Come funziona NAT? NAT (Network Address Translation) Nat Descrizione

Il computer si connette alla rete globale in diversi modi. Può trattarsi di una connessione diretta, nel qual caso esiste un indirizzo IP esterno (dinamico o statico) visibile da Internet. Oppure la connessione può essere effettuata tramite un router. Con tale connessione, solo il router ha un indirizzo esterno e tutti gli utenti ad esso collegati sono client di un'altra rete. Il router si occupa della distribuzione del traffico in entrata e in uscita tra i client e Internet. Ci sono una serie di problemi durante la connessione tramite un router:

• i client torrent smettono di funzionare;
• non c'è modo di connettersi al server di gioco online;
• non ci sono chiamate al server della rete interna dall'esterno utilizzando qualsiasi protocollo e su qualsiasi porta.

La corretta configurazione del router, ovvero il servizio NAT su di esso, aiuta a risolvere il problema. Capire come impostare NAT su un router, devi sapere cos'è la traduzione degli indirizzi e a cosa serve.

NAT: definizioni generali

NAT (network address translation) o traduzione di indirizzi di rete è il processo di traduzione di indirizzi interni o locali in indirizzi esterni. NAT viene utilizzato da assolutamente tutti i router, indipendentemente dalla loro configurazione, scopo e costo. Per impostazione predefinita, il router vieta l'accesso diretto a qualsiasi dispositivo all'interno della rete. Blocca l'accesso a qualsiasi porta per le connessioni in entrata provenienti da Internet.

Ma NAT e Firewall sono concetti diversi. Il firewall nega semplicemente l'accesso a una risorsa su una specifica porta TCP o UDP, può essere installato su una macchina locale per limitare l'accesso solo ad essa o su un server per filtrare il traffico attraverso la rete locale. Prima di NAT, l'attività è più dettagliata. Il servizio nega o consente l'accesso all'interno della rete a uno specifico indirizzo IP o intervallo di indirizzi. Pertanto, il client che accede alla risorsa non vede l'effettivo indirizzo IP della risorsa. NAT traduce l'IP interno in un indirizzo che sarà visibile da Internet.

Per verificare se un computer è protetto da NAT o sta trasmettendo un indirizzo reale a Internet, puoi procedere come segue:

• in Windows, devi fare clic su "Start - Esegui - cmd" e scrivere ipconfig e premere "Invio";
• in Linux e MacOS nel terminale viene eseguito ifconfig.

L'output del comando mostra i seguenti dati:

• IP- indirizzo reale e valido del computer;
• Maschera di sottorete- Maschera di sottorete;
• Portale- indirizzo del gateway del router.

Come ora capire se l'indirizzo è locale o direttamente "guarda" su Internet. Secondo la specifica, esistono quattro intervalli di indirizzi che non sono in nessun caso utilizzati su Internet, ma sono esclusivamente locali:

1. 0.0.0 - 10.255.255.255
2. X.0.0 - 172.X.255.255, dove X è compreso tra 16 e 31.
3. 168.0.0 - 192.168.255.255
4. 254.0.0 - 169.254.255.255

Nel caso in cui l'indirizzo della macchina rientri in uno di questi intervalli, va considerato che il computer si trova sulla rete locale o “dietro” NAT. Puoi anche utilizzare servizi speciali, di cui ce ne sono molti su Internet, per determinare il vero indirizzo IP. Ora è diventato più chiaro se il computer è dietro Cos'è il NAT in un router? per il servizio, e di questo è responsabile.

Problemi e soluzioni NAT

Dall'avvento del NAT, i problemi iniziarono immediatamente a manifestarsi. Era impossibile ottenere l'accesso tramite un protocollo separato o durante il funzionamento di singoli programmi. Questi problemi non sono stati completamente eliminati, si è scoperto solo di trovare alcune soluzioni utilizzando solo la traduzione degli indirizzi, ma nessuna soluzione è corretta in termini di specifiche di amministrazione.

Ad esempio, si consideri il File Transfer Protocol (FTP), che era il più comune prima dell'avvento del NAT. Per i file server (FTP), la chiave è l'indirizzo IP reale del computer che invia la richiesta di accesso. Qui la traduzione dell'indirizzo non funziona, perché la richiesta al server viene inviata da un IP non visibile da Internet. Non è possibile creare una sessione client-server per scaricare i file. La soluzione consiste nell'utilizzare FTP in modalità passiva. In questa modalità viene utilizzato un diverso set di comandi e il lavoro viene eseguito tramite uno speciale server proxy, che apre inoltre un'altra porta per la connessione e la passa al programma client. Il problema con questa soluzione è che è necessario utilizzare client FTP di terze parti.

È stato possibile eliminare completamente il problema di accesso solo con l'avvento del protocollo SOCKS (Socket Secure). Questo protocollo consente di scambiare dati attraverso un server proxy in modalità "trasparente". Cioè, il server non saprà che gli indirizzi vengono modificati da locale a globale e viceversa. L'invenzione di SOCKS ha permesso di eliminare una serie di problemi e semplificare il lavoro di amministrazione della rete:

• crea un servizio sul server che ascolta le richieste in arrivo, che consente di servire protocolli multi-collegati come FTP;
• non è necessario utilizzare e mantenere il servizio DNS all'interno della rete locale. Ora tale compito è assegnato ai proxy di memorizzazione nella cache;
• ulteriori metodi di autorizzazione consentono un tracciamento e un filtraggio più efficienti dei pacchetti. Utilizzando NAT, puoi filtrare le richieste solo in base agli indirizzi.

