Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Netzwerkkomponenten

 
Dynamisches NAT, Pool NAT, PAT.....

geschrieben am 05.03.2007 um 12:39 von HBuchek

ich bin völlig neu hier, daher erst einmal ein zünftiges

"Tach auch!"

an diese Community.

Das Subject beschreibt es schon, was ich fragen möchte: es gibt viele unterschiedliche Erklärungen für die vorhandenen Begriffe bezüglich NAT. Ich habe auch den Artikel von "bewa" gelesen (http://www.nwlab.net/netzwerk-forum/Netzwerktechnik/Wettbewerb/1-Platz-Eine-Einfuehrung-in-NAT-163.html); aber eine Google-Recherche zum Thema "Dynamisches NAT" fördert fast nur Seiten zu Tage, die unter eben diesem Begriff das klassische PAT verstehen (legt man den erwähnten Artikel von bewa zugrunde).

Für die Arbeit muss ich folgendes realisieren: externes Interface an einem Router hat ein Class-C-Netz, am internen Interface tummeln sich mehrere Class-C-Netze. Jede Adresse aus dem internen Netz (egal, welches !) soll nun auf eine eindeutige Adresse aus dem externen Netz genattet werden. PAT darf entweder gar nicht oder nur dann erfolgen, wenn der externe Adressraum ausgeschöpft ist. Oder wenn ein interner Client über die gleiche Route eine zusätzliche Verbindung eröffnet.

Heisst das wirklich "dynamisches NAT"? Oder doch "Pool NAT"? Oder ist das dasselbe?

Welche Router können das?

Wer kann die im Artikel von bewa (den ich für sehr gut lesbar halte) verwendeten Begriffsdefinitionen bestätigen?

So viele Fragen, danke jetzt schonmal für Eure Hilfe.
 

geschrieben am 05.03.2007 um 16:42 von bewa

Re: Dynamisches NAT, Pool NAT, PAT.....

Moin.

Zur Unterscheidung dynamisch/statisch: Damit ist gemeint, ob die Adresse die ein Rechner global/"außen" erhält immer gleich ist, oder einfach die nächstbeste zugeteilt.

Beispiel:
Zum Adress-Pool für "außen"/extern/global gehören die Adressen 1.1.1.1 bis 1.1.1.4.
Statisches NAT wäre z.B. PC 2 erhält IMMER die 1.1.1.2 nach außen, intern hat er z.B. die 192.168.1.2
Dynamisches NAT wäre z.B. PC 1 hat gerade gar keine NAT-Einträge, damit ist die .1 noch frei und PC 2 erhält wenn NAT-Einträge gemacht werden die 1.1.1.1. Wenn jetzt z.B. PC 27 als nächster einen NAT-Eintrag braucht, bekommt er die 1.1.1.2, wenn es die nächste freie Adresse ist. Der Witz bei der Sache: Die Einträge müssen eben NICHT wie beim statischen NAT 1:1 zugeordnet werden, da es für viele Anwendungsfälle auch völlig egal ist, wer jetzt welche IP benutzt, solange es eine gültige ist.


Das google soviel zu "PAT" (oder bei Cisco auch oft "dynamic NAT with overloading" bezeichnet) ausspuckt, liegt daran dass der mit Abstand häufigste Fall ist. Fast jeder Heim-Router verwendet die Technik, da er nur genau eine IP vom Provider bekommt und gar nichts anderes als PAT bzw. Overloading verwenden kann.

Cisco verwendet in letzter Zeit fast nur noch "Overloading" für PAT. Hier findest du noch einen schönen Artikel zu NAT:
http://www.cisco.com/warp/public/556/nat-cisco.shtml

"HBuchek" wrote:


Für die Arbeit muss ich folgendes realisieren: externes Interface an einem Router hat ein Class-C-Netz, am internen Interface tummeln sich mehrere Class-C-Netze. Jede Adresse aus dem internen Netz (egal, welches !) soll nun auf eine eindeutige Adresse aus dem externen Netz genattet werden.


Kein Problem. Du musst nur die ganzen (Sub-)Interface über die die verschiedenen Netze zum Router "rein kommen" zur NAT-Innenseite erklären, dann wird gleichberechtigt verteilt. Ein Beispiel als Cisco-Config (die aber auch sonst leicht verständlich sein sollte) findest du hier:
http://www.cisco.com/warp/public/556/12.html#topic4
eth0 und eth1 sind NAT-Innenseite, serial0 ist außenseite, es wird NICHT überladen, also kein PAT.

Quote:

PAT darf entweder gar nicht oder nur dann erfolgen, wenn der externe Adressraum ausgeschöpft ist.


Ich habe schon länger kein NAT mehr in größerem Umfang konfiguriert, aber wenn ich mich recht erinnere, müsste das Standard-Verhalten sein, wenn man einen Pool UND Overloading konfiguriert. Ich kann es aus Zeitgründen gerade nicht nachschauen, aber vielleicht steht das auch irgendwo in den zitierten Dokumenten. Müsste ich bei Gelegenheit mal mit dynamips oder im Lab nachbauen, aber momentan fehlt mir die Zeit dazu,

Quote:

Heisst das wirklich "dynamisches NAT"? Oder doch "Pool NAT"? Oder ist das dasselbe?


