Con Port Address Translation (PAT), viene utilizzato un singolo indirizzo IP pubblico per tutti gli indirizzi IP privati interni, ma viene assegnata una porta diversa a ciascun indirizzo IP privato. Questo tipo di NAT è noto anche come Sovraccarico NAT ed è la forma tipica di NAT utilizzato nelle reti di oggi. È anche supportato dalla maggior parte dei router di livello consumer.
PAT consente di supportare molti host con solo pochi indirizzi IP pubblici. Funziona creando una mappatura NAT dinamica, in cui vengono selezionati un indirizzo IP globale (pubblico) e un numero di porta univoco. Il router mantiene una voce della tabella NAT per ogni combinazione unica dell’indirizzo IP privato e della porta, con la traduzione all’indirizzo globale e un numero di porta univoco.
Useremo il seguente esempio di rete per spiegare i vantaggi dell’utilizzo di PAT:
Come si può vedere nella foto qui sopra, PAT utilizza numeri di porta sorgente univoci all’interno dell’indirizzo IP globale (pubblico) per distinguere tra le traduzioni. Ad esempio, se l’host con l’indirizzo IP di 10.0.0.101 vuole accedere al server S1 su Internet, l’indirizzo IP privato dell’host verrà tradotto da R1 a 155.4.12.1:1056 e la richiesta verrà inviata a S1. S1 risponderà a 155.4.12.1: 1056. R1 riceverà quella risposta, cercherà nella sua tabella di traduzione NAT e inoltrerà la richiesta all’host.
Per configurare PAT, sono necessari i seguenti comandi:
- configurare l’interfaccia interna del router utilizzando il comando ip nat inside.
- configurare l’interfaccia esterna del router utilizzando il comando ip nat outside.
- configura un elenco di accesso che include un elenco degli indirizzi di origine interni che devono essere tradotti.
- abilita PAT con il nat ip all’interno della lista sorgente ACL_NUMBER interface TYPE overload global configuration command.
Ecco come configurare PAT per l’immagine di rete sopra.
In primo luogo, definiremo le interfacce esterne e interne su R1:
R1(config)#int Gi0/0 R1(config-if)#ip nat inside R1(config-if)#int Gi0/1 R1(config-if)#ip nat outside
Successivamente, definiremo una lista di accesso che includerà tutti gli indirizzi IP privati che vorremmo tradurre:
R1(config-if)#access-list 1 permit 10.0.0.0 0.0.0.255
L’elenco di accesso sopra definito include tutti gli indirizzi IP dell’intervallo 10.0.0.0 – 10.0.0.255.
Ora dobbiamo abilitare NAT e fare riferimento all’ACL creato nel passaggio precedente e all’interfaccia il cui indirizzo IP verrà utilizzato per le traduzioni:
R1(config)#ip nat inside source list 1 interface Gi0/1 overload
Per verificare le traduzioni NAT, possiamo usare il comando show ip nat translations dopo che gli host hanno richiesto una risorsa web da S1:
R1#show ip nat translations Pro Inside global Inside local Outside local Outside globaltcp 155.4.12.1:1024 10.0.0.100:1025 155.4.12.5:80 155.4.12.5:80tcp 155.4.12.1:1025 10.0.0.101:1025 155.4.12.5:80 155.4.12.5:80tcp 155.4.12.1:1026 10.0.0.102:1025 155.4.12.5:80 155.4.12.5:80