L'uso di NAT e SOCKS non è sempre giustificato dal punto di vista dell'amministrazione della rete. A volte è più appropriato utilizzare proxy specializzati, di cui ce ne sono molti per qualsiasi protocollo di trasferimento dati.

Configurazione di NAT su un computer

Tutti i sistemi operativi moderni hanno già NAT integrato. Windows ha avuto questa funzione dal 1999 con l'avvento di Windows XP. NAT è gestito direttamente attraverso le proprietà della connessione di rete. Per configurare il servizio, procedere come segue:

• Avviare il programma del Pannello di controllo dal menu Start.
• Trova l'icona "Connessioni di rete" e avviala.
• Nella nuova finestra, fai clic con il pulsante destro del mouse sulla connessione di rete attiva e seleziona "Proprietà" dall'elenco a discesa.
• Vai alla scheda "Avanzate".
• Seleziona la casella accanto a "Consenti ad altri utenti della rete di utilizzare la connessione Internet di questo computer".
• Confermare la modifica con il pulsante "OK".

Se ricevi un messaggio che indica che il servizio di condivisione non può essere avviato, devi assicurarti che il servizio client DHCP sia in esecuzione. Se necessario, è possibile impostare l'avvio forzato del servizio anziché automaticamente su richiesta.

Configurazione del NAT sul router

Che cos'è NAT in un router, la fattibilità del suo utilizzo e i problemi che può creare sono stati descritti sopra, ora puoi passare direttamente all'implementazione dell'attività. La configurazione del servizio sul router dipende dal modello, dal firmware utilizzato e da altri parametri. Ma è sufficiente comprendere il meccanismo in modo che non ci siano difficoltà e domande sulla configurazione di un dispositivo separato. Per configurare, vengono eseguiti i seguenti passaggi (ad esempio, le impostazioni vengono eseguite su un router Zyxel sul firmware v1):

• Nel browser, vai alla pagina delle impostazioni del router.
• Vai al menu "Rete - Routing" e vai alla scheda "Policy routing".

La pagina che si aprirà sarà quella che gestisce le policy di accesso e il routing. Qui è necessario abilitare il servizio attivando l'interruttore in posizione "Abilita". Le impostazioni stesse vengono effettuate nel gruppo "Criteri". Le opzioni NAT sono selezionate per diverse categorie di filtri:

• Utente: trasmissione per un utente specifico.
• In entrata - tramite interfaccia di rete.
• Indirizzo di origine: sostituzione dell'indirizzo con l'indirizzo di origine.
• Indirizzo di destinazione - all'indirizzo del destinatario finale
• Servizio: su una porta di servizio specifica.

È possibile selezionare le seguenti opzioni come oggetto di reindirizzamento:

• Auto - selezione automatica dell'oggetto di destinazione. L'interfaccia Wan è impostata per impostazione predefinita.
• Gateway: il gateway specificato in anticipo nelle impostazioni.
• VPN Tunel - rispettivamente attraverso il tunnel VPN.
• Trunk: una gamma di interfacce configurate per funzionare insieme.
• Interfaccia: l'interfaccia specifica scelta.

In ogni singolo router, le impostazioni e il nome delle voci di menu possono differire, ma il principio di costruzione del NAT rimane invariato.

Router Internet, server di accesso, firewall. Il più popolare è Fonte NAT(SNAT), l'essenza del cui meccanismo è sostituire l'indirizzo di origine (sorgente) quando il pacchetto passa in una direzione e sostituire al contrario l'indirizzo di destinazione ( destinazione ) nel pacchetto di risposta. Oltre agli indirizzi di origine/destinazione, è possibile sostituire anche i numeri di porta di origine e di destinazione.

Oltre a SNAT, i.e. spesso viene utilizzato anche fornire agli utenti della rete locale indirizzi interni per l'accesso a Internet NAT di destinazione, quando le richieste dall'esterno vengono trasmesse dal firewall a un server della rete locale che ha un indirizzo interno e quindi non è direttamente accessibile dalla rete esterna (senza NAT).

Le figure seguenti mostrano un esempio di funzionamento del meccanismo NAT.

Riso. 7.1.

Un utente della rete aziendale invia una richiesta a Internet, che arriva all'interfaccia interna del router, al server di accesso o al firewall (dispositivo NAT).

Il dispositivo NAT riceve il pacchetto e inserisce una voce nella tabella di tracciamento della connessione che gestisce la traduzione degli indirizzi.

Quindi sostituisce l'indirizzo di origine del pacchetto con il proprio indirizzo IP pubblico esterno e invia il pacchetto alla sua destinazione su Internet.

L'host di destinazione riceve il pacchetto e invia una risposta al dispositivo NAT.

