Vježba 6. DHCP, NAT - FESB
Vježba 6. DHCP, NAT - FESB
Vježba 6. DHCP, NAT - FESB
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Vježba <strong>6.</strong> <strong>DHCP</strong>, <strong>NAT</strong><br />
<strong>DHCP</strong><br />
Dynamic Host Configuration Protocol, <strong>DHCP</strong>, protokol je za dinamičku dodjelu IP adresa<br />
računala. Radi na principu klijent-poslužitelj sustava. Jednostavniji je za održavanje ukoliko<br />
mreža ima jako puno računala ili ukoliko se računala povremeno spajaju na mrežu. Većina<br />
današnjih operacijskih sustava podržava <strong>DHCP</strong> poslužitelj.<br />
Klijenti šalju upit poslužitelju, koji im osim IP adrese može dodijeliti mrežnu masku, adresu<br />
default gatewaya, adresu WINS poslužitelja, domenu i adresu DNS poslužitelja.<br />
Postoje tri načina dodjele IP adresa: automatska dodjela (<strong>DHCP</strong> poslužitelj trajno dodjeljuje<br />
IP adresu klijentu), ručna dodjela (adresa se dodjeljuje od strane administratora) i dinamička<br />
dodjela (<strong>DHCP</strong> dodjeljuje, odnosno iznajmljuje, IP adresu klijentu na određeni vremenski<br />
rok). Adrese se dodjeljuju iz određenog raspona adresa.<br />
Postupak dodjele adrese prolazi kroz nekoliko faza. Klijent mora imati instaliranu <strong>DHCP</strong><br />
podršku da bi pri spajanju na mrežu mogao poslati zahtjev za dodjelu IP adrese. Zahtjev se<br />
šalje kao broadcast <strong>DHCP</strong>DISCOVER paket. Kad poslužitelj primi zahtjev pogleda u svoju<br />
bazu da li može pružiti uslugu, te ukoliko može šalje unicast odgovor kao <strong>DHCP</strong>OFFER.<br />
Paket <strong>DHCP</strong>OFFER može sadržavati i sve ostale postavke koje poslužitelj može dodijeliti.<br />
Ukoliko klijent ponudu nađe prihvatljivom šalje broadcast <strong>DHCP</strong>REQUEST tražeći da mu se<br />
dodijeli baš ta adresa. Ovaj zahtjev ide kao broadcast jer na mreži može postojati više <strong>DHCP</strong><br />
poslužitelja pa da svi ostali znaju čija se ponuda prihvatila. Poslužitelj odgovara s unicast<br />
paketom <strong>DHCP</strong>ACK. Ukoliko je klijent opazio da je ponuđena adresa već u uporabi, šalje<br />
<strong>DHCP</strong>DECLINE poruku i postupak kreće iz početka, što se događa i ako poslužitelj pošalje<br />
<strong>DHCP</strong>NACK. Ukoliko nakon nekog vremena klijent više ne treba dodijeljenu adresu šalje<br />
poruku <strong>DHCP</strong>RELEASE.<br />
Upute za konfiguriranje <strong>DHCP</strong> poslužitelja na usmjerniku<br />
Na usmjerniku je potrebno odrediti <strong>DHCP</strong> pool (bazen) IP adresa koje se mogu dodjeljivati.<br />
Naredbom ip dhcp pool kreira se i dodjeljuje ime pool-u iz globalnog konfiguracijskog načina<br />
rada. Nakon toga se ulazi u način rada za konfiguraciju dhcp-a iz kojeg se odrede adrese koje<br />
se mogu dodjeljivat, default gateway, DNS poslužitelj, WINS poslužitelj, domena:<br />
24
Router(config)#ip dhcp pool pool-name<br />
Router(dhcp-config)#network network-number [mask | /<br />
prefix-length]<br />
Router(dhcp-config)#default-router router-address<br />
Router(dhcp-config)#dns-server dns-server-address<br />
Router(dhcp-config)#netbios-name-server netbios-nameserver-address<br />
Router(dhcp-config)#domain-name domain-name<br />
Unutar poola mogu se odrediti i adrese koje se neće dodjeljivati klijentima, npr. adresa nekog<br />
poslužitelja.<br />
Router(config)#ip dhcp excluded-address address<br />
<strong>NAT</strong><br />
Ubrzani razvoj Interneta iznenadio je mnoge. Bez uvođenja novih metoda dodjele IP adresa,<br />
predviđeni adresni prostor već bi odavno bio potrošen. Jedna od najčešće korištenih metoda je<br />
Network Address Translation, <strong>NAT</strong>.<br />
Prema RFC 1918 ostavljena su po strani tri bloka IP adresa za privatnu uporabu:<br />
– 1 A klasa (10.0.0.0/8)<br />
