Qu'est-ce que le NAT
Votre ordinateur peut être directement connecté à Internet. Ensuite, ils disent qu'il externe Adresse IP.
Cela signifie généralement que l'ordinateur est connecté directement à un modem (DSL, câble ou analogique standard).
Derrière NAT signifie que votre ordinateur n'est pas connecté à Internet, mais à un réseau local. Puis il a intérieur Une adresse IP qui n'est pas accessible depuis Internet.
Votre ordinateur accède à Internet via NAT - le processus de traduction des adresses internes en adresses externes et vice versa. Un périphérique NAT est communément appelé routeur.
Les spécificités du fonctionnement de NAT sont que les connexions initiées par votre ordinateur passent de manière transparente via le périphérique NAT vers Internet. Cependant, les connexions que d'autres ordinateurs souhaiteraient établir avec vous à partir d'Internet ne peuvent pas vous atteindre.
Trouver l'adresse IP de l'ordinateur
Exécuter"> Ouvrir une boîte de dialogue pour l'exécution des programmes : cliquez sur le bouton Démarrer, sélectionnez Exécuter dans le menu.
Sous Windows 2000/XP, tapez cmd /k ipconfig , cliquez sur OK et regardez le résultat.
Configuration IP de Windows 2000 Adaptateur Ethernet Connexion au réseau local : Suffixe DNS spécifique à la connexion . : Adresse IP. . . . . . . . . . . . : 192.168.1.10 Masque de sous-réseau . . . . . . . . . . . : 255.255.255.0 Passerelle par défaut . . . . . . . . . : 192.168.1.1
La première de ces adresses est l'adresse IP de votre ordinateur.
Êtes-vous derrière NAT
Trois plages spéciales d'adresses IP sont réservées aux réseaux locaux et ne sont pas utilisées sur Internet :
10. 0. 0. 0 - 10. 255.255.255 172. 16. 0. 0 - 172. 31.255.255 192.168. 0. 0 - 192.168.255.255
Si l'adresse IP de votre ordinateur se trouve dans l'une de ces plages, c'est-à-dire qu'elle commence par 10 ou 192.168. ou depuis 172.nn. (où nn est compris entre 16 et 31) , il s'agit d'une adresse locale (interne) et vous êtes définitivement en retard sur NAT.
Si ce n'est pas le cas, vérifiez maintenant sous quelle adresse IP les autres ordinateurs vous voient sur Internet. Par exemple, whatsmyip.org ("Votre adresse IP est x.x.x.x" en haut de la page) ou myipaddress.com .
Si l'adresse IP de votre ordinateur correspond à celle affichée sur l'un de ces sites, alors vous êtes définitivement connecté directement à Internet.
Dans d'autres cas, il est impossible de le dire avec certitude. Les options suivantes sont possibles :
- vous êtes derrière NAT, mais votre administrateur réseau a choisi des adresses internes non standard pour votre réseau local. Trouvez-le et demandez pourquoi il était nécessaire de le faire.
- vous accédez à Internet via un serveur proxy (alors whatsmyip.org vous a montré l'adresse de ce serveur proxy). Dans de nombreux cas, vous pouvez déterminer s'il existe un serveur proxy entre vous et Internet en utilisant lagado.com/proxy-test , par exemple.
La connexion via un proxy n'est pas abordée dans ce guide..
Options de connexion via NAT
Si vous êtes derrière NAT, l'étape suivante consiste à déterminer exactement où se trouve le périphérique NAT.
NAT du fournisseur
- Alors ils disent que
- Le FAI vous fournit Internet via NAT,
- ou quel fournisseur ne vous donne pas d'adresse IP externe,
- ou que vous êtes connecté via le réseau local du fournisseur
Le moyen le plus simple est d'appeler le fournisseur et de le découvrir. Ou demandez à des voisins bien informés avec la même connexion.
Lorsque vous vous connectez à Internet via le réseau local du fournisseur, vous ne pouvez pas créer de port disponible pour vous-même. À moins, bien sûr, que le fournisseur ne redirige spécifiquement un port spécifique pour vous, ce qui est irréaliste. Ou si vous ne payez pas de supplément pour un service communément appelé adresse IP "extérieure" ("blanche").
NAT dans un immeuble de bureaux ou d'appartements
En principe, la situation est la même, mais vous pouvez rechercher des approches auprès de l'administrateur local. En fin de compte, décider si un port est disponible dépend si vous avez accès aux paramètres du routeur.
De plus, vous pouvez également essayer UPnP, du coup le routeur l'a laissé autorisé.
NAT le vôtre
Dans ce cas, vous pouvez presque toujours le configurer et obtenir un port disponible.
Il s'agit généralement soit d'une connexion via un routeur domestique, soit d'une connexion via un autre ordinateur, par exemple en utilisant ICS (la deuxième option n'est pas envisagée ici).