Il dispositivo NAT a sua volta riceve questo pacchetto, cerca il mittente del pacchetto originale nella tabella di tracciamento della connessione, sostituisce l'indirizzo IP di destinazione con l'indirizzo IP privato corrispondente e inoltra il pacchetto al computer di origine. Poiché il dispositivo NAT invia i pacchetti per conto di tutti i computer interni, cambia la porta di rete di origine e queste informazioni vengono memorizzate nella tabella di tracciamento della connessione.

Ci sono 3 concetti di base della traduzione dell'indirizzo:

• statico (SAT, Static Network Address Translation),
• dinamico (DAT, Dynamic Address Translation),
• mascherata (NAPT, NAT Overload, PAT).

NAT statico associa gli indirizzi IP locali a specifici indirizzi pubblici su base uno a uno. Utilizzato quando l'host locale deve essere accessibile dall'esterno tramite indirizzi fissi.

NAT dinamico associa un insieme di indirizzi privati ​​a un insieme di indirizzi IP pubblici. Se il numero di host locali non supera il numero di indirizzi pubblici disponibili, ogni indirizzo locale sarà garantito per corrispondere a un indirizzo pubblico. In caso contrario, il numero di host che possono accedere contemporaneamente a reti esterne sarà limitato dal numero di indirizzi pubblici.

Mascherata NAT(NAPT, NAT Overload, PAT, masquerading) è una forma di NAT dinamico che associa più indirizzi privati ​​a un singolo indirizzo IP pubblico utilizzando porte diverse. Conosciuto anche come PAT (Port Address Translation).

Possono esserci diversi meccanismi di interazione tra una rete locale interna e una rete pubblica esterna - dipende dal compito specifico di fornire l'accesso alla rete esterna e viceversa ed è prescritto da determinate regole. Sono definiti 4 tipi di traduzione degli indirizzi di rete:

• Cono pieno
• Cono ristretto
• Cono ristretto della porta
• Simmetrico (simmetrico)

Nei primi tre tipi di NAT, la stessa porta esterna viene utilizzata per comunicare con diversi indirizzi IP della rete esterna con indirizzi della rete locale. Il quarto tipo - simmetrico - utilizza una porta esterna separata per ogni indirizzo e porta.

Cavallo pieno, la porta esterna del dispositivo (router, server di accesso, firewall) è aperta per richieste provenienti da qualsiasi indirizzo. Se un utente da Internet deve inviare un pacchetto a un client situato dietro NAT, deve solo conoscere la porta esterna del dispositivo attraverso la quale viene stabilita la connessione. Ad esempio, un computer dietro un NAT con un indirizzo IP 192.168.0.4 invia e riceve pacchetti sulla porta 8000 mappati all'indirizzo IP e alla porta esterni come 10.1.1.1:12345. I pacchetti dalla rete esterna arrivano al dispositivo con l'indirizzo IP:porta 10.1.1.1:12345 e vengono quindi inviati al computer client 192.168.0.4:8000.

Nei pacchetti in arrivo viene verificato solo il protocollo di trasporto; l'indirizzo di destinazione e la porta, l'indirizzo di origine e la porta non hanno importanza.

Quando si utilizza NAT che funziona come Cono ristretto, la porta esterna del dispositivo (router, server di accesso, firewall) è aperta per qualsiasi pacchetto inviato dal computer client, nel nostro esempio: 192.168.0.4:8000. E un pacchetto proveniente da una rete esterna (ad esempio, dal computer 172.16.0.5:4000) a un dispositivo con indirizzo:porta 10.1.1.1:12345 verrà inviato al computer 192.168.0.4:8000 solo se 192.168.0.4:8000 precedentemente inviato una richiesta all'indirizzo IP dell'host esterno (nel nostro caso, al computer 172.16.0.5:4000). Cioè, il router inoltrerà solo i pacchetti in arrivo da un indirizzo di origine specifico (nel nostro caso, il computer è 172.16.0.5:4000), ma il numero di porta di origine può essere qualsiasi cosa. In caso contrario, NAT blocca i pacchetti provenienti da host a cui 192.168.0.4:8000 non ha inviato una richiesta.

Meccanismo NAT Cono ristretto della porta quasi simile al meccanismo NAT Restricted Cone. Solo in questo caso, NAT blocca tutti i pacchetti provenienti da host a cui il computer client 192.168.0.4:8000 non ha inviato una richiesta a nessun indirizzo IP e porta. Il router presta attenzione alla corrispondenza del numero di porta di origine e non presta attenzione all'indirizzo di origine. Nel nostro esempio, il router inoltrerà i pacchetti in entrata con qualsiasi indirizzo di origine, ma la porta di origine deve essere 4000. Se il client ha inviato richieste alla rete esterna a diversi indirizzi IP e porte, sarà in grado di inviare pacchetti al client sull'indirizzo IP: porta 10.1 .1.1:12345.

NAT simmetrico differisce in modo significativo dai primi tre meccanismi nel modo in cui mappa un indirizzo IP interno:porta a un indirizzo esterno:porta. Questa mappatura dipende dall'indirizzo IP:porta del computer a cui è destinata la richiesta inviata. Ad esempio, se un computer client su 192.168.0.4:8000 invia una richiesta al computer n. port (192.168.0.4:8000) a un indirizzo IP diverso, viene visualizzato in modo diverso (10.1.1.1:12346).

