Čo je NAT na smerovači? Princíp činnosti smerovača (smerovača) Prostriedky nat.

Čo je NAT

Váš počítač môže byť priamo pripojený k internetu. Potom hovoria, že on externé IP adresa.

Zvyčajne to znamená, že počítač je pripojený priamo k modemu (DSL, káblovému alebo bežnému analógovému).

Za NAT znamená, že váš počítač nie je pripojený k internetu, ale k lokálnej sieti. Potom má interiéru IP adresa, ktorá nie je dostupná z internetu.

Váš počítač získa prístup na internet cez NAT - proces prekladu interných adries na externé a naopak. Zariadenie NAT sa bežne označuje ako smerovač.

Špecifikom fungovania NAT je, že pripojenia iniciované vaším počítačom transparentne prechádzajú cez zariadenie NAT na internet. Spojenia, ktoré by s vami chceli vytvoriť iné počítače z internetu, sa k vám však nedostanú.

Nájdenie IP adresy počítača

Spustiť"> Otvorte dialógové okno pre spustenie programov: kliknite na tlačidlo Štart, z ponuky vyberte položku Spustiť.

Vo Windows 2000/XP zadajte cmd /k ipconfig , kliknite na OK a pozrite sa na výsledok.

Konfigurácia IP systému Windows 2000 Ethernetový adaptér Pripojenie k miestnej sieti: Prípona DNS špecifická pre pripojenie . : IP adresa. . . . . . . . . . . . : 192.168.1.10 Maska podsiete . . . . . . . . . . . : 255.255.255.0 Predvolená brána . . . . . . . . . : 192.168.1.1

Prvá z týchto adries je IP adresa vášho počítača.

Ste za NAT?

Tri špeciálne rozsahy IP adries sú vyhradené pre lokálne siete a nepoužívajú sa na internete:

10. 0. 0. 0 - 10. 255.255.255 172. 16. 0. 0 - 172. 31.255.255 192.168. 0. 0 - 192.168.255.255

Ak je adresa IP vášho počítača v jednom z týchto rozsahov, to znamená, že začína 10 alebo 192.168. alebo od 172.nn. (kde nn je od 16 do 31) , tak toto je lokálna (interná) adresa a určite ste za NAT.

Ak nie, teraz skontrolujte, pod akou IP adresou vás vidia ostatné počítače na internete. Napríklad whatsmyip.org ("Vaša IP adresa je x.x.x.x" v hornej časti stránky) alebo myipaddress.com .

Ak sa IP adresa vášho počítača zhoduje s adresou zobrazenou na niektorej z týchto stránok, potom ste určite priamo pripojení k internetu.

V iných prípadoch sa to s istotou povedať nedá. Možné sú nasledujúce možnosti:

• ste za NAT, ale správca siete vybral pre vašu lokálnu sieť neštandardné interné adresy. Nájdite to a opýtajte sa, prečo to bolo potrebné urobiť.
• pristupujete na internet cez proxy server (potom vám whatsmyip.org ukázal adresu tohto proxy servera). V mnohých prípadoch môžete zistiť, či medzi vami a internetom existuje proxy server, napríklad pomocou lagado.com/proxy-test .

  Pripojenie cez proxy nie je zahrnuté v tejto príručke..

Možnosti pripojenia cez NAT

Ak ste za NAT, ďalším krokom je presne určiť, kde sa zariadenie NAT nachádza.

Poskytovateľ NAT

Potom to hovoria
• ISP vám poskytuje internet cez NAT,
• alebo akého poskytovateľa vám neposkytne externú IP adresu,
• alebo že ste pripojení prostredníctvom lokálnej siete poskytovateľa

Najjednoduchšie je zavolať poskytovateľovi a zistiť. Alebo sa spýtajte informovaných susedov s rovnakým pripojením.

Keď sa pripájate na internet cez lokálnu sieť poskytovateľa, nemôžete si vytvoriť dostupný port. Pokiaľ vám, samozrejme, poskytovateľ konkrétne nepresmeruje konkrétny port, čo je nereálne. Alebo ak si nepriplatíte za službu bežne nazývanú „vonkajšia“ („biela“) IP adresa.

NAT v kancelárii alebo bytovom dome

V zásade je situácia rovnaká, ale prístupy môžete hľadať u miestneho správcu. V konečnom dôsledku rozhodnutie o dostupnosti portu závisí od toho, či máte prístup k nastaveniam smerovača.

Okrem toho mozes skusit aj UPnP, zrazu to router nechal povolene.

NAT svoj vlastný

V tomto prípade ho môžete takmer vždy nakonfigurovať a získať dostupný port.

Zvyčajne ide buď o pripojenie cez domáci smerovač, alebo o pripojenie cez iný počítač, napríklad pomocou ICS (druhá možnosť sa tu neuvažuje).

Samozrejme, v zásade sa tiež stáva, že váš domov aj poskytovateľ majú NAT, to znamená, že váš počítač je za dvoma NATmi naraz. Môžete to skontrolovať tak, že prejdete do nastavení smerovača, pozriete sa na jeho externú adresu a potom budete postupovať podľa vyššie uvedeného scenára (či toto rozsahy adries lokálnych sietí, či sa zhoduje s adresou, pod ktorou vás vidno na internete).

