Co je NAT na routeru? Princip činnosti routeru (routeru) Prostředky nat.

Co je NAT

Váš počítač může být přímo připojen k internetu. Pak říkají, že on externí IP adresa.

To obvykle znamená, že počítač je připojen přímo k modemu (DSL, kabel nebo běžný analog).

Za NAT znamená, že váš počítač není připojen k internetu, ale k místní síti. Pak má interiér IP adresa, která není dostupná z internetu.

Váš počítač získá přístup k internetu přes NAT - proces překladu interních adres na externí a naopak. Zařízení NAT se běžně nazývá router.

Specifikem toho, jak NAT funguje, je to, že připojení iniciovaná vaším počítačem transparentně procházejí zařízením NAT do Internetu. Spojení, která by s vámi chtěly navázat jiné počítače z internetu, se k vám však nemohou dostat.

Zjištění IP adresy počítače

Spustit"> Otevřete dialogové okno pro spouštění programů: klikněte na tlačítko Start, z nabídky vyberte Spustit.

Ve Windows 2000/XP zadejte cmd /k ipconfig , klikněte na OK a podívejte se na výsledek.

Konfigurace IP systému Windows 2000 Adaptér Ethernet Připojení k místní síti: Přípona DNS specifická pro připojení . : IP adresa. . . . . . . . . . . . : 192.168.1.10 Maska podsítě . . . . . . . . . . . : 255.255.255.0 Výchozí brána . . . . . . . . . : 192.168.1.1

První z těchto adres je IP adresa vašeho počítače.

Jste za NAT?

Tři speciální rozsahy IP adres jsou vyhrazeny pro místní sítě a na internetu se nepoužívají:

10. 0. 0. 0 - 10. 255.255.255 172. 16. 0. 0 - 172. 31.255.255 192.168. 0. 0 - 192.168.255.255

Pokud je IP adresa vašeho počítače v jednom z těchto rozsahů, to znamená, že začíná 10 nebo 192.168. nebo od 172.nn. (kde nn je od 16 do 31) , pak se jedná o místní (interní) adresu a vy jste určitě za NAT.

Pokud ne, nyní zkontrolujte, pod jakou IP adresou vás ostatní počítače na internetu vidí. Například whatsmyip.org („Vaše IP adresa je x.x.x.x“ v horní části stránky) nebo myipaddress.com .

Pokud se IP adresa vašeho počítače shoduje s adresou zobrazenou na jedné z těchto stránek, pak jste určitě připojeni k internetu přímo.

V ostatních případech to nelze s jistotou říci. Jsou možné následující možnosti:

• jste za NAT, ale váš správce sítě zvolil pro vaši lokální síť nestandardní interní adresy. Najděte to a zeptejte se, proč to bylo nutné udělat.
• přistupujete k internetu přes proxy server (pak vám whatsmyip.org ukázal adresu tohoto proxy serveru). V mnoha případech můžete zjistit, zda je mezi vámi a internetem proxy server, například pomocí lagado.com/proxy-test .

  Připojení přes proxy není v této příručce zahrnuto..

Možnosti připojení přes NAT

Pokud jste za NAT, pak dalším krokem je přesně určit, kde se NAT zařízení nachází.

Poskytovatel NAT

Pak to říkají
• ISP vám poskytuje internet přes NAT,
• nebo jakého poskytovatele vám nedává externí IP adresu,
• nebo že jste připojeni prostřednictvím místní sítě poskytovatele

Nejjednodušší je zavolat poskytovateli a zjistit. Nebo se zeptejte znalých sousedů se stejným připojením.

Při připojování k internetu přes místní síť poskytovatele si nemůžete zpřístupnit port. Pokud vám ovšem poskytovatel konkrétně nepřesměruje konkrétní port, což je nereálné. Nebo pokud si nepřiplatíte za službu běžně nazývanou „vnější“ („bílá“) IP adresa.

NAT v kanceláři nebo bytovém domě

V zásadě je situace stejná, ale můžete hledat přístupy u místního správce. Rozhodnutí, zda je port k dispozici, závisí na tom, zda máte přístup k nastavení routeru.

Navíc můžeš zkusit i UPnP, najednou to router nechal povolené.

NAT svůj vlastní

V tomto případě jej můžete téměř vždy nakonfigurovat a získat dostupný port.

Obvykle se jedná buď o připojení přes domácí router, nebo o připojení přes jiný počítač, například pomocí ICS (druhá možnost zde není uvažována).

Samozřejmě v zásadě se také stává, že NAT má váš domov i poskytovatel, tedy váš počítač je za dvěma NATy najednou. To lze zkontrolovat tak, že přejdete do nastavení routeru, podíváte se na jeho externí adresu a poté budete postupovat podle výše uvedeného scénáře (dělá tento rozsahy adres lokálních sítí, zda se shodují s adresou, pod kterou jste viděni na internetu).