Consente di impedire o limitare l'accesso esterno agli host interni, lasciando la possibilità di accesso dalla rete interna a quella esterna. Quando viene avviata una connessione dall'interno della rete, viene creata una traduzione. I pacchetti di risposta provenienti dall'esterno corrispondono alla traduzione creata e vengono quindi saltati. Se non esiste una traduzione corrispondente per i pacchetti provenienti dalla rete esterna (e può essere creata quando la connessione è stata avviata o statica), non vengono ignorati.

Consente di nascondere determinati servizi interni di host/server interni. In sostanza, la stessa traduzione di cui sopra viene eseguita su una porta specifica, ma è possibile modificare la porta interna di un servizio ufficialmente registrato (ad esempio, la porta TCP 80 (server HTTP) sulla porta esterna 54055). Pertanto, all'esterno, sull'indirizzo IP esterno, dopo la traduzione dell'indirizzo sul sito (o forum) per i visitatori esperti, sarà possibile raggiungere l'indirizzo http://dlink.ru:54055 , ma sul server interno dietro NAT , funzionerà sulla normale porta 80.

Tuttavia, vanno menzionati anche gli svantaggi di questa tecnologia:

1. Non tutti i protocolli possono "superare" NAT. Alcuni non funzionano se c'è una traduzione dell'indirizzo sul percorso tra host comunicanti. I firewall dedicati che traducono gli indirizzi IP possono correggere questa carenza sostituendo gli indirizzi IP in modo appropriato non solo nelle intestazioni IP, ma anche a livelli superiori (ad esempio, nei comandi del protocollo FTP).
2. A causa della traduzione degli indirizzi molti-a-uno, ci sono ulteriori difficoltà con l'identificazione dell'utente e la necessità di archiviare registri di traduzione completi.
3. Attacco DoS da parte di un host che esegue NAT: se NAT viene utilizzato per connettere molti utenti allo stesso servizio, ciò può dare l'illusione di un attacco DoS al servizio (molti successi e fallimenti). Ad esempio, un numero eccessivo di utenti ICQ dietro NAT porta a un problema di connessione al server per alcuni utenti a causa del superamento della velocità di connessione consentita.

NAT (derivato dal termine inglese Network Address Translation, che si traduce come "network address translation") con questa funzione nelle reti TCP/IP, vengono convertiti gli indirizzi IP dei pacchetti in transito. Tutti i router ce l'hanno, si chiama port forwarding.

Il vantaggio di questa tecnologia è che non è necessario modificare la configurazione dei router e dei nodi finali della rete interna. Queste tecnologie non vengono utilizzate laddove molti nodi interni sono coinvolti nel lavorare con reti esterne.

Tipi di NAT

NAT statico

Generalmente, non utilizzato da privati per le loro esigenze, ma viene utilizzato da aziende che hanno molti indirizzi IP con la necessità che rimangano costanti per alcuni server e siano accessibili dall'esterno. Per aprire qualsiasi servizio (posta, sito web, ecc.) è necessario conoscere 2 parametri: indirizzo IP (nome DNS) e porta. In questo caso, la porta di solito non viene inserita (se non è stata modificata), poiché i programmi la inseriscono automaticamente e, quindi, l'utente non pensa nemmeno alla sua presenza. Affinché altri utenti del Web globale possano lavorare con un computer specifico, devono conoscerne l'IP (nome DNS) e la porta di servizio.

Se una persona ha un Network Address Translation statico e un computer sulla rete, allora non è necessario conoscere la porta, la conoscenza dell'IP sarà sufficiente. A limitare l'accesso, devi installare un firewall.

Per renderlo più chiaro, possiamo tracciare la seguente analogia: un indirizzo IP è la casa di qualcuno e una porta è il suo appartamento. Per trovare una persona, devi conoscere entrambi.

Come funziona. Supponiamo che il provider abbia emesso 4 IP per 3 server. Al router viene assegnato il primo e il resto va ai server. Per poterli raggiungere è sufficiente specificare IP esterni, ad esempio il secondo, e il router è ancora reindirizzare al primo server. Una persona arriva al server, ci lavora, ma non sa che il suo indirizzo è diverso. Verrà tenuta una voce al riguardo nella tabella NAT.

Ci sono alcuni aspetti positivi: Gli indirizzi utente non sono visibili, ma lui stesso è visibile da Internet. Contro: sarà facile per qualsiasi altro utente tentare di hackerare il suo computer.

NAT dinamico

A differenza di statico, ha un'eccezione: dal web globale nessun modo per vedere server con cui lavorare. Il client riceve diversi IP, ma eccoli qui distribuisce il router. Quando il client è su Internet, il router stesso seleziona un indirizzo tra quelli ricevuti, lo emette e lo inserisce nella tabella Network Address Translation. Ma il record stesso non viene archiviato per molto tempo, quando l'utente lascia Internet, viene cancellato dalla tabella.

