Što je NAT na ruteru? Princip rada rutera (usmjerivača) Sredstva nat.

Što je NAT

Vaše računalo može se izravno spojiti na Internet. Onda kažu da on vanjski IP adresa.

To obično znači da je računalo spojeno izravno na modem (DSL, kabelski ili uobičajeni analogni).

Iza NAT-a znači da vaše računalo nije spojeno na internet, već na lokalnu mrežu. Onda ima interijer IP adresa koja nije dostupna s Interneta.

Vaše računalo dobiva pristup internetu putem NAT-a - procesa prevođenja internih adresa u eksterne i obrnuto. NAT uređaj se obično naziva usmjerivač.

Specifičnosti rada NAT-a su da veze koje pokreće vaše računalo transparentno prolaze kroz NAT uređaj na Internet. Međutim, veze koje druga računala žele uspostaviti s vama s interneta ne mogu doći do vas.

Pronalaženje IP adrese računala

Run"> Otvorite dijaloški okvir za pokretanje programa: kliknite na gumb Start, odaberite Run iz izbornika.

U sustavu Windows 2000/XP upišite cmd /k ipconfig, kliknite OK i pogledajte rezultat.

Windows 2000 IP konfiguracija Ethernet adapter Lokalna veza: DNS sufiks specifičan za vezu . : IP adresa. . . . . . . . . . . . : 192.168.1.10 Maska podmreže. . . . . . . . . . . : 255.255.255.0 Zadani pristupnik . . . . . . . . . : 192.168.1.1

Prva od ovih adresa je IP adresa vašeg računala.

Jeste li iza NAT-a

Tri posebna raspona IP adresa rezervirana su za lokalne mreže i ne koriste se na Internetu:

10. 0. 0. 0 - 10. 255.255.255 172. 16. 0. 0 - 172. 31.255.255 192.168. 0. 0 - 192.168.255.255

Ako je IP adresa vašeg računala u jednom od ovih raspona, to jest, počinje s 10 ili 192.168. odnosno od 172.nn. (gdje je nn od 16 do 31) , onda je ovo lokalna (interna) adresa, a vi ste sigurno iza NAT-a.

Ako niste, sada provjerite pod kojom IP adresom vas druga računala vide na internetu. Na primjer, whatsmyip.org ("Vaša IP adresa je x.x.x.x" na vrhu stranice) ili myipaddress.com.

Ako IP adresa vašeg računala odgovara onoj prikazanoj na jednoj od ovih stranica, onda ste definitivno povezani na Internet izravno.

U drugim slučajevima nemoguće je sa sigurnošću reći. Moguće su sljedeće opcije:

• nalazite se iza NAT-a, ali je vaš mrežni administrator odabrao nestandardne interne adrese za vašu lokalnu mrežu. Pronađite ga i pitajte zašto je to bilo potrebno učiniti.
• pristupate internetu preko proxy poslužitelja (tada vam je whatsmyip.org pokazao adresu ovog proxy poslužitelja). U mnogim slučajevima možete utvrditi postoji li proxy poslužitelj između vas i interneta pomoću lagado.com/proxy-test, na primjer.

  Povezivanje putem proxyja nije obuhvaćeno ovim vodičem..

Mogućnosti povezivanja putem NAT-a

Ako ste iza NAT-a, tada je sljedeći korak odrediti gdje se točno nalazi NAT uređaj.

Pružatelj NAT

Onda to kažu
• ISP vam pruža internet kroz NAT,
• ili kojeg provajdera ne daje vam vanjsku IP adresu,
• ili da ste povezani putem lokalne mreže pružatelja usluga

Najlakše je nazvati provajdera i saznati. Ili pitajte upućene susjede s istom vezom.

Kada se spajate na Internet putem lokalne mreže pružatelja usluga, ne možete učiniti dostupnim priključak za sebe. Osim, naravno, ako vam pružatelj posebno ne preusmjerava određeni port, što je nerealno. Ili ako ne plaćate dodatno za uslugu koja se obično naziva "vanjska" ("bijela") IP adresa.

NAT u poslovnoj ili stambenoj zgradi

U principu, situacija je ista, ali možete potražiti pristup lokalnom administratoru. U konačnici, odluka o tome je li priključak dostupan ovisi o tome imate li pristup postavkama usmjerivača.

Osim toga, također možete pokušati UPnP, iznenada ga je ruter ostavio dopuštenim.

NAT vlastiti

U tom slučaju ga gotovo uvijek možete konfigurirati i dobiti slobodan priključak.

Obično je to ili veza preko kućnog usmjerivača ili veza preko drugog računala, na primjer pomoću ICS-a (druga opcija se ovdje ne razmatra).

Naravno, u principu se također događa da i vaš dom i davatelj usluga imaju NAT, odnosno da vaše računalo stoji iza dva NAT-a odjednom. To se može provjeriti tako da uđete u postavke usmjerivača, pogledate njegovu vanjsku adresu i zatim slijedite gornji scenarij (da li ovaj rasponi adresa lokalnih mreža, odgovara li adresi pod kojom ste viđeni na Internetu).

