Vrsta priključka nat. Kako NAT funkcionira

/05.07.2004 20:43/

Posljednjih godina, među ruskim mrežnim administratorima, moda za FireWall i NAT... Korisnici Eserva znaju moj stav prema ovim tehnologijama od sredine 90-ih, ali ponekad novajlije postavljaju takva pitanja o FireWall / NAT-u, pa se moram ponoviti. Stoga sam prije otprilike godinu dana napisao zaseban članak o FireWall -u, a danas je na redu NAT.

Epigraph

Dodano 28.12.2005. Google je dao dobar sažetak NAT problema: "NAT uređaji, sve popularniji u domovima i uredima, dopuštaju višestrukim mašinama da dijele jednu internetsku adresu. Posljedično, postaje sve teže za aplikacije kao što je glasovni chat, koje zahtijevaju od kolega da direktno se obraćaju jedni drugima, kako bi pouzdano uspostavili peer-to-peer vezu. " (NAT uređaji, koji postaju sve popularniji u domovima i uredima, omogućuju dijeljenje više mašina jedan internet adresa. Kao rezultat toga, aplikacije kao što je glasovni chat, koje zahtijevaju izravno obraćanje strana, sve je teže stvoriti pouzdane veze od tačke do tačke.)

Sadržaj dokumenta

NAT historija

Prvo, nekoliko riječi o povijesti nastanka potrebe za proksiranjem / gate / tuneliranjem na Internetu, zatim će postati jasnije mogućnosti različitih pristupa i njihova "hijerarhija". Kao što znate, nedostatak IP adresa u 4-bajtnom adresnom prostoru predviđen je još početkom 90-ih (plus nedostatak novca za iznajmljivanje blokova adresa u nekim kompanijama. Stoga smo se već u martu 1994. dogovorili o "segmentaciji adresa" "zajedničkog prostora - dodjela za lokalne mreže određenog raspona IP adresa i isključivanje ovih IP adresa iz upotrebe na Internetu (http://www.ietf.org/rfc/rfc1597.txt ožujak 1994. Dodjela adresa za privatne internete; citat o svrsi ovog dokumenta "Autori se nadaju da će upotreba ovih metoda dovesti do značajnih ušteda u dodjeli adresa"). Ovo rješenje je omogućilo kompanijama da dodijele male blokove IP adresa za svoje internetske servere, a unutar LAN -a, IP adrese za vlastite potrebe su same kompanije dodijelile iz raspona za lokalne mreže. Kao rezultat toga, internetski serveri kompanije (pošta i www / ftp) bili su lako dostupni i sa Interneta i sa LAN -a, a računari unutar LAN -a mogli su bez problema komunicirati koristeći iste IP protokole. Ali ova odluka je podigla barijeru između lokalnih mreža i interneta. ista IP adresa mogla bi se koristiti u različitim LAN -ovima i od tada iz tog razloga, Internet je prestao usmjeravati pakete za adresne blokove dodijeljene za LAN -ove. One. zapravo, "fizička barijera" (bez presijecanja žica, u čemu su uživali u ruskim bankama nakon prvih provala, i bez instaliranja Firewall-a, koji im je sada drag). Mreže su postale izolirane, kao što su zadaci izolirani u modernim operativnim sistemima - svaka ima svoj adresni prostor. Od tada ova prepreka nije predstavljala problem za poštu Poslovni poslužitelji preduzeća bili su instalirani na rubu mreža i bili su vidljivi s Interneta i LAN -a. No, s pristupom iz LAN -a vanjskim resursima - ftp -u i koji je tih godina i dalje dobivao popularnost, http -serveri su počeli imati problema. Ako je ranije bilo moguće izravno komunicirati s poslužiteljem s bilo kojeg računala, sada je ova mogućnost ostala sa računarima samo s pravim internetskim adresama. koji LAN da pošalje odgovor na IP paket s lokalnom adresom u povratnoj adresi - usmjerivač neće moći odrediti.

Najjednostavnije rješenje ovog problema - zamjena povratne adrese na granici mreže - ležalo je na površini i nije se sporo objavljivalo: u maju 1994., tj. dva mjeseca nakon što je "odjeljak mreža" predložio NAT specifikaciju: http://www.ietf.org/rfc/rfc1631.txt Prevodilac mrežnih adresa (NAT) maj 1994 Autori su ovo najavili kao "kratkoročno rješenje", tj. privremeno rešenje navedenog problema, neka vrsta "hakiranja", sve dok normalna rješenja ne postanu raširena. Ali, kao što znate, ništa nije tako trajno kao privremeni IPv6, suprotno očekivanjima, nije brzo ukorijenio, a u posljednjih 10 godina svjedoci smo sve više bitki na granicama LAN -a i interneta. NAT je postao široko rasprostranjen jer u tim godinama nije postojalo drugo prihvatljivo rješenje za ovaj problem: FTP klijenti i HTTP klijenti (preglednici) nisu imali vremena prilagoditi se promijenjenoj slici svijeta, nisu mogli raditi s LAN -a s vanjskim resursima, pa su učinili granicu za njih transparentno, jednostavno su softver "prevarili" koristeći NAT - svi IP paketi upućeni iz LAN -a prema van bili su podvrgnuti najjednostavnijoj obradi na granici: zamjena povratne IP adrese stvarnom adresom računara "pograničnog", i povratna zamena u dolaznim paketima. Osim toga, obično se mijenjao i broj porta izvornog LAN -a. paketi sa različitih mašina u LAN -u mogu imati iste brojeve portova. One. ne prevode se samo IP adrese, već i brojevi portova (ponekad se portovi prevodioca nazivaju zasebnom skraćenicom PAT). U konvencionalnoj klasifikaciji, NAT se dijeli na "statičan, dinamičan i maskiran", ali u praksi se uglavnom koristi treći tip koji omogućuje opsluživanje tisuća veza s LAN -a putem jedne stvarne adrese (idealno), prijevod porta se uvijek koristi u ovom slučaju slučaj. Na NAT računaru ili ruteru + NAT, raspon portova koji se koriste za prevođenje je dodijeljen, na primjer, sa brojevima većim od 60.000 (za brzo razlikovanje ovih portova od onih koji su dodijeljeni za vlastite potrebe ovog računara) i dinamičkom tabelom trenutnih sesija / preslikavanja adresa. Svaki paket u prolazu se provjerava prema ovoj tablici za i port i vrši se odgovarajuća zamjena. Tehnologija je toliko jednostavna da je danas sve rjeđe pronaći usmjerivač ili kabelski modem bez ugrađenog NAT-a (i FireWall-a, koji je primitivan kao NAT), a NAT se već može naći čak i u čvorištu "ah sa cijene počinju od 40 USD. Da ne spominjemo "besplatne" "NAT uključene u nekoliko novijih verzija Windowsa pod imenom" deljenje veze"i" deljenje veze"Pristupačnost, lakoća razumijevanja / upotrebe i nezahtjevnost softvera klijenta učinili su NAT zasluženo popularnim.

NAT "očima" internetskih programa

Da je u praksi sve tako jednostavno, ne bi bilo zanimljivo.No, naravno, kao i kod svakog drugog softverskog trika, razne neugodne nuspojave odmah su se počele uvlačiti u NAT. U vrijeme nastanka NAT -a, jedan od najpopularnijih protokola bio je FTP, koji je postao prvi neprobavljivi protokol za NAT. Time je otkriven problem koji NAT nikada nije uspio riješiti na bilo koji način u ovih 10 godina. U opštem slučaju, to se ne može riješiti u okviru NAT -a, mogu postojati samo fitingi za određene protokole, ali se ti spojevi ne mogu smatrati pouzdanim rješenjem. Ovaj problem je u tome što se u nekim protokolima, među kojima je najstariji FTP, prenosi IP adresa računara klijenta, a ovu IP adresu poslužitelj koristi za prijenos podataka do klijenta. Budući da je, u slučaju NAT -a, klijentski program koji radi s LAN -a NAT "prevario", on može poslužitelju poslati samo svoju lokalnu IP adresu na koju se vanjski poslužitelj ne može povezati zbog nevidljivosti lokalnih mreža sa ICQ protokoli, MS NetMeeting, RealAudio i mnogi drugi protokoli, čiji su programeri očigledno sjedili u mrežama bez
NAT NAT može ponuditi samo jedno rješenje za ovaj problem - na osnovu brojeva portova, pogodite koji se protokol prevodi i počnite nadzirati sadržaj IP paketa. Kada sadrže FTP-naredbu PORT, koja označava: port lokalnog klijenta (tekstualna naredba u tijelu paketa, a ne u zaglavlju IP paketa), tada zamijenite ne samo zaglavlja, već i cijela paket, s ponovnim izračunom kontrolnog zbroja i organizacijom prisluškivanja, jedan dolazni port. Nažalost za NAT, TCP protokol u kojem se prenose FTP naredbe protokol je za protok organiziran - naredba PORT, kada uđe u IP sloj, može se podijeliti u 2 paketa (ili čak više, ovisno o FTP klijentu i međuspremniku u OS). Stoga, kako biste pouzdano otkrili NAT mjesto za lažiranje, "morat ćete rekonstruirati izvorni TCP tok, međuspremnik i ponovno sastaviti pakete. Vratit ćemo se na" rekonstrukciju protokola "u NAT-u, ali za sada ćemo samo primijetiti višeslojno nivo potencijalnih grešaka i nepouzdanosti u ovom procesu. U praksi to dovodi do činjenice da standardni FTP način rada pomoću naredbe PORT preko NAT obično NE radi.

Stoga se "NAT problem" u FTP protokolu mora zaobići na poseban način u FTP klijentima ili u drugom posredničkom specijalizovanom FTP proxyju. U FTP klijentu morate se prebaciti na tzv. "pasivni način rada" - koristite naredbu PASV umjesto naredbe PORT. PASV traži od FTP servera da sebi otvori dodatni port i kaže klijentu njegov: port. Klijent se tada povezuje s navedenim (NAT ga ponovo vara, emitira) i sesija uspijeva. Osim potrebe za podrškom PASV načinu rada u FTP klijentu (standardni ftp.exe ga nema), to zahtijeva i određeni napor administratora FTP poslužitelja - pogotovo ako je djelomično blokiran i zaštitnim zidovima i NAT -ovima ( kao FTP developer -serveri za Eserv poznajem ove probleme ne čujući). Općenito, ovdje NAT ne pomaže pri povezivanju, već ometa.

Sada o rekonstrukciji protokola unutar NAT-a za zaobilazno rješenje za klijenta. Tih nekoliko NAT -ova koji to mogu učiniti (iako u praksi također deklariraju, a ne znaju kako, zapravo, idu na jedan mrežni nivo - umjesto najjednostavnijeg prosljeđivanja paketa s prevođenjem adrese u zaglavlju, oni počinju raditi isto što i TCP stek radi - sastavlja TCP tok iz paketa. Tako se pretvaraju iz previše razvijenog usmjerivača u nerazvijeni aplikacijski TCP proksi. U ovom slučaju, to je FTP proxy ili FTP kapija. Nerazvijen jer klijent ne zna za ovaj proxy, i NAT, pak, nastavlja pogađati protokol i baviti se zadatkom koji je nezgodan za rješavanje na njegovoj razini (na razini IP paketa).

