Cem Kemal Erbaş Cem Kemal Erbaş
NAT, ağdaki bir bilgisayarın kendi ağının dışındaki başka bir ağa veya İnternete giriş yaparken farklı bir IP adresi kullanmasını sağlamak için geliştirilmiş
bir İnternet protokolüdür. Başka bir deyişle, NAT, bilgisayarın IP adresini başka bir adrese dönüştürür.
Bilindiği gibi, tüm IP adresleri Ipv4’te mevcut değildir. IPv4 yaklaşık 3,2 milyar IP’e sahiptir. Bu IP sürümünün yaratabileceği IP kıtlığı göz önüne
alındığında, NAT protokolü geliştirilmiştir. İnternetteki bazı adresler, yerel ağlarda kullanılmak üzere özel IP adresleri olarak ayrılmıştır. Bu özel
adresler:
10.0.0.0/8 -> 10.0.0.0 – 10.255.255.255
172.16.0.0/12 -> 172.16.0.0. – 172.31.255.255
192.168.0.0/16 -> 192.168.0.0 ila 192.168.255.255.
Dünyanın dört bir yanındaki birçok şirket ve kuruluş yerel ağlarında yukarıda belirtilen özel IP’leri kullanıyor ve uygun bir yönlendirici kullanarak IP
adreslerini genel adreslere dönüştürerek dış bağlantılar sağlıyor.
Temel olarak, bir NAT yönlendirici, NAT tablosu adı verilen bir tablonun yardımıyla bir IP araması gerçekleştirir. Kullanıcının bilgisayarı özel IP adresleri
aralığında bir adrese sahiptir. Yerel ağda olmayan bir adrese gitme isteği olduğunda, NAT yönlendiricisi kullanıcı tarafından ayarlanan NAT tablosuna bakar,
özel IP adresini ortak bir IP adresine dönüştürür ve böylece dış ağlara veya İnternete erişir. Yönlendiricinin çeviriye göre değiştiği bu IP, kullanıcının
İnternet’teki bilinen IP adresidir. Benzer şekilde, bu bilinen IP için harici ağlardan bir talep varsa, yönlendirici tablosuna bakarak bu IP’yi kullanıcının
özel IP adresine yönlendirir ve paketi kullanıcının bilgisayarına gönderir.
İç Yerel Adres: NAT tarafından kullanıcıya yerel ağda kullanılmak üzere özel IP adresleri aralığında tahsis edilen 192.168.2.1 gibi bir adres.
İç Global Adres: Harici şebekelere bağlanırken ve harici şebekelerin NAT’a karşı karşıya gelmesinde kullanılan yaygın IP adresleri aralığı olan 160.75.67.67
gibi bir adres.
Dış Global Adres: İnternetteki herhangi bir kullanıcının veya sunucunun sahip olduğu genel IP adresleri aralığındaki herhangi bir adres.
NAT tablosundaki haritalar, ağ yöneticisinin veya kullanıcının tercihine bağlı olarak 3 farklı şekilde ayarlanabilir:
Statik NAT
Yerel bir ağda kullanılan özel bir IP’nin dış mekanda kullanım için genel IP’ye birebir dönüştürülmesidir. Bu NAT türünde, NAT tablosu doğrudan ağ yöneticisi
tarafından doldurulur. Bu, ağ yöneticisinin kullanılacak özel IP’leri belirlediği ve sahip oldukları genel IP adresleriyle eşleştiği anlamına gelir. Bu
şekilde belirtilenler dışındaki harici ağlara hiçbir IP adresi bağlanamaz. Örneğin, aşağıda gösterilen adresler, her zaman birbirlerine karşı genel IP
adresleri ayarlanmış olan harici ağlara bağlanır ve bu genel adreslere yönelik istekler doğrudan NAT yönlendiricisi tarafından eşlendiği özel IP adresine
yönlendirilir.