NAT (Network address translation) je tehnologija prevođenja mrežnih adresa. NAT je riješio najveći problem IPv4: do sredine 1990-ih, IPv4 adresni prostor bi mogao biti potpuno iscrpljen. Da NAT tehnologija nije izumljena, rast Interneta bi se znatno usporio. Naravno, danas je stvorena nova verzija IP protokola, IPv6. Ova verzija podržava ogroman broj IP adresa tako da je postojanje NAT-a besmisleno. Međutim, dosta organizacija još uvijek koristi IPv4 protokol u svom radu i potpuni prijelaz na IPv6 neće se uskoro dogoditi. Stoga ima smisla proučavati NAT tehnologiju.

Prijevod mrežne adrese (NAT) omogućuje hostu koji nema bijeli IP da komunicira s drugim hostovima preko Interneta. Bijela IP adresa je registrirana, jedinstvena, globalna IP adresa na Internetu. Postoje i sive IP adrese koje se koriste na privatnoj mreži i ne mogu se usmjeravati na Internetu. Stoga je potrebna NAT tehnologija koja će sivu IP adresu zamijeniti bijelom. Raspon sivih IP adresa prikazan je u tablici.

NAT prijevod zamjenjuje privatne IP adrese javnim registriranim IP adresama u svakom paketu IP protokola.

Preko NAT prijevoda usmjerivač mijenja izvornu IP adresu kako paket napušta privatnu mrežu. Usmjerivač također mijenja odredišnu adresu svakog paketa koji se vraća u privatnu mrežu. Cisco IOS softver podržava nekoliko vrsta NAT prijevoda:

1. Statički NAT - Svaka privatna IP adresa ima jedan javni IP. Sa statičkim prijevodom, NAT router jednostavno uspostavlja korespondenciju jedan-na-jedan između privatne IP adrese i registrirane IP adrese u čije ime djeluje.
2. Dinamički NAT prijevod - pretvorba internih IP adresa u vanjske događa se dinamički. Skup mogućih javnih IP adresa se stvara i IP adrese za prijevod se dinamički odabiru iz tog skupa.
3. Port Address Translation PAT - omogućuje skaliranje za podršku mnogim klijentima sa samo nekoliko javnih IP adresa. PAT prevodi mrežnu adresu ovisno o TCP/UDP portu primatelja.

Pogledajmo pobliže svaku vrstu prijevoda.

Statički NAT prijevodčini točno podudaranje između privatne i javne IP adrese. Pogledajmo primjer.

ISP tvrtke tvrtki dodjeljuje registrirani mrežni broj 200.1.1.0. Sukladno tome, NAT usmjerivač mora učiniti da ova privatna adresa izgleda kao da je na mreži 200.1.1.0. Da bi to učinio, usmjerivač mijenja izvornu IP adresu paketa, koji se prosljeđuju slijeva na desno kao što je prikazano na slici. U ovom primjeru usmjerivač mijenja privatnu IP adresu 10.1.1.1 u javnu IP adresu 200.1.1.1. Druga privatna adresa 10.1.1.2 odgovara javnoj adresi 200.1.1.2. Zatim razmislite o konfiguriranju statičkog NAT-a u Ciscu.

Konfiguriranje statičkog NAT prijevoda na Cisco opremi u usporedbi s drugim opcijama, zahtijeva najmanje radnji. U tom slučaju morate uspostaviti korespondenciju između lokalne (privatne) i globalne (javne) IP adrese. Također morate usmjerivaču reći na kojim sučeljima treba koristiti NAT prijevod jer možda neće biti omogućen na svim sučeljima. Konkretno, usmjerivaču treba reći svako sučelje i je li unutarnje ili vanjsko.

Dijagram pokazuje da je korisnik od pružatelja usluga dobio mrežnu adresu klase C 100.0.0.0. Cijela ova mreža s maskom 255.255.255.0 konfigurirana je na serijskom kanalu između korisnika i Interneta. Budući da je ovo veza od točke do točke, samo 2 od 254 važeće (moguće) IP adrese koriste se na ovoj mreži.

Konfiguracija za NAT_GW usmjerivač:

NAT_GW>omogući NAT_GW#konfiguriraj terminal - opis sučelja - postavite zadani pristupnik - opis sučelja - postavite Ip i masku NAT_GW(config-if)#nema isključivanja - fizički uključite sučelje NAT_GW(config-if)#exit NAT_GW(config)#ip nat unutar statike izvora 192.168.1.2 100.0.0.1 NAT_GW(config)#ip nat unutar statike izvora 192.168.1.3 100.0.0.2 - podudaranje statičke adrese NAT_GW(config)#ip nat unutar statike izvora 192.168.1.4 100.0.0.3 - podudaranje statičke adrese

Statička podudaranja stvaraju se naredbom ip nat unutar statike izvora. Ključna riječ iznutra znači da NAT prevodi adrese za hostove smještene unutar mreže. Ključna riječ izvor znači da NAT prevodi IP adrese u paketima koji stižu na njegova interna sučelja. Ključna riječ statički znači da ove opcije definiraju statički unos koji nikada neće biti uklonjen iz NAT tablice zbog isteka vremenskog razdoblja. Prilikom kreiranja statičkih unosa NAT prijevoda, usmjerivač mora znati koja su sučelja unutra, a koja su izvana. Podnaredbe sučelja ip nat unutra I ip nat izvana identificirati svako sučelje na odgovarajući način.