Il grande svantaggio è che il numero richiesto di input al web globale non può essere di più il numero di indirizzi IP rilasciati dal provider. Fino a quando non ci saranno quelli gratuiti, i nuovi utenti non saranno in grado di connettersi al computer. Ma rispetto al primo tipo, c'è un grande vantaggio, altri utenti non saranno in grado di farlo libero accesso al disco rigido computer, perché gli indirizzi cambiano continuamente. Inoltre, i client stessi non hanno bisogno di distribuire gli indirizzi IP, saranno distribuiti dal router.

Port Address Translation (PAT), NAT Overload e Masquerading

Questo tipo è più rilevante per un individuo, poiché viene emesso un singolo indirizzo esterno e l'utente assegna solo una porta a qualsiasi server. Supponiamo che qualcuno debba essere in grado di accedere a un torrent, ciò richiederà non solo porte interne, ma anche esterne. Il programma utilizza porto interno solo sul computer su cui è installato. Da altre macchine, si connetteranno a porto esterno situato sul router. Molto spesso, ma non sempre coincidono.

Questo metodo ha un vantaggio: l'accesso è aperto a un determinato programma, tutto il resto è chiuso. E lo svantaggio è che molto spesso sono necessarie porte regolare manualmente.

Come modificare il tipo di NAT

Bisogno di . Per fare ciò, nel browser digitiamo 192.168.1.1 o 192.168.0.1 (o un'altra combinazione a seconda del router). Inserisci login e password. Lì esaminiamo le nostre impostazioni IP e di rete.

Quindi devi contattare il tuo provider di connessione Internet, segnalare i dati che hai guardato nel router e riconfigurerà tutto.

Terminologia NAT

Per NAT, è importante distinguere tra una rete interna e una esterna. L'interno include tutte le reti necessarie alla trasformazione, l'esterno - tutte le altre reti.

Il sistema ha 4 tipi di indirizzi:

IN interno include la conversione dei meccanismi NAT, servizi esterni l'indirizzo del dispositivo a cui si desidera accedere. Locale è inteso come quello che accade nelle reti interne e globale - nelle reti esterne.

Come verificare se un computer è protetto da NAT

Per fare ciò, è sufficiente determinare l'IP del computer dell'utente. Se qualche indirizzo rientra negli intervalli (utilizzato solo per le reti locali):

• 10.0. 0. 0 — 10. 255.255.255;
• 172.X. 0. 0 - 172. X.255.255 (X assume un valore da 16 a 31);
• 192.168. X.0 - 192.168.X.255 (X è più spesso 0 o 1, assume valori da 0 a 255).

Ciò significa che questo computer si trova sulla rete locale e l'utente è in NAT.

Impostazioni NAT, come aprirlo

Per configurare NAT nel router, devi andare sul browser, digitare 192.168.1.1 o 192.168.0.1 (indirizzo del router), dopodiché avrai bisogno inserire login con password(solitamente Admin/Admin). Poi c'è il campo Configurazione(impostazioni), quindi rete(rete) e Instradamento(percorsi o instradamento). Seleziona in una nuova finestra Instradamento dei criteri(nuova regola). Le condizioni di instradamento sono impostate qui. È possibile selezionare in base a varie proprietà, quali: utenti, interfacce, indirizzo IP di origine o di destinazione, porta di destinazione.

Impostiamo le condizioni del traffico, ci sono diversi incarichi: Auto reindirizzerà il traffico all'interfaccia globale, specificata per impostazione predefinita, Portale all'indirizzo disponibile nelle impostazioni, Tronco- interfacce multiple Interfaccia– all'interfaccia specificata.

Sul server, è configurato come segue: all'inizio è Gestore del server, che viene cliccato con il mouse, quindi in una nuova finestra su aggiungere ruoli e funzionalità, quindi installa l'accesso remoto, quindi aggiungi i componenti e continua. Quindi selezionare i servizi ruolo e contrassegnare il routing, fare clic su Avanti. Alla fine per chiudere.

Dopo aver collegato il computer al server, è necessario configurarlo in NAT. Nel menu di avvio è presente una finestra di amministrazione: routing e accesso remoto. Per attivare, fare clic su abilitare il percorso e accesso remoto. Quindi su "successivo" e seleziona traduzione di indirizzi di reteNAT. Quindi facciamo clic su Internet e attiviamo i servizi di destinazione di base. Continuiamo a cliccare più volte su “avanti” e l'ultima volta su “finito”.

Il provider con cui il cliente ha stipulato un accordo per la fornitura di servizi Internet può aiutare ad aprire NAT, basta contattarlo con questa domanda.

NAT loopback e tecnologia NAT Traversal

L'essenza del loopback NAT è che se un pacchetto arriva dalla rete interna all'indirizzo IP del router, allora tale pacchetto sarà accettato come esterno e sarà soggetto alle regole del firewall per le connessioni esterne. Dopo che il pacchetto è passato con successo attraverso il firewall, inizierà a funzionare la traduzione degli indirizzi di rete, che fungerà da intermediario per due macchine intranet. Risulta quanto segue:

• al di fuori della rete locale, puoi saperne di più impostazioni del servizio di rete;
• vai al server dal nome del dominio, che si trova sulla rete locale. Senza la funzione di loopback (o hairpinning), queste azioni sarebbero impossibili, sarebbe necessario configurare il file hosts per qualsiasi dominio;
• svantaggio principale - aumento del carico su un router con un hub.

