Kaj je NAT na usmerjevalniku? Načelo delovanja usmerjevalnika (usmerjevalnika) Pomeni nat.

Kaj je NAT

Vaš računalnik je lahko neposredno povezan z internetom. Potem pravijo, da on zunanji IP naslov.

To običajno pomeni, da je računalnik priključen neposredno na modem (DSL, kabelski ali običajni analogni).

Za NAT pomeni, da vaš računalnik ni povezan v internet, ampak v lokalno omrežje. Potem ima notranjost Naslov IP, ki ni dostopen iz interneta.

Vaš računalnik dobi dostop do interneta prek NAT - procesa prevajanja notranjih naslovov v zunanje in obratno. Napravo NAT običajno imenujemo usmerjevalnik.

Posebnost delovanja NAT je v tem, da povezave, ki jih sproži vaš računalnik, pregledno potekajo prek naprave NAT do interneta. Vendar povezave, ki bi jih drugi računalniki želeli vzpostaviti z vami iz interneta, vas ne morejo doseči.

Iskanje naslova IP računalnika

Zaženi"> Odprite pogovorno okno za zagon programov: kliknite gumb Start, v meniju izberite Zaženi.

V sistemu Windows 2000/XP vnesite cmd /k ipconfig, kliknite V redu in si oglejte rezultat.

Windows 2000 IP konfiguracija Ethernet adapter Lokalna povezava: DNS pripona, specifična za povezavo . : IP naslov. . . . . . . . . . . . : 192.168.1.10 Maska podomrežja. . . . . . . . . . . : 255.255.255.0 Privzeti prehod . . . . . . . . . : 192.168.1.1

Prvi od teh naslovov je naslov IP vašega računalnika.

Ste za NAT

Trije posebni obsegi naslovov IP so rezervirani za lokalna omrežja in se v internetu ne uporabljajo:

10. 0. 0. 0 - 10. 255.255.255 172. 16. 0. 0 - 172. 31.255.255 192.168. 0. 0 - 192.168.255.255

Če je naslov IP vašega računalnika v enem od teh obsegov, se začne z 10 ali 192.168. ali iz 172.nn. (kjer je nn od 16 do 31) , potem je to lokalni (notranji) naslov in zagotovo ste za NAT.

Če ne, zdaj preverite, pod katerim naslovom IP vas drugi računalniki vidijo na internetu. Na primer whatsmyip.org ("Vaš naslov IP je x.x.x.x" na vrhu strani) ali myipaddress.com.

Če se naslov IP vašega računalnika ujema s tistim, prikazanim na enem od teh spletnih mest, potem ste zagotovo neposredno povezani z internetom.

V drugih primerih je nemogoče reči zagotovo. Možne so naslednje možnosti:

• ste za NAT, vendar je vaš skrbnik omrežja izbral nestandardne notranje naslove za vaše lokalno omrežje. Poiščite ga in vprašajte, zakaj je bilo to potrebno.
• do interneta dostopate prek proxy strežnika (potem vam je whatsmyip.org pokazal naslov tega proxy strežnika). V mnogih primerih lahko na primer z lagado.com/proxy-test ugotovite, ali obstaja posredniški strežnik med vami in internetom.

  Povezovanje prek proxyja ni zajeto v tem priročniku..

Možnosti povezave prek NAT

Če ste za NAT, potem je naslednji korak natančno določitev lokacije naprave NAT.

Ponudnik NAT

Potem to rečejo
• ISP vam zagotavlja internet preko NAT,
• ali kateri ponudnik vam ne da zunanjega naslova IP,
• ali da ste povezani preko lokalnega omrežja ponudnika

Najlažje je poklicati ponudnika in se pozanimati. Ali pa vprašajte dobro obveščene sosede z isto povezavo.

Ko se povezujete z internetom prek lokalnega omrežja ponudnika, ne morete narediti razpoložljivih vrat zase. Razen seveda, če vam ponudnik posebej preusmeri določena vrata, kar je nerealno. Ali če ne plačate dodatno za storitev, ki se običajno imenuje "zunanji" ("beli") naslov IP.

NAT v poslovni ali stanovanjski stavbi

Načeloma je situacija enaka, vendar lahko poiščete pristope k lokalnemu skrbniku. Končno je odločitev, ali so vrata na voljo, odvisna od tega, ali imate dostop do nastavitev usmerjevalnika.

Poleg tega lahko poskusite tudi UPnP, nenadoma je usmerjevalnik pustil dovoljeno.

NAT po svoje

V tem primeru ga lahko skoraj vedno konfigurirate in dobite razpoložljiva vrata.

Običajno je to povezava prek domačega usmerjevalnika ali povezava prek drugega računalnika, na primer z uporabo ICS (druga možnost tukaj ni upoštevana).

Seveda se načeloma tudi zgodi, da imata tako vaš dom kot ponudnik NAT, se pravi, da je vaš računalnik za dvema NAT-jema hkrati. To lahko preverite tako, da greste v nastavitve usmerjevalnika, pogledate njegov zunanji naslov in nato sledite zgornjemu scenariju (ali to obseg naslovov lokalnih omrežij, ali se ujema z naslovom, pod katerim ste vidni na internetu).