Postoje dvije naredbe za pregled važnih informacija o NAT-u prikaži ip nat prijevode, prikaži ip nat statistiku.

Prva naredba ispisuje tri statička unosa NAT prijevoda stvorena u konfiguraciji. Druga naredba ispisuje statističke informacije, kao što je broj trenutno aktivnih unosa u tablici prijevoda. Ova statistika također uključuje broj pogodaka, koji se povećava za jedan za svaki paket za koji NAT treba prevesti adrese.

Prijeđimo na dinamički prijevod mrežne adrese NAT. Dinamičko prevođenje stvara skup mogućih globalnih unutarnjih adresa i definira kriterij podudaranja kako bi se odredilo koje unutarnje globalne IP adrese treba prevesti pomoću NAT-a. Na primjer, u donjem dijagramu skup od pet globalnih IP adresa postavljen je u rasponu 200.1.1.1 - 200.1.1.5. NAT prijevod također je konfiguriran za prijevod svih internih lokalnih adresa koje počinju s oktetima 10.1.1

Na konfiguriranje dinamičkog NAT prijevoda na Cisco opremi i dalje morate identificirati svako sučelje, unutarnje i vanjsko, ali više ne morate specificirati statičko mapiranje. Za određivanje privatnih IP adresa koje treba prevesti, dinamičko NAT prevođenje koristi popise kontrole pristupa (o njima sam ranije pisao), a također određuje skup registriranih javnih IP adresa koje će biti dodijeljene iz ovoga. Dakle, dinamički algoritam za postavljanje prijevoda:

1. Konfigurirajte sučelja koja će biti na unutarnjoj podmreži pomoću naredbe ip nat unutra.
2. Konfigurirajte sučelja koja će se nalaziti na vanjskoj podmreži pomoću naredbe ip nat izvana.
3. Konfigurirajte ACL koji odgovara paketima koji stižu na interna sučelja za koje treba primijeniti NAT prijevod
4. Konfigurirajte skup javnih registriranih IP adresa pomoću naredbe načina globalne konfiguracije ip nat ime bazena prva adresa zadnja adresa mrežna maska ​​podmrežna maska.
5. Omogućite dinamički NAT prijevod navođenjem u naredbi globalne konfiguracije ip nat unutar popisa izvora acl-num ime bazena

Shema će se koristiti ista kao i prošli put. Nova konfiguracija za NAT_GW usmjerivač:

NAT_GW>omogući - prijeđite na napredni način rada NAT_GW#konfiguriraj terminal - idite na način konfiguracije NAT_GW(config)#interface fa0/0 - postavljanje sučelja prema privatnoj mreži NAT_GW(config-if)#description LAN - opis sučelja NAT_GW(config-if)#ip adresa 192.168.1.1 255.255.255.0 - postavite zadani pristupnik NAT_GW(config-if)#nema isključivanja - fizički uključite sučelje NAT_GW(config-if)#ip nat unutar - konfigurirajte sučelje kao interno NAT_GW(config-if)#exit NAT_GW(config)#interface fa0/1 - postavke sučelja prema davatelju usluga NAT_GW(config-if)#opis ISP-a - opis sučelja NAT_GW(config-if)#ip adresa 100.0.0.253 255.255.255.0 - postavite Ip i masku NAT_GW(config-if)#nema isključivanja - fizički uključite sučelje NAT_GW(config-if)#ip nat izvana - konfigurirati sučelje kao vanjsko NAT_GW(config-if)#exit NAT_GW(config)#ip nat pool testPool 100.0.0.1 100.0.0.252 mrežna maska ​​255.255.255.0 - stvoriti dinamički bazen NAT_GW(config)#access-list 1 dozvola 192.168.1.1 0.0.0.255 - kreirati pristupnu listu 1, u kojoj dopuštamo emitiranje IP adresa iz podmreže 192.168.1.1/24 NAT_GW(config)#ip nat unutar popisa izvora 1 bazen testPool - uključite dinamičko emitiranje NAT_GW(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.254 - statična ruta prema pružatelju

Sljedeća vrsta prijevoda je PAT (Prijevod adrese luka). O ovoj vrsti NAT-a govorit ću u sljedećem članku, kada lokalnu podmrežu povežemo s Internetom. Tema je dosta velika i važna. PAT je najpopularniji tip NAT-a.

