Միացման տեսակը nat. Ինչպես է աշխատում NAT-ը

/05.07.2004 20:43/

Վերջին տարիներին, ռուսական ցանցի ադմինիստրատորների շրջանում, նորաձևությունը FieWall-ի և ՆԱՏ. Eserv-ի օգտատերերը գիտեն իմ վերաբերմունքն այս տեխնոլոգիաների նկատմամբ 90-ականների կեսերից, բայց երբեմն FireWall / NAT-ի մասին նման հարցեր տալիս են սկսնակները, և ես ստիպված եմ կրկնել ինքս ինձ: Ուստի մոտ մեկ տարի առաջ ես առանձին հոդված գրեցի FieWall-ի մասին, և այսօր հերթը NAT-ինն է։

Էպիգրաֆ

Ավելացվել է 28/12/2005: Google-ը լավ ամփոփեց NAT-ի խնդիրը. «NAT սարքերը, որոնք գնալով ավելի տարածված են դառնում տներում և գրասենյակներում, թույլ են տալիս մի քանի մեքենաների համօգտագործել մեկ ինտերնետային հասցե: հետևաբար, այն ավելի ու ավելի դժվար է դառնում այնպիսի հավելվածների համար, ինչպիսին է ձայնային զրույցը, որը պահանջում է գործընկերներից ուղղակիորեն դիմեք միմյանց, որպեսզի հուսալիորեն կապակցվեն միմյանց հետ»: (NAT սարքերը, որոնք մեծանում են տներում և գրասենյակներում, թույլ են տալիս մի քանի մեքենաների կիսվել մեկինտերնետ հասցե. Արդյունքում, այնպիսի ծրագրեր, ինչպիսիք են ձայնային զրույցկողմերին ուղղակիորեն դիմելու պահանջով, ավելի ու ավելի դժվար է ստեղծել հուսալի կապերկետ-կետ.)

Փաստաթղթի բովանդակության աղյուսակ

NAT-ի պատմություն

Նախ, մի քանի խոսք ինտերնետում պրոքսիինգի / gating / թունելավորման անհրաժեշտության առաջացման պատմության մասին, ապա ավելի պարզ կդառնան տարբեր մոտեցումների հնարավորությունները և դրանց «հիերարխիան»: Ինչպես գիտեք, 4 բայթ հասցեների տարածության մեջ IP հասցեների պակասը կանխատեսվել էր դեռևս 90-ականների սկզբին (գումարած որոշ ընկերություններում հասցեների բլոկների վարձակալման համար գումարի բացակայությունը: Հետևաբար, արդեն 1994 թվականի մարտին նրանք համաձայնության են եկել հասցեի շուրջ »: ընդհանուր տարածության սեգմենտավորում. տեղաբաշխում տեղական ցանցերի համար IP հասցեների առանձին տիրույթներ և բացառելով այդ IP հասցեների օգտագործումը ինտերնետում (http://www.ietf.org/rfc/rfc1597.txt 1994թ. մարտ. Հասցեների տեղաբաշխում մասնավոր ինտերնետի համար; մեջբերում այս փաստաթղթի նպատակի մասին «Հեղինակները հույս ունեն, որ այս մեթոդների կիրառումը կհանգեցնի զգալի խնայողության հասցեների բաշխման հարցում»): Այս լուծումը թույլ տվեց ընկերություններին IP հասցեների փոքր բլոկներ հատկացնել իրենց ինտերնետային սերվերների համար, իսկ LAN-ի ներսում IP հասցեները իրենց կարիքների համար հատկացվում էին հենց ընկերությունների կողմից տեղական ցանցերի տիրույթներից: Արդյունքում, ընկերությունների ինտերնետային սերվերները (փոստ և www/ftp) հեշտությամբ հասանելի էին ինչպես ինտերնետից, այնպես էլ LAN-ից, իսկ LAN-ի ներսում համակարգիչները հաղորդակցվում էին առանց խնդիրների՝ օգտագործելով նույն IP արձանագրությունները: Բայց այս որոշումը պատնեշ կանգնեցրեց տեղական ցանցերի և ինտերնետի միջև. նույն IP հասցեն կարող է օգտագործվել տարբեր LAN-ներում, և քանի որ այս պատճառով ինտերնետը դադարեցրեց փաթեթների երթուղավորումը՝ LAN-երի համար հատկացված բլոկներին հասցեագրելու համար: Նրանք. իրականում «ֆիզիկական արգելք» (առանց լարերը կտրելու, ինչը զվարճալի էր ռուսական բանկերում առաջին հաքերներից հետո, և առանց FieWall-ի տեղադրման, ինչից նրանք այժմ կախվածություն ունեն): Ցանցերը դարձել են մեկուսացված, քանի որ առաջադրանքները մեկուսացված են ժամանակակից օպերացիոն համակարգերում՝ յուրաքանչյուրն իր հասցեների տարածությամբ: Այս արգելքը փոստի համար խնդիր չէր, քանի որ ձեռնարկության փոստի սերվերները տեղադրված էին ցանցերի եզրին և տեսանելի էին ինչպես ինտերնետից, այնպես էլ LAN-ից: Բայց LAN-ից դեպի արտաքին ռեսուրսներ՝ ftp և http-սերվերներ, որոնք այդ տարիներին դեռ ժողովրդականություն էին վայելում, խնդիրներ սկսվեցին: Եթե ​​նախկինում ցանկացած համակարգչից հնարավոր էր ուղղակիորեն շփվել սերվերի հետ, ապա այժմ միայն համակարգիչներով իրական ինտերնետային հասցեներ, որովհետեւ որ LAN-ին պատասխան ուղարկել IP փաթեթին, որն ունի տեղական հասցե վերադարձի հասցեում, երթուղիչը չի կարողանա որոշել:

Այս խնդրի ամենապարզ լուծումը` վերադարձի հասցեի փոխարինումը ցանցերի եզրին, դրված էր մակերեսի վրա և չուշացավ հրապարակվել. 1994 թվականի մայիսին, այսինքն. «Ցանցերի հատվածից» երկու ամիս անց առաջարկվեց NAT ճշգրտումը. http://www.ietf.org/rfc/rfc1631.txt The Network Address Translator (NAT) մայիս 1994 թՀեղինակները սա հայտարարեցին որպես «կարճաժամկետ լուծում», այսինքն. ժամանակավոր լուծումնշված խնդրի՝ յուրատեսակ «հաք», քանի դեռ նորմալ լուծումները չեն տարածվել։ Բայց, ինչպես գիտեք, ոչինչ այնքան մշտական ​​չէ, որքան ժամանակավոր IPv6-ը, հակառակ ակնկալիքների, արագ արմատավորվեց, և վերջին 10 տարիների ընթացքում մենք ականատես ենք լինում ավելի ու ավելի շատ մարտերի LAN-ի և ինտերնետի սահմաններում: ՆԱՏ-ը լայն տարածում է գտել, քանի որ. Այն տարիներին այս խնդրի այլ ընդունելի լուծում չկար. FTP հաճախորդները և HTTP հաճախորդները (բրաուզերները) ժամանակ չունեին հարմարվելու աշխարհի փոփոխված պատկերին, նրանք չէին կարող աշխատել LAN-ից արտաքին ռեսուրսներով, ուստի, որպեսզի. նրանց համար սահմանը թափանցիկ դարձրեք, նրանք պարզապես ծրագրային «խաբեցին» օգտագործելով NAT-ը. LAN-ից դեպի դրս հասցեագրված բոլոր IP փաթեթները ենթարկվեցին սահմանի ամենապարզ մշակմանը. հակադարձ IP հասցեն փոխարինելով «սահմանի» իրական հասցեով: համակարգիչ և մուտքային փաթեթների հակադարձ փոխարինում: Բացի այդ, սովորաբար փոխարինվում էր նաև LAN աղբյուրի պորտի համարը: փաթեթները կարող են առաջանալ LAN-ի տարբեր մեքենաներից՝ նույն նավահանգիստների համարներով: Նրանք. թարգմանվում են ոչ միայն IP հասցեները, այլ նաև պորտի համարները (երբեմն նավահանգիստների թարգմանիչները կոչվում են առանձին հապավում PAT): Պայմանական դասակարգման մեջ NAT-ը բաժանված է «ստատիկ, դինամիկ և դիմակահանդեսային» (դիմակահանման)», բայց գործնականում հիմնականում օգտագործվում է երրորդ տեսակը, որը թույլ է տալիս հազարավոր կապեր սպասարկել LAN-ից մեկ իրական հասցեի միջոցով (իդեալականում), մինչդեռ. նավահանգստի թարգմանությունը միշտ օգտագործվում է: NAT համակարգչի կամ երթուղիչի + NAT-ի վրա թարգմանության համար օգտագործվող մի շարք նավահանգիստներ հատկացվում են, օրինակ, 60000-ից ավելի թվերով (այս պորտերը արագ տարբերակելու համար, որոնք հատկացված են այս համակարգչի սեփական կարիքների համար) և ընթացիկ նստաշրջանների դինամիկ աղյուսակ / հասցեների քարտեզագրում. Յուրաքանչյուր անցնող փաթեթ ստուգվում է այս աղյուսակով և պորտով և կատարվում են համապատասխան փոխարինումներ: Տեխնոլոգիան այնքան պարզ է, որ այժմ ավելի ու ավելի քիչ տարածված է գտնել երթուղիչ կամ մալուխային մոդեմ առանց ներկառուցված NAT-ի (և FieWall-ը՝ նույնքան պարզունակ, որքան NAT-ը), և NAT-ն արդեն կարելի է գտնել նույնիսկ 40 դոլարից սկսած գներով հանգույցներում։ Էլ չենք խոսում «անվճար» NAT-ի մասին, որը ներառված է Windows-ի մի քանի վերջին տարբերակների անվան տակ: կապի փոխանակում«Եվ» կապի փոխանակումՀասանելիությունն է, ըմբռնման/օգտագործման հեշտությունը և հաճախորդի ծրագրային ապահովման համար անպահանջը, որը NAT-ին արժանիորեն հայտնի դարձրեց:

Ինտերնետային ծրագրերի «աչքերով» NAT

Եթե ​​գործնականում ամեն ինչ այդքան պարզ լիներ, ապա հետաքրքիր չէր լինի: Բայց, իհարկե, ինչպես ցանկացած այլ ծրագրային հնարք, զանազան տհաճ կողմնակի ազդեցությունները անմիջապես սկսեցին հայտնվել NAT-ում: NAT-ի հայտնվելու ժամանակ ամենահայտնի արձանագրություններից մեկը FTP-ն էր, և հենց այս արձանագրությունը դարձավ NAT-ի առաջին չմարսվող արձանագրությունը: Սա բացահայտեց մի խնդիր, որը երբեք հաջողությամբ չէր լուծվել NAT-ում վերջին 10 տարիների ընթացքում: Իսկ ընդհանուր դեպքում դա չի կարող լուծվել NAT-ի շրջանակներում, կարող են լինել միայն ճշգրտումներ կոնկրետ արձանագրությունների համար, բայց այդ ճշգրտումները չեն կարող վստահելի լուծում համարվել։ Խնդիրն այն է, որ որոշ արձանագրություններում, որոնց թվում FTP-ն ամենահինն է, փոխանցվում է հաճախորդի մեքենայի IP հասցեն, և այս IP հասցեն օգտագործվում է սերվերի կողմից՝ տվյալներ հաճախորդին փոխանցելու համար: Քանի որ NAT-ի դեպքում LAN-ից գործող հաճախորդ ծրագիրը «խաբվում է» NAT-ի կողմից, այն կարող է միայն իր տեղական IP հասցեն ուղարկել սերվերին, որին արտաքին սերվերը չի կարողանա միանալ անտեսանելիության պատճառով: տեղական ցանցեր ինտերնետից: Այլ օրինակներ են արձանագրությունները ICQ, MS NetMeeting, RealAudio և շատ այլ արձանագրություններ, որոնց մշակողները, ըստ երևույթին, նստած են ցանցերում առանց
NAT NAT-ը կարող է առաջարկել այս խնդրի միայն մեկ լուծում՝ հիմնվելով նավահանգստի համարների վրա, գուշակել թարգմանվող կոնկրետ արձանագրությունը և սկսել վերահսկել IP փաթեթների պարունակությունը: Երբ նրանք հանդիպում են PORT FTP հրամանին, որը սահմանում է. տեղական հաճախորդի պորտը (տեքստային հրաման փաթեթի մարմնում, և ոչ թե IP փաթեթի վերնագրում), ապա փոխարինեք ոչ միայն վերնագրերը, այլև ամբողջ փաթեթը: , չեկային գումարի վերահաշվարկով և մեկ մուտքային պորտի գաղտնալսման կազմակերպմամբ։ Ցավոք, NAT-ի համար, TCP արձանագրությունը, որում փոխանցվում են FTP արձանագրության հրամանները, հոսքային արձանագրություն է, որը կազմակերպված է. PORT հրամանը, երբ այն հարվածում է IP շերտին, կարող է բաժանվել 2 փաթեթի (կամ նույնիսկ ավելին, կախված FTP հաճախորդից և բուֆերավորում ՕՀ-ում): Հետևաբար, NAT խարդախությունը հուսալիորեն հայտնաբերելու համար դուք պետք է վերակառուցեք բնօրինակ TCP հոսքը, բուֆերը և նորից հավաքեք փաթեթները: Մենք կվերադառնանք «արձանագրությունների վերակառուցմանը» NAT-ում, բայց առայժմ մենք պարզապես նշում ենք հնարավոր սխալների բազմաշերտ մակարդակը: Գործնականում դա հանգեցնում է նրան, որ ստանդարտ FTP ռեժիմը, օգտագործելով PORT over NAT հրամանը, սովորաբար ՉԻ աշխատում:

Հետևաբար, «NAT խնդիրը» FTP արձանագրության մեջ պետք է մշակվի հատուկ ձևով FTP հաճախորդների կամ մեկ այլ միջանկյալ մասնագիտացված FTP պրոքսիում: FTP հաճախորդում դրա համար անհրաժեշտ է անցնել այսպես կոչված. «պասիվ ռեժիմ» - PORT հրամանի փոխարեն օգտագործեք PASV հրամանը: PASV-ը խնդրում է FTP սերվերին բացել լրացուցիչ պորտ իր վրա և հաճախորդին հայտնել իր :port-ը: Հետո հաճախորդը միանում է նշվածին (NAT-ը նորից խաբում է, հեռարձակում) և նիստը հաջողվում է։ Բացի FTP հաճախորդում PASV ռեժիմին աջակցելու անհրաժեշտությունից (դա ստանդարտ ftp.exe-ում չէ), սա նաև որոշակի ջանքեր է պահանջում FTP սերվերի ադմինիստրատորի կողմից, հատկապես, եթե նա նաև մասամբ արգելափակված է Firewall-ներով և NAT-ներով: (որպես FTP ծրագրավորող՝ Eserv-ի սերվերները գիտեն այս խնդիրները առաջին ձեռքից): Ընդհանրապես, այստեղ NAT-ը ոչ թե օգնում է միացնել, այլ խանգարում է։

Այժմ NAT-ի ներսում արձանագրության վերակառուցման մասին՝ հաճախորդի համար խնդիրը շրջանցող «թափանցիկ»: Մի քանի NAT-ներ, որոնք կարող են դա անել (չնայած գործնականում նրանք նաև հայտարարում են, քան կարող են, իրականում բարձրանում են մեկ ցանցի շերտ. ամենապարզ փաթեթի փոխարեն՝ հասցեների թարգմանությամբ վերնագրում, նրանք սկսում են անել նույն բանը, ինչ անում է TCP ստեկը: - փաթեթների TCP- հոսքի հավաքում: Այսպիսով, դրանք գերզարգացած երթուղիչից վերածվում են թերզարգացած TCP հավելվածի վստահված անձի: Այս դեպքում՝ FTP պրոքսի կամ FTP դարպաս: Թերմշակված է, քանի որ հաճախորդը չգիտի այս պրոքսիի մասին, և NAT-ն իր հերթին շարունակում է: գուշակել արձանագրությունը և զբաղվել մի առաջադրանքով, որն անհարմար է լուծելու դրա մակարդակով (IP փաթեթների մակարդակ):

Այս խնդիրը շատ ավելի հեշտ է լուծել, եթե NAT-ի փոխարեն կամ դրան ի լրումն անմիջապես օգտագործեք մասնագիտացված պրոքսի (FTP gate) կամ ունիվերսալ TCP վստահվածներ, ինչպիսիք են Socks-ը կամ ծայրահեղ դեպքում՝ httpS-ը (այս ծայրահեղ դեպքում, սակայն, կաշխատի ավելի լավ, քան NAT): Նրանք սկզբում աշխատում են TCP մակարդակով և չեն խաբում FTP հաճախորդին, այլ համագործակցում են նրա հետ։ Խնդիրների երեք շերտ միանգամից անհետանում է. FTP հաճախորդը կարող է օգտագործել ցանկացած ռեժիմ՝ ակտիվ կամ պասիվ (HTTPS-ում միայն պասիվ, ինչպես NAT-ում), կարիք չկա գուշակել արձանագրությունը և կրկնակի TCP հավաքը: Բացի այդ, ադմինը գործընթացի վրա ազդելու ավելի շատ հնարավորություններ ունի (այդ մասին ավելի ուշ):

Եթե ​​հաճախորդի ծրագիրը չգիտի, թե ինչպես աշխատել հատուկ վստահված անձի միջոցով (գործնականում այդպիսիք չկան, բայց մենք կխոսենք ամենավատ դեպքերի մասին), ապա Socks proxy-ն օգտագործելիս հաճախորդի աշխատանքը կարող է թափանցիկ լինել նաև SocksCapture-ի միջոցով կամ ներքին FreeCap ծրագրեր: Սահմանի թափանցիկությունը միշտ խաբեություն է, բայց SocksCapture-ը կամ FreeCap-ը չեն ընդհատում IP փաթեթները, այլ ծրագրում են զանգեր դեպի ՕՀ, այնպես որ նրանք միշտ հստակ գիտեն և փաթեթային հոսքից չեն հաշվարկում, թե կոնկրետ ինչ գործողություն է ցանկանում կատարել ծրագիրը: , և համապատասխանաբար վերահղեք այս գործողությունները Socks -proxy-ի միջոցով:

NAT vs գուլպաներ

Քանի որ խոսքը Socks-ի մասին է, պետք է մի քանի խոսք ասել վստահված անձի այս արձանագրության մասին։ Ավելին, պատմականորեն Socks-ը LAN-ի և ինտերնետի միջև սահմանը հատելու հաջորդ միջոցն էր NAT-ից հետո. առաջին գրախոսական հոդվածը «Ինչ է գուլպաները» հրապարակվել է 1994 թվականի հոկտեմբերին, շուտով հայտնվեց Socks4-ի հստակեցումը (նախորդ «տարբերակները» չեն օգտագործվել ցանկացած ապրանք) http://www.socks.nec.com/protocol/socks4a.protocol և միայն 5-րդ տարբերակով 1996թ. մարտին հասունացել էր հրապարակման ietf-ում որպես RFC՝ http://www.ietf.org/rfc /rfc1928.txt. Կա այս փաստաթղթի ռուսերեն տարբերակը. թարգմանությունը կատարել է Ալեքսանդր Գորլախը, ով այն ժամանակ (97 և 98) աշխատել է մեր ընկերությունում և մասնակցել Eserv /2-ի ստեղծմանը, տե՛ս Socks5 էջը։

Socks-ը հաղթահարել է NAT-ի բոլոր սահմանափակումները, գումարած ավելացրել է առնվազն երեք հարմար գործիք, որոնք թույլ են տալիս ոչ միայն «proxy» անել գրեթե ցանկացած TCP և UDP արձանագրություն, այլև բարելավել LAN-ից ինտերնետի օգտագործման նկատմամբ վերահսկողությունը.

  1. Socks-ը ոչ միայն կարգավորում է ելքային կապերը, այլև թույլ է տալիս ստեղծել լսողական մուտքային վարդակներ պրոքսի մեքենայի վրա (BIND մեթոդ) վստահված հաճախորդի խնդրանքով. սա հենց այն է, ինչ պահանջվում է FTP և նմանատիպ ցանցային արձանագրությունների համար:
  2. Socks4a-ն և Socks5-ը թույլ են տալիս հաճախորդի վրայից հեռացնել դոմենի անունները լուծելու առաջադրանքը և դա անել անմիջապես վստահված անձի միջոցով: Նրանք. DNS սերվերը կամ DNS քարտեզագրումը (NAT-ի կամ հատուկ UDPMAP-ի միջոցով) անհարկի է դառնում LAN-ի ներսում գտնվող մեքենայի վրա, նրա անհանգստությունների մեկ «տիզը» հանվում է ադմինիստրատորից, գումարած, սերվերի վրա DNS քեշավորման պատճառով հաճախորդն ավելի արագ է աշխատում:
  3. Socks5-ն աջակցում է հաճախորդի բացահայտ նույնականացման և թույլտվության տարբեր տարբերակներ: NAT-ում ընկերներին անծանոթներից կարելի էր տարբերել միայն .
Բայց Socks-ը, չնայած այն բարելավել է օգտագործելիությունը NAT-ի համեմատ, մնում է ունիվերսալ «ծրագրավորվող քարտեզագրում»: Նրանում չլուծված մնացին ՆԱԹ-ի որոշ խնդիրներ։ Եվ դրանք չեն կարող լուծվել ցածր մակարդակով` չխորանալով կոնկրետ արձանագրված պրոքսիի մանրամասների մեջ։ Ճիշտ այնպես, ինչպես, օրինակ, հեռախոսն ի վիճակի է փոխանցել մարդկային խոսքը, բայց ի վիճակի չէ հասկանալ այն և զտել չարաշահումները: Հետևաբար, այն ադմինիստրատորները, ովքեր ցանկանում են լիովին վերահսկել, թե ինչ է կատարվում իրենց ցանցում, օգտագործում են մասնագիտացված պրոքսիներ:

NAT-ը և մասնագիտացված վստահված անձինք sysadmin-ի աչքերով

Նորից առաջինը փոքր շեղումպատմության մեջ։ HTTP արձանագրությունը մշակվել է 90-ականների սկզբին (այսպես կոչված «տարբերակ 0.9»), իսկ 90-ականների կեսերին այն դարձավ համացանցի «սպանող հավելվածը», որի համար սկսեցին կապվել ոչ միայն գիտնականներն ու զինվորականները։ ինտերնետին, այլեւ «հասարակ գործարարներին ու աշխարհականներին»։ Ըստ այդմ, ստանդարտացման անհրաժեշտություն կա։ 1996 թվականի մայիսին թողարկվեց HTTP/1.0 ճշգրտումը RFC:1945 հաղթանակի նշանավոր համարով: Հստակեցման հեղինակներն արդեն հաշվի են առել համացանցի նոր իրողությունները, ներառյալ. LAN-երի համար արձանագրության պրոքսիի անհրաժեշտությունը: Բացի այդ, գործնականում HTTP-ն գոյություն ունի ավելի քան մեկ տարի և ուներ «պրոքսիինգի փորձ»։ Հետևաբար, փաստաթղթում տրվել են անհրաժեշտ սահմանումներ և մեկնաբանություններ վստահված անձանց, դարպասների և թունելների վերաբերյալ: Եվ իրականում այնտեղ ոչ միայն սահմանվել է հենց ինքը՝ HTTP արձանագրությունը (սովորական վեբ սերվերի տեսանկյունից), այլ նկարագրվել են նաև HTTP-proxy և HTTPS-proxy արձանագրությունները։ «ՄԻԱՑՆԵԼ» մեթոդը, որը ներդրվել է HTTP արձանագրության մեջ, որը հատուկ թույլ է տալիս կապը ապահովել HTTP սերվերների վստահված անձի միջոցով, այնուամենայնիվ, թույլ է տալիս չսահմանափակվել 443 նավահանգստով, այլ միացման համար նշել ցանկացած նավահանգիստ: Այսպիսով, ի դեմս HTTPS վստահված անձի, մենք ստանում ենք մեկ այլ «ծրագրավորվող TCP քարտեզագրում» ցանկացած արձանագրության համար, թեև Socks5-ից շատ ավելի սահմանափակ հնարավորություններով: HTTP վստահված անձը բոլորովին այլ խնդիր է իր «հայրենի» HTTP արձանագրության համար: Այն կարող է մշակել այն հարցի լիարժեք իմացությամբ՝ քեշ, զտել ըստ URL-ի և բովանդակության, սահմանափակել, ուղղորդել, լիազորել և այլն: Հաճախ այդ գործողությունները պահանջում են այնպիսի ոչ տրիվիալ գործողություններ TCP-ի և ՕՀ-ի այլ բաղադրիչների մակարդակով, որոնք գործնականում անհնարին են NAT փաթեթային մակարդակում կամ Socks կույր քարտեզագրում:

Դա նույնն է ցանկացած այլ կիրառական արձանագրության դեպքում, որի համար կան մասնագիտացված վստահված անձինք. դրանք միշտ ավելի կառավարելի են, քան ընդհանուր ցածր մակարդակի: Օրինակ, շատ POP3 վստահված սերվերներ թույլ են տալիս զտել սպամը, ինչպես օրինակ PopFile-ը (չնայած շատ ավելի ճիշտ է սպամը զտել ոչ թե վստահված անձի, այլ SMTP սերվերի վրա): Դրա համար գուլպաները և NAT-ը կպահանջեն փոխանցված արձանագրությունը հասկանալու հատուկ հմտություններ, այսինքն. իրականում POP3 վստահված անձի «էմուլյացիա»՝ դրա համար ոչ այնքան հարմար միջոցներով։

Հետևաբար, Socks-ի կամ NAT-ի օգտագործումն այն արձանագրությունների հետ աշխատելու համար, որոնց համար կան մասնագիտացված պրոքսիներ (HTTP, HTTPS, FTP, SMTP, POP3, IMAP) կամ միջանկյալ սերվերների ընդհանուր ընդունված ճարտարապետությունը (SMTP, POP3, IMAP, DNS): հարկադիր ոչ օպտիմալ լուծում: Պարտադիր - կա՛մ կազմակերպչական նկատառումներով ցանկալի տիպի վստահված անձի օգտագործման անկարողությունից (ոչ մի տեղ չկա ցանկալի տիպի վստահված անձի տեղադրում, կամ կապի տեսակը չի ապահովում որևէ իրական IP հասցեի առկայություն, ինչպես դա տեղի է ունենում. Ինտերնետը GPRS-ի միջոցով կամ տնային ցանցի տարբերակները. այս դեպքերում NAT-ը կամ «հարկադիր HTTP վստահված անձը» արդեն մատակարարի կողմն է), կամ պատասխանատու անձանց անբավարար տեղեկացվածության պատճառով, ներառյալ: ադմիններ. Ֆինանսական սահմանափակումները հաշվի չեմ առնում, քանի որ Կան բազմաթիվ տարբերակներ անվճար կամ շատ էժան վստահված անձանց համար այս բոլոր արձանագրությունների համար:

Որոշ դեպքերում Socks5-ի օգտագործումը միանգամայն արդարացված է, օրինակ՝ ICQ-ի և այլ մեսենջերների համար: Այս արձանագրությունների համար հատուկ պրոքսիներ պարզապես չեն մշակվում, քանի որ դրանք գրեթե անտեսանելի են ցանցի օգտագործման ընդհանուր ֆոնի վրա: LAN-ի բացակայության դեպքում փոստի սերվերկամ pop3/smtp վստահված անձ, հաջորդ թեկնածուն նույնպես կլինի Socks5-ը, թեև դրա աջակցությունը հասանելի չէ բոլոր էլփոստի հաճախորդների համար, իսկ որոշներում այն ​​ունի ոչ ակնհայտ հնարավորություններ (տես Mozilla ThunderBird):

Ընտրանքների միջով տեսակավորելիս NAT-ը կլինի «վերջին միջոցը», եթե ավելի լավ բան չգտնվի, կամ եթե NAT-ը ի սկզբանե դրված է եղել մատակարարի կողմից՝ մալուխային մոդեմում, երթուղղիչում, բջջային կապում (NAT-ը տեղադրված է երկաթի այս կտորների մեջ։ , և ոչ թե հանրաճանաչ արձանագրությունների համար հատուկ վստահված անձ, դրա հիմնական իրականացման ծայրահեղ պարզության պատճառով. Eproxy-ում համանման NAT UDPMAP հավելվածի սկզբնական կոդը ունի ընդամենը 4 Կբ չափս։ Արձանագրությունների մի մասը չի աշխատի, դժվար կլինի կառավարել աշխատանքը։ Բայց նման ծայրահեղ դեպքերում ավելի լավ է գոնե ինչ-որ կերպ աշխատել, քան ընդհանրապես չաշխատել։

Ահա իմ վերջին 8 տարիների հայտնի դիրքորոշման մանրամասն բացատրությունը. «Էսերվը երբեք NAT չի ունենա» Դեպքերի ճնշող մեծամասնությունում դուք կամ կարիք չունեք NAT-ի, կամ արդեն ունեք այն: Որպես պատիժ մատակարար ընտրելու համար: A, դուք կարող եք օգտագործել ներկառուցված Windows կապի փոխանակման մեջ, այն աշխատում է ճիշտ այնպես, ինչպես NAT-ը:

Տես նաև Microsoft-ի կայքում NAT-ի «կռունկը». NAT traversal - NAT-ի անցում հավելվածի հարմարեցման միջոցով, NAT/Firewall-ի կազմաձևումը UPnP-ի միջոցով: Եթե ​​առաջին անգամ եք լսում NAT traversal արտահայտությունը, դա այն պատճառով է, որ մշակողները նախընտրում են Socks5-ը, այլ ոչ թե հենակները կարկատանների համար, և այս նախաձեռնությունը չի ստացել «կոդերի աջակցություն»: Բայց հոդվածը լավ է իր նկարներով (ի տարբերություն իմի և NAT խնդիրների մեկ այլ անկախ նկարագրության։

NAT, ICS-ն արդեն ներկառուցված է Windows-ի բոլոր նոր տարբերակներում



Ընդհանուր առմամբ Windows-ի տարբերակներըթողարկվել է 1999 թվականից, NAT ներառված է: Սկզբում ICS (Internet Connection Sharing - կապի փոխանակում) անվան տակ, իսկ ավելի ուշ իրենց NAT անունով: Ահա Windows 2003-ում NAT-ը միացնելու երկխոսությունը («Routing and Remote Access» system32rrasmgmt.msc-ի միջոցով):


Windows XP-ում NAT/ICS-ը միացված է ինտերնետ կապի հատկություններում:


Եթե ​​ստանում եք «Անհնար է թույլատրել համօգտագործումը: Սխալ. 1722. RPC սերվերն անհասանելի է» հաղորդագրությունը: («Հնարավոր չէ միացնել համօգտագործվող մուտքը: Սխալ. 1722. RPC սերվերը հասանելի չէ»:), ապա, ամենայն հավանականությամբ, դուք դադարեցրել կամ անջատել եք DHCP հաճախորդի ծառայությունը, դուք պետք է գործարկեք այն նախքան ICS-ը միացնելը:

NAT-ը Linux մատակարարի sysadmin-ի աչքերով

(Հուլիսի 6, 2004թ. լրացում. հոդվածի առաջին պատասխանը: Ինչպես FieWall-ի մասին հոդվածում, եկեք խոսքը տան իրական համակարգի ադմինիստրատորին.

Մեջբերում Եթե ​​համեմատենք NAT-ի միջոցով աշխատանքը իրականի հետ, ապա մինչ այժմ ես խնդիրներ եմ ունեցել NAT-ի հետ միայն ձայնի, վիդեո և ֆայլերի փոխանցման հետ կապված MSN Messenger-ի նման ծրագրերում։ Թերևս NAT-ի որոշ ներդրումներում կան նաև խնդիրներ ակտիվ ftp-ի, արտաքին VPN սերվերներին միանալու և այլնի հետ, բայց Linux-ում NAT-ի միջոցով աշխատելիս (համապատասխան կարգավորումներով) դրա հետ կապված խնդիրներ չկան: NAT-ի առավելությունն այս դեպքում IP հասցեների և firewall-ի պահպանումն է։

Եթե ​​մենք համեմատում ենք NAT-ը պրոքսիի հետ (որպես ինտերնետ մուտք գործելու միջոց, այսինքն՝ վերահղման հարցումները՝ առանց հաշվի առնելու քեշավորման, URL վերլուծության և այլնի գործառույթները), ապա NAT-ն աշխատում է։ ավելի շատ ծրագրերև արձանագրություններ (բոլորը); NAT-ի համար պարտադիր չէ հատուկ կարգավորումներօգտագործողի կողմից; վստահված անձը ավելի պահանջկոտ է սարքավորման նկատմամբ: Պրոքսիները սովորաբար չեն ապահովում Destination NAT (DNAT) գործառույթը, չնայած Eserve-ում դուք կարող եք հասնել DNAT-ի մասնակի նմանության՝ օգտագործելով tcp/udp քարտեզագրումը:Մեջբերման վերջ.

Այս մեջբերումը ցույց է տալիս, որ պրովայդերները նույնպես շատ տարբեր պահանջներ ունեն ձեռնարկությունների ադմիններից:

backlinks
հոդվածներ
firewall
MxServer
NCSI
WhatIsProxyServer

Վաղուց նորություն չէ, որ բոլոր սարքերի IP ցանցի հասցեները, որոնք ցանկանում են լինել ինտերնետում, բավարար չեն։ Ներկայումս այս իրավիճակից ելք է գտնվել՝ մշակելով IPv6 արձանագրությունը, որի հասցեի երկարությունը 128 բիթ է, մինչդեռ ներկայիս IPv4-ը ընդամենը 32 բիթ է։ Բայց 2000-ականների սկզբին նրանք գտան մեկ այլ լուծում՝ օգտագործել ցանցային հասցեների թարգմանությունը, որը հապավում է nat: Հետագայում հոդվածում կկատարվի nat կարգավորումը երթուղիչում:

Մտնելով երթուղիչի կարգավորումների ընտրացանկ

Որպես օրինակ՝ վերցնենք ZyWALL USG և NXC5200 սերիաների ZyXEL երթուղիչը։

Նախևառաջ գնացեք երթուղիչի կարգավորումներ: Դա անելու համար ցանկացած վեբ բրաուզերում մուտքագրեք 192.168.1.1 հասցեի տողում: (երթուղիչի ստանդարտ հասցեն), կհայտնվի պատուհան, որում խնդրում ենք մուտքագրել ձեր մուտքն ու գաղտնաբառը:

«Username» դաշտում մուտքագրեք admin, «Password» դաշտում մուտքագրեք 1234: Սեղմեք «OK»:

nat-ի կարգավորում երթուղիչում

Բացվող ընտրացանկի պատուհանում անցեք «Կազմաձևում» ներդիրին (երկու շարժակների պատկերակ), այնուհետև «Ցանց», այնուհետև «Երթուղղում»: Ընտրված պատուհանում անցեք «Քաղաքականության երթուղի» ներդիր:

ZyXEL երթուղիչի կարգավորումների ընտրացանկ

IN այս մենյուերթուղային քաղաքականության կարգավորում: «Չափանիշներ» տարածքում մենք սահմանում ենք երթևեկության ընտրության չափանիշներ՝ ինչպիսի երթևեկություն է պետք հեռարձակել (իրականում կազմաձևեք nat-ը), և ինչպիսի երթևեկություն պետք է պարզապես ուղղորդվի: Երթևեկությունը կարող է ընտրվել մի քանի չափանիշների համաձայն.