NAT (Network Address Translation) je technologie překladu síťových adres. NAT vyřešil největší problém IPv4: v polovině 90. let mohl být adresní prostor IPv4 zcela vyčerpán. Pokud by nebyla vynalezena technologie NAT, růst internetu by se výrazně zpomalil. Dnes samozřejmě vznikla nová verze IP protokolu IPv6. Tato verze podporuje obrovské množství IP adres, takže existence NAT je nesmyslná. Mnoho organizací však při své práci stále používá protokol IPv4 a úplný přechod na IPv6 se brzy neuskuteční. Proto má smysl studovat technologii NAT.

Network Address Translation (NAT) umožňuje hostiteli, který nemá bílou IP, komunikovat s jinými hostiteli přes internet. Bílá IP adresa je registrovaná, jedinečná, globální IP adresa na internetu. Existují také šedé IP adresy, které se používají v privátní síti a nejsou směrovatelné na internetu. Proto je potřeba technologie NAT, která nahradí šedou IP adresu bílou. Rozsah šedých IP adres je uveden v tabulce.

Překlad NAT nahrazuje soukromé IP adresy veřejnými registrovanými IP adresami v každém paketu protokolu IP.

Prostřednictvím překladu NAT router změní zdrojovou IP adresu, jakmile paket opustí privátní síť. Směrovač také změní cílovou adresu každého paketu, který se vrací do privátní sítě. Cisco IOS Software podporuje několik variant překladu NAT:

1. Statický NAT – Každá privátní IP adresa má jednu veřejnou IP. Pomocí statického překladu router NAT jednoduše vytvoří vzájemnou korespondenci mezi soukromou IP adresou a registrovanou IP adresou, jejímž jménem jedná.
2. Dynamický překlad NAT - převod interních IP adres na externí probíhá dynamicky. Vytvoří se fond možných veřejných IP adres a z tohoto fondu se dynamicky vyberou IP adresy pro překlad.
3. Port Address Translation PAT - umožňuje škálovat pro podporu mnoha klientů s několika veřejnými IP adresami. PAT překládá síťovou adresu v závislosti na portu TCP/UDP příjemce.

Pojďme se na jednotlivé typy překladů podívat blíže.

Statický překlad NAT vytváří přesnou shodu mezi soukromou a veřejnou IP adresou. Podívejme se na příklad.

ISP společnosti přiděluje společnosti registrované číslo sítě 200.1.1.0. Router NAT tedy musí tuto soukromou adresu zobrazit, jako by byla v síti 200.1.1.0. Za tímto účelem router změní zdrojovou IP adresu paketů, které jsou předávány zleva doprava, jak je znázorněno na obrázku. V tomto příkladu router změní privátní IP adresu 10.1.1.1 na veřejnou IP adresu 200.1.1.1. Druhá soukromá adresa 10.1.1.2 odpovídá veřejné adrese 200.1.1.2. Dále zvažte konfiguraci statického NAT v Cisco.

Konfigurace statického překladu NAT na zařízení Cisco ve srovnání s jinými možnostmi vyžaduje nejméně akcí. V tomto případě musíte vytvořit korespondenci mezi místní (soukromou) a globální (veřejnou) adresou IP. Také musíte směrovači sdělit, na kterých rozhraních má používat překlad NAT, protože nemusí být povolen na všech rozhraních. Routeru je zejména potřeba sdělit každé rozhraní a to, zda je interní nebo externí.

Diagram ukazuje, že uživatel obdržel od poskytovatele síťovou adresu třídy C 100.0.0.0. Celá tato síť s maskou 255.255.255.0 je nakonfigurována na sériovém kanálu mezi uživatelem a internetem. Protože se jedná o spojení typu point-to-point, jsou v této síti použity pouze 2 z 254 platných (možných) IP adres.

Konfigurace pro router NAT_GW:

NAT_GW>povolit NAT_GW#konfigurovat terminál - popis rozhraní - nastavit výchozí bránu - popis rozhraní - nastavte IP a masku NAT_GW(config-if)#žádné vypnutí - zapnout rozhraní fyzicky NAT_GW(config-if)#exit NAT_GW(config)#ip nat uvnitř zdroje statické 192.168.1.2 100.0.0.1 NAT_GW(config)#ip nat uvnitř zdroje statické 192.168.1.3 100.0.0.2 - shoda statické adresy NAT_GW(config)#ip nat uvnitř zdroje statické 192.168.1.4 100.0.0.3 - shoda statické adresy

Pomocí příkazu se vytvoří statické shody ip nat uvnitř zdroje statické. Klíčové slovo uvnitř znamená, že NAT překládá adresy pro hostitele umístěné uvnitř sítě. Klíčové slovo zdroj znamená, že NAT překládá IP adresy v paketech přicházejících na jeho vnitřní rozhraní. Klíčové slovo statický znamená, že tyto volby definují statický záznam, který nebude nikdy odstraněn z tabulky NAT kvůli uplynutí určitého časového období. Při vytváření statických záznamů překladu NAT potřebuje router vědět, která rozhraní jsou uvnitř a která vně. Dílčí příkazy rozhraní ip nat uvnitř A ip nat venku vhodně identifikovat každé rozhraní.

