Ключевые слова:cisco, nat, (найти похожие документы)
From: Олег <rawsik@mail.ru.>
Date: Mon, 22 Sep 2008 17:02:14 +0000 (UTC)
Subject: Введение в подсети и настройку NAT на маршрутизаторе Cisco для начинающих
Наша цель, разбираться в подсетях, для себя и чтобы сдать на CCNA )
Что такое подсети ?
Подсетями мы можем разделить адресное пространоство на части, и выделить
новые, более малые сети. Большая подсеть, может быть представлена малыми
частями. Часть малая часть называется подсеть( subnet).
Например:
192.168.1.0 255.255.255.0
Это одна сеть класа C, с префиксом /24, в которой испольуется 253 адреса
для пользователей
используемый IP диапозон этой сети
192.168.1.0 - 192.168.1.254
последний IP адрес в каждой подсети называется широковещательным(броадкастом).
в этом сети броадкаст - 192.168.1.255
Если мы хотим разделить эту подсеть на две части, мы должны использовать
подсети. Для разделения на две подсети, мы должны использовать маску -
255.255.255.128
192.168.1.1 - 192.168.1.127
192.168.1.128 - 192.168.1.255
В приведёном примере, до разбиения у нас была одна большая сеть.
После разделения у нас стало две подсети.
С маской подсети 255.255.255.0 у нас следующая сеть:
192.168.1.0 - это адрес сети, который не используется в адресации
192.168.1.1
192.168.1.2
192.168.1.3
...
...
...
192.168.1.253
192.168.1.254
192.168.1.255 >>>это широковещательный IP адрес, который не используется в адресации
После разбиения у нас стало две подсети с маской 255.255.255.128
Первая подсеть:
192.168.1.0 - это адрес сети, который не используется в адресации
192.168.1.2
192.168.1.3
...
...
...
192.168.1.125
192.168.1.126
192.168.1.127 >>>это широковещательный IP адрес, который не используется в адресации
Вторая подсеть:
192.168.1.128 >>> это адрес сети, который не используется в адресации
192.168.1.129
192.168.1.130
192.168.1.131
...
...
...
192.168.1.253
192.168.1.254
192.168.1.255 >>>это широковещательный IP адрес, который не используется в адресации
Маска подсети показывает какая используется подсеть.
т.е. сколько компьютеров может быть использовать в этой подсети.
Подсеть 255.255.255.0 имеет бинарный вид
11111111.11111111.11111111.00000000
Что из этого видно?
Всего 4 блока, разделённых "." точкой, каждый блок также называется -
"октет". Потому что каждый блок имеет 8 бит. Для того что понять
разделение на подсети, сначала нужно понять бинарную(двочную) суть разделения.
Разберём первый блок.
первая "1" даёт значение 128
вторая "1" 64
третья "1" 32
четвёртая "1" 16
пятая "1" 8
шестая "1" 4
седьмая "1" 2
и восьмая 0
из это можно сделать вывод, что:
11111111=255
11110000=240
11100000=224
Если мы видить обозначение "/24", это значит что используется 24 бита, выставленых в "1", с слева направо.
пример:
/16 = 255.255.0.0 = 11111111.11111111.00000000.00000000
/20 = 255.255.240.0 = 11111111.11111111.11110000
Если мы ходим увидеть маску подсети для 255.255.255.255, то мы должны посчитать
128+64+32+16+8+4+2+1.128+64+32+16+8+4+2+1.128+64+32+16+8+4+2+1.
128+64+32+16+8+4+2+1
и в бинарном виде, она будет иметь вид
11111111.11111111.11111111.11111111
по количеству необходимых компьютеров, мы можем определить подсеть, и вычислить её значение.
если требуется :
"Сделайте подсеть, с 10 компьютерами в ней"
тогда
1. рассчитываем степерь от двух, чтобы результат был минимум 10
2^3=8. этого не хватит
2^4=16 это больше 10ти, как раз хватит.
2. Делаем последние четыре бита нашей подсети равными нулю.
11111111.11111111.11111111.11110000
в десятичном виде это
255.255.255.240
С этой минимальной маской подсети, мы имеем 10 компьютеров в сети, без исбыточности маски.
Ещё пример.
если требуется, создать подсеть с 70 компьютеами.
1. Рассчитываем степерь двойки, с минимальным значением 70
2^6=64. не хватает.