Ovaj je problem mnogo lakše riješiti ako umjesto NAT -a ili pored njega odmah upotrijebite specijalizirani proxy (FTP gate) ili univerzalni TCP proxy kao što je Socks ili, u ekstremnim slučajevima, httpS (ovaj ekstremni slučaj ipak će bolje funkcionirati nego NAT). Oni u početku rade na TCP nivou i ne varaju FTP klijenta, već sarađuju s njim. Tri sloja problema nestaju odjednom: FTP klijent može koristiti bilo koji način - aktivan ili pasivan (u httpS samo pasivan, kao u NAT -u), nema potrebe pogađati protokol i dvostruki TCP sklop. Osim toga, administrator ima više mogućnosti utjecati na proces (o tome kasnije).

Ako klijentski program ne zna raditi putem posebnog proxyja (praktički nema takvih proxyja, ali govorit ćemo o najgorim slučajevima), tada se pri korištenju Socks proxyja klijentov rad može učiniti transparentnim i pomoću programa SocksCapture ili domaći FreeCap. Transparentnost granica uvijek je varka, ali SocksCapture ili FreeCap ne presreću IP pakete, već pozive programa prema OS -u, tako da uvijek znaju sigurno i ne izračunavaju iz toka paketa koju radnju program želi izvršiti, pa prema tome preusmjeravaju ove radnje kroz Socks -proxy.

NAT vs čarape

Dok smo na temi čarapa, moram reći nekoliko riječi o ovom proxy protokolu. Štoviše, povijesno je Socks bio sljedeći alat nakon NAT -a za prevladavanje granice između LAN -a i Interneta: prvi pregledni članak "što su čarape" objavljen je u listopadu 1994., uskoro se pojavila specifikacija Socks4 (prethodne "verzije" nisu korištene ni u jednoj proizvodi) http: //www.socks.nec.com/protocol/socks4a.protocol i tek do 5. verzije u martu 1996. sazrelo je za objavljivanje u ietf -u kao RFC: http://www.ietf.org/rfc/rfc1928. poruka. Postoji ruska verzija ovog dokumenta - prevod je uradio Alexander Gorlach, koji je tada (97. i 98.) radio u našoj kompaniji i učestvovao u stvaranju Eserv / 2, pogledajte stranicu Socks5.

Čarape su prevladale sva ograničenja NAT -a, dodale su najmanje tri prikladna alata koji omogućuju ne samo "proxy" gotovo bilo koji TCP i UDP protokol, već i poboljšanje kontrole korištenja interneta s LAN -a:

  1. Čarape ne služe samo odlaznim vezama, već vam omogućuju i stvaranje dolaznih utičnica za slušanje na proxy mašini (BIND metoda) na zahtjev proxy klijenta - to je potrebno samo za FTP i slične višepovezane protokole.
  2. Socks4a i Socks5 vam omogućuju da uklonite zadatak rješavanja naziva domena na klijentu s klijenta i to učinite izravno u proxyju. One. stroj unutar LAN -a postaje nepotreban DNS poslužitelj ili mapiranje DNS -a (putem NAT -a ili posebnog UDPMAP -a), jedna "kvačica" njegovih briga uklanja se s administratora, plus zbog DNS keširanja na poslužitelju, klijent radi brže.
  3. Socks5 podržava razne opcije za eksplicitnu autentifikaciju i autorizaciju klijenta. U NAT -u je bilo moguće razlikovati prijatelje od neprijatelja samo po.
No, iako je Socks poboljšao upotrebljivost u odnosu na NAT, ostaje univerzalno "programibilno mapiranje". Neki od problema NAT -a ostali su neriješeni u njemu. I oni se ne mogu riješiti na niskom nivou bez razumijevanja detalja specifičnog proxy protokola. Baš kao što je, na primjer, telefon sposoban prenijeti ljudski govor, ali ga ne može razumjeti i filtrirati zloupotrebu, pa oni administratori koji žele potpunu kontrolu nad onim što se događa na njihovoj mreži koriste specijalizirane proksije.

NAT i specijalizirani proksiji očima sistemskog administratora

Prvo, opet mali izlet u istoriju. HTTP protokol razvijen je početkom 90-ih (tzv. "Verzija 0.9"), a sredinom 90-ih postao je "ubilačka aplikacija" interneta-razlog zašto se nisu samo naučnici i vojska počeli povezivati ​​s internetu, ali i "običnim trgovcima i običnim ljudima". U skladu s tim, postoji potreba za standardizacijom. U svibnju 1996. objavljena je HTTP / 1.0 specifikacija pod značajnim dobitničkim brojem RFC: 1945. Autori specifikacije već su uzeli u obzir novu realnost Interneta, uklj. potreba proxy protokola za LAN. Osim toga, u praksi HTTP postoji više od godinu dana i ima "iskustvo u proksiranju". Stoga su u dokumentu date potrebne definicije i bilješke o punomoćnicima, pristupnicima i tunelima. U stvari, tu nije definiran samo HTTP protokol (sa stanovišta običnog web servera), već su opisani i HTTP-proxy i HTTPS-proxy protokoli. Metoda "CONNECT", uvedena u HTTP protokol posebno radi pružanja mogućnosti povezivanja na sigurne HTTP poslužitelje putem proxyja, ipak je dozvoljeno da ne bude ograničena na port 443, već da navede bilo koji port za povezivanje. Tako, u odnosu na HTTPS proxy, dobivamo još jedno "programirano TCP mapiranje" za bilo koji protokol, iako sa mnogo ograničenijim mogućnostima od Socks5. Druga je stvar HTTP proxy za svoj izvorni HTTP protokol. Može to riješiti uz potpuno poznavanje stvari - predmemoriju, filtriranje po URL -u i sadržaju, ograničenje, usmjeravanje, autorizaciju itd. Često ove radnje zahtijevaju takve netrivijalne radnje na razini TCP-a i drugih komponenti OS-a koje su praktički nemoguće na razini paketa NAT ili slijepo mapiranje čarapa.

Isto je i sa bilo kojim drugim aplikacijskim protokolom za koji postoje specijalizirani proksiji - oni su uvijek za red veličine lakše upravljivi od univerzalnih na niskom nivou. Na primjer, mnogi POP3 proksi serveri vam omogućuju filtriranje neželjene pošte, poput PopFile -a (iako je mnogo ispravnije filtrirati neželjenu poštu ne na proxyju, već na SMTP serveru). Čarape i NAT zahtijevali bi posebne vještine za razumijevanje prenesenog protokola, tj. u stvari, "emulacija" POP3 posrednika nije baš zgodna za to.

Stoga se korištenje Socks -a ili NAT -a za rad s onim protokolima za koje postoje specijalizirani proxy -i (HTTP, HTTPS, FTP, SMTP, POP3, IMAP) ili općeprihvaćena arhitektura posredničkih poslužitelja (SMTP, POP3, IMAP, DNS) prisilno neoptimalno rješenje. Prisilno - bilo zbog nemogućnosti korištenja potrebne vrste proxyja iz organizacijskih razloga (nema gdje staviti potrebnu vrstu proxyja, ili tip veze ne predviđa postojanje jedne stvarne IP adrese, kao što je slučaj sa Internet putem GPRS -a ili opcija kućne mreže - u tim slučajevima NAT ili "prisilni HTTP proksi" već su na strani provajdera), ili zbog nedovoljne svijesti odgovornih osoba, uklj. admini. Ne uzimam u obzir finansijska ograničenja, jer postoji mnogo opcija besplatnih ili vrlo jeftinih posrednika za sve ove protokole.

U nekim slučajevima, upotreba Socks5 je sasvim opravdana - na primjer, za ICQ i druge glasnike. Za ove protokole, posebni proksi se jednostavno ne razvijaju, budući da oni su gotovo nevidljivi na općoj pozadini korištenja mreže. U nedostatku poslužitelja pošte ili prop3 / smtp proxyja u LAN -u, Socks5 će također biti sljedeći kandidat, iako ga ne podržavaju svi klijenti pošte, a u nekim ima i neočigledne značajke (pogledajte Mozilla ThunderBird).

Prilikom ponavljanja NAT opcija, to će biti "posljednje utočište" - u slučaju da ništa bolje nije pronađeno, ili ako je NAT izvorno isporučio dobavljač - u kabelskom modemu, usmjerivaču, mobilnoj vezi (NAT se stavlja u ove komade željeza , a ne poseban proxy za popularne protokole, zbog krajnje jednostavnosti njegove osnovne implementacije: izvorni kod sličnog NAT UDPMAP dodatka u Eproxyju je veličine samo 4Kb). Neki od protokola neće raditi, bit će teško upravljati radom. Ali u takvim ekstremnim slučajevima bolje je nekako raditi nego uopće ne raditi.

Evo detaljnog objašnjenja mog dobro poznatog stava od posljednjih 8 godina - "nikada neće biti NAT -a u Eservu". U velikoj većini slučajeva ili vam ne treba NAT ili ga već imate kao kaznu za odabirom davatelja usluga. U sustavu Windows dijeljenje veze radi točno kao NAT.

Pogledajte i "štaka" za NAT na Microsoftovoj web stranici: NAT prelazak - NAT prelazak prilagođavanjem aplikacija, konfiguracija NAT / Vatrozid preko UPnP -a. Ako prvi put čujete izraz NAT traversal, to je zato što programeri preferiraju Socks5 umjesto patch štaka, a ova inicijativa nije dobila "podršku za kod". Ali članak je dobar zbog svojih slika (za razliku od mog i drugog nezavisnog opisa NAT problema.

NAT, ICS je već ugrađen u sve nove verzije Windowsa



Sve verzije operativnog sistema Windows objavljene od 1999. godine uključuju NAT. Prvo pod imenom ICS (Dijeljenje internetske veze), a kasnije pod vlastitim imenom NAT. Evo dijaloga za omogućavanje NAT -a u sistemu Windows 2003 (putem sistema "Routing and Remote Access" system32rrasmgmt.msc).


U operativnom sistemu Windows XP, NAT / ICS je omogućen u svojstvima Internet veze.


Ako primite poruku "Nije moguće dopustiti dijeljenje. Greška: 1722: RPC server nije dostupan." ("Nije moguće omogućiti dijeljeni pristup. Greška: 1722: RPC poslužitelj nije dostupan."), Tada ste najvjerojatnije zaustavili ili onemogućili DHCP klijentsku uslugu, morate je pokrenuti prije omogućavanja ICS -a.