Existují dva příkazy pro zobrazení důležitých informací o NAT zobrazit překlady ip nat, zobrazit statistiky ip nat.

První příkaz vypíše tři statické položky překladu NAT vytvořené v konfiguraci. Druhý příkaz vytiskne statistické informace, jako je počet aktuálně aktivních záznamů v překladové tabulce. Tato statistika také zahrnuje počet zásahů, který se zvyšuje o jeden pro každý paket, pro který NAT potřebuje přeložit adresy.

Pojďme k dynamický překlad síťových adres NAT. Dynamický překlad vytváří fond možných globálních vnitřních adres a definuje kritérium shody pro určení, které vnitřní globální IP adresy by měly být přeloženy pomocí NAT. Například v níže uvedeném diagramu byl nastaven fond pěti globálních IP adres v rozsahu 200.1.1.1 - 200.1.1.5. Překlad NAT je také nakonfigurován pro překlad všech interních lokálních adres, které začínají oktety 10.1.1

Na konfigurace dynamického překladu NAT na zařízení Cisco stále musíte identifikovat každé rozhraní, interní i externí, ale již nemusíte zadávat statické mapování. Pro specifikaci soukromých IP adres, které mají být přeloženy, používá dynamický překlad NAT seznamy řízení přístupu (psal jsem o nich dříve) a také určuje fond registrovaných veřejných IP adres, které budou z toho přiděleny. Takže algoritmus nastavení dynamického překladu:

1. Pomocí příkazu nakonfigurujte rozhraní, která budou v interní podsíti ip nat uvnitř.
2. Pomocí příkazu nakonfigurujte rozhraní, která budou umístěna na externí podsíti ip nat venku.
3. Nakonfigurujte ACL odpovídající paketům přicházejícím na interní rozhraní, pro která má být použit překlad NAT
4. Nakonfigurujte fond veřejných registrovaných IP adres pomocí příkazu global configuration mode ip nat název fondu first-address last-address maska ​​sítě maska ​​podsítě.
5. Povolte dynamický překlad NAT zadáním v příkazu globální konfigurace ip nat uvnitř zdrojového seznamu acl-num název-fondu

Schéma bude použito stejně jako minule. Nová konfigurace pro router NAT_GW:

NAT_GW>povolit - přepnout do pokročilého režimu NAT_GW#konfigurovat terminál - přejděte do konfiguračního režimu NAT_GW(config)#rozhraní fa0/0 - nastavení rozhraní směrem k privátní síti NAT_GW(config-if)#description LAN - popis rozhraní NAT_GW(config-if)#ip adresa 192.168.1.1 255.255.255.0 - nastavit výchozí bránu NAT_GW(config-if)#žádné vypnutí - zapnout rozhraní fyzicky NAT_GW(config-if)#ip nat uvnitř - nakonfigurujte rozhraní jako interní NAT_GW(config-if)#exit NAT_GW(config)#rozhraní fa0/1 - nastavení rozhraní směrem k poskytovateli NAT_GW(config-if)#description ISP - popis rozhraní NAT_GW(config-if)#ip adresa 100.0.0.253 255.255.255.0 - nastavte IP a masku NAT_GW(config-if)#žádné vypnutí - zapnout rozhraní fyzicky NAT_GW(config-if)#ip nat venku - nakonfigurujte rozhraní jako externí NAT_GW(config-if)#exit NAT_GW(config)#ip nat pool testPool 100.0.0.1 100.0.0.252 maska ​​sítě 255.255.255.0 - vytvořit dynamický fond NAT_GW(config)#access-list 1 povolení 192.168.1.1 0.0.0.255 - vytvořit přístupový seznam 1, ve kterém povolíme vysílání IP adres z podsítě 192.168.1.1/24 NAT_GW(config)#ip nat uvnitř zdrojového seznamu 1 pool testPool - zapnout dynamické vysílání NAT_GW(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.254 - statická cesta směrem k poskytovateli

Dalším typem překladu je PAT (Port Address Translation). O tomto typu NATu budu hovořit v příštím článku, kdy připojíme lokální podsíť k internetu. Téma je poměrně rozsáhlé a důležité. PAT je nejoblíbenější typ NAT.