NAT (Network address translation) je technológia prekladu sieťových adries. NAT vyriešil najväčší problém IPv4: do polovice 90-tych rokov mohol byť adresný priestor IPv4 úplne vyčerpaný. Ak by technológia NAT nebola vynájdená, rast internetu by sa značne spomalil. Samozrejme, dnes vznikla nová verzia IP protokolu IPv6. Táto verzia podporuje obrovské množstvo IP adries, takže existencia NAT nemá zmysel. Pomerne veľa organizácií však pri svojej práci stále používa protokol IPv4 a úplný prechod na IPv6 sa čoskoro neuskutoční. Preto má zmysel študovať technológiu NAT.

Network Address Translation (NAT) umožňuje hostiteľovi, ktorý nemá bielu IP, komunikovať s inými hostiteľmi cez internet. Biela IP adresa je registrovaná, jedinečná, globálna IP adresa na internete. Existujú aj sivé IP adresy, ktoré sa používajú v súkromnej sieti a nie sú smerovateľné na internete. Preto je potrebná technológia NAT, ktorá sivú IP adresu nahradí bielou. Rozsah sivých IP adries je uvedený v tabuľke.

Preklad NAT nahrádza súkromné ​​adresy IP verejnými registrovanými adresami IP v každom pakete protokolu IP.

Prostredníctvom prekladu NAT router zmení zdrojovú IP adresu, keď paket opustí privátnu sieť. Smerovač tiež mení cieľovú adresu každého paketu, ktorý sa vracia do súkromnej siete. Softvér Cisco IOS podporuje niekoľko variant prekladu NAT:

1. Static NAT – Každá súkromná IP adresa má jednu verejnú IP. So statickým prekladom NAT router jednoducho vytvorí individuálnu korešpondenciu medzi súkromnou IP adresou a registrovanou IP adresou, v mene ktorej koná.
2. Dynamický preklad NAT - konverzia interných IP adries na externé prebieha dynamicky. Vytvorí sa skupina možných verejných IP adries a z tejto oblasti sa dynamicky vyberú adresy IP na preklad.
3. Port Address Translation PAT – umožňuje vám škálovať na podporu mnohých klientov len s niekoľkými verejnými IP adresami. PAT prekladá sieťovú adresu v závislosti od TCP/UDP portu príjemcu.

Pozrime sa bližšie na jednotlivé typy prekladov.

Statický preklad NAT vytvorí presnú zhodu medzi súkromnou a verejnou IP adresou. Pozrime sa na príklad.

ISP spoločnosti pridelí spoločnosti registrované číslo siete 200.1.1.0. V súlade s tým musí smerovač NAT túto súkromnú adresu zobraziť tak, ako keby bola v sieti 200.1.1.0. Za týmto účelom router zmení zdrojovú IP adresu paketov, ktoré sa preposielajú zľava doprava, ako je znázornené na obrázku. V tomto príklade router zmení súkromnú IP adresu 10.1.1.1 na verejnú IP adresu 200.1.1.1. Druhá súkromná adresa 10.1.1.2 zodpovedá verejnej adrese 200.1.1.2. Ďalej zvážte konfiguráciu statického NAT v Cisco.

Konfigurácia statického prekladu NAT na zariadeniach Cisco v porovnaní s inými možnosťami vyžaduje najmenej akcií. V tomto prípade musíte vytvoriť korešpondenciu medzi lokálnymi (súkromnými) a globálnymi (verejnými) IP adresami. Smerovaču tiež musíte povedať, na ktorých rozhraniach má používať preklad NAT, pretože nemusí byť povolený na všetkých rozhraniach. Predovšetkým treba smerovaču povedať každému rozhraniu a či je interné alebo externé.

Diagram ukazuje, že používateľ dostal od poskytovateľa sieťovú adresu triedy C 100.0.0.0. Celá táto sieť s maskou 255.255.255.0 je nakonfigurovaná na sériovom kanáli medzi používateľom a internetom. Keďže ide o prepojenie bod-bod, v tejto sieti sa používajú iba 2 z 254 platných (možných) adries IP.

Konfigurácia pre smerovač NAT_GW:

NAT_GW>povoliť NAT_GW#konfigurovať terminál - popis rozhrania - nastaviť predvolenú bránu - popis rozhrania - nastavte IP a masku NAT_GW(config-if)#žiadne vypnutie - zapnúť rozhranie fyzicky NAT_GW(config-if)#exit NAT_GW(config)#ip nat vnútri zdroja statický 192.168.1.2 100.0.0.1 NAT_GW(config)#ip nat vnútri zdroja statický 192.168.1.3 100.0.0.2 - priraďovanie statických adries NAT_GW(config)#ip nat vnútri zdroja statické 192.168.1.4 100.0.0.3 - priraďovanie statických adries

Pomocou príkazu sa vytvárajú statické zhody ip nat vnútri zdroja statické. Kľúčové slovo vnútri znamená, že NAT prekladá adresy pre hostiteľov umiestnených vo vnútri siete. Kľúčové slovo zdroj znamená, že NAT prekladá IP adresy v paketoch prichádzajúcich na jeho interné rozhrania. Kľúčové slovo statické znamená, že tieto voľby definujú statickú položku, ktorá nebude nikdy odstránená z tabuľky NAT z dôvodu uplynutia určitého časového obdobia. Pri vytváraní statických prekladových záznamov NAT musí smerovač vedieť, ktoré rozhrania sú vnútri a ktoré vonku. Čiastkové príkazy rozhrania ip nat vo vnútri A ip nat vonku vhodne identifikovať každé rozhranie.