NAT očima Linux provajdera

(Dodatak 6. jula 2004. - prvi odgovor na članak. Kao u članku o FireWall -u, dajmo riječ pravom sysadmin -u

Citat Ako usporedimo rad putem NAT -a sa stvarnim, do sada sam imao problema s NAT -om samo s prijenosom glasa, videa i datoteka u programima poput MSN Messenger -a. Možda u nekim implementacijama NAT -a "postoje i problemi s aktivnim ftp -om, povezivanjem na vanjske VPN poslužitelje itd., Ali pri radu preko NAT -a u Linuxu" (s odgovarajućim postavkama) s tim nema problema. Prednost NAT -a u ovom slučaju je spremanje IP adresa i vatrozida.

Ako usporedimo NAT s proxyjem (kao način pristupa Internetu, odnosno prosljeđivanje zahtjeva bez razmatranja funkcija predmemorije, raščlanjivanja URL -a itd.), Tada više aplikacija i protokola radi kroz NAT (sve); jer NAT ne zahtijeva posebne postavke od strane korisnika; proksi su zahtjevniji prema hardveru. Proksiji obično ne pružaju odredišnu NAT (DNAT) funkcionalnost, iako u Eservu možete postići djelomičnu sličnost DNAT -a koristeći tcp / udp mapiranje. Kraj citata.

Ovaj citat pokazuje da se zahtjevi provajdera takođe veoma razlikuju od administratora u preduzećima.

Povratne veze
Članci
FireWall
MxServer
NCSI
WhatIsProxyServer

Više nije novost da IP mrežne adrese nisu dovoljne za sve uređaje koji žele biti na Internetu. Trenutno je izlaz iz ove situacije pronađen razvojem IPv6 protokola, u kojem je dužina adrese 128 bita, dok je trenutni IPv4 samo 32 bita. No, početkom 2000 -ih pronađeno je drugo rješenje - koristiti prijevod mrežne adrese ili skraćeno nat. Dalje u članku, nat će biti konfiguriran u usmjerivaču.

Ulazak u meni postavki rutera

Uzmite za primjer ZyXEL -ove usmjerivače ZyWALL USG i NXC5200.

Prije svega, idite na postavke usmjerivača. Da biste to učinili, u bilo koji web preglednik upišite 192.168.1.1 u traku za adresu. (standardna adresa usmjerivača), pojavit će se prozor u kojem se od vas traži da unesete svoje korisničko ime i lozinku.

U polje „Korisničko ime“ unesite admin, u polje „Lozinka“ unesite 1234. Kliknite na „U redu“.

Konfiguriranje nat u usmjerivaču

U prozoru menija koji se otvori idite na karticu "Konfiguracija" (ikona sa dva zupčanika), zatim "Mreža", pa "Usmjeravanje". U odabranom prozoru idite na karticu "Usmjeravanje politika".

Meni postavki ZyXEL usmjerivača

Politika usmjeravanja je konfigurirana u ovom izborniku. U području "Kriteriji" konfiguriramo kriterije za uzorkovanje prometa - koji promet treba emitirati (zapravo konfigurirati nat), a koji treba jednostavno usmjeriti. Promet se može odabrati prema nekoliko kriterija:

  1. Korisnik (Korisnik);
  2. Po interfejsu (dolazni);
  3. Prema izvornoj IP adresi (Source Address);
  4. IP adresom primaoca (Destination Address);
  5. Prema odredišnoj luci (usluga).

U području "Next-Hop" dodijelite objekt za preusmjeravanje prometa:

Odabir objekta preusmjeravanja usmjerivača ZyXEL

Gdje će "Automatski" - promet biti preusmjeren na zadano globalno sučelje; Gateway - na adresu navedenu u postavkama pristupnika; VPN tunel - IPSec virtualni privatni tunel; Trunk - put do "trunka", gdje je "trunk" nekoliko sučelja konfiguriranih za rad zajedno ili u redundantnom načinu rada; Interfejs - preusmeravanje na navedeno sučelje:

Važno je ne zaboraviti pritisnuti gumb "OK" kad god promijenite postavke usmjerivača da biste spremili postavke, a ne samo zatvorili web preglednik.

Postavljanje nat na računaru

Kao što znate, lični računar može poslužiti kao ruter. Često se javlja situacija kada postoji računarska mreža od nekoliko računara, od kojih jedan ima internetsku vezu. U ovoj situaciji uopće ne morate kupiti usmjerivače, već postavite računalo s pristupom internetu kao usmjerivač i konfigurirajte nat na njemu. Razmotrimo ovaj slučaj detaljnije.

Obavezno instalirajte 2 mrežne kartice na glavno računalo koje gleda na Internet (nazovimo to SERVER) - prva za povezivanje s lokalnom mrežom, druga za davatelja usluga. U primjeru će se koristiti operativni sistem Windows Server 2012.

Da biste konfigurirali, prije svega pokrenite "Server Manager" (Start -> Administrativni alati -> Server Manager). Pojavit će se prozor za konfiguraciju:

Odavde ćemo upravljati našim serverom. Da biste nastavili s konfiguracijom, kliknite Dodaj uloge i značajke, što će otvoriti čarobnjaka za dodavanje uloga. Prvi korak - Vrsta instalacije:

U sljedećem prozoru moramo odabrati ulogu koju instaliramo na poslužitelj. Stavili smo pikicu ispred "Udaljenog pristupa".

Pojavit će se sljedeći prozor sa popisom komponenti potrebnih za rad. Pritisnite "Dodaj komponente", ovaj prozor će nestati. Pritisnite "Dalje".

U sljedećem prozoru čarobnjak nudi dodavanje komponenti servera. Ne morate ništa mijenjati, kliknite "Dalje".

Na sljedećoj stranici čarobnjak nas jednostavno obavještava o radu uloge "Udaljeni pristup". Pritisnite "Dalje".

Sljedeći korak je odabir usluga uloga. Stavili smo kvačicu ispred "Usmjeravanje", kliknite "Dalje".

Sljedeći prozor je opet informativan, ne morate ništa odabrati, ali možete staviti kvačicu ispred "Automatski ponovo pokreni na odabranom poslužitelju ...", zbog čega će se poslužitelj automatski ponovo pokrenuti nakon instalacije. Ali to možete učiniti i ručno. Pritisnite "Dalje".

I posljednji korak je direktna instalacija servera. Nakon završetka pritisnite dugme "Zatvori".

Instalacija servera

Dakle, konfigurirali smo računar koji je spojen na Internet u načinu rada servera. Sada morate konfigurirati nat na njemu.

Idite na Start / Administracija / Usmjeravanje i daljinski pristup. U prozoru koji se pojavi, s lijeve strane, nalazimo stavku "SERVER (lokalno)", desnom tipkom miša kliknite na nju i u padajućem izborniku kliknite "Konfiguriraj i omogući usmjeravanje i daljinski pristup".

Pojavit će se čarobnjak za konfiguriranje poslužitelja za usmjeravanje i daljinski pristup u kojem ćemo konfigurirati nat.

Na prvoj stranici ukratko smo se upoznali s čarobnjakom - kliknite "Dalje". U sljedećem koraku morate odabrati jednu od usluga koje će se pokrenuti na ovom poslužitelju. Odaberite "Prevođenje mrežne adrese (NAT)", kliknite "Dalje".

Zatim će vas čarobnjak zatražiti da odaberete mrežnu vezu koja gleda na Internet. Lista će sadržavati obje mrežne kartice (barem, ovisno o tome koliko ih je instalirano na serveru). Odabiremo onu na koju je spojen mrežni kabel davatelja usluga. Pritisnite "Dalje".

U sljedećem prozoru čarobnjak će se početi zaklinjati da ne može pronaći DHCP ili DNS usluge na lokalnoj mreži. Za nastavak se nude dvije opcije - omogućiti osnovne usluge ili kasnije instalirati usluge.

Odabiremo prvu stavku, kliknemo "Dalje". Na sljedećoj stranici obavijestit ću vas u kojem će rasponu nat raditi. Čarobnjak za konfiguraciju automatski odabire ovaj raspon na temelju konfiguracije mrežne veze povezane s lokalnom mrežom. Pritisnite "Dalje".

Nat raspon

To je to, čarobnjak za konfiguraciju dovršava konfiguraciju nat. Pritisnite "Dalje", a u sljedećem prozoru "Završi".

Posljednje što preostaje je konfiguriranje klijentskih računara, odnosno svih ostalih računara u lokalnoj mreži. Da biste to učinili, na računaru klijenta (to će se morati učiniti na svakom računaru u mreži) idite na Start / Upravljačka ploča / Centar za mrežu i dijeljenje / promijenite postavke adaptera. Idemo na "Mrežne veze". Desnom tipkom miša kliknite na ikonu i u padajućem izborniku odaberite "Svojstva". U prozoru koji se pojavi odaberite "Internet Protocol Version 4 (TCP / IPv4)", kliknite "Properties".

Nakon što je "Zadani pristupnik" upišite IP adresu računala servera (koja je konfigurirana u posljednjem koraku), u polje "Preferirani DNS server" upišite IP adresu dobavljačevog DNS servera navedenu u informacijama o internetskoj vezi na serveru. Pritisnemo "OK", pa opet "OK". Sve, klijentski računar je povezan na Internet.

Princip rada usmjerivača (usmjerivača)

Čitajući ovaj članak, mislim da svi razumiju što je usmjerivač i zašto vam je potreban, ali je li itko razmišljao o tome kako funkcionira? U ovom članku pokušat ću objasniti osnovne principe usmjerivača na najpristupačnijem jeziku. Ovaj članak će biti koristan i administratorima sistema i običnim korisnicima.

Glavna funkcija koja radi na bilo kojem usmjerivaču je NAT

NAT- Prijevod mrežne adrese koristi se za zamjenu IP adresa. U lokalnim mrežama uglavnom se koriste adrese tipa 192.168.1.XXX ili slične, što stvara problem usmjeravanja na globalnom Internetu, budući da se IP adrese na mreži ne smiju duplicirati. Rješenje ovog problema je NAT - računala na lokalnoj mreži povezuju se na lokalno sučelje usmjerivača, primaju IP adrese i pristupnik (usmjerivač služi kao pristupnik), a WAN sučelje usmjerivača povezuje se s internetom .

Pogledajmo sada princip NAT prijevoda:

  • Zahtev se šalje sa bilo kog računara u lokalnoj mreži, na primer, pokušavate da pristupite bilo kojoj veb lokaciji - računar šalje ovaj zahtev na adresu mrežnog prolaza, odnosno našeg rutera;
  • Ruter, nakon što je primio ovaj zahtjev, snima vaše računalo kao inicijator veze, nakon čega se stvara kopija vašeg paketa i šalje na odredišnu adresu, ali u ime usmjerivača, s njegovom IP adresom i vašim paketom jednostavno se uništava;
  • Poslužitelj kojem je zahtjev poslan obrađuje ga i šalje odgovor, naravno na adresu usmjerivača. I usmjerivač je to već čekao, jer je stvorio zapis da bi odgovor trebao doći na zahtjev vašeg računala i poslao ga na vaš računar. Kao što vidite, prema ovoj shemi, samo računalo iz lokalne mreže može biti inicijator veze, a odgovor poslužitelja stići će do računala samo ako ga usmjerivač čeka (odgovor na zahtjev) . Drugim riječima, svi pokušaji povezivanja izvana zaustavit će se na usmjerivaču i bit će uspješni samo ako usmjerivač pruža resurs na traženom portu ili ima konfigurirana pravila prosljeđivanja portova, o čemu ćemo sada govoriti.