Podpořte projekt

Přátelé, web Netcloud se vyvíjí každý den díky vaší podpoře. Plánujeme spustit nové sekce článků a také některé užitečné služby.

Máte možnost projekt podpořit a přispět jakoukoli částkou, kterou uznáte za vhodné.

Pokud čtete tento dokument, jste s největší pravděpodobností připojeni k internetu a používáte překlad síťových adres ( Překlad síťových adres, NAT) právě teď! Internet se stal tak obrovským, než si kdokoli dokázal představit. Přestože přesná velikost není známa, současný odhad je přibližně 100 milionů hostitelů a více než 350 milionů uživatelů aktivních na internetu. Ve skutečnosti je tempo růstu takové, že internet se každým rokem efektivně zdvojnásobuje. Aby počítač mohl komunikovat s jinými počítači a webovými servery na internetu, musí mít IP adresu. IP adresa (IP znamená Internet Protocol) je jedinečné 32bitové číslo, které identifikuje umístění vašeho počítače v síti. V zásadě to funguje stejně jako vaše adresa: způsob, jak přesně zjistit, kde se nacházíte, a získat informace k vám. Teoreticky můžete mít 4 294 967 296 jedinečných adres (2^32). Skutečný počet dostupných adres je menší (někde mezi 3,2 a 3,3 miliardami) kvůli způsobu kategorizace adres a nutnosti vyhradit některé adresy pro multicast, testování nebo jiné specifické potřeby. S nárůstem domácích sítí a podnikových sítí již počet dostupných IP adres nestačí. Zřejmým řešením je přepracovat formát adresy tak, aby umožňoval více možných adres. Protokol IPv6 se tedy vyvíjí, ale tento vývoj bude trvat několik let, protože vyžaduje úpravu celé infrastruktury internetu.

Tady nám NAT přichází na pomoc. Překlad síťových adres v zásadě umožňuje jedinému zařízení, jako je router, působit jako agent mezi internetem (nebo „veřejnou sítí“) a místní (nebo „soukromou“) sítí. To znamená, že k reprezentaci celé skupiny počítačů pro cokoli mimo jejich síť je vyžadována pouze jedna jedinečná IP adresa. Nedostatek IP adres je pouze jedním z důvodů, proč používat NAT. Další dva dobré důvody jsou bezpečnost a správa.

Dozvíte se o tom, jak můžete využít NAT, ale nejprve se na NAT podíváme blíže a uvidíme, co dokáže.

Přestrojení

NAT je jako sekretářka ve velké kanceláři. Řekněme, že jste nechali sekretářce pokyny, aby na vás nepřesměrovávala žádné hovory, pokud o to nepožádáte. Později zavoláte potenciálnímu klientovi a necháte mu vzkaz, aby vám zavolal zpět. Řeknete sekretářce, že očekáváte hovor od tohoto klienta a hovor je třeba přepojit. Zákazník zavolá na číslo vaší hlavní kanceláře, což je jediné číslo, které zná. Když klient řekne sekretářce, koho hledá, sekretářka zkontroluje jeho seznam zaměstnanců, aby našla shodu mezi jménem a číslem pobočky. Sekretářka ví, že jste o tento hovor požádali, a tak přepojí volajícího na váš telefon.

Technologie Network Address Translation, vyvinutá společností Cisco, je používána zařízením (firewall, router nebo počítač), které je umístěno mezi interní sítí a zbytkem světa. NAT má mnoho podob a může fungovat několika způsoby:

Statický NAT- Mapování neregistrované IP adresy na registrovanou IP adresu na bázi jedna ku jedné. Zvláště užitečné, když zařízení potřebuje být přístupné zvenčí sítě.

Ve statickém NAT bude počítač s adresou 192.168.32.10 vždy přeložen na adresu 213.18.123.110:

Dynamický NAT- Mapuje neregistrovanou IP adresu na registrovanou adresu ze skupiny registrovaných IP adres. Dynamic NAT také vytváří přímé mapování mezi neregistrovanou a registrovanou adresou, ale mapování se může změnit v závislosti na registrované adrese dostupné ve fondu adres během komunikace.

