14.4 NAT und PAT einfach erklärt

NAT und PAT gehören zu den wichtigsten Grundlagen moderner IP-Netzwerke. Sobald private Geräte aus einem internen LAN auf das Internet zugreifen sollen, spielen diese beiden Technologien fast immer eine zentrale Rolle. Sie sorgen dafür, dass viele interne Hosts mit privaten IP-Adressen über eine oder wenige öffentliche IPv4-Adressen kommunizieren können. Gerade im Zusammenspiel mit Routern, Firewalls und Internet-Uplinks sind NAT und PAT daher elementare Bausteine in Heimnetzwerken, Unternehmensnetzen und Filialumgebungen. Wer Routing, Internetzugang und Adressierung verstehen will, sollte deshalb genau wissen, was NAT und PAT sind, wie sie funktionieren und worin sich beide Verfahren unterscheiden.

Was ist NAT?

NAT steht für Network Address Translation. Dabei handelt es sich um ein Verfahren, bei dem ein Router oder eine Firewall IP-Adressen in Paketen verändert. Das Ziel ist, Adressen zwischen verschiedenen Netzwerkbereichen umzusetzen. Typischerweise betrifft das den Übergang zwischen einem internen privaten Netzwerk und einem externen öffentlichen Netzwerk wie dem Internet.

In der Praxis bedeutet das: Ein internes Gerät nutzt beispielsweise eine private IP-Adresse wie 192.168.10.50. Diese Adresse ist im Internet nicht direkt routbar. Bevor das Paket das interne Netz verlässt, ersetzt das NAT-Gerät die private Quelladresse durch eine öffentliche Adresse. Für externe Kommunikationspartner sieht der Traffic dann so aus, als käme er von der öffentlichen IP des Routers oder der Firewall.

Grundidee von NAT

• Interne private IP-Adressen werden in andere Adressen übersetzt
• Die Übersetzung erfolgt meist auf einem Router oder einer Firewall
• Privates Adressschema bleibt intern erhalten
• Nach außen wird eine öffentliche Adresse sichtbar

Warum NAT überhaupt benötigt wird

Der Hauptgrund für NAT liegt in der IPv4-Adressknappheit. Der verfügbare öffentliche IPv4-Adressraum ist begrenzt. Würde jedes Endgerät weltweit eine eigene öffentliche IPv4-Adresse benötigen, wären viele Netzdesigns nicht praktikabel. NAT ermöglicht es, intern private Adressbereiche zu verwenden und nur an der Netzgrenze eine Umsetzung in öffentliche Adressen vorzunehmen.

Zusätzlich vereinfacht NAT die interne Adressplanung. Unternehmen können RFC-1918-Adressbereiche wie 10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16 intern frei nutzen, ohne dass diese Adressen im Internet eindeutig sein müssen.

Vorteile von NAT

• Reduzierter Bedarf an öffentlichen IPv4-Adressen
• Flexible Nutzung privater Adressbereiche
• Einfachere interne Netzplanung
• Adressänderungen können intern vom Internet entkoppelt werden
• Interne IP-Struktur bleibt nach außen verborgen

Wichtiger Hinweis aus der Praxis

NAT ist kein vollwertiger Sicherheitsmechanismus. Zwar verbirgt es interne Adressen vor dem Internet, ersetzt aber keine Firewall-Regeln, keine Segmentierung und keine Zugriffskontrolle. In der Praxis wird NAT fast immer zusammen mit Stateful Inspection und Security Policies eingesetzt.

Private und öffentliche IP-Adressen im Zusammenhang mit NAT

Um NAT zu verstehen, muss man den Unterschied zwischen privaten und öffentlichen IPv4-Adressen kennen. Private Adressen sind für interne Netze vorgesehen und werden im Internet nicht geroutet. Öffentliche Adressen sind global eindeutig und im öffentlichen Internet erreichbar.

Typische private IPv4-Bereiche

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Wenn ein Client mit einer privaten Adresse auf das Internet zugreifen möchte, muss seine Quell-IP auf dem Weg nach außen übersetzt werden. Genau das übernimmt NAT.

Beispiel

• Interner Client: 192.168.1.100
• Öffentliche Router-Adresse: 203.0.113.10
• Nach NAT sieht das Internet als Quelle: 203.0.113.10

Wie NAT grundsätzlich funktioniert

Wenn ein internes Gerät eine Verbindung nach außen aufbaut, prüft das NAT-Gerät, ob die Quelladresse übersetzt werden muss. Falls ja, erstellt es einen Eintrag in seiner Übersetzungstabelle. Danach ersetzt es die ursprüngliche Quell-IP-Adresse durch eine definierte Inside-Global-Adresse.