Prosljeđivanje portova

Prosljeđivanje portova- ovo je u osnovi isto što i NAT, ali u drugom smjeru, dakle samo statički NAT, odnosno određeni zahtjevi samo prema određenim računarima, jer u globalnoj mreži ne mogu znati IP adrese iza usmjerivača. Na primjer, stvorili ste FTP ili HTTP poslužitelj na svom računalu i želite omogućiti pristup tim resursima, za to morate registrirati ovo pravilo u usmjerivaču, koje će označavati da svi dolazni paketi na željeni port (21 ili 80 u našem slučaju) bit će poslana na IP adresu našeg računala na određeni port (port se može promijeniti).

NAT - DMZ

NAT - DMZ- ovo je apsolutno isto kao prosljeđivanje porta, ali s tom razlikom što ne morate pisati pravilo za svaki port, samo trebate postaviti NAT - DMZ, koji će sve dolazne zahtjeve prenijeti na WAN usmjerivač na željeni računara. Naravno, više nije moguće promijeniti portove.

Usmjeravanje

Da bismo pojednostavili ideju o čemu se radi, možemo reći da je isti kao NAT, ali samo u oba smjera. S ovom shemom, usmjerivač mora imati više od 2 LAN sučelja (ne portovi, već sučelja), s različitim adresama, na primjer, jedno IP sučelje ima 192.168.0.1, a drugo 192.168.1.1. Shodno tome, računari na jednoj mreži dobit će IP tip 192.168.0.XXX, a na drugoj mreži 192.168.0.XXX, a njihovi pristupnici bit će 192.168.0.1 i 192.168.1.1, respektivno. Ovako dobivate dvosmjerno usmjeravanje.

Ne zaboravite otići

Broj javnih IPv4 adresa nije dovoljan za dodjeljivanje jedinstvenih adresa svim uređajima povezanim na Internet. U većini slučajeva mreže se implementiraju koristeći privatne IPv4 adrese u skladu s RFC 1918. Na Sl. 1 prikazuje raspon adresa uključenih u RFC 1918. Najvjerojatnije je računaru na kojem trenutno gledate vodič pripisana privatna adresa.

Ove privatne adrese koriste se unutar organizacije ili entiteta u svrhu lokalne interakcije uređaja. Međutim, budući da ove adrese ne identificiraju određenu tvrtku ili organizaciju, privatne IPv4 adrese ne mogu se koristiti za usmjeravanje putem Interneta. Da bi se uređaju s privatnom IPv4 adresom omogućio pristup uređajima i resursima izvan lokalne mreže, privatnu adresu prvo se mora razriješiti na javnu adresu.

Kao što je prikazano na sl. 2, NAT omogućava privatno prevođenje sa javne adrese. Ovo omogućava uređaju s privatnom IPv4 adresom pristup resursima izvan njegove privatne mreže, uključujući resurse koji se nalaze na Internetu. U kombinaciji s privatnim IPv4 adresama, NAT se pokazao korisnim u očuvanju javnih IPv4 adresa. Jednu javnu IPv4 adresu mogu dijeliti stotine, čak i hiljade uređaja, od kojih svaki ima jedinstvenu privatnu IPv4 adresu.

Bez NAT -a, IPv4 adresni prostor bio bi iscrpljen mnogo prije 2000. Unatoč svojim prednostima, NAT ima niz ograničenja o kojima će biti više riječi kasnije u ovom poglavlju. Rješenje za iscrpljivanje IPv4 i ograničenja NAT -a je krajnji prijelaz na IPv6.

NAT karakteristike

Mrežni prijevod adresa NAT se koristi u različite svrhe, ali glavna svrha ovog mehanizma je očuvanje javnih IPv4 adresa. To čini dopuštajući mrežama da koriste privatne IPv4 adrese za internu komunikaciju i pretvaraju ih u javne adrese samo kad je to potrebno. Dodatna prednost NAT -a - povećana privatnost i sigurnost mreže - posljedica je činjenice da skriva interne IPv4 adrese od vanjskih mreža.

NAT usmjerivač može se konfigurirati s jednom ili više važećih javnih IPv4 adresa. Ove javne adrese poznate su kao NAT spremište adresa. Kada interni uređaj šalje promet izvan mreže, usmjerivač s omogućenim NAT-om prevodi internu IPv4 adresu uređaja u javnu adresu iz NAT spremišta. Vanjskim uređajima se čini da sav promet koji ulazi i izlazi iz mreže koristi javne IPv4 adrese iz predviđenog spremišta adresa.

NAT usmjerivač obično radi na rubu slijepe mreže. Stub mreža je mreža koja koristi jednu vezu sa susjednom mrežom, jednu ulaznu rutu i jednu izlaznu rutu. U primjeru prikazanom na slici, R2 je rubni usmjerivač. Sa stajališta ISP-a, usmjerivač R2 stvara slijepu mrežu.

Kada uređaj na slijepoj mreži zahtijeva vezu s uređajem izvan svoje mreže, paket se prosljeđuje rubnom usmjerivaču. Granični usmjerivač izvodi NAT proces prevođenjem interne privatne adrese uređaja u javnu, vanjsku, usmjerljivu adresu.

Bilješka... Veza sa mrežom ISP -a može koristiti i privatnu adresu ili javnu adresu koju dijele korisnici davatelja usluga. U okviru teme o kojoj se raspravlja, kao primjer se daje obraćanje javnosti.

U NAT terminologiji, "interna mreža" se odnosi na skup mreža uključenih u prevođenje. Izraz "vanjska mreža" odnosi se na sve ostale mreže.

Prilikom korištenja NAT -a, IPv4 adrese predstavljaju različita odredišta ovisno o tome jesu li na privatnoj ili javnoj mreži (Internet) i je li promet ulazni ili odlazni.

NAT pruža 4 vrste adresa:

  • unutar lokalne adrese;
  • unutar globalne adrese;
  • vanjska lokalna adresa;
  • spoljna globalna adresa.

Prilikom određivanja vrste adrese koja se koristi, važno je zapamtiti da se NAT terminologija uvijek primjenjuje sa stanovišta uređaja s razriješivom adresom:

  • Interna adresa je adresa uređaja prevedena NAT mehanizmom.
  • Vanjska adresa je adresa odredišnog uređaja.

NAT također koristi koncept lokaliteta ili globalnosti u odnosu na adrese:

  • Lokalna adresa je bilo koja adresa koja se pojavljuje u unutrašnjosti mreže.
  • Globalna adresa je bilo koja adresa koja se pojavljuje izvan mreže.

Na slici, interna lokalna adresa PC1 je 192.168.10.10. Sa stajališta PC1, web poslužitelj koristi vanjsku adresu 209.165.201.1. Kada se paketi šalju sa računara PC1 na globalnu adresu web servera, unutarnja adresa računara PC1 prevodi se u 209.165.200.226 (unutar globalne adrese). Adresa vanjskog uređaja obično se ne prevodi jer je ta adresa obično već javna IPv4 adresa.

Imajte na umu da PC1 koristi različite lokalne i globalne adrese, a web poslužitelj koristi istu javnu IPv4 adresu u oba slučaja. Sa stanovišta web servera, čini se da promet koji potiče sa PC1 dolazi sa 209.165.200.226, interne globalne adrese.

NAT usmjerivač (R2 na slici) predstavlja tačku razgraničenja između interne i vanjske mreže, kao i između lokalnih i globalnih adresa.

Izrazi "interno" i "vanjsko" koriste se zajedno s izrazima "lokalno" i "globalno" kada se odnose na određene adrese. Na slici je R2 konfiguriran za korištenje NAT -a. Koristi skup javnih adresa dodijeljenih internim hostovima.

  • Interna lokalna adresa je izvorna adresa viđena iz interne mreže. Na slici PC1, IPv4 adresa je 192.168.10.10. Ovo je unutarnja lokalna adresa PC1.
  • Unutrašnja globalna adresa je izvorna adresa viđena s vanjske mreže. Na slici, kada PC1 šalje promet na web poslužitelj na 209.165.201.1, R2 prevodi unutrašnju lokalnu adresu u unutrašnju globalnu adresu. U ovom slučaju, R2 mijenja originalnu IPv4 adresu iz 192.168.10.10 u 209.165.200.226. U NAT terminologiji, unutrašnja lokalna adresa 192.168.10.10 prevedena je na unutrašnju globalnu adresu 209.165.200.226.
  • Van globalne adrese je odredišna adresa viđena s vanjske mreže. Ovo je globalno usmjerena IPv4 adresa dodijeljena hostu na Internetu. Na primjer, web serveru je dostupan na IPv4 adresi 209.165.201.1. U većini slučajeva vanjske lokalne i vanjske globalne adrese su iste.
  • Vanjska lokalna adresa je odredišna adresa viđena iz interne mreže. U ovom primjeru, PC1 šalje promet na web poslužitelj s IPv4 adresom 209.165.201.1. U rijetkim slučajevima ova se adresa može razlikovati od globalno usmjerene odredišne ​​adrese.

Slika prikazuje kako se adresira promet koji interno računalo šalje na vanjski web poslužitelj putem usmjerivača s omogućenim NAT-om. Također pokazuje kako se povratni promet u početku adresira i mapira.

Bilješka... Upotreba vanjske lokalne adrese izlazi iz okvira ovog vodiča.

Vrste NAT -ove mrežne adrese

Postoje tri mehanizma za prevođenje mrežnih adresa:

  • Prevođenje statičke mrežne adrese (statički NAT) je međusobna korespondencija između lokalnih i globalnih adresa.
  • Dinamičko prevođenje mrežne adrese (dinamički NAT) je mapiranje adresa više prema mnogima između lokalnih i globalnih adresa.
  • Prevođenje adresa porta (PAT) je mapiranje adresa „jedan na jedan“ između lokalnih i globalnih adresa. Ova metoda se naziva i preopterećenje (NAT sa preopterećenjem).

Prevođenje statičke mrežne adrese (NAT)

Statički NAT koristi mapiranje jedan na jedan između lokalnih i globalnih adresa. Ove korespondencije postavlja administrator mreže i ostaju nepromijenjene.

Na slici, usmjerivač R2 ima statička preslikavanja konfigurirana za interne lokalne adrese Svr1, PC2 i PC3. Kada ovi uređaji šalju promet na Internet, njihove interne lokalne adrese se prevode na navedene interne globalne adrese. Za vanjske mreže, ovi uređaji koriste javne IPv4 adrese.