V dynamickém NAT je počítač s adresou 192.168.32.10 přeložen na první dostupnou adresu v rozsahu 213.18.123.100 až 213.18.123.150

Přetížení je forma dynamického NAT, která mapuje více neregistrovaných adres na jednu registrovanou IP adresu pomocí různých portů. Také známý jako PAT (Port Address Translation)

Při přetížení je každý počítač v privátní síti přeložen na stejnou adresu (213.18.123.100), ale s jiným číslem portu

překrytí- Pokud jsou IP adresy používané ve vaší interní síti používány také v jiné síti, musí router uchovávat vyhledávací tabulku těchto adres, aby je mohl zachytit a nahradit registrovanými jedinečnými IP adresami. Je důležité poznamenat, že router NAT musí překládat „uvnitř“ adresy na registrované jedinečné adresy a musí také překládat „vnější“ registrované adresy na adresy, které jsou jedinečné pro privátní síť. To lze provést buď prostřednictvím statického NAT, nebo můžete použít DNS a implementovat dynamický NAT.

Příklad:
Interní rozsah IP (237.16.32.xx) je také registrovaný rozsah používaný jinou sítí. Router proto překládá adresy, aby se předešlo možnému konfliktu. Při odesílání paketů do vnitřní sítě také převede registrované globální adresy IP zpět na neregistrované místní adresy.

Vnitřní sítí je obvykle LAN (Local Area Network), nejčastěji označovaná jako stub doména. Stub doména je síť LAN, která používá interní IP adresy. Většina síťového provozu v takové doméně je lokální a neopouští vnitřní síť. Doména může obsahovat registrované i neregistrované IP adresy. Všechny počítače, které používají neregistrované IP adresy, musí samozřejmě používat NAT ke komunikaci se zbytkem světa.

NAT lze konfigurovat různými způsoby. V níže uvedeném příkladu je směrovač NAT nakonfigurován tak, aby překládal neregistrované adresy IP (místní interní adresy), které se nacházejí v privátní (interní) síti, na registrované adresy IP. K tomu dochází vždy, když vnitřní zařízení s neregistrovanou adresou potřebuje komunikovat s vnější sítí.

Přetížení NAT využívá funkci zásobníku protokolů TCP/IP, jako je například multiplexování, které umožňuje počítači udržovat více paralelních připojení ke vzdálenému počítači pomocí různých portů TCP nebo UDP. Paket IP má hlavičku, která obsahuje následující informace:

• Zdrojová adresa – IP adresa zdrojového počítače, například 201.3.83.132.
• Zdrojový port – číslo portu TCP nebo UDP přiřazené tomuto paketu zdrojovým počítačem, například Port 1080.
• Cílová adresa – IP adresa počítače přijímače. Například 145.51.18.223.
• Cílový port – číslo portu TCP nebo UDP, které požaduje otevření zdrojového počítače v aplikaci, například port 3021.

IP adresy identifikují dva stroje na každé straně, zatímco čísla portů zajišťují, že spojení mezi těmito dvěma stroji má jedinečný identifikátor. Kombinace těchto čtyř čísel definuje jediné připojení TCP/IP. Každé číslo portu používá 16 bitů, což znamená, že existuje 65 536 (2^16) možných hodnot. Ve skutečnosti, protože různí výrobci mapují porty mírně odlišným způsobem, můžete očekávat přibližně 4 000 dostupných portů.

Příklady dynamického NAT a NAT s přetížením

Následující text ukazuje, jak funguje dynamický NAT.

Kliknutím na jedno ze zelených tlačítek odešlete úspěšný paket buď do nebo z vnitřní sítě. Kliknutím na jedno z červených tlačítek odešlete paket, který router zahodí z důvodu neplatné adresy.

• interní byla zřízena s IP adresami, které nebyly speciálně rezervovány pro tuto společnost organizací IANA (Internet Assigned Assigned Oversight Authority), globální kanceláří, která distribuuje IP adresy. Takové adresy by měly být považovány za nesměrovatelné, protože nejsou jedinečné. Jedná se o interní lokální adresy.
• firma instaluje router s NAT. Router má řadu jedinečných IP adres přiřazených společnosti. Jedná se o interní globální adresy.
• počítač v síti LAN se pokouší připojit k počítači mimo síť, například k webovému serveru.
• router přijme paket z počítače v síti LAN.
• Po kontrole směrovací tabulky a kontrole procesu překladu router uloží nesměrovatelnou adresu počítače do tabulky překladu adres. Směrovač nahradí nesměrovatelnou adresu počítače odesílatele první dostupnou IP adresou v rozsahu jedinečných adres. Překladová tabulka nyní zobrazuje nesměrovatelnou IP adresu počítače, která odpovídá jedné z jedinečných IP adres.
• Když se paket vrátí z cílového počítače, router zkontroluje cílovou adresu na paketu. Poté se podívá do tabulky překladu adres, aby zjistil, ke kterému počítači v doméně daný paket patří. Změní cílovou adresu na adresu uloženou dříve v překladové tabulce a odešle paket do správného počítače. Pokud router nenajde shodu v tabulce, paket zahodí.
• Počítač přijme paket z routeru a celý proces se opakuje, zatímco počítač komunikuje s externím systémem.