NAT Traversal è la capacità delle applicazioni di rete di determinare cosa sono situato all'esterno del dispositivo. In questo caso, Network Address Translation aiuta a determinare l'indirizzo IP esterno di questo dispositivo e mappa le porte in modo che NAT inoltri i pacchetti utilizzati dalle applicazioni dalla porta esterna alla porta interna. Tutti questi processi vengono eseguiti automaticamente. Senza di essi, l'utente dovrebbe mappare manualmente le impostazioni della porta e apportare modifiche a varie impostazioni. Ma ci sono anche degli svantaggi - devi stare attento a tali applicazioni - hanno la capacità di controllare ampiamente i dispositivi e quindi possono apparire vulnerabilità.

Ciao a tutti, oggi parleremo di come configurare Cisco NAT. Cos'è NAT e perché è necessario, poiché questa funzionalità è entrata da tempo e strettamente nella nostra vita quotidiana e ora è molto difficile immaginare almeno un'impresa che non utilizzi questa tecnologia. Un tempo, ha salvato Internet e ha notevolmente ritardato il passaggio da ipv4 a ipv6, ma prima di tutto.

Cos'è il NAT

NAT (Network Address Translation) è un meccanismo di traduzione degli indirizzi di rete, se semplice, è una tecnologia che consente a un gruppo di IP privati ​​o grigi di sedersi dietro un IP bianco. Un esempio è Internet dell'ufficio, dove tutti gli utenti siedono attraverso un gateway comune, su cui è configurato un indirizzo IP che va a Internet, che gli utenti hanno indirizzi IP locali configurati.

Sembra approssimativamente così

Tipi di NAT

• NAT statico: conversione dell'IP grigio in bianco, un esempio di port forwarding su una rete locale, ad esempio RDP
• NAT dinamico - trasformazione dell'ip grigio in uno degli indirizzi ip di un gruppo di indirizzi ip bianchi
• NAT sovraccarico o come viene anche chiamato PAT (port Adress translation), che converte diversi IP grigi in bianchi, dando loro porte diverse.

Oggi esamineremo NAT e PAT statici.

Configurazione di Cisco NAT

Ecco come appare il layout di un piccolo ufficio. Abbiamo 3 computer in vlan 2, c'è un server in un vlan 3 separato. Tutta questa roba è collegata a uno switch di secondo livello cisco 2660, che, a sua volta, è collegato a un router Cisco 1841 che instrada il traffico locale tra vlan 2 e 3.

Configurazione Cisco 2960

Creiamo vlan 2 e vlan3, diamo loro dei nomi e configuriamo le porte necessarie per questi vlan.

abilitare
conf t
creare vlan 2
vlan 2
nome VLAN2
Uscita
creare vlan 3
vlan 3
nome VLAN3
Uscita
Inseriamo le porte in vlan2
intero intervallo fa0/1-3
accesso alla modalità switchport
switchport accesso vlan 2
Uscita
Inseriamo la porta in vlan3
int fa 0/4
accesso alla modalità switchport
switchport accesso vlan 3
Uscita

int fa 0/5
trunk in modalità switchport
trunk switchport consentito vlan 2.3
fai wr mem

Configurazione Cisco 1841

Prima di tutto, creiamo le sottointerfacce e alziamo la porta.

abilitare
conf t
int fa0/0
nessuno spegnimento
Uscita

intfa0/0.2
incapsulamento dot1Q 2
indirizzo ip 192.168.2.251 255.255.255.0
nessuno spegnimento
Uscita

intfa0/0.3
incapsulamento dot1Q 3
indirizzo ip 192.168.3.251 255.255.255.0
nessuno spegnimento
Uscita

Di conseguenza, la porta è diventata verde

Configurazione PAT

Nella mia infrastruttura virtuale, sfortunatamente, il nostro schema non può essere rilasciato su Internet, lo emuleremo, avremo un router con un indirizzo ip bianco e un server anch'esso con un indirizzo ip bianco. Schematicamente, sembra così. Sul router del provider viene assegnato un indirizzo ip bianco 213.235.1.1 e una netmask 255.255.255.252 su una porta specifica

Configuriamo questo ip sul router del nostro provider di test.

it
conf t
int fa0/0
indirizzo ip 213.235.1.1 255.255.255.252
nessuno spegnimento
Uscita

configurare la porta fa0/1 che guardiamo al server e impostarla su un altro ip bianco 213.235.1.25 255.255.255.252

int fa0/1
indirizzo ip 213.235.1.25 255.255.255.252
nessuno spegnimento
Uscita

Il mio server avrà un indirizzo IP di 213.235.1.26 e il gateway sarà 213.235.1.25, l'interfaccia del router del provider che guarda il server.