Bien sûr, en principe, il arrive aussi que votre domicile et le fournisseur aient un NAT, c'est-à-dire que votre ordinateur se trouve derrière deux NAT à la fois. Cela peut être vérifié en accédant aux paramètres du routeur, en regardant son adresse externe, puis en suivant le scénario ci-dessus (le ce plages d'adresses des réseaux locaux, si elle correspond à l'adresse sous laquelle vous êtes vu sur Internet).
NAT (traduction d'adresse réseau) est une technologie de traduction d'adresse réseau. NAT a résolu le plus gros problème d'IPv4 : au milieu des années 1990, l'espace d'adressage IPv4 pouvait être complètement épuisé. Si la technologie NAT n'avait pas été inventée, la croissance d'Internet aurait considérablement ralenti. Bien sûr, une nouvelle version du protocole IP, IPv6, a été créée aujourd'hui. Cette version prend en charge un grand nombre d'adresses IP que l'existence de NAT n'a pas de sens. Cependant, un certain nombre d'organisations utilisent encore le protocole IPv4 dans leur travail et une transition complète vers IPv6 n'aura pas lieu de sitôt. Par conséquent, il est logique d'étudier la technologie NAT.
La traduction d'adresses réseau (NAT) permet à un hôte qui n'a pas d'adresse IP blanche de communiquer avec d'autres hôtes sur Internet. Une adresse IP blanche est une adresse IP globale, unique et enregistrée sur Internet. Il existe également des adresses IP grises qui sont utilisées sur un réseau privé et qui ne sont pas routables sur Internet. Par conséquent, la technologie NAT est nécessaire, qui remplacera l'adresse IP grise par une blanche. La plage d'adresses IP grises est présentée dans le tableau.
La traduction NAT remplace les adresses IP privées par des adresses IP publiques enregistrées dans chaque paquet de protocole IP.
Grâce à la traduction NAT, le routeur modifie l'adresse IP source lorsque le paquet quitte le réseau privé. Le routeur modifie également l'adresse de destination de chaque paquet qui revient sur le réseau privé. Le logiciel Cisco IOS prend en charge plusieurs variantes de traduction NAT :
- NAT statique - Chaque adresse IP privée a une adresse IP publique. Avec la traduction statique, un routeur NAT établit simplement une correspondance un à un entre l'adresse IP privée et l'adresse IP enregistrée au nom de laquelle il agit.
- Traduction NAT dynamique - la conversion des adresses IP internes en adresses externes se produit de manière dynamique. Un pool d'adresses IP publiques possibles est créé et les adresses IP pour la traduction sont dynamiquement sélectionnées à partir de ce pool.
- Port Address Translation PAT - vous permet d'évoluer pour prendre en charge de nombreux clients avec seulement quelques adresses IP publiques. PAT traduit l'adresse réseau en fonction du port TCP/UDP du destinataire.
Examinons de plus près chaque type de traduction.
Traduction NAT statique fait une correspondance exacte entre l'adresse IP privée et publique. Prenons un exemple.
Le FAI de l'entreprise attribue le numéro de réseau enregistré 200.1.1.0 à l'entreprise. Par conséquent, le routeur NAT doit faire apparaître cette adresse privée comme si elle se trouvait sur le réseau 200.1.1.0. Pour ce faire, le routeur modifie l'adresse IP source des paquets, qui sont transmis de gauche à droite, comme indiqué sur la figure. Dans cet exemple, le routeur remplace l'adresse IP privée 10.1.1.1 par l'adresse IP publique 200.1.1.1. L'autre adresse privée 10.1.1.2 correspond à l'adresse publique 200.1.1.2. Ensuite, envisagez de configurer le NAT statique dans Cisco.
Configuration de la traduction NAT statique sur l'équipement Cisco par rapport aux autres options, c'est celle qui nécessite le moins d'action. Dans ce cas, vous devez établir une correspondance entre les adresses IP locales (privées) et globales (publiques). Vous devez également indiquer au routeur sur quelles interfaces utiliser la traduction NAT, car elle peut ne pas être activée sur toutes les interfaces. En particulier, le routeur doit être informé de chaque interface et si elle est interne ou externe.
Le diagramme montre que l'utilisateur a reçu du fournisseur l'adresse réseau de classe C 100.0.0.0. L'ensemble de ce réseau avec un masque de 255.255.255.0 est configuré sur un canal série entre l'utilisateur et Internet. Comme il s'agit d'une liaison point à point, seules 2 des 254 adresses IP valides (possibles) sont utilisées sur ce réseau.