Metoda prevođenja statičke mrežne adrese posebno je korisna za web poslužitelje ili uređaje koji trebaju imati stalnu adresu koja je dostupna s Interneta - na primjer, web server kompanije. Statički NAT je također pogodan za uređaje koji trebaju biti dostupni ovlaštenom osoblju koje radi u uredu, ali ostaju zatvoreni za javni pristup putem Interneta. Na primjer, mrežni administrator s PC4 može SSH poslati na internu globalnu adresu Svr1 (209.165.200.226). R2 prevodi ovu unutarnju globalnu adresu u unutrašnju lokalnu adresu i povezuje administratorsku sesiju sa Svr1.

Statički NAT zahtijeva dovoljan broj javnih adresa dostupnih za ukupan broj istovremenih korisničkih sesija.

Dinamičko prevođenje NAT adrese

Dinamičko prevođenje mrežnih adresa (Dynamic NAT) koristi skup javnih adresa koje se dodjeljuju po principu prvi stigao, prvi stigao. Kad unutarnji uređaj zatraži pristup vanjskoj mreži, dinamički NAT dodjeljuje dostupnu javnu IPv4 adresu iz spremišta.

Na slici PC3 pristupa Internetu koristeći prvu dostupnu adresu u dinamičkom NAT spremištu. Druge adrese su i dalje dostupne za upotrebu. Slično statičkom NAT -u, dinamički NAT zahtijeva dovoljan broj javnih adresa za podršku ukupnom broju istovremenih korisničkih sesija.

Prevođenje adresa porta (PAT)

Također se naziva NAT preopterećenje, preslikava više privatnih IPv4 adresa u jednu ili više javnih IPv4 adresa. Ovo je metoda koju koristi većina kućnih usmjerivača. ISP dodjeljuje jednu adresu usmjerivaču, ali više članova porodice može istovremeno pristupiti Internetu. Učitavanje NAT -a najčešća je metoda za prevođenje mrežnih adresa.

Ovom metodom se više adresa može mapirati na jednu ili više adresa, budući da se svaka privatna adresa prati i brojem porta. Ako uređaj pokrene TCP / IP sesiju, on stvara vrijednost TCP ili UDP porta za izvor radi jedinstvene identifikacije sesije. Kada NAT usmjerivač primi paket od klijenta, on koristi svoj izvorni broj porta za jedinstvenu identifikaciju određenog NAT prijevoda.

PAT osigurava da uređaji koriste različit broj TCP porta za svaku sesiju s poslužiteljem na Internetu. Kada se odgovor vrati s poslužitelja, broj izvornog porta, koji postaje broj odredišnog porta pri povratnoj pošti, određuje na koji će uređaj usmjerivač proslijediti odgovarajuće pakete. PAT proces takođe potvrđuje da su dolazni paketi zaista traženi, čime se povećava sigurnost sesije.

Koristite gumbe za reprodukciju i pauzu na slici za kontrolu animacije.

Animacija prikazuje proces prevođenja adrese porta (PAT). Kako bi se razlikovali prijevodi, PAT mehanizam dodaje jedinstvene brojeve portova izvora na internu globalnu adresu.

Budući da R2 obrađuje svaki paket, koristi broj porta (1331 i 1555 u ovom primjeru) za identifikaciju uređaja s kojeg je paket došao. Izvorna adresa (SA) je unutarnja lokalna adresa dodana dodijeljenom broju TCP / IP porta. Odredišna adresa (DA) je vanjska lokalna adresa s pridruženim brojem porta usluge. U ovom primjeru, servisni port je 80: HTTP.

Za izvornu adresu, R2 prevodi unutrašnju lokalnu adresu u unutrašnju globalnu adresu s dodanim brojem porta. Odredišna adresa se ne mijenja, ali sada postaje vanjska globalna IP adresa. Kada web server odgovori, putanja se ponovo prelazi, samo obrnutim redosledom.

U prethodnom primjeru, brojevi klijentskih portova, 1331 i 1555, nisu promijenjeni na usmjerivaču s omogućenim NAT-om. Ovaj scenarij nije vrlo vjerojatan jer je velika vjerojatnost da se ti brojevi portova već koriste za druge aktivne sesije.

PAT pokušava sačuvati izvorni izvorni port. U slučaju da se izvorni izvorni port već koristi, PAT dodjeljuje prvi dostupni broj porta, počevši od početka odgovarajuće grupe portova-0-511, 512-1023 ili 1024-65535. Ako nema više dostupnih portova, a u spremištu adresa postoji više vanjskih adresa, PAT prelazi na sljedeću adresu, pokušavajući dodijeliti izvorni izvorni port. Ovaj proces se nastavlja sve dok se ne iscrpe i dostupni portovi i vanjske IP adrese.

Da biste se upoznali s principom rada PAT -a, kliknite gumb "Reproduciraj" na slici.

U animaciji čvorovi odabiru isti broj porta, 1444. To vrijedi za internu adresu, budući da su čvorovima dodijeljene jedinstvene privatne IP adrese. Ali na usmjerivaču s omogućenim NAT -om, brojeve portova je potrebno promijeniti. U suprotnom bi paketi iz dva različita čvora izašli iz R2 sa istom izvornom adresom. U ovom primjeru, tokom PAT prevođenja, drugoj adresi čvora se dodjeljuje sljedeći dostupni port (1445).

Poređenje NAT -a i PAT -a

Dolje navedene razlike između NAT -a i PAT -a pomoći će vam da razumijete specifičnosti svake od ovih metoda prevođenja mrežnih adresa.

Kao što je prikazano na slici, NAT prevodi IPv4 adrese na osnovu 1: 1 za privatne IPv4 adrese i javne IPv4 adrese. U isto vrijeme, PAT mijenja i adresu i broj porta.

NAT prosljeđuje dolazne pakete njihovom internom odredištu koristeći dolaznu IPv4 izvornu adresu koju pruža host na javnoj mreži. Kada se koristi PAT, obično je uključena samo jedna ili mali broj javno izloženih IPv4 adresa. Dolazni paketi iz javne mreže usmjeravaju se na odredišta u privatnoj mreži pomoću tablice NAT usmjerivača. Ova tablica prati javne i privatne parove portova, što se naziva praćenje veze.

Paketi bez segmenta sloja 4

Šta se dešava sa IPv4 paketima koji prenose podatke koji nisu TCP ili UDP segment? Ovi paketi ne sadrže broj porta sloja 4. PAT pretvara većinu glavnih protokola koji se prenose preko IPv4 koji ne koriste TCP ili UDP u protokol transportnog sloja. Najčešći od ovih protokola je ICMPv4. Proces pretvaranja PAT različito postupa sa svakim od ovih protokola. Na primjer, ICMPv4 poruke zahtjeva, echo zahtjevi i echo odgovori sadrže ID upita. ICMPv4 koristi Query ID za identifikaciju echo zahtjeva sa odgovarajućim echo odgovorom. ID zahtjeva se povećava sa svakim poslanim eho zahtjevom. PAT koristi ID zahtjeva umjesto broja porta sloja 4.

Bilješka... Druge ICMPv4 poruke ne koriste ID upita. Ove poruke i drugi protokoli koji ne koriste brojeve TCP i UDP portova mogu se međusobno razlikovati i nisu obuhvaćeni ovim vodičem.

NAT podešavanje

Konfiguriranje statičkog NAT -a

Statičko prevođenje mrežnih adresa NAT je pojedinačno mapiranje između unutarnje i vanjske adrese. Statički NAT omogućava vanjskim uređajima da započnu veze s unutarnjim uređajima koristeći statički dodijeljenu javnu adresu. Na primjer, interni web poslužitelj može se mapirati na internu globalnu adresu koja je definirana tako da joj se može pristupiti iz vanjskih mreža.

Na sl. 1 prikazuje unutrašnju mrežu koja sadrži web poslužitelj s privatnom IPv4 adresom. Statički NAT konfiguriran je na R2 da dopušta uređajima s vanjske mreže (Internet) pristup web poslužitelju. Klijent na vanjskoj mreži pristupa web serveru koristeći javnu IPv4 adresu. Statički NAT prevodi javnu IPv4 adresu u privatnu IPv4 adresu.

Konfiguriranje statičkog NAT -a uključuje dva glavna zadatka.

Korak 1. Prvi zadatak je stvoriti preslikavanje unutar-lokalne i unutar-globalne adrese. Na primjer, na Sl. 1, unutarnja lokalna adresa 192.168.10.254 i unutarnja globalna adresa 209.165.201.5 konfigurirane su kao statički NAT prijevod.

Korak 2. Nakon što je mapiranje konfigurirano, sučelja uključena u prijevod konfiguriraju se kao unutarnja ili vanjska za NAT. U ovom primjeru, R2 -ovo serijsko sučelje 0/0/0 je unutrašnje sučelje, a serijsko 0/1/0 vanjsko sučelje.

Paketi koji stižu na interno sučelje usmjerivača R2 (serijski 0/0/0) s konfigurirane interne lokalne IPv4 adrese (192.168.10.254) se prevode i prosljeđuju vanjskoj mreži. Paketi koji stižu na vanjsko sučelje R2 (serijski 0/1/0) upućeni na konfiguriranu unutarnju globalnu IPv4 adresu (209.165.201.5) prevode se na unutrašnju lokalnu adresu (192.168.10.254) i prosljeđuju unutarnjoj mreži.

Na sl. Slika 2 prikazuje naredbe potrebne za konfiguriranje statičkog NAT -a.

Na sl. Slika 3 prikazuje naredbe potrebne za stvaranje statičkog NAT preslikavanja za web poslužitelj na R2 u referentnoj topologiji. Kao dio prikazane konfiguracije, R2 pretvara adresu 192.168.10.254 u javnu IPv4 adresu 209.165.201.5 u paketima koje šalje web poslužitelj. Internet klijent usmjerava web zahtjeve na javnu IPv4 adresu 209.165.201.5. R2 prosljeđuje ovaj promet web serveru na 192.168.10.254.

Upotrijebite Syntax Checker (pogledajte sliku 4) za konfiguriranje dodatnog statičkog unosa NAT prijevoda na R2.

Ova slika prikazuje statički NAT proces prevođenja između klijenta i web poslužitelja koristeći prethodnu konfiguraciju. Statičke konverzije se obično koriste kada klijenti s vanjske mreže (Interneta) trebaju pristupiti poslužiteljima na internoj mreži.

1. Klijent se mora povezati s web poslužiteljem. Klijent šalje paket web serveru koristeći javnu IPv4 odredišnu adresu 209.165.201.5. Ovo je interna globalna adresa web servera.

2. Prvi paket koji R2 primi od klijenta na svom vanjskom NAT sučelju uzrokuje da R2 provjeri svoju NAT tablicu. Odredišna IPv4 adresa nalazi se u NAT tablici i usmjerivač se u skladu s tim prevodi.