Existujú dva príkazy na zobrazenie dôležitých informácií o NAT zobraziť preklady ip nat, zobraziť štatistiky ip nat.

Prvý príkaz vypíše tri statické prekladové položky NAT vytvorené v konfigurácii. Druhý príkaz vytlačí štatistické informácie, ako napríklad počet aktuálne aktívnych záznamov v prekladovej tabuľke. Táto štatistika zahŕňa aj počet zásahov, ktorý sa zvyšuje o jeden pre každý paket, pre ktorý NAT potrebuje preložiť adresy.

Prejdime k dynamický preklad sieťových adries NAT. Dynamický preklad vytvára skupinu možných globálnych vnútorných adries a definuje kritérium zhody na určenie, ktoré vnútorné globálne adresy IP by sa mali preložiť pomocou NAT. Napríklad v nižšie uvedenom diagrame je skupina piatich globálnych IP adries nastavená v rozsahu 200.1.1.1 - 200.1.1.5. Preklad NAT je tiež nakonfigurovaný na preklad všetkých interných lokálnych adries, ktoré začínajú oktetom 10.1.1

O konfigurácia dynamického prekladu NAT na zariadeniach Cisco stále musíte identifikovať každé rozhranie, interné aj externé, ale už nemusíte špecifikovať statické mapovanie. Na zadanie súkromných IP adries, ktoré sa majú preložiť, dynamický preklad NAT používa zoznamy riadenia prístupu (o nich som písal vyššie) a tiež určuje okruh registrovaných verejných IP adries, ktoré sa z nich pridelia. Takže algoritmus nastavenia dynamického prekladu:

1. Pomocou príkazu nakonfigurujte rozhrania, ktoré budú na internej podsieti ip nat vo vnútri.
2. Pomocou príkazu nakonfigurujte rozhrania, ktoré sa budú nachádzať na externej podsieti ip nat vonku.
3. Nakonfigurujte ACL zodpovedajúci paketom prichádzajúcim na interné rozhrania, pre ktoré by sa mal použiť preklad NAT
4. Nakonfigurujte oblasť verejných registrovaných IP adries pomocou príkazu režimu globálnej konfigurácie ip nat názov fondu prvá adresa posledná adresa maska ​​siete maska ​​podsiete.
5. Povoľte dynamický preklad NAT zadaním v príkaze globálnej konfigurácie ip nat vnútri zdrojového zoznamu acl-num pool-name

Schéma sa použije rovnako ako naposledy. Nová konfigurácia pre smerovač NAT_GW:

NAT_GW>povoliť - prepnúť do pokročilého režimu NAT_GW#konfigurácia terminálu - prejdite do konfiguračného režimu NAT_GW(config)#rozhranie fa0/0 - nastavenie rozhrania smerom k súkromnej sieti NAT_GW(config-if)#popis LAN - popis rozhrania NAT_GW(config-if)#ip adresa 192.168.1.1 255.255.255.0 - nastaviť predvolenú bránu NAT_GW(config-if)#žiadne vypnutie - zapnúť rozhranie fyzicky NAT_GW(config-if)#ip nat vnútri - nakonfigurovať rozhranie ako interné NAT_GW(config-if)#exit NAT_GW(config)#rozhranie fa0/1 - nastavenia rozhrania smerom k poskytovateľovi NAT_GW(config-if)#popis ISP - popis rozhrania NAT_GW(config-if)#ip adresa 100.0.0.253 255.255.255.0 - nastavte IP a masku NAT_GW(config-if)#žiadne vypnutie - zapnúť rozhranie fyzicky NAT_GW(config-if)#ip nat vonku - nakonfigurovať rozhranie ako externé NAT_GW(config-if)#exit NAT_GW(config)#ip nat pool testPool 100.0.0.1 100.0.0.252 maska ​​siete 255.255.255.0 - vytvorte dynamický bazén NAT_GW(config)#access-list 1 povolenie 192.168.1.1 0.0.0.255 - vytvoriť prístupový zoznam 1, v ktorom povolíme vysielanie IP adries z podsiete 192.168.1.1/24 NAT_GW(config)#ip nat vnútri zdrojového zoznamu 1 pool testPool - zapnúť dynamické vysielanie NAT_GW(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.254 - statická cesta smerom k poskytovateľovi

Ďalším typom prekladu je PAT (Port Address Translation). O tomto type NAT sa porozprávam v ďalšom článku, keď pripojíme lokálnu podsieť na internet. Téma je dosť rozsiahla a dôležitá. PAT je najpopulárnejší typ NAT.