192.168.105.5 -> 160.75.67.10
192.168.105.6 -> 160.75.67.11
192.168.105.7 -> 160.75.67.12
Dinamik NAT (Dynamic NAT)
Bu NAT türünde, sahip olunan ortak IP adres bloğu dinamik olarak özel IP adresleriyle eşlenir. Ağ yöneticisi bir IP adres havuzu belirler ve NAT
yönlendirici, harici ağlara bağlantı sağlamak için IP adreslerini otomatik olarak eşler. NAT sabitinden farkı, yönlendiricinin kendisinin eşlemeyi
yapmasıdır. Hangi IP ilk önce eşleşir, önce İnternet’e gider ve eğer yeterince açık IP adresi varsa, tüm özel IP’ler eşleştirilebilir ve İnternete
bağlanabilir. Bağlantı kesildikten sonra, bir sonraki bağlantı kuruluncaya kadar NAT tablosundaki kayıtlar silinir.
192.168.110.2 -> 160.75.67.12
192.168.110.3 -> 160.75.67.10
192.168.110.5 -> 160.75.67.11
Aşırı Yükleme NAT (Overloading NAT)
Bu NAT türüne PAT (Bağlantı Noktası Adres Çevirisi) de denir. PAT, genel IP adresi olarak bir IP’ye sahiptir. Dinamik NAT’ta olduğu gibi, yönlendirici NAT
tablosunu kendisi oluşturur. Yerel ağdaki bir kullanıcıdan harici ağlara bağlanmak için bir talep yapıldığında, yönlendirici kullanıcının özel IP adresini ve
ona NAT tablosunda verdiği port numarasını saklar. Genel IP adresini özel IP adresiyle ve kendisine verilen port numarasıyla eşleştirerek İnternet’e erişim
sağlar. Aynı anda farklı bir özel IP’den bir istek alınırsa, bu IP’ye farklı bir port numarası atanır. PAT kullanarak yerel ağın tamamı, daha az ortak IP
adresi kullanarak İnternete bağlanır. NAT tablosunda depolanan bu IP adresleri ve port numaraları, bağlantının sonuna kadar saklı kalır ve bağlantı
kesildiğinde silinir. Ağ yöneticisi, belirlediği port numaralarına kalıcı olarak IP adresleri atayabilir.
192.168.110.2 -> 160.75.67.10
192.168.110.3 -> 160.75.67.10
192.168.110.5 -> 160.75.67.10
Yararları
Çok sayıda kullanıcı az sayıda halka açık IP kullanarak İnternete bağlanabildiğinden, IPv4’teki IP yetersizliği sorunu azalır. Birçok kullanıcı ve şirket,
yerel ağlara Intranets adı verilen yerel özel IP adresleri ağını kullanarak mümkün olduğunca az genel IP adresi aracılığıyla dış ağlara bağlanır.
Yerel ağdaki kullanıcıları, yönlendirici tarafından çevrilen IP’leri olan dış ağlara bağlayarak, etkili bir güvenlik sistemi sağlanır. Özel bir IP
kullanarak, IP adresleri ve yerel ağın topolojisi dış ağlara karşı gizlenir.
NAT, kamusal ağa bağlantıların esnekliğini artırır. Güvenilir bir ağ bağlantısı sağlamak için çoklu IP havuzları, yedek IP havuzları ve yük dengeleme
havuzları uygulanabilir.
NAT içermeyen ve özel IP adresi kullanılmayan bir ağda, genel IP adreslerini değiştirmek için mevcut ağdaki kullanıcıların yeniden adreslenmesi gerekir. Tüm
kullanıcıların IP adreslerini değiştirmek uygun maliyetli değildir. NAT ile ağ yöneticisi, yerel ağdaki kullanıcılar arasında kolayca geçiş yapabilir, yeni
kullanıcılar ekleyebilir veya mevcutları kaldırabilir. NAT tablosu ayarlarını değiştirerek esnek bir şekilde hareket edebilirsiniz.
Dezavantajları
IP adresi ve port numaraları değiştiğinden FTP ve bazı oyun protokolleri çalışmıyor. Bazı İnternet protokolleri ve uygulamaları, çalışması için kaynak ve
hedef IP adreslerini gerektirir. Dijital imza gibi bazı uygulamalar, kaynak IP adresi NAT tarafından değiştirildiği için NAT kullanan yerel ağlarda çalışmaz.
