Çfarë është NAT në një ruter? Parimi i funksionimit të ruterit (ruterit) Do të thotë nat.

Çfarë është NAT

Kompjuteri juaj mund të lidhet drejtpërdrejt me internetin. Pastaj ata thonë se ai e jashtme Adresa IP.

Kjo zakonisht do të thotë që kompjuteri është i lidhur drejtpërdrejt me një modem (DSL, kabllor ose analog i rregullt).

Pas NAT do të thotë që kompjuteri juaj nuk është i lidhur me internetin, por me një rrjet lokal. Pastaj ai ka brendshme Një adresë IP që nuk është e aksesueshme nga Interneti.

Kompjuteri juaj merr akses në internet përmes NAT - procesi i përkthimit të adresave të brendshme në ato të jashtme dhe anasjelltas. Një pajisje NAT zakonisht quhet ruter.

E veçanta e mënyrës se si funksionon NAT është se lidhjet e iniciuara nga kompjuteri juaj kalojnë në mënyrë transparente përmes pajisjes NAT në internet. Megjithatë, lidhjet që kompjuterët e tjerë dëshirojnë të krijojnë me ju nga interneti nuk mund t'ju arrijnë.

Gjetja e adresës IP të kompjuterit

Run"> Hap një kuti dialogu për ekzekutimin e programeve: klikoni në butonin Start, zgjidhni Run nga menyja.

Në Windows 2000/XP, shkruani cmd /k ipconfig, klikoni OK dhe shikoni rezultatin.

Windows 2000 IP Configuration Adapter Ethernet Lidhja Local Area: Prapashtesë DNS specifike për lidhjen . : Adresa IP. . . . . . . . . . . . : 192.168.1.10 Maska e nënrrjetit . . . . . . . . . . . : 255.255.255.0 Porta e paracaktuar . . . . . . . . . : 192.168.1.1

E para nga këto adresa është adresa IP e kompjuterit tuaj.

A jeni prapa NAT

Tre vargje të veçanta të adresave IP janë të rezervuara për rrjetet lokale dhe nuk përdoren në internet:

10. 0. 0. 0 - 10. 255.255.255 172. 16. 0. 0 - 172. 31.255.255 192.168. 0. 0 - 192.168.255.255

Nëse adresa IP e kompjuterit tuaj është në një nga këto intervale, domethënë, ajo fillon me 10 ose 192.168. ose nga 172.nn. (ku nn është nga 16 në 31) , atëherë kjo është një adresë lokale (e brendshme), dhe ju jeni padyshim prapa NAT.

Nëse jo, tani kontrolloni se në cilën adresë IP ju shohin kompjuterët e tjerë në internet. Për shembull, whatsmyip.org ("Adresa juaj IP është x.x.x.x" në krye të faqes) ose myipaddress.com .

Nëse adresa IP e kompjuterit tuaj përputhet me atë të treguar në një nga këto sajte, atëherë patjetër që jeni lidhur drejtpërdrejt me internetin.

Në raste të tjera, është e pamundur të thuhet me siguri. Opsionet e mëposhtme janë të mundshme:

• ju jeni prapa NAT, por administratori i rrjetit tuaj ka zgjedhur adresa të brendshme jo standarde për rrjetin tuaj lokal. Gjeni atë dhe pyesni pse ishte e nevojshme ta bëni këtë.
• ju hyni në internet përmes një serveri proxy (më pas whatsmyip.org ju tregoi adresën e këtij serveri proxy). Në shumë raste, ju mund të përcaktoni nëse ka një server proxy midis jush dhe Internetit duke përdorur lagado.com/proxy-test, për shembull.

  Lidhja përmes një përfaqësuesi nuk mbulohet në këtë udhëzues..

Opsionet e lidhjes përmes NAT

Nëse jeni prapa NAT, atëherë hapi tjetër është të përcaktoni saktësisht se ku ndodhet pajisja NAT.

Ofruesi NAT

Pastaj ata thonë atë
• ISP ju ofron internet përmes NAT,
• ose cili ofrues nuk ju jep një adresë IP të jashtme,
• ose që jeni të lidhur përmes rrjetit lokal të ofruesit

Mënyra më e lehtë është të telefononi ofruesin dhe të zbuloni. Ose pyesni fqinjët e ditur me të njëjtën lidhje.

Kur lidheni me internetin përmes rrjetit lokal të ofruesit, nuk mund të krijoni një port të disponueshëm për veten tuaj. Përveç nëse, sigurisht, ofruesi ridrejton në mënyrë specifike një port specifik për ju, gjë që është joreale. Ose nëse nuk paguani ekstra për një shërbim që zakonisht quhet adresë IP "jashtë" ("e bardhë").

NAT në një ndërtesë zyre ose apartamentesh

Në parim, situata është e njëjtë, por ju mund të kërkoni qasje te administratori lokal. Në fund të fundit, vendosja nëse një port është i disponueshëm varet nëse keni akses në cilësimet e ruterit.

Përveç kësaj, mund të provoni gjithashtu UPnP, papritmas ruteri e la atë të lejuar.

NAT tuajin

Në këtë rast, pothuajse gjithmonë mund ta konfiguroni atë dhe të merrni një port të disponueshëm.

Zakonisht kjo është ose një lidhje përmes një ruteri shtëpiak ose një lidhje përmes një kompjuteri tjetër, për shembull duke përdorur ICS (opsioni i dytë nuk merret parasysh këtu).