Dále se podívejme, jak funguje přetížení.

• Vnitřní síť byla nastavena s nesměrovatelnými IP adresami, které nebyly speciálně vyhrazeny pro společnost
• firma instaluje router s NAT. Router má jedinečnou IP adresu vydanou IANA
• počítač v doméně se pokouší připojit k počítači mimo síť, například k webovému serveru.
• router přijme paket z počítače v doméně.
• Po směrování a ověření paketu pro provedení překladu směrovač uloží nesměrovatelnou IP adresu počítače a číslo portu do překladové tabulky. Router nahradí nesměrovatelnou IP adresu odesílajícího počítače IP adresou routeru. Router nahradí port zdrojového počítače odesílatele nějakým náhodným číslem portu a uloží jej do tabulky překladu adres pro tohoto odesílatele. Překladová tabulka zobrazuje nesměrovatelnou IP adresu počítače a číslo portu spolu s IP adresou routeru.
• Když se paket vrátí z cíle, router zkontroluje port cíle v paketu. Poté se podívá do překladové tabulky, aby zjistil, ke kterému počítači v doméně paket patří. Dále router změní adresu přijímače a port přijímače na hodnoty, které byly dříve uloženy v překladové tabulce a odešle paket do koncového uzlu.
• počítač přijme paket ze směrovače a proces se opakuje
• Vzhledem k tomu, že směrovač NAT má nyní zdrojovou adresu počítače a zdrojový port uloženou v překladové tabulce, bude nadále používat stejné číslo portu pro následující připojení. Pokaždé, když směrovač přistoupí k položce v překladové tabulce, časovač životnosti položky se vynuluje. Pokud není záznam zpřístupněn před vypršením časovače, je odstraněn z tabulky

Počet simultánních překladů, které bude router podporovat, je určen především množstvím DRAM (Dynamic Random Access Memory). Protože typická položka překladové tabulky má přibližně 160 bajtů, router se 4 MB RAM teoreticky zvládne 26214 současných připojení, což je pro většinu aplikací více než dost.

Bezpečnost a administrativa

Implementace dynamického NAT automaticky vytvoří firewall mezi vaší interní sítí a externími sítěmi nebo internetem. Dynamic NAT umožňuje pouze připojení, která pocházejí z místní sítě. V podstatě to znamená, že počítač v externí síti se nemůže připojit k vašemu počítači, dokud váš počítač připojení nezahájí. Můžete tak procházet web a připojit se k webu a dokonce nahrát soubor. Ale nikdo jiný nemůže jen tak slídit vaši IP adresu a použít ji k připojení k portu na vašem počítači.

Statický NAT, také nazývaný příchozí mapování, umožňuje za určitých okolností připojení iniciovaná externími zařízeními k počítačům v síti LAN. Můžete například mapovat interní globální adresu na konkrétní interní místní adresu, která je přiřazena vašemu webovému serveru.

Statický NAT umožňuje počítači v síti LAN udržovat konkrétní adresu při komunikaci se zařízeními mimo síť:

Některé směrovače NAT poskytují rozsáhlé filtrování a protokolování provozu. Filtrování umožňuje vaší společnosti kontrolovat, které webové stránky zaměstnanci navštěvují, a zabránit jim tak v prohlížení pochybných materiálů. Pomocí protokolování provozu můžete vytvořit protokol o navštívených stránkách a na základě toho generovat různé zprávy.

Někdy se Network Address Translation zaměňuje s proxy servery, kde existují určité rozdíly. NAT je transparentní pro zdrojové a cílové počítače. Nikdo z nich neví, že se jedná o třetí zařízení. Ale proxy server není transparentní. Zdrojový počítač ví, že odesílá požadavek na proxy. Cílový počítač si myslí, že server proxy je zdrojovým počítačem a jedná přímo s ním. Proxy také obvykle pracují na vrstvě 4 (Transport) modelu OSI nebo vyšší, zatímco NAT je protokol vrstvy 3 (síť). Práce na vyšších úrovních ve většině případů zpomaluje proxy servery než zařízení NAT.

V našich bytech se stále více objevují různá digitální zařízení – notebooky, tablety a chytré telefony. Zatímco počítač v bytě byl sám a připojený přímo do sítě poskytovatele, nebyly žádné dotazy. A teď, když máte problém - jak nyní připojit nový notebook nebo tablet k internetu. Zde přichází na řadu pomoc. Technologie NAT. Co je podstatou technologie NAT?
NAT — Překlad síťových adres - přeloženo do ruštiny to zní asi takto: "konverze síťové adresy". NAT je mechanismus v sítích TCP/IP, který umožňuje překládat IP adresy tranzitních paketů.
Zjednodušeně řečeno, pokud je v lokální síti více počítačů, pak díky technologii NAT všechny mohou přistupovat k externí internetové síti pomocí jedné externí IP adresa (IP).