Podporte projekt

Priatelia, webová stránka Netcloud sa vyvíja každý deň vďaka vašej podpore. Plánujeme spustiť nové sekcie článkov, ako aj niektoré užitočné služby.

Máte možnosť podporiť projekt a prispieť sumou, ktorú uznáte za vhodné.

Ak čítate tento dokument, s najväčšou pravdepodobnosťou ste pripojení na internet a používate preklad sieťových adries ( Preklad sieťových adries, NAT) práve teraz! Internet sa stal takým obrovským, ako si ktokoľvek dokáže predstaviť. Hoci presná veľkosť nie je známa, súčasný odhad je približne 100 miliónov hostiteľov a viac ako 350 miliónov používateľov aktívnych na internete. V skutočnosti je tempo rastu také, že internet sa každým rokom efektívne zdvojnásobuje. Aby mohol počítač komunikovať s inými počítačmi a webovými servermi na internete, musí mať IP adresu. IP adresa (IP je skratka pre internetový protokol) je jedinečné 32-bitové číslo, ktoré identifikuje umiestnenie vášho počítača v sieti. V podstate to funguje rovnako ako vaša adresa: spôsob, ako presne zistiť, kde sa nachádzate, a dostať k vám informácie. Teoreticky môžete mať 4 294 967 296 jedinečných adries (2^32). Skutočný počet dostupných adries je menší (niekde medzi 3,2 a 3,3 miliardami) kvôli spôsobu kategorizácie adries a potrebe vyčleniť niektoré adresy na multicast, testovanie alebo iné špecifické potreby. S nárastom domácich sietí a podnikových sietí už počet dostupných IP adries nestačí. Samozrejmým riešením je prepracovať formát adresy tak, aby umožňoval viac možných adries. Protokol IPv6 sa teda vyvíja, no tento vývoj bude trvať niekoľko rokov, pretože si vyžaduje úpravu celej infraštruktúry internetu.

Tu nám prichádza na pomoc NAT. Preklad sieťových adries v podstate umožňuje jedinému zariadeniu, napríklad smerovaču, pôsobiť ako agent medzi internetom (alebo „verejnou sieťou“) a miestnou (alebo „súkromnou“) sieťou. To znamená, že na reprezentáciu celej skupiny počítačov pre čokoľvek mimo ich siete je potrebná iba jedna jedinečná adresa IP. Nedostatok IP adries je len jedným z dôvodov, prečo používať NAT. Dva ďalšie dobré dôvody sú bezpečnosť a správa.

Dozviete sa o tom, ako môžete využiť NAT, ale najprv sa pozrime bližšie na NAT a uvidíme, čo dokáže.

Maskovanie

NAT je ako sekretárka vo veľkej kancelárii. Povedzme, že ste sekretárke nechali pokyny, aby na vás nepresmerovala žiadne hovory, pokiaľ o to nepožiadate. Neskôr zavoláte potenciálnemu klientovi a necháte mu odkaz, aby vám zavolal späť. Poviete sekretárke, že očakávate hovor od tohto klienta a hovor je potrebné prepojiť. Zákazník zavolá na číslo vašej hlavnej kancelárie, čo je jediné číslo, ktoré pozná. Keď klient povie sekretárke, koho hľadá, sekretárka skontroluje jeho zoznam zamestnancov, aby našla zhodu medzi menom a číslom jeho pobočky. Sekretárka vie, že ste si tento hovor vyžiadali, a tak prepojí volajúceho na váš telefón.

Technológiu Network Address Translation, vyvinutú spoločnosťou Cisco, používa zariadenie (firewall, smerovač alebo počítač), ktoré je umiestnené medzi internou sieťou a zvyškom sveta. NAT má mnoho foriem a môže fungovať niekoľkými spôsobmi:

Statický NAT- Mapovanie neregistrovanej IP adresy na registrovanú IP adresu na princípe jedna ku jednej. Užitočné najmä vtedy, keď má byť zariadenie prístupné mimo siete.

V statickom NAT bude počítač s adresou 192.168.32.10 vždy preložený na adresu 213.18.123.110:

Dynamický NAT- Mapuje neregistrovanú IP adresu na registrovanú adresu zo skupiny registrovaných IP adries. Dynamic NAT tiež vytvára priame mapovanie medzi neregistrovanou a registrovanou adresou, ale mapovanie sa môže meniť v závislosti od registrovanej adresy dostupnej v oblasti adries počas komunikácie.

V dynamickom NAT je počítač s adresou 192.168.32.10 preložený na prvú dostupnú adresu v rozsahu 213.18.123.100 až 213.18.123.150

Preťaženie je forma dynamického NAT, ktorá mapuje viacero neregistrovaných adries na jednu registrovanú IP adresu pomocou rôznych portov. Tiež známy ako PAT (Port Address Translation)

Pri preťažení sa každý počítač v súkromnej sieti preloží na rovnakú adresu (213.18.123.100), ale s iným číslom portu

prekrývať- Ak sa adresy IP používané vo vašej internej sieti používajú aj v inej sieti, smerovač musí uchovávať vyhľadávaciu tabuľku týchto adries, aby ich mohol zachytiť a nahradiť registrovanými jedinečnými adresami IP. Je dôležité si uvedomiť, že smerovač NAT musí preložiť „vnútri“ adresy na registrované jedinečné adresy a musí tiež preložiť „vonkajšie“ registrované adresy na adresy, ktoré sú jedinečné pre súkromnú sieť. Dá sa to urobiť buď prostredníctvom statického NAT, alebo môžete použiť DNS a implementovať dynamický NAT.