Natyrisht, në parim, ndodh gjithashtu që si shtëpia juaj ashtu edhe ofruesi të kenë NAT, domethënë kompjuteri juaj është prapa dy NAT në të njëjtën kohë. Kjo mund të kontrollohet duke shkuar te cilësimet e ruterit, duke parë adresën e tij të jashtme dhe më pas duke ndjekur skenarin e mësipërm (a bën kjo vargjet e adresave të rrjeteve lokale, pavarësisht nëse përputhet me adresën nën të cilën jeni parë në internet).

NAT (Network address translation) është një teknologji e përkthimit të adresave të rrjetit. NAT zgjidhi problemin më të madh të IPv4: nga mesi i viteve 1990, hapësira e adresave IPv4 mund të shterohej plotësisht. Nëse teknologjia NAT nuk do të ishte shpikur, rritja e internetit do të ishte ngadalësuar ndjeshëm. Sigurisht, sot është krijuar një version i ri i protokollit IP, IPv6. Ky version mbështet një numër të madh të adresave IP që ekzistenca e NAT është e pakuptimtë. Megjithatë, mjaft organizata ende përdorin protokollin IPv4 në punën e tyre dhe një kalim i plotë në IPv6 nuk do të ndodhë së shpejti. Prandaj, ka kuptim të studiohet teknologjia NAT.

Përkthimi i Adresës së Rrjetit (NAT) lejon një host që nuk ka një IP të bardhë të komunikojë me hostet e tjerë përmes Internetit. Një adresë IP e bardhë është një adresë IP e regjistruar, unike, globale në internet. Ekzistojnë gjithashtu adresa IP gri që përdoren në një rrjet privat dhe nuk janë të rutueshme në internet. Prandaj, nevojitet teknologjia NAT, e cila do të zëvendësojë adresën IP gri me një të bardhë. Gama e adresave IP gri është paraqitur në tabelë.

Përkthimi NAT zëvendëson adresat IP private me adresat IP të regjistruara publike në çdo paketë protokolli IP.

Përmes përkthimit NAT, ruteri ndryshon adresën IP të burimit ndërsa paketa largohet nga rrjeti privat. Ruteri gjithashtu ndryshon adresën e destinacionit të çdo pakete që kthehet në rrjetin privat. Softueri Cisco IOS mbështet disa shije të përkthimit NAT:

1. Static NAT - Çdo adresë IP private ka një IP publike. Me përkthimin statik, një ruter NAT thjesht krijon një korrespondencë një-për-një midis adresës IP private dhe adresës IP të regjistruar në emër të së cilës ai vepron.
2. Përkthimi dinamik NAT - konvertimi i adresave IP të brendshme në ato të jashtme ndodh në mënyrë dinamike. Krijohet një grup adresash IP publike të mundshme dhe adresat IP për përkthim zgjidhen në mënyrë dinamike nga ky grup.
3. Përkthimi i adresës së portit PAT - ju lejon të shkallëzoni për të mbështetur shumë klientë me vetëm disa adresa IP publike. PAT përkthen adresën e rrjetit në varësi të portit TCP/UDP të marrësit.

Le të hedhim një vështrim më të afërt në çdo lloj përkthimi.

Përkthim statik NAT bën një përputhje të saktë midis adresës IP private dhe publike. Le të shohim një shembull.

ISP-ja e kompanisë i cakton kompanisë numrin e rrjetit të regjistruar 200.1.1.0. Prandaj, ruteri NAT duhet ta bëjë këtë adresë private të duket sikur të ishte në rrjetin 200.1.1.0. Për ta bërë këtë, ruteri ndryshon adresën IP të burimit të paketave, të cilat përcillen nga e majta në të djathtë siç tregohet në figurë. Në këtë shembull, ruteri ndryshon adresën IP private 10.1.1.1 në adresën IP publike 200.1.1.1. Adresa tjetër private 10.1.1.2 korrespondon me adresën publike 200.1.1.2. Më pas, merrni parasysh konfigurimin e NAT statike në Cisco.

Konfigurimi i përkthimit statik NAT në pajisjet Cisco krahasuar me opsionet e tjera, ajo kërkon më pak veprim. Në këtë rast, ju duhet të krijoni një korrespondencë midis adresave IP lokale (private) dhe globale (publike). Ju gjithashtu duhet t'i tregoni ruterit se në cilat ndërfaqe të përdorë përkthimin NAT, pasi mund të mos aktivizohet në të gjitha ndërfaqet. Në veçanti, ruterit duhet t'i tregohet secila ndërfaqe dhe nëse është e brendshme apo e jashtme.

Diagrami tregon se përdoruesi ka marrë nga ofruesi adresën e rrjetit 100.0.0.0 të klasës C. I gjithë ky rrjet me maskën 255.255.255.0 është konfiguruar në një kanal serial ndërmjet përdoruesit dhe internetit. Meqenëse kjo është një lidhje pikë-për-pikë, vetëm 2 nga 254 adresat IP të vlefshme (të mundshme) përdoren në këtë rrjet.

Konfigurimi për ruterin NAT_GW:

NAT_GW>aktivizo terminalin NAT_GW#konfiguro - përshkrimi i ndërfaqes - vendosni portën e paracaktuar - përshkrimi i ndërfaqes - vendosni IP-në dhe maskën NAT_GW(konfigurim-nëse)#no shutdown - aktivizoni ndërfaqen fizikisht NAT_GW(config-if)#exit NAT_GW(config)#ip nat brenda burimit statik 192.168.1.2 100.0.0.1 NAT_GW(config)#ip nat brenda burimit statik 192.168.1.3 100.0.0.2 - përputhje statike e adresës NAT_GW(konfigurim)#ip nat brenda burimit statik 192.168.1.4 100.0.0.3 - përputhje statike e adresës

Përputhjet statike krijohen me komandën ip nat brenda burimit statik. Fjalë kyçe brenda do të thotë që NAT përkthen adresat për hostet që ndodhen në brendësi të rrjetit. Fjalë kyçe burimi do të thotë që NAT përkthen adresat IP në pako që vijnë në ndërfaqet e tij të brendshme. Fjalë kyçe statike do të thotë që këto opsione përcaktojnë një hyrje statike që nuk do të hiqet kurrë nga tabela NAT për shkak të skadimit të një periudhe kohore. Kur krijon hyrje statike të përkthimit NAT, ruteri duhet të dijë se cilat ndërfaqe janë brenda dhe cilat janë jashtë. Nënkomandat e ndërfaqes ip nat brenda Dhe ip nat jashtë identifikoni çdo ndërfaqe në mënyrë të përshtatshme.