3. R2 zamjenjuje unutrašnju globalnu adresu 209.165.201.5 unutrašnjom lokalnom adresom 192.168.10.254. R2 zatim prosljeđuje paket web serveru.

4. Web server prima paket i odgovara klijentu koristeći internu lokalnu adresu 192.168.10.254.

5a. R2 prima paket od web servera na svom internom NAT interfejsu sa izvornom adresom koja odgovara internoj lokalnoj adresi web servera, 192.168.10.254.

5b. R2 provjerava NAT tablicu kako bi provjerio postoji li prijevod unutarnje lokalne adrese. Ova adresa se pojavljuje u NAT tablici. R2 pretvara izvornu adresu natrag u unutrašnju globalnu adresu 209.165.201.5 i prosljeđuje paket klijentu putem njegovog serijskog 0/1/0 sučelja.

6. Klijent prima paket i nastavlja dijalog. NAT usmjerivač izvodi korake 2-5b za svaki paket (korak 6 nije prikazan na slici).

Statička NAT provjera

Pomoću naredbe provjerite radi li NAT prikaži prijevode ip nat... Ova naredba prikazuje aktivne NAT prijevode. Za razliku od dinamičkih prijevoda, statički prijevodi uvijek su prisutni u NAT tablici. Na sl. 1 prikazuje izlaz ove naredbe za prethodni primjer konfiguracije. Budući da je primjer statička konfiguracija, prijevod je uvijek prisutan u NAT tablici, bez obzira na aktivnu komunikaciju. Ako se naredba unese tijekom aktivne sesije, izlaz će također sadržavati adresu vanjskog uređaja, kao što je prikazano na slici. 1.

Još jedna korisna naredba je prikaži statistiku ip nat... Kao što je prikazano na sl. 2, tim prikaži statistiku ip nat

Da biste osigurali da NAT prijevod radi ispravno, preporučuje se da prije testiranja obrišete statistiku svih prethodnih prijevoda pomoću naredbe jasna ip nat statistika.

Prije interakcije s web poslužiteljem, naredba prikaži statistiku ip nat ne bi trebao pokazivati ​​nikakve podudarnosti. Nakon što je klijent uspostavio sesiju s web poslužiteljem, rezultat je naredbe prikaži statistiku ip nat pokazat će povećanje broja podudaranja na 5. Ovo potvrđuje da je na R2 izveden statički NAT prijevod.

Konfiguriranje dinamičkog NAT -a

Dok statički NAT pruža trajno mapiranje između unutarnje i unutar globalne adrese, dinamički NAT podržava automatsko preslikavanje unutarnjih lokalnih adresa na unutarnje globalne adrese. Ove unutar globalne adrese obično su javne IPv4 adrese. Dinamički NAT koristi grupu ili skup javnih IPv4 adresa za prevođenje.

Dinamički NAT, poput statičkog NAT -a, zahtijeva konfiguraciju unutarnjeg i vanjskog sučelja uključenog u prevođenje NAT -a. Međutim, ako statički NAT stvara trajno mapiranje na jednu adresu, tada se spremište adresa koristi za dinamički NAT.

Bilješka... Prijevod između javne i privatne IPv4 adrese najčešća je upotreba NAT -a. Međutim, NAT prijevodi mogu se pojaviti između bilo kojeg para adresa.

U referentnoj topologiji prikazanoj na slici, interna mreža koristi adrese iz privatnog adresnog prostora definiranog u RFC 1918. Postoje dva LAN -a spojena na usmjerivač R1 - 192.168.10.0/24 i 192.168.11.0/24. Edge Router R2 je konfiguriran za dinamičko NAT prevođenje koristeći skup javnih IPv4 adresa od 209.165.200.226 do 209.165.200.240.

Skup javnih IPv4 adresa (skup internih globalnih adresa) dostupan je svakom uređaju na internoj mreži po principu "prvi stigao-prvi-poslužio". Dinamički NAT prevodi jednu unutrašnju adresu u jednu spoljnu adresu. Za ovu vrstu prevođenja mora biti dovoljno adresa u spremištu da pokriju sve interne uređaje koji istovremeno trebaju pristup vanjskoj mreži. Ako se koriste sve adrese spremišta, uređaj mora pričekati da dostupna adresa pristupi vanjskoj mreži.

Na sl. prikazuje korake i naredbe korištene za konfiguriranje dinamičkog NAT -a.

Korak 1. Pomoću naredbe ip nat pool postavite skup adresa koje će se koristiti za prevođenje. Ovo spremište adresa obično je grupa javnih adresa. Ove se adrese određuju specificiranjem početne i završne IP adrese spremišta. Ključna reč netmask ili prefiks-dužina označava koji su bitovi adrese povezani s mrežom, a koji s rasponom adresa hosta.

Korak 2. Konfigurirajte standardni ACL za definiranje (dopuštanje) samo onih adresa koje je potrebno prevesti. ACL s previše dozvoljenih naredbi može dovesti do nepredvidljivih rezultata. Upamtite da je na kraju svakog ACL -a linija poriču sve.

Korak 3. Priključite ACL na bazen. Komanda ip nat unutar spiska izvoraaccess-list-numberpool numberime bazena koristi se za vezanje liste na spremište. Ovu konfiguraciju usmjerivač koristi za određivanje uređaja ( lista) dobiti koje adrese ( bazen).

Korak 4. Identificirajte sučelja koja su unutar NAT -a, tj. bilo koji interfejs povezan na internu mrežu.

Korak 5. Identificirajte sučelja koja su vanjska za NAT, tj. bilo koje sučelje spojeno na vanjsku mrežu.

Na sl. 2 prikazuje primjer topologije i povezane konfiguracije. Ova konfiguracija omogućuje konverziju za sve hostove na mreži 192.168.0.0/16 koja sadrži lokalne mreže 192.168.10.0 i 192.168.11.0 kada hostovi generiraju promet koji ulazi u S0/0/0 i izlazi iz S0/1/0. Adrese ovih čvorova su mapirane na dostupnu adresu iz spremišta u rasponu 209.165.200.226 do 209.165.200.240.

Na sl. 3 prikazuje topologiju koja se koristi za konfiguriranje alata za provjeru sintakse. Upotrijebite provjeru sintakse na Sl. 4 za konfiguriranje dinamičkog NAT prijevoda na R2.

Dinamička NAT analiza

Slike u nastavku ilustriraju dinamički proces prevođenja NAT -a između dva klijenta i web poslužitelja koristeći prethodnu konfiguraciju.

Na sl. 1 prikazuje protok prometa iznutra prema van.

1. Hostovi sa izvornim IPv4 adresama (192.168.10.10 (PC1) i 192.168.11.10 (PC2)) šalju pakete koji traže povezivanje sa serverom na javnu IPv4 adresu (209.165.200.254).

2. Ruter R2 prima prvi paket od hosta 192.168.10.10. Budući da je ovaj paket primljen na sučelje konfigurirano kao NAT unutar sučelja, R2 provjerava NAT konfiguraciju kako bi utvrdio treba li prevesti ovaj paket. ACL dozvoljava ovaj paket, pa ga R2 pretvara. R2 provjerava svoju NAT tablicu. Budući da za ovu IP adresu nema unosa prevoda, R2 odlučuje da izvorna adresa 192.168.10.10 zahtijeva dinamičko prevođenje. R2 bira dostupnu globalnu adresu iz spremišta dinamičkih adresa i kreira unos prevoda - 209.165.200.226. Originalna IPv4 izvorna adresa (192.168.10.10) je unutrašnja lokalna adresa, a adresa koja se koristi za prevođenje je unutrašnja globalna adresa (209.165.200.226) u NAT tablici.

R2 ponavlja postupak za drugi čvor, 192.168.11.10, odabirom sljedeće dostupne globalne adrese iz dinamičkog spremišta adresa i kreiranjem drugog prijevoda, 209.165.200.227.

3. R2 zamjenjuje unutrašnju lokalnu izvornu adresu PC1 (192.168.10.10) sa onom koja se koristi za prevođenje unutrašnjom globalnom adresom (209.165.200.226) i prosljeđuje paket. Isti koraci se izvode za paket koji šalje PC2, koristeći adresu koja odgovara PC2 (209.165.200.227) za prevođenje.

Slika 1

Na sl. 2 prikazuje protok prometa izvana prema unutra.

4. Poslužitelj prima paket od PC1 i odgovara odredišnom IPv4 adresom 209.165.200.226. Kada primi drugi paket, server odgovara PC2 koristeći odredišnu IPv4 adresu 209.165.200.227.

5a. Kada R2 primi paket s odredišnom IPv4 adresom 209.165.200.226, usmjerivač R2 gleda u NAT tablicu. R2 koristi mapiranje iz tablice za rješavanje adrese natrag na unutarnju lokalnu adresu (192.168.10.10) i prosljeđuje paket na PC1.

5b. Kada R2 primi paket s odredišnom IPv4 adresom 209.165.200.227, usmjerivač R2 gleda u NAT tablicu. R2 koristi mapiranje iz tablice za rješavanje adrese natrag na unutarnju lokalnu adresu (192.168.11.10) i prosljeđuje paket na PC2.

6. PC1 sa adresom 192.168.10.10 i PC2 sa adresom 192.168.11.10 primaju pakete i nastavljaju dijalog. NAT usmjerivač izvodi korake 2-5b za svaki paket (korak 6 nije prikazan na slikama).

Slika 2

Dinamička NAT provjera

Timski rezultati prikaži prijevode ip nat prikazano na Sl. 1 sadrže informacije o dva prethodna dodjeljivanja NAT -a. Naredba prikazuje sve konfigurirane prijevode statičkih adresa i sve dinamičke prijevode generirane kao rezultat obrade prometa.

Dodavanje ključne riječi detaljno prikazuje dodatne informacije o svakoj transformaciji, uključujući vrijeme od kada je unos kreiran i korišten.

Prema zadanim postavkama, unosi konverzije istječu nakon 24 sata, osim ako je postavka tajmera promijenjena pomoću naredbe ip nat istek prijevodatimeout-seconds u načinu globalne konfiguracije.

Da biste izbrisali dinamičke unose prije nego što isteknu, upotrijebite naredbu načina globalne konfiguracije jasan ip nat prijevod... Preporučuje se brisanje dinamičkih unosa prilikom provjere NAT konfiguracije. Kao što je prikazano u tabeli, ova naredba se može koristiti s ključnim riječima i varijablama za definiranje zapisa za brisanje. Određeni unosi se mogu izbrisati kako bi se izbjeglo rušenje aktivnih sesija. Za uklanjanje svih transformacija iz tablice, koristite naredbu globalne konfiguracije jasan ip nat prijevod *.

Bilješka... Iz tablice se uklanjaju samo dinamičke transformacije. Statičke konverzije ne mogu se ukloniti iz tablice pretvorbe.