Podržite projekt

Prijatelji, web stranica Netcloud razvija se svaki dan zahvaljujući vašoj podršci. Planiramo pokrenuti nove dijelove članaka, kao i neke korisne usluge.

Imate priliku podržati projekt i doprinijeti bilo kojim iznosom koji smatrate prikladnim.

Ako čitate ovaj dokument, najvjerojatnije ste spojeni na Internet i koristite prijevod mrežne adrese ( Prijevod mrežne adrese, NAT) sada! Internet je postao toliko velik nego što je itko mogao zamisliti. Iako je točna veličina nepoznata, trenutna procjena je približno 100 milijuna hostova i više od 350 milijuna korisnika aktivnih na Internetu. Zapravo, stopa rasta je tolika da se Internet efektivno udvostručuje svake godine. Da bi računalo moglo komunicirati s drugim računalima i web poslužiteljima na Internetu, mora imati IP adresu. IP adresa (IP je kratica za Internet Protocol) jedinstveni je 32-bitni broj koji identificira lokaciju vašeg računala na mreži. U osnovi funkcionira kao i vaša kućna adresa: način da saznate gdje se točno nalazite i da dobijete informacije. Teoretski, možete imati 4,294,967,296 jedinstvenih adresa (2^32). Stvarni broj dostupnih adresa je manji (negdje između 3,2 i 3,3 milijarde) zbog načina na koji su adrese kategorizirane i potrebe da se neke od adresa odvoje za multicast, testiranje ili druge specifične potrebe. S porastom kućnih mreža i poslovnih mreža, broj dostupnih IP adresa više nije dovoljan. Očito rješenje je redizajnirati format adrese kako bi se omogućilo više mogućih adresa. Dakle, IPv6 protokol je u razvoju, ali će taj razvoj trajati nekoliko godina, jer zahtijeva modifikaciju cijele infrastrukture interneta.

Ovdje nam NAT dolazi u pomoć. U osnovi, prijevod mrežne adrese omogućuje jednom uređaju, kao što je usmjerivač, da djeluje kao agent između interneta (ili "javne mreže") i lokalne (ili "privatne") mreže. To znači da je samo jedna jedinstvena IP adresa potrebna za predstavljanje cijele grupe računala bilo čemu izvan njihove mreže. Nedostatak IP adresa samo je jedan od razloga za korištenje NAT-a. Druga dva dobra razloga su sigurnost i administracija.

Naučit ćete kako možete imati koristi od NAT-a, ali prvo pogledajmo pobliže NAT i vidimo što on može učiniti.

Prerušavanje

NAT je poput tajnice u velikom uredu. Recimo da ste tajnici ostavili upute da ne preusmjerava pozive na vas osim ako vi to ne zatražite. Kasnije nazovete potencijalnog klijenta i ostavite poruku da vas nazove. Kažete tajnici da očekujete poziv od ovog klijenta i da poziv treba preusmjeriti. Kupac zove broj vašeg glavnog ureda, koji je jedini broj koji zna. Kada klijent tajnici kaže koga traži, ona provjerava popis njegovih zaposlenika kako bi pronašla podudaranje između imena i njegovog kućnog broja. Tajnik zna da ste tražili ovaj poziv, pa preusmjerava pozivatelja na vaš telefon.

Tehnologiju koju je razvio Cisco, Prijevod mrežne adrese koristi uređaj (vatrozid, usmjerivač ili računalo) koji se nalazi između interne mreže i ostatka svijeta. NAT ima mnogo oblika i može raditi na nekoliko načina:

Statički NAT- Preslikavanje neregistrirane IP adrese u registriranu IP adresu na osnovi jedan-na-jedan. Osobito korisno kada uređaj mora biti dostupan izvan mreže.

U statičkom NAT-u, računalo s adresom 192.168.32.10 uvijek će biti prevedeno na adresu 213.18.123.110:

Dinamički NAT- Preslikava neregistriranu IP adresu u registriranu adresu iz grupe registriranih IP adresa. Dinamički NAT također uspostavlja izravno mapiranje između neregistrirane i registrirane adrese, ali mapiranje se može promijeniti ovisno o registriranoj adresi dostupnoj u skupu adresa tijekom komunikacije.

U dinamičkom NAT-u računalo s adresom 192.168.32.10 prevodi se na prvu dostupnu adresu u rasponu od 213.18.123.100 do 213.18.123.150

Preopterećenje je oblik dinamičkog NAT-a koji preslikava više neregistriranih adresa u jednu registriranu IP adresu koristeći različite priključke. Također poznat kao PAT (Prijevod adrese luka)

Kada je preopterećeno, svako računalo na privatnoj mreži prevodi se na istu adresu (213.18.123.100), ali s različitim brojem porta

preklapanje- Kada se IP adrese koje se koriste na vašoj internoj mreži također koriste na drugoj mreži, ruter mora voditi tablicu pretraživanja tih adresa kako bi ih mogao presresti i zamijeniti registriranim jedinstvenim IP adresama. Važno je napomenuti da NAT usmjerivač mora prevesti "unutarnje" adrese u registrirane jedinstvene adrese, a također mora prevesti "vanjske" registrirane adrese u adrese koje su jedinstvene za privatnu mrežu. To se može učiniti putem statičkog NAT-a ili možete koristiti DNS i implementirati dinamički NAT.