Configuration pour le routeur NAT_GW :
NAT_GW>activer NAT_GW#configurer le terminal - description de l'interface - définir la passerelle par défaut - description de l'interface - définir Ip et masque NAT_GW(config-if)#no shutdown - activer l'interface physiquement NAT_GW(config-if)#exit NAT_GW(config)#ip nat inside source static 192.168.1.2 100.0.0.1 NAT_GW(config)#ip nat inside source static 192.168.1.3 100.0.0.2 - correspondance d'adresse statique NAT_GW(config)#ip nat à l'intérieur de la source statique 192.168.1.4 100.0.0.3 - correspondance d'adresse statique
Les correspondances statiques sont créées avec la commande ip nat à l'intérieur de la source statique. Mot-clé à l'intérieur signifie que NAT traduit les adresses des hôtes situés à l'intérieur du réseau. Mot-clé source signifie que NAT traduit les adresses IP en paquets arrivant sur ses interfaces internes. Mot-clé statique signifie que ces options définissent une entrée statique qui ne sera jamais supprimée de la table NAT en raison de l'expiration d'une période de temps. Lors de la création d'entrées de traduction NAT statiques, le routeur doit savoir quelles interfaces sont à l'intérieur et lesquelles sont à l'extérieur. Sous-commandes d'interface ip nat à l'intérieur Et ip nat dehors identifier chaque interface de manière appropriée.
Il existe deux commandes pour afficher des informations importantes sur NAT afficher les traductions ip nat, afficher les statistiques ip nat.
La première commande génère les trois entrées de traduction NAT statiques créées dans la configuration. La deuxième commande imprime des informations statistiques, telles que le nombre d'entrées actuellement actives dans la table de traduction. Cette statistique inclut également le nombre de hits, qui augmente de un pour chaque paquet pour lequel NAT doit traduire les adresses.
Passons à traduction d'adresse réseau dynamique NAT. La traduction dynamique crée un pool d'adresses internes globales possibles et définit un critère de correspondance pour déterminer quelles adresses IP globales internes doivent être traduites à l'aide de NAT. Par exemple, dans le schéma ci-dessous, un pool de cinq adresses IP globales a été défini dans la plage 200.1.1.1 - 200.1.1.5. La traduction NAT est également configurée pour traduire toutes les adresses locales internes qui commencent par les octets 10.1.1
À configuration de la traduction NAT dynamique sur les équipements Cisco vous devez toujours identifier chaque interface, à la fois interne et externe, mais vous n'avez plus besoin de spécifier un mappage statique. Pour spécifier les adresses IP privées à traduire, la traduction NAT dynamique utilise des listes de contrôle d'accès (j'en ai parlé plus tôt) et détermine également le pool d'adresses IP publiques enregistrées qui seront allouées à partir de celles-ci. Ainsi, l'algorithme de configuration de la traduction dynamique :
- Configurez les interfaces qui seront sur le sous-réseau interne à l'aide de la commande ip nat à l'intérieur.
- Configurez les interfaces qui seront situées sur le sous-réseau externe à l'aide de la commande ip nat à l'extérieur.
- Configurer une ACL correspondant aux paquets arrivant sur les interfaces internes pour lesquelles la traduction NAT doit être appliquée
- Configurez un pool d'adresses IP enregistrées publiques à l'aide de la commande de mode de configuration globale ip nat pool name first-address last-address netmask subnet-mask.
- Activez la traduction NAT dynamique en spécifiant dans la commande de configuration globale ip nat à l'intérieur de la liste des sources num-acl pool nom-pool
Le schéma sera utilisé de la même manière que la dernière fois. Nouvelle configuration pour le routeur NAT_GW :
NAT_GW>activer - passer en mode avancé NAT_GW#configurer le terminal - passer en mode configuration NAT_GW(config)#interface fa0/0 - réglage de l'interface vers un réseau privé NAT_GW(config-if)#description LAN - description de l'interface NAT_GW(config-if)#adresse IP 192.168.1.1 255.255.255.0 - définir la passerelle par défaut NAT_GW(config-if)#no shutdown - activer l'interface physiquement NAT_GW(config-if)#ip nat à l'intérieur - configurer l'interface comme interne NAT_GW(config-if)#exit NAT_GW(config)#interface fa0/1 - paramètres d'interface vers le fournisseur NAT_GW(config-if)#description FAI - description de l'interface NAT_GW(config-if)#adresse IP 100.0.0.253 255.255.255.0 - définir Ip et masque NAT_GW(config-if)#no shutdown - activer l'interface physiquement NAT_GW(config-if)#ip nat extérieur - configurer l'interface comme externe NAT_GW(config-if)#exit NAT_GW(config)#ip nat pool testPool 100.0.0.1 100.0.0.252 netmask 255.255.255.0 - créer un pool dynamique NAT_GW(config)#access-list 1 permit 192.168.1.1 0.0.0.255 - créer une liste d'accès 1, dans laquelle nous autorisons la diffusion des adresses IP du sous-réseau 192.168.1.1/24 NAT_GW(config)#ip nat à l'intérieur de la liste des sources 1 pool testPool - activer la diffusion dynamique NAT_GW(config)#route IP 0.0.0.0 0.0.0.0 100.0.0.254 - route statique vers le fournisseur
Le prochain type de traduction est PAT (Port Address Translation). Je parlerai de ce type de NAT dans le prochain article, lorsque nous connecterons le sous-réseau local à Internet. Le sujet est assez vaste et important. PAT est le type de NAT le plus populaire.