Kao što je prikazano, naredba prikaži statistiku ip nat prikazuje informacije o ukupnom broju aktivnih prijevoda, konfiguracijskim parametrima NAT -a, broju adresa u spremištu i broju dodijeljenih adresa.

Alternativno, možete koristiti naredbu pokazati running-config i pronađite naredbe NAT, ACL, sučelje ili spremište sa vrijednostima koje želite. Pažljivo proučite rezultate i ispravite sve pronađene greške.

Konfiguriranje prijevoda adresa porta (PAT)

Prevođenje adrese PAT porta (naziva se i NAT sa preopterećenjem) čuva adrese u internom globalnom spremištu dopuštajući usmjerivaču da koristi jednu unutar globalne adrese za više unutarnjih lokalnih adresa. Drugim riječima, jedna javna IPv4 adresa može se koristiti za stotine ili čak hiljade internih IPv4 privatnih adresa. Kada je ova vrsta prevođenja konfigurirana, usmjerivač pohranjuje dovoljno protokolarnih podataka višeg sloja, kao što su TCP ili UDP brojevi portova, da obrne unutrašnju globalnu adresu na ispravnu unutarnju lokalnu adresu. Kada povežete više unutarnjih lokalnih adresa s jednom unutar globalne adrese, brojevi TCP ili UDP portova koriste se za razlikovanje lokalnih adresa.

Bilješka... Ukupan broj internih adresa koje se mogu prevesti u jednu vanjsku adresu teoretski može doseći 65.536 po IP adresi. No, broj internih adresa kojima se može dodijeliti jedna IP adresa je približno 4000.

Postoje dva načina za konfiguriranje PAT -a, ovisno o tome kako vaš ISP dodjeljuje javne IPv4 adrese. U prvom slučaju, ISP dodjeljuje organizaciji nekoliko javnih IPv4 adresa, au drugom slučaju jedna javna IPv4 adresa dodjeljuje se organizaciji za povezivanje na mrežu ISP -a.

Konfiguriranje PAT -a za skup javnih IP adresa

Ako je objektu dodijeljeno nekoliko javnih IPv4 adresa, tada te adrese mogu biti dio spremišta koje koristi PAT. Ovo je slično dinamičkom NAT-u, samo što nema dovoljno javnih adresa za stvaranje međusobne korespondencije između unutarnje i vanjske adrese. Mali skup adresa dijeli veliki broj uređaja.

Na sl. 1 prikazuje korake za konfiguriranje PAT -a za korištenje spremišta adresa. Glavna razlika između ove konfiguracije i konfiguracije za dinamički jedno-na-jedan NAT je upotreba ključne riječi preopterećenje... Ključna reč preopterećenje omogućava rad PAT -a.

Primjer konfiguracije prikazane na Sl. 2, stvara prevod preopterećenja za NAT spremište pod nazivom NAT-POOL2. NAT-POOL2 sadrži adrese od 209.165.200.226 do 209.165.200.240. Objekti konverzije su hostovi na mreži 192.168.0.0/16. Sučelje S0 / 0/0 definirano je kao unutarnje sučelje, a sučelje S0 / 1/0 kao vanjsko sučelje.

Upotrijebite provjeru sintakse na Sl. 3 za konfiguriranje PAT -a na R2 pomoću spremišta adresa.

Konfiguriranje PAT -a za jednu javnu IPv4 adresu

Na sl. 1 prikazuje topologiju implementacije PAT -a za prevođenje jedne javne IPv4 adrese. U ovom primjeru svi domaćini na mreži 192.168.0.0/16 (odgovarajući ACL 1) koji šalju promet na internet putem usmjerivača R2 bit će mapirani na IPv4 adresu 209.165.200.225 (IPv4 adresa sučelja S0/1/0 ). Tokovi prometa bit će određeni brojevima portova u NAT tablici od tada preopterećenje.

Na sl. Slika 2 prikazuje korake potrebne za konfiguriranje PAT -a s jednom IPv4 adresom. Ako je dostupna samo jedna javna IPv4 adresa, konfiguraciji preopterećenja obično se dodjeljuje javna adresa vanjskog sučelja koje se povezuje s ISP -om. Sve interne adrese u paketima koji napuštaju vanjsko sučelje prevode se u jednu IPv4 adresu.

Korak 1. Definirajte ACL koji omogućuje konverziju prometa.

Korak 2. Prilagodite izvornu transformaciju pomoću ključnih riječi interfejs i preopterećenje... Ključna reč interfejs navodi IP adresu sučelja koja će se koristiti pri prevođenju internih adresa. Ključna reč preopterećenje govori usmjerivaču da prati brojeve portova za svaki NAT unos.

Korak 3. Navedite sučelja koja su interna za NAT. Ovo je bilo koje sučelje povezano s internom mrežom.

Korak 4. Navedite sučelje koje je vanjsko za NAT. Ovo mora biti isto sučelje koje je navedeno u stavci izvorne transformacije u koraku 2.

Ova je konfiguracija slična dinamičkom NAT -u, osim što se ključna riječ koristi za definiranje vanjske IPv4 adrese umjesto spremišta adresa interfejs... Stoga nije definirano NAT spremište.

Koristite alatku za provjeru sintakse za konfiguriranje PAT -a na R2 s jednom adresom.

PAT analiza

Proces preopterećenja NAT -a je isti kada se koristi spremište adresa ili kada se koristi jedna adresa. Nastavljajući sa prethodnog primera PAT -a koristeći jednu javnu IPv4 adresu, PC1 zahteva vezu sa Svr1 veb serverom. U isto vrijeme, drugi klijent, PC2, mora uspostaviti sličnu sesiju sa Svr2 web serverom. I PC1 i PC2 su konfigurirani s privatnim IPv4 adresama, a PAT je omogućen na R2.

Proces prenosa paketa sa računara na servere

1. Na sl. 1 prikazuje računare PC1 i PC2 koji šalju pakete serverima Svr1 i Svr2. PC1 koristi IPv4 adresu 192.168.10.10 i izvorni TCP port 1444. PC2 koristi izvornu IPv4 adresu 192.168.10.11 i slučajno koristi isti izvorni TCP port 1444.

2. Paket sa PC1 prvi stiže do rutera R2. Koristeći PAT, R2 mijenja izvornu IPv4 adresu u 209.165.200.225 (unutar globalne adrese). Nema drugih uređaja u NAT tablici koji koriste port 1444, pa PAT zadržava isti broj porta. Paket se zatim prosljeđuje na poslužitelj Svr1 na 209.165.201.1.

3. Zatim, paket dolazi do usmjerivača R2 s PC2. Postavka PAT osigurava da svi prijevodi koriste istu internu globalnu IPv4 adresu, 209.165.200.225. Slično procesu prevođenja za PC1, PAT mijenja IPv4 izvornu adresu PC2 u unutrašnju globalnu adresu 209.165.200.225. Međutim, ovaj PC2 paket koristi izvorni broj porta koji se već nalazi u trenutnom unosu PAT koji pretvara PC1. PAT povećava broj izvornog porta sve dok njegova vrijednost ne bude jedinstvena za datu tablicu. U ovom slučaju unosu izvornog porta u NAT tablici i paketu s PC2 dodjeljuje se broj 1445.

Iako PC1 i PC2 koriste istu prevedenu adresu, unutrašnja globalna adresa je 209.165.200.225, a isti izvorni broj porta je 1444, promijenjeni broj porta za PC2 (1445) čini svaki unos u NAT tablici jedinstvenim. To postaje očito kada poslužitelji šalju nazad pakete klijentima.

Proces prenosa paketa sa servera na računare

4. Kao što je prikazano na sl. 2, u tipičnoj razmeni klijent-server, serveri Svr1 i Svr2 odgovaraju na zahteve primljene sa računara PC1 i PC2, respektivno. Poslužitelji koriste izvorni port primljenog paketa za povratni promet kao odredišni port, a izvornu adresu kao odredišnu adresu. Poslužitelji se ponašaju kao da komuniciraju s jednim čvorom 209.165.200.225, ali to nije slučaj.

5. Nakon primanja paketa, usmjerivač R2 pronalazi jedinstveni unos u NAT tablici koristeći adresu odredišta i odredišni port svakog paketa. Ako je paket primljen od Svr1, odredišna IPv4 adresa 209.165.200.225 odgovara nekoliko unosa, ali samo jedan od njih sadrži odredišni port 1444. Koristeći ovaj unos u tablicu, usmjerivač R2 mijenja odredišnu IPv4 adresu paketa u 192.168.10.10. Promjena odredišnog porta u ovom slučaju nije potrebna. Paket se zatim prosljeđuje na PC1.

6. Nakon primanja paketa sa Svr2 servera, R2 izvodi istu konverziju. Ruter ponovo pronalazi IPv4 odredišnu adresu 209.165.200.225 sa više unosa. Međutim, koristeći odredišni port 1445, R2 može jedinstveno identificirati unos mapiranja. Odredišna IPv4 adresa promijenjena je u 192.168.10.11. U ovom slučaju, odredišni port također treba promijeniti na izvornu vrijednost 1444 pohranjenu u NAT tablici. Paket se zatim prosljeđuje na PC2.

PAT provjera

R2 je konfiguriran za pružanje PAT -a klijentima na mreži 192.168.0.0/16. Kada interni domaćini izlaze putem R2 na Internet, njihove adrese se rješavaju na IPv4 adresu iz PAT spremišta s jedinstvenim brojem porta izvora.

PAT provjera koristi iste naredbe kao i za statičku i dinamičku NAT provjeru, kao što je prikazano na Sl. 1. Tim prikaži prijevode ip nat daje transformacije za promet s dvije različite web lokacije na različite web poslužitelje. Imajte na umu da su dva različita interna hosta dodijeljena istoj IPv4 adresi 209.165.200.226 (interna globalna adresa). Brojevi portova izvora koriste se u NAT tablici za razlikovanje dviju transakcija.

Kao što je prikazano na sl. 2, tim prikaži statistiku ip nat dozvoljava vam da provjerite da NAT-POOL2 ima istu adresu dodijeljenu za oba prijevoda. Izlaz naredbe sadrži informacije o broju i vrsti aktivnih prijevoda, NAT postavkama, broju adresa u spremištu i broju dodijeljenih adresa.

NAT ili Prevođenje mrežne adrese način je preusmjeravanja jednog adresnog prostora u drugi promjenom podataka o mrežnoj adresi u internetskom protokolu ili IP -u. Zaglavlja paketa se mijenjaju dok su u tranzitu kroz uređaje za usmjeravanje. Ova metoda je izvorno korištena za lakše preusmjeravanje prometa na IP mrežama bez potrebe za numeriranjem svakog hosta. Postao je važno i popularno oruđe za dodjelu i održavanje globalnog adresnog prostora usred akutnog nedostatka IPv4 adresa.

Šta je NAT?