Primjer:
Interni IP raspon (237.16.32.xx) također je registrirani raspon koji koristi druga mreža. Stoga usmjerivač prevodi adrese kako bi izbjegao potencijalni sukob. Također će prevesti registrirane globalne IP adrese natrag u neregistrirane lokalne adrese kada se paketi pošalju na internu mrežu.

Interna mreža je obično LAN (Local Area Network), koja se najčešće naziva stub domena. Stup domena je LAN koji koristi interne IP adrese. Većina mrežnog prometa u takvoj domeni je lokalna i ne napušta unutarnju mrežu. Domena može uključivati ​​registrirane i neregistrirane IP adrese. Naravno, sva računala koja koriste neregistrirane IP adrese moraju koristiti NAT za komunikaciju s ostatkom svijeta.

NAT se može konfigurirati na različite načine. U donjem primjeru, NAT usmjerivač je konfiguriran za prevođenje neregistriranih IP adresa (lokalnih internih adresa) koje se nalaze na privatnoj (internoj) mreži u registrirane IP adrese. To se događa kad god unutarnji uređaj s neregistriranom adresom treba komunicirati s vanjskom mrežom.

NAT preopterećenje koristi značajku skupa protokola TCP/IP, kao što je multipleksiranje, koje računalu omogućuje održavanje višestrukih paralelnih veza s udaljenim računalom pomoću različitih TCP ili UDP priključaka. IP paket ima zaglavlje koje sadrži sljedeće informacije:

• Izvorna adresa - IP adresa izvornog računala, na primjer, 201.3.83.132.
• Izvorni port - broj TCP ili UDP porta koji je dodijelilo izvorno računalo za ovaj paket, na primjer, port 1080.
• Odredišna adresa - IP adresa računala primatelja. Na primjer, 145.51.18.223.
• Odredišni port - broj TCP ili UDP porta, koji traži otvaranje izvornog računala na aplikaciji, na primjer, port 3021.

IP adrese identificiraju dva stroja sa svake strane, dok brojevi portova osiguravaju da veza između dva stroja ima jedinstveni identifikator. Kombinacija ova četiri broja definira jednu TCP/IP vezu. Svaki broj priključka koristi 16 bitova, što znači da postoji 65 536 (2^16) mogućih vrijednosti. U stvarnosti, budući da različiti proizvođači mapiraju priključke na malo drugačije načine, možete očekivati ​​približno 4000 dostupnih priključaka.

Primjeri dinamičkog NAT-a i NAT-a s preopterećenjem

Sljedeće pokazuje kako radi dinamički NAT.

Kliknite na jedan od zelenih gumba za slanje uspješnog paketa na ili iz interne mreže. Pritisnite jedan od crvenih gumba za slanje paketa, koji će usmjerivač odbaciti zbog nevažeće adrese.

• interni je postavljen s IP adresama koje IANA (Internet Assigned Assigned Oversight Authority), globalni ured koji distribuira IP adrese, nije posebno rezervirao za ovu tvrtku. Takve adrese treba smatrati neusmjerivačima jer nisu jedinstvene. Ovo su interne lokalne adrese.
• tvrtka instalira router s NAT-om. Usmjerivač ima niz jedinstvenih IP adresa dodijeljenih tvrtki. Ovo su interne globalne adrese.
• računalo na LAN-u pokušava se povezati s računalom izvan mreže, poput web poslužitelja.
• ruter prima paket od računala na LAN-u.
• Nakon provjere tablice usmjeravanja i postupka provjere prijevoda, usmjerivač pohranjuje adresu računala koja se ne može usmjeravati u tablicu prijevoda adresa. Usmjerivač zamjenjuje neusmjerivačku adresu računala pošiljatelja prvom dostupnom IP adresom u nizu jedinstvenih adresa. Tablica prevođenja sada ima prikaz IP adrese računala koja se ne može usmjeravati, a koja odgovara jednoj od jedinstvenih IP adresa.
• Kada se paket vrati s odredišnog računala, usmjerivač provjerava odredišnu adresu na paketu. Zatim gleda u tablicu prijevoda adresa kako bi pronašao kojem računalu u domeni pripada dani paket. Mijenja odredišnu adresu onom prethodno pohranjenom u tablici prevođenja i šalje paket na ispravno računalo. Ako usmjerivač ne pronađe podudaranje u tablici, odbacuje paket.
• Računalo prima paket od routera i cijeli proces se ponavlja dok računalo komunicira s vanjskim sustavom.

Zatim, da vidimo kako radi preopterećenje.