– 16 B klasa (172.1<strong>6.</strong>0.0/12)<br />
– 256 C klasa (192.168.0.0/16)<br />
Paketi s ovim IP adresama se ne smiju usmjeravati na Internetu.<br />
<strong>NAT</strong> je napravljen da štedi javne adrese na način da se privatne adrese prevode u javne prema<br />
potrebi. Unutar lokalne mreže upotrebljavaju se privatne adrese, a u točki gdje lokalna mreža<br />
izlazi na javnu adrese se prevode.<br />
Adrese se mogu prevoditi statički, dinamički i kao overload (preopterećenje).<br />
Statičko prevođenje prevodi jednu privatnu adresu na jednu javnu. Ovakav način prevođenja<br />
ne osigurava sigurnost lokalne mreže prema Internetu, jer je i dalje svako računalo dostupno s<br />
javnom IP adresom, koju usmjernik prevodi na privatnu adresu. Statičko prevođenje se koristi<br />
za poslužitelje koji trebaju biti javno dostupni i ne mogu mijenjati IP adresu.<br />
Dinamičko prevođenje prevodi grupu privatnih adresa u grupu javnih. Omogućava povećanje<br />
25
sigurnosti privatne lokalne mreže, jer računala nisu dostupna s Interneta.<br />
Overload prevođenje Cisco naziva PAT (Port Address Translation) i prevodi sve privatne<br />
adrese na jednu javnu. Da bi se razlikovale uspostavljene veze koriste se različiti brojevi<br />
priključnih točaka za svaku vezu. Maksimalni teoretski broj uspostavljenih veza je 65,536 ali<br />
maksimalni realni broj veza se kreće oko 4000. PAT pokušava zadržati originalnu priključnu<br />
točku, te samo ako je ona zauzeta, dodjeljuje prvu slobodnu.<br />
Upute za konfiguriranje <strong>NAT</strong>a i PATa na Cisco usmjernicima<br />
Konfiguriranje statičkog prevođenja<br />
Kod statičkog prevođenja potrebno je odrediti koja se privatna adresa prevodi na koju javnu.<br />
To se radi iz globalnog konfiguracijskog načina rada.<br />
Router(config)#ip nat inside source static 10.0.1.6<br />
161.53.16<strong>6.</strong>15<br />
Sučelje usmjernika se može definirati kao unutrašnje ili vanjsko, te se i <strong>NAT</strong> pridjeljuje<br />
vanjskom i unutrašnjem sučelju:<br />
Router(config-if)#ip nat inside<br />
Router(config-if)#ip nat outside<br />
Konfiguriranje dinamičkog prevođenja<br />
Kod dinamičkog prevođenja potrebno je definirati pool adresa koje se mogu dodjeljivati.<br />
Preporuča se definirati i pristupnu listu za privatne adrese koje usmjernik smije prevoditi. Pri<br />
tome treba pripaziti da se na kraj liste ne stavi permit all, jer bi nekontrolirano<br />
prevođenje IP adresa moglo preopteretiti usmjernik.<br />
Određivanje <strong>NAT</strong> poola se radi naredbom:<br />
Router(config)#ip nat inside source list 1 pool nat-pool<br />
161.53.16<strong>6.</strong>70 161.53.16<strong>6.</strong>76 netmask 255.255.255.128<br />
Određivanje pristupne liste adresa koje usmjernik može prevoditi radi se:<br />
Router(config)#access-list 1 permit 10.0.1.0 0.0.0.255<br />
26
I na kraju se na sučeljima definira:<br />
Router(config-if)#ip nat inside<br />
Router(config-if)#ip nat outside<br />
Konfiguriranje PATa<br />
Kod konfiguriranja PATa također se preporuča odrediti pristupna lista adresa koje usmjernik<br />
smije prevoditi.<br />
Router(config)#access-list 1 permit 10.0.1.0 0.0.0.255<br />
Samo definiranje PATa određuje se naredbom:<br />
Router(config)#ip nat inside source list 1 interface<br />
serial0/0 overload<br />
pri čemu se kao javna adresa najčešće koristi IP adresa serijskog sučelja, iako se PAT može<br />
konfigurirati i s nekom drugom javnom adresom.<br />
Zadatak<br />
Na usmjerniku odrediti <strong>DHCP</strong> pool privatnih adresa 10.10.10.0/24, isključiti adresu serijskog<br />
sučelja 10.10.10.1. Konfigurirati usmjernik da radi PAT na IP adresu serijskog sučelja,<br />
pristupnom listom dozvoliti prevođenje samo navedene privatne podmreže.<br />
U izvještaju predati konfiguracije usmjernika.<br />
27