Ekzistojnë dy komanda për të parë informacione të rëndësishme rreth NAT trego përkthimet ip nat, trego statistikat e ip nat.

Komanda e parë nxjerr tre hyrjet statike të përkthimit NAT të krijuara në konfigurim. Komanda e dytë printon informacion statistikor, të tillë si numrin e hyrjeve aktive aktualisht në tabelën e përkthimit. Kjo statistikë përfshin gjithashtu numrin e goditjeve, i cili rritet me një për çdo paketë që NAT duhet të përkthejë adresat.

Le të kalojmë në përkthimi dinamik i adresës së rrjetit NAT. Përkthimi dinamik krijon një grup adresash të brendshme të mundshme globale dhe përcakton një kriter përputhjeje për të përcaktuar se cilat adresa IP brenda globale duhet të përkthehen duke përdorur NAT. Për shembull, në diagramin më poshtë, një grup prej pesë adresash IP globale është vendosur në intervalin 200.1.1.1 - 200.1.1.5. Përkthimi NAT është konfiguruar gjithashtu për të përkthyer të gjitha adresat e brendshme lokale që fillojnë me oktetet 10.1.1

Në konfigurimi i përkthimit dinamik NAT në pajisjet Cisco ju ende duhet të identifikoni çdo ndërfaqe, të brendshme dhe të jashtme, por nuk keni më nevojë të specifikoni një hartë statike. Për të specifikuar adresat IP private që do të përkthehen, përkthimi dinamik NAT përdor listat e kontrollit të aksesit (kam shkruar për to më herët), dhe gjithashtu përcakton grupin e adresave IP publike të regjistruara që do të ndahen nga kjo. Pra, algoritmi dinamik i konfigurimit të përkthimit:

1. Konfiguro ndërfaqet që do të jenë në nënrrjetin e brendshëm duke përdorur komandën ip nat brenda.
2. Konfiguro ndërfaqet që do të vendosen në nënrrjetin e jashtëm duke përdorur komandën ip nat jashtë.
3. Konfiguro një ACL që korrespondon me paketat që vijnë në ndërfaqet e brendshme për të cilat duhet të aplikohet përkthimi NAT
4. Konfiguro një grup adresash IP të regjistruara publike duke përdorur komandën e modalitetit të konfigurimit global ip nat emri pool-adresa e parë-adresa e fundit netmask subnet-mask.
5. Aktivizo përkthimin dinamik NAT duke specifikuar në komandën e konfigurimit global ip nat brenda listës së burimeve acl-num emri i pishinës

Skema do të përdoret njësoj si herën e kaluar. Konfigurimi i ri për ruterin NAT_GW:

NAT_GW>aktivizo - kaloni në modalitetin e avancuar NAT_GW#konfiguro terminalin - shkoni në modalitetin e konfigurimit NAT_GW(konfigurim)#interface fa0/0 - vendosja e ndërfaqes drejt një rrjeti privat NAT_GW(config-if)#description LAN - përshkrimi i ndërfaqes NAT_GW(config-if)# adresa ip 192.168.1.1 255.255.255.0 - vendosni portën e paracaktuar NAT_GW(konfigurim-nëse)#no shutdown - aktivizoni ndërfaqen fizikisht NAT_GW(config-if)#ip nat brenda - konfiguroni ndërfaqen si të brendshme NAT_GW(config-if)#dalje NAT_GW(config)#interface fa0/1 - Cilësimet e ndërfaqes ndaj ofruesit NAT_GW(config-if)#description ISP - përshkrimi i ndërfaqes NAT_GW(config-if)# adresa ip 100.0.0.253 255.255.255.0 - vendosni IP-në dhe maskën NAT_GW(konfigurim-nëse)#no shutdown - aktivizoni ndërfaqen fizikisht NAT_GW(config-if)#ip nat jashtë - konfiguroni ndërfaqen si të jashtme NAT_GW(config-if)#dalje NAT_GW(config)#ip nat pool testPool 100.0.0.1 100.0.0.252 maskë rrjeti 255.255.255.0 - krijoni një pishinë dinamike NAT_GW(config)#access-list 1 leje 192.168.1.1 0.0.0.255 - krijoni një listë aksesi 1, në të cilën ne lejojmë transmetimin e adresave IP nga nënrrjeti 192.168.1.1/24 NAT_GW(konfigurim)#ip nat brenda listës së burimeve 1 test Pool - aktivizoni transmetimin dinamik NAT_GW(konfigurim)#ip itinerari 0.0.0.0 0.0.0.0 100.0.0.254 - rrugë statike drejt ofruesit

Lloji tjetër i përkthimit është PAT (Port Address Translation). Për këtë lloj NAT do të flas në artikullin tjetër, kur të lidhim nënrrjetin lokal me internetin. Tema është mjaft e madhe dhe e rëndësishme. PAT është lloji më i popullarizuar i NAT.

