【職業訓練】【CCNA】【15日目】抜けているところがありそうな講義ほど怖いものはない。
15日目です
本日の内容は
・NAT/PATの概要
・NAT/PATのルータへの適用(シミュレータ)
です。
単語リスト
NAT(Network Address Translate)
IPアドレスを変換する技術。プライベートIPアドレスをグローバルIPアドレスに変換する技術。インターネットは、グローバルIPアドレスを使用して構築したネットワークですが、プライベートIPアドレスを使用して構築されたネットワークから、クライアントPCがインターネット接続する場合、プライベートIPアドレスをグローバルIPアドレスに変換(NAT)をする。
LIP→GIP LIP→LIP GIP→GIP
の変換もあり得る。
IPv4のアドレスが枯渇するということでアドレスの効率的な運用を行うための技術。
NATの特徴としてはIPパケットのヘッダ内にある送信元IPアドレスを変換。
NATでは、IPアドレスを変換してインターネット通信が行われることから、セキュリティが向上する利点がある一方、アプリケーションによっては正常に動作しない場合もある。※ L3ではなくL7のデータ部にもIP情報がある場合
NAT | CISCO | 説明 |
内部ローカルアドレス | Inside local | 内部ネットワークホストのIPアドレス |
内部グローバルアドレス | Inside global | 外部ネットワークからみた内部ネットワークのIPアドレス |
外部ローカルアドレス | Outside local | 内部ネットワークからみた外部ネットワークIPアドレス |
外部グローバルアドレス | Outside grobal | 外部ネットワークのホストのIPアドレス |
ルータに設定される
NATテーブルの中身は初期値900ミリ秒で消える
スタティックNAT
システム管理者があらかじめNATルータに1対1の変換エントリを設定しておくNAT
ダイナミックNAT
NAT変換で使用するIPアドレスのプールを設定しておくことで、外部への通信が発生した際にプール内のIPアドレスを1つ使用してNAT変換。
同時接続が多くなり、プールのアドレスを超えるとつながらなくなる。
PAT(Port Address Translation)
1つのIPアドレスを複数のコンピュータで共有する技術
PAT = NAPT(Network Address Port Translation) = IPマスカレード(Linuxで搭載された機能名)=NATオーバーロード=オーバーローディング
TCP/UDPのポート番号も動的変換
TCPロードディストリビューション
スタティックNATの拡張機能。1つのGIPを複数の内部アドレスにマッピングさせて、それらの複数のホストにTCPセッションを分散させられます
ロードバランサ
ロードバランシング(負荷分散)、パーシステンス(セッション維持)。モニター(監視)の機能を持つ。
・ロードバランサの種類
スタティック方式
+ラウンドロビン(Round Robin)(均等負荷分散)
クライアントからのリクエストをサーバに均等に転送。
+Ratio
比率。サーバごとに重みを定義して、その割合に応じてサーバに転送。
ダイナミック方式
+リーストコネクション(Least Connections)
最小接続。現在のコネクション数が最も小さいサーバに転送。
+Fastest
最速。L7リクエストの未処理数が最も少ないサーバに転送。
+Observed
監視。ある一定時間の平均コネクション数が最も少ないサーバに転送。
+Predictive
予測。ある一定時間の傾向を解析して、平均コネクション数が減少している場合
より多く転送を行い、平均コネクション数が増加している場合は転送を少なくする。
+Dynamic Ratio
動的比率。CPUやメモリ使用率が低いサーバに転送。前提として各サーバをMonitor機能による監視が必要となり、サーバにはSNMP Agent等が必要となる。
・パーシステンス
同一のクライアントからのリクエストを常に同サーバに転送するセッション維持機能。
クライアントからの連続して発生するリクエストを同一のサーバに転送する必要のあるWebシステムなどで使用。
+Source address affinity persistence
クライアントの送信元IPアドレスを見て、転送するサーバを固定する。
+Cookie persistence Insert Mode
BIG-IPが特別なCookieをHTTPレスポンスに挿入。※ 最も使用されているモード。
+Rewrite Mode
WebサーバがCookie(名前:BIGipCookie)を作成し、BIG-IPがCookie情報を更新
Cookieの値の仕様 ⇒ The cookie must contain a total of 120 zeros
+Passive Mode
WebサーバがCookieを作成し、BIG-IPはその読み取りを行う。
+Hash Mode
WebサーバがCookieを作成し、BIG-IPはCookie情報を更新する。BIG-IPは、Webサーバが発行するCookie名を指定する必要がある。
・モニター
サーバが正常に稼働してサービス提供が可能かどうかをロードバランサ ⇔ サーバ間でチェックする機能。ヘルスチェックとも呼ばれる。モニターのポーリング(定期的な通信)によるチェックで失敗したサーバには、自動的にトラフィックが転送されないようになる。
Address Check ICMP
サーバへIPパケットを送信してサーバの正常性を確認。
Service Check TCP
サーバにTCPコネクションのオープンとクローズを行うことで正常性を確認。
Content Check HTTP
サーバにTCPコネクションを開いて、Get等でデータ取得を行うことで正常性を確認。
Interactive Check FTP
サーバにTCPコネクションを開いて、実際のアプリケーションプロトコルのコマンドを
送信して受信の確認を行うことにより正常性を確認。SMTPの場合、Hello、PORTなど
重複NWのNAT
会社が合併するなど同じLIPを使用しているネットワークを接続する際に、相互にIPアドレスの重複を防ぐために設定する。LIPからLIPへの変換。応急処置のため、改めてアドレスを割り振る必要がある。
スタティックNATの設定
(config)#ip nat inside source static <192.168.1.1> <1.1.1.1>
(config-if)#ip nat inside/outside
ダイナミックNATの設定
(config)#ip nat pool cisco 2.2.2.1 2.2.2.3 netmask 255.255.255.0
(config)#access-list 1 permit 10.1.1.0 0.0.0.255
(config)#ip nat inside source list 1 pool cisco
(config-if)#ip nat inside/outside
PAT
(config)#ip nat pool ccna 2.2.2.1 2.2.2.3 netmask 255.255.255.0
(config)#access-list 1 permit 192.168.1.0 0.0.0.255
(config)#ip nat inside source list 1 pool ccna overload
(config-if)#ip nat inside/outside
PAT(outside interface IP add is mapped on ACL)
(config)#access-list 1 permit 192.168.1.0 0.0.0.255
(config)#ip nat inside source list 1 int fa0/1 overload
(config-if)#ip nat inside/outside
もうすぐでICND1の部分が終わります。
ところどころ抜けてそうですね。
こんなにも後が不安になる講義はなかなかありません。