Korištenje prevođenja mrežnih adresa je mapiranje svake adrese iz jednog adresnog prostora u adresu koja se nalazi u drugom adresnom prostoru. To može biti potrebno u slučaju da se promijenio pružatelj usluga, a korisnik nema priliku javno objaviti novu rutu prema mreži. U uvjetima globalnog iscrpljivanja adresa, NAT tehnologija se sve više koristi od kasnih 1990 -ih. Obično se ova tehnologija koristi zajedno s IP šifriranjem. IP šifriranje je metoda prijenosa više IP adresa u jedan prostor. Ovaj mehanizam je implementiran u uređaju za usmjeravanje koji koristi prevodilačke tablice sa statusom za mapiranje skrivenih adresa na jednu IP adresu. Takođe preusmerava sve izlazne IP pakete na izlaz. Stoga se ovi paketi prikazuju kao da napuštaju uređaj za usmjeravanje. Odgovori povratne veze preslikavaju se na originalnu IP adresu pomoću pravila pohranjenih u prijevodnim tablicama. Zauzvrat, prijevodne tablice se brišu nakon kratkog vremena ako promet ne ažurira svoje stanje. Ovo je osnovni NAT mehanizam. Šta to znači? Ova tehnologija omogućuje organizaciju komunikacije putem usmjerivača samo kada se povezivanje odvija u šifriranoj mreži, jer se na taj način stvaraju prijevodne tablice. Unutar takve mreže web preglednik može pregledati web lokaciju izvan nje, ali kada je instaliran izvan nje, ne može otvoriti resurs koji se nalazi na njoj. Većina današnjih NAT uređaja dopušta mrežnom administratoru da konfigurira unose tablice prijevoda za trajnu upotrebu. Ova se funkcija posebno često naziva prosljeđivanje porta ili statički NAT. Omogućava odlazni promet prema "vanjskoj" mreži da dođe do označenih domaćina na šifriranoj mreži. Zbog popularnosti metode koja se koristi za očuvanje IPv4 adresnog prostora, izraz NAT je gotovo postao sinonim za šifriranje. Budući da prevođenje mrežne adrese mijenja podatke o adresi IP paketa, to može imati ozbiljne posljedice po kvalitetu veze. Stoga zahtijeva pažljivu pažnju na sve detalje implementacije. Načini korištenja NAT -a međusobno se razlikuju po specifičnom ponašanju u različitim situacijama koje se odnose na utjecaj na mrežni promet.

Osnovni NAT

Najjednostavniji tip NAT-a omogućava jedan-na-jedan prevod IP adresa. Glavni tip ovog emitiranja je RFC-2663. U ovom slučaju mijenjaju se samo IP adrese, kao i kontrolni zbroj IP zaglavlja. Osnovni tipovi prevođenja mogu se koristiti za povezivanje dvije IP mreže koje imaju nekompatibilno adresiranje.

Većina NAT okusa može mapirati više privatnih domaćina na jednu javno naznačenu IP adresu. LAN u tipičnoj konfiguraciji koristi jednu od dodijeljenih "privatnih" IP adresa za podmrežu. Na ovoj mreži, usmjerivač ima privatnu adresu u prostoru. Također, usmjerivač se povezuje s internetom koristeći "javnu adresu" koju dodjeljuje ISP. Budući da promet prolazi s lokalnog interneta, izvorna adresa u svakom paketu se u hodu prevodi s privatnog na javni. Ruter također vodi evidenciju osnovnih podataka o svakoj aktivnoj vezi. To se posebno odnosi na informacije kao što su adresa i odredišna luka. Kad mu se odgovori vrati, on koristi podatke o vezi koji se spremaju tijekom izlazne faze. To je potrebno kako bi se odredila privatna adresa interne mreže na koju odgovor treba biti usmjeren. Glavna prednost ove funkcionalnosti je to što je praktično rješenje problema iscrpljivanja IPv4 adresnog prostora. Čak se i velike mreže mogu povezati s internetom pomoću jedne IP adrese. Svi paketni datagrami na IP mrežama imaju dvije IP adrese - adresu izvora i adresu odredišta. Paketi koji putuju iz privatne mreže u javnu mrežu imat će adresu izvora paketa koja se mijenja pri prijelazu iz javne mreže u privatnu mrežu. Moguće su i složenije konfiguracije.

Značajke NAT konfiguracije

NAT konfiguracija može biti specifična. Možda će biti potrebne dodatne izmjene kako bi se izbjegle muke oko prevođenja vraćenih paketa. Većina internetskog prometa ići će putem UDP -a i TCP -a. Njihovi se brojevi mijenjaju tako da se IP adrese i brojevi portova podudaraju prilikom slanja podataka. Protokoli koji nisu zasnovani na UDP -u ili TCP -u zahtijevaju različite metode prevođenja. ICMP ili Internet Message Control Protocol u pravilu povezuje prenesene informacije s postojećom vezom. To znači da ih treba prikazati koristeći istu IP adresu i broj koji su izvorno postavljeni. Šta treba uzeti u obzir? Konfiguriranje NAT-a na usmjerivaču ne pruža krajnju vezu. Iz tog razloga, takvi usmjerivači ne mogu učestvovati u nekim internetskim protokolima. Usluge koje zahtijevaju pokretanje TCP veza s vanjske mreže ili korisnike koji nisu protokolarni jednostavno neće biti dostupne. Ako NAT usmjerivač ne ulaže puno napora da podrži takve protokole, dolazni paketi možda nikada neće stići na odredište. Neki protokoli mogu biti smješteni u istom prijevodu između hostova koji učestvuju, ponekad koristeći pristupnik sloja aplikacije. Međutim, veza se neće uspostaviti ako su oba sistema odvojena od interneta pomoću NAT -a. Također, upotreba NAT -a komplicira protokole za tuneliranje, poput IPsec -a, jer mijenja vrijednosti u zaglavljima koja su u interakciji s provjerama integriteta zahtjeva.

NAT: postojeći problem

Osnovni princip Interneta je end-to-end povezivost. Postoji od svog početka. Trenutno stanje mreže samo dokazuje da NAT krši ovaj princip. U profesionalnom okruženju postoji ozbiljna zabrinutost zbog široke upotrebe prevođenja mrežnih adresa u IPv6. Stoga se danas postavlja pitanje kako se ovaj problem može ukloniti. Budući da tablice stanja prijevoda u NAT usmjerivačima nisu same po sebi stalne, uređaji na internoj mreži gube IP vezu u vrlo kratkom vremenskom periodu. Ne smijemo zaboraviti ovu okolnost kada govorimo o tome što je NAT u usmjerivaču. Ovo značajno skraćuje vrijeme rada kompaktnih uređaja koji rade na punjive baterije i baterije.

Skalabilnost

NAT također nadgleda samo portove koje interne aplikacije mogu brzo iscrpiti i koje koriste više istovremenih veza. To mogu biti HTTP zahtjevi za stranice s velikim brojem ugrađenih objekata. Ovaj problem možete ublažiti praćenjem IP adrese na odredištima pored porta. Tako jedan lokalni port može dijeliti veliki broj udaljenih hostova.

NAT: neke komplikacije

Budući da su sve interne adrese prerušene u jednu javnu adresu, nemoguće je da vanjski domaćini započnu vezu s određenim unutrašnjim hostom bez postavljanja posebne konfiguracije na vatrozidu. Ova konfiguracija bi trebala preusmjeriti veze na određeni port. IP telefonija, video konferencije i slične aplikacije moraju koristiti NAT metode prelaska da bi pravilno funkcionirale. Rapt prijevodni port i povratna adresa omogućavaju hostu čija se IP adresa povremeno mijenja da ostane dostupan kao poslužitelj koristeći fiksnu IP adresu kućne mreže. Ovo bi u principu trebalo omogućiti poslužitelju da zadrži vezu. Iako ovo rješenje nije idealno, ono može biti još jedan koristan alat u arsenalu mrežnog administratora pri rješavanju problema vezanih za konfiguriranje NAT usmjerivača.

PAT ili Prijevod adrese

Prevođenje adresa porta je implementacija Cisco Rapta koja preslikava više privatnih IP adresa u jednu javnu. Stoga se više adresa može mapirati kao adresa jer se svaka prati pomoću broja porta. PAT koristi jedinstvene interne brojeve internetskih portova IP izvora za razlikovanje smjera prijenosa podataka. Ovi brojevi su 16-bitni cijeli brojevi. Ukupan broj internih adresa koje se mogu prevesti na jednu vanjsku adresu teoretski može doseći 65536. U stvarnosti, broj portova kojima se može dodijeliti jedna IP adresa je približno 4000. PAT u pravilu pokušava zadržati original luka "originala" ... Ako se već koristi, Prijevod adrese porta dodjeljuje prvi dostupni broj porta, počevši od početka odgovarajuće grupe. Kada nema dostupnih portova i postoji više od jedne vanjske IP adrese, PAT prelazi na sljedeći kako bi dodijelio izvorni port. Ovaj proces će se nastaviti sve dok ne isteknu dostupni podaci. Cisco usluga prikazuje adresu i port. Kombinira adresu porta za prevođenje i podatke za tuneliranje IPv4 paketa preko interne IPv6 mreže. U stvari, to je alternativna verzija Carrier Grade NAT i DS-Lite, koja podržava IP prevođenje portova i adresa. Time se izbjegavaju problemi povezani s uspostavljanjem i održavanjem veze. On također pruža prijelazni mehanizam za implementaciju IPv6.

Metode prevođenja

Postoji nekoliko glavnih načina za implementaciju prevođenja mrežne adrese i porta. Određeni aplikacijski protokoli zahtijevaju da odredite vanjsku NAT adresu koja se koristi na drugom kraju veze. Često je također potrebno proučiti i klasificirati vrstu prijenosa. Obično se to radi jer je poželjno da dva klijenta iza zasebnih NAT -ova stvore direktni komunikacijski kanal. U tu svrhu razvijen je poseban protokol RFC 3489, koji omogućuje jednostavno prebacivanje UPD -a kroz NATS. Danas se već smatra zastarjelim, jer se ovih dana takve metode smatraju nedostatnima za ispravnu procjenu rada uređaja. U 2008. razvijen je RFC 5389 koji je standardizirao nove metode. Ova specifikacija se danas naziva Session Traversal. To je namjenski uslužni program za NAT.

Uspostavljanje dvosmjerne komunikacije

Svaki UDP i TCP paket sadrži izvornu IP adresu i broj porta, kao i koordinate odredišnog porta. Broj porta je vrlo važan za dobivanje javnih usluga poput funkcionalnosti poslužitelja pošte. Tako se, na primjer, port 25 povezuje sa SMTP poslužiteljem pošte, a port 80 sa softverom web servera. IP adresa javnog servera je takođe bitna. Ovi parametri moraju biti pouzdano poznati onim čvorovima koji namjeravaju uspostaviti vezu. Privatne IP adrese relevantne su samo na lokalnim mrežama.

SLIČNI ČLANCI