Mbështet projektin

Miq, faqja e internetit Netcloud po zhvillohet çdo ditë falë mbështetjes suaj. Ne planifikojmë të lançojmë seksione të reja artikujsh, si dhe disa shërbime të dobishme.

Ju keni mundësinë për të mbështetur projektin dhe për të kontribuar çdo shumë që ju e shihni të arsyeshme.

Nëse jeni duke e lexuar këtë dokument, ka shumë të ngjarë që jeni të lidhur me internetin dhe përdorni përkthimin e adresës së rrjetit ( Përkthimi i Adresës së Rrjetit, NAT) tani! Interneti është bërë kaq i madh sesa mund ta imagjinonte kushdo. Megjithëse madhësia e saktë nuk dihet, vlerësimi aktual është afërsisht 100 milionë host dhe më shumë se 350 milionë përdorues aktivë në internet. Në fakt, shkalla e rritjes është e tillë që interneti po dyfishohet në mënyrë efektive çdo vit. Që një kompjuter të komunikojë me kompjuterë dhe serverë të tjerë në internet në internet, duhet të ketë një adresë IP. Një adresë IP (IP qëndron për Protokollin e Internetit) është një numër unik 32-bit që identifikon vendndodhjen e kompjuterit tuaj në një rrjet. Në thelb funksionon njësoj si adresa juaj e rrugës: një mënyrë për të gjetur saktësisht se ku jeni dhe për të marrë informacionin tek ju. Teorikisht, mund të keni 4,294,967,296 adresa unike (2^32). Numri aktual i adresave të disponueshme është më i vogël (diku midis 3.2 dhe 3.3 miliardë) për shkak të mënyrës së kategorizimit të adresave dhe nevojës për të lënë mënjanë disa prej adresave për multicast, testim ose nevoja të tjera specifike. Me rritjen e rrjeteve shtëpiake dhe rrjeteve të biznesit, numri i adresave IP të disponueshme nuk është më i mjaftueshëm. Zgjidhja e dukshme është ridizajnimi i formatit të adresës për të lejuar më shumë adresa të mundshme. Kështu, protokolli IPv6 po zhvillohet, por ky zhvillim do të zgjasë disa vite, sepse kërkon modifikim të të gjithë infrastrukturës së internetit.

Këtu na vjen në ndihmë NAT. Në thelb, Përkthimi i Adresave të Rrjetit lejon një pajisje të vetme, siç është një ruter, të veprojë si një agjent midis internetit (ose "rrjetit publik") dhe një rrjeti lokal (ose "privat"). Kjo do të thotë që kërkohet vetëm një adresë IP unike për të përfaqësuar një grup të tërë kompjuterësh në çdo gjë jashtë rrjetit të tyre. Mungesa e adresave IP është vetëm një arsye për të përdorur NAT. Dy arsye të tjera të mira janë siguria dhe administrimi.

Do të mësoni se si mund të përfitoni nga NAT, por së pari, le të hedhim një vështrim më të afërt në NAT dhe të shohim se çfarë mund të bëjë.

maskim

NAT është si një sekretare në një zyrë të madhe. Le të themi se i keni lënë udhëzime sekretarit që të mos ridrejtojë asnjë telefonatë tek ju nëse nuk e kërkoni. Më vonë, ju telefononi klientin e mundshëm dhe lini një mesazh që ai t'ju thërrasë. Ju i thoni sekretarit se prisni një telefonatë nga ky klient dhe telefonata duhet të transferohet. Klienti telefonon në numrin tuaj të zyrës kryesore, i cili është numri i vetëm që ai njeh. Kur një klient i thotë sekretarit se kë kërkon, sekretari kontrollon listën e tij të punonjësve për të gjetur një përputhje midis emrit dhe numrit të tij shtesë. Sekretari e di që ju e keni kërkuar këtë telefonatë, kështu që ai e transferon telefonuesin në telefonin tuaj.

Një teknologji e zhvilluar nga Cisco, Përkthimi i Adresave të Rrjetit përdoret nga një pajisje (firewall, ruter ose kompjuter) që ndodhet midis një rrjeti të brendshëm dhe pjesës tjetër të botës. NAT ka shumë forma dhe mund të funksionojë në disa mënyra:

NAT statike- Hartimi i adresës IP të paregjistruar në adresën IP të regjistruar në baza një-për-një. Veçanërisht e dobishme kur pajisja duhet të jetë e aksesueshme nga jashtë rrjetit.

Në NAT statike, një kompjuter me adresën 192.168.32.10 do të përkthehet gjithmonë në adresën 213.18.123.110:

NAT dinamike- Harton një adresë IP të paregjistruar në një adresë të regjistruar nga një grup adresash IP të regjistruara. Dynamic NAT gjithashtu krijon një hartë të drejtpërdrejtë midis një adrese të paregjistruar dhe një adrese të regjistruar, por hartëzimi mund të ndryshojë në varësi të adresës së regjistruar të disponueshme në grupin e adresave gjatë komunikimit.

Në NAT dinamik, një kompjuter me adresën 192.168.32.10 përkthehet në adresën e parë të disponueshme në rangun 213.18.123.100 deri në 213.18.123.150

Mbingarkesaështë një formë e NAT dinamike që harton adresa të shumta të paregjistruara në një adresë IP të vetme të regjistruar duke përdorur porte të ndryshme. I njohur gjithashtu si PAT (Përkthimi i adresës së portit)

Kur mbingarkohet, çdo kompjuter në rrjetin privat përkthehet në të njëjtën adresë (213.18.123.100) por me një numër porti të ndryshëm

mbivendosje- Kur adresat IP të përdorura në rrjetin tuaj të brendshëm përdoren gjithashtu në një rrjet tjetër, ruteri duhet të mbajë një tabelë kërkimi të këtyre adresave në mënyrë që t'i përgjojë dhe zëvendësojë ato me adresa IP unike të regjistruara. Është e rëndësishme të theksohet se një ruter NAT duhet të përkthejë adresat "brenda" në adresa unike të regjistruara, dhe gjithashtu duhet të përkthejë adresat e regjistruara "të jashtme" në adresa që janë unike për rrjetin privat. Kjo mund të bëhet ose përmes NAT statike, ose mund të përdorni DNS dhe të zbatoni NAT dinamik.