Co je to IP adresa?

router — router- pracuje se na třetí úrovni systému OSI, resp IP protokol je směrovatelný protokol síťové vrstvy zásobníku TCP/IP. Nedílnou součástí protokolu je síťové adresování. V souladu se stávajícími pravidly – ​​všechna zařízení v síti jsou přiřazena IP adresy (IP adresy) jsou jedinečné síťové identifikátory adresy hostitele. Používají se 2 typy IP adres − šedá A bílý. Šedé adresy- jedná se o část adresního prostoru přiděleného pro lokální síť - podsítě IP adres 10.0.0.0/8, 172.16.0.0/12 nebo 192.168.0.0/16 . Všechny ostatní podsítě jsou používány internetem a jsou to adresy IP na seznamu povolených.

Jak sdílet internet se zařízeními ve vaší síti.

Chcete-li připojit všechna zařízení v místní síti k internetu, potřebujete router. router je zařízení, které se dokáže připojit k internetu prostřednictvím sítě poskytovatele a distribuovat jej do připojených zařízení díky tomu, že má min. 4 LAN porty a Wi-Fi modul. Nezaměňujte router s jednoduchým ethernetovým přepínačem, který je v podstatě hloupým síťovým „rozdělovačem“. Vzhledem k tomu, že je na routeru nainstalován operační systém podobný UNIXu, lze na zařízení spouštět různé služby, včetně Služba NAT. Chcete-li to provést, při konfiguraci routeru zaškrtněte políčko Povolit NAT .

Tak router pro každý požadavek, který jím prochází, vloží do lokální sítě určitý štítek obsahující údaje o odesílateli. Když je tato žádost zodpovězena, router by label určuje, na kterou IP adresu v lokální síti má být paket odeslán. To je vlastně vše jak technologie NAT ve zkratce funguje.

Ahoj všichni, dnes si povíme, jak nakonfigurovat Cisco NAT. Co je to NAT a proč je vůbec potřeba, protože tato funkcionalita již dlouho a pevně vstoupila do našeho každodenního života a nyní je velmi obtížné si představit alespoň jeden podnik, který by tuto technologii nepoužíval. Svého času zachránila internet a značně oddálila přechod z ipv4 na ipv6, ale nejdřív.

Co je NAT

NAT (Network Address Translation) je mechanismus překladu síťových adres, pokud je jednoduchý, je to technologie, která umožňuje hromadě soukromých nebo šedých IP sedět za jednou bílou IP. Příkladem je kancelářský internet, kde všichni uživatelé sedí přes společnou bránu, na které je nakonfigurována ip adresa, která jde do internetu, že uživatelé mají nakonfigurované lokální ip adresy.

Vypadá to přibližně takto

Typy NAT

• Statický NAT - převod šedé ip na bílou, příklad přesměrování portů do místní sítě, například RDP
• Dynamic NAT - transformace šedé IP na jednu z IP adres skupiny bílých IP adres
• Přetížený NAT nebo jak se také nazývá PAT (překlad adres portů), převádí několik šedých IP na bílou a dává jim různé porty.

Dnes se podíváme na statický NAT a PAT.

Konfigurace Cisco NAT

Takto vypadá uspořádání malé kanceláře. Ve vlan 2 máme 3 počítače, v samostatné vlan 3 je server. Všechny tyto věci jsou připojeny k přepínači druhé úrovně Cisco 2660, který je zase zapojen do routeru Cisco 1841, který směruje místní provoz mezi vlan 2 a 3.

Konfigurace Cisco 2960

Vytvořme vlan 2 a vlan3, dáme jim jména a nakonfigurujeme potřebné porty pro tyto vlan.

umožnit
conf t
vytvořit vlan 2
vlan 2
název VLAN2
výstup
vytvořit vlan 3
vlan 3
název VLAN3
výstup
Vložili jsme porty do vlan2
rozsah int fa0/1-3
přístup do režimu switchport
přístup k přepínači vlan 2
výstup
Vložili jsme port do vlan3
int fa 0/4
přístup do režimu switchport
přístup k přepínači vlan 3
výstup

int fa 0/5
přepínač režimu trunk
switchport trunk povolena vlan 2.3
udělat wr mem

Konfigurace Cisco 1841

Nejprve vytvořte dílčí rozhraní a zvedněte port.

umožnit
conf t
int fa0/0
žádné vypnutí
výstup

intfa0/0.2
zapouzdření tečka1Q 2
IP adresa 192.168.2.251 255.255.255.0
žádné vypnutí
výstup

intfa0/0,3
zapouzdření tečka1Q 3
IP adresa 192.168.3.251 255.255.255.0
žádné vypnutí
výstup

