L13 - Aplicação do NAT (Network Address Translator) PUBLIC Alexandre Lobo & Weltron de Oliveira Area Manager A&S - Rockwell Automation Thiago Marques Domain Expert Leader A&S - Intereng 26/05/2015 PUBLIC - 5058-CO900H
2 O que é NAT? Permite que um único dispositivo seja uma ponte entre duas redes, a pública e a privada, ou seja, a rede aberta dentro da empresa com a rede de Automação das máquinas. Facilita a integração entre o endereçamento IP mapeado nas máquinas e os endereços utilizados na rede da planta. Permite aos fabricantes de máquinas, desenvolver padrões eliminando a necessidade de utilizar endereços exclusivos para cada máquina. Permite aos usuários finais integrar de forma mais simples máquinas por toda a planta. É o caminho para conectar várias máquinas com a rede da planta sem comprometer a performance ou controle.
3 O que é NAT? NAT = Network Address Translation É um serviço que pode traduzir um pacote de da dados de um endereço IP para outro endereço IP. Esta funcionalidade pode ser implementada no Layer 2 e Layer 3 Existem multiplas formas: NAT Um para Vários (1:n) permite que múltiplos dispositivos compartilhem um endereço de IP público. Muito comum em roteadores pessoais, por exemplo rede wireless caseira. NAT Um para Um(1:1) permite que um único endereço público comunique com um único endereço privado (dispositivo final). O dispositivo final pode comunicar em ambas as redes, pública e privada, utilizando o recurso de alias para o IP.
4 Introdução ao NAT O que é NAT 1:1? O Network Address Translation (NAT) é um serviço que converte um endereço privado interno em um endereço público externo. Sub rede Pública (ex. 10.0.0.x) Vários endereços IP s públicos (Um por dispositivo, que desejam ser acessados pela rede pública) Dispositivo com o NAT habilitado Vários endereços IP s privados (Um por dispositivo conectado) Sub rede Privada (ex. 192.168.1.x) * Os termos privado e público são utilizados para diferenciar as duas redes de ambos os lados do dispositivo NAT.
5 Abordagem Histórica do NAT O recurso de NAT é aplicado em um dispositivo Standalone layer 3 Pode-se implementar através de software A performance pode váriar de acordo com a quantidade de traduções Topologia Estrela (uma porta de entrada e uma porta de saída)
Produtos Rockwell que possuem suporte ao NAT PUBLIC Stratix 5700 TM Layer 2 9300-ENA Layer 3 Stratix 5900 TM Layer 3 Catalog Number Integrated - 1783-BMS10 GGN or 1783-BMS20 GGN 9300-ENA 1783-SRKIT Port count 10 (8 + 2Gb) or 20 (18 + 2Gb) port versions 2, plus configuration port 1 Gb, 4 FE Configuration Web Interface IAStudio 5000 Interface Command Line Interface Web Interface Web Interface Stratix Configurator SW Command Line Interface Performance Best - HW Wire-speed Translations Good - SW implementation Better SW implementation Nested NAT 2 levels 2 levels 2 levels Ports (Uplinks) Connecting to Plant Up to 2-1Gb Support for Ring (REP) and Redundant Star 1-100Mb port 1-1Gb Translations supported 128 with subnets 128 No fixed limit
Stratix 5700 com NAT Integrado Produto Integrado com NAT 1:1 Versões com 10 e 20 portas Incluso FW Full, Gig, 1588 Implementação Layer 2 Tradução NAT para um ou ambas portas de uplink 128 endereços de tradução incluindo sub redes. Opção de bloqueio de de tráfego de dados para os dispositivos finais. Valor Gerenciamento de endereços IP s de forma mais simples. Suporte à topologia resiliente. Maior velocidade via cabo Redução de custo para desenvolvimento e suporte para dispositivos separados escalonável até as 20 portas. Segmentação de redes.
8 Implementação do NAT no Stratix 5700
9 Utilização do NAT Integração entre máquinas duplicadas sem necessidade de modificações no código da máquina, facilitando a integração e a manutenção. Redistribuir as máquinas em novo local - Conversão fácil Suporte a arquiteturas redundantes de redes. Solução pronta de IT para fabricantes de máquinas. Solução para a integração de dispositivos com apenas uma conexão de rede.