• Interna mreža postavljena je s IP adresama koje se ne mogu usmjeravati i koje nisu bile posebno rezervirane za tvrtku
• tvrtka instalira router s NAT-om. Usmjerivač ima jedinstvenu IP adresu koju izdaje IANA
• računalo u domeni pokušava se povezati s računalom izvan mreže, poput web poslužitelja.
• usmjerivač prima paket od računala u domeni.
• Nakon usmjeravanja i provjere valjanosti paketa za izvođenje prijevoda, usmjerivač pohranjuje IP adresu računala koja se ne može usmjeravati i broj porta u tablicu prijevoda. Usmjerivač zamjenjuje IP adresu računala pošiljatelja koja se ne može usmjeravati IP adresom usmjerivača. Usmjerivač zamjenjuje ulaz izvornog računala pošiljatelja nekim nasumičnim brojem porta i pohranjuje ga u tablicu prijevoda adresa za tog pošiljatelja. Tablica prevođenja ima prikaz IP adrese računala koja se ne može usmjeravati i broja porta zajedno s IP adresom usmjerivača.
• Kada se paket vrati s odredišta, usmjerivač provjerava port odredišta u paketu. Zatim gleda u tablicu prijevoda kako bi pronašao kojem računalu u domeni paket pripada. Zatim usmjerivač mijenja adresu primatelja i priključak primatelja na vrijednosti koje su prethodno bile pohranjene u tablici prijevoda i šalje paket do krajnjeg čvora.
• računalo prima paket od usmjerivača i proces se ponavlja
• Budući da NAT usmjerivač sada ima izvornu adresu računala i izvorni port spremljen u tablici prijevoda, nastavit će koristiti isti broj porta za sljedeće veze. Svaki put kada usmjerivač pristupi unosu u tablici prijevoda, mjerač vremena trajanja unosa se poništava. Ako se unosu ne pristupi prije isteka vremena, on se uklanja iz tablice

Broj simultanih prijevoda koje će usmjerivač podržavati uglavnom je određen količinom DRAM-a (Dynamic Random Access Memory). Budući da tipični unos tablice prijevoda iznosi približno 160 bajtova, usmjerivač s 4 MB RAM-a teoretski može podnijeti 26214 istodobnih veza, što je više nego dovoljno za većinu aplikacija.

Sigurnost i administracija

Implementacija dinamičkog NAT-a automatski stvara vatrozid između vaše unutarnje mreže i vanjskih mreža ili interneta. Dinamički NAT dopušta samo veze koje potječu iz lokalne mreže. U biti, to znači da se računalo na vanjskoj mreži ne može povezati s vašim računalom osim ako vaše računalo nije pokrenulo vezu. Tako možete surfati webom i spojiti se na web mjesto, pa čak i učitati datoteku. Ali nitko drugi ne može samo pronjuškati vašu IP adresu i upotrijebiti je za povezivanje s portom na vašem računalu.

Statički NAT, koji se naziva i ulazno mapiranje, dopušta veze koje iniciraju vanjski uređaji s računalima na LAN-u pod određenim okolnostima. Na primjer, možete preslikati internu globalnu adresu na određenu internu lokalnu adresu koja je dodijeljena vašem web poslužitelju.

Statički NAT omogućuje računalu na LAN-u da zadrži određenu adresu dok komunicira s uređajima izvan mreže:

Neki NAT usmjerivači pružaju opsežno filtriranje prometa i bilježenje. Filtriranje omogućuje vašoj tvrtki da kontrolira koja web-mjesta zaposlenici posjećuju, sprječavajući ih da pregledaju sumnjiv materijal. Zapisivanje prometa možete koristiti za izradu dnevnika posjećenih stranica i generiranje raznih izvješća na temelju toga.

Ponekad se prijevod mrežne adrese miješa s proxy poslužiteljima, gdje postoje određene razlike. NAT je transparentan za izvorna i odredišna računala. Nitko od njih ne zna da se radi o trećem uređaju. Ali proxy poslužitelj nije transparentan. Izvorno računalo zna da upućuje zahtjev proxyju. Odredišno računalo misli da je proxy poslužitelj izvorno računalo i radi izravno s njim. Također, proxiji obično rade na sloju 4 (transport) OSI modela ili višem, dok je NAT sloj 3 (mrežni) protokol. Rad na višim razinama čini proxy poslužitelje sporijima od NAT uređaja u većini slučajeva.

U našim se stanovima pojavljuje sve više različitih digitalnih uređaja - prijenosnih računala, tableta i pametnih telefona. Dok je računalo u stanu bilo samo i spojeno direktno na mrežu provajdera, nije bilo pitanja. I sada, kada imate problem - kako sada spojiti novi laptop ili tablet na internet. Ovdje uskače pomoć. NAT tehnologija. Što je bit NAT tehnologije?
NAT — Prijevod mrežne adrese - prevedeno na ruski zvuči otprilike ovako: "pretvorba mrežne adrese". NAT je mehanizam u TCP/IP mrežama koji vam omogućuje prevođenje IP adresa tranzitnih paketa.
Jednostavno rečeno, ako postoji nekoliko računala u lokalnoj mreži, onda zahvaljujući tehnologiji NAT svi oni mogu pristupiti vanjskoj Internet mreži koristeći jedan vanjski IP adresa (IP).

Što je IP adresa?

ruter — ruter- radi na trećoj razini OSI sustava, odnosno koristi se IP protokol je usmjerivački protokol mrežnog sloja TCP/IP skupa. Sastavni dio protokola je mrežno adresiranje. Sukladno postojećim pravilima - svi uređaji u mreži su dodijeljeni IP adrese (IP adrese) su jedinstveni mrežni identifikatori adrese glavnog računala. Postoje 2 vrste IP adresa koje se koriste − siva I bijela. Sive adrese- ovo je dio adresnog prostora koji je dodijeljen lokalnoj mreži - podmreže IP adresa 10.0.0.0/8, 172.16.0.0/12 ili 192.168.0.0/16 . Sve ostale podmreže koristi internet i nalaze se na bijelom popisu IP adresa.

Kako dijeliti internet s uređajima na vašoj mreži.

Kako biste sve uređaje u lokalnoj mreži povezali s internetom, potrebno vam je ruter. ruter je uređaj koji se može spojiti na internet putem mreže davatelja usluga i distribuirati ga povezanim uređajima s obzirom na to da ima najmanje 4 LAN priključka i Wi-Fi modul. Nemojte brkati usmjerivač s jednostavnim Ethernet preklopnikom, koji je u biti glupi mrežni "razdjelnik". Zbog činjenice da je na usmjerivaču instaliran operacijski sustav nalik UNIX-u, na uređaju se mogu pokrenuti razne usluge, uključujući NAT usluga. Da biste to učinili, prilikom konfiguriranja usmjerivača označite okvir Omogući NAT .

Tako ruter za svaki zahtjev koji prođe kroz njega stavlja određenu oznaku koja sadrži podatke o pošiljatelju na lokalnoj mreži. Kada se na ovaj zahtjev odgovori, ruter by label određuje na koju IP adresu u lokalnoj mreži poslati paket. To je zapravo sve ukratko kako NAT tehnologija radi.

Pozdrav svima, danas ćemo govoriti o tome kako konfigurirati Cisco NAT. Što je NAT i zašto je uopće potreban, budući da je ova funkcionalnost dugo i čvrsto ušla u naš svakodnevni život i sada je vrlo teško zamisliti barem jedno poduzeće koje ne bi koristilo ovu tehnologiju. Svojedobno je spasila internet i uvelike odgodila prijelaz s ipv4 na ipv6, ali po redu.

Što je NAT

NAT (Network Address Translation) je mehanizam za prevođenje mrežne adrese, ako je jednostavan, to je tehnologija koja omogućuje gomili privatnih ili sivih IP adresa da sjednu iza jedne bijele IP adrese. Primjer je uredski internet, gdje svi korisnici sjede preko zajedničkog gatewaya, na kojem je konfigurirana ip adresa koja ide na internet, da korisnici imaju konfigurirane lokalne ip adrese.

Otprilike ovako izgleda

Vrste NAT-a

• Statički NAT - pretvaranje sive ip u bijelu, primjer prosljeđivanja porta na lokalnu mrežu, na primjer RDP
• Dinamički NAT - transformacija sive ip adrese u jednu od ip adresa grupe bijelih ip adresa
• Preopterećeni NAT ili kako se još naziva PAT (prevod adrese porta), pretvara nekoliko sivih IP adresa u bijele, dajući im različite portove.

Danas ćemo pogledati statički NAT i PAT.

Konfiguriranje Cisco NAT-a

Ovako izgleda raspored malog ureda. Imamo 3 računala u vlanu 2, postoji poslužitelj u zasebnom vlanu 3. Sve te stvari povezane su s cisco 2660 preklopnikom druge razine, koji je pak priključen na usmjerivač Cisco 1841 koji usmjerava lokalni promet između vlan 2 i 3.

Konfiguracija Cisco 2960

Kreirajmo vlan 2 i vlan3, dajmo im imena i konfigurirajmo potrebne portove za te vlan-ove.

omogućiti
konf t
stvoriti vlan 2
vlan 2
ime VLAN2
Izlaz
stvoriti vlan 3
vlan 3
ime VLAN3
Izlaz
Stavili smo portove u vlan2
unutarnje područje fa0/1-3
pristup načinu switchport
switchport pristup vlan 2
Izlaz
Stavili smo port u vlan3
int fa 0/4
pristup načinu switchport
switchport pristup vlan 3
Izlaz

int fa 0/5
switchport mode trunk
switchport trunk dozvoljen vlan 2.3
do wr mem

Konfiguracija Cisco 1841

Prije svega, kreirajmo podsučelja i podignimo port.

omogućiti
konf t
int fa0/0
nema gašenja
Izlaz

intfa0/0,2
inkapsulacija dot1Q 2
ip adresa 192.168.2.251 255.255.255.0
nema gašenja
Izlaz

intfa0/0,3
inkapsulacija dot1Q 3
ip adresa 192.168.3.251 255.255.255.0
nema gašenja
Izlaz

Zbog toga je luka postala zelena

PAT postavljanje

U mojoj virtualnoj infrastrukturi, nažalost, naša shema se ne može objaviti na Internetu, mi ćemo je emulirati, imat ćemo router s bijelom ip adresom i server također s bijelom ip adresom. Shematski, to izgleda ovako. Na usmjerivaču pružatelja usluga bijela IP adresa 213.235.1.1 i mrežna maska ​​255.255.255.252 dodijeljene su određenom priključku

Konfigurirajmo ovu IP adresu na usmjerivaču našeg provajdera.

hr
konf t
int fa0/0
ip adresa 213.235.1.1 255.255.255.252
nema gašenja
Izlaz

konfigurirati port fa0/1 koji gledamo na poslužitelju i postaviti ga na drugi bijeli ip 213.235.1.25 255.255.255.252

int fa0/1
ip adresa 213.235.1.25 255.255.255.252
nema gašenja
Izlaz

Moj poslužitelj će imati IP adresu 213.235.1.26, a pristupnik će biti 213.235.1.25, sučelje usmjerivača pružatelja koji gleda na poslužitelj.

Sada konfigurirajmo naš lokalni usmjerivač Router0, konfigurirajmo bijelu ip adresu koju nam je dodijelio pružatelj usluga 213.235.1.2 255.255.255.252, pristupnik će biti 213.235.1.1

omogućiti
konf t
int fa0/1
ip adresa 213.235.1.2 255.255.255.252
nema gašenja
Izlaz
ip ruta 0.0.0.0 0.0.0.0 213.235.1.1
Izlaz
wr mem

Pokušavamo pingati IP adrese davatelja i poslužitelja s uredskog usmjerivača i vidimo da sve radi u redu.

Usmjerivač#ping 213.235.1.1

Stopa uspješnosti je 80 posto (4/5), povratni put min/prosjek/maks = 0/0/0 ms

Usmjerivač#ping 213.235.1.1

Upišite izlazni niz za prekid.

Slanje 5, 100-bajtnih ICMP odjeka na 213.235.1.1, vrijeme čekanja je 2 sekunde:

Stopa uspjeha je 100 posto (5/5), min./pros./maks. = 0/0/1 ms

Usmjerivač#ping 213.235.1.2

Upišite izlazni niz za prekid.

Slanje 5, 100-bajtnih ICMP odjeka na 213.235.1.2, vrijeme čekanja je 2 sekunde:

Stopa uspješnosti je 100 posto (5/5), povratni min/prosjek/maks = 0/9/17 ms

Usmjerivač#ping 213.235.1.25

Upišite izlazni niz za prekid.

Slanje 5, 100-bajtnih ICMP odjeka na 213.235.1.25, vrijeme čekanja je 2 sekunde:

Usmjerivač#ping 213.235.1.26

Upišite izlazni niz za prekid.

Slanje 5, 100-bajtnih ICMP odjeka na 213.235.1.26, vrijeme čekanja je 2 sekunde:

Stopa uspjeha je 100 posto (5/5), min./pros./maks. = 0/0/0 ms

Pa i sam nating. Na lokalnom usmjerivaču učinite sljedeće. Sada treba namjestiti koje će se nat sučelje smatrati vanjskim, a koje internim, sve će jednostavno biti eksterno gdje je bijela ip adresa provajdera konfigurirana, interno je ono što je spojeno na prekidač druge razine. fa0/1 će biti vanjski, a dva podsučelja će biti interna.

omogućiti
konf t
int fa0/1
ip nat izvana
Izlaz
intfa0/0,2
ip nat unutra
intfa0/0,3
ip nat unutra
Izlaz

Prilagodba popisa pristupa

Pristupna lista popis koji promet treba natirati i koji bi trebao raditi bez NAT-a.

Napravite pristupnu listu pod nazivom NAT

ip pristupna lista standardni NAT
Dozvolite dva bazena
dozvola 192.168.2.0 0.0.0.255
dozvola 192.168.3.0 0.0.0.255

0.0.0.255 su zamjenski znakovi

kao što vidite, imamo popis pristupa u konfiguraciji i portovi su označeni koji su vanjski, a koji unutrašnji.

I unosimo još jednu čarobnu naredbu, gdje piše da promet koji je došao na fa0 / 1 treba natirati prema NAT pravilu. Kao rezultat toga, konfigurirali smo PAT.

ip nat unutar popisa izvora NAT sučelje fa0/1 preopterećenje

Spremi sve do wr mem

provjeriti dostupnost vanjskih resursa s računala lokalne mreže. Pogledajmo trenutne konfiguracije s naredbom ipconfig, vidi ip adresu 192.168.2.1, ping 213.235.1.26, kao što vidite sve je u redu i NAT cisco radi.