Soutenir le projet
Amis, le site Netcloud se développe chaque jour grâce à votre soutien. Nous prévoyons de lancer de nouvelles sections d'articles, ainsi que quelques services utiles.
Vous avez la possibilité de soutenir le projet et de contribuer le montant que vous jugez approprié.
Si vous lisez ce document, vous êtes probablement connecté à Internet et utilisez la traduction d'adresses réseau ( Traduction d'adresses réseau, NAT) tout de suite! L'Internet est devenu si énorme que n'importe qui pourrait imaginer. Bien que la taille exacte soit inconnue, l'estimation actuelle est d'environ 100 millions d'hôtes et plus de 350 millions d'utilisateurs actifs sur Internet. En fait, le taux de croissance est tel qu'Internet double de taille chaque année. Pour qu'un ordinateur puisse communiquer avec d'autres ordinateurs et serveurs Web sur Internet, il doit avoir une adresse IP. Une adresse IP (IP signifie Internet Protocol) est un numéro unique de 32 bits qui identifie l'emplacement de votre ordinateur sur un réseau. Fondamentalement, cela fonctionne exactement comme votre adresse postale : un moyen de savoir exactement où vous êtes et de vous faire parvenir l'information. Théoriquement, vous pouvez avoir 4 294 967 296 adresses uniques (2^32). Le nombre réel d'adresses disponibles est plus petit (quelque part entre 3,2 et 3,3 milliards) en raison de la façon dont les adresses sont classées et de la nécessité de réserver certaines des adresses pour la multidiffusion, les tests ou d'autres besoins spécifiques. Avec la multiplication des réseaux domestiques et des réseaux professionnels, le nombre d'adresses IP disponibles n'est plus suffisant. La solution évidente est de reconcevoir le format d'adresse pour permettre plus d'adresses possibles. Ainsi, le protocole IPv6 se développe, mais ce développement prendra plusieurs années, car il nécessite une modification de toute l'infrastructure d'Internet.
C'est là que NAT vient à notre secours. Fondamentalement, la traduction d'adresses réseau permet à un seul appareil, tel qu'un routeur, d'agir en tant qu'agent entre Internet (ou "réseau public") et un réseau local (ou "privé"). Cela signifie qu'une seule adresse IP unique est nécessaire pour représenter un groupe entier d'ordinateurs à tout ce qui se trouve en dehors de leur réseau. Le manque d'adresses IP n'est qu'une des raisons d'utiliser NAT. Deux autres bonnes raisons sont la sécurité et l'administration.
Vous apprendrez comment vous pouvez bénéficier de NAT, mais d'abord, examinons de plus près NAT et voyons ce qu'il peut faire.
Déguisement
NAT est comme une secrétaire dans un grand bureau. Disons que vous avez laissé des instructions à la secrétaire pour ne pas vous rediriger les appels à moins que vous ne le demandiez. Plus tard, vous appelez le client potentiel et lui laissez un message pour qu'il vous rappelle. Vous dites à la secrétaire que vous attendez un appel de ce client et que l'appel doit être transféré. Le client appelle votre numéro de bureau principal, qui est le seul numéro qu'il connaît. Lorsqu'un client dit à la secrétaire qui il recherche, la secrétaire vérifie sa liste d'employés pour trouver une correspondance entre le nom et son numéro de poste. Le secrétaire sait que vous avez demandé cet appel, il transfère donc l'appelant sur votre téléphone.
Technologie développée par Cisco, la traduction d'adresses réseau est utilisée par un périphérique (pare-feu, routeur ou ordinateur) situé entre un réseau interne et le reste du monde. Le NAT a de nombreuses formes et peut fonctionner de plusieurs manières :
NAT statique- Mappage de l'adresse IP non enregistrée à l'adresse IP enregistrée sur une base individuelle. Particulièrement utile lorsque l'appareil doit être accessible depuis l'extérieur du réseau.
Dans le NAT statique, un ordinateur avec l'adresse 192.168.32.10 sera toujours traduit à l'adresse 213.18.123.110 :
NAT dynamique- Mappe une adresse IP non enregistrée à une adresse enregistrée à partir d'un groupe d'adresses IP enregistrées. Le NAT dynamique établit également un mappage direct entre une adresse non enregistrée et une adresse enregistrée, mais le mappage peut changer en fonction de l'adresse enregistrée disponible dans le pool d'adresses pendant la communication.
Dans le NAT dynamique, un ordinateur avec l'adresse 192.168.32.10 est traduit vers la première adresse disponible dans la plage 213.18.123.100 à 213.18.123.150
Surcharge est une forme de NAT dynamique qui mappe plusieurs adresses non enregistrées à une seule adresse IP enregistrée en utilisant différents ports. Aussi connu sous le nom de PAT (Port Address Translation)
En cas de surcharge, chaque ordinateur du réseau privé est traduit à la même adresse (213.18.123.100) mais avec un numéro de port différent
chevaucher- Lorsque les adresses IP utilisées sur votre réseau interne sont également utilisées sur un autre réseau, le routeur doit conserver une table de recherche de ces adresses afin qu'il puisse les intercepter et les remplacer par des adresses IP uniques enregistrées. Il est important de noter qu'un routeur NAT doit traduire les adresses "intérieures" en adresses uniques enregistrées, et doit également traduire les adresses enregistrées "extérieures" en adresses uniques au réseau privé. Cela peut être fait via NAT statique, ou vous pouvez utiliser DNS et implémenter un NAT dynamique.
Exemple:
La plage IP interne (237.16.32.xx) est également une plage enregistrée utilisée par un autre réseau. Par conséquent, le routeur traduit les adresses pour éviter les conflits potentiels. Il traduira également les adresses IP globales enregistrées en adresses locales non enregistrées lorsque les paquets sont envoyés au réseau interne.
Le réseau interne est généralement un LAN (Local Area Network), le plus souvent appelé domaine stub. Un domaine stub est un LAN qui utilise des adresses IP internes. La plupart du trafic réseau dans un tel domaine est local et ne quitte pas le réseau interne. Le domaine peut inclure des adresses IP enregistrées et non enregistrées. Bien sûr, tous les ordinateurs qui utilisent des adresses IP non enregistrées doivent utiliser NAT pour communiquer avec le reste du monde.
NAT peut être configuré de différentes manières. Dans l'exemple ci-dessous, le routeur NAT est configuré pour traduire les adresses IP non enregistrées (adresses internes locales) qui résident sur le réseau privé (interne) en adresses IP enregistrées. Cela se produit chaque fois qu'un appareil à l'intérieur avec une adresse non enregistrée doit communiquer avec un réseau extérieur.
La surcharge NAT utilise une fonctionnalité de la pile de protocoles TCP/IP, telle que le multiplexage, qui permet à un ordinateur de maintenir plusieurs connexions parallèles à un ordinateur distant à l'aide de différents ports TCP ou UDP. Un paquet IP a un en-tête qui contient les informations suivantes :
- Adresse source - Adresse IP de l'ordinateur source, par exemple, 201.3.83.132.
- Port source - le numéro de port TCP ou UDP attribué par l'ordinateur source pour ce paquet, par exemple, Port 1080.
- Adresse de destination - L'adresse IP de l'ordinateur du destinataire. Par exemple, 145.51.18.223.
- Port de destination - Numéro de port TCP ou UDP, qui demande d'ouvrir l'ordinateur source sur l'application, par exemple, le port 3021.
Les adresses IP identifient deux machines de chaque côté, tandis que les numéros de port garantissent que la connexion entre les deux machines a un identifiant unique. La combinaison de ces quatre nombres définit une seule connexion TCP/IP. Chaque numéro de port utilise 16 bits, ce qui signifie qu'il y a 65 536 (2^16) valeurs possibles. En réalité, étant donné que différents fabricants mappent les ports de manière légèrement différente, vous pouvez vous attendre à environ 4 000 ports disponibles.
Exemples de NAT dynamique et NAT avec surcharge
Ce qui suit montre comment fonctionne le NAT dynamique.Cliquez sur l'un des boutons verts pour envoyer un paquet réussi vers ou depuis le réseau interne. Cliquez sur l'un des boutons rouges pour envoyer un paquet, qui sera abandonné par le routeur en raison d'une adresse invalide.
- l'interne a été configuré avec des adresses IP qui n'étaient pas spécifiquement réservées à cette entreprise par l'IANA (Internet Assigned Assigned Oversight Authority), le bureau mondial qui distribue les adresses IP. Ces adresses doivent être considérées comme non routables car elles ne sont pas uniques. Il s'agit d'adresses locales internes.
- l'entreprise installe un routeur avec NAT. Le routeur dispose d'une plage d'adresses IP uniques attribuées à l'entreprise. Ce sont des adresses globales internes.
- un ordinateur du réseau local essaie de se connecter à un ordinateur en dehors du réseau, tel qu'un serveur Web.
- le routeur reçoit un paquet d'un ordinateur sur le LAN.
- Après avoir vérifié la table de routage et vérifié le processus de traduction, le routeur stocke l'adresse non routable de l'ordinateur dans la table de traduction d'adresses. Le routeur remplace l'adresse non routable de l'ordinateur de l'expéditeur par la première adresse IP disponible dans une plage d'adresses uniques. La table de traduction affiche désormais l'adresse IP non routable de l'ordinateur, qui correspond à l'une des adresses IP uniques.
- Lorsqu'un paquet revient de l'ordinateur de destination, le routeur vérifie l'adresse de destination sur le paquet. Il examine ensuite la table de traduction d'adresses pour trouver à quel ordinateur du domaine appartient le paquet donné. Il remplace l'adresse de destination par celle stockée précédemment dans la table de traduction et envoie le paquet au bon ordinateur. Si le routeur ne trouve pas de correspondance dans la table, il rejette le paquet.
- L'ordinateur reçoit un paquet du routeur et l'ensemble du processus est répété pendant que l'ordinateur communique avec le système externe.
- Le réseau interne a été configuré avec des adresses IP non routables qui n'étaient pas spécifiquement réservées à l'entreprise
- l'entreprise installe un routeur avec NAT. Le routeur a une adresse IP unique émise par l'IANA
- un ordinateur du domaine essaie de se connecter à un ordinateur en dehors du réseau, tel qu'un serveur Web.
- le routeur reçoit un paquet d'un ordinateur du domaine.
- Après avoir routé et validé le paquet pour effectuer la traduction, le routeur stocke l'adresse IP non routable et le numéro de port de l'ordinateur dans la table de traduction. Le routeur remplace l'adresse IP non routable de l'ordinateur expéditeur par l'adresse IP du routeur. Le routeur remplace le port de l'ordinateur source de l'expéditeur par un numéro de port aléatoire et le stocke dans la table de traduction d'adresses pour cet expéditeur. La table de traduction affiche l'adresse IP non routable et le numéro de port de l'ordinateur ainsi que l'adresse IP du routeur.
- Lorsque le paquet revient de la destination, le routeur vérifie le port de la destination dans le paquet. Il examine ensuite la table de traduction pour trouver à quel ordinateur du domaine appartient le paquet. Ensuite, le routeur remplace l'adresse du récepteur et le port du récepteur par les valeurs précédemment stockées dans la table de traduction et envoie le paquet au nœud final.
- l'ordinateur reçoit un paquet du routeur et le processus se répète
- Étant donné que le routeur NAT a maintenant l'adresse source et le port source de l'ordinateur enregistrés dans la table de traduction, il continuera à utiliser le même numéro de port pour les connexions suivantes. Chaque fois qu'un routeur accède à une entrée dans la table de traduction, le temporisateur de durée de vie de l'entrée est réinitialisé. Si l'entrée n'est pas accessible avant l'expiration du délai, elle est supprimée de la table
Le nombre de traductions simultanées qu'un routeur prendra en charge est principalement déterminé par la quantité de DRAM (Dynamic Random Access Memory). Étant donné qu'une entrée de table de traduction typique est d'environ 160 octets, un routeur avec 4 Mo de RAM peut théoriquement gérer 26214 connexions simultanées, ce qui est plus que suffisant pour la plupart des applications.
Sécurité et administration
La mise en œuvre du NAT dynamique crée automatiquement un pare-feu entre votre réseau interne et les réseaux externes ou Internet. Le NAT dynamique n'autorise que les connexions provenant du réseau local. Cela signifie essentiellement qu'un ordinateur sur un réseau externe ne peut pas se connecter à votre ordinateur tant que votre ordinateur n'a pas démarré la connexion. Vous pouvez ainsi surfer sur le Web et vous connecter à un site, et même télécharger un fichier. Mais personne d'autre ne peut simplement espionner votre adresse IP et l'utiliser pour se connecter à un port de votre ordinateur.
Le NAT statique, également appelé mappage entrant, autorise les connexions initiées par des périphériques externes vers des ordinateurs sur le réseau local dans certaines circonstances. Par exemple, vous pouvez mapper une adresse globale interne à une adresse locale interne spécifique qui est affectée à votre serveur Web.
Le NAT statique permet à un ordinateur du réseau local de conserver une adresse spécifique tout en communiquant avec des périphériques extérieurs au réseau :
Certains routeurs NAT fournissent un filtrage et une journalisation du trafic étendus. Le filtrage permet à votre entreprise de contrôler les sites Web visités par les employés, en les empêchant de voir du matériel douteux. Vous pouvez utiliser la journalisation du trafic pour créer un journal des sites visités et générer divers rapports en fonction de cela.
Parfois, la traduction d'adresses réseau est confondue avec les serveurs proxy, où il existe certaines différences. NAT est transparent pour les ordinateurs source et de destination. Aucun d'entre eux ne sait qu'il s'agit d'un troisième appareil. Mais le serveur proxy n'est pas transparent. L'ordinateur source sait qu'il fait une demande au proxy. L'ordinateur de destination pense que le serveur proxy est l'ordinateur source et traite directement avec lui. En outre, les proxys fonctionnent généralement au niveau de la couche 4 (transport) du modèle OSI ou supérieur, tandis que NAT est un protocole de couche 3 (réseau). Travailler à des niveaux plus élevés rend les serveurs proxy plus lents que les périphériques NAT dans la plupart des cas.
Dans nos appartements, de plus en plus d'appareils numériques différents apparaissent - ordinateurs portables, tablettes et smartphones. Alors que l'ordinateur de l'appartement était seul et connecté directement au réseau du fournisseur, il n'y avait pas de questions. Et maintenant, quand vous avez un problème - comment connecter un nouvel ordinateur portable ou une nouvelle tablette à Internet maintenant. C'est là que l'aide entre en jeu. technologie NAT. Quelle est l'essence de la technologie NAT ?
NAT — Traduction d'adresse réseau
- traduit en russe, cela ressemble à ceci: "conversion d'adresse réseau". NAT est un mécanisme des réseaux TCP/IP qui permet de traduire les adresses IP des paquets en transit.
En termes simples, s'il y a plusieurs ordinateurs sur le réseau local, alors grâce à la technologie NAT tous peuvent accéder au réseau Internet externe à l'aide d'un adresse IP (IP).
Qu'est-ce qu'une adresse IP ?
routeur — routeur- fonctionne au troisième niveau du système OSI, respectivement, est utilisé protocole IP est un protocole de couche réseau routable de la pile TCP/IP. L'adressage réseau fait partie intégrante du protocole. Conformément aux règles en vigueur - tous les appareils du réseau sont affectés Adresses IP (Adresses IP) sont les identifiants réseau uniques de l'adresse hôte. Il existe 2 types d'adresses IP utilisées − gris Et blanc. Adresses grises- cela fait partie de l'espace d'adressage alloué au réseau local - des sous-réseaux d'adresses IP 10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16 . Tous les autres sous-réseaux sont utilisés par Internet et sont des adresses IP sur liste blanche.
Comment partager Internet avec des appareils sur votre réseau.
Pour connecter tous les appareils du réseau local à Internet, vous devez routeur. routeur est un appareil qui peut se connecter à Internet via le réseau du fournisseur et le distribuer aux appareils connectés en raison du fait qu'il a au moins 4 ports LAN et module Wi-Fi. Ne confondez pas un routeur avec un simple commutateur Ethernet, qui est essentiellement un "séparateur" de réseau stupide. Du fait qu'un système d'exploitation de type UNIX est installé sur le routeur, divers services peuvent être lancés sur l'appareil, notamment Service NAT. Pour cela, lors de la configuration du routeur, cochez la case Activer NAT .
Donc routeur pour chaque demande qui le traverse, met une certaine étiquette contenant des données sur l'expéditeur sur le réseau local. Lorsque cette demande est répondue, routeur par étiquette détermine à quelle adresse IP du réseau local envoyer le paquet. C'est en fait tout comment fonctionne la technologie NAT en bref.
Bonjour à tous, aujourd'hui nous allons parler de la configuration de Cisco NAT. Qu'est-ce que le NAT et pourquoi est-il nécessaire, puisque cette fonctionnalité est entrée depuis longtemps dans notre vie quotidienne et qu'il est maintenant très difficile d'imaginer au moins une entreprise qui n'utiliserait pas cette technologie. À un moment donné, elle a sauvé Internet et a considérablement retardé la transition d'ipv4 à ipv6, mais avant tout.
Qu'est-ce que le NAT
NAT (Network Address Translation) est un mécanisme de traduction d'adresses réseau, s'il est simple, c'est une technologie qui permet à un groupe d'adresses IP privées ou grises de s'asseoir derrière une adresse IP blanche. Un exemple est l'Internet de bureau, où tous les utilisateurs s'assoient via une passerelle commune, sur laquelle une adresse IP est configurée qui va à Internet, que les utilisateurs ont des adresses IP locales configurées.
Il ressemble à peu près à ça
Types de NAT
- NAT statique - conversion d'une adresse IP grise en blanc, un exemple de redirection de port vers un réseau local, par exemple RDP
- NAT dynamique - transformation d'une adresse IP grise en l'une des adresses IP d'un groupe d'adresses IP blanches
- NAT surchargé ou comme on l'appelle aussi PAT (traduction d'adresse de port), convertissant plusieurs IP grises en blanches, leur donnant des ports différents.
Aujourd'hui, nous allons examiner le NAT et le PAT statiques.
Configuration de Cisco NAT
Voici à quoi ressemble un petit aménagement de bureau. Nous avons 3 ordinateurs dans vlan 2, il y a un serveur dans un vlan 3 séparé. Tout cela est connecté à un commutateur de second niveau cisco 2660, qui, à son tour, est branché sur un routeur Cisco 1841 qui achemine le trafic local entre vlan 2 et 3.
Configuration Cisco 2960
Créons vlan 2 et vlan3, donnons-leur des noms et configurons les ports nécessaires pour ces vlans.
activer
conf t
créer vlan 2
vlan 2
nom VLAN2
sortie
créer vlan 3
vlan 3
nom VLAN3
sortie
Nous mettons des ports dans vlan2
plage entière fa0/1-3
accès en mode switchport
switchport accès vlan 2
sortie
On met le port en vlan3
int fa 0/4
accès en mode switchport
switchport accès vlan 3
sortie
int fa 0/5
ligne réseau en mode switchport
switchport trunk autorisé vlan 2.3
fais-le moi
Configuration Cisco 1841
Tout d'abord, créons des sous-interfaces et augmentons le port.
activer
conf t
entier fa0/0
Pas d'extinction
sortie
intfa0/0.2
encapsulation dot1Q 2
adresse IP 192.168.2.251 255.255.255.0
Pas d'extinction
sortie
intfa0/0.3
encapsulation dot1Q 3
adresse IP 192.168.3.251 255.255.255.0
Pas d'extinction
sortie
En conséquence, le port est devenu vert
Configuration PAT
Dans mon infrastructure virtuelle, malheureusement, notre schéma ne peut pas être diffusé sur Internet, nous allons l'émuler, nous aurons un routeur avec une adresse IP blanche et un serveur également avec une adresse IP blanche. Schématiquement, ça ressemble à ça. Sur le routeur du fournisseur, une adresse IP blanche 213.235.1.1 et un masque de réseau 255.255.255.252 sont attribués sur un port spécifique
Configurons cette adresse IP sur notre routeur de fournisseur de test.
fr
conf t
entier fa0/0
adresse IP 213.235.1.1 255.255.255.252
Pas d'extinction
sortie
configurez le port fa0/1 sur lequel nous regardons le serveur et réglez-le sur une autre adresse IP blanche 213.235.1.25 255.255.255.252
entier fa0/1
adresse IP 213.235.1.25 255.255.255.252
Pas d'extinction
sortie
Mon serveur aura une adresse IP de 213.235.1.26 et la passerelle sera 213.235.1.25, l'interface de routeur du fournisseur regardant le serveur.
Configurons maintenant notre routeur local Router0, configurons l'adresse IP blanche qui nous est attribuée par le fournisseur 213.235.1.2 255.255.255.252, la passerelle sera 213.235.1.1
activer
conf t
entier fa0/1
adresse IP 213.235.1.2 255.255.255.252
Pas d'extinction
sortie
itinéraire IP 0.0.0.0 0.0.0.0 213.235.1.1
sortie
wr mem
Nous essayons de cingler les adresses IP du fournisseur et du serveur à partir du routeur du bureau, et nous voyons que tout fonctionne bien.
Routeur#ping 213.235.1.1
Le taux de réussite est de 80 % (4/5), aller-retour min/moy/max = 0/0/0 ms
Routeur#ping 213.235.1.1
Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 213.235.1.1, le délai d'attente est de 2 secondes :
Le taux de réussite est de 100 % (5/5), aller-retour min/moy/max = 0/0/1 ms
Routeur#ping 213.235.1.2
Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 213.235.1.2, le délai d'attente est de 2 secondes :
Le taux de réussite est de 100 % (5/5), aller-retour min/moy/max = 0/9/17 ms
Routeur#ping 213.235.1.25
Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 213.235.1.25, le délai d'expiration est de 2 secondes :
Routeur#ping 213.235.1.26
Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 213.235.1.26, le délai d'attente est de 2 secondes :
Le taux de réussite est de 100 % (5/5), aller-retour min/moy/max = 0/0/0 ms
Eh bien, le nating lui-même. Sur le routeur local, procédez comme suit. Maintenant, nous devons définir quelle interface nat sera considérée comme externe et quelle interface interne, tout sera simplement externe où l'adresse IP blanche du fournisseur est configurée, interne est ce qui est connecté au commutateur de deuxième niveau. fa0/1 sera externe et les deux sous-interfaces seront internes.
activer
conf t
entier fa0/1
ip nat dehors
sortie
intfa0/0.2
ip nat à l'intérieur
intfa0/0.3
ip nat à l'intérieur
sortie
Personnalisation de la liste d'accès
Liste d'accès une liste dont le trafic doit être natté et qui devrait fonctionner sans NAT.
Créer une liste d'accès nommée NAT
NAT standard de liste d'accès IP
Autoriser deux piscines
permis 192.168.2.0 0.0.0.255
permis 192.168.3.0 0.0.0.255
0.0.0.255 correspond aux bits génériques
comme vous pouvez le voir, nous avons une liste d'accès dans la configuration et les ports sont marqués qui sont à l'extérieur et qui sont à l'intérieur.
Et nous entrons dans une autre commande magique, où il est dit que le trafic qui est venu à fa0 / 1 doit être natté selon la règle NAT. En conséquence, nous avons configuré PAT.
ip nat à l'intérieur de la liste des sources NAT interface fa0/1 surcharge
Enregistrer tout faire wr mem
vérifier la disponibilité des ressources externes à partir d'un ordinateur du réseau local. Regardons les configurations actuelles avec la commande ipconfig, voir l'adresse IP 192.168.2.1, ping 213.235.1.26, car vous pouvez voir que tout est OK et que Cisco NAT fonctionne.