10 Como o NAT funciona? Src IP 192.168.1.10 Dst IP 10.10.20.5 Sub rede Privada 192.168.1.0/24 VLAN 10 Dispositivo Privado IP 192.168.1.10 GW 192.168.1.1 Stratix 5700 w/nat Src IP 10.10.20.5 Src IP 10.10.10.10 Dst IP 192.168.1.10 Dst IP 10.10.20.5 Stratix 8300 TM Layer 3 Privado para Público Sub rede Pública 10.10.20.0/24 VLAN 20 Dispositivo Público IP 10.10.20.5 GW 10.10.20.1 Src IP 10.10.20.5 Dst IP 10.10.10.10 Privado Público 192.168.1.10 10.10.10.10
11 Como o NAT Funciona Somente Layer 2 Sub rede Privada 192.168.1.0/24 VLAN 10 Stratix 5700/8000 Layer 2 Sub rede Pública 10.10.20.0/24 VLAN 20 Dispositivo Público IP 10.10.10.5 Dispositivo Privado IP 192.168.1.10 Stratix 5700 w/nat Src IP 10.10.10.5 Dst IP 10.10.10.10 Src IP 192.168.1.10 Dst IP 192.168.1.5 Src IP 192.168.1.5 Src IP 10.10.10.10 Dst IP 192.168.1.10 Dst IP 10.10.10.5 Privado para Publico Privado Publico 192.168.1.10 10.10.10.10 Publico para Privado Publico Privado 10.10.10.5 192.168.1.5
12 Exemplo 1
13 Tabela de NAT O Switch pode suportar multiplas instancias de NAT Três tipos de entradas podem ser configurados na tabela Single, Range, Subnet Suporte a 128 traduções NAT O comando Subnet permite a tradução completa ou parcial com apenas um entrada simples Tipo de Tradução Single 1 Range Subnet 1 Numero de entradas na Tabela Qty. of range Subnet Mask 255.255.255.240 16 255.255.255.224 32 255.255.255.192 64 255.255.255.128 128 255.255.255.0 255 No. de Traduções 255.255.0.0 65535
14 Exemplo de NAT Quantas das 128 entradas, estão sendo utilizandos no exemplo abaixo? Quantos endereços estão sofrendo NAT?
VLANs Ao configurar o NAT, você pode atribuir uma ou mais VLANs a uma mesma instância de NAT Você pode atribuir as VLANs cada uplink (Gi1 / 1, Gi1 / 2) Selecione Gi1 / 1 e Gi1 / 2 para topologias em estrela e anel redundante O NAT não altera as VLAN As duas sub-redes - privadas e públicas - embora diferentes, precisam compartilhar a mesma VLAN para se comunicar Se uma VLAN é atribuída a uma instancia de NAT, o tráfego está sujeito aos parâmetros de configuração desta instancia Se uma VLAN não é atribuída a uma instância NAT, seu trafego não é alterado e pode circular pela trunk port
16 Gerenciamento da Interface e VLANs A interface de gerenciamento do switch (ex. Device Manager) fica em uma sub-rede privada, lembre-se de associar a sua VLAN a uma instância NAT Você pode efetuar qualquer mudança a partir da sub-rede privada. No entanto, para gerenciar o switch a partir da sub-rede pública, você deve configurar um NAT privado para público A interface de gerenciamento do switch pode ser associado a uma VLAN que está ou não atribuída a uma instância NAT
17 Permissões de trafego O Stratix 5700 com NAT permite a implementação de bloqueios de alguns tipos de trafegos de informação, chamado traffic permits Pode ser baseado em instancia ou na base O trafego em VLANs não relacionadas não serão afetadas por estas regras
18 Suporte do RSLinx Driver Ethernet Devices Você pode configurar um dispositivo como NAT, pois o seu endereço IP na guia Port Configuration não coincide com o endereço IP que aparece no cabeçalho.
19 Restrições do NAT Tráfego de dados criptografados e protocolos de verificação de integridade geralmente são incompatíveis com o NAT (por exemplo, o modo de transporte IPSec *) Aplicativos que utilizam inicio de sessão dinâmico, como o NetMeeting * Os módulos de safety Rockwell, 1791-ES (endereço IP é usado na assinatura de Segurança e o NAT irá desqualificá-lo) Microsoft DCOM (utilizado em muitas aplicações do Windows, usado em comunicações OPC) Aplicações de Multicast incluindo o CIP Sync e redundância do CLX Resumo: Se a informações de origem, como o endereço IP estão incluídos nos dados e em seguida, o dispositivo receptor efetuar algum calculo para checar a integridade o pacote será desqualificado. * www.tcpipguide.com
20 Exemplo 2
21 Exemplo 3
22 Demonstração Rede Privada 192.168.1.113 10.10.10.113 192.168.1.3 10.10.10.3 192.168.1.1 10.10.10.1 Rede Pública 10.10.10.99 192.168.1.99
Obrigado por participar! PUBLIC www.rockwellautomation.com PUBLIC - 5058-CO900H