scenár 2: Viac klientov na internete

Domáca sieť 192.168.1.0/24 -> PAT
každý klient môže simultánne surfovať,
externá komunikácia funguje cez jednotlivé porty.

Debug NAT – čo sledovať?

show ip nat translations – aktuálne TABuľky mappings
debug ip nat translations – realtime záznam NAT akcií
debug ip packet detail – vidíš packet pred a po zapise

FAQ – často kladené otázky

Musí NAT meniť porty vždy?
Nie – static NAT mení iba adresu, ale PAT/ NAPT mení aj port pre simultaneous klientov.
Prečo klient po NAT späti nefunguje?
Kompromitovaný routing alebo session mapping – potrebné routovať cez ten istý NAT box.
Podporuje NAT IPv6?
Nie – IPv6 používa iné postupy ako DHCPv6, NAT66 nezohľadňuje konektivitu end‑to‑end.
Kedy používať static vs dynamic vs PAT?
Static – pri bridžovaných službách (server), Dynamic – pre farmu alebo group', PAT – bežný Internet prístup pre mnoho klientov.
Je NAT bezpečnostný firewall?
Nie – iba skrýva private adresy, ale nefiltruje traffic (to je úlohou firewallu).

Top 5 zaujímavých faktov o NAT podľa RFC 3022

NAPT umožňuje stovkám klientov za jedinou IP – úplný game‑changer pre IPv4 úsporu.
RFC 3022 opravuje checksum korekciu (problém z RFC 1631) – stabilita a konzistencia NAT prevádzky.
Traditional NAT je uni‑directional – mappingy sú vytvorené na odchádzajúcej trafik, späť prichádzajúce musia byť cez ten istý NAT.
Transport‑layer checksumy sú prepísané aby prešli validáciou.
Bez ALGs je možné rozbiť protokoly ako FTP, SIP – embedovaná IP/port informácia nie je preložená.

Záver

RFC 3022 – Traditional NAT je jedným z najzásadnejších protokolov modernej IPv4 prevádzky. Statický NAT umožňuje serverom byť dostupným z internetu, Dynamic NAT poskytuje flexibilitu, no najradšej používame PAT – kde stovky zariadení surfujú cez jednu verejnú IP. Ale pozor – NAT mení checksumy, potrebuje ALGs, nie je firewallem a nie je riešením pre IPv6. Ak sa chystáte na kurzy CCNA/CCNP alebo staviate sieť, osvojte si konfiguráciu NAT, debug, scenáre – a budete pripravení na reálne aj laboratórne výzvy!

Kurz NA0 - Administrácia LAN/WAN a návrh TCP/IP sietí - základné koncepty