Ora configuriamo il nostro router locale Router0, configuriamo l'indirizzo ip bianco assegnatoci dal provider 213.235.1.2 255.255.255.252, il gateway sarà 213.235.1.1

abilitare
conf t
int fa0/1
indirizzo ip 213.235.1.2 255.255.255.252
nessuno spegnimento
Uscita
indirizzo IP 0.0.0.0 0.0.0.0 213.235.1.1
Uscita
wr mem

Proviamo a eseguire il ping degli indirizzi IP del provider e del server dal router dell'ufficio e vediamo che tutto funziona correttamente.

Router#ping 213.235.1.1

La percentuale di successo è dell'80 percento (4/5), andata e ritorno min/media/max = 0/0/0 ms

Router#ping 213.235.1.1

Digita la sequenza di escape per interrompere.

Inviando 5 Echo ICMP da 100 byte a 213.235.1.1, il timeout è di 2 secondi:

La percentuale di successo è del 100 percento (5/5), andata e ritorno min/media/max = 0/0/1 ms

Router#ping 213.235.1.2

Digita la sequenza di escape per interrompere.

Invio di 5 Echo ICMP da 100 byte a 213.235.1.2, il timeout è di 2 secondi:

La percentuale di successo è del 100 percento (5/5), andata e ritorno min/media/max = 0/9/17 ms

Router#ping 213.235.1.25

Digita la sequenza di escape per interrompere.

Invio di 5 Echo ICMP da 100 byte a 213.235.1.25, il timeout è di 2 secondi:

Router#ping 213.235.1.26

Digita la sequenza di escape per interrompere.

Inviando 5 Echo ICMP da 100 byte a 213.235.1.26, il timeout è di 2 secondi:

La percentuale di successo è del 100 percento (5/5), andata e ritorno min/media/max = 0/0/0 ms

Bene, il nating stesso. Sul router locale, procedi come segue. Ora dobbiamo impostare quale interfaccia nat sarà considerata esterna e quale interna, tutto sarà semplicemente esterno dove è configurato l'indirizzo ip bianco del provider, interno è ciò che è connesso allo switch di secondo livello. fa0/1 sarà esterno e le due interfacce secondarie saranno interne.

abilitare
conf t
int fa0/1
ip nat fuori
Uscita
intfa0/0.2
ip nat dentro
intfa0/0.3
ip nat dentro
Uscita

Personalizzazione dell'elenco di accesso

Elenco di accesso un elenco di quale traffico deve essere nattato e che dovrebbe funzionare senza NAT.

Crea un elenco di accesso denominato NAT

ip access-list NAT standard
Consentire due piscine
permesso 192.168.2.0 0.0.0.255
permesso 192.168.3.0 0.0.0.255

0.0.0.255 è bit jolly

come puoi vedere, abbiamo un elenco di accesso nella configurazione e le porte sono contrassegnate quali sono esterne e quali interne.

E inseriamo un altro comando magico, dove si dice che il traffico che è arrivato a fa0/1 deve essere nattato secondo la regola NAT. Di conseguenza, abbiamo configurato PAT.

ip nat all'interno dell'elenco delle fonti Interfaccia NAT sovraccarico fa0/1

Salva tutto fai wr mem

verificare la disponibilità di risorse esterne da un computer della rete locale. Diamo un'occhiata alle configurazioni correnti con il comando ipconfig, vedi l'indirizzo ip 192.168.2.1, ping 213.235.1.26, come puoi vedere tutto è OK e NAT cisco funziona.

La rapida crescita di Internet, poco dopo il suo inizio, ha portato il problema della carenza di indirizzi. Ora questo è parzialmente risolto dall'introduzione del nuovo protocollo IPv6, che fornirà molte volte più indirizzi disponibili per i nodi di rete. Ma un aggiornamento del protocollo non è sufficiente. Fu inventata la tecnologia NAT, che consentiva ai nodi di una rete privata di connettersi a Internet utilizzando un solo indirizzo IP esterno. Questo rende il ridimensionamento delle LAN private molto più semplice quando si tenta di connetterle a Internet. Ora analizzeremo in dettaglio la tecnologia NAT.

Come funziona NAT?

Ad esempio, immaginiamo di avere una rete locale che comprende 3 postazioni di lavoro. Abbiamo deciso di connetterci a Internet. Il provider ci ha assegnato 1 esterno, che dobbiamo registrare nelle impostazioni del nostro router. Di conseguenza, otterremo la seguente immagine.

I nostri tre computer saranno collegati a una rete locale con l'indirizzo "192.168.."

Ecco come apparirà:

• Router - 192.168.1.1
• Computer 1 - 192.168.1.2
• Computer 2 - 192.168.1.3
• Computer 3 - 192.168.1.4

Se conosci già le basi delle reti locali, devi sapere che nelle impostazioni delle schede di rete, nel campo "Default gateway", per i nostri computer, il valore dovrebbe essere 192.168.1.1. Pertanto, tutte le richieste che non appartengono alla nostra rete locale, dobbiamo inviare al nostro router. In poche parole, tutte le richieste a Internet verranno reindirizzate ad esso.

Come abbiamo già notato, abbiamo un solo ip esterno. È qui che inizia il divertimento. Come possono tre computer con diversi indirizzi IP essere in grado di accedere a Internet se hanno un indirizzo esterno?

È qui che la tecnologia NAT viene in soccorso.