V důsledku toho se port zezelenal

Nastavení PAT

V mé virtuální infrastruktuře bohužel nejde naše schéma uvolnit na internet, budeme ho emulovat, budeme mít router s bílou ip adresou a server také s bílou ip adresou. Schematicky to vypadá takto. Na routeru poskytovatele je na konkrétním portu přidělena bílá IP adresa 213.235.1.1 a maska ​​sítě 255.255.255.252

Pojďme nakonfigurovat tuto IP na routeru našeho testovacího poskytovatele.

en
conf t
int fa0/0
IP adresa 213.235.1.1 255.255.255.252
žádné vypnutí
výstup

nakonfigurujte port fa0/1, na který se podíváme na serveru, a nastavte jej na jinou bílou ip 213.235.1.25 255.255.255.252

int fa0/1
IP adresa 213.235.1.25 255.255.255.252
žádné vypnutí
výstup

Můj server bude mít IP adresu 213.235.1.26 a brána bude 213.235.1.25, rozhraní routeru poskytovatele, který se dívá na server.

Nyní nakonfigurujeme náš místní router Router0, nakonfigurujeme bílou IP adresu přidělenou nám poskytovatelem 213.235.1.2 255.255.255.252, brána bude 213.235.1.1

umožnit
conf t
int fa0/1
IP adresa 213.235.1.2 255.255.255.252
žádné vypnutí
výstup
IP trasa 0.0.0.0 0.0.0.0 213.235.1.1
výstup
wr pam

Zkoušíme pingnout IP adresy poskytovatele a serveru z kancelářského routeru a vidíme, že vše funguje dobře.

Router#ping 213.235.1.1

Úspěšnost je 80 procent (4/5), zpáteční min/prům/max = 0/0/0 ms

Router#ping 213.235.1.1

Chcete-li operaci zrušit, zadejte escape sekvenci.

Odesílání 5 100bajtových ICMP Echos na 213.235.1.1, časový limit je 2 sekundy:

Úspěšnost je 100 procent (5/5), zpáteční min/prům/max = 0/0/1 ms

Router#ping 213.235.1.2

Chcete-li operaci zrušit, zadejte escape sekvenci.

Odesílání 5 100bajtových ICMP Echos na 213.235.1.2, časový limit je 2 sekundy:

Úspěšnost je 100 procent (5/5), zpáteční min/prům/max = 0/9/17 ms

Router#ping 213.235.1.25

Chcete-li operaci zrušit, zadejte escape sekvenci.

Odesílání 5 100bajtových ICMP Echos na 213.235.1.25, časový limit je 2 sekundy:

Router#ping 213.235.1.26

Chcete-li operaci zrušit, zadejte escape sekvenci.

Odesílání 5 100bajtových ICMP Echos na 213.235.1.26, časový limit je 2 sekundy:

Úspěšnost je 100 procent (5/5), zpáteční min/prům/max = 0/0/0 ms

No, samotné natování. Na místním routeru proveďte následující. Nyní musíme nastavit, které nat rozhraní bude považováno za externí a které interní, vše bude prostě externí, kde je nakonfigurována bílá ip adresa poskytovatele, interní je to, co je připojeno k přepínači druhé úrovně. fa0/1 bude externí a dvě dílčí rozhraní budou interní.

umožnit
conf t
int fa0/1
ip nat venku
výstup
intfa0/0.2
ip nat uvnitř
intfa0/0,3
ip nat uvnitř
výstup

Přizpůsobení přístupového seznamu

Access List seznam, který provoz je třeba natovat a který by měl fungovat bez NAT.

Vytvořte přístupový seznam s názvem NAT

IP přístupový seznam standardní NAT
Povolit dva bazény
povolení 192.168.2.0 0.0.0.255
povolení 192.168.3.0 0.0.0.255

0.0.0.255 jsou zástupné bity

jak vidíte, v konfiguraci máme přístupový seznam a porty jsou označeny, které jsou venku a které jsou uvnitř.

A zadáme další magický příkaz, který říká, že provoz, který přišel na fa0 / 1, je třeba natovat podle pravidla NAT. V důsledku toho jsme nakonfigurovali PAT.

ip nat uvnitř seznamu zdrojů Přetížení rozhraní NAT fa0/1

Uložit vše do w mem

zkontrolujte dostupnost externích zdrojů z počítače v místní síti. Podívejme se na aktuální konfigurace příkazem ipconfig, viz ip adresa 192.168.2.1, ping 213.235.1.26, jak je vidět, že je vše OK a NAT cisco funguje.