Statické vs dynamické NAT na Cisco: čo, kedy a prečo?
Pri správe podnikových sietí na Cisco zariadeniach sa často zamýšľame nad otázkou: ako efektívne preložiť interné adresy na jednu alebo viac verejných a zároveň zabezpečiť správnu dostupnosť prevádzky? Odpoveď nájdete v NAT – Network Address Translation –, najmä vo forme statického NAT, dynamického NAT a jeho obľúbenej verzie PAT (Port Address Translation). V tomto článku sa naučíte, kedy použiť ktorý typ, ako ho nakonfigurovať a ako sa vyhnúť bežným chybám. Vysvetľujeme jednoducho, zrozumiteľne, ale zároveň technicky presne.
1. Prečo potrebujeme NAT?
- Úspora verejných IP adries: sú limitované a spravidla spoplatnené.
- Zabezpečenie sietí: NAT „ skrýva“ interné siete pred internetom, čím znižuje attack surface.
- Dostupnosť služieb: NAT umožňuje, aby interný server (web, mail, VPN) bol prístupný z internetu.
Existujú tri hlavné režimy NAT: statický, dynamický a PAT. Každý slúži inému účelu a má svoje výhody i limity.
2. Statický NAT – jasná premenná IP
Statický NAT mapuje jednu internú IP adresu pevne na jednu verejnú. Používa sa najmä pre servery, ktoré musia byť stále dostupné z internetu.
ip nat inside source static 192.168.1.100 203.0.113.5- Výhody: jednoduchý prístup, predvídateľnosť, dobré pre audit a ACL.
- Obmedzenia: potreba dostatok verejných adries.
Scenár: máte webový alebo mail server, chcete, aby bol vždy pod konkrétnou IP. Použijete statický NAT.
3. Dynamické NAT – flexibilná skupina adries
Dynamický NAT využíva pool verejných IP adries. Interné zariadenia si vyberú z poolu podľa dostupnosti.
ip nat pool WebPool 203.0.113.10 203.0.113.20 netmask 255.255.255.0
access-list 10 permit 192.168.1.0 0.0.0.255
ip nat inside source list 10 pool WebPool- Výhody: automatické prideľovanie, transparentnejšie pre administrátorov.
- Nevýhody: vyžaduje pool – limitovaný počet adries.
Scenár: interní používatelia potrebujú internet, ale nepotrebujú statickú verejnú adresu – dynamický NAT je ideálny.
4. PAT – hladké zdieľanie jednej adresy
PAT, známe tiež ako nútený NAT, umožňuje viacerým interným klientom využívať jednu verejnú IP pomocou rôznych portov.
access-list 10 permit 192.168.1.0 0.0.0.255
ip nat inside source list 10 interface GigabitEthernet0/1 overload- Výhody: najúspornejšie použitie verejnej IP, ideálne pre veľa klientov.
- Limity: NAT tabuľka môže byť prekročená pri vysokom počte spojení.
Scenár: kancelária/desiatky počítačov – PAT umožní všetkým internet spojiť cez jednu verejnú IP.
5. Kedy použiť ktorý typ NAT?
| Typ NAT | Výhoda | Kedy použiť |
|---|---|---|
| Statický NAT | Pevné mapovanie IP, predvídateľnosť | Pre servery (web, mail, VPN) |
| Dynamický NAT | Flexibilita, pool viacerých IP | Pre interný internetový prístup |
| PAT | Jedna IP -> mnoho klientov, portová izolácia | Štandard pre kancelársku infraštruktúru |
6. Presmerovanie portov a firewall
Ako zabezpečiť, aby externý svet mohol pristupovať len na určité služby, nie však viac? Zafunguje kombinácia NAT a ACL.
ip nat inside source static tcp 192.168.1.100 80 203.0.113.5 80
access-list 100 permit tcp any host 203.0.113.5 eq 80
access-list 100 deny ip any any log
interface GigabitEthernet0/1
ip access-group 100 in- Zabezpečíme, že len port 80 je dostupný zvonka.
- Zamedzíme neželanému prístupu na iné porty.
7. Bežné chyby pri NAT konfigurácii
- Nezadefinované rozhrania NAT (inside/outside).
- ACL bez explicitného deny any na konci.
- Nesprávne ACL masky (wildcards vs netmask).
- Prehltnutie PAT tabuľky pri veľkom počte simultánnych relácií.
8. Zaujímavosti o NAT/PAT
- S PAT môžete obslúžiť až ~64 000 simultánnych spojení cez jednu IP.
- Statický NAT je „transparentnejší“ pre reverse DNS a audit.
- PAT tabuľka sa aktualizuje každú reláciu – výkon routera môže slabnúť.
- Pri zmene verejnej IP musíte upraviť NAT pravidlá (statickú alebo PAT).
- ACL a NAT sú často kombinované – NAT mení IP, ACL filtruje spojenia.
Záver
Statický NAT, dynamický NAT a PAT sú základné technológie pre preklad adries na Cisco smerovači. Každá má svoj účel – od zabezpečenia serverov, cez poskytovanie internetu, až po efektívne zdieľanie jednej IP. Kombinácia s ACL umocňuje ochranu sietí. Ak chcete mať všetko pod kontrolou a pripraviť sa na reálne situácie, praktické scenáre a laboratórnu prácu nájdete na kurze NA3 – Základy prekladania adries, NAT, PAT a základný firewall.
Ako začať programovať?
Úvod do programovania pre každého bez prechádzajúcich znalostí.
Stiahnite si náš ebook teraz výnimočne zdarma!!!
Viac informacií preberáme na kurze:
Kurz NA3 - Základy prekladania adries NAT/PAT a základný Firewall
Súvisiace články:
- TCP vs UDP: Kľúčové rozdiely a použitie v praxi
- Diagnostika TCP/IP sietí – nauč sa riešiť chyby ako profi
- IPv4 adresovanie krok za krokom – rozumej subnetom a CIDR
- Nákup verejných IPv4 adries – čo, kde a za koľko?
- Dynamické smerovanie: RIP, OSPF i EIGRP v akcii
- Windows TCP/IP nástroje pre sieťovú diagnostiku – ipconfig, traceroute, pathping
- Ako fungujú metódy forwardovania (Store‑and‑Forward, Cut‑Through, Fast‑Forward) na Cisco switchoch