Kommt die Antwort vom externen Ziel zurück, liest das NAT-Gerät den vorhandenen NAT-Eintrag und übersetzt die Zieladresse wieder zurück auf die interne Adresse des ursprünglichen Clients. Dadurch kann die Kommunikation bidirektional funktionieren, obwohl das externe Netz die private Adresse nie direkt gesehen hat.

Einfacher Ablauf von NAT

• Client sendet Paket mit privater Quell-IP
• Router ersetzt diese durch eine öffentliche Adresse
• Externer Server antwortet an die öffentliche Adresse
• Router übersetzt die Zieladresse zurück auf den internen Host

Wichtige NAT-Begriffe einfach erklärt

Im Cisco-Umfeld und in der allgemeinen Netzwerktechnik werden bestimmte Fachbegriffe verwendet, um NAT sauber zu beschreiben. Diese Begriffe sind besonders für CCNA- und CCNP-Lernende wichtig.

Inside Local

Die interne IP-Adresse eines Hosts im lokalen Netzwerk, zum Beispiel 192.168.10.20.

Inside Global

Die öffentliche Adresse, mit der der interne Host nach außen sichtbar wird, zum Beispiel 203.0.113.10.

Outside Local

Die Adresse eines externen Hosts, wie sie aus Sicht des internen Netzes erscheint.

Outside Global

Die tatsächliche globale Adresse des externen Hosts im öffentlichen Netz.

Praktisch wichtig

Im Alltag sind vor allem Inside Local und Inside Global entscheidend. Sie beschreiben den Kern der NAT-Funktion: intern private Adresse, extern sichtbare öffentliche Adresse.

Welche NAT-Arten gibt es?

NAT ist nicht gleich NAT. In der Praxis unterscheidet man mehrere Varianten, je nachdem, wie die Adressumsetzung erfolgt. Die wichtigsten Arten sind statisches NAT, dynamisches NAT und PAT.

Statisches NAT

Beim statischen NAT wird genau eine interne Adresse fest einer öffentlichen Adresse zugeordnet. Diese Zuordnung bleibt dauerhaft gleich. Das eignet sich vor allem für Server, die aus dem Internet unter einer festen öffentlichen IP erreichbar sein sollen.

• 1:1-Zuordnung zwischen privater und öffentlicher IP
• Dauerhafte feste Zuordnung
• Geeignet für veröffentlichte Server

Beispiel für statisches NAT

• Inside Local: 192.168.10.10
• Inside Global: 203.0.113.50

Dynamisches NAT

Beim dynamischen NAT wird eine interne Adresse temporär aus einem Pool öffentlicher Adressen übersetzt. Die Zuordnung ist nicht dauerhaft an eine feste öffentliche IP gebunden, sondern wird bei Bedarf aus einem verfügbaren Bereich gewählt.

• Viele interne Hosts teilen sich einen Pool öffentlicher Adressen
• Jede aktive Verbindung nutzt temporär eine freie Adresse
• Funktioniert nur, solange genügend öffentliche Adressen im Pool vorhanden sind

PAT

PAT ist die in der Praxis wichtigste NAT-Variante. Hier teilen sich viele interne Hosts dieselbe öffentliche IP-Adresse. Die Unterscheidung erfolgt zusätzlich über Portnummern. Genau dadurch können sehr viele Geräte gleichzeitig über eine einzige öffentliche Adresse kommunizieren.

Was ist PAT?

PAT steht für Port Address Translation. Auf Cisco-Geräten wird PAT oft auch als NAT Overload bezeichnet. Im Unterschied zu klassischem NAT wird hier nicht nur die IP-Adresse übersetzt, sondern zusätzlich der Layer-4-Port genutzt, um einzelne Verbindungen eindeutig zu unterscheiden.

Wenn also zehn oder hundert interne Clients gleichzeitig ins Internet gehen, kann das NAT-Gerät für alle dieselbe öffentliche IP-Adresse verwenden. Jeder Datenstrom erhält dabei eine eigene Port-Zuordnung in der NAT-Tabelle.

Warum PAT so wichtig ist

• Sehr viele Geräte können eine einzige öffentliche IPv4-Adresse nutzen
• Ideal für Heimnetzwerke und kleinere Internet-Uplinks
• Standardverfahren in vielen Unternehmens- und Filialnetzen
• Effizienter Umgang mit knappen öffentlichen IPv4-Adressen

NAT und PAT im direkten Vergleich

Der Unterschied zwischen NAT und PAT wird in der Praxis oft unscharf verwendet. Genau genommen ist PAT eine spezielle Form von NAT. Der entscheidende Unterschied liegt in der Nutzung der Portnummern.

NAT ohne Portübersetzung

• Übersetzt primär IP-Adressen
• Oft 1:1 oder 1:many mit öffentlichem Adresspool
• Benötigt mehr öffentliche Adressen als PAT

PAT mit Portübersetzung

• Übersetzt IP-Adresse und Port

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.