Zur Unterscheidung dynamisch/statisch siehe oben. "Pool NAT" bedeutet einfach nur: Es gibt nicht nur EINE externe Adresse, sondern gleich mehrere, siehe dazu auch den zweiten Cisco-Link weiter oben, dort geht der Pool von 172.16.10.1 bis 172.16.10.63. Aus diesem "Pool" (englisch u.a. für "Vorrat") kann sich der Router bedienen, wenn er dynamisch die Adressen zuordnet, also in diesem Fall dynamisches NAT mit einem Pool von Adressen. Wenn nur eine IP, z.B. 172.16.10.1, zur Verfügung steht, wäre es kein Pool-NAT, könnte aber trotzdem auch ohne PAT/Overloading dynamisches NAT sein. Dann bekommt halt der erstbeste der sich meldet die Adresse und die anderen haben solange Pech, bis der Eintrag entfernt wurde, vorausgesetzt es wurde eben KEIN Overloading/PAT konfiguriert.

Quote:
Welche Router können das?


Hmm, wenn du konkret einen Router suchst solltest du deine Anforderungen etwas näher umschreiben. Wieviele Schnittstellen von welchem Typ sind nötig, welcher Datendurchsatz, Filtern ja/nein, QoS nötig ja/nein, IPSec nötig ja/nein, modular ja/nein, usw. Ansonsten reden wir hier über eine Preisspanne vom zweistelligen bis zum siebentelligen Bereich und ein paar hundert wenn nicht gar ein paar tausend verschieder Modelle von mindestens einem Dutzend Herstellern. (NATten in verschiedenen Spielarten kann fast jeder Router und viele L3-Switche der etablierten Hersteller. Die entscheidende Frage ist was er sonst noch können muss. Ob jeder wirklich genau das kann was du beschrieben hast, sei dahingestellt, ich hatte das als Anforderung noch nicht in der Praxis.)
 

geschrieben am 06.03.2007 um 10:26 von HBuchek

Moin?

Hallo bewa,

wenn "Moin", dann aus'm Norden? In diesem Falle ein ebenso nordisches "Moin" zurück!

Danke für Deine Antwort. Bezüglich der Frage, welcher Router so etwas kann, werde ich gerne etwas konkreter. Ich habe einen "Funkwerk bintec r1200" und kann nicht ersehen, ob der schlau genug für meine erklärten Zwecke ist. Mein Problem ist, dass der ansonsten recht gute bintec-Support mich entweder nicht versteht oder ich mich nicht klar genug ausdrücke....daher auch meine Frage, wie offiziell und standardisiert die verwendeten Begriffe sind. Ist mein Ansinnen soooo extravagant?
 

geschrieben am 06.03.2007 um 11:06 von bewa

Re: Moin?

Moin.

"HBuchek" wrote:
Hallo bewa,

wenn "Moin", dann aus'm Norden?


Nicht ganz, hier ist (so gerade noch) NRW. :-) Aber zum einen ist das hier als Gruß auch üblich, zum anderen habe ich viele Kollegen die früher in OL gearbeitet haben, das färbt ab. :-)

Quote:
Ich habe einen "Funkwerk bintec r1200" und kann nicht ersehen, ob der schlau genug für meine erklärten Zwecke ist.


Da muss ich passen, ich bin fast völlig auf Cisco geeicht.

Quote:
Mein Problem ist, dass der ansonsten recht gute bintec-Support mich entweder nicht versteht oder ich mich nicht klar genug ausdrücke....daher auch meine Frage, wie offiziell und standardisiert die verwendeten Begriffe sind.


Sorry, ich merke gerade das ich selber den offiziellen Begriff nicht verwendet habe, obwohl ich ihn kenne. Das schleicht sich mit der Zeit so ein, weil man im Alltag meistens eine Mixtur aus "Cisco-Slang" und diversen anderen, von Herstellern geprägten Begriffen verwendet. :-( Overloading/PAT sollte offiziell/Hersteller-neutral wohl "NAPT (Network Address Port Translation)" genannt werden.

Du kannst die Begriffe nachschlagen:
http://www.faqs.org/rfcs/rfc2663.html und ergänzend gibt es auch Erläuterungen im Wikipedia-Eintrag:
http://de.wikipedia.org/wiki/Network_Address_Translation

Der Bintec-Support hat eigentlich einen guten Ruf. Vielleicht landet deine Anfrage auch einfach nur bei den falschen Mitarbeitern. Wenn das mittels der o.a. Begriffe nicht klappt, kann man es noch mit einer allgemeinen Umschreibung versuchen, also so wie du es hier gemacht hast. "NAT, ein externer Adress-Pool für mehrere interne Netze, 1:1 Zuordnung solange genug externe IPs zur Verfügung stehen, wenn mehr gebraucht wird automatisch 1:n" Das sollte ein Techniker eigentlich verstehen.
RFC-konform wäre wohl "Basic NAT, solange genug externe IPs vorhanden sind, danach automatischer Übergang zu NAPT". Das aber ohne Gewähr, da aus dem Gedächtnis.

Frage aus (technischer) Neugierde: Hat es einen bestimmten Grund, das du NAPT/Overloading so weit wie möglich vermeiden willst?
 

geschrieben am 06.03.2007 um 11:46 von HBuchek

Quote:
Hat es einen bestimmten Grund, das du NAPT/Overloading so weit wie möglich vermeiden willst?


Jipp. Datt Kunde will datt nisch. Un' wail datt Kunde Könich iss, mach' mer datt au' so.

;-)

Jrösse na' NRW!
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019