  1. Օգտագործող (Օգտագործող);
  2. Ըստ ինտերֆեյսի (մուտքային);
  3. Ըստ աղբյուրի IP հասցեի (Աղբյուրի հասցե);
  4. Ստացողի IP հասցեով (Destination Address);
  5. Նպատակային նավահանգստով (Ծառայություն):

«Next-Hop» տարածքում նշանակեք երթևեկությունը վերահղելու օբյեկտ.

ZyXEL երթուղիչի վերահղման օբյեկտ ընտրելը

Որտեղ «Auto» - երթևեկությունը կվերահղվի լռելյայն գլոբալ ինտերֆեյսին. Դարպաս - կարգավորումներում նշված դարպասի հասցեին. VPN թունել - IPSec վիրտուալ մասնավոր թունել; Բեռնախցիկ - երթուղի դեպի «բեռնախցիկ», որտեղ «բեռնախցիկը» մի քանի միջերեսներ են, որոնք կազմաձևված են միասին աշխատելու կամ ավելորդության ռեժիմում. Ինտերֆեյս - վերահղում դեպի նշված ինտերֆեյս.

Կարևոր է հիշել, որ սեղմել «OK» կոճակը, երբ դուք որևէ փոփոխություն եք կատարում երթուղիչի կարգավորումներում՝ կարգավորումները պահպանելու համար, և ոչ միայն փակել վեբ բրաուզերը:

nat-ի կարգավորումը համակարգչում

Ինչպես գիտեք, անհատական ​​համակարգիչը կարող է ծառայել նաև որպես երթուղիչ։ Հաճախ կա մի իրավիճակ, երբ կա մի քանի համակարգիչներից բաղկացած համակարգչային ցանց, որոնցից մեկին հասանելի է ինտերնետ: Այս իրավիճակում դուք ընդհանրապես չեք կարող գնել երթուղիչներ, այլ տեղադրել ինտերնետ հասանելիությամբ համակարգիչ որպես երթուղիչ և կարգավորել nat-ն արդեն դրա վրա: Դիտարկենք նման դեպքը ավելի մանրամասն։

Հիմնական համակարգչի վրա, որը նայում է ինտերնետին (եկեք այն անվանենք ՍԵՐՎԵՐ) պահանջվում է 2 ցանցային քարտեր- առաջինը միանում է տեղական ցանցին, երկրորդը՝ մատակարարին: Օրինակը կօգտագործի օպերացիոն Windows համակարգՍերվեր 2012 թ.

Կարգավորելու համար նախ գործարկեք «Սերվերի կառավարիչը» (Սկսել -\u003e Վարչական գործիքներ -\u003e Սերվերի կառավարիչ): Կարգավորումների պատուհանը կհայտնվի.

Այստեղից մենք կկառավարենք մեր սերվերը: Կազմաձևը շարունակելու համար սեղմեք «Ավելացնել դերեր և առանձնահատկություններ», որը կբացի «Ավելացնել դերեր մոգ» պատուհանը: Առաջին քայլ - Տեղադրման տեսակը.

Հաջորդ պատուհանում մենք պետք է ընտրենք այն դերը, որը մենք տեղադրում ենք սերվերի վրա: Նշեք «Հեռակա մուտքի» կողքին գտնվող վանդակը:

Կհայտնվի հետևյալ պատուհանը, որը ցուցադրում է շահագործման համար անհրաժեշտ բաղադրիչների ցանկը: Կտտացրեք «Ավելացնել բաղադրիչներ», այս պատուհանը կվերանա: Սեղմեք «Հաջորդ»:

Հաջորդ պատուհանում հրաշագործը ձեզ հուշում է ավելացնել սերվերի բաղադրիչները: Ձեզ հարկավոր չէ որևէ բան փոխել, սեղմեք «Հաջորդ»:

Վրա հաջորդ էջըհրաշագործը պարզապես տեղեկացնում է մեզ «Remote Access» դերի գործողության մասին: Սեղմեք «Հաջորդ»:

Հաջորդ քայլը «Դերային ծառայություններ» ընտրելն է: «Routing» -ի դիմաց նշեք, սեղմեք «Հաջորդ»:

Հաջորդ պատուհանը կրկին տեղեկատվական է, ձեզ հարկավոր չէ որևէ բան ընտրել, բայց կարող եք նշել «Ընտրված սերվերի վրա ավտոմատ վերագործարկում ...» վանդակը, ինչի արդյունքում սերվերը տեղադրվելուց հետո ավտոմատ կերպով կվերագործարկվի: Բայց դուք կարող եք դա անել նաև ձեռքով: Սեղմեք «Հաջորդ»:

Իսկ վերջին քայլը սերվերի ուղղակի տեղադրումն է։ Ավարտելուց հետո սեղմեք «Փակել» կոճակը:

Սերվերի տեղադրում

Այսպիսով, մենք կարգավորել ենք համակարգիչ, որը միացված է ինտերնետին սերվերի ռեժիմում: Այժմ դուք պետք է կարգավորեք nat-ը դրա վրա:

Գնացեք «Սկսել» / «Վարչական գործիքներ» / «Երթուղիներ» և «Remote Access»: Պատուհանում, որը երևում է, ձախ կողմում մենք գտնում ենք «ՍԵՐՎԵՐ (տեղական)» տարրը, աջ սեղմում ենք դրա վրա և բացվող մենյուում կտտացնում «Կարգավորել և միացնել երթուղավորումը և հեռավոր մուտքը»:

Կհայտնվի Routing and Remote Access Server Configuration Wizard-ը, որում մենք կկարգավորենք nat.

Առաջին էջում մենք հակիրճ ծանոթանում ենք հրաշագործին. սեղմեք «Հաջորդ»: Հաջորդ քայլն այն ծառայություններից մեկն է, որը կաշխատի այս սերվերը. Ընտրեք Network Address Translation (NAT) և սեղմեք Next:

Հաջորդը, հրաշագործը կխնդրի ձեզ ընտրել ցանցային կապ, որը նայում է ինտերնետին: Ցուցակը կպարունակի երկու ցանցային քարտեր (առնվազն, կախված նրանից, թե դրանցից քանիսն են տեղադրված սերվերում): Ընտրեք մեկը, որի հետ կապված եք ցանցային մալուխմատակարար. Սեղմեք «Հաջորդ»:

Հաջորդ պատուհանում հրաշագործը կսկսի երդվել, որ չի կարող հայտնաբերել տեղական ցանց DHCP կամ DNS ծառայություններ: Շարունակելու երկու տարբերակ կա՝ միացնել հիմնական ծառայությունները կամ տեղադրել ծառայություններ ավելի ուշ:

Ընտրեք առաջին կետը, սեղմեք «Հաջորդ»: Հաջորդ էջում կտեղեկացնեմ, թե որ տիրույթում է աշխատելու nat-ը։ Կարգավորման հրաշագործն ավտոմատ կերպով ընտրում է այս տիրույթը՝ հիմնվելով տեղական ցանցին միացված ցանցային կապի կազմաձևման վրա: Սեղմեք «Հաջորդ»:

nat միջակայք

Վերջ, setup wizard-ն ավարտում է nat կարգավորումը: Սեղմեք «Հաջորդ», իսկ հաջորդ պատուհանում «Ավարտել»:

Մնում է վերջին բանը կարգավորել հաճախորդի համակարգիչները, այսինքն՝ տեղական ցանցի մյուս բոլոր համակարգիչները: Դա անելու համար հաճախորդի համակարգչում (դա պետք է արվի ցանցի յուրաքանչյուր համակարգչի վրա), անցեք «Սկսել» / «Կառավարման վահանակ» / «Ցանց և համօգտագործման կենտրոն» / փոխեք ադապտերների կարգավորումները: Մենք գնում ենք «Ցանցային կապեր»: Աջ սեղմեք պատկերակի վրա և բացվող ընտրացանկից ընտրեք «Հատկություններ»: Բացվող պատուհանում ընտրեք «Ինտերնետ արձանագրության տարբերակ 4 (TCP / IPv4)», սեղմեք «Հատկություններ»:

«Main Gateway»-ից հետո մենք գրում ենք սերվերային համակարգչի IP հասցեն (որը կազմաձևվել է վերջին քայլում), «Նախընտրելի DNS սերվեր» դաշտում գրում ենք ինտերնետում նշված մատակարարի DNS սերվերի IP հասցեն: կապի տեղեկատվությունը սերվերի վրա: Սեղմեք «OK» և կրկին «OK»: Ամեն ինչ, հաճախորդի համակարգիչը միացված է ինտերնետին:

Երթուղիչի (երթուղիչի) շահագործման սկզբունքը

Կարդալով այս հոդվածը, կարծում եմ, բոլորը հասկանում են, թե ինչ է երթուղիչը և ինչու է այն անհրաժեշտ, բայց որևէ մեկը մտածե՞լ է, թե ինչպես է այն աշխատում: Այս հոդվածում ես կփորձեմ պատմել երթուղիչի հիմնական սկզբունքները առավել մատչելի լեզվով: Այս հոդվածը օգտակար կլինի ինչպես համակարգի ադմինիստրատորների, այնպես էլ սովորական օգտագործողների համար:

Հիմնական գործառույթը, որն աշխատում է ցանկացած երթուղիչում, NAT-ն է

ՆԱՏ- Ցանցային հասցեների թարգմանությունն օգտագործվում է IP հասցեները փոխարինելու համար: Տեղական ցանցերում հիմնականում օգտագործվում են այնպիսի հասցեներ, ինչպիսիք են 192.168.1.XXX կամ նմանատիպերը, և դա գլոբալ ինտերնետում երթուղավորման խնդիր է ստեղծում, քանի որ ցանցի IP հասցեները չպետք է կրկնօրինակվեն: Այս խնդրի լուծումը NAT-ն է՝ տեղական ցանցային համակարգիչները միանում են երթուղիչի տեղական ինտերֆեյսին, ստանում են IP հասցեներ և դրանից դարպաս (երթուղիչը ծառայում է որպես դարպաս), իսկ երթուղիչի WAN ինտերֆեյսը միանում է ինտերնետին:

Այժմ հաշվի առեք NAT թարգմանության սկզբունքը.