Bazen bu sorun statik NAT kullanılarak çözülebilir.
Birçok kullanıcı İnternet’e belirli bir genel IP ile bağlandığından, bu IP’yi izlemek mümkün değildir. IP adreslerini NAT ile değiştirmek, IP paketlerini
izlemeyi ve kaynak IP adresini bulmayı zorlaştırır.
Ekstra bir yönlendirici kullanıldığından, paketlerdeki gecikmeler artabilir. Bunun nedeni, eklenmiş bir yönlendiricinin IP paket başlıklarının çevirisi ve
etiketlenmesi sırasında ortaya çıkabilecek gecikmeyi arttırmasıdır.
NAT kullanmak, IPsec gibi tünel protokollerinin kullanımını zorlaştırır.
Bir ağı NAT için uygun hale getirmek için topolojide değişiklikler yapmak gerekir.
Aşırı Yükleme NAT (Overloading NAT)
ADIM1:
//R1 Yapılandırması
//ISP Router1 Yapılandırması
hostname R1
!
interface GigabitEthernet0/0
description Internet_CAFE LAN
ip address 172.16.1.1 255.255.255.0
no shut
!
interface Serial0/1/0
description ISP_WAN Baglantisi
ip address 200.128.1.1 255.255.255.252
no shut
!
ip route 0.0.0.0 0.0.0.0 200.128.1.2
///////////////////////////////////////////////////
//R1 Bağlantı Testi
R1#ping 12.0.0.11
Sending 5, 100-byte ICMP Echos to 12.0.0.11,
timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
hostname ISP_Router1
!
interface GigabitEthernet0/0
description GOOGLE NETWORK
ip address 12.0.0.1 255.255.255.0
no shut
!
interface Serial0/1/1
ip address 200.128.1.2 255.255.255.252
no shut
end
!
write
/////////////////////////////////////////////
ADIM2: R1’de DHCP Yapılandırması
ip dhcp excluded-address 172.16.1.1 172.16.1.100
ip dhcp pool IP_HAVUZU
network 172.16.1.0 255.255.255.0
default-router 172.16.1.1
dns-server 8.8.8.8
domain-name cemerbas.com
end
wr
ADIM 3:
R1(config)# access-list 3 permit 172.16.1.0 0.0.0.255
R1(config)# ip nat inside source list 3 interface serial 0/1/0 overload
R1(config)# interface GigabitEthernet 0/0
R1(config-if)# ip nat inside
R1(config)# interface Serial 0/1/0
R1(config-if) # ip nat outside
R1(config-if) # end
Şekil
ADIM4: Kontrol Komutları
show ip nat translations
show ip nat statistics”
STATIC NAT;
//R2 Yapılandırması
//ISP R2 Yapılandırması
hostname R2
!
interface GigabitEthernet0/0
description Internet_SUNUCU_AGI
ip address 10.1.1.1 255.255.255.0
no shut
!
interface Serial0/1/0
description ISP_WAN Baglantisi
ip address 210.16.1.1 255.255.255.248
no shut
!
ip route 0.0.0.0 0.0.0.0 210.16.1.2
hostname ISP_R2
!
interface GigabitEthernet0/0
description YANDEX NETWORK
ip address 13.0.0.1 255.255.255.0
no shut
!
interface Serial0/1/1
ip address 210.16.1.2 255.255.255.248
no shut
end
!
write
//R2 Bağlantı Testi
R2# ping 13.0.0.21
Sending 5, 100-byte ICMP Echos to 13.0.0.21, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
R2(config)# ip nat inside source static 10.1.1.101 210.16.1.3
R2(config)# ip nat inside source static 10.1.1.102 210.16.1.4
R2(config)# ip nat inside source static 10.1.1.103 210.16.1.5
R2(config)# interface GigabitEthernet 0/0
R2(config-if)# ip nat inside
R2(config)# interface Serial 0/1/0
R2(config-if) # ip nat outside