Come puoi vedere, all'interno della rete, tutti i nodi hanno indirizzi sulla stessa sottorete. Ciò consente loro di implementare il trasferimento dei dati. Nel caso in cui la richiesta venga inviata a Internet, verrà trasmessa all'interfaccia interna del router. Quindi utilizzando la tecnologia NAT, i dati verranno leggermente modificati. Verrà loro assegnato un indirizzo IP esterno. Dopodiché, i pacchetti andranno alla rete.

Probabilmente hai già capito come funziona la tecnologia di traduzione degli indirizzi di rete. Con il suo aiuto, un singolo indirizzo esterno viene assegnato a tutti gli indirizzi interni della rete. Questo permette, in presenza di un unico indirizzo esterno, a più computer di accedere contemporaneamente alla rete.

A cosa dovresti prestare attenzione qui. Innanzitutto, non deve esserci un solo indirizzo esterno. Potrebbero essercene diversi.

In secondo luogo, l'uso della tecnologia NAT impone alcune restrizioni associate al blocco IP. Ciò si manifesta quando si tenta di accedere a una risorsa in cui può connettersi solo un host da un IP. Nel caso in cui qualcuno della tua rete sia già connesso ad essa, non sarai in grado di stabilire una connessione.

Terminologia

Per comprendere il principio della traduzione degli indirizzi di rete, comprendiamo i termini di base.

Questo è il primo tipo di implementazione di questa tecnologia.

Allo stesso tempo, il router converte ogni indirizzo interno in uno esterno, concentrandosi sulle voci nella tabella di routing. Le mappature devono essere configurate in anticipo durante la configurazione del router.

Configurazione su router Cisco

• Entriamo nelle impostazioni dell'interfaccia, che si troverà nella parte interna della rete, e utilizziamo il comando ip nat inside
• Successivamente, per l'interfaccia esterna, il comando ip nat outside
• Successivamente, nella modalità di configurazione globale, dobbiamo mappare manualmente gli indirizzi. Usiamo il comando ip nat all'interno della sorgente statico interno-locale interno-globale. Dove "inside-local" è l'indirizzo inside local, "inside-global" è l'inside global

NAT dinamico

Questa implementazione è simile alla traduzione statica. La differenza è che il processo di traduzione degli indirizzi avviene in modalità dinamica, in base ai parametri precedentemente configurati. Ora non esiste una tabella di routing statica. La tabella contiene le corrispondenze che si attivano al momento della trasmissione del pacchetto. Se tutti i parametri configurati corrispondono.

Per configurare, è necessario specificare un pool di indirizzi esterni che verranno utilizzati per la trasmissione. E imposta anche un pool di indirizzi interni creandone uno nuovo per loro.

Collocamento

• Imposta ip nat inside per le interfacce interne
• Ip nat fuori per fuori
• Creiamo un ACL con un elenco di indirizzi interni che dovrebbero partecipare alla traduzione
• Creiamo un pool di indirizzi esterni. Nella modalità di configurazione globale, utilizzare il comando ip nat nome pool primo indirizzo maschera ultimo indirizzo maschera di sottorete. Dove "name" è il nome del pool, "first-address" è l'indirizzo iniziale, "last-address" è l'ultimo indirizzo, "subnet mask" è la subnet mask
• Abilita la traduzione dinamica dell'indirizzo NAT. ip nat source list numero-acl pool nome-pool. Dove "numero-acl" è l'elenco di controllo degli accessi creato in precedenza, "nome-pool" è il pool di indirizzi.

PAT - traduzione basata su porta

In ogni caso, il numero di indirizzi esterni disponibili è limitato. Come è possibile aumentare ulteriormente la scalabilità di una grande rete locale in modo che tutti i suoi nodi possano accedere a Internet? È già chiaro che sia il NAT statico che quello dinamico richiederanno un gran numero di indirizzi esterni per questo. Ma questa opzione non ci soddisfa.

È qui che viene in soccorso la terza implementazione di NAT: la traduzione basata su porta PAT. La sua essenza è che oltre al collegamento "indirizzo - indirizzo", viene aggiunto il collegamento "indirizzo - porta". Pertanto, il router può attivare la connessione non solo utilizzando un indirizzo IP, ma anche utilizzando un numero di porta univoco.

Dato che per la numerazione delle porte vengono utilizzati 16 bit, possono essere attive più di 65mila connessioni contemporaneamente.

Collocamento

L'intero processo di configurazione è simile alla configurazione del routing dinamico. Nel caso in cui vogliamo abilitare PAT, dobbiamo aggiungere la parola chiave overload al comando di configurazione. Alla fine, sarà simile a questo:

ip nat source list acl-number interfaccia nome interfaccia/ numero sovraccarico

Video per l'articolo:

Conclusione

L'uso della tecnologia NAT consente di implementare l'accesso a Internet per qualsiasi rete locale. Con questo, hai solo bisogno di un indirizzo IP esterno. Questa è l'opzione più comunemente utilizzata: i fornitori spesso offrono solo tali tariffe per utenti domestici o piccoli uffici.

Perché cercare informazioni su altri siti, se tutto viene raccolto da noi?

• passo dopo passo