2^7=128. это следующие значение, и больше 70. Подходит.
2. Изменяем последние семь значений нашей маски подсети на ноль.
11111111.11111111.11111111.10000000
В десятичном виде это
255.255.255.128
Мы имеем маску подсети с количеством возможным компьютеров в ней 70 штук.
Вычисление броадкаста в подсети
Когда задача
" В подсети 172.16.64.0/20 найти адрес броадкаста."
1. первый шаг
/20 бит, обозначает маску 255.255.240.0
2. второй шаг
Переводим к бинарному виду, и находим "network-jumps", изменение маски
240 это 11110000
Последняя единица это десятичное 16. Это наше изменеие маски
(128/64/32/16/8/4/2/1)
3. третий шаг.
Напишите шаг подсети. Изменеие адресации при используемой маске.
172.16.64.0 - 172.16.79.255
+16 172.16.80.0 - 172.16.95.255
+16 172.16.96.0 - 172.16.111.255
+16 172.16.112.0 - 172.16.127.255
Т.к. Следующая сеть сеть в примере это 172.16.80.0, то широковещательный
адрес будет 172.16.79.255, т.к. этот IP адрес находится до начала
следующей подсети.
Ещё один пример нахождения широковещательного адреса:
например 172.16.64.0 /26
вычисляем
/26 это 255.255.255.192
192 в двоичном виде это 11000000
Последняя единица = 64, это и будет прыжок маски(изменени маски)
172.16.64.0 - 172.16.64.63 <<< это широковещательный адрес сети в нашем примере
172.16.64.64 - 172.16.64.127
172.16.64.128 - 172.16.64.191
Рассчёт первого и последнего IP адреса клиента в сети.
У нас есть подсеть 192.168.20.32 /27
Первый адрес зарезервирован для гэйта.
Какой первый и последний IP адрес для клиентов.
1.
/27 это 255.255.255.224
2.
224 это 11100000
последняя единица = 32, это наш "прыжок"
(128/64/32/16/8/4/2/1)
Действующие Ip адреса в этой сети:
192.168.20.33 - 192.168.20.62
(192.168.20.63 не используется, т.к. это широковещательный адрес).
192.168.20.64 <<<это адрес следующей сети!
И, так как, первый адрес используется под гэйт, то действующие Ip адреса это значение
от 192.168.20.34 до 192.168.20.62
Некоторые примеры из тестов, и правила их решения
Given that you have a class B IP address network range, which of the subnet mask
below will allow for 100 subnets with 500 usable host addresses per subnet?
A. 255.255.0.0
B. 255.255.224.0
C. 255.255.254.0
D. 255.255.255.0
E. 255.255.255.224
Решение:
какая степень двойки имеет значение больше 500?
2^7=128
2^8=256
2^9=512 >> девятка
теперь вычитаем девять бит с конца
11111111.11111111.11111110.00000000
в десятичном виде это
255.255.254.0
If a host on a network has the address 172.16.45.14/30, what is the address of the
subnetwork to which this host belongs?
A. 172.16.45.0
B. 172.16.45.4
C. 172.16.45.8
D. 172.16.45.12
E. 172.16.45.18
Решение:
172.16.45.14/30
/30 это 11111111.11111111.11111111.11111100
Последняя единица равна "4", это наш "прыжок".
172.16.45.0 - 172.16.45.3
172.16.45.4 - 172.16.45.7
172.16.45.8 - 172.16.45.11
172.16.45.12 - 172.16.45.15
172.16.45.16 - 172.16.45.19
Как видно, диапозон адресов 172.16.45.12 - 172.16.45.15.
и адрес сети это 172.16.45.12, ответ D
Which two of the addresses below are available for host addresses on the subnet
192.168.15.19/28? (Select two answer choices)
A. 192.168.15.17
B. 192.168.15.14
C. 192.168.15.29
D. 192.168.15.16
E. 192.168.15.31
F. None of the above
Решение:
/28 это 11111111.11111111.11111111.11110000
Последняя единица, равняется 16, это прыжок.
192.168.15.0 - 192.168.15.15
192.168.15.16 - 192.168.15.31
192.168.15.32 - 192.168.15.47
Только А и C входят в диапозон.
Е тоже входит, но является широковещательным адресом, и не может использоватся для компьютеров
Ответы A и C.