  • Հարցում է արվում լոկալ ցանցի ցանկացած համակարգչից, օրինակ՝ փորձում եք գնալ ցանկացած կայք՝ համակարգիչը ուղարկում է տրված խնդրանքըդեպի դարպասի հասցե, այսինքն՝ մեր երթուղիչը.
  • Երթուղիչը, ստանալով այս հարցումը, գրանցում է ձեր համակարգիչը որպես կապի նախաձեռնող, որից հետո ստեղծվում է ձեր փաթեթի պատճենը և ուղարկվում նպատակակետ հասցեին, բայց արդեն երթուղիչի անունից և իր IP հասցեով և ձեր փաթեթը պարզապես ոչնչացվում է.
  • Սերվերը, որին ուղարկվել է հարցումը, մշակում է այն և պատասխան է ուղարկում, բնականաբար, երթուղիչի հասցեին: Եվ երթուղիչն արդեն սպասում էր դրան, քանի որ ստեղծեց գրառում, որ ձեր համակարգչի խնդրանքին պետք է պատասխան գա և ուղարկի ձեր համակարգչին: Ինչպես տեսնում եք, այս սխեմայի համաձայն, միայն տեղական ցանցից համակարգիչը կարող է լինել կապի նախաձեռնողը, իսկ սերվերի պատասխանը համակարգչին կհասնի միայն այն դեպքում, եթե երթուղիչը սպասի դրան (պատասխանել հարցումին): Այլ կերպ ասած, դրսից միանալու բոլոր փորձերը կդադարեն երթուղիչում և հաջողակ կլինեն միայն այն դեպքում, եթե երթուղիչը ռեսուրս տրամադրի պահանջվող նավահանգստում կամ կազմաձևված լինի Port Forwarding կանոնները, որոնց մասին մենք կխոսենք հիմա:

Port Forwarding

Port Forwarding- սա ըստ էության նույնն է, ինչ NAT-ը, բայց մյուս ուղղությամբ, և, հետևաբար, միայն ստատիկ NAT-ը, այսինքն՝ որոշակի հարցումներ միայն որոշակի համակարգիչներին, քանի որ գլոբալ ցանցում նրանք չեն կարող իմանալ երթուղիչի հետևում գտնվող IP հասցեները: Օրինակ, դուք ստեղծել եք FTP կամ HTTP սերվեր ձեր համակարգչում և ցանկանում եք մուտք գործել այս ռեսուրսները, դրա համար դուք պետք է գրանցեք այս կանոնը երթուղիչում, որը ցույց կտա, որ բոլոր մուտքային փաթեթները ցանկալի պորտի վրա (21 կամ 80): մեր դեպքում) կփոխանցվի մեր համակարգչի IP հասցեին կոնկրետ նավահանգստում (պորտը կարող է փոխվել):

NAT-DMZ

NAT-DMZ- սա բացարձակապես նույնն է, ինչ Port Forwarding-ը, բայց այն տարբերությամբ, որ ձեզ հարկավոր չէ յուրաքանչյուր պորտի համար կանոն գրել, պարզապես անհրաժեշտ է կարգավորել NAT - DMZ-ը, որը կփոխանցվի դեպի ցանկալի համակարգիչբոլոր մուտքային հարցումները երթուղիչի WAN-ում: Իհարկե, դուք չեք կարող փոխել նավահանգիստները:

Երթուղիավորում

Պարզեցնելու համար, թե ինչ է դա, կարող ենք ասել, որ այն նույնն է, ինչ NAT-ը, բայց միայն երկու ուղղություններով: Այս սխեմայով երթուղիչը պետք է ունենա 2-ից ավելի LAN ինտերֆեյս (ոչ թե նավահանգիստներ, այլ ինտերֆեյսներ), տարբեր հասցեների տարածություններով, օրինակ՝ IP ինտերֆեյսը 192.168.0.1 է, իսկ մյուսը՝ 192.168.1.1։ Հետևաբար, մի ցանցի համակարգիչները կստանան IP տիպ 192.168.0.XXX, իսկ մեկ այլ ցանցում՝ 192.168.0.XXX, և դրանց դարպասները կլինեն համապատասխանաբար 192.168.0.1 և 192.168.1.1: Այսպես դուք ստանում եք երկկողմանի երթուղի:

Մի մոռացեք հեռանալ

Համացանցին միացված բոլոր սարքերին եզակի հասցեներ հատկացնելու համար բավարար հանրային IPv4 հասցեներ չկան: Շատ դեպքերում ցանցերն իրականացվում են մասնավոր IPv4 հասցեների միջոցով RFC 1918-ի համաձայն: Նկ. Նկար 1-ը ցույց է տալիս RFC 1918-ում ներառված հասցեների շրջանակը: Ամենայն հավանականությամբ, համակարգչին, որի վրա դուք ներկայումս դիտում եք դասընթացի նյութը, հատկացվել է մասնավոր հասցե:

Այս մասնավոր հասցեներն օգտագործվում են կազմակերպությունում կամ հաստատությունում, որպեսզի սարքերը կարողանան տեղական հաղորդակցվել: Բայց քանի որ այս հասցեները չեն նույնականացնում կոնկրետ ընկերություն կամ կազմակերպություն, մասնավոր IPv4 հասցեները չեն կարող օգտագործվել ինտերնետի միջոցով երթուղու համար: Որպեսզի թույլատրվի մասնավոր IPv4 հասցեով սարքին մուտք գործել տեղական ցանցից դուրս սարքեր և ռեսուրսներ, մասնավոր հասցեն նախ պետք է փոխարկվի հանրային հասցեի:

Ինչպես ցույց է տրված նկ. 2, NAT-ը տրամադրում է մասնավոր հասցեների թարգմանություն հանրային հասցեների: Սա թույլ է տալիս մասնավոր IPv4 հասցե ունեցող սարքին մուտք գործել ռեսուրսներ իր մասնավոր ցանցից դուրս, ներառյալ ինտերնետում հայտնաբերված ռեսուրսները: Անձնական IPv4 հասցեների հետ համատեղ՝ NAT-ն օգտակար է հանրային IPv4 հասցեները պահպանելու համար: Մեկ հանրային IPv4 հասցեն կարող է համօգտագործվել հարյուրավոր, նույնիսկ հազարավոր սարքերի կողմից, որոնցից յուրաքանչյուրը կազմաձևված է եզակի մասնավոր IPv4 հասցեով:

Առանց NAT-ի օգտագործման, IPv4 հասցեների տարածքը կսպառվեր 2000 թվականից շատ առաջ: Չնայած իր առավելություններին, NAT-ն ունի մի շարք սահմանափակումներ, որոնք ավելի մանրամասն կքննարկվեն այս գլխում ավելի ուշ: IPv4 հասցեների տարածքի սպառման և NAT սահմանափակումների խնդրի լուծումը վերջնական անցումն է IPv6-ին:

NAT-ի բնութագրերը

NAT-ն օգտագործվում է տարբեր նպատակների համար, սակայն այս մեխանիզմի հիմնական նպատակը հանրային IPv4 հասցեների պահպանումն է: Սա ձեռք է բերվում ցանցերին թույլ տալով օգտագործել մասնավոր IPv4 հասցեներ ներքին հաղորդակցության համար և միայն անհրաժեշտության դեպքում դրանք վերածել հանրային հասցեների: NAT-ի լրացուցիչ առավելությունը ցանցի գաղտնիության և անվտանգության բարձրացումն է, քանի որ այն թաքցնում է ներքին IPv4 հասցեները արտաքին ցանցերից:

NAT-ով միացված երթուղիչը կարող է կազմաձևվել մեկ կամ մի քանի վավեր հանրային IPv4 հասցեներով: Այս հանրային հասցեները հայտնի են որպես NAT հասցեների լողավազան: Երբ ներքին սարքը երթևեկություն է ուղարկում ցանցից դուրս, NAT-ով միացված երթուղիչը սարքի ներքին IPv4 հասցեն թարգմանում է հանրային հասցեի NAT լողավազանից: Արտաքին սարքերի համար ցանցից մուտք գործող և դուրս եկող ողջ երթևեկությունը, կարծես, օգտագործում է հանրային IPv4 հասցեներ տրամադրված հասցեների լողավազանից:

NAT երթուղիչը սովորաբար աշխատում է անավարտ ցանցի եզրին: Անավարտ ցանցը ցանց է, որն օգտագործում է մեկ կապ հարևան ցանցին, մեկ մուտքային և մեկ ելքային երթուղի: Նկարում ներկայացված օրինակում R2-ը սահմանային երթուղիչն է: ISP-ի տեսանկյունից R2 երթուղիչը ստեղծում է կոճղային ցանց։

Երբ անավարտ ցանցի սարքին անհրաժեշտ է միացում իր ցանցից դուրս գտնվող սարքի հետ, փաթեթը փոխանցվում է եզրային երթուղիչին: Եզրային երթուղիչը կատարում է NAT գործընթացը՝ սարքի ներքին մասնավոր հասցեն փոխակերպելով հանրային, արտաքին, երթուղելի հասցեի:

Նշում. ISP-ի ցանցին միանալը կարող է նաև օգտագործել մասնավոր հասցե կամ հանրային հասցե, որը համօգտագործվում է ISP-ի հաճախորդների կողմից: Քննարկվող թեմայի շրջանակներում որպես օրինակ բերվում է հանրային ուղերձ.

NAT տերմինաբանության մեջ «ներքին ցանցը» վերաբերում է թարգմանության մեջ ներգրավված ցանցերի ամբողջությանը: «Արտաքին ցանց» տերմինը վերաբերում է բոլոր մյուս ցանցերին:

NAT-ն օգտագործելիս IPv4 հասցեները ներկայացնում են տարբեր ուղղություններ՝ կախված այն բանից, թե արդյոք դրանք գտնվում են մասնավոր կամ հանրային ցանցում (Ինտերնետ), և արդյոք տրաֆիկը ներգնա կամ ելքային է:

NAT-ում կան 4 տեսակի հասցեներ.

  • ներքին տեղական հասցե;
  • ներքին գլոբալ հասցե;
  • արտաքին տեղական հասցե;
  • արտաքին գլոբալ հասցե.

Հասցեի որ տեսակն օգտագործելու որոշում կայացնելիս պետք է հիշել, որ NAT տերմինաբանությունը միշտ կիրառվում է սարքի տեսանկյունից, որտեղ հասցեն լուծվում է.

  • Ներքին հասցեսարքի հասցեն է, որը լուծվում է NAT մեխանիզմով:
  • Արտաքին հասցենպատակակետ սարքի հասցեն է:

NAT-ի շրջանակներում տեղայնության կամ գլոբալության հայեցակարգը օգտագործվում է նաև հասցեների առնչությամբ.

  • Տեղական հասցենցանկացած հասցե է, որը հայտնվում է ցանցի ներսում:
  • Համաշխարհային հասցեցանկացած հասցե է, որը հայտնվում է ցանցի արտաքին մասում:

Նկարում PC1-ի ներքին տեղական հասցեն է 192.168.10.10: PC1-ի տեսանկյունից վեբ սերվերն օգտագործում է 209.165.201.1 արտաքին հասցեն: Երբ փաթեթները PC1-ից ուղարկվում են վեբ սերվերի գլոբալ հասցե, PC1-ի ներքին տեղական հասցեն թարգմանվում է 209.165.200.226 (ներքին գլոբալ հասցեն): Արտաքին սարքի հասցեն սովորաբար չի թարգմանվում, քանի որ այս հասցեն սովորաբար արդեն հանրային IPv4 հասցե է:

Նկատի ունեցեք, որ PC1-ն օգտագործում է տարբեր տեղական և գլոբալ հասցեներ, և վեբ սերվերը երկու դեպքում էլ օգտագործում է նույն հանրային IPv4 հասցեն: Վեբ սերվերի տեսանկյունից, PC1-ից առաջացող տրաֆիկը, թվում է, գալիս է 209.165.200.226-ից՝ ներքին գլոբալ հասցեից:

NAT երթուղիչը (R2 նկարում) սահմանազատման կետն է ներքին և արտաքին ցանցերի, ինչպես նաև տեղական և գլոբալ հասցեների միջև:

«Ներքին» և «արտաքին» տերմինները օգտագործվում են «տեղական» և «գլոբալ» տերմինների հետ համատեղ, երբ վերաբերում են կոնկրետ հասցեներին: Նկարում R2-ը կազմաձևված է NAT մեխանիզմն օգտագործելու համար: Այն օգտագործում է ներքին հյուրընկալողներին նշանակված հանրային հասցեների լողավազան:

  • Ներքին տեղական հասցեաղբյուրի հասցեն է, ինչպես երևում է ներքին ցանցից: Նկարում PC1-ին վերագրված է IPv4 հասցեն 192.168.10.10: Սա PC1-ի ներքին տեղական հասցեն է:
  • Ներքին գլոբալ հասցեաղբյուրի հասցեն է, ինչպես երևում է արտաքին ցանցից: Նկարում, երբ PC1-ն ուղարկում է տրաֆիկ դեպի վեբ սերվեր 209.165.201.1 հասցեով, R2-ը թարգմանում է ներքին տեղական հասցեն ներքին գլոբալ հասցեի: Այս դեպքում R2-ը փոխում է սկզբնական IPv4 հասցեն 192.168.10.10-ից մինչև 209.165.200.226: NAT տերմինաբանության մեջ ներքին տեղական 192.168.10.10 հասցեն թարգմանվում է որպես ներքին գլոբալ հասցե 209.165.200.226:
  • Արտաքին գլոբալ հասցենպատակակետ հասցեն է, ինչպես երևում է արտաքին ցանցից: Սա գլոբալ երթուղղելի IPv4 հասցե է, որը նշանակված է ինտերնետում գտնվող հոսթին: Օրինակ, վեբ սերվերը հասանելի է IPv4 հասցեով 209.165.201.1: Շատ դեպքերում արտաքին տեղական և արտաքին գլոբալ հասցեները նույնն են:
  • Արտաքին տեղական հասցենպատակակետ հասցեն է, ինչպես երևում է ներքին ցանցից: Այս օրինակում PC1-ն ուղարկում է տրաֆիկ դեպի վեբ սերվեր՝ IPv4 հասցեով 209.165.201.1: Հազվագյուտ դեպքերում այս հասցեն կարող է տարբերվել գլոբալ երթուղային նպատակակետ հասցեից:

Նկարը ցույց է տալիս, թե ինչպես է հասցեագրվում ներքին համակարգչից դեպի արտաքին վեբ սերվեր NAT միացված երթուղիչի միջոցով տրաֆիկը: Այն նաև ցույց է տալիս, թե ինչպես է հակադարձ տրաֆիկը սկզբնապես հասցեագրվում և փոխակերպվում:

Նշում. Արտաքին տեղական հասցեի օգտագործումը դուրս է այս ձեռնարկի շրջանակներից:

NAT ցանցային հասցեների թարգմանության տեսակները

Ցանցային հասցեների թարգմանության երեք մեխանիզմ կա.

  • Ստատիկ ցանցի հասցեի թարգմանություն (Static NAT)տեղական և գլոբալ հասցեների միջև մեկ առ մեկ համապատասխանություն է:
  • Ցանցի դինամիկ հասցեների թարգմանություն (Dynamic NAT)շատից շատ հասցեների քարտեզագրում է տեղական և գլոբալ հասցեների միջև:
  • Նավահանգստի հասցեի թարգմանություն (PAT)լոկալ և գլոբալ հասցեների միջև բազմաթիվ հասցեների քարտեզագրում է: Այս մեթոդըկոչվում է նաև գերբեռնվածություն (NAT գերբեռնվածությամբ):

Ստատիկ ցանցի հասցեի թարգմանություն (NAT)

Static NAT-ն օգտագործում է մեկ առ մեկ քարտեզագրում տեղական և գլոբալ հասցեների միջև: Այս քարտեզագրումները սահմանվում են ցանցի ադմինիստրատորի կողմից և մնում են անփոփոխ:

Նկարում R2 երթուղիչը կազմաձևված է Svr1, PC2 և PC3 ներքին տեղական հասցեների ստատիկ քարտեզագրմամբ: Երբ այս սարքերը թրաֆիկ են ուղարկում դեպի ինտերնետ, նրանց ներքին տեղական հասցեները թարգմանվում են նշված ներքին գլոբալ հասցեներով: Արտաքին ցանցերի համար այս սարքերը օգտագործում են հանրային IPv4 հասցեներ:

Ստատիկ ցանցային հասցեների թարգմանության մեթոդը հատկապես օգտակար է վեբ սերվերների կամ սարքերի համար, որոնք պետք է ունենան մշտական ​​հասցե, որը հասանելի է ինտերնետից, օրինակ՝ ընկերության վեբ սերվերը: Static NAT-ը նաև հարմար է սարքերի համար, որոնք պետք է հասանելի լինեն գրասենյակից դուրս աշխատող լիազորված անձնակազմին, բայց դեռևս փակ են հանրության համար: հանրային մուտքինտերնետի միջոցով։ Օրինակ, ցանցի ադմինիստրատորը կարող է SSH մուտք գործել Svr1-ի ներքին գլոբալ հասցեն (209.165.200.226) PC4-ից: Router R2-ը թարգմանում է այս գլոբալ հասցեն ներքին տեղական հասցեի և միացնում է ադմինիստրատորի նիստը Svr1-ին:

Ստատիկ NAT-ը պահանջում է բավականաչափ հանրային հասցեներ, որպեսզի հասանելի լինեն միաժամանակ օգտագործողի աշխատաշրջանների ընդհանուր քանակի համար:

Դինամիկ NAT

Ցանցի դինամիկ հասցեների թարգմանությունը (Dynamic NAT) օգտագործում է հանրային հասցեների մի շարք, որոնք նշանակվում են ըստ առաջին այցի, առաջինը սպասարկվելու սկզբունքով: Երբ ներքին սարքը պահանջում է մուտք գործել արտաքին ցանց, դինամիկ NAT-ը տրամադրում է հասանելի հանրային IPv4 հասցե լողավազանից:

Նկարում PC3-ը մուտք է գործում ինտերնետ՝ օգտագործելով դինամիկ NAT լողավազանի առաջին հասանելի հասցեն: Այլ հասցեներ դեռ հասանելի են օգտագործման համար: Ստատիկ NAT-ի նման, դինամիկ NAT-ը պահանջում է բավականաչափ հանրային հասցեներ՝ միաժամանակ օգտագործողների նիստերի ընդհանուր քանակին աջակցելու համար:

Նավահանգստի հասցեի թարգմանություն (PAT)

Նաև կոչվում է NAT գերբեռնվածություն, քարտեզագրում է բազմաթիվ մասնավոր IPv4 հասցեներ մեկ կամ մի քանի հանրային IPv4 հասցեների վրա: Սա այն մեթոդն է, որն իրականացվում է տնային երթուղիչների մեծ մասի կողմից: ISP-ն մեկ հասցե է հատկացնում երթուղիչին, սակայն ընտանիքի մի քանի անդամներ կարող են միաժամանակ մուտք գործել ինտերնետ: Բեռնված NAT-ը ցանցային հասցեների թարգմանության ամենատարածված մեթոդն է:

Այս մեթոդով մի քանի հասցեներ կարող են քարտեզագրվել մեկ կամ մի քանի հասցեների վրա, քանի որ յուրաքանչյուր մասնավոր հասցե նույնպես հետևվում է պորտի համարով: Երբ սարքը սկսում է TCP/IP նիստը, այն աղբյուրի համար ստեղծում է TCP կամ UDP պորտի արժեք՝ նիստը եզակիորեն նույնականացնելու համար: Երբ NAT երթուղիչը փաթեթ է ստանում հաճախորդից, այն օգտագործում է իր աղբյուրի պորտի համարը՝ եզակիորեն նույնականացնելու որոշակի NAT թարգմանությունը:

PAT-ն ապահովում է, որ սարքերը օգտագործում են տարբեր TCP պորտի համարներ յուրաքանչյուր սեանսի համար, որը նրանք շփվում են ինտերնետում սերվերի հետ: Երբ պատասխանը վերադարձվում է սերվերից, սկզբնաղբյուրի պորտի համարը, որը դառնում է նպատակակետ պորտի համարը հետադարձի վրա, որոշում է, թե որ սարքին է երթուղիչը փոխանցում համապատասխան փաթեթները: PAT գործընթացը նաև վստահեցնում է, որ մուտքային փաթեթները իսկապես պահանջվել են, այդպիսով մեծացնելով նստաշրջանի անվտանգությունը:

Օգտագործեք Նկարում պատկերված Play և Pause կոճակները՝ անիմացիան կառավարելու համար:

Շարժապատկերը ցույց է տալիս Port Address Translation (PAT) գործընթացը: Թարգմանությունները տարբերելու համար PAT մեխանիզմը ներքին գլոբալ հասցեին ավելացնում է եզակի աղբյուրի միացքի համարներ:

Քանի որ R2-ը մշակում է յուրաքանչյուր փաթեթ, այն օգտագործում է պորտի համարը (այս օրինակում՝ 1331 և 1555)՝ նույնականացնելու սարքը, որից ստացվել է փաթեթը: Աղբյուրի հասցեն (SA) ներքին տեղական հասցեն է, որը կցվում է նշանակված TCP/IP պորտի համարին: Նպատակակետ հասցեն (DA) արտաքին տեղական հասցեն է, որին կցված է ծառայության պորտի համարը: Այս օրինակում սպասարկման պորտը 80 է՝ HTTP:

Աղբյուրի հասցեի համար R2-ը ներքին տեղային հասցեն թարգմանում է ներքին գլոբալ հասցեի՝ կցված պորտի համարով: Նպատակակետի հասցեն չի փոխվում, բայց այժմ այն ​​դառնում է արտաքին գլոբալ IP հասցե: Երբ վեբ սերվերն արձագանքում է, ճանապարհը նորից անցնում է միայն հակառակ հերթականությամբ:

Նախորդ օրինակում հաճախորդի պորտի համարները՝ 1331 և 1555, չեն փոխվել NAT միացված երթուղիչում: Այս սցենարը այնքան էլ հավանական չէ, քանի որ հավանական է, որ այս նավահանգիստների համարներն արդեն օգտագործվում են այլ ակտիվ նիստերի համար:

PAT թարգմանությունը փորձում է պահպանել սկզբնական աղբյուրի նավահանգիստը: Այն դեպքում, երբ սկզբնական աղբյուրի նավահանգիստն արդեն օգտագործվում է, PAT-ը նշանակում է առաջին հասանելի պորտի համարը՝ սկսած համապատասխան նավահանգիստների խմբի սկզբից՝ 0-511, 512-1023 կամ 1024-65535: Եթե ​​այլևս հասանելի նավահանգիստներ չկան, և հասցեների լողավազանում կան մի քանի արտաքին հասցեներ, PAT-ը տեղափոխվում է հաջորդ հասցե՝ փորձելով հատկացնել սկզբնական աղբյուրի պորտը: Այս գործընթացը շարունակվում է այնքան ժամանակ, մինչև չսպառվեն և՛ հասանելի նավահանգիստները, և՛ արտաքին IP հասցեները:

Իմանալու համար, թե ինչպես է աշխատում PAT-ը, կտտացրեք նկարում պատկերված Play կոճակը:

Անիմացիայի մեջ հանգույցները ընտրում են նույն պորտի համարը՝ 1444: Սա վավեր է ներքին հասցեի համար, քանի որ հանգույցներին հատկացվում են եզակի մասնավոր IP հասցեներ: Բայց NAT աջակցությամբ երթուղիչի վրա նավահանգիստների համարները պետք է փոխվեն: Հակառակ դեպքում, երկու տարբեր հանգույցներից փաթեթները դուրս կգան R2-ից նույն աղբյուրի հասցեով: Այս օրինակում PAT գործընթացը վերագրում է հաջորդ հասանելի պորտը (1445) երկրորդ հոսթ հասցեին:

NAT-ի և PAT-ի համեմատությունը

Ստորև ներկայացված NAT-ի և PAT-ի միջև եղած տարբերությունները կօգնեն ձեզ հասկանալ ցանցային հասցեների թարգմանության այս մեթոդներից յուրաքանչյուրի առանձնահատկությունները:

Ինչպես ցույց է տրված նկարում, NAT-ը թարգմանում է IPv4 հասցեները՝ հիմնվելով 1:1 սխեմայի վրա մասնավոր IPv4 հասցեների և հանրային IPv4 հասցեների համար: Միևնույն ժամանակ, PAT-ը փոխում է և՛ հասցեն, և՛ պորտի համարը:

NAT-ն ուղարկում է մուտքային փաթեթները դեպի իրենց ներքին նպատակակետ՝ օգտագործելով մուտքային աղբյուրի IPv4 հասցեն, որը տրամադրվում է հյուրընկալողի կողմից հանրային ցանցում: PAT օգտագործելիս սովորաբար միայն մեկ կամ փոքր քանակությամբհրապարակայնորեն ներկայացված IPv4 հասցեները: Հանրային ցանցից մուտքային փաթեթները ուղղորդվում են դեպի մասնավոր ցանցի ուղղություններ՝ օգտագործելով երթուղիչի NAT աղյուսակը: Այս աղյուսակըհետևում է հանրային և մասնավոր նավահանգիստների զույգերին, որը կոչվում է կապի հետևում:

Փաթեթներ առանց շերտի 4 հատվածի

Ի՞նչ է պատահում IPv4 փաթեթներին, որոնք կրում են տվյալներ, որոնք TCP կամ UDP հատված չեն: Այս փաթեթները չեն պարունակում շերտ 4 պորտի համար: PAT-ը փոխակերպում է հիմնական IPv4 արձանագրությունների մեծ մասը, որոնք չեն օգտագործում TCP կամ UDP, տրանսպորտային շերտի արձանագրության: Այս արձանագրություններից ամենատարածվածը ICMPv4 արձանագրությունն է: PAT-ի փոխակերպման գործընթացը տարբեր կերպ է մշակում այս արձանագրություններից յուրաքանչյուրը: Օրինակ, ICMPv4 հարցումների հաղորդագրությունները, արձագանքների հարցումները և արձագանքների պատասխանները պարունակում են հարցումների նույնացուցիչ (Query ID): ICMPv4-ն օգտագործում է հարցման նույնացուցիչը (Query ID)՝ արձագանքելու հարցումը համապատասխան արձագանքի պատասխանով որոշելու համար: Հարցման ID-ն ավելանում է յուրաքանչյուր ուղարկված արձագանքի հարցում: PAT-ը 4-րդ շերտի պորտի համարի փոխարեն օգտագործում է հարցման ID:

Նշում. Այլ ICMPv4 հաղորդագրությունները չեն օգտագործում Հարցման ID: Այս հաղորդագրությունները և այլ արձանագրությունները, որոնք չեն օգտագործում TCP և UDP պորտի համարները, կարող են տարբերվել միմյանցից և ներառված չեն այս ձեռնարկում:

NAT կարգավորում

Ստատիկ NAT-ի կարգավորում

Ստատիկ NAT-ը ներքին և արտաքին հասցեների միջև մեկ առ մեկ քարտեզագրում է: Ստատիկ NAT-ը թույլ է տալիս արտաքին սարքերին միացում սկսել ներքին սարքերին՝ օգտագործելով ստատիկորեն նշանակված հանրային հասցե: Օրինակ, ներքին վեբ սերվերը կարող է քարտեզագրվել ներքին գլոբալ հասցեով, որը սահմանված է արտաքին ցանցերից հասանելի լինելու համար:

Նկ. Նկար 1-ը ցույց է տալիս ներքին ցանցը, որը պարունակում է վեբ սերվեր՝ մասնավոր IPv4 հասցեով: Ստատիկ NAT-ը կազմաձևված է R2-ում, որպեսզի թույլ տա մուտք գործել վեբ սերվեր արտաքին ցանցից (Ինտերնետ) սարքեր: Արտաքին ցանցից հաճախորդը մուտք է գործում վեբ սերվեր՝ օգտագործելով հանրային IPv4 հասցե: Static NAT-ը թարգմանում է հանրային IPv4 հասցեն մասնավոր IPv4 հասցեի:

Ստատիկ NAT-ի կարգավորումն ունի երկու հիմնական խնդիր.

Քայլ 1.Առաջին խնդիրը ներքին տեղական հասցեի և ներքին գլոբալ հասցեի միջև քարտեզագրումն է: Օրինակ, նկ. 1 ներքին տեղական հասցե 192.168.10.254 և ներքին գլոբալ հասցեն 209.165.201.5 կազմաձևված են որպես ստատիկ NAT:

Քայլ 2Քարտեզագրումը կազմաձևելուց հետո թարգմանությանը մասնակցող միջերեսները կազմաձևվում են որպես NAT-ի ներսում կամ դրսում: Այս օրինակում R2-ի Serial 0/0/0-ը ներքին ինտերֆեյսն է, իսկ սերիան 0/1/0-ը արտաքին ինտերֆեյսն է:

Փաթեթները, որոնք հասնում են R2-ի ներքին ինտերֆեյսին (Սերիական 0/0/0) կազմաձևված ներքին տեղական IPv4 հասցեից (192.168.10.254) փոխարկվում են և այնուհետև փոխանցվում արտաքին ցանց: R2-ի արտաքին ինտերֆեյսին (Serial 0/1/0) հասնող փաթեթները, որոնք նախատեսված են կազմաձևված ներքին գլոբալ IPv4 հասցեի համար (209.165.201.5) թարգմանվում են ներքին տեղական հասցեով (192.168.10.254), այնուհետև փոխանցվում են ներքին ցանց:

Նկ. Աղյուսակ 2-ում թվարկված են ստատիկ NAT-ը կարգավորելու համար անհրաժեշտ հրամանները:

Նկ. Նկար 3-ը ցույց է տալիս այն հրամանները, որոնք անհրաժեշտ են R2-ի վրա ստատիկ NAT քարտեզագրում ստեղծելու համար վեբ սերվերի համար հղումային տոպոլոգիայում: Ցուցադրված կոնֆիգուրացիայում R2-ը թարգմանում է 192.168.10.254 վեբ սերվերից 209.165.201.5 հանրային IPv4 հասցեին ուղարկված փաթեթներով: Ինտերնետային հաճախորդն ուղղորդում է վեբ հարցումները 209.165.201.5 հանրային IPv4 հասցեին: Router R2-ն այս տրաֆիկը փոխանցում է վեբ սերվեր՝ 192.168.10.254 համարով:

Օգտագործեք Syntax Checker-ը (տես Նկար 4) R2-ի վրա կամընտիր ստատիկ NAT մուտքը կարգավորելու համար:

Այս նկարը ցույց է տալիս ստատիկ NAT թարգմանության գործընթացը հաճախորդի և վեբ սերվերի միջև՝ օգտագործելով նախորդ կազմաձևումը: Ստատիկ քարտեզագրումները սովորաբար օգտագործվում են, երբ արտաքին ցանցում գտնվող հաճախորդները (Ինտերնետ) պետք է կապվեն ներքին ցանցի սերվերների հետ:

1. Հաճախորդը պետք է միանա վեբ սերվերին: Հաճախորդը փաթեթն ուղարկում է վեբ սերվեր՝ օգտագործելով 209.165.201.5 հանրային IPv4 նպատակակետ հասցեն: Սա վեբ սերվերի ներքին գլոբալ հասցեն է:

2. R2-ի առաջին փաթեթը, որը ստանում է հաճախորդից իր արտաքին NAT ինտերֆեյսի վրա, ստիպում է R2-ին ստուգել իր NAT աղյուսակը: Նպատակակետ IPv4 հասցեն գտնվում է NAT աղյուսակում, և երթուղիչը համապատասխանաբար կատարում է թարգմանությունը:

3. R2-ը փոխարինում է 209.165.201.5 ներքին գլոբալ հասցեն ներքին տեղական 192.168.10.254 հասցեով: R2-ն այնուհետև փոխանցում է փաթեթը վեբ սերվեր:

4. Վեբ սերվերը ստանում է փաթեթը և պատասխանում է հաճախորդին՝ օգտագործելով ներքին տեղական 192.168.10.254 հասցեն:

5 ա. R2-ը վեբ սերվերից ստանում է փաթեթ իր ներքին NAT ինտերֆեյսի վրա՝ սկզբնաղբյուր հասցեով, որը համապատասխանում է վեբ սերվերի ներքին տեղական հասցեին՝ 192.168.10.254:

5բ. R2-ը ստուգում է NAT աղյուսակը՝ տեսնելու, թե արդյոք կա թարգմանություն ներքին տեղական հասցեի համար: Այս հասցեն ներկայացված է NAT աղյուսակում: R2-ը հակադարձ քարտեզագրում է սկզբնաղբյուրի հասցեն 209.165.201.5 ներքին գլոբալ հասցեին և փաթեթն ուղարկում է հաճախորդին իր Սերիական 0/1/0 ինտերֆեյսի միջոցով:

6. Հաճախորդը ստանում է փաթեթը և շարունակում երկխոսությունը: NAT երթուղիչը կատարում է 2-5b քայլերը յուրաքանչյուր փաթեթի համար (քայլ 6 ցույց չի տրվում):

Ստատիկ NAT-ի ստուգում

NAT գործողությունը ստուգելու համար օգտագործեք հրամանը ցույց տալ ip nat թարգմանությունները. Այս հրամանը ցուցադրում է ակտիվ NAT թարգմանությունները: Ի տարբերություն դինամիկ թարգմանությունների, ստատիկ թարգմանությունները միշտ առկա են NAT աղյուսակում: Նկ. Նկար 1-ը ցույց է տալիս այս հրամանի արդյունքը նախորդ կազմաձևման օրինակի համար: Քանի որ օրինակը ստատիկ կոնֆիգուրացիա է, թարգմանությունը միշտ առկա է NAT աղյուսակում՝ անկախ ակտիվ փոխազդեցություններից: Եթե ​​հրամանը մուտքագրվում է ակտիվ նիստի ընթացքում, ելքը կպարունակի նաև արտաքին սարքի հասցեն, ինչպես ցույց է տրված Նկար 1-ում: մեկ.

Մեկ այլ օգտակար հրաման է ցույց տալ ip nat վիճակագրությունը. Ինչպես ցույց է տրված նկ. 2, հրաման ցույց տալ ip nat վիճակագրությունը

Ապահովելու համար, որ NAT թարգմանությունը ճիշտ է աշխատում, նախքան փորձարկումը, խորհուրդ է տրվում մաքրել բոլոր նախորդ թարգմանությունների վիճակագրությունը՝ օգտագործելով հրամանը: մաքրել ip nat վիճակագրությունը.

Վեբ սերվերի հետ շփվելուց առաջ հրամանը ցույց տալ ip nat վիճակագրությունըչպետք է ցուցադրի որևէ համընկնում: Այն բանից հետո, երբ հաճախորդը վեբ սերվերի հետ նստաշրջան է ստեղծում, հրամանի արդյունքը ցույց տալ ip nat վիճակագրությունըցույց կտա համընկնումների քանակի աճ մինչև 5: Սա հաստատում է, որ R2-ի ստատիկ NAT-ը կատարվել է:

Դինամիկ NAT-ի կարգավորում

Մինչ ստատիկ NAT-ն ապահովում է մշտական ​​քարտեզագրում ներքին տեղական հասցեի և ներքին գլոբալ հասցեի միջև, դինամիկ NAT-ն աջակցում է տեղական տեղական հասցեների ավտոմատ քարտեզագրմանը ներքին գլոբալ հասցեներին: Ներքին գլոբալ հասցեները սովորաբար հանրային IPv4 հասցեներ են: Dynamic NAT-ը թարգմանելու համար օգտագործում է հանրային IPv4 հասցեների խումբ կամ լողավազան:

Դինամիկ NAT-ը, ինչպես ստատիկ NAT-ը, պահանջում է NAT թարգմանության մեջ ներգրավված ներքին և արտաքին միջերեսների կազմաձևում: Այնուամենայնիվ, մինչ ստատիկ NAT-ը ստեղծում է մշտական ​​քարտեզագրում մեկ հասցեով, դինամիկ NAT-ն օգտագործում է հասցեների լողավազան:

Նշում. Հանրային և մասնավոր IPv4 հասցեների միջև թարգմանությունը NAT-ի ամենատարածված կիրառությունն է: Այնուամենայնիվ, NAT թարգմանությունները կարող են տեղի ունենալ ցանկացած զույգ հասցեների միջև:

Նկարում ներկայացված հղման տոպոլոգիայում ներքին ցանցն օգտագործում է հասցեներ RFC 1918-ում սահմանված մասնավոր հասցեների տարածությունից: Երկու LAN միացված են R1, 192.168.10.0/24 և 192.168.11.0/24: Edge երթուղիչը R2-ը կազմաձևված է դինամիկ NAT-ի համար՝ օգտագործելով հանրային IPv4 հասցեների լողավազան 209.165.200.226-ից մինչև 209.165.200.240:

Հանրային IPv4 հասցեների ֆոնդը (ներքին գլոբալ հասցեների ֆոնդը) հասանելի է ներքին ցանցի ցանկացած սարքի համար՝ առաջինը սպասարկելու սկզբունքով: Dynamic NAT-ը թարգմանում է մեկ ներքին հասցե մեկ արտաքին հասցեի: Այս տեսակի թարգմանության համար լողավազանում պետք է լինեն բավականաչափ հասցեներ՝ ծածկելու բոլոր ներքին սարքերը, որոնք պետք է միաժամանակ մուտք գործեն արտաքին ցանց: Եթե ​​լողավազանի բոլոր հասցեներն օգտագործվում են, սարքը պետք է սպասի հասանելի հասցեի՝ արտաքին ցանց մուտք գործելու համար:

Նկ. ցույց է տալիս դինամիկ NAT-ը կարգավորելու համար օգտագործվող քայլերն ու հրամանները:

Քայլ 1.Հրամանով ip nat լողավազաննշեք հասցեների մի խումբ, որոնք կօգտագործվեն թարգմանության համար: Այս հասցեների ֆոնդը սովորաբար հանրային հասցեների խումբ է: Այս հասցեները որոշվում են՝ նշելով լողավազանի սկզբի և վերջի IP հասցեները: Հիմնաբառ ցանցային դիմակկամ նախածանցի երկարությունընշում է, թե հասցեի որ բիթերն են հատուկ ցանցին, իսկ որ բիթերը՝ հոսթ-հասցեների տիրույթներ:

Քայլ 2Ստեղծեք ստանդարտ ACL՝ սահմանելու (թույլատրելու) միայն այն հասցեները, որոնք պետք է թարգմանվեն: ACL-ը չափազանց շատ թույլ հրամաններով կարող է անկանխատեսելի արդյունքներ տալ: Հիշեք, որ յուրաքանչյուր ACL-ի վերջում կա մի տող հերքել բոլորը.

Քայլ 3 ACL-ը կապեք լողավազանին: Հրաման ip nat աղբյուրի ցանկի ներսումմուտք-ցուցակ-համարհամարների լողավազանլողավազանի անվանումըօգտագործվում է ցուցակը լողավազանին կապելու համար: Այս կոնֆիգուրացիան օգտագործվում է երթուղիչի կողմից՝ որոշելու համար, թե որ սարքերը ( ցուցակը) ստանալ որ հասցեները ( լողավազան).

Քայլ 4Որոշեք, թե որ միջերեսներն են ներքին NAT-ի համար, այսինքն. ներքին ցանցին միացված ցանկացած ինտերֆեյս:

Քայլ 5Որոշեք, թե որ միջերեսներն են արտաքին NAT-ին, այսինքն. ցանկացած ինտերֆեյս, որը միացված է արտաքին ցանցին:

Նկ. 2-ը ցույց է տալիս տոպոլոգիայի օրինակ և համապատասխան կոնֆիգուրացիա: Այս կոնֆիգուրացիան հնարավորություն է տալիս թարգմանել 192.168.0.0/16 ցանցի բոլոր հոսթինգները, որոնք պարունակում են 192.168.10.0 և 192.168.11.0 LAN-երը, երբ հոսթները ստեղծում են ներգնա տրաֆիկ դեպի S0/0/0 և դուրս S0/1/0: Այս հանգույցների հասցեները թարգմանվում են 209.165.200.226-ից մինչև 209.165.200.240 տիրույթում գտնվող լողավազանից հասանելի հասցեի:

Նկ. 3-ը ցույց է տալիս տոպոլոգիան, որն օգտագործվում է շարահյուսության ստուգիչը կարգավորելու համար: Օգտագործեք շարահյուսության ստուգիչը նկ. 4 R2-ի վրա դինամիկ NAT տեղադրելու համար:

Դինամիկ NAT վերլուծություն

Հետևյալ նկարները ցույց են տալիս դինամիկ NAT թարգմանության գործընթացը երկու հաճախորդների և վեբ սերվերի միջև՝ օգտագործելով նախորդ կազմաձևը:

Նկ. 1-ը ցույց է տալիս երթևեկության հոսքը ներսից դեպի դրս:

1. սկզբնաղբյուր IPv4 հասցեներով հոսթները (192.168.10.10 (PC1) և 192.168.11.10 (PC2)) ուղարկում են փաթեթներ՝ պահանջելով միացում սերվերին հանրային IPv4 հասցեին (209.165.200.254):

2. Router R2-ը ստանում է առաջին փաթեթը հյուրընկալող 192.168.10.10-ից: Քանի որ այս փաթեթը ստացվել է որպես ներքին NAT ինտերֆեյս կազմաձևված ինտերֆեյսի վրա, R2-ը ստուգում է NAT կոնֆիգուրացիան՝ որոշելու, թե արդյոք փաթեթը պետք է թարգմանվի: ACL-ը թույլ է տալիս այս փաթեթը, ուստի R2-ը դրա վրա փոխակերպում է կատարում: Router R2-ը ստուգում է իր NAT աղյուսակը: Քանի որ տվյալ IP հասցեի համար թարգմանչական գրառումներ չկան, R2-ը որոշում է, որ սկզբնաղբյուր 192.168.10.10 հասցեն դինամիկ թարգմանության կարիք ունի: Router R2-ը դինամիկ հասցեների լողավազանից ընտրում է հասանելի գլոբալ հասցե և ստեղծում թարգմանության մուտք՝ 209.165.200.226: Սկզբնական սկզբնաղբյուր IPv4 հասցեն (192.168.10.10) ներքին տեղային հասցեն է, իսկ թարգմանության համար օգտագործվող հասցեն NAT աղյուսակի ներքին գլոբալ հասցեն է (209.165.200.226):

R2-ը կրկնում է երկրորդ հոսթի ընթացակարգը՝ 192.168.11.10, ընտրելով հաջորդ հասանելի գլոբալ հասցեն դինամիկ հասցեների լողավազանից և ստեղծելով թարգմանության երկրորդ մուտքը՝ 209.165.200.227:

3. R2-ը փոխարինում է PC1-ի ներքին տեղական աղբյուրի հասցեն (192.168.10.10) թարգմանության համար օգտագործվող ներքին գլոբալ հասցեով և փոխանցում փաթեթը: Նույն քայլերը կատարվում են PC2-ի կողմից ուղարկված փաթեթի համար՝ օգտագործելով PC2-ին (209.165.200.227) համապատասխան հասցեն՝ թարգմանության համար:

Նկ 1

Նկ. 2-ը ցույց է տալիս երթևեկության հոսքը դրսից ներս:

4. Սերվերը ստանում է փաթեթը PC1-ից և պատասխանում է՝ օգտագործելով 209.165.200.226 նպատակակետ IPv4 հասցեն: Երկրորդ փաթեթը ստանալուց հետո սերվերը պատասխանում է PC2-ով՝ օգտագործելով 209.165.200.227 նպատակակետ IPv4 հասցեն:

5 ա. Ստանալով 209.165.200.226 նպատակակետ IPv4 հասցեով փաթեթ, R2-ը որոնում է կատարում NAT աղյուսակում: Օգտագործելով աղյուսակի համընկնումը՝ R2-ը թարգմանում է հասցեն դեպի ներքին տեղական հասցե (192.168.10.10) և փոխանցում PC1 փաթեթը:

5բ. Ստանալով 209.165.200.227 նպատակակետ IPv4 հասցեով փաթեթ, R2-ը որոնում է կատարում NAT աղյուսակում: Օգտագործելով աղյուսակի համընկնումը՝ R2-ը վերադարձնում է հասցեն դեպի ներքին տեղական հասցե (192.168.11.10) և փոխանցում PC2 փաթեթը:

6. 192.168.10.10 հասցեով PC1-ը և 192.168.11.10 հասցեով PC2-ը ստանում են փաթեթներ և շարունակում զրույցը: NAT երթուղիչը կատարում է 2-5b քայլերը յուրաքանչյուր փաթեթի համար (6-րդ քայլը ցույց չի տրված նկարներում):

Նկար 2

Դինամիկ NAT-ի ստուգում

Թիմի արդյունքները ցույց տալ ip nat թարգմանություններըցույց է տրված նկ. 1-ը պարունակում է տեղեկատվություն նախորդ երկու NAT առաջադրանքների մասին: Հրամանը ցուցադրում է բոլոր կազմաձևված ստատիկ հասցեների թարգմանությունները և բոլոր դինամիկ թարգմանությունները, որոնք ստեղծվել են երթևեկության մշակման արդյունքում:

Հիմնաբառի ավելացում բամբասանքցուցադրում է լրացուցիչ տեղեկատվություն յուրաքանչյուր փոխակերպման մասին, ներառյալ մուտքի ստեղծման և օգտագործման պահից անցած ժամանակը:

Լռելյայնորեն, փոխակերպման գրառումների ժամկետը լրանում է 24 ժամ հետո, քանի դեռ ժամանակաչափի կարգավորումը չի փոխվել հրամանի միջոցով: ip nat թարգմանության ժամկետի ավարտդադարի վայրկյաններգլոբալ կոնֆիգուրացիայի ռեժիմում:

Դինամիկ գրառումները մինչև դրանց ժամկետի ավարտը հեռացնելու համար օգտագործեք գլոբալ կազմաձևման ռեժիմի հրամանը հստակ ip nat թարգմանություն. Խորհուրդ է տրվում հեռացնել դինամիկ գրառումները NAT-ի կազմաձևման ստուգում կատարելիս: Ինչպես ցույց է տրված աղյուսակում, այս հրամանը կարող է օգտագործվել հիմնաբառերի և փոփոխականների հետ՝ որոշելու համար, թե որ գրառումները հեռացնել: Հատուկ գրառումները կարող են ջնջվել՝ ակտիվ նիստերի խափանումից խուսափելու համար: Բոլոր փոխակերպումները աղյուսակից հեռացնելու համար օգտագործեք գլոբալ կազմաձևման հրամանը մաքրել ip nat թարգմանությունը *.

Նշում. Աղյուսակից հանվում են միայն դինամիկ փոխակերպումները: Ստատիկ փոխարկումները չեն կարող հեռացվել փոխակերպման աղյուսակից:

Ինչպես ցույց է տրված, հրամանը ցույց տալ ip nat վիճակագրությունըցուցադրում է տեղեկատվություն ակտիվ թարգմանