Kā darbojas NAT? Tīkla adrešu tulkošanas (NAT) Nat apraksts

Dators savienojas ar globālo tīklu vairākos veidos. Tas var būt tiešs savienojums, un tādā gadījumā ir ārēja IP adrese (dinamiska vai statiska), kas ir redzama no interneta. Vai arī savienojumu var izveidot, izmantojot maršrutētāju. Izmantojot šo savienojumu, tikai maršrutētājam ir ārējā adrese, un visi tam pievienotie lietotāji ir cita tīkla klienti. Maršrutētājs pārņem ienākošās un izejošās trafika sadali starp klientiem un internetu. Veidojot savienojumu, izmantojot maršrutētāju, rodas vairākas problēmas:

• torrent klienti pārstāj darboties;
• nav iespējams izveidot savienojumu ar tiešsaistes spēļu serveri;
• nav izsaukumu uz iekšējo tīkla serveri no ārpuses, izmantojot nevienu protokolu vai portu.

Pareiza maršrutētāja, proti, NAT pakalpojuma, konfigurēšana palīdz atrisināt problēmu. Lai saprastu kā maršrutētājā konfigurēt NAT, jums jāzina, kas ir adreses tulkošana un kam tā tiek izmantota.

NAT: vispārīgas definīcijas

NAT (tīkla adrešu tulkošana) jeb tīkla adrešu tulkošana ir iekšējo vai lokālo adrešu pārtulkošana uz ārējām. NAT izmanto absolūti visi maršrutētāji neatkarīgi no to konfigurācijas, mērķa un izmaksām. Pēc noklusējuma maršrutētājs aizliedz tiešu piekļuvi jebkurai ierīcei, kas atrodas tīklā. Tas bloķē piekļuvi visiem portiem ienākošajiem savienojumiem, kas nāk no interneta.

Taču NAT un ugunsmūris ir divi dažādi jēdzieni. Ugunsmūris vienkārši liedz piekļuvi resursam noteiktā TCP vai UDP portā, to var instalēt vietējā datorā, lai ierobežotu piekļuvi tikai tam, vai serverī, lai filtrētu trafiku visā lokālajā tīklā. NAT saskaras ar visaptverošāku uzdevumu. Pakalpojums liedz vai ļauj tīklā piekļūt noteiktai IP adresei vai adrešu diapazonam. Tādējādi klients, kas piekļūst resursam, neredz faktisko resursa IP adresi. NAT pārvērš iekšējo IP adresē, kas būs redzama no interneta.

Lai pārbaudītu, vai dators ir aiz NAT vai pārraida īstu adresi internetā, varat rīkoties šādi:

• operētājsistēmā Windows jums jānoklikšķina uz "Start - Run - cmd" un jāraksta ipconfig un nospiediet "Enter";
• operētājsistēmās Linux un MacOS tas tiek izpildīts terminālī ifconfig.

Komandas izvade parāda sekojošo:

• IP- reāla, derīga datora adrese;
• Apakštīkla maska- Apakštīkla maska;
• Vārteja- maršrutētāja vārtejas adrese.

Kā mēs tagad varam noteikt, vai adrese ir vietēja vai tieši “skatās” internetā? Saskaņā ar specifikāciju ir četri adrešu diapazoni, kas nekādā gadījumā netiek izmantoti internetā, bet ir tikai lokāli:

1. 0.0.0 - 10.255.255.255
2. X.0.0 — 172.X.255.255, kur X ir diapazonā no 16 līdz 31.
3. 168.0.0 - 192.168.255.255
4. 254.0.0 - 169.254.255.255

Gadījumā, ja mašīnas adrese ietilpst kādā no šiem diapazoniem, jāpieņem, ka dators atrodas lokālajā tīklā vai “aiz” NAT. Lai noteiktu īsto IP adresi, varat papildus izmantot arī īpašus pakalpojumus, kuru internetā ir daudz. Tagad kļuvis skaidrs, vai dators atrodas aiz muguras Kas ir NAT maršrutētājā? par dienestu, un par to viņš ir atbildīgs.

NAT problēmas un risinājumi

Kopš NAT ieviešanas uzreiz sāka parādīties problēmas. Nebija iespējams piekļūt, izmantojot atsevišķu protokolu vai atsevišķu programmu darbību. Šīs problēmas nekad netika pilnībā novērstas, izmantojot tikai adrešu tulkošanu, bet neviens risinājums nav pareizs no administrācijas specifikācijas viedokļa.

Kā piemēru ņemiet vērā failu pārsūtīšanas protokolu (FTP), kas bija visizplatītākais protokols pirms NAT parādīšanās. Failu serveriem (FTP) atslēga ir tā datora reālā IP adrese, kas nosūta piekļuves pieprasījumu. Šeit adreses tulkošana nedarbojas, jo pieprasījums serverim tiek nosūtīts no IP, kas nav redzams no interneta. Nav iespējams izveidot klienta-servera sesiju, lai lejupielādētu failus. FTP izmantošana pasīvajā režīmā palīdz apiet problēmu. Šajā režīmā tiek izmantota cita komandu kopa, un darbs tiek veikts, izmantojot īpašu starpniekserveri, kas papildus atver savienojumam citu portu un pārsūta to uz klienta programmu. Šī risinājuma problēma ir tāda, ka ir jāizmanto trešās puses FTP klienti.

Pilnībā atbrīvoties no piekļuves problēmas bija iespējams tikai ar SOCKS (Socket Secure) protokola parādīšanos. Šis protokols ļauj apmainīties ar datiem caur starpniekserveri “caurspīdīgā” režīmā. Tas nozīmē, ka serveris nezinās, ka adreses tiek aizstātas no vietējās uz globālajām un otrādi. SOCKS izgudrojums ļāva atbrīvoties no vairākām problēmām un vienkāršot tīkla administrēšanas darbu:

• izveido serverī pakalpojumu, kas noklausās ienākošos pieprasījumus, kas ļauj apkalpot vairāku savienojumu protokolus, piemēram, FTP;
• nav nepieciešams izmantot un uzturēt DNS pakalpojumu lokālajā tīklā. Tagad šis uzdevums ir piešķirts starpniekserveriem kešatmiņā;
• papildu autorizācijas metodes nodrošina efektīvāku pakešu izsekošanu un filtrēšanu. Izmantojot NAT, pieprasījumus var filtrēt tikai pēc adresēm.

NAT un SOCKS izmantošana ne vienmēr ir attaisnojama no tīkla administrēšanas viedokļa. Dažreiz ir piemērotāk izmantot specializētus starpniekserverus, kuru ir daudz jebkuram datu pārsūtīšanas protokolam.

NAT iestatīšana datorā

Visām mūsdienu operētājsistēmām ir iebūvēts NAT. Operētājsistēmā Windows šī funkcija ir ieviesta kopš 1999. gada, kad parādījās Windows XP. NAT tiek pārvaldīts tieši, izmantojot tīkla savienojuma rekvizītus. Lai konfigurētu pakalpojumu, jums jāveic šādas darbības:

• Izvēlnē Sākt palaidiet vadības paneļa programmu.
• Atrodiet ikonu “Tīkla savienojumi” un palaidiet to.
• Jaunajā logā ar peles labo pogu noklikšķiniet uz aktīvā tīkla savienojuma un nolaižamajā sarakstā atlasiet “Properties”.
• Dodieties uz cilni "Papildu".
• Atzīmējiet izvēles rūtiņu blakus “Atļaut citiem tīkla lietotājiem izmantot šī datora interneta savienojumu”.
• Apstipriniet izmaiņas, nospiežot pogu “Labi”.

Ja saņemat ziņojumu, ka nav iespējams palaist publiskās piekļuves pakalpojumu, jums jāpārliecinās, vai darbojas DHCP klienta pakalpojums. Ja nepieciešams, varat iestatīt, lai pakalpojums tiktu palaists piespiedu kārtā, nevis automātiski pēc pieprasījuma.

NAT iestatīšana maršrutētājā

Kas ir NAT maršrutētājā, tā izmantošanas iespējamība un problēmas, ko tas var radīt, tika aprakstītas iepriekš, tagad varat pāriet tieši uz uzdevuma īstenošanu. Pakalpojuma iestatīšana maršrutētājā ir atkarīga no tā modeļa, izmantotās programmaparatūras un citiem parametriem. Bet pietiek ar to, lai saprastu mehānismu, lai nerastos grūtības vai jautājumi par atsevišķas ierīces iestatīšanu. Lai konfigurētu, veiciet šādas darbības (piemēram, iestatījumi tiek veikti Zyxel maršrutētājam ar programmaparatūru v1):

• Pārlūkprogrammā dodieties uz maršrutētāja iestatījumu lapu.
• Atveriet izvēlni “Tīkls — maršrutēšana” uz cilni “Politikas maršrutēšana”.

Atvērtajā lapā tiek pārvaldītas piekļuves politikas un maršrutēšana. Šeit jums ir jāiespējo pakalpojums, aktivizējot slēdzi pozīcijā “Iespējot”. Paši iestatījumi tiek veikti grupā “Kritēriji”. NAT parametri tiek atlasīti pēc vairākām filtru kategorijām:

• Lietotājs - pārraide konkrētam lietotājam.
• Ienākošie - caur tīkla interfeisu.
• Avota adrese - adreses aizstāšana, izmantojot avota adresi.
• Galamērķa adrese - gala saņēmēja adresē
• Serviss - noteiktā servisa ostā.

Kā novirzīšanas objektu varat atlasīt šādas opcijas:

• Auto - automātiska mērķa objekta izvēle. Wan interfeiss ir instalēts pēc noklusējuma.
• Vārteja - vārteja, kas iepriekš norādīta iestatījumos.
• VPN tunelis - attiecīgi caur VPN tuneli.
• Bagāžnieks — saskarņu klāsts, kas konfigurēts darbam kopā.
• Interfeiss - īpašs interfeiss pēc izvēles.

Katrā atsevišķā maršrutētājā iestatījumi un izvēlnes vienumu nosaukumi var atšķirties, taču NAT izveides princips paliek nemainīgs.

Interneta maršrutētājs, piekļuves serveris, ugunsmūris. Populārākais ir Avots NAT(SNAT), mehānisma būtība ir aizstāt avota adresi, kad pakete iet vienā virzienā, un apgriezti aizstāt galamērķa adresi atbildes paketē. Kopā ar avota/galamērķa adresēm var aizstāt arī avota un galamērķa porta numurus.

Bez SNAT, t.i. Bieži tiek izmantota arī lokālā tīkla lietotāju nodrošināšana ar iekšējām adresēm ar piekļuvi internetam Galamērķis NAT, kad ugunsmūris pārvērš pieprasījumus no ārpuses uz lokālā tīkla serveri, kuram ir iekšēja adrese un tāpēc tas nav tieši pieejams no ārējā tīkla (bez NAT).

Zemāk esošie attēli parāda NAT mehānisma darbības piemēru.

Rīsi.

7.1.

Lietotājs korporatīvajā tīklā nosūta pieprasījumu uz internetu, kas nonāk maršrutētāja, piekļuves servera vai ugunsmūra (NAT ierīces) iekšējā saskarnē.

NAT ierīce saņem paketi un veic ierakstu savienojuma izsekošanas tabulā, kas kontrolē adreses tulkošanu.

Pēc tam tas aizstāj paketes avota adresi ar savu ārējo publisko IP adresi un nosūta paketi uz galamērķi internetā.

Mērķa resursdators saņem paketi un nosūta atbildi atpakaļ uz NAT ierīci.

Savukārt NAT ierīce, saņemot šo paketi, savienojuma izsekošanas tabulā atrod oriģinālās paketes avotu, aizstāj galamērķa IP adresi ar atbilstošo privāto IP adresi un pārsūta paketi uz avota datoru. Tā kā NAT ierīce sūta paketes visu iekšējo datoru vārdā, tā maina avota tīkla portu un šī informācija tiek saglabāta savienojuma izsekošanas tabulā.

• Adreses tulkošanai ir 3 pamatjēdzieni:
• dinamisks (DAT, dinamiskā adrešu tulkošana),
• maskarāde (NAPT, NAT pārslodze, PAT).

Statisks NAT kartē vietējās IP adreses ar noteiktām publiskām adresēm, pamatojoties uz vienu. Izmanto, ja vietējam saimniekdatoram ir jābūt pieejamam no ārpuses, izmantojot fiksētas adreses.

Dinamiskais NAT kartē privāto adrešu kopu ar publisko IP adrešu kopu. Ja vietējo saimnieku skaits nepārsniegs pieejamo publisko adrešu skaitu, tiks garantēta katra vietējā adrese atbilstība publiskajai adresei. Pretējā gadījumā to resursdatoru skaits, kas var vienlaikus piekļūt ārējiem tīkliem, tiks ierobežots ar publisko adrešu skaitu.

Maskarāde NAT(NAPT, NAT pārslodze, PAT, maskēšana) ir dinamiska NAT forma, kas kartē vairākas privātās adreses ar vienu publisku IP adresi, izmantojot dažādus portus. Zināms arī kā PAT (Port Address Translation).

Var būt vairāki mehānismi mijiedarbībai starp iekšējo lokālo tīklu un ārējo publisko tīklu - tas ir atkarīgs no konkrētā uzdevuma nodrošināt piekļuvi ārējam tīklam un atpakaļ, un to nosaka noteikti noteikumi. Ir definēti 4 tīkla adrešu tulkošanas veidi:

• Pilns konuss
• Ierobežots konuss
• Ostas ierobežotais konuss
• Simetrisks

Pirmajos trīs NAT veidos vienu un to pašu ārējo portu izmanto, lai sazinātos starp dažādām IP adresēm ārējā tīklā un adresēm no vietējā tīkla. Ceturtais veids - simetrisks - katrai adresei un portam izmanto atsevišķu ārējo portu.

Pilns konuss, ierīces ārējais ports (maršrutētājs, piekļuves serveris, ugunsmūris) ir atvērts pieprasījumiem no jebkuras adreses. Ja lietotājam no interneta ir jānosūta pakete klientam, kas atrodas aiz NAT, tad viņam ir jāzina tikai ierīces ārējais ports, caur kuru tiek izveidots savienojums. Piemēram, dators, kas atrodas aiz NAT un kura IP adrese ir 192.168.0.4, sūta un saņem paketes 8000. portā, kas tiek kartētas uz ārējo IP adresi un portu kā 10.1.1.1:12345. Paketes no ārējā tīkla nonāk ierīcē ar IP adresi: ports 10.1.1.1:12345 un pēc tam tiek nosūtītas uz klienta datoru 192.168.0.4:8000.

Ienākošajās paketēs tiek pārbaudīts tikai transporta protokols; Galamērķa adresei un portam, avota adresei un portam nav nozīmes.

Izmantojot NAT, strādājiet pēc veida Ierobežots konuss, ierīces ārējais ports (maršrutētājs, piekļuves serveris, ugunsmūris) ir atvērts jebkurai paketei, kas nosūtīta no klienta datora, mūsu piemērā: 192.168.0.4:8000. Un pakete, kas nāk no ārējā tīkla (piemēram, no datora 172.16.0.5:4000) uz ierīci ar adresi: ports 10.1.1.1:12345, tiks nosūtīta uz datoru 192.168.0.4:8000 tikai tad, ja iepriekš 192.168.0.4:8000 nosūtīja pieprasījumu uz ārējā resursdatora IP adresi (mūsu gadījumā uz datoru 172.16.0.5:4000). Tas ir, maršrutētājs pārraidīs ienākošās paketes tikai no noteiktas avota adreses (mūsu gadījumā datora 172.16.0.5:4000), bet avota porta numurs var būt jebkas. Pretējā gadījumā NAT bloķē paketes, kas nāk no resursdatoriem, kuriem 192.168.0.4:8000 nav nosūtījis pieprasījumu.

NAT mehānisms Ostas ierobežotais konuss gandrīz līdzīgs NAT Restricted Cone mehānismam. Tikai šajā gadījumā NAT bloķē visas paketes, kas nāk no resursdatoriem, kuriem klienta dators 192.168.0.4:8000 nav nosūtījis pieprasījumu ne uz vienu IP adresi un portu. Maršrutētājs pievērš uzmanību atbilstošajam avota porta numuram un nepievērš uzmanību avota adresei. Mūsu piemērā maršrutētājs pārraidīs ienākošās paketes ar jebkuru avota adresi, bet avota portam jābūt 4000. Ja klients nosūtīja pieprasījumus ārējam tīklam uz vairākām IP adresēm un portiem, tad viņi varēs nosūtīt paketes klientam. uz IP adreses: ports 10.1 .1.1:12345.

Simetrisks NAT būtiski atšķiras no pirmajiem trim mehānismiem ar to, kā tas kartē iekšējo IP adresi:ports ar ārējo adresi:ports. Šis displejs ir atkarīgs no tā datora IP adreses: porta, kuram ir paredzēts nosūtītais pieprasījums. Piemēram, ja klienta dators 192.168.0.4:8000 nosūta pieprasījumu uz datoru #1 (172.16.0.5:4000), tas var parādīties kā 10.1.1.1:12345, bet tajā pašā laikā, ja tas sūta no tā paša porta ( 192.168. 0.4:8000) uz citu IP adresi, tas tiek parādīts atšķirīgi (10.1.1.1:12346).

Ļauj novērst vai ierobežot piekļuvi iekšējiem saimniekiem no ārpuses, atstājot iespēju piekļūt no iekšējā tīkla ārējam. Kad savienojums tiek uzsākts no tīkla, tiek izveidota apraide. Atbilžu paketes, kas pienāk no ārpuses, sakrīt ar ģenerēto apraidi un tāpēc tiek nodotas cauri. Ja paketēm, kas nāk no ārējā tīkla, nav atbilstoša tulkojuma (un to var izveidot, kad savienojums ir iniciēts vai statisks), tās netiek atļautas.

Ļauj paslēpt noteiktus iekšējo resursdatoru/serveru iekšējos pakalpojumus. Būtībā tas pats iepriekš minētais tulkojums tiek veikts uz noteiktu portu, taču ir iespējams aizstāt oficiāli reģistrēta pakalpojuma iekšējo portu (piemēram, TCP ports 80 (HTTP serveris) ar ārējo portu 54055). Tādējādi no ārpuses ārējā IP adresē pēc adrešu tulkošanas vietne (vai forums) zinošiem apmeklētājiem varēs nokļūt uz adresi http://dlink.ru:54055, bet iekšējā serverī, kas atrodas aiz NAT, tas darbosies parastajā 80. portā.

Tomēr ir jāpiemin arī šīs tehnoloģijas trūkumi:

1. Ne visi protokoli var "šķērsot" NAT. Daži no tiem neizdodas, ja ceļā starp saziņas resursdatoriem tiek tulkota adrese. Daži IP adrešu tulkošanas ugunsmūri var novērst šo trūkumu, atbilstoši aizstājot IP adreses ne tikai IP galvenēs, bet arī augstākos līmeņos (piemēram, FTP protokola komandās).
2. Sakarā ar adrešu tulkošanu “vairāki pret vienu”, rodas papildu grūtības ar lietotāju identificēšanu un nepieciešamību saglabāt pilnus tulkošanas žurnālus.
3. DoS uzbrukums resursdatoram, kas veic NAT — ja NAT tiek izmantots, lai savienotu daudzus lietotājus ar vienu un to pašu pakalpojumu, tas var radīt ilūziju par DoS uzbrukumu pakalpojumam (vairākas veiksmes un neveiksmes). Piemēram, pārmērīgs ICQ lietotāju skaits aiz NAT dažiem lietotājiem rada problēmas ar savienojumu ar serveri, jo tiek pārsniegts pieļaujamais savienojuma ātrums.

NAT (atvasināts no angļu valodas termina Network Address Translation, kas tulko kā "tīkla adreses tulkošana") izmanto šo funkciju, lai pārveidotu tranzīta pakešu IP adreses TCP/IP tīklos. Visiem maršrutētājiem tas ir, to sauc par portu pāradresāciju.

Šīs tehnoloģijas priekšrocība ir tāda, ka nav jāmaina maršrutētāju un iekšējā tīkla gala mezglu konfigurācija. Šīs tehnoloģijas netiek izmantotas, ja darbā ar ārējiem tīkliem ir iesaistīti daudzi iekšējie mezgli.

NAT veidi

Statisks NAT

Parasti, privātpersonas neizmanto savām vajadzībām, bet to izmanto uzņēmumi, kuriem ir daudz IP adrešu, un tām ir jāpaliek nemainīgām dažiem serveriem un jābūt pieejamām no ārpuses. Lai atvērtu jebkuru pakalpojumu (pasts, vietne utt.), ir jāzina 2 parametri: IP adrese (DNS nosaukums) un ports. Šajā gadījumā ports parasti netiek ievadīts (ja vien tas nav mainīts), jo programmas to ievada automātiski, un tāpēc lietotājs pat nedomā par tā klātbūtni. Lai citi globālā tīmekļa lietotāji varētu strādāt ar konkrētu datoru, viņiem jāzina tā IP (DNS nosaukums) un servisa ports.

Ja cilvēkam tīklā ir statiska tīkla adrešu tulkošana un viens dators, tad pietiks ar zināšanām par IP. Uz ierobežot piekļuvi, jums ir jāinstalē ugunsmūris.

Lai padarītu to skaidrāku, mēs varam izdarīt šādu analoģiju: IP adrese ir kāda māja, bet osta ir viņa dzīvoklis. Lai atrastu cilvēku, ir jāzina abi.

Kā tas strādā. Pieņemsim, ka pakalpojumu sniedzējs izsniedza 4 IP 3 serveriem. Pirmais tiek piešķirts maršrutētājam, bet pārējais tiek nodots serveriem. Lai varētu tiem piekļūt, pietiek norādīt ārējos IP, piemēram, otro, bet maršrutētājam ir vienalga tiks novirzīts uz pirmo serveri. Cilvēks nokļūst serverī, strādā pie tā, bet nezina, ka viņa adrese ir cita. Ieraksts par to tiks saglabāts NAT tabulā.

Ir pozitīvi punkti: lietotāju adreses nav redzamas, bet viņš pats ir redzams no interneta. Mīnusi: jebkuram citam lietotājam būs viegli mēģināt uzlauzt savu datoru.

Dinamiskais NAT

Atšķirībā no statiskā, tai ir viens izņēmums: no globālā tīmekļa nekādi nevar redzēt serveri, ar kuriem strādājat. Klients saņem vairākus IP, bet šeit tie ir maršrutētājs izplata. Kad klients ir tiešsaistē, maršrutētājs pats izvēlas vienu no saņemtajām adresēm, izsniedz to un ievada tabulā Network Address Translation. Bet pats ieraksts netiek glabāts ilgu laiku, kad lietotājs atstāj internetu, tas tiek izdzēsts no tabulas.

Lielais trūkums ir nepieciešamais ierakstu skaits globālajā tīmeklī vairāk nevar būt pakalpojumu sniedzēja izsniegto IP adrešu skaits. Kamēr netiks atrasti brīvie, jauni lietotāji nevarēs pieslēgties datoram. Bet salīdzinājumā ar pirmo veidu ir liela priekšrocība, ko citi lietotāji nevarēs brīvi piekļūt cietajam diskam datoru, jo adreses pastāvīgi mainās. Arī pašiem klientiem nav nepieciešams izplatīt IP adreses, maršrutētājs tās izplatīs.

Portu adrešu tulkošana (PAT), NAT pārslodze un maskēšana

Šis veids ir vairāk piemērots indivīdam, jo ​​tiek izsniegta viena ārējā adrese, un lietotājs jebkuram serverim piešķir tikai portu. Pieņemsim, ka kādam ir jābūt iespējai piekļūt torrentam, viņam būs nepieciešami ne tikai iekšējie, bet arī ārējie porti. Programma tiek izmantota iekšējā osta tikai datorā, kurā tas ir instalēts. No citām iekārtām tie tiks savienoti ārējais ports atrodas maršrutētājā. Ļoti bieži, bet ne vienmēr tie sakrīt.

Šai metodei ir priekšrocība: piekļuve ir atvērta noteiktai programmai, viss pārējais ir slēgts. Trūkums ir tāds, ka ļoti bieži ir nepieciešamas ostas konfigurēt manuāli.

Kā mainīt NAT veidu

Vajag . Lai to izdarītu, pārlūkprogrammā ierakstiet 192.168.1.1 vai 192.168.0.1 (vai citu kombināciju atkarībā no maršrutētāja). Ievadiet savu pieteikumvārdu un paroli. Tur mēs aplūkojam mūsu IP un tīkla iestatījumus.

Pēc tam jāsazinās ar interneta pieslēguma nodrošinātāju, jānorāda maršrutētājā apskatītie dati, un viņš visu pārkonfigurēs.

NAT terminoloģija

Attiecībā uz NAT ir svarīgi atšķirt iekšējo un ārējo tīklu. Iekšējie ietver visus tīklus, kas ir nepieciešami transformācijai, un ārējie ietver visus pārējos tīklus.

Sistēmai ir 4 veidu adreses:

IN iekšējie uzdevumi ietver NAT mehānismu pārveidošanu, ārējās kalpo tās ierīces adrese, kurā jāpiesakās. Ar lokālo mēs saprotam to, kas notiek iekšējos tīklos, un globālo - ārējos tīklos.

Kā pārbaudīt, vai dators ir aiz NAT

Lai to izdarītu, pietiek noteikt lietotāja datora IP. Ja kāda adrese ietilpst diapazonā (izmanto tikai vietējiem tīkliem):

• 10.0. 0. 0 — 10. 255.255.255;
• 172.X. 0. 0 - 172. X.255.255 (X ņem vērtību no 16 līdz 31);
• 192.168. X. 0 - 192.168.X.255 (X visbiežāk ir 0 vai 1, ņem vērtības no 0 līdz 255).

Tas nozīmē, ka šis dators atrodas lokālajā tīklā un lietotājs atrodas NAT.

NAT iestatījumi, kā to atvērt

Lai maršrutētājā konfigurētu NAT, jums jāiet uz pārlūkprogrammu, jāievada 192.168.1.1 vai 192.168.0.1 (maršrutētāja adrese), un pēc tam jums būs nepieciešams ievadiet pieteikumvārdu un paroli(parasti Admin/Admin). Tad ir lauks Konfigurācija(iestatījumi), tad Tīkls(tīkls) un Maršrutēšana(maršruti vai maršrutēšana). Jaunā logā atlasiet Politikas maršrutēšana(jauns noteikums). Šeit ir iestatīti maršrutēšanas nosacījumi. Varat atlasīt pēc dažādiem rekvizītiem, piemēram: lietotājiem, saskarnēm, avota vai mērķa IP adresēm, mērķa portam.

Mēs iestatām satiksmes apstākļus, ir vairāki mērķi: Auto novirzīs trafiku uz noklusējuma globālo saskarni, Vārteja uz adresi, kas pieejama iestatījumos, Bagāžnieks- vairākās saskarnēs, Interfeiss– norādītajam interfeisam.

Serveris ir konfigurēts šādi: sākumā ir Servera pārvaldnieks, uz kura tiek noklikšķināts ar peli, pēc tam jaunā logā uz pievienojiet lomas un funkcijas, pēc tam instalējiet attālo piekļuvi, pievienojiet komponentus un turpiniet. Pēc tam atlasiet lomu pakalpojumus un pārbaudiet maršrutēšanu, noklikšķiniet uz Tālāk. Pašās beigās slēgt.

Pēc datora pievienošanas serverim tas jākonfigurē NAT. Izvēlnē Sākt ir logs Administrēšana — maršrutēšana un attālā piekļuve. Lai aktivizētu, jums jānoklikšķina uz " iespējot maršrutēšanu un attālā piekļuve." Pēc tam noklikšķiniet uz “Next” un atlasiet tīkla adreses tulkošanaNAT. Pēc tam noklikšķiniet uz interneta un iespējojiet pamata galamērķa pakalpojumus. Mēs turpinām vairākas reizes noklikšķināt uz “nākamais” un pēdējo reizi uz “pabeigts”.

Pakalpojumu sniedzējs, ar kuru klients ir noslēdzis līgumu par interneta pakalpojumu sniegšanu, var palīdzēt atvērt NAT, jums vienkārši jāsazinās ar viņu.

NAT loopback un NAT Traversal tehnoloģija

NAT loopback būtība ir tāda, ka, ja pakete pienāk no iekšējā tīkla uz maršrutētāja IP adresi, tad šāda pakete tiks pieņemts kā ārējs un uz tiem attiecas ugunsmūra noteikumi ārējiem savienojumiem. Pēc tam, kad pakete būs veiksmīgi izgājusi cauri ugunsmūrim, pārņems tīkla adrešu tulkošana, kas darbosies kā starpnieks divām iekštīkla iekārtām. Izrādās sekojošais:

• ārpus vietējā tīkla jūs varat uzzināt par tīkla pakalpojumu uzstādījumi;
• dodieties uz serveri pēc domēna nosaukuma, kas atrodas lokālajā tīklā. Bez cilpas (vai matu piespraušanas) funkcijas šīs darbības nebūtu iespējams konfigurēt jebkuram domēnam;
• galvenais trūkums - slodzes palielināšanās maršrutētājam ar centrmezglu.

NAT Traversal ir iespēja tīkla lietojumprogrammām noteikt, ka tās atrodas ārpus ierīces robežām. Šajā gadījumā tīkla adrešu tulkošana palīdz noteikt konkrētās ierīces ārējo IP adresi un kartē portus, lai NAT pārsūtītu lietojumprogrammu izmantotās paketes no ārējā porta uz iekšējo. Visi šie procesi tiek veikti automātiski. Bez tiem lietotājam būtu manuāli jāsalīdzina portu iestatījumi un jāveic izmaiņas dažādos parametros. Taču ir arī trūkumi – ar šādām lietojumprogrammām jābūt uzmanīgiem – tām ir iespēja plaši kontrolēt ierīces, un tāpēc var parādīties ievainojamības.

Sveiki visiem, šodien mēs runāsim par to, kā konfigurēt Cisco NAT. Kas ir NAT un kāpēc tas vispār ir vajadzīgs, jo šī funkcionalitāte jau sen ir stingri iesakņojusies mūsu ikdienas dzīvē, un tagad ir ļoti grūti iedomāties vismaz vienu uzņēmumu, kas neizmantotu šo tehnoloģiju. Savulaik tas ietaupīja internetu un ievērojami aizkavēja pāreju no ipv4 uz ipv6, taču vispirms vispirms.

Kas ir NAT

NAT (Network Address Translation) ir tīkla adrešu konvertēšanas mehānisms, vienkārši sakot, tā ir tehnoloģija, kas ļauj vairākiem privātiem vai pelēkiem IP adresēm atrasties aiz viena balta IP. Piemērs varētu būt biroja internets, kur visi lietotāji izmanto kopīgu vārteju, kas ir konfigurēta ar IP adresi, kas savienojas ar internetu, lai lietotājiem būtu konfigurētas vietējās IP adreses.

Tas izskatās apmēram šādi

NAT veidi

• Statiskais NAT - pelēkā IP pārveidošana par baltu, portu pārsūtīšanas piemērs lokālajam tīklam, piemēram, RDP
• Dinamiskais NAT — pelēkas IP pārveidošana par vienu no balto IP adrešu grupas IP adresēm
• Pārslogots NAT vai kā to sauc arī PAT (port Address translation), pārvēršot vairākus pelēkos IP baltos, piešķirot tiem dažādus portus.

Šodien mēs apskatīsim statiskos NAT un PAT.

Cisco NAT iestatīšana

Šādi izskatās neliela biroja izkārtojums. Mums ir 3 datori vlan 2, ir serveris atsevišķā vlan 3. Visas šīs lietas ir savienotas ar Cisco 2660 otrā līmeņa slēdzi, kas savukārt ir pievienots Cisco 1841 maršrutētājam, kas maršrutē vietējo trafiku starp vlan 2 un 3.

Cisco 2960 iestatīšana

Izveidosim vlan 2 un vlan3, piešķirsim tiem nosaukumus un konfigurēsim nepieciešamos portus šajos vlanos.

iespējot
konf t
izveidot vlan 2
vlan 2
nosaukums VLAN2
Izeja
izveidot vlan 3
vlan 3
nosaukums VLAN3
Izeja
Mēs ievietojām portus vlan2
int diapazons fa0/1-3
piekļuve komutācijas režīmam
Switchport piekļuves vlan 2
Izeja
Novietojiet portu vlan3
int fa 0/4
piekļuve komutācijas režīmam
Switchport Access vlan 3
Izeja

int fa 0/5
komutācijas režīma stumbrs
switchport trunk atļauts vlan 2,3
do wr mem

Cisco 1841 iestatīšana

Vispirms izveidosim apakšinterfeisus un paaugstināsim portu.

iespējot
konf t
int fa0/0
nav izslēgšanas
Izeja

int fa0/0.2
iekapsulēšana dot1Q 2
IP adrese 192.168.2.251 255.255.255.0
nav izslēgšanas
Izeja

int fa0/0.3
iekapsulēšana dot1Q 3
IP adrese 192.168.3.251 255.255.255.0
nav izslēgšanas
Izeja

Rezultātā osta kļuva zaļa

PAT iestatīšana

Manā virtuālajā infrastruktūrā diemžēl mūsu shēmu nevar izlaist internetā, mēs to emulējam, mums būs rūteris ar baltu IP adresi un serveris arī ar baltu IP adresi. Shematiski tas izskatās šādi. Pakalpojumu sniedzēja maršrutētājā noteiktam portam ir piešķirta balta IP adrese 213.235.1.1 un tīkla maska ​​255.255.255.252.

Konfigurēsim šo IP mūsu testa nodrošinātāja maršrutētājā.

lv
konf t
int fa0/0
IP adrese 213.235.1.1 255.255.255.252
nav izslēgšanas
Izeja

Konfigurēsim portu fa0/1, kuru skatāmies uz serveri, un piešķirsim tam vēl vienu baltu IP 213.235.1.25 255.255.255.252.

int fa0/1
IP adrese 213.235.1.25 255.255.255.252
nav izslēgšanas
Izeja

Mana servera IP adrese būs 213.235.1.26, un vārteja būs 213.235.1.25 — tā pakalpojumu sniedzēja maršrutētāja saskarne, kas skatās uz serveri.

Tagad konfigurēsim savu vietējo maršrutētāju Router0, konfigurēsim to ar balto IP adresi, ko mums piešķīris mūsu pakalpojumu sniedzējs 213.235.1.2 255.255.255.252, vārteja būs 213.235.1.1.

iespējot
konf t
int fa0/1
IP adrese 213.235.1.2 255.255.255.252
nav izslēgšanas
Izeja
IP maršruts 0.0.0.0 0.0.0.0 213.235.1.1
Izeja
wr mem

Mēs cenšamies pārbaudīt pakalpojumu sniedzēja un servera IP adreses no biroja maršrutētāja, un mēs redzam, ka viss darbojas labi.

Maršrutētājs#ping 213.235.1.1

Veiksmes rādītājs ir 80 procenti (4/5), turp un atpakaļ min/vid./maks. = 0/0/0 ms

Maršrutētājs#ping 213.235.1.1

Ierakstiet evakuācijas secību abortam.

Nosūtot 5, 100 baitu ICMP Echos uz 213.235.1.1, taimauts ir 2 sekundes:

Veiksmes rādītājs ir 100 procenti (5/5), turp un atpakaļ min/vid./maks. = 0/0/1 ms

Maršrutētājs#ping 213.235.1.2

Ierakstiet evakuācijas secību abortam.

Nosūtot 5 100 baitu ICMP Echos uz 213.235.1.2, taimauts ir 2 sekundes:

Veiksmes rādītājs ir 100 procenti (5/5), turp un atpakaļ min/vid./maks. = 0/9/17 ms

Maršrutētājs#ping 213.235.1.25

Ierakstiet evakuācijas secību abortam.

Nosūtot 5 100 baitu ICMP Echos uz 213.235.1.25, taimauts ir 2 sekundes:

Maršrutētājs#ping 213.235.1.26

Ierakstiet evakuācijas secību abortam.

Nosūtot 5 100 baitu ICMP Echos uz 213.235.1.26, taimauts ir 2 sekundes:

Veiksmes rādītājs ir 100 procenti (5/5), turp un atpakaļ min/vid./maks. = 0/0/0 ms

Nu pati nācija. Vietējā maršrutētājā mēs rīkojamies šādi. Tagad mums ir jāiestata, kurš nat interfeiss tiks uzskatīts par ārējo un kurš iekšējais, šeit viss būs vienkārši ārējs, kur ir konfigurēta nodrošinātāja baltā IP adrese, iekšējais būs tas, kas ir savienots ar otrā līmeņa slēdzi. fa0/1 būs ārējs, un divas apakšsaskarnes būs iekšējas.

iespējot
konf t
int fa0/1
ip nat ārā
Izeja
int fa0/0.2
ip nat iekšā
int fa0/0.3
ip nat iekšā
Izeja

Piekļuves saraksta iestatīšana

Piekļuves saraksts ir saraksts ar trafiku, kurai ir jāpievieno NAT un kurai jādarbojas bez NAT.

Piekļuves saraksta izveide pēc NAT nosaukuma

ip piekļuves saraksta standarta NAT
Atļaut divus baseinus
atļauja 192.168.2.0 0.0.0.255
atļauja 192.168.3.0 0.0.0.255

0.0.0.255 ir aizstājējzīmju biti

Kā redzat, mūsu konfigurācijā ir piekļuves saraksts, un ir atzīmēti porti, kuri atrodas ārpusē un kuri atrodas iekšpusē.

Un mēs ievadām vēl vienu burvju komandu, kas saka, ka satiksme, kas ierodas fa0/1, ir jāmaršrutē saskaņā ar NAT noteikumu. Mēs beidzot izveidojām PAT.

ip nat avota sarakstā NAT interfeisa fa0/1 pārslodze

Saglabāt visu do wr mem

Pārbaudīsim ārējo resursu pieejamību no lokālā tīkla datora. Apskatīsim pašreizējās konfigurācijas, izmantojot komandu ipconfig, mēs redzam IP adresi 192.168.2.1, ping 213.235.1.26, kā redzat, viss ir kārtībā un NAT cisco darbojas.

Interneta straujā izaugsme drīz pēc tā parādīšanās radīja adrešu trūkuma problēmu. Tagad tas daļēji tiek atrisināts, ieviešot jauno IPv6 protokolu, kas tīkla mezgliem nodrošinās daudzkārt vairāk pieejamo adrešu. Bet ar protokola atjaunināšanu vien nepietiek. Tika izgudrota NAT tehnoloģija, kas ļāva saimniekiem no privātā tīkla izveidot savienojumu ar internetu, izmantojot tikai vienu ārējo IP adresi. Tas atvieglo privāto LAN mērogošanu, mēģinot tos savienot ar internetu. Tagad mēs detalizēti analizēsim NAT tehnoloģiju.

Kā darbojas NAT

Iedomāsimies, piemēram, ka mums ir lokālais tīkls, kurā ietilpst 3 darbstacijas. Mēs nolēmām izveidot savienojumu ar internetu. Pakalpojumu sniedzējs mums ir piešķīris 1 ārējo, kas mums jāreģistrē mūsu maršrutētāja iestatījumos. Rezultātā mēs iegūsim šādu attēlu.

Mūsu trīs datori tiks savienoti ar lokālo tīklu ar adresi "192.168.."

Tas izskatīsies šādi:

• Maršrutētājs - 192.168.1.1
• Dators 1 - 192.168.1.2
• Dators 2 - 192.168.1.3
• Dators 3 - 192.168.1.4

Ja esat jau iepazinies ar vietējo tīklu pamatiem, jums jāzina, ka tīkla karšu iestatījumos laukā “Default Gateway” mūsu datoriem ir jābūt 192.168.1.1. Tādējādi mums ir jānosūta mūsu maršrutētājam visi pieprasījumi, kas nepieder mūsu lokālajam tīklam. Vienkārši sakot, visi interneta pieprasījumi tiks novirzīti uz to.

Kā mēs jau atzīmējām, mums ir tikai viens ārējais IP. Šeit sākas jautrība. Kā trīs datori ar dažādām IP adresēm var piekļūt internetam, ja ir viena ārējā adrese?

Šeit nāk palīgā NAT tehnoloģija.

Kā redzat, tīklā visiem mezgliem ir adreses vienā apakštīklā. Tas ļauj viņiem īstenot datu pārsūtīšanu. Ja pieprasījums tiek nosūtīts uz internetu, tas tiks pārsūtīts uz maršrutētāja iekšējo interfeisu. Pēc tam, izmantojot NAT tehnoloģiju, dati tiks nedaudz pārveidoti. Viņiem tiks piešķirta ārējā IP adrese. Un pēc tam paketes nonāks tīklā.

Protams, jūs jau saprotat tīkla adrešu tulkošanas tehnoloģijas darbības principu. Ar tās palīdzību visām iekšējām tīkla adresēm tiek piešķirta viena ārējā adrese. Tas ļauj vairākiem datoriem vienlaikus piekļūt tīklam, ja jums ir viena ārējā adrese.

Kam šeit vajadzētu pievērst uzmanību. Pirmkārt, nav jābūt tikai vienai ārējai adresei. Tās var būt vairākas.

Otrkārt, NAT tehnoloģijas izmantošana uzliek dažus ierobežojumus saistībā ar IP bloķēšanu. Tas notiek, mēģinot piekļūt resursam, kuram var izveidot savienojumu tikai viens resursdators no viena IP. Ja kāds no jūsu tīkla jau ir izveidojis savienojumu ar to, jūs nevarēsit izveidot savienojumu.

Terminoloģija

Lai saprastu tīkla adrešu tulkošanas principu, sapratīsim pamatterminus.

Šis ir pirmais šīs tehnoloģijas ieviešanas veids.

Tajā pašā laikā maršrutētājs pārvērš katru iekšējo adresi par ārējo, pamatojoties uz maršrutēšanas tabulas ierakstiem. Maršrutētāja konfigurēšanas laikā kartējumi ir jākonfigurē iepriekš.

Konfigurācija Cisco maršrutētājos

• Dodieties uz saskarnes iestatījumiem, kas atradīsies tīkla iekšējā daļā, un izmantojiet komandu ip nat inside
• Tālāk, ārējam interfeisam, komanda ip nat out
• Tālāk globālajā konfigurācijas režīmā mums manuāli jāiestata adrešu kartēšana. Mēs izmantojam komandu ip nat iekšā avots static inside-local inside-global. Ja "inside-local" ir iekšējā vietējā adrese, "inside-global" ir iekšējā globālā adrese

Dinamiskais NAT

Šī ieviešana ir līdzīga statiskajai tulkošanai. Atšķirība ir tāda, ka adreses tulkošanas process notiek dinamiski, pamatojoties uz iepriekš konfigurētiem parametriem. Statiskās maršrutēšanas tabulas vairs nav. Tabulā ir atbilstības, kas tiek aktivizētas pakešu pārraides brīdī. Gadījumā, ja visi konfigurētie parametri atbilst.

Lai konfigurētu, ir jānorāda ārējo adrešu kopums, kas tiks izmantots apraidei. Un arī iestatiet iekšējo adrešu kopu, izveidojot tām jaunu.

Iestatījumi

• Iestatiet ip nat iekšā iekšējām saskarnēm
• Ip nat ārā par ārējo
• Izveidojiet ACL ar iekšējo adrešu sarakstu, kurām būtu jāpiedalās apraide
• Mēs izveidojam ārējo adrešu kopu. Globālajā konfigurācijas režīmā izmantojiet komandu ip nat pūla nosaukums pirmās adreses pēdējās adreses maska ​​apakštīkla maska. Kur "nosaukums" ir kopas nosaukums, "first-address" ir sākuma adrese, "pēdējā adrese" ir pēdējā adrese, "apakštīkla maska" ir apakštīkla maska.
• Iespējot dinamisko NAT adreses tulkošanu. ip nat avotu saraksts acl-number pūla pūla nosaukums. Ja "acl-number" ir iepriekš izveidotais piekļuves kontroles saraksts, "pūla nosaukums" ir adrešu kopums.

PAT — Port Based Translation

Jebkurā gadījumā pieejamo ārējo adrešu skaits ir ierobežots. Kā mēs varam vēl vairāk paplašināt lielu lokālo tīklu, lai visi tā mezgli varētu piekļūt internetam? Jau tagad ir skaidrs, ka gan statiskajam, gan dinamiskajam NAT būs nepieciešams liels skaits ārējo adrešu. Bet šis variants mums neder.

Šeit palīgā nāk trešā NAT ieviešana – uz PAT portiem balstīts tulkojums. Tās būtība ir tāda, ka papildus saitei "adrese - adrese" tiek pievienota saite "adrese - osta". Tādā veidā maršrutētājs var aktivizēt savienojumu ne tikai izmantojot IP adresi, bet arī izmantojot unikālu porta numuru.

Ņemot vērā, ka portu numerācijai tiek izmantots 16 bits, vienlaikus var būt aktīvi vairāk nekā 65 tūkstoši savienojumu.

Iestatījumi

Viss iestatīšanas process ir līdzīgs dinamiskās maršrutēšanas konfigurēšanai. Ja vēlamies iespējot PAT, konfigurācijas komandai jāpievieno pārslodzes atslēgvārds. Galu galā tas izskatīsies šādi:

ip nat avotu saraksts acl-number interfeisa saskarnes nosaukums/ numura pārslodze

Video rakstam:

Secinājums

Izmantojot NAT tehnoloģiju, varat ieviest piekļuvi internetam jebkuram lokālajam tīklam. Šajā gadījumā jums ir nepieciešama tikai viena ārējā IP adrese. Šī ir visbiežāk izmantotā iespēja - bieži pakalpojumu sniedzēji piedāvā tieši šādus tarifus mājas lietotājiem vai maziem birojiem.

Kāpēc meklēt informāciju citās vietnēs, ja viss ir apkopots šeit?

• Soli pa solim