Расчёт Wildcard-Masks (Используемая в Access Lists и OSPF )
Наша сеть 192.168.32.0 /28
Только это сеть, должна быть запрещена в ацесс листах.
1.
Рассчитываем wildcard mask
/28 это 255.255.255.240
в бинарном виде
11111111.11111111.11111111.11110000
для wildcard mask, нам интересны только нули
11110000 переводим в десятичное значение
и считаем
128/64/32/16/8/4/2/1
это будет 8+4+2+1=15
т.е. наша wildcard mask будет:
0.0.0.15
access-list будет таким
access-list 1 deny 192.168.32.0 0.0.0.15
access-list 1 permit ip any any
теперь указываем использовать access-list на интерфейса, к примеру e0.
interface e0
ip access-group 1 out (or in!)
exit
Это нужно выучить!
степени двойки
2^2=4
2^3=8
2^4=16
2^5=32
2^6=64
2^7=128
2^8=256
2^9=512
2^10=1024
2^11=2048
2^12=4096
а также запомнить и записать наиболее часто испоьзуемые сети
128 192 224 240 248 252 254
NAT
NAT (от англ. Network Address Translation - "преобразование сетевых
адресов") - это механизм в сетях TCP/IP, позволяющий преобразовывать
IP-адреса транзитных пакетов. Также имеет названия IP Masquerading,
Network Masquerading и Native Address Translation. NAT используется для
экономии "белых" ip адресов, т.е. на один офис, можно выдать один
"белый" ip адрес за которым могут находится, достаточно большое
количество "серых" транслируемых адресов.
Большинство приватных(серых) сетей ( 192.168.х.х, 172.16.х.х, 10.х.х.х)
транслируются в публичные IP адреса, которые выдаются компании в
провайдером( ISP)
Несколько терминов, которые обязательно знать для понимания статьи. Эти
термины обязательны для знаний уровня CCNA.
Inside local address
Приватные IP адреса, не используемые в сети интернет
Inside global address
Публичные "белые" IP адреса принадлежащие локальной сети.
Outside local address
IP адреса в других сетях, которые видят inside host.
Не обязательно чтобы они были публичными.
Outside global address
"белые" IP адреса в сети интернет.
существуют три вида NAT'a
Static NAT
Один приватный IP адрес транслируется в ОДИН глобальный IP адрес.
Всегда несколько приватных IP адресов привязаны к нескольким глобальным(белым) IP адресам
Dynamic NAT
Приватный IP привязывается к белому IP, который выдаётся из пула(pool) заданых адресов.
т.е. соответствия адресов не жёстко прописано, а выбирается динамически.
Overloading
Много серых IP адресов используют один белый IP адрес.
Это вид, также известен как PAT (Port Address Translation).
Это вид динамического NAT'a.
Приватный IP адрес устанавливает соединения, например с source портом
2353. Пакет идёт к роутеру. Роутер транслирует приватный IP в публичный.
Роутер записывает информацию о адресе источнике и исходящему порту(
source IP and Port) в NAT таблицу. Когда приходит ответный пакет из
интернета, роутер снова проверяет NAT таблицу и транслирует пакеты
обратно приватному IP адресу, на порт записанный в NAT таблице.
Команды настройки
Static NAT
router(config)#ip nat inside source static <local-ip> <global-ip>
router(config)#interface fa0/4
router(config-if)#ip nat inside
router(config)#interface fa0/4
router(config-if)#exit
router(config)#interface s0
router(config-if)#ip nat outside
Dynamic NAT
router(config)#ip nat pool <name> <start-ip> <end-ip> {netmask <netmask> | prefix-length <prefix-length>}
router(config)#access-list <acl-number> permit <source-IP> [source-wildcard]
router(config)#ip nat inside source list <acl-number> pool <name>
router(config)#interface fa0/4
router(config-if)#ip nat inside
router(config-if)#exit
router(config)#interface s0
router(config-if)#ip nat outside
Overloading
router(config)#access-list <acl-number> permit <source-IP> <source-wildcard>
router(config)#ip nat inside source list <acl-number> interface <interface> overload
router(config)#interface fa0/4
router(config-if)#ip nat inside
router(config-if)#exit
router(config)#interface s0
router(config-if)#ip nat outside
источник - http://www.seteved.ru/index.php?option=com_content&task=view&id=20&Itemid=30
и http://www.seteved.ru/index.php?option=com_content&task=view&id=21&Itemid=30