Príklad:
Interný rozsah IP (237.16.32.xx) je tiež registrovaný rozsah používaný inou sieťou. Preto router prekladá adresy, aby sa predišlo možnému konfliktu. Pri odosielaní paketov do internej siete tiež preloží registrované globálne IP adresy späť na neregistrované lokálne adresy.

Interná sieť je zvyčajne LAN (Local Area Network), najčastejšie označovaná ako stub doména. Stub doména je sieť LAN, ktorá používa interné adresy IP. Väčšina sieťovej prevádzky v takejto doméne je lokálna a neopúšťa internú sieť. Doména môže obsahovať registrované aj neregistrované IP adresy. Samozrejme, všetky počítače, ktoré používajú neregistrované IP adresy, musia používať NAT na komunikáciu so zvyškom sveta.

NAT je možné konfigurovať rôznymi spôsobmi. V nižšie uvedenom príklade je smerovač NAT nakonfigurovaný tak, aby preložil neregistrované adresy IP (miestne interné adresy), ktoré sa nachádzajú v súkromnej (internej) sieti, na registrované adresy IP. Stáva sa to vždy, keď vnútorné zariadenie s neregistrovanou adresou potrebuje komunikovať s vonkajšou sieťou.

Preťaženie NAT využíva funkciu zásobníka protokolov TCP/IP, ako je napríklad multiplexovanie, ktoré umožňuje počítaču udržiavať viacero paralelných pripojení k vzdialenému počítaču pomocou rôznych portov TCP alebo UDP. Paket IP má hlavičku, ktorá obsahuje nasledujúce informácie:

• Zdrojová adresa - IP adresa zdrojového počítača, napríklad 201.3.83.132.
• Zdrojový port – číslo portu TCP alebo UDP pridelené zdrojovým počítačom pre tento paket, napríklad Port 1080.
• Cieľová adresa – IP adresa počítača prijímača. Napríklad 145.51.18.223.
• Cieľový port - číslo portu TCP alebo UDP, ktoré vyžaduje otvorenie zdrojového počítača v aplikácii, napríklad port 3021.

IP adresy identifikujú dva stroje na každej strane, zatiaľ čo čísla portov zabezpečujú, že spojenie medzi týmito dvoma strojmi má jedinečný identifikátor. Kombinácia týchto štyroch čísel definuje jediné pripojenie TCP/IP. Každé číslo portu používa 16 bitov, čo znamená, že existuje 65 536 (2^16) možných hodnôt. V skutočnosti, keďže rôzni výrobcovia mapujú porty mierne odlišným spôsobom, môžete očakávať približne 4 000 dostupných portov.

Príklady dynamického NAT a NAT s preťažením

Nasledujúci text ukazuje, ako funguje dynamický NAT.

Kliknutím na jedno zo zelených tlačidiel odošlete úspešný paket do alebo z internej siete. Kliknutím na jedno z červených tlačidiel odošlete paket, ktorý router zahodí z dôvodu neplatnej adresy.

• interný bol zriadený s IP adresami, ktoré neboli špeciálne vyhradené pre túto spoločnosť IANA (Internet Assigned Assigned Oversight Authority), globálna kancelária, ktorá distribuuje IP adresy. Takéto adresy by sa mali považovať za nesmerovateľné, pretože nie sú jedinečné. Toto sú interné lokálne adresy.
• firma inštaluje router s NAT. Router má spoločnosti pridelené množstvo jedinečných IP adries. Toto sú interné globálne adresy.
• počítač v sieti LAN sa pokúša pripojiť k počítaču mimo siete, ako je napríklad webový server.
• smerovač prijme paket z počítača v sieti LAN.
• Po skontrolovaní smerovacej tabuľky a skontrolovaní procesu prekladu router uloží nesmerovateľnú adresu počítača do tabuľky prekladu adries. Smerovač nahradí nesmerovateľnú adresu počítača odosielateľa prvou dostupnou IP adresou v rozsahu jedinečných adries. Prekladová tabuľka má teraz zobrazenie nesmerovateľnej IP adresy počítača, ktorá zodpovedá jednej z jedinečných IP adries.
• Keď sa paket vráti z cieľového počítača, smerovač skontroluje cieľovú adresu na pakete. Potom sa pozrie do tabuľky prekladu adries, aby zistil, ktorému počítaču v doméne daný paket patrí. Zmení cieľovú adresu na adresu uloženú skôr v prekladovej tabuľke a odošle paket na správny počítač. Ak router nenájde zhodu v tabuľke, paket zahodí.
• Počítač prijme paket z routera a celý proces sa opakuje, kým počítač komunikuje s externým systémom.