NAT (prevajanje omrežnih naslovov) je tehnologija prevajanja omrežnih naslovov. NAT je rešil največjo težavo IPv4: do sredine devetdesetih let prejšnjega stoletja bi lahko bil naslovni prostor IPv4 popolnoma izčrpan. Če tehnologija NAT ne bi bila izumljena, bi se rast interneta močno upočasnila. Seveda je bila danes ustvarjena nova različica protokola IP, IPv6. Ta različica podpira ogromno IP naslovov, da je obstoj NAT brez pomena. Vendar kar nekaj organizacij pri svojem delu še vedno uporablja protokol IPv4 in popolnega prehoda na IPv6 še ne bo kmalu. Zato je smiselno študirati tehnologijo NAT.

Prevajanje omrežnih naslovov (NAT) omogoča gostitelju, ki nima belega IP-ja, komunikacijo z drugimi gostitelji prek interneta. Beli naslov IP je registriran, edinstven, globalni naslov IP v internetu. Obstajajo tudi sivi naslovi IP, ki se uporabljajo v zasebnem omrežju in jih ni mogoče usmerjati v internetu. Zato je potrebna tehnologija NAT, ki bo sivi naslov IP nadomestila z belim. Razpon sivih naslovov IP je predstavljen v tabeli.

Prevajanje NAT zamenja zasebne naslove IP z javno registriranimi naslovi IP v vsakem paketu protokola IP.

S prevajanjem NAT usmerjevalnik spremeni izvorni naslov IP, ko paket zapusti zasebno omrežje. Usmerjevalnik spremeni tudi ciljni naslov vsakega paketa, ki se vrne v zasebno omrežje. Programska oprema Cisco IOS podpira več različic prevajanja NAT:

1. Statični NAT - Vsak zasebni naslov IP ima en javni IP. S statičnim prevajanjem usmerjevalnik NAT preprosto vzpostavi korespondenco ena proti ena med zasebnim naslovom IP in registriranim naslovom IP, v imenu katerega deluje.
2. Dinamično prevajanje NAT - pretvorba notranjih naslovov IP v zunanje poteka dinamično. Ustvari se zbirka možnih javnih naslovov IP in iz te zbirke se dinamično izberejo naslovi IP za prevod.
3. Port Address Translation PAT – omogoča prilagajanje za podporo številnim odjemalcem z le nekaj javnimi naslovi IP. PAT prevede omrežni naslov glede na prejemnikova vrata TCP/UDP.

Oglejmo si podrobneje vsako vrsto prevoda.

Statični prevod NAT omogoča natančno ujemanje med zasebnim in javnim naslovom IP. Poglejmo si primer.

Ponudnik internetnih storitev podjetja podjetju dodeli registrirano omrežno številko 200.1.1.0. V skladu s tem mora usmerjevalnik NAT ta zasebni naslov prikazati, kot da je v omrežju 200.1.1.0. V ta namen usmerjevalnik spremeni izvorni naslov IP paketov, ki se posredujejo od leve proti desni, kot je prikazano na sliki. V tem primeru usmerjevalnik spremeni zasebni naslov IP 10.1.1.1 v javni naslov IP 200.1.1.1. Drugi zasebni naslov 10.1.1.2 ustreza javnemu naslovu 200.1.1.2. Nato razmislite o konfiguraciji statičnega NAT v Ciscu.

Konfiguriranje statičnega prevajanja NAT na opremi Cisco v primerjavi z drugimi možnostmi zahteva najmanj ukrepanja. V tem primeru morate vzpostaviti korespondenco med lokalnimi (zasebnimi) in globalnimi (javnimi) naslovi IP. Prav tako morate usmerjevalniku povedati, na katerih vmesnikih naj uporablja prevod NAT, saj morda ne bo omogočen na vseh vmesnikih. Zlasti usmerjevalniku je treba povedati vsak vmesnik in ali je notranji ali zunanji.

Diagram prikazuje, da je uporabnik od ponudnika prejel omrežni naslov 100.0.0.0 razreda C. To celotno omrežje z masko 255.255.255.0 je konfigurirano na serijskem kanalu med uporabnikom in internetom. Ker gre za povezavo od točke do točke, se v tem omrežju uporabljata samo 2 od 254 veljavnih (možnih) naslovov IP.

Konfiguracija za usmerjevalnik NAT_GW:

NAT_GW>omogoči NAT_GW#konfiguriraj terminal - opis vmesnika - nastavite privzeti prehod - opis vmesnika - nastavite IP in masko NAT_GW(config-if)#ni zaustavitve - fizično vključite vmesnik NAT_GW(config-if)#exit NAT_GW(config)#ip nat znotraj statike vira 192.168.1.2 100.0.0.1 NAT_GW(config)#ip nat znotraj statike vira 192.168.1.3 100.0.0.2 - statično ujemanje naslovov NAT_GW(config)#ip nat znotraj statičnega izvora 192.168.1.4 100.0.0.3 - statično ujemanje naslovov

Statična ujemanja se ustvarijo z ukazom ip nat znotraj izvorne statične. Ključna beseda znotraj pomeni, da NAT prevaja naslove za gostitelje, ki se nahajajo znotraj omrežja. Ključna beseda vir pomeni, da NAT prevaja naslove IP v paketih, ki prispejo na njegove notranje vmesnike. Ključna beseda statična pomeni, da te možnosti definirajo statični vnos, ki ne bo nikoli odstranjen iz tabele NAT zaradi izteka določenega časovnega obdobja. Pri ustvarjanju vnosov statičnega prevajanja NAT mora usmerjevalnik vedeti, kateri vmesniki so znotraj in kateri zunaj. Podukazi vmesnika ip nat znotraj in ip nat zunaj ustrezno identificirati vsak vmesnik.

Obstajata dva ukaza za ogled pomembnih informacij o NAT pokaži prevode ip nat, pokaži statistiko ip nat.

Prvi ukaz izpiše tri statične vnose prevoda NAT, ustvarjene v konfiguraciji. Drugi ukaz natisne statistične informacije, kot je število trenutno aktivnih vnosov v prevajalski tabeli. Ta statistika vključuje tudi število zadetkov, ki se poveča za enega za vsak paket, za katerega mora NAT prevesti naslove.

Pojdimo naprej dinamično prevajanje omrežnih naslovov NAT. Dinamično prevajanje ustvari skupino možnih globalnih notranjih naslovov in definira merilo ujemanja za določitev, katere notranje globalne naslove IP je treba prevesti z uporabo NAT. Na primer, v spodnjem diagramu je skupina petih globalnih naslovov IP nastavljena v obsegu 200.1.1.1 - 200.1.1.5. Prevajanje NAT je konfigurirano tudi za prevajanje vseh notranjih lokalnih naslovov, ki se začnejo z okteti 10.1.1

pri konfiguriranje dinamičnega prevajanja NAT na opremi Ciscoše vedno morate identificirati vsak vmesnik, tako notranji kot zunanji, vendar vam ni več treba podati statične preslikave. Za določitev zasebnih naslovov IP, ki jih je treba prevesti, dinamično prevajanje NAT uporablja sezname za nadzor dostopa (o njih sem že pisal), poleg tega pa določi skupino registriranih javnih naslovov IP, ki bodo dodeljeni iz tega. Torej, dinamični algoritem za nastavitev prevoda:

1. Z ukazom konfigurirajte vmesnike, ki bodo v notranjem podomrežju ip nat znotraj.
2. Z ukazom konfigurirajte vmesnike, ki se bodo nahajali v zunanjem podomrežju ip nat zunaj.
3. Konfigurirajte ACL, ki ustreza paketom, ki prihajajo na notranje vmesnike, za katere je treba uporabiti prevod NAT
4. Konfigurirajte skupino javno registriranih naslovov IP z ukazom načina globalne konfiguracije ip nat ime bazena prvi naslov zadnji naslov maska ​​omrežja maska ​​podomrežja.
5. Omogočite dinamično prevajanje NAT tako, da podate v ukazu globalne konfiguracije ip nat znotraj izvornega seznama acl-num pool ime-pool

Shema bo uporabljena enako kot zadnjič. Nova konfiguracija za usmerjevalnik NAT_GW:

NAT_GW>omogoči - preklopite v napredni način NAT_GW#configure terminal - pojdite v konfiguracijski način NAT_GW(config)#vmesnik fa0/0 - nastavitev vmesnika proti zasebnemu omrežju NAT_GW(config-if)#opis LAN - opis vmesnika NAT_GW(config-if)#naslov IP 192.168.1.1 255.255.255.0 - nastavite privzeti prehod NAT_GW(config-if)#ni zaustavitve - fizično vključite vmesnik NAT_GW(config-if)#ip nat znotraj - konfigurirajte vmesnik kot notranji NAT_GW(config-if)#exit NAT_GW(config)#interface fa0/1 - nastavitve vmesnika do ponudnika NAT_GW(config-if)#opis ISP - opis vmesnika NAT_GW(config-if)#naslov IP 100.0.0.253 255.255.255.0 - nastavite IP in masko NAT_GW(config-if)#ni zaustavitve - fizično vključite vmesnik NAT_GW(config-if)#ip nat zunaj - konfigurirajte vmesnik kot zunanji NAT_GW(config-if)#exit NAT_GW(config)#ip nat pool testPool 100.0.0.1 100.0.0.252 omrežna maska ​​255.255.255.0 - ustvarite dinamični bazen NAT_GW(config)#access-list 1 dovoljenje 192.168.1.1 0.0.0.255 - ustvarimo seznam dostopov 1, v katerem dovolimo oddajanje IP naslovov iz podomrežja 192.168.1.1/24 NAT_GW(config)#ip nat znotraj seznama virov 1 bazen testPool - vklopite dinamično oddajanje NAT_GW(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.254 - statična pot do ponudnika

Naslednja vrsta prevoda je PAT (Port Address Translation). O tej vrsti NAT bom govoril v naslednjem članku, ko bomo lokalno podomrežje povezali z internetom. Tema je precej velika in pomembna. PAT je najbolj priljubljena vrsta NAT.

Podprite projekt

Prijatelji, spletno mesto Netcloud se vsak dan razvija zahvaljujoč vaši podpori. Načrtujemo uvedbo novih razdelkov člankov in nekaj uporabnih storitev.

Imate možnost podpreti projekt in prispevati kakršen koli znesek, ki se vam zdi primeren.

Če berete ta dokument, ste najverjetneje povezani z internetom in uporabljate prevod omrežnih naslovov ( Prevajanje omrežnih naslovov, NAT) takoj zdaj! Internet je postal tako velik, kot si lahko kdo predstavlja. Čeprav natančna velikost ni znana, je trenutna ocena približno 100 milijonov gostiteljev in več kot 350 milijonov uporabnikov, ki so aktivni na internetu. Pravzaprav je stopnja rasti tolikšna, da se internet vsako leto dejansko podvoji. Da lahko računalnik komunicira z drugimi računalniki in spletnimi strežniki v internetu, mora imeti naslov IP. Naslov IP (IP pomeni internetni protokol) je edinstvena 32-bitna številka, ki določa lokacijo vašega računalnika v omrežju. V bistvu deluje tako kot vaš naslov: način, da ugotovite, kje točno ste, in dobite informacije. Teoretično lahko imate 4.294.967.296 edinstvenih naslovov (2^32). Dejansko število razpoložljivih naslovov je manjše (nekje med 3,2 in 3,3 milijarde) zaradi načina kategorizacije naslovov in potrebe, da se nekateri naslovi nameni za večvrstno oddajanje, testiranje ali druge posebne potrebe. Z naraščanjem domačih in poslovnih omrežij število razpoložljivih naslovov IP ni več zadostno. Očitna rešitev je, da preoblikujete obliko naslova, da omogočite več možnih naslovov. Protokol IPv6 se torej razvija, vendar bo ta razvoj trajal nekaj let, saj zahteva spremembo celotne infrastrukture interneta.

Tukaj nam na pomoč priskoči NAT. V bistvu prevajanje omrežnih naslovov omogoča, da ena naprava, kot je usmerjevalnik, deluje kot posrednik med internetom (ali "javnim omrežjem") in lokalnim (ali "zasebnim") omrežjem. To pomeni, da je potreben samo en edinstven naslov IP, ki predstavlja celotno skupino računalnikov karkoli zunaj njihovega omrežja. Pomanjkanje naslovov IP je le eden od razlogov za uporabo NAT. Dva druga dobra razloga sta varnost in administracija.

Spoznali boste, kako lahko izkoristite NAT, vendar si najprej pobliže oglejmo NAT in poglejmo, kaj lahko naredi.

Preobleka

NAT je kot tajnica v veliki pisarni. Recimo, da ste tajnici pustili navodila, naj ne preusmerja klicev k vam, razen če tega ne zahtevate. Kasneje pokličete potencialno stranko in ji pustite sporočilo, da vas pokliče nazaj. Tajnici poveste, da pričakujete klic te stranke in da je treba klic preusmeriti. Stranka pokliče številko vaše glavne pisarne, ki je edina številka, ki jo pozna. Ko stranka tajnici pove, koga išče, ta preveri njegov seznam zaposlenih, da najde ujemanje med imenom in interno številko. Tajnica ve, da ste zahtevali ta klic, zato preusmeri klicatelja na vaš telefon.

Tehnologijo, ki jo je razvil Cisco, prevajanje omrežnih naslovov uporablja naprava (požarni zid, usmerjevalnik ali računalnik), ki se nahaja med notranjim omrežjem in preostalim svetom. NAT ima veliko oblik in lahko deluje na več načinov:

Statični NAT- Preslikava neregistriranega naslova IP v registrirani naslov IP na osnovi ena proti ena. Še posebej uporabno, ko mora biti naprava dostopna zunaj omrežja.

V statičnem NAT bo računalnik z naslovom 192.168.32.10 vedno preveden na naslov 213.18.123.110:

Dinamični NAT- Preslika neregistriran naslov IP v registriran naslov iz skupine registriranih naslovov IP. Dinamični NAT vzpostavi tudi neposredno preslikavo med neregistriranim in registriranim naslovom, vendar se lahko preslikava spremeni glede na registriran naslov, ki je na voljo v skupini naslovov med komunikacijo.

Pri dinamičnem NAT se računalnik z naslovom 192.168.32.10 prevede na prvi razpoložljivi naslov v območju od 213.18.123.100 do 213.18.123.150

Preobremenitev je oblika dinamičnega NAT, ki preslika več neregistriranih naslovov v en registriran naslov IP z uporabo različnih vrat. Znan tudi kot PAT (Prevod naslovov vrat)

Ko je preobremenjen, se vsak računalnik v zasebnem omrežju prevede na isti naslov (213.18.123.100), vendar z drugo številko vrat

prekrivajo- Ko se naslovi IP, uporabljeni v vašem internem omrežju, uporabljajo tudi v drugem omrežju, mora usmerjevalnik hraniti iskalno tabelo teh naslovov, da jih lahko prestreže in zamenja z registriranimi edinstvenimi naslovi IP. Pomembno je omeniti, da mora usmerjevalnik NAT prevesti "notranje" naslove v registrirane edinstvene naslove in mora prevesti tudi "zunanje" registrirane naslove v naslove, ki so edinstveni za zasebno omrežje. To lahko storite prek statičnega NAT ali pa uporabite DNS in implementirate dinamični NAT.

primer:
Notranji obseg IP (237.16.32.xx) je tudi registriran obseg, ki ga uporablja drugo omrežje. Zato usmerjevalnik prevede naslove, da se izogne ​​morebitnemu konfliktu. Prav tako bo prevedel registrirane globalne naslove IP nazaj v neregistrirane lokalne naslove, ko bodo paketi poslani v notranje omrežje.

Notranje omrežje je običajno LAN (Local Area Network), najpogosteje imenovano škrbina. Domena škrbine je LAN, ki uporablja notranje naslove IP. Večina omrežnega prometa v taki domeni je lokalnega in ne zapušča notranjega omrežja. Domena lahko vključuje registrirane in neregistrirane IP naslove. Seveda morajo vsi računalniki, ki uporabljajo neregistrirane naslove IP, uporabljati NAT za komunikacijo s preostalim svetom.

NAT je mogoče konfigurirati na različne načine. V spodnjem primeru je usmerjevalnik NAT konfiguriran za prevajanje neregistriranih naslovov IP (lokalnih notranjih naslovov), ki se nahajajo v zasebnem (notranjem) omrežju, v registrirane naslove IP. To se zgodi vedno, ko mora notranja naprava z neregistriranim naslovom komunicirati z zunanjim omrežjem.

Preobremenitev NAT uporablja funkcijo sklada protokolov TCP/IP, kot je multipleksiranje, ki računalniku omogoča vzdrževanje več vzporednih povezav z oddaljenim računalnikom prek različnih vrat TCP ali UDP. Paket IP ima glavo, ki vsebuje naslednje informacije:

• Izvorni naslov - naslov IP izvornega računalnika, na primer 201.3.83.132.
• Izvorna vrata - številka vrat TCP ali UDP, ki jo dodeli izvorni računalnik za ta paket, na primer vrata 1080.
• Ciljni naslov – naslov IP prejemnikovega računalnika. Na primer 145.51.18.223.
• Ciljna vrata - številka vrat TCP ali UDP, ki zahteva odpiranje izvornega računalnika v aplikaciji, na primer vrata 3021.

Naslovi IP identificirajo dva stroja na vsaki strani, medtem ko številke vrat zagotavljajo, da ima povezava med obema strojoma edinstven identifikator. Kombinacija teh štirih številk definira eno samo povezavo TCP/IP. Vsaka številka vrat uporablja 16 bitov, kar pomeni, da je možnih 65.536 (2^16) vrednosti. V resnici lahko pričakujete približno 4000 razpoložljivih vrat, ker različni proizvajalci preslikajo vrata na nekoliko različne načine.

Primeri dinamičnega NAT in NAT s preobremenitvijo

V nadaljevanju je prikazano, kako deluje dinamični NAT.

Kliknite na enega od zelenih gumbov, da pošljete uspešen paket v ali iz notranjega omrežja. Kliknite enega od rdečih gumbov, da pošljete paket, ki ga bo usmerjevalnik zaradi neveljavnega naslova zavrgel.

• notranji je bil nastavljen z naslovi IP, ki jih IANA (Internet Assigned Assigned Oversight Authority), globalni urad za distribucijo naslovov IP, ni posebej rezerviral za to podjetje. Takšne naslove je treba šteti za nepreusmerljive, ker niso edinstveni. To so notranji lokalni naslovi.
• podjetje namesti usmerjevalnik z NAT. Usmerjevalnik ima vrsto edinstvenih naslovov IP, dodeljenih podjetju. To so notranji globalni naslovi.
• računalnik v omrežju LAN se poskuša povezati z računalnikom zunaj omrežja, kot je spletni strežnik.
• usmerjevalnik prejme paket od računalnika v LAN.
• Po preverjanju usmerjevalne tabele in preverjanju postopka prevajanja usmerjevalnik shrani naslov računalnika, ki ga ni mogoče usmerjati, v tabelo prevajanja naslovov. Usmerjevalnik nadomesti naslov pošiljateljevega računalnika, ki ga ni mogoče usmerjati, s prvim razpoložljivim naslovom IP v nizu edinstvenih naslovov. Prevajalska tabela ima zdaj prikaz naslova IP računalnika, ki ga ni mogoče usmerjati, kar ustreza enemu od edinstvenih naslovov IP.
• Ko se paket vrne iz ciljnega računalnika, usmerjevalnik preveri ciljni naslov na paketu. Nato pogleda v tabelo za prevajanje naslovov, da ugotovi, kateremu računalniku v domeni pripada dani paket. Spremeni ciljni naslov v tistega, ki je bil prej shranjen v prevajalski tabeli, in pošlje paket v pravi računalnik. Če usmerjevalnik ne najde ujemanja v tabeli, zavrže paket.
• Računalnik prejme paket od usmerjevalnika in celoten postopek se ponavlja, medtem ko računalnik komunicira z zunanjim sistemom.

Nato poglejmo, kako deluje preobremenitev.

• Notranje omrežje je bilo vzpostavljeno z nepreusmerljivimi naslovi IP, ki niso bili posebej rezervirani za podjetje
• podjetje namesti usmerjevalnik z NAT. Usmerjevalnik ima edinstven naslov IP, ki ga izda IANA
• računalnik v domeni se poskuša povezati z računalnikom zunaj omrežja, kot je spletni strežnik.
• usmerjevalnik prejme paket od računalnika v domeni.
• Po usmerjanju in preverjanju veljavnosti paketa za izvedbo prevajanja usmerjevalnik shrani naslov IP računalnika, ki ga ni mogoče usmerjati, in številko vrat v prevajalsko tabelo. Usmerjevalnik zamenja neusmerjevalni naslov IP računalnika pošiljatelja z naslovom IP usmerjevalnika. Usmerjevalnik nadomesti izvorna računalniška vrata pošiljatelja z neko naključno številko vrat in jo shrani v tabelo prevoda naslovov za tega pošiljatelja. Prevajalska tabela ima prikaz naslova IP računalnika, ki ga ni mogoče usmerjati, in številke vrat skupaj z naslovom IP usmerjevalnika.
• Ko se paket vrne s cilja, usmerjevalnik preveri vrata cilja v paketu. Nato pogleda v prevajalsko tabelo, da ugotovi, kateremu računalniku v domeni pripada paket. Nato usmerjevalnik spremeni naslov sprejemnika in vrata sprejemnika na vrednosti, ki so bile predhodno shranjene v tabeli prevajanja, in pošlje paket v končno vozlišče.
• računalnik prejme paket od usmerjevalnika in postopek se ponovi
• Ker ima usmerjevalnik NAT zdaj izvorni naslov in izvorna vrata računalnika shranjena v prevajalski tabeli, bo še naprej uporabljal isto številko vrat za nadaljnje povezave. Vsakič, ko usmerjevalnik dostopi do vnosa v prevajalski tabeli, se časovnik življenjske dobe vnosa ponastavi. Če do vnosa ne dostopate pred iztekom časovnika, se odstrani iz tabele

Število simultanih prevodov, ki jih bo usmerjevalnik podpiral, je v glavnem določeno s količino DRAM-a (Dynamic Random Access Memory). Ker je tipičen vnos v prevajalsko tabelo velik približno 160 bajtov, lahko usmerjevalnik s 4 MB RAM-a teoretično prenese 26214 hkratnih povezav, kar je več kot dovolj za večino aplikacij.

Varnost in administracija

Implementacija dinamičnega NAT samodejno ustvari požarni zid med vašim notranjim omrežjem in zunanjimi omrežji ali internetom. Dinamični NAT dovoljuje samo povezave, ki izvirajo iz lokalnega omrežja. V bistvu to pomeni, da se računalnik v zunanjem omrežju ne more povezati z vašim računalnikom, razen če je vaš računalnik vzpostavil povezavo. Tako lahko brskate po spletu in se povežete s spletnim mestom ter celo naložite datoteko. Toda nihče drug ne more kar tako vohljati po vašem naslovu IP in se z njim povezati z vrati na vašem računalniku.

Statični NAT, imenovan tudi vhodno preslikavo, omogoča povezave, ki jih sprožijo zunanje naprave z računalniki v omrežju LAN pod določenimi pogoji. Na primer, notranji globalni naslov lahko preslikate v določen interni lokalni naslov, ki je dodeljen vašemu spletnemu strežniku.

Statični NAT omogoča računalniku v omrežju LAN, da ohrani določen naslov med komunikacijo z napravami zunaj omrežja:

Nekateri usmerjevalniki NAT zagotavljajo obsežno filtriranje in beleženje prometa. Filtriranje omogoča vašemu podjetju, da nadzira, katera spletna mesta obiskujejo zaposleni, in jim preprečuje ogled vprašljivega gradiva. Beleženje prometa lahko uporabite za ustvarjanje dnevnika obiskanih spletnih mest in na podlagi tega ustvarite različna poročila.

Včasih se prevajanje omrežnih naslovov zamenjuje s strežniki proxy, kjer obstajajo določene razlike. NAT je pregleden za izvorne in ciljne računalnike. Nihče od njih ne ve, da gre za tretjo napravo. Vendar proxy strežnik ni pregleden. Izvorni računalnik ve, da pošilja zahtevo posredniku. Ciljni računalnik misli, da je proxy strežnik izvorni računalnik in ima neposredno opravka z njim. Poleg tega posredniki običajno delujejo na ravni 4 (transport) modela OSI ali višji, medtem ko je NAT protokol plasti 3 (omrežje). Zaradi dela na višjih ravneh so strežniki proxy v večini primerov počasnejši kot naprave NAT.

V naših stanovanjih se pojavlja vse več različnih digitalnih naprav – prenosnikov, tablic in pametnih telefonov. Medtem ko je računalnik v stanovanju sameval in je bil priključen direktno na omrežje ponudnika, ni bilo vprašanj. In zdaj, ko imate težavo - kako zdaj povezati nov prenosnik ali tablico z internetom. Tukaj pride pomoč. NAT tehnologija. Kaj je bistvo tehnologije NAT?
NAT — Prevod omrežnih naslovov - prevedeno v ruščino zveni nekako takole: "pretvorba omrežnega naslova". NAT je mehanizem v omrežjih TCP/IP, ki omogoča prevajanje naslovov IP tranzitnih paketov.
Preprosto povedano, če je v lokalnem omrežju več računalnikov, potem zahvaljujoč tehnologiji NAT vsi lahko dostopajo do zunanjega internetnega omrežja z uporabo enega zunanjega IP naslov (IP).

Kaj je naslov IP?

usmerjevalnik — usmerjevalnik- deluje na tretji ravni sistema OSI, oziroma se uporablja IP protokol je usmerjevalni protokol omrežne plasti sklada TCP/IP. Sestavni del protokola je omrežno naslavljanje. V skladu z obstoječimi pravili - vse naprave v omrežju so dodeljene IP naslovi (IP naslovi) so edinstveni omrežni identifikatorji naslova gostitelja. Uporabljata se 2 vrsti naslovov IP − siva in bela. Sivi naslovi- to je del naslovnega prostora, dodeljenega za lokalno omrežje - podomrežja naslovov IP 10.0.0.0/8, 172.16.0.0/12 oz 192.168.0.0/16 . Vsa druga podomrežja uporablja internet in so naslovi IP na beli listi.

Kako deliti internet z napravami v vašem omrežju.

Če želite vse naprave v lokalnem omrežju povezati z internetom, potrebujete usmerjevalnik. usmerjevalnik je naprava, ki se lahko preko ponudnikovega omrežja poveže z internetom in ga posreduje povezanim napravam, saj ima vsaj 4 vrata LAN in modul Wi-Fi. Ne zamenjujte usmerjevalnika s preprostim ethernetnim stikalom, ki je v bistvu neumen omrežni "razdelilnik". Ker je na usmerjevalniku nameščen operacijski sistem, podoben UNIX-u, je v napravi mogoče zagnati različne storitve, vključno z storitev NAT. Če želite to narediti, pri konfiguraciji usmerjevalnika potrdite polje Omogoči NAT .

torej usmerjevalnik za vsako zahtevo, ki gre skozi njega, postavi določeno oznako s podatki o pošiljatelju v lokalnem omrežju. Ko je ta zahteva odgovorjena, usmerjevalnik by label določa, na kateri naslov IP v lokalnem omrežju naj se pošlje paket. To je pravzaprav vse Na kratko, kako deluje tehnologija NAT.

Pozdravljeni vsi, danes bomo govorili o tem, kako konfigurirati Cisco NAT. Kaj je NAT in zakaj je sploh potreben, saj je ta funkcionalnost že dolgo in tesno vstopila v naše vsakdanje življenje in zdaj si je zelo težko predstavljati vsaj eno podjetje, ki ne bi uporabljalo te tehnologije. Nekoč je rešila internet in močno zavlekla prehod z ipv4 na ipv6, a najprej.

Kaj je NAT

NAT (Network Address Translation) je mehanizem za prevajanje omrežnih naslovov, če je preprost, je to tehnologija, ki omogoča, da se za enim belim ip-jem nahaja kup zasebnih ali sivih ip-jev. Primer je pisarniški internet, kjer vsi uporabniki sedijo preko skupnega prehoda, na katerem je konfiguriran ip naslov, ki gre v internet, da imajo uporabniki konfigurirane lokalne ip naslove.

Zgleda približno takole

Vrste NAT

• Statični NAT - pretvorba sive ip v belo, primer posredovanja vrat v lokalno omrežje, na primer RDP
• Dinamični NAT - transformacija sivega ip-ja v enega od ip-naslovov skupine belih ip-naslovov
• Preobremenjen NAT ali kot se imenuje tudi PAT (prevod naslova vrat), ki pretvarja več sivih ip-jev v bele, kar jim daje različna vrata.

Danes si bomo ogledali statični NAT in PAT.

Konfiguriranje Cisco NAT

Tako izgleda postavitev majhne pisarne. V vlan 2 imamo 3 računalnike, v ločenem vlan 3 je strežnik. Vse te stvari so povezane s stikalom druge ravni cisco 2660, ki je nato priključeno na usmerjevalnik Cisco 1841, ki usmerja lokalni promet med vlan 2 in 3.

Konfiguracija Cisco 2960

Ustvarimo vlan 2 in vlan3, jima dajmo imena in konfigurirajmo potrebna vrata za ta vlan.

omogočiti
conf t
ustvarite vlan 2
vlan 2
ime VLAN2
izhod
ustvarite vlan 3
vlan 3
ime VLAN3
izhod
Vrata smo postavili v vlan2
int obseg fa0/1-3
dostop v načinu switchport
stikalna vrata dostop vlan 2
izhod
Vrata smo postavili v vlan3
int fa 0/4
dostop v načinu switchport
vlan za dostop prek stikalnih vrat 3
izhod

int fa 0/5
prtljažnik načina switchport
switchport trunk dovoljen vlan 2.3
naredi mem

Konfiguracija Cisco 1841

Najprej ustvarimo podvmesnike in dvignimo vrata.

omogočiti
conf t
int fa0/0
brez izklopa
izhod

intfa0/0,2
enkapsulacija dot1Q 2
ip naslov 192.168.2.251 255.255.255.0
brez izklopa
izhod

intfa0/0,3
enkapsulacija dot1Q 3
ip naslov 192.168.3.251 255.255.255.0
brez izklopa
izhod

Zaradi tega je pristanišče postalo zeleno

nastavitev PAT

V moji virtualni infrastrukturi naše sheme žal ni mogoče izdati v internet, posnemali jo bomo, imeli bomo usmerjevalnik z belim ip naslovom in strežnik prav tako z belim ip naslovom. Shematično je videti takole. Na usmerjevalniku ponudnika sta na določenih vratih dodeljena bel naslov ip 213.235.1.1 in omrežna maska ​​255.255.255.252

Konfigurirajmo ta ip na našem usmerjevalniku testnega ponudnika.

en
conf t
int fa0/0
ip naslov 213.235.1.1 255.255.255.252
brez izklopa
izhod

konfiguriramo vrata fa0/1, ki jih pogledamo na strežnik, in jih nastavimo na drug beli ip 213.235.1.25 255.255.255.252

int fa0/1
ip naslov 213.235.1.25 255.255.255.252
brez izklopa
izhod

Moj strežnik bo imel naslov IP 213.235.1.26, prehod pa bo 213.235.1.25, vmesnik usmerjevalnika ponudnika, ki gleda na strežnik.

Zdaj pa konfigurirajmo naš lokalni usmerjevalnik Router0, konfigurirajmo beli naslov ip, ki nam ga je dodelil ponudnik 213.235.1.2 255.255.255.252, prehod bo 213.235.1.1

omogočiti
conf t
int fa0/1
ip naslov 213.235.1.2 255.255.255.252
brez izklopa
izhod
ip route 0.0.0.0 0.0.0.0 213.235.1.1
izhod
wr mem

Poskušamo pingati naslove ip ponudnika in strežnika iz pisarniškega usmerjevalnika in vidimo, da vse deluje v redu.

Usmerjevalnik#ping 213.235.1.1

Stopnja uspešnosti je 80 odstotkov (4/5), povratno potovanje min/avg/max = 0/0/0 ms

Usmerjevalnik#ping 213.235.1.1

Vnesite ubežno zaporedje za prekinitev.

Pošiljanje 5 100-bajtnih odmevov ICMP na 213.235.1.1, časovna omejitev je 2 sekundi:

Stopnja uspešnosti je 100 odstotkov (5/5), povratno potovanje min/avg/max = 0/0/1 ms

Usmerjevalnik#ping 213.235.1.2

Vnesite ubežno zaporedje za prekinitev.

Pošiljanje 5 100-bajtnih odmevov ICMP na 213.235.1.2, časovna omejitev je 2 sekundi:

Stopnja uspešnosti je 100 odstotkov (5/5), min/avg/max povratna pot = 0/9/17 ms

Usmerjevalnik#ping 213.235.1.25

Vnesite ubežno zaporedje za prekinitev.

Pošiljanje 5 100-bajtnih odmevov ICMP na 213.235.1.25, časovna omejitev je 2 sekundi:

Usmerjevalnik#ping 213.235.1.26

Vnesite ubežno zaporedje za prekinitev.

Pošiljanje 5 100-bajtnih odmevov ICMP na 213.235.1.26, časovna omejitev je 2 sekundi:

Stopnja uspešnosti je 100 odstotkov (5/5), min/avg/max povratna pot = 0/0/0 ms

No, nating sam. Na lokalnem usmerjevalniku naredite naslednje. Zdaj moramo nastaviti, kateri nat vmesnik bo veljal za zunanjega in katerega za notranjega, vse bo preprosto zunanje, kjer je konfiguriran beli ip naslov ponudnika, notranji je tisti, ki je povezan z drugonivojskim stikalom. fa0/1 bo zunanji, oba podvmesnika pa bosta notranja.

omogočiti
conf t
int fa0/1
ip nat zunaj
izhod
intfa0/0,2
ip nat znotraj
intfa0/0,3
ip nat znotraj
izhod

Prilagajanje dostopnega seznama

Seznam dostopa seznam, kateri promet je treba natirati in kateri bi moral delovati brez NAT.

Ustvarite seznam dostopov z imenom NAT

ip access-list standardni NAT
Dovoli dva bazena
dovoljenje 192.168.2.0 0.0.0.255
dovoljenje 192.168.3.0 0.0.0.255

0.0.0.255 je nadomestni bit

kot lahko vidite, imamo seznam dostopov v konfiguraciji in vrata so označena, katera so zunaj in katera notri.

In vnesemo še en čarobni ukaz, kjer piše, da je treba promet, ki je prišel na fa0 / 1, natirati po pravilu NAT. Posledično smo konfigurirali PAT.

ip nat znotraj seznama virov NAT vmesnik fa0/1 preobremenitev

Shrani vse do wr mem

preverite razpoložljivost zunanjih virov iz računalnika lokalnega omrežja. Poglejmo trenutne konfiguracije z ukazom ipconfig, glej naslov ip 192.168.2.1, ping 213.235.1.26, kot vidite, je vse OK in NAT cisco deluje.