Prezentacja 6 stanowi integralną część szerszego cyklu dydaktycznego poświęconego budowie i konfiguracji urządzeń sieci LAN. Tematyka obejmuje dwa fundamentalne zagadnienia nowoczesnych sieci komputerowych: routing między VLAN-ami z wykorzystaniem techniki Router-on-a-Stick oraz mechanizmy translacji adresów sieciowych NAT i PAT. Materiał został zaprojektowany tak, aby krok po kroku wprowadzić studentów w praktyczne aspekty konfiguracji tych technologii.

W praktyce inżynierskiej oba mechanizmy często współistnieją na jednym urządzeniu – router brzegowy nie tylko łączy ze sobą poszczególne VLAN-y, ale także zapewnia użytkownikom dostęp do Internetu poprzez translację adresów. Zrozumienie wzajemnych zależności między tymi technologiami jest kluczowe dla poprawnego projektowania sieci firmowych. Prezentacja kładzie nacisk na aspekty praktyczne, poparte przykładami konfiguracji zarówno na platformie Cisco IOS, jak i MikroTik RouterOS.

Omawiane zagadnienia stanowią podstawę do dalszego zgłębiania tematyki routingu dynamicznego oraz zaawansowanych mechanizmów bezpieczeństwa sieciowego. Student po zapoznaniu się z materiałem powinien samodzielnie skonfigurować Router-on-a-Stick oraz NAT/PAT w środowisku symulacyjnym Packet Tracer lub GNS3.

Prezentacja została podzielona na cztery bloki tematyczne, które prowadzą studenta od podstaw teoretycznych do zaawansowanej konfiguracji praktycznej. Pierwszy blok poświęcony jest routingowi między VLAN-ami, w którym omówiono koncepcję Router-on-a-Stick, standard tagowania 802.1Q oraz konfigurację subinterfejsów na routerach Cisco i interfejsów VLAN w RouterOS. Drugi blok wprowadza problem wyczerpania adresów IPv4 i przedstawia mechanizmy translacji adresów sieciowych.

Trzeci blok to praktyczna konfiguracja NAT i PAT na obu platformach sprzętowych, obejmująca zarówno translację źródłową (srcnat/masquerade), jak i docelową (dstnat/port forwarding). Czwarty blok zawiera przykłady praktyczne w środowisku Packet Tracer, łączące routing między VLAN z NAT w jednym spójnym scenariuszu sieciowym. Taka struktura pozwala na stopniowe budowanie wiedzy i umiejętności praktycznych.

Każdy blok kończy się podsumowaniem najważniejszych wniosków, co ułatwia utrwalenie materiału przed przejściem do kolejnych zagadnień. Studenci są zachęcani do samodzielnego eksperymentowania z konfiguracją w symulatorach sieciowych, co znacząco przyspiesza proces nauki i pozwala na lepsze zrozumienie przedstawianych koncepcji.

Izolacja VLAN oznacza, że ramka Ethernet z tagiem VLAN 10 nie trafi do portu należącego do VLAN 20, nawet jeśli oba porty znajdują się w tym samym przełączniku fizycznym. Jest to realizowane na poziomie sprzętowym w układzie ASIC przełącznika, który porównuje tag VLAN ramki z konfiguracją portu docelowego. Mechanizm ten stanowi podstawę segmentacji sieci w warstwie 2 i jest szeroko wykorzystywany w sieciach korporacyjnych.

Aby umożliwić komunikację między izolowanymi VLAN-ami, niezbędny jest element warstwy 3, taki jak router lub przełącznik wielowarstwowy. Urządzenie to odczytuje adres IP z pakietu zawartego w ramce i podejmuje decyzję routingu na podstawie tablicy routingu. Warto podkreślić, że izolacja VLAN nie jest defektem, lecz celowym zabiegiem projektowym zwiększającym bezpieczeństwo i wydajność sieci.

W praktyce administracyjnej izolacja VLAN umożliwia ograniczenie domen rozgłoszeniowych, co przekłada się na mniejszą ilość niepotrzebnego ruchu broadcast w sieci. Ponadto każdy VLAN może mieć własną politykę bezpieczeństwa, co pozwala na precyzyjne kontrolowanie dostępu do zasobów sieciowych między poszczególnymi działami organizacji.

W typowej firmie każdy dział może mieć przypisany odrębny VLAN z dedykowaną podsiecią IP i określoną polityką bezpieczeństwa. Na przykład VLAN 10 dla księgowości może mieć dostęp tylko do serwera finansowego, podczas gdy VLAN 20 dla marketingu może mieć dostęp do Internetu i serwera plików. Taka segmentacja zwiększa bezpieczeństwo, ale jednocześnie stwarza potrzebę kontrolowanej komunikacji międzywydziałowej.

Routing między VLAN-ami umożliwia wymianę danych między pracownikami różnych działów przy jednoczesnym zachowaniu izolacji na poziomie warstwy 2. Administrator może precyzyjnie określić, które zasoby są udostępniane między VLAN-ami, stosując odpowiednie reguły firewall lub listy ACL na routerze. W praktyce oznacza to, że pracownik księgowości może uzyskać dostęp do firmowego intranetu, ale nie do sieci produkcyjnej.

Warto zauważyć, że routing między VLAN-ami może być realizowany nie tylko przez dedykowany router, ale także przez przełącznik wielowarstwowy (L3), co jest częstym rozwiązaniem w średnich i dużych sieciach korporacyjnych. Niezależnie od wybranej metody, kluczowe jest poprawne zaplanowanie przestrzeni adresowej i polityk routingu jeszcze przed fizyczną implementacją sieci.

Wybór odpowiedniej metody routingu między VLAN-ami zależy od wielu czynników, takich jak budżet, skala sieci, wymagania wydajnościowe oraz przewidywany wzrost liczby VLAN-ów w przyszłości. Router-on-a-Stick sprawdza się doskonale w małych i średnich sieciach, gdzie liczba VLAN-ów nie przekracza kilkunastu, a wymagania przepustowościowe są umiarkowane. Rozwiązanie to jest tanie i łatwe w konfiguracji, ale jego wydajność jest ograniczona przez pojedyncze łącze fizyczne.

Router z osobnym interfejsem fizycznym na każdy VLAN jest rozwiązaniem najdroższym, ale zapewniającym najlepszą wydajność i izolację ruchu. Każdy VLAN ma dedykowany interfejs i osobne łącze do przełącznika, co eliminuje ryzyko przeciążenia współdzielonego łącza. W praktyce stosuje się to rozwiązanie rzadko, głównie w sieciach o szczególnych wymaganiach bezpieczeństwa.

Przełączniki L3, takie jak Cisco Catalyst 3650 czy 9300, stanowią standard w sieciach szkieletowych średnich i dużych przedsiębiorstw. Routing odbywa się w układzie ASIC, co zapewnia przepustowość rzędu dziesiątek lub setek gigabitów na sekundę. Koszt takich urządzeń jest jednak znacząco wyższy niż routera z funkcją Router-on-a-Stick.

Nazwa "Router-on-a-Stick" (router na patyku) oddaje ideę rozwiązania: cały ruch między VLAN-ami przechodzi przez pojedyncze łącze fizyczne łączące router z przełącznikiem. Mimo pozornej prostoty, rozwiązanie to jest bardzo popularne w małych i średnich sieciach ze względu na niski koszt i łatwość konfiguracji. Router wykorzystuje subinterfejsy logiczne do obsługi wielu VLAN-ów na jednym porcie fizycznym.

Kluczowym elementem techniki Router-on-a-Stick jest standard IEEE 802.1Q, który definiuje sposób tagowania ramek Ethernet informacją o przynależności do VLAN. Gdy ramka dociera do routera, ten na podstawie tagu 802.1Q kieruje pakiet do odpowiedniego subinterfejsu, gdzie następuje dekapsulacja i przetworzenie w warstwie 3. Decyzja routingu podejmowana jest na podstawie docelowego adresu IP, a następnie ramka jest ponownie tagowana i wysyłana do docelowego VLAN.

Warto zaznaczyć, że Router-on-a-Stick może być również skonfigurowany z wykorzystaniem agregacji łączy (Link Aggregation), co zwiększa przepustowość i zapewnia redundancję. W nowoczesnych sieciach często stosuje się to rozwiązanie tymczasowo, przed migracją do bardziej skalowalnych przełączników L3.

Pole VLAN ID w standardzie 802.1Q ma 12 bitów, co daje 4096 możliwych wartości (0–4095), z czego wartości 0 i 4095 są zarezerwowane do celów specjalnych. VLAN 1 jest domyślnym VLAN-em (native VLAN) – w domyślnej konfiguracji urządzeń Cisco ramki VLAN 1 nie są tagowane na łączu trunk – ramki VLAN 1 są przesyłane bez tagu. W praktyce produkcyjnej używa się wartości VLAN ID z zakresu 1–4094, przy czym warto unikać VLAN 1 ze względów bezpieczeństwa.

Tag 802.1Q zawiera również 3-bitowe pole Priority (zgodne z IEEE 802.1p), które umożliwia oznaczanie priorytetu ruchu w warstwie 2. Dzięki temu można implementować mechanizmy QoS (Quality of Service) na poziomie przełączników, nadając wyższy priorytet ruchowi głosowemu lub wideo. Tag zwiększa rozmiar ramki Ethernet z 1518 do 1522 bajtów, co jest obsługiwane przez większość nowoczesnych przełączników jako tzw. baby giant frames.

Istotną kwestią praktyczną jest konfiguracja native VLAN na porcie trunk – jeśli native VLAN nie jest zgodny po obu stronach łącza, może dojść do nieprawidłowego przekazywania ruchu lub ataków typu VLAN hopping. Dlatego zaleca się jawną konfigurację native VLAN na inną wartość niż 1 oraz stosowanie dedykowanego VLAN-u zarządzającego.

W systemie Cisco IOS subinterfejsy są tworzone przez dodanie kropki i numeru po nazwie interfejsu fizycznego, na przykład GigabitEthernet0/0.10. Każdy subinterfejs może mieć własną konfigurację warstwy 3, obejmującą adres IP i maskę podsieci, oraz warstwy 2, czyli enkapsulację 802.1Q. Numer subinterfejsu nie musi być zgodny z numerem VLAN, ale przyjęło się stosować konwencję ułatwiającą administrację.

Komenda encapsulation dot1Q <ID_VLAN> włącza tagowanie 802.1Q na danym subinterfejsie i określa, z którym VLAN-em jest on powiązany. Bez tej komendy subinterfejs działałby jak zwykły interfejs warstwy 3 bez obsługi tagów VLAN. W nowszych wersjach IOS dostępna jest również komenda encapsulation dot1Q <ID_VLAN> native, która oznacza subinterfejs jako native VLAN.

W konfiguracji Router-on-a-Stick interfejs fizyczny, na którym tworzone są subinterfejsy, nie powinien mieć przypisanego adresu IP. Wszystkie adresy IP są przypisywane do subinterfejsów, z których każdy stanowi bramę domyślną dla urządzeń w danym VLAN. Włączenie interfejsu fizycznego komendą no shutdown jest warunkiem koniecznym do uruchomienia subinterfejsów.

Kolejność konfiguracji Router-on-a-Stick w Cisco IOS ma znaczenie dla uniknięcia błędów podczas wprowadzania komend. Najpierw należy włączyć interfejs fizyczny komendą no shutdown, co uruchamia port i umożliwia komunikację z przełącznikiem. Następnie tworzy się subinterfejsy dla każdego VLAN-u, pamiętając o dodaniu enkapsulacji 802.1Q oraz adresu IP.

W systemie IOS wielkość liter w komendzie encapsulation dot1Q nie ma znaczenia, choć standardowo zapisuje się ją jako dot1Q. Po skonfigurowaniu wszystkich subinterfejsów warto sprawdzić poprawność konfiguracji za pomocą polecenia show running-config | section interface GigabitEthernet0/0. Pozwala to wychwycić ewentualne błędy, takie jak pominięcie enkapsulacji.

Dla ułatwienia diagnostyki zaleca się dodawanie opisu do każdego subinterfejsu za pomocą komendy description. Przykładowo description VLAN 10 – Administracja znacznie ułatwia identyfikację subinterfejsów podczas analizy konfiguracji. W środowisku produkcyjnym warto również skonfigurować hasła dostępu i ograniczenia SSH na routerze przed przystąpieniem do konfiguracji routingu.

Polecenie show ip interface brief jest podstawowym narzędziem weryfikacji, które w jednym widoku pokazuje status wszystkich interfejsów, w tym subinterfejsów VLAN. Dla subinterfejsów status zależy od stanu interfejsu fizycznego – jeśli GigabitEthernet0/0 jest administracyjnie wyłączony, wszystkie subinterfejsy będą w stanie down. Warto również zwrócić uwagę na kolumnę "IP Address", która powinna zawierać poprawny adres dla każdego subinterfejsu.

Polecenie show vlans jest dostępne w niektórych wersjach Cisco IOS i pokazuje, które VLAN-y są aktywne na routerze wraz z przypisanymi interfejsami. Jest to szczególnie przydatne do weryfikacji, czy enkapsulacja 802.1Q została poprawnie skonfigurowana. W przypadku problemów z łącznością między VLAN-ami pomocne jest również polecenie show ip route do sprawdzenia tablicy routingu.

Do zaawansowanej diagnostyki można użyć polecenia debug ethernet-interface lub debug ip packet, ale należy zachować ostrożność, ponieważ debugowanie na produkcyjnym routerze może znacząco obciążyć procesor. W środowisku laboratoryjnym debugowanie jest bezpiecznym i skutecznym narzędziem do zrozumienia przepływu pakietów między VLAN-ami.

W RouterOS interfejs VLAN jest tworzony jako osobny interfejs logiczny, który można konfigurować analogicznie do każdego innego interfejsu sieciowego. Nazwa interfejsu VLAN (np. VLAN10) jest dowolna, ale dla czytelności konfiguracji zaleca się, aby zawierała numer VLAN. Interfejs VLAN wymaga określenia fizycznego interfejsu nadrzędnego (parametr interface), na którym będzie odbywać się tagowanie 802.1Q.

Po utworzeniu interfejsu VLAN można mu przypisać adres IP, reguły firewall, a także dodać go do bridge w celu dalszej konfiguracji sieci. RouterOS obsługuje również możliwość tworzenia VLAN-ów na interfejsach bridge z włączonym VLAN filtering, co jest szczególnie przydatne na przełącznikach CRS. Interfejs VLAN w RouterOS można wyświetlić komendą /interface vlan print.

Warto pamiętać, że w RouterOS interfejs VLAN działa w warstwie 3, co oznacza, że można na nim skonfigurować adres IP i używać go jako bramy dla danego VLAN. W przeciwieństwie do Cisco, gdzie subinterfejsy są tworzone w kontekście interfejsu fizycznego, w RouterOS każdy VLAN jest niezależnym interfejsem wymagającym osobnego utworzenia i konfiguracji.

Po dodaniu adresów IP na interfejsy VLAN w RouterOS system automatycznie tworzy trasy connected do tych sieci, co widać w tablicy routingu pod komendą /ip route print. Ruch między VLAN-ami jest routowany zgodnie z tablicą routingu – domyślnie RouterOS routuje między wszystkimi interfejsami bez dodatkowych reguł. Jeśli routing między VLAN-ami nie działa, należy przede wszystkim sprawdzić konfigurację firewall.

RouterOS domyślnie nie blokuje ruchu między interfejsami – jeśli chcesz ograniczyć komunikację między VLAN-ami, musisz jawnie skonfigurować reguły w /ip firewall filter. Na przykład reguła add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop zablokuje ruch z VLAN 10 do VLAN 20. Jest to istotna różnica w stosunku do przełączników L2 Cisco, gdzie domyślnie routing nie jest włączony (w routerach Cisco routing jest domyślnie aktywny).

W przypadku korzystania z L3 Hardware Offloading na przełącznikach CRS3xx/CRS5xx, routing między VLAN-ami odbywa się sprzętowo w układzie ASIC. Należy wówczas upewnić się, że funkcja L3HW jest włączona i że wszystkie interfejsy VLAN są poprawnie dodane do bridge z włączonym VLAN filtering. Weryfikację L3HW można przeprowadzić komendą /interface bridge print detail.

L3HW (Layer 3 Hardware Offloading) to funkcja dostępna na przełącznikach MikroTik z serii CRS3xx i CRS5xx. Routing odbywa się w układzie ASIC przełącznika, co zapewnia pełną przepustowość łącza bez angażowania procesora głównego. To rozwiązanie łączy elastyczność RouterOS z wydajnością sprzętową.

Warunkiem poprawnego działania L3HW jest skonfigurowanie bridge z włączonym VLAN filtering oraz utworzenie interfejsów VLAN na tym bridge'u. Przełącznik automatycznie wykrywa, które trasy mogą być obsługiwane sprzętowo, i przekazuje je do układu ASIC. Trasy connected między VLAN-ami są obsługiwane sprzętowo, podobnie jak trasy statyczne, o ile nie kolidują z regułami firewall.

Weryfikacja działania L3HW jest możliwa za pomocą komendy /interface bridge print detail, która pokazuje status L3HW. W przypadku problemów z wydajnością routingu między VLAN-ami na CRS3xx warto sprawdzić, czy nie ma reguł firewall w łańcuchu forward, które wyłączają sprzętowe przyspieszanie. Każda reguła firewall może spowodować, że routing będzie odbywać się programowo, co znacząco obniży przepustowość.

W przełączniku wielowarstwowym (Multilayer Switch) interfejsy VLAN (SVI) są tworzone za pomocą komendy interface Vlan<numer>. Po włączeniu ip routing przełącznik zaczyna routować między VLAN-ami sprzętowo. To rozwiązanie jest skalowalne i wydajne, ale droższe od Router-on-a-Stick.

W przeciwieństwie do Router-on-a-Stick, gdzie cały ruch musi przejść przez zewnętrzny router, w przełączniku L3 routing odbywa się wewnętrznie w układzie ASIC. Oznacza to, że nie ma wąskiego gardła w postaci pojedynczego łącza ani dodatkowego opóźnienia związanego z przekazywaniem pakietów tam i z powrotem. Przełączniki L3, takie jak Cisco Catalyst 3650 czy 9300, potrafią routować miliony pakietów na sekundę.

Konfiguracja SVI w Cisco jest prostsza niż subinterfejsów – nie wymaga definiowania enkapsulacji 802.1Q, ponieważ interfejs VLAN jest automatycznie powiązany z VLAN-em o tym samym numerze. Po utworzeniu SVI i przypisaniu adresu IP, włączenie globalnego routingu komendą ip routing uruchamia routing między VLAN-ami. Dodatkową zaletą jest możliwość łączenia SVI z routingiem dynamicznym OSPF lub EIGRP.

W praktyce laboratoryjnej topologię Router-on-a-Stick można zasymulować w środowisku Packet Tracer lub GNS3 w zaledwie kilka minut. Kluczowe jest skonfigurowanie portu przełącznika jako trunk za pomocą komendy switchport mode trunk oraz prawidłowe utworzenie subinterfejsów na routerze z odpowiednią enkapsulacją 802.1Q. W przypadku Cisco Packet Tracer warto pamiętać, że nie wszystkie modele routerów obsługują subinterfejsy.

Po skonfigurowaniu topologii należy przypisać adresy IP hostom w poszczególnych VLAN-ach, ustawiając jako bramę domyślną adres IP odpowiedniego subinterfejsu. Na przykład dla VLAN 10 bramą będzie 192.168.10.1, a dla VLAN 20 – 192.168.20.1. Test łączności wykonuje się za pomocą polecenia ping między hostami w różnych VLAN-ach, co pozwala zweryfikować poprawność konfiguracji.

Warto również wykonać polecenie traceroute z jednego z hostów, aby zobaczyć, że pakiety przechodzą przez router. Pierwszym hopem powinna być brama VLAN (subinterfejs), a drugim – docelowy host. W Packet Tracer można również skorzystać z trybu symulacji, który wizualizuje przepływ pakietów między VLAN-ami i ułatwia zrozumienie mechanizmu routingu między VLAN.

Router-on-a-Stick jest rozwiązaniem ekonomicznym i łatwym w konfiguracji, ale ma istotne ograniczenia, które należy uwzględnić podczas projektowania sieci. Najpoważniejszym problemem jest wąskie gardło – cały ruch między wszystkimi VLAN-ami musi przejść przez pojedyncze łącze fizyczne o ograniczonej przepustowości. W przypadku sieci z intensywnym ruchem między VLAN-ami może to prowadzić do przeciążenia i utraty pakietów.

Kolejnym ograniczeniem jest pojedynczy punkt awarii – awaria interfejsu fizycznego, kabla lub portu w przełączniku powoduje całkowitą utratę łączności między wszystkimi VLAN-ami. W sieciach o wysokich wymaganiach dostępności stosuje się więc rozwiązania redundantne, takie jak agregacja łączy (Link Aggregation) lub zapasowy router. W sieciach z więcej niż 20–30 VLAN-ami Router-on-a-Stick staje się niepraktyczny.

Dodatkowym wyzwaniem jest opóźnienie – każdy pakiet musi być przekazany z przełącznika do routera i z powrotem, co wydłuża czas transmisji. W zastosowaniach wrażliwych na opóźnienia, takich jak VoIP czy wideo konferencje, Router-on-a-Stick może nie spełniać wymagań jakościowych. W takich przypadkach zaleca się stosowanie przełączników L3 lub routerów z wieloma interfejsami fizycznymi.

Routing między VLAN to fundament komunikacji w sieciach korporacyjnych, umożliwiający bezpieczną i kontrolowaną wymianę danych między wydzielonymi segmentami sieci. Zrozumienie koncepcji Router-on-a-Stick i tagowania 802.1Q jest niezbędne przed przejściem do bardziej zaawansowanych tematów, takich jak przełączniki L3 czy routing dynamiczny między VLAN-ami. Każda z omówionych metod ma swoje zalety i wady, które należy rozważyć w kontekście konkretnego projektu.

Router-on-a-Stick sprawdza się w małych i średnich sieciach ze względu na niski koszt i prostotę konfiguracji. Przełączniki L3 oferują wyższą wydajność i skalowalność, ale wiążą się z większym nakładem finansowym. L3HW w urządzeniach MikroTik CRS3xx/CRS5xx stanowi kompromis między ceną a wydajnością, oferując sprzętowe routowanie w przystępnej cenie.

Niezależnie od wybranej metody, kluczowe znaczenie ma poprawne zaplanowanie przestrzeni adresowej VLAN-ów oraz konfiguracja mechanizmów bezpieczeństwa, takich jak ACL czy firewall. W kolejnym bloku prezentacji omówione zostaną mechanizmy translacji adresów sieciowych NAT i PAT, które stanowią uzupełnienie routingu między VLAN w nowoczesnych sieciach.

W momencie projektowania protokołu IPv4 w latach 70. XX wieku nikt nie przewidział tak dynamicznego rozwoju Internetu i tak szybkiego wzrostu liczby podłączonych urządzeń. Już w 1992 roku opublikowano pierwsze alarmujące raporty o wyczerpaniu puli adresowej, co doprowadziło do prac nad IPv6 (RFC 2460) i tymczasowym rozwiązaniem w postaci NAT. IPv6 oferuje 128-bitową przestrzeń adresową, która jest praktycznie niewyczerpalna.

Mimo że IPv6 był projektowany jako długoterminowe rozwiązanie problemu wyczerpania adresów, jego adopcja w skali globalnej postępuje wolniej niż pierwotnie oczekiwano. Głównymi przyczynami są koszty migracji, konieczność wymiany sprzętu sieciowego oraz brak wystarczającej presji ze strony dostawców usług internetowych. W rezultacie NAT, pierwotnie pomyślany jako rozwiązanie tymczasowe, stał się trwałym elementem architektury sieciowej.

Obecnie większość sieci LAN na świecie korzysta z adresów prywatnych RFC 1918 w połączeniu z NAT, co pozwala na obsługę ogromnej liczby urządzeń przy ograniczonej puli adresów publicznych. Szacuje się, że bez NAT i adresów prywatnych wyczerpanie IPv4 nastąpiłoby już na początku XXI wieku, co poważnie zahamowałoby rozwój Internetu.

Adresy RFC 1918 mogą być używane przez wiele organizacji jednocześnie, ponieważ nie są unikalne globalnie – ta sama podsieć 192.168.1.0/24 może występować w tysiącach sieci na całym świecie bez konfliktu. Routery ISP są skonfigurowane tak, aby blokować pakiety z adresami źródłowymi RFC 1918, które próbują wyjść do Internetu bez translacji NAT. Jest to realizowane za pomocą odpowiednich list ACL na routerach brzegowych operatorów.

Zakresy adresów prywatnych zostały celowo wybrane z różnych klas adresowych, aby umożliwić elastyczne planowanie sieci. Klasa A (10.0.0.0/8) oferuje największą przestrzeń – ponad 16 milionów adresów, idealną dla dużych organizacji. Klasa B (172.16.0.0/12) jest często używana w średnich firmach, a klasa C (192.168.0.0/16) dominuje w małych sieciach domowych i biurowych.

W projektowaniu sieci z użyciem adresów RFC 1918 należy pamiętać o potencjalnych konfliktach, gdy dwie sieci prywatne łączą się przez VPN. Jeśli obie sieci używają tych samych podsieci (np. 192.168.1.0/24), konieczne jest zastosowanie translacji adresów również między nimi (NAT w VPN). Dlatego w większych organizacjach zaleca się używanie adresów z zakresu 10.0.0.0/8, co zmniejsza ryzyko konfliktów.

NAT działa na routerze brzegowym sieci, który oddziela sieć wewnętrzną (LAN) od sieci zewnętrznej (WAN/Internet). Każdy pakiet wychodzący do Internetu ma zamieniany adres źródłowy z prywatnego na publiczny, a pakiet powrotny – odwrotnie. Router przechowuje tablicę translacji, która umożliwia odwzorowanie pakietów przychodzących na odpowiednie urządzenia w sieci wewnętrznej.

Mechanizm NAT modyfikuje nie tylko adres IP, ale w przypadku PAT również numer portu TCP lub UDP. Dzięki temu na podstawie kombinacji adresu IP i portu router jest w stanie jednoznacznie identyfikować poszczególne sesje. Tablica translacji NAT jest przechowywana w pamięci routera i każde nowe połączenie tworzy w niej nowy wpis.

Należy podkreślić, że NAT nie jest mechanizmem bezpieczeństwa, choć często jest za taki uważany. Co prawda utrudnia bezpośredni dostęp do urządzeń wewnętrznych z zewnątrz, ale nie stanowi zapory ogniowej. Do zapewnienia bezpieczeństwa sieci należy stosować dedykowane mechanizmy, takie jak firewall, systemy IDS/IPS oraz listy ACL.

Wybór odpowiedniego rodzaju NAT zależy od konkretnych potrzeb sieciowych i dostępnej puli adresów publicznych. Static NAT jest stosowany przede wszystkim dla serwerów, które muszą być dostępne z Internetu pod stałym adresem publicznym – na przykład serwery WWW, poczty czy VPN. Dynamic NAT znajduje zastosowanie w sytuacjach, gdy dysponujemy pulą adresów publicznych i chcemy je efektywnie przydzielać urządzeniom wewnętrznym.

PAT, znany również jako NAT Overload, jest najpopularniejszym typem NAT, stosowanym w praktycznie każdej sieci domowej i większości małych sieci firmowych. Pozwala on wielu urządzeniom współdzielić jeden publiczny adres IP poprzez wykorzystanie różnych portów TCP/UDP. Router śledzi każdą sesję, zapamiętując oryginalną parę adres:port i przypisując jej unikalny port źródłowy na interfejsie WAN.

Warto zaznaczyć, że w nowoczesnych routerach domowych domyślnie włączony jest właśnie PAT, często bez możliwości wyboru innego rodzaju NAT. W routerach profesjonalnych, takich jak Cisco czy MikroTik, administrator ma pełną kontrolę nad typem translacji i może łączyć różne rodzaje NAT w zależności od potrzeb poszczególnych sieci VLAN.

Static NAT stosuje się, gdy serwer wewnętrzny musi być dostępny pod stałym, niezmiennym adresem publicznym. Jest to najprostszy rodzaj translacji – mapowanie między adresem prywatnym a publicznym jest definiowane ręcznie przez administratora i pozostaje aktywne do momentu zmiany konfiguracji. Wadą Static NAT jest zużycie całego adresu publicznego na pojedyncze urządzenie wewnętrzne.

W praktyce Static NAT jest często łączony z przekierowaniem portów (port forwarding), co pozwala na udostępnianie konkretnych usług (np. WWW na porcie 80, SSH na porcie 22) bez ujawniania całego adresu. W konfiguracji Cisco stosuje się komendę ip nat inside source static tcp z określeniem protokołu, adresu wewnętrznego i portu. Umożliwia to kierowanie ruchu na różne porty wewnętrzne w zależności od portu docelowego.

Static NAT wymaga, aby adres publiczny był poprawnie skonfigurowany na interfejsie zewnętrznym routera. Może to być adres główny interfejsu lub dodatkowy adres skonfigurowany za pomocą komendy ip address z parametrem secondary. W przypadku RouterOS odpowiednikiem Static NAT jest dstnat z regułą action=dst-nat w łańcuchu dstnat.

Dynamic NAT jest stosowany głównie w sieciach dostawców usług internetowych, którzy dysponują pulą adresów publicznych i chcą je efektywnie współdzielić między abonentami. Router przydziela adres z puli na czas trwania sesji, a po jej zakończeniu adres wraca do puli i może być wykorzystany przez inne urządzenie. W małych i średnich sieciach LAN Dynamic NAT praktycznie nie występuje ze względu na ograniczoną liczbę dostępnych adresów publicznych.

Zaletą Dynamic NAT w porównaniu do Static NAT jest efektywniejsze wykorzystanie puli adresów – nie trzeba rezerwować adresu na stałe dla każdego urządzenia. Wadą jest natomiast brak możliwości inicjowania połączeń z zewnątrz do urządzeń wewnętrznych, ponieważ adres publiczny jest przydzielany dynamicznie i nie jest znany z góry. Dynamic NAT wymaga również tylu adresów publicznych, ile jednoczesnych sesji wychodzących.

W praktyce Dynamic NAT został w dużej mierze wyparty przez PAT, który jest znacznie bardziej ekonomiczny pod względem wykorzystania adresów publicznych. Jednym z nielicznych zastosowań Dynamic NAT są sytuacje, w których starsze protokoły lub aplikacje nie obsługują translacji portów i wymagają zachowania oryginalnego portu źródłowego.

PAT (Port Address Translation) jest najpowszechniej stosowanym typem NAT, obecnym w praktycznie każdej sieci domowej, firmowej i operatorskiej. Dzięki wykorzystaniu 16-bitowych portów TCP/UDP (zakres 1–65535) jeden adres publiczny może teoretycznie obsłużyć nawet 65535 jednoczesnych sesji na protokół. W praktyce limit ten jest niższy ze względu na ograniczenia pamięci routera i czas przetwarzania.

Mechanizm działania PAT polega na modyfikacji adresu źródłowego oraz portu źródłowego w pakietach wychodzących. Router tworzy wpis w tablicy translacji, w którym zapamiętuje oryginalną parę (prywatny adres IP:port) oraz przypisaną parę (publiczny adres IP:port). Gdy pakiet powrotny dociera do routera, ten na podstawie docelowego portu odtwarza oryginalny adres wewnętrzny i kieruje pakiet do odpowiedniego urządzenia.

Szczególnym przypadkiem PAT jest tzw. NAT Overload, w którym adresem źródłowym po translacji jest adres interfejsu WAN routera. Rozwiązanie to jest domyślnie stosowane we wszystkich routerach domowych i jest określane jako "IP masquerading" w systemach Linux i "masquerade" w RouterOS. W Cisco funkcję tę włącza się słowem kluczowym overload w komendzie ip nat inside source.

IANA (Internet Assigned Numbers Authority), globalna organizacja zarządzająca przydziałem adresów IP, przydzieliła ostatnie bloki adresów IPv4 w lutym 2011 roku. Poszczególne regionalne rejestry internetowe (RIR) wyczerpywały swoje pule sukcesywnie w kolejnych latach: APNIC (Azja-Pacyfik) w 2011, RIPE NCC (Europa) w 2019, LACNIC (Ameryka Łacińska) w 2014, a ARIN (Ameryka Północna) w 2015. Od tego czasu nowi operatorzy muszą korzystać z IPv6 lub wykupywać adresy na rynku wtórnym.

Bez PAT każda sieć domowa z 10 urządzeniami potrzebowałaby 10 publicznych adresów IP, co przy obecnym poziomie nasycenia Internetu byłoby niemożliwe do zrealizowania. PAT pozwala na współdzielenie jednego adresu publicznego przez całą sieć, co drastycznie zmniejsza zapotrzebowanie na globalne adresy IPv4. Szacuje się, że dzięki PAT jeden publiczny adres może obsłużyć nawet kilkaset urządzeń w sieci lokalnej.

Mimo że IPv6 oferuje praktycznie niewyczerpaną pulę adresów, przejście na nowy protokół postępuje powoli. Wiele organizacji wciąż polega na IPv4 i NAT, a koszty migracji do IPv6 są często postrzegane jako zbyt wysokie. W rezultacie PAT pozostanie kluczowym mechanizmem translacji adresów przez wiele kolejnych lat, szczególnie w segmencie małych i średnich sieci.

NAT łamie fundamentalną zasadę Internetu, jaką jest end-to-end connectivity, opisana w dokumencie RFC 2775. W praktyce oznacza to, że urządzenia znajdujące się za NAT nie mogą być inicjatorami połączeń przychodzących, chyba że skonfiguruje się odpowiednie przekierowanie portów. Jest to szczególnie problematyczne dla aplikacji peer-to-peer, gier sieciowych oraz protokołów wymagających bezpośredniej komunikacji między klientami.

Niektóre protokoły sieciowe mają wbudowane mechanizmy, które przesyłają informacje o adresach IP w warstwie aplikacji, co powoduje problemy z NAT. Przykładami są FTP w trybie aktywnym, protokół SIP używany w telefonii VoIP oraz IPSec w niektórych trybach pracy. Dla obsługi tych protokołów routery NAT muszą implementować funkcje ALG (Application Layer Gateway), które modyfikują pakiety nie tylko w warstwie sieciowej, ale także w warstwie aplikacji.

Dodatkowym kosztem stosowania NAT jest obciążenie procesora routera – każde przejście pakietu przez NAT wymaga modyfikacji nagłówków IP i TCP/UDP, obliczenia sum kontrolnych oraz wyszukania w tablicy translacji. W przypadku routerów o niskiej wydajności może to prowadzić do spadku przepustowości. Ponadto tablica translacji NAT zajmuje pamięć RAM, co przy bardzo dużej liczbie jednoczesnych sesji może stanowić ograniczenie.

NAT jest nieodzownym elementem współczesnych sieci. Mimo swoich ograniczeń, pozostaje podstawowym narzędziem do zarządzania przestrzenią adresową IPv4 w każdej sieci LAN.

Zrozumienie różnic między Static NAT, Dynamic NAT a PAT jest kluczowe dla poprawnego projektowania i konfiguracji sieci. Static NAT zapewnia stałe mapowanie adresów, idealne dla serwerów. Dynamic NAT oferuje elastyczne zarządzanie pulą adresów publicznych, ale jest rzadko stosowany w praktyce. PAT umożliwia współdzielenie jednego adresu publicznego przez wiele urządzeń i jest standardem w sieciach domowych oraz firmowych.

Po opanowaniu podstaw teoretycznych NAT, kolejnym krokiem jest praktyczna konfiguracja na urządzeniach sieciowych. W dalszej części prezentacji omówione zostaną szczegółowe instrukcje konfiguracji PAT i Static NAT na routerach Cisco oraz MikroTik RouterOS, wraz z przykładami weryfikacji i diagnostyki.

Oznaczenie interfejsów jako inside i outside to pierwszy i obowiązkowy krok konfiguracji NAT w systemie Cisco IOS. Router na podstawie tych oznaczeń podejmuje decyzję, które pakiety podlegają translacji: pakiet przychodzący przez interfejs oznaczony jako inside i wychodzący przez interfejs oznaczony jako outside jest tłumaczony zgodnie z regułami NAT. Bez tego oznaczenia router nie wie, które interfejsy znajdują się po stronie sieci wewnętrznej, a które po zewnętrznej.

W praktyce interfejs inside to port routera podłączony do sieci LAN, zaś interfejs outside to port podłączony do sieci WAN lub Internetu. W przypadku Router-on-a-Stick, interfejsem inside może być subinterfejs VLAN, a interfejsem outside – osobny port fizyczny do ISP. Komendy ip nat inside i ip nat outside wpisuje się w trybie konfiguracji interfejsu (config-if).

Warto pamiętać, że na jednym routerze może być wiele interfejsów inside (np. różne VLAN-y) i wiele interfejsów outside (np. dwa łącza ISP w konfiguracji failover). Każdy z nich musi być odpowiednio oznaczony, aby NAT działał poprawnie dla całego ruchu przechodzącego między sieciami.

Access-lista w konfiguracji NAT pełni funkcję selekcyjną, a nie filtrującą – jej zadaniem jest wskazanie, które adresy źródłowe mają podlegać translacji. Ruch, który nie jest objęty ACL, nie będzie tłumaczony, ale nadal może być rutowany między interfejsami inside, o ile nie ma innych reguł blokujących. W przypadku PAT zwykle stosuje się ACL przepuszczającą całą sieć wewnętrzną.

W systemie Cisco IOS stosuje się standardowe listy ACL (numery 1–99 i 1300–1999), które sprawdzają tylko źródłowy adres IP. Na przykład ACL 1 z wpisem permit 192.168.1.0 0.0.0.255 zezwala na translację dla wszystkich urządzeń z sieci 192.168.1.0/24. Maska wildcard (0.0.0.255) jest odwrotnością maski podsieci i oznacza, że sprawdzane są tylko pierwsze 24 bity adresu.

W bardziej zaawansowanych konfiguracjach można użyć rozszerzonych list ACL, które pozwalają na selekcję ruchu na podstawie adresu źródłowego, docelowego, protokołu i portu. Na przykład można skonfigurować NAT tylko dla ruchu HTTP, pozostawiając pozostały ruch bez translacji. W praktyce jednak najczęściej stosuje się prostą ACL przepuszczającą całą sieć wewnętrzną.

Komenda ip nat inside source list <nr> interface <interfejs> overload jest najczęściej używanym poleceniem do włączenia PAT w systemie Cisco IOS. Słowo kluczowe overload jest kluczowe – bez niego translacja działałaby jako Dynamic NAT 1:1, a nie jako PAT z wykorzystaniem portów. Router automatycznie pobiera adres IP z określonego interfejsu i używa go jako adresu źródłowego po translacji.

Alternatywną formą komendy PAT jest użycie puli adresów publicznych zamiast interfejsu: ip nat inside source list 1 pool NAZWA_PULI overload. W tym przypadku definiuje się pulę adresów za pomocą komendy ip nat pool NAZWA_PULI 203.0.113.2 203.0.113.10 netmask 255.255.255.0. Router przydziela adresy z puli losowo, ale wciąż stosuje translację portów.

Po skonfigurowaniu PAT warto sprawdzić poprawność działania za pomocą polecenia show ip nat translations, które powinno pokazywać aktywne translacje. Jeśli translacje się nie pojawiają, należy sprawdzić, czy ACL poprawnie obejmuje ruch wewnętrzny oraz czy interfejsy są poprawnie oznaczone jako inside i outside.

Static NAT z przekierowaniem portów (port forwarding) umożliwia udostępnianie usług z sieci wewnętrznej na zewnątrz, co jest niezbędne dla serwerów WWW, poczty czy VPN działających za NAT-em. W przykładzie z prezentacji ruch TCP na port 80 adresu publicznego 203.0.113.2 jest przekierowywany na wewnętrzny serwer 192.168.1.100:80. Możliwe jest również przekierowanie na inny port wewnętrzny, na przykład 203.0.113.2:8080 → 192.168.1.100:80.

W konfiguracji Cisco Static NAT dla pojedynczego portu używa się komendy ip nat inside source static tcp 192.168.1.100 80 203.0.113.2 80. Jeśli chcemy przekierować cały adres (wszystkie porty), stosujemy komendę bez określenia protokołu: ip nat inside source static 192.168.1.100 203.0.113.2. To drugie rozwiązanie jest jednak rzadko stosowane, ponieważ marnuje adres publiczny.

Należy pamiętać, że adres publiczny używany w Static NAT musi być skonfigurowany na interfejsie zewnętrznym routera. Może to być adres główny lub dodatkowy (secondary). Jeśli adres publiczny nie jest skonfigurowany na interfejsie, Static NAT nie będzie działać, ponieważ router nie będzie w stanie odebrać pakietów przeznaczonych na ten adres.

Pełna konfiguracja PAT w Cisco IOS obejmuje cztery kluczowe elementy: oznaczenie interfejsów komendami ip nat inside i ip nat outside, utworzenie listy dostępowej ACL wybierającej ruch do translacji, dodanie głównej komendy PAT z parametrem overload oraz skonfigurowanie trasy domyślnej do bramy ISP. Trasa domyślna jest niezbędna, aby router wiedział, którędy kierować pakiety do Internetu.

Przykładowa kompletna konfiguracja dla routera z interfejsem wewnętrznym G0/0 (192.168.1.0/24) i zewnętrznym G0/1 (203.0.113.2/30) obejmuje: ACL 1 zezwalającą na sieć 192.168.1.0/24, komendę ip nat inside source list 1 interface GigabitEthernet0/1 overload oraz trasę domyślną ip route 0.0.0.0 0.0.0.0 203.0.113.1. Taka konfiguracja zapewnia dostęp do Internetu wszystkim urządzeniom w sieci LAN.

Po wprowadzeniu konfiguracji warto wykonać polecenia weryfikacyjne: show ip nat translations do podglądu aktywnych translacji oraz show ip nat statistics do sprawdzenia statystyk. Jeśli translacje nie pojawiają się po wygenerowaniu ruchu, należy sprawdzić poprawność ACL oraz oznaczenie interfejsów.

Masquerade w RouterOS jest odpowiednikiem PAT (NAT Overload) w systemie Cisco IOS. Główna różnica polega na tym, że masquerade automatycznie pobiera adres IP interfejsu wyjściowego jako adres źródłowy po translacji. Oznacza to, że gdy adres WAN zmienia się dynamicznie (np. przy połączeniu DHCP od ISP), masquerade nadal działa poprawnie bez konieczności modyfikacji konfiguracji.

W Cisco adres źródłowy po translacji jest określany na stałe w komendzie ip nat inside source list 1 interface GigabitEthernet0/1 overload – jeśli adres interfejsu się zmieni, PAT nadal będzie używać nowego adresu, ponieważ odwołuje się do interfejsu, a nie do konkretnego adresu. W przypadku użycia puli adresów (ip nat pool) zmiana adresu WAN wymagałaby modyfikacji konfiguracji.

Reguła masquerade w RouterOS jest dodawana w łańcuchu srcnat firewalla: /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade. Parametr out-interface wskazuje interfejs WAN. Można również dodać parametr src-address w celu ograniczenia translacji do konkretnej sieci źródłowej, co jest przydatne w sieciach z wieloma VLAN-ami.

dstnat w RouterOS odpowiada Static NAT z przekierowaniem portów (port forwarding) w Cisco IOS. Ruch przychodzący na adres publiczny i określony port jest przekierowywany do wewnętrznego serwera z jednoczesną zmianą docelowego adresu IP i opcjonalnie portu. W przykładzie ruch na adres 203.0.113.2:80 jest kierowany do serwera 192.168.1.100:80.

W RouterOS connection tracking automatycznie kojarzy reguły dstnat z odpowiednimi wpisami i odwraca translację dla pakietów powrotnych. Nie jest wymagana osobna reguła srcnat – mechanizm connection tracking zapewnia, że odpowiedź serwera wewnętrznego zostanie poprawnie przetłumaczona z powrotem na adres źródłowy oryginalnego żądania i dotrze do klienta zewnętrznego.

dstnat może być również używany do kierowania ruchu na różne porty wewnętrzne w zależności od portu docelowego z zewnątrz. Na przykład ruch na port 8080 może być kierowany na wewnętrzny port 80, a ruch na port 8443 na wewnętrzny port 443. Pozwala to na ukrywanie rzeczywistych numerów portów usług przed światem zewnętrznym, co zwiększa bezpieczeństwo.

W RouterOS można precyzyjnie kontrolować, które sieci VLAN podlegają translacji NAT, co jest szczególnie przydatne w sieciach z wieloma VLAN-ami o różnych poziomach dostępu. Na przykład VLAN dla gości może nie mieć dostępu do Internetu przez NAT, podczas gdy VLAN pracowniczy tak. Wystarczy dodać parametr src-address w regule srcnat, aby ograniczyć translację do konkretnej podsieci źródłowej.

Selektywny NAT pozwala również na stosowanie różnych reguł NAT dla różnych sieci. Na przykład dla VLAN 10 można zastosować masquerade z dostępem do Internetu, dla VLAN 20 – Static NAT dla serwera, a dla VLAN 30 – całkowity brak translacji. Takie podejście zwiększa bezpieczeństwo i kontrolę nad ruchem sieciowym, ponieważ administrator może precyzyjnie zdefiniować polityki dostępu.

W przypadku bardziej złożonych konfiguracji można również łączyć warunki w regułach NAT, na przykład ograniczając translację do konkretnych portów docelowych lub protokołów. RouterOS umożliwia definiowanie reguł NAT z wieloma parametrami, takimi jak src-address, dst-address, protocol, dst-port, co daje ogromną elastyczność konfiguracyjną.

Polecenie show ip nat translations jest podstawowym narzędziem do weryfikacji działania NAT w Cisco IOS. Pokazuje ono pary adresów: wewnętrzny lokalny (inside local) – oryginalny adres prywatny, wewnętrzny globalny (inside global) – adres publiczny po translacji, zewnętrzny globalny (outside global) – adres docelowy w Internecie oraz zewnętrzny lokalny (outside local) – adres docelowy widziany z sieci wewnętrznej. Dla PAT kolumna inside global zawiera adres publiczny z numerem portu.

Polecenie show ip nat statistics dostarcza informacji o liczbie aktywnych translacji, trafieniach (hits) i nowych translacjach (miss). Miss oznacza, że dla pakietu nie istniała jeszcze translacja i została utworzona – jest to normalne zachowanie, a nie błąd. show ip nat translations verbose pokazuje dodatkowe szczegóły, takie jak czas życia wpisu (TTL) i użyty protokół.

Do zaawansowanej diagnostyki można użyć debug ip nat, które wyświetla w czasie rzeczywistym informacje o każdej translacji. Należy jednak zachować ostrożność – debugowanie na produkcyjnym routerze może znacząco obciążyć procesor. W środowisku laboratoryjnym debugowanie jest bezpiecznym narzędziem edukacyjnym do zrozumienia mechanizmu NAT.

W RouterOS lista aktywnych połączeń NAT jest dostępna w podglądzie tablicy connection tracking za pomocą polecenia /ip firewall connection print. W przeciwieństwie do Cisco IOS, RouterOS nie rozróżnia osobnej tablicy NAT – translacje są widoczne jako wpisy w tablicy połączeń, która rejestruje wszystkie przepływające pakiety. Każdy wpis zawiera adresy źródłowe i docelowe przed i po translacji.

Aby wyświetlić tylko połączenia translowane przez NAT, można użyć parametrów filtrujących. Na przykład /ip firewall connection print where protocol=tcp pokaże tylko połączenia TCP, a /ip firewall connection print where src-address=192.168.1.0/24 – połączenia z konkretnej sieci. Narzędzie Torch (dostępne w WinBox i WebFig) umożliwia podgląd ruchu w czasie rzeczywistym na wybranym interfejsie.

Do weryfikacji reguł NAT służy komenda /ip firewall nat print, która wyświetla skonfigurowane reguły wraz z licznikiem dopasowań (packets/bytes). Jeśli licznik dla reguły się nie zwiększa, oznacza to, że reguła nie jest używana i należy sprawdzić poprawność jej parametrów. W RouterOS kolejność reguł NAT ma znaczenie – pierwsza dopasowana reguła jest wykonywana.

W Packet Tracer można w łatwy sposób zweryfikować działanie PAT w środowisku symulacyjnym Cisco. Po skonfigurowaniu routera zgodnie z wcześniej omówionymi krokami i wykonaniu pinga z PC1 do zewnętrznego serwera (8.8.8.8), polecenie show ip nat translations pokaże aktywną translację z adresu wewnętrznego na adres publiczny z odpowiednim portem. Jest to doskonały sposób na wizualne potwierdzenie działania mechanizmu NAT.

W trybie symulacji Packet Tracer można prześledzić całą ścieżkę pakietu: od wysłania pinga z PC1, przez translację na routerze, aż do dotarcia do serwera i powrotu odpowiedzi. W tym trybie widać, jak pakiet wychodzący ma adres źródłowy 192.168.1.10, a po przejściu przez router – 203.0.113.2. Pakiet powrotny ma adres docelowy 203.0.113.2, który router odwraca na 192.168.1.10.

Packet Tracer jest doskonałym narzędziem dydaktycznym do nauki NAT, ponieważ pozwala na bezpieczne eksperymentowanie bez ryzyka uszkodzenia fizycznego sprzętu. Zaleca się wykonanie ćwiczenia zarówno z użyciem PAT (overload), jak i Static NAT, aby zrozumieć różnice między tymi typami translacji w praktyce.

W Packet Tracer można zasymulować cały scenariusz Router-on-a-Stick w zaledwie kilka minut, co czyni go idealnym narzędziem do nauki routingu między VLAN-ami. Switch 2960 wymaga utworzenia VLAN-ów, przypisania portów access do odpowiednich VLAN oraz skonfigurowania portu trunk łączącego switch z routerem. Trunk konfiguruje się komendami switchport mode trunk i opcjonalnie switchport trunk native vlan 999.

Po stronie routera należy utworzyć subinterfejsy z enkapsulacją 802.1Q i przypisać adresy IP. W Packet Tracer dostępne są różne modele routerów – do Router-on-a-Stick najlepiej nadają się routery serii 4321 lub 2911, które obsługują subinterfejsy. Routery serii 1941 również działają, ale mają ograniczoną liczbę interfejsów.

Weryfikacja routingu między VLAN-ami polega na wykonaniu pinga między hostami w różnych VLAN-ach oraz polecenia traceroute, które powinno pokazać trasę przez router. W Packet Tracer można również skorzystać z trybu symulacji (Shift+S), który krok po kroku pokazuje przepływ pakietów, uwidaczniając tagowanie 802.1Q i proces routingu.

Kompleksowa konfiguracja łącząca Router-on-a-Stick z PAT to najczęstszy scenariusz w małych i średnich sieciach firmowych, gdzie jeden router pełni podwójną rolę. Router jest jednocześnie bramą dla VLAN-ów (routing między subinterfejsami) i routerem brzegowym z PAT do Internetu. Taka architektura jest ekonomiczna i łatwa w zarządzaniu, ponieważ wszystkie funkcje sieciowe są skoncentrowane na jednym urządzeniu.

W praktyce konfiguracja wymaga połączenia omówionych wcześniej elementów: na interfejsie wewnętrznym routera tworzy się subinterfejsy VLAN z adresacją IP, a na interfejsie zewnętrznym konfiguruje się PAT. Dodatkowo można skonfigurować Static NAT dla serwerów firmowych, które muszą być dostępne z Internetu. Przełącznik L2 łączy się z routerem przez port trunk z tagowaniem 802.1Q.

W Packet Tracer można zasymulować pełną sieć firmową z dwoma VLAN-ami, routerem z subinterfejsami i PAT oraz serwerem WWW dostępnym przez Static NAT. Taka kompleksowa symulacja pozwala studentom zrozumieć wzajemne zależności między routingiem między VLAN a translacją adresów, co jest kluczowe w rzeczywistych wdrożeniach sieciowych.

Porównanie konfiguracji Cisco IOS i MikroTik RouterOS pokazuje, że różni producenci implementują te same funkcje sieciowe w odmienny sposób, co wynika z odmiennej filozofii projektowej. Cisco stosuje podejście "interface-centric", w którym konfiguracja NAT i enkapsulacji VLAN jest przypisana bezpośrednio do interfejsów. RouterOS stosuje podejście "rule-centric", gdzie reguły NAT są definiowane w firewallu, a VLAN-y są osobnymi interfejsami logicznymi.

Mimo różnic składniowych, koncepcje stojące za obiema implementacjami są identyczne: routing między VLAN-ami wymaga tagowania 802.1Q i odpowiedniej adresacji IP, a NAT wymaga oznaczenia kierunku translacji i definicji translowanych adresów. Zrozumienie tych koncepcji jest kluczowe dla pracy z dowolnym sprzętem sieciowym, niezależnie od producenta.

Wybór platformy zależy od wielu czynników: budżetu, znajomości systemu przez administratora, wymagań funkcjonalnych oraz dostępności wsparcia technicznego. Cisco jest dominującym producentem w sieciach korporacyjnych i edukacyjnych, podczas gdy MikroTik jest popularny w mniejszych firmach i u dostawców usług internetowych ze względu na korzystny stosunek ceny do funkcjonalności.

Routing między VLAN-ami i NAT to dwa filary nowoczesnych sieci LAN, które w praktyce prawie zawsze występują razem. Router-on-a-Stick umożliwia komunikację między wydzielonymi segmentami sieci przy użyciu jednego interfejsu fizycznego i tagowania 802.1Q. NAT i PAT zapewniają dostęp do Internetu przy ograniczonej puli adresów publicznych, umożliwiając współdzielenie jednego adresu przez wiele urządzeń.

W typowej sieci firmowej router brzegowy jest skonfigurowany jednocześnie jako Router-on-a-Stick dla VLAN-ów wewnętrznych i jako brama NAT do Internetu. Administrator musi zadbać o poprawną konfigurację obu mechanizmów, aby zapewnić zarówno komunikację między VLAN-ami, jak i dostęp do sieci zewnętrznych. Listy ACL i reguły firewall stanowią uzupełnienie tych mechanizmów, zapewniając bezpieczeństwo.

Opanowanie zagadnień przedstawionych w tej prezentacji stanowi solidną podstawę do dalszego rozwoju w kierunku zaawansowanego routingu dynamicznego (OSPF, BGP), mechanizmów VPN oraz nowoczesnych technik firewall i zabezpieczeń sieciowych.

Prezentacja 6 z cyklu BiKUS została zakończona. Opanowanie routingu między VLAN-ami i NAT/PAT jest niezbędne do projektowania i utrzymania nowoczesnych sieci LAN, które wymagają zarówno segmentacji, jak i dostępu do Internetu. Materiał obejmował zarówno podstawy teoretyczne, jak i praktyczne przykłady konfiguracji na platformach Cisco IOS i MikroTik RouterOS.

Kluczowe umiejętności wyniesione z prezentacji obejmują: konfigurację Router-on-a-Stick z subinterfejsami VLAN, implementację PAT i Static NAT na routerach Cisco i MikroTik, weryfikację i diagnostykę działania tych mechanizmów oraz umiejętność łączenia obu technologii w jednej spójnej konfiguracji sieciowej. Każde z tych zagadnień było poparte przykładami i ćwiczeniami.

Kolejne prezentacje z cyklu rozwiną tematykę routingu dynamicznego i zaawansowanych technik firewall, które stanowią naturalne uzupełnienie omówionych w tej prezentacji zagadnień VLAN i NAT. Zachęca się studentów do samodzielnego eksperymentowania w symulatorach sieciowych w celu utrwalenia zdobytej wiedzy praktycznej.