Ďalej sa pozrime, ako funguje preťaženie.

• Interná sieť bola nastavená s nesmerovateľnými IP adresami, ktoré neboli špeciálne vyhradené pre spoločnosť
• firma inštaluje router s NAT. Router má jedinečnú IP adresu vydanú IANA
• počítač v doméne sa pokúša pripojiť k počítaču mimo siete, ako je napríklad webový server.
• smerovač prijme paket z počítača v doméne.
• Po smerovaní a overení paketu na vykonanie prekladu smerovač uloží IP adresu počítača a číslo portu do prekladovej tabuľky. Smerovač nahradí nesmerovateľnú IP adresu odosielajúceho počítača IP adresou smerovača. Smerovač nahradí port zdrojového počítača odosielateľa nejakým náhodným číslom portu a uloží ho do tabuľky prekladu adries pre daného odosielateľa. Prekladová tabuľka zobrazuje nesmerovateľnú IP adresu počítača a číslo portu spolu s IP adresou smerovača.
• Keď sa paket vráti z cieľa, router skontroluje port cieľa v pakete. Potom sa pozrie do prekladovej tabuľky, aby zistil, ktorému počítaču v doméne paket patrí. Ďalej router zmení adresu prijímača a port prijímača na hodnoty, ktoré boli predtým uložené v prekladovej tabuľke, a odošle paket do koncového uzla.
• počítač prijme paket zo smerovača a proces sa opakuje
• Keďže smerovač NAT má teraz zdrojovú adresu počítača a zdrojový port uloženú v prekladovej tabuľke, bude naďalej používať rovnaké číslo portu pre nasledujúce pripojenia. Vždy, keď smerovač pristúpi k položke v prekladovej tabuľke, časovač životnosti položky sa vynuluje. Ak sa záznam nesprístupní pred vypršaním časovača, odstráni sa z tabuľky

Počet simultánnych prekladov, ktoré bude router podporovať, je určený hlavne množstvom DRAM (Dynamic Random Access Memory). Keďže typická položka prekladovej tabuľky má približne 160 bajtov, router so 4 MB RAM teoreticky zvládne 26214 súčasných pripojení, čo je viac než dosť pre väčšinu aplikácií.

Bezpečnosť a administratíva

Implementácia dynamického NAT automaticky vytvorí firewall medzi vašou internou sieťou a externými sieťami alebo internetom. Dynamic NAT umožňuje iba pripojenia, ktoré vznikajú v lokálnej sieti. V podstate to znamená, že počítač v externej sieti sa nemôže pripojiť k vášmu počítaču, pokiaľ váš počítač nespustil pripojenie. Môžete tak surfovať na webe a pripojiť sa k stránke a dokonca nahrať súbor. Ale nikto iný nemôže len tak odpočúvať vašu IP adresu a použiť ju na pripojenie k portu na vašom počítači.

Statický NAT, nazývaný aj vstupné mapovanie, umožňuje za určitých okolností pripojenia iniciované externými zariadeniami k počítačom v sieti LAN. Môžete napríklad namapovať internú globálnu adresu na špecifickú internú lokálnu adresu, ktorá je priradená vášmu webovému serveru.

Statický NAT umožňuje počítaču v sieti LAN udržiavať špecifickú adresu pri komunikácii so zariadeniami mimo siete:

Niektoré smerovače NAT poskytujú rozsiahle filtrovanie a protokolovanie prevádzky. Filtrovanie umožňuje vašej spoločnosti kontrolovať, ktoré webové stránky zamestnanci navštevujú, čím im bráni v prezeraní pochybných materiálov. Záznam návštevnosti môžete použiť na vytvorenie denníka navštívených stránok a na základe toho generovať rôzne správy.

Niekedy sa Network Address Translation zamieňa s proxy servermi, kde existujú určité rozdiely. NAT je transparentný pre zdrojové a cieľové počítače. Nikto z nich nevie, že ide o tretie zariadenie. Proxy server však nie je transparentný. Zdrojový počítač vie, že odosiela požiadavku na server proxy. Cieľový počítač si myslí, že server proxy je zdrojovým počítačom a pracuje priamo s ním. Proxy tiež zvyčajne pracujú na vrstve 4 (Transport) modelu OSI alebo vyššej, zatiaľ čo NAT je protokol vrstvy 3 (sieť). Práca na vyšších úrovniach spôsobuje, že proxy servery sú vo väčšine prípadov pomalšie ako zariadenia NAT.

V našich bytoch sa čoraz viac objavujú rôzne digitálne zariadenia – notebooky, tablety a smartfóny. Kým bol počítač v byte sám a pripojený priamo do siete poskytovateľa, neboli žiadne otázky. A teraz, keď máte problém - ako teraz pripojiť nový notebook alebo tablet k internetu. Tu prichádza na rad pomoc. Technológia NAT. Čo je podstatou technológie NAT?
NAT — Preklad sieťových adries - preložené do ruštiny to znie asi takto: "konverzia sieťovej adresy". NAT je mechanizmus v sieťach TCP/IP, ktorý umožňuje prekladať IP adresy tranzitných paketov.
Zjednodušene povedané, ak je v lokálnej sieti niekoľko počítačov, tak vďaka technológii NAT všetky môžu pristupovať k externej internetovej sieti pomocou jednej externej siete IP adresa (IP).

Čo je to adresa IP?

router — router- využíva sa práca na tretej úrovni systému OSI, resp IP protokol je smerovateľný protokol sieťovej vrstvy zásobníka TCP/IP. Neoddeliteľnou súčasťou protokolu je sieťové adresovanie. V súlade s existujúcimi pravidlami - všetky zariadenia v sieti sú priradené IP adresy (IP adresy) sú jedinečné sieťové identifikátory adresy hostiteľa. Používajú sa 2 typy IP adries − sivá A biely. Sivé adresy- je to časť adresného priestoru prideleného pre lokálnu sieť - podsiete IP adries 10.0.0.0/8, 172.16.0.0/12 alebo 192.168.0.0/16 . Všetky ostatné podsiete používa internet a sú to adresy IP na zozname povolených.

Ako zdieľať internet so zariadeniami vo vašej sieti.

Na pripojenie všetkých zariadení v lokálnej sieti k internetu potrebujete router. router je zariadenie, ktoré sa dokáže pripojiť k internetu cez sieť poskytovateľa a distribuovať ho do pripojených zariadení vďaka tomu, že má min. 4 LAN porty a Wi-Fi modul. Nezamieňajte si router s jednoduchým ethernetovým prepínačom, ktorý je v podstate hlúpym sieťovým „rozdeľovačom“. Vzhľadom na to, že na smerovači je nainštalovaný operačný systém podobný UNIX, je možné na zariadení spúšťať rôzne služby, napr. Služba NAT. Ak to chcete urobiť, pri konfigurácii smerovača začiarknite políčko Povoliť NAT .

Takže router pre každú požiadavku, ktorá cez ňu prejde, umiestni do lokálnej siete určitý štítok obsahujúci údaje o odosielateľovi. Keď bude táto žiadosť zodpovedaná, router by label určuje, na ktorú IP adresu v lokálnej sieti sa má paket odoslať. To je vlastne všetko ako v skratke funguje technológia NAT.

Ahojte všetci, dnes si povieme, ako nakonfigurovať Cisco NAT. Čo je to NAT a prečo je to vôbec potrebné, keďže táto funkcionalita už dlho a pevne vstúpila do nášho každodenného života a teraz je veľmi ťažké predstaviť si aspoň jeden podnik, ktorý by túto technológiu nepoužíval. Svojho času zachránila internet a výrazne oddialila prechod z ipv4 na ipv6, ale najskôr.

Čo je NAT

NAT (Network Address Translation) je mechanizmus prekladu sieťových adries, ak je jednoduchý, je to technológia, ktorá umožňuje množstvu súkromných alebo šedých ip sedieť za jednou bielou ip. Príkladom je kancelársky internet, kde všetci používatelia sedia cez spoločnú bránu, na ktorej je nakonfigurovaná ip adresa, ktorá ide na internet, že používatelia majú nakonfigurované lokálne ip adresy.

Vyzerá to približne takto

Typy NAT

• Statický NAT - konverzia šedej IP na bielu, príklad presmerovania portov do lokálnej siete, napríklad RDP
• Dynamic NAT - transformácia šedej ip na jednu z ip adries skupiny bielych ip adries
• Preťažený NAT alebo ako sa tiež nazýva PAT (preklad adresy portov), ​​konvertuje niekoľko šedých ip na bielu, čím im dáva rôzne porty.

Dnes sa pozrieme na statický NAT a PAT.

Konfigurácia Cisco NAT

Takto vyzerá usporiadanie malej kancelárie. Vo vlan 2 máme 3 počítače, v samostatnej vlan 3 je server. Všetky tieto veci sú pripojené k prepínaču druhej úrovne Cisco 2660, ktorý je zase zapojený do smerovača Cisco 1841, ktorý smeruje lokálny prenos medzi vlan 2 a 3.

Konfigurácia Cisco 2960

Vytvorme vlan 2 a vlan3, pomenujeme ich a nakonfigurujeme potrebné porty pre tieto vlan.

povoliť
conf t
vytvoriť vlan 2
vlan 2
názov VLAN2
VÝCHOD
vytvoriť vlan 3
vlan 3
názov VLAN3
VÝCHOD
Dali sme porty do vlan2
int rozsah fa0/1-3
prístup do režimu switchport
prístup k prepínaču vlan 2
VÝCHOD
Port sme dali do vlan3
int fa 0/4
prístup do režimu switchport
prístup k prepínaču vlan 3
VÝCHOD

int fa 0/5
kmeňový režim switchport
switchport trunk povolený vlan 2.3
urobiť wr mem

Konfigurácia Cisco 1841

Najprv si vytvorme podrozhrania a zväčšíme port.

povoliť
conf t
int fa0/0
žiadne vypnutie
VÝCHOD

intfa0/0,2
zapuzdrenie bodka1Q 2
IP adresa 192.168.2.251 255.255.255.0
žiadne vypnutie
VÝCHOD

intfa0/0,3
zapuzdrenie bodka1Q 3
IP adresa 192.168.3.251 255.255.255.0
žiadne vypnutie
VÝCHOD

V dôsledku toho sa prístav zmenil na zelený

Nastavenie PAT

V mojej virtuálnej infraštruktúre, žiaľ, nemôže byť naša schéma uvoľnená na internet, budeme ju emulovať, budeme mať router s bielou ip adresou a server tiež s bielou ip adresou. Schematicky to vyzerá takto. Na routeri poskytovateľa je na konkrétnom porte priradená biela ip adresa 213.235.1.1 a maska ​​siete 255.255.255.252

Nakonfigurujme túto IP na smerovači nášho testovacieho poskytovateľa.

en
conf t
int fa0/0
IP adresa 213.235.1.1 255.255.255.252
žiadne vypnutie
VÝCHOD

nakonfigurujeme port fa0/1, na ktorý sa pozrieme na serveri, a nastavíme ho na inú bielu ip 213.235.1.25 255.255.255.252

int fa0/1
IP adresa 213.235.1.25 255.255.255.252
žiadne vypnutie
VÝCHOD

Môj server bude mať IP adresu 213.235.1.26 a brána bude 213.235.1.25, rozhranie smerovača poskytovateľa, ktorý sa pozerá na server.

Teraz nakonfigurujeme náš lokálny router Router0, nakonfigurujeme bielu IP adresu, ktorú nám pridelil poskytovateľ 213.235.1.2 255.255.255.252, brána bude 213.235.1.1

povoliť
conf t
int fa0/1
IP adresa 213.235.1.2 255.255.255.252
žiadne vypnutie
VÝCHOD
IP trasa 0.0.0.0 0.0.0.0 213.235.1.1
VÝCHOD
wr mem

Snažíme sa pingovať IP adresy poskytovateľa a servera z kancelárskeho smerovača a vidíme, že všetko funguje dobre.

Router#ping 213.235.1.1

Úspešnosť je 80 percent (4/5), spiatočná cesta min/avg/max = 0/0/0 ms

Router#ping 213.235.1.1

Na prerušenie zadajte escape sekvenciu.

Odosielanie 5 100-bajtových ICMP Echos na 213.235.1.1, časový limit je 2 sekundy:

Úspešnosť je 100 percent (5/5), spiatočná cesta min/avg/max = 0/0/1 ms

Router#ping 213.235.1.2

Na prerušenie zadajte escape sekvenciu.

Odosiela sa 5 100-bajtových ICMP Echos na 213.235.1.2, časový limit je 2 sekundy:

Úspešnosť je 100 percent (5/5), spiatočná cesta min/avg/max = 0/9/17 ms

Smerovač#ping 213.235.1.25

Na prerušenie zadajte escape sekvenciu.

Odosielanie 5 100-bajtových ICMP Echos na 213.235.1.25, časový limit je 2 sekundy:

Smerovač#ping 213.235.1.26

Na prerušenie zadajte escape sekvenciu.

Odosiela sa 5 100-bajtových ICMP Echos na 213.235.1.26, časový limit je 2 sekundy:

Úspešnosť je 100 percent (5/5), spiatočná cesta min/avg/max = 0/0/0 ms

No a samotné natovanie. Na lokálnom smerovači vykonajte nasledovné. Teraz musíme nastaviť, ktoré nat rozhranie sa bude považovať za externé a ktoré interné, všetko bude jednoducho externé, kde je nakonfigurovaná biela ip adresa poskytovateľa, interné je to, čo je pripojené k prepínaču druhej úrovne. fa0/1 bude externé a dve čiastkové rozhrania budú interné.

povoliť
conf t
int fa0/1
ip nat vonku
VÝCHOD
intfa0/0,2
ip nat vo vnútri
intfa0/0,3
ip nat vo vnútri
VÝCHOD

Prispôsobenie zoznamu prístupových práv

Access List zoznam, ktorý prenos musí byť natovaný a ktorý by mal fungovať bez NAT.

Vytvorte zoznam prístupových práv s názvom NAT

IP prístupový zoznam štandardný NAT
Povoliť dva bazény
povolenie 192.168.2.0 0.0.0.255
povolenie 192.168.3.0 0.0.0.255

0.0.0.255 sú zástupné bity

ako vidíš, v konfigurácii máme zoznam prístupov a porty sú označené, ktoré sú vonku a ktoré sú vnútri.

A zadáme ďalší magický príkaz, ktorý hovorí, že návštevnosť, ktorá prišla na fa0 / 1, je potrebné natovať podľa pravidla NAT. V dôsledku toho sme nakonfigurovali PAT.

ip nat vnútri zdrojového zoznamu Preťaženie rozhrania NAT fa0/1

Uložiť všetko do w mem

skontrolujte dostupnosť externých zdrojov z počítača v lokálnej sieti. Pozrime sa na aktualne konfiguracie s prikazom ipconfig, pozri ip adresa 192.168.2.1, ping 213.235.1.26, ako vidis vsetko je OK a NAT cisco funguje.