Shembull:
Gama e brendshme IP (237.16.32.xx) është gjithashtu një interval i regjistruar i përdorur nga një rrjet tjetër. Prandaj, ruteri përkthen adresat për të shmangur konfliktin e mundshëm. Ai gjithashtu do të kthejë adresat e regjistruara IP globale në adresa lokale të paregjistruara kur paketat dërgohen në rrjetin e brendshëm.

Rrjeti i brendshëm është zakonisht një LAN (Rrjeti i Zonës Lokale), më së shpeshti i referuar si një domen cung. Një domen cung është një LAN që përdor adresa IP të brendshme. Shumica e trafikut të rrjetit në një domen të tillë është lokal dhe nuk largohet nga rrjeti i brendshëm. Domeni mund të përfshijë adresa IP të regjistruara dhe të paregjistruara. Sigurisht, çdo kompjuter që përdor adresa IP të paregjistruara duhet të përdorë NAT për të komunikuar me pjesën tjetër të botës.

NAT mund të konfigurohet në mënyra të ndryshme. Në shembullin e mëposhtëm, ruteri NAT është konfiguruar për të përkthyer adresat IP të paregjistruara (adresat e brendshme lokale) që qëndrojnë në rrjetin privat (të brendshëm) në adresat IP të regjistruara. Kjo ndodh sa herë që një pajisje brenda me një adresë të paregjistruar duhet të komunikojë me një rrjet të jashtëm.

Mbingarkimi NAT përdor një veçori të grumbullit të protokollit TCP/IP, siç është multipleksimi, i cili lejon një kompjuter të mbajë lidhje të shumta paralele me një kompjuter të largët duke përdorur porte të ndryshme TCP ose UDP. Një paketë IP ka një kokë që përmban informacionin e mëposhtëm:

• Adresa e burimit - adresa IP e kompjuterit burim, për shembull, 201.3.83.132.
• Porta e burimit - numri i portit TCP ose UDP i caktuar nga kompjuteri burim për këtë paketë, për shembull, Porta 1080.
• Adresa e destinacionit - Adresa IP e kompjuterit të marrësit. Për shembull, 145.51.18.223.
• Porta e destinacionit - numri i portit TCP ose UDP, i cili kërkon të hapë kompjuterin burim në aplikacion, për shembull, porti 3021.

Adresat IP identifikojnë dy makina në secilën anë, ndërsa numrat e portave sigurojnë që lidhja midis dy makinave të ketë një identifikues unik. Kombinimi i këtyre katër numrave përcakton një lidhje të vetme TCP/IP. Çdo numër porti përdor 16 bit, që do të thotë se ka 65,536 (2^16) vlera të mundshme. Në realitet, meqenëse prodhues të ndryshëm hartojnë portet në mënyra paksa të ndryshme, mund të prisni afërsisht 4000 porte të disponueshme.

Shembuj të NAT dinamike dhe NAT me mbingarkesë

Më poshtë tregon se si funksionon NAT dinamik.

Klikoni në një nga butonat e gjelbër për të dërguar një paketë të suksesshme ose në ose nga rrjeti i brendshëm. Klikoni në një nga butonat e kuq për të dërguar një paketë, e cila do të hidhet nga ruteri për shkak të një adrese të pavlefshme.

• ai i brendshëm u krijua me adresa IP që nuk ishin të rezervuara posaçërisht për këtë kompani nga IANA (Internet Assigned Assigned Oversight Authority), byroja globale që shpërndan adresat IP. Adresa të tilla duhet të konsiderohen të padrejtuara sepse nuk janë unike. Këto janë adresa të brendshme lokale.
• kompania instalon një ruter me NAT. Ruteri ka një sërë adresash IP unike të caktuara për kompaninë. Këto janë adresa të brendshme globale.
• një kompjuter në LAN përpiqet të lidhet me një kompjuter jashtë rrjetit, siç është një server në internet.
• ruteri merr një paketë nga një kompjuter në LAN.
• Pas kontrollimit të tabelës së rrugëzimit dhe kontrollit të procesit për përkthim, ruteri ruan adresën e kompjuterit jo të rrugëzueshme në tabelën e përkthimit të adresave. Ruteri zëvendëson adresën e padrejtueshme të kompjuterit të dërguesit me adresën e parë IP të disponueshme në një sërë adresash unike. Tabela e përkthimit tani ka një shfaqje të adresës IP të padrejtuar të kompjuterit, e cila korrespondon me një nga adresat IP unike.
• Kur një paketë kthehet nga kompjuteri i destinacionit, ruteri kontrollon adresën e destinacionit në paketë. Më pas shikon në tabelën e përkthimit të adresave për të gjetur se cilit kompjuter në domen i përket paketa e dhënë. Ai ndryshon adresën e destinacionit në atë të ruajtur më parë në tabelën e përkthimit dhe e dërgon paketën në kompjuterin e duhur. Nëse ruteri nuk gjen një përputhje në tabelë, ai e hedh paketën.
• Kompjuteri merr një paketë nga ruteri dhe i gjithë procesi përsëritet ndërkohë që kompjuteri komunikon me sistemin e jashtëm.

Më pas, le të shohim se si funksionon mbingarkesa.

• Rrjeti i brendshëm u krijua me adresa IP jo të rutueshme që nuk ishin të rezervuara posaçërisht për kompaninë
• kompania instalon një ruter me NAT. Ruteri ka një adresë IP unike të lëshuar nga IANA
• një kompjuter në domen përpiqet të lidhet me një kompjuter jashtë rrjetit, siç është një server në internet.
• ruteri merr një paketë nga një kompjuter në domen.
• Pas rrugëtimit dhe vërtetimit të paketës për të kryer përkthimin, ruteri ruan adresën IP të padrejtueshme të kompjuterit dhe numrin e portit në tabelën e përkthimit. Ruteri zëvendëson adresën IP jo të rrugëzueshme të kompjuterit dërgues me adresën IP të ruterit. Ruteri zëvendëson portën e kompjuterit burimor të dërguesit me një numër porti të rastësishëm dhe e ruan atë në tabelën e përkthimit të adresave për atë dërgues. Tabela e përkthimit ka një shfaqje të adresës IP të padrejtueshme të kompjuterit dhe numrin e portës së bashku me adresën IP të ruterit.
• Kur paketa kthehet nga destinacioni, ruteri kontrollon portin e destinacionit në paketë. Më pas shikon në tabelën e përkthimit për të gjetur se cilit kompjuter në domen i përket paketa. Më pas, ruteri ndryshon adresën e marrësit dhe portën e marrësit në vlerat që ishin ruajtur më parë në tabelën e përkthimit dhe e dërgon paketën në nyjen fundore.
• kompjuteri merr një paketë nga ruteri dhe procesi përsëritet
• Meqenëse ruteri NAT tani ka adresën e burimit të kompjuterit dhe portën e burimit të ruajtur në tabelën e përkthimit, ai do të vazhdojë të përdorë të njëjtin numër porti për lidhjet e mëvonshme. Sa herë që një ruter akseson një hyrje në tabelën e përkthimit, kohëmatësi i jetës së hyrjes rivendoset. Nëse hyrja nuk arrihet përpara skadimit të kohëmatësit, ajo hiqet nga tabela

Numri i përkthimeve të njëkohshme që do të mbështesë një ruter përcaktohet kryesisht nga sasia e DRAM-it (Dynamic Random Access Memory). Meqenëse një hyrje tipike e tabelës së përkthimit është afërsisht 160 bajt, një ruter me 4 MB RAM mund të trajtojë teorikisht 26214 lidhje të njëkohshme, gjë që është më se e mjaftueshme për shumicën e aplikacioneve.

Siguria dhe Administrata

Zbatimi dinamik NAT krijon automatikisht një mur zjarri midis rrjetit tuaj të brendshëm dhe rrjeteve të jashtme ose internetit. Dynamic NAT lejon vetëm lidhjet që kanë origjinën në rrjetin lokal. Në thelb, kjo do të thotë që një kompjuter në një rrjet të jashtëm nuk mund të lidhet me kompjuterin tuaj nëse kompjuteri juaj nuk e ka nisur lidhjen. Kështu që mund të lundroni në ueb dhe të lidheni me një sajt, madje të ngarkoni një skedar. Por askush tjetër nuk mund të kontrollojë adresën tuaj IP dhe ta përdorë atë për t'u lidhur me një port në kompjuterin tuaj.

Static NAT, i quajtur gjithashtu harta hyrëse, lejon lidhjet e inicuara nga pajisjet e jashtme me kompjuterët në LAN në rrethana të caktuara. Për shembull, ju mund të hartoni një adresë të brendshme globale në një adresë specifike të brendshme lokale që i është caktuar serverit tuaj të internetit.

Static NAT lejon një kompjuter në LAN të mbajë një adresë specifike gjatë komunikimit me pajisjet jashtë rrjetit:

Disa ruterë NAT ofrojnë filtrim dhe regjistrim të gjerë të trafikut. Filtrimi lejon kompaninë tuaj të kontrollojë se cilat faqe interneti vizitojnë punonjësit, duke i penguar ata të shikojnë materiale të dyshimta. Ju mund të përdorni regjistrimin e trafikut për të krijuar një regjistër të vendeve që vizitohen dhe të gjeneroni raporte të ndryshme bazuar në atë.

Ndonjëherë përkthimi i adresës së rrjetit ngatërrohet me serverët proxy, ku ka dallime të caktuara. NAT është transparent për kompjuterët burim dhe destinacion. Asnjëri prej tyre nuk e di se ka të bëjë me një pajisje të tretë. Por serveri proxy nuk është transparent. Kompjuteri burimor e di që po i bën një kërkesë përfaqësuesit. Kompjuteri i destinacionit mendon se serveri proxy është kompjuteri burim dhe merret drejtpërdrejt me të. Gjithashtu, proxies zakonisht funksionojnë në shtresën 4 (Transport) të modelit OSI ose më të lartë, ndërsa NAT është një protokoll i shtresës 3 (Rrjeti). Puna në nivele më të larta i bën serverët proxy më të ngadalshëm se pajisjet NAT në shumicën e rasteve.

Në apartamentet tona shfaqen gjithnjë e më shumë pajisje të ndryshme dixhitale - laptopë, tabletë dhe smartfonë. Ndërsa kompjuteri në apartament ishte i vetëm dhe i lidhur direkt me rrjetin e ofruesit, nuk kishte pyetje. Dhe tani, kur keni një problem - si të lidhni një laptop ose tablet të ri me internetin tani. Këtu vjen ndihma. Teknologjia NAT. Cili është thelbi i teknologjisë NAT?
NAT — Përkthimi i adresës së rrjetit - e përkthyer në Rusisht tingëllon diçka si kjo: "konvertimi i adresës së rrjetit". NATështë një mekanizëm në rrjetet TCP / IP që ju lejon të përktheni adresat IP të paketave transitore.
Me fjalë të thjeshta, nëse ka disa kompjuterë në rrjetin lokal, atëherë falë teknologjisë NAT të gjithë ata mund të hyjnë në rrjetin e jashtëm të internetit duke përdorur një të jashtëm adresa IP (IP).

Çfarë është një adresë IP?

router — router- punon në nivelin e tretë të sistemit OSI, përkatësisht, përdoret Protokolli IPështë një protokoll i rutueshëm i shtresës së rrjetit të grupit TCP/IP. Një pjesë integrale e protokollit është adresimi i rrjetit. Në përputhje me rregullat ekzistuese - të gjitha pajisjet në rrjet janë caktuar adresat IP (adresat IP) janë identifikuesit unik të rrjetit të adresës së hostit. Janë 2 lloje të adresave IP të përdorura - gri Dhe të bardhë. Adresat gri- kjo është pjesë e hapësirës së adresave të alokuara për rrjetin lokal - nënrrjetat e adresave IP 10.0.0.0/8, 172.16.0.0/12 ose 192.168.0.0/16 . Të gjitha nënrrjetet e tjera përdoren nga Interneti dhe janë adresa IP në listën e bardhë.

Si të ndani internetin me pajisjet në rrjetin tuaj.

Për të lidhur të gjitha pajisjet në rrjetin lokal me internetin, ju duhet router. routerështë një pajisje që mund të lidhet me internetin përmes rrjetit të ofruesit dhe ta shpërndajë atë në pajisjet e lidhura për faktin se ka të paktën 4 porte LAN dhe modul Wi-Fi. Mos e ngatërroni një ruter me një ndërprerës të thjeshtë Ethernet, i cili në thelb është një "ndarës" memec i rrjetit. Për shkak të faktit se një sistem operativ i ngjashëm me UNIX është instaluar në ruter, shërbime të ndryshme mund të lëshohen në pajisje, duke përfshirë Shërbimi NAT. Për ta bërë këtë, kur konfiguroni ruterin, kontrolloni kutinë Aktivizo NAT .

Kështu që router për çdo kërkesë që kalon në të, vendos një etiketë të caktuar që përmban të dhëna për dërguesin në rrjetin lokal. Kur kësaj kërkese i jepet përgjigje, router me emërtim përcakton se në cilën adresë IP në rrjetin lokal do të dërgohet paketa. Kjo është në fakt e gjitha si funksionon teknologjia NAT me pak fjalë.

Përshëndetje të gjithëve, sot do të flasim për mënyrën e konfigurimit të Cisco NAT. Çfarë është NAT dhe pse është e nevojshme fare, pasi ky funksionalitet ka hyrë gjatë dhe fort në jetën tonë të përditshme dhe tani është shumë e vështirë të imagjinohet të paktën një ndërmarrje që nuk do ta përdorte këtë teknologji. Në një kohë, ajo shpëtoi internetin dhe vonoi shumë kalimin nga ipv4 në ipv6, por së pari gjërat e para.

Çfarë është NAT

NAT (Network Address Translation) është një mekanizëm përkthimi i adresave të rrjetit, nëse është i thjeshtë, është një teknologji që lejon një grup ip private ose gri të ulen pas një ip të bardhë. Një shembull është Interneti i zyrës, ku të gjithë përdoruesit ulen përmes një porte të përbashkët, në të cilën është konfiguruar një adresë ip që shkon në internet, që përdoruesit të kenë të konfiguruara adresat ip lokale.

Duket përafërsisht kështu

Llojet e NAT

• Static NAT - konvertimi i IP-së gri në të bardhë, një shembull i përcjelljes së portit në një rrjet lokal, për shembull RDP
• NAT dinamik - transformimi i ip-së gri në një nga adresat ip të një grupi adresash ip të bardha
• NAT i mbingarkuar ose siç quhet edhe PAT (përkthimi i adresës së portit), duke konvertuar disa ip gri në të bardhë, duke u dhënë atyre porte të ndryshme.

Sot do të shikojmë NAT dhe PAT statike.

Konfigurimi i Cisco NAT

Kështu duket një plan urbanistik i vogël i zyrës. Ne kemi 3 kompjuterë në vlan 2, ka një server në një vlan 3 të veçantë. Të gjitha këto gjëra janë të lidhura me një çelës cisco 2660 të nivelit të dytë, i cili, nga ana tjetër, është i lidhur në një router Cisco 1841 që drejton trafikun lokal midis vlan 2 dhe 3.

Konfigurimi i Cisco 2960

Le të krijojmë vlan 2 dhe vlan3, t'u japim emra dhe të konfigurojmë portat e nevojshme për këto vlan.

mundësojnë
conf t
krijoni vlan 2
vlan 2
emri VLAN2
dalje
krijoni vlan 3
vlan 3
emri VLAN3
dalje
Ne vendosëm portet në vlan2
intervali int fa0/1-3
qasja në modalitetin e kalimit
aksesi i portit kalimtar vlan 2
dalje
E vendosëm portin në vlan3
int fa 0/4
qasja në modalitetin e kalimit
aksesi i portit kalimtar vlan 3
dalje

int fa 0/5
trungu i modalitetit të kalimit
trunk porti i lejuar vlan 2.3
bëj wr mem

Konfigurimi i Cisco 1841

Para së gjithash, le të krijojmë nënndërfaqe dhe të ngremë portin.

mundësojnë
conf t
int fa0/0
asnjë mbyllje
dalje

intfa0/0.2
kapsulimi dot1Q 2
adresa ip 192.168.2.251 255.255.255.0
asnjë mbyllje
dalje

intfa0/0.3
kapsulimi pika1Q 3
adresa ip 192.168.3.251 255.255.255.0
asnjë mbyllje
dalje

Si rezultat, porti u bë i gjelbër

Konfigurimi i PAT

Në infrastrukturën time virtuale, për fat të keq, skema jonë nuk mund të lëshohet në internet, ne do ta imitojmë atë, do të kemi një ruter me një adresë ip të bardhë dhe një server gjithashtu me një adresë ip të bardhë. Skematikisht, duket kështu. Në ruterin e ofruesit, një adresë ip e bardhë 213.235.1.1 dhe një maskë rrjeti 255.255.255.252 janë caktuar në një port specifik

Le ta konfigurojmë këtë ip në ruterin tonë të ofruesit të testimit.

sq
conf t
int fa0/0
adresa ip 213.235.1.1 255.255.255.252
asnjë mbyllje
dalje

konfigurojmë portën fa0/1 të cilën e shikojmë në server dhe e vendosim në një IP tjetër të bardhë 213.235.1.25 255.255.255.252

int fa0/1
adresa ip 213.235.1.25 255.255.255.252
asnjë mbyllje
dalje

Serveri im do të ketë një adresë ip prej 213.235.1.26 dhe porta do të jetë 213.235.1.25, ndërfaqja e ruterit të ofruesit që shikon serverin.

Tani le të konfigurojmë ruterin tonë lokal Router0, konfigurojmë adresën ip të bardhë të caktuar për ne nga ofruesi 213.235.1.2 255.255.255.252, porta do të jetë 213.235.1.1

mundësojnë
conf t
int fa0/1
adresa ip 213.235.1.2 255.255.255.252
asnjë mbyllje
dalje
ip route 0.0.0.0 0.0.0.0 213.235.1.1
dalje
wr mem

Ne përpiqemi të bëjmë ping adresat IP të ofruesit dhe serverit nga ruteri i zyrës dhe shohim që gjithçka funksionon mirë.

Ruteri#ping 213.235.1.1

Shkalla e suksesit është 80 përqind (4/5), vajtje-ardhje min./mesatare/maksimum = 0/0/0 ms

Ruteri#ping 213.235.1.1

Shkruani sekuencën e arratisjes për të ndërprerë.

Dërgimi i ICMP Echos 5, 100 byte në 213.235.1.1, koha e skadimit është 2 sekonda:

Shkalla e suksesit është 100 për qind (5/5), vajtje-ardhje min./mesatare/maksimum = 0/0/1 ms

Ruteri#ping 213.235.1.2

Shkruani sekuencën e arratisjes për të ndërprerë.

Dërgimi i ICMP Echos 5, 100 byte në 213.235.1.2, koha e skadimit është 2 sekonda:

Shkalla e suksesit është 100 për qind (5/5), vajtje-ardhje min./mesatare/maksimum = 0/9/17 ms

Ruteri#ping 213.235.1.25

Shkruani sekuencën e arratisjes për të ndërprerë.

Dërgimi i ICMP Echos 5, 100 byte në 213.235.1.25, koha e skadimit është 2 sekonda:

Ruteri#ping 213.235.1.26

Shkruani sekuencën e arratisjes për të ndërprerë.

Dërgimi i ICMP Echos 5, 100 byte në 213.235.1.26, koha e skadimit është 2 sekonda:

Shkalla e suksesit është 100 për qind (5/5), vajtje-ardhje min./mesatare/maksimum = 0/0/0 ms

Epo, vetë kombësia. Në ruterin lokal, bëni sa më poshtë. Tani duhet të vendosim se cila ndërfaqe nat do të konsiderohet e jashtme dhe cila e brendshme, gjithçka do të jetë thjesht e jashtme ku është konfiguruar adresa e bardhë ip e ofruesit, e brendshme është ajo që lidhet me ndërprerësin e nivelit të dytë. fa0/1 do të jetë i jashtëm dhe dy nënndërfaqet do të jenë të brendshme.

mundësojnë
conf t
int fa0/1
ip nat jashtë
dalje
intfa0/0.2
ip nat brenda
intfa0/0.3
ip nat brenda
dalje

Përshtatja e listës së aksesit

Qasja Lista e një liste se cili trafik duhet të bëhet dhe cili duhet të funksionojë pa NAT.

Krijoni një listë aksesi të quajtur NAT

ip access-list standard NAT
Lejo dy pishina
leje 192.168.2.0 0.0.0.255
leje 192.168.3.0 0.0.0.255

0.0.0.255 është bit Wildcard

siç mund ta shihni, ne kemi një listë aksesi në konfigurim dhe portat janë të shënuara se cilat janë jashtë dhe cilat janë brenda.

Dhe futemi një komandë tjetër magjike, ku thotë se trafiku që erdhi në fa0 / 1 duhet të natted sipas rregullit NAT. Si rezultat, ne konfiguruam PAT.

ip nat brenda listës së burimeve Ndërfaqja NAT mbingarkesë fa0/1

Ruaj të gjitha duke bërë wr mem

kontrolloni disponueshmërinë e burimeve të jashtme nga një kompjuter i rrjetit lokal. Le të shohim konfigurimet aktuale me komandën ipconfig, shikoni adresën ip 192.168.2.1, ping 213.235.1.26, pasi mund ta shihni gjithçka është në rregull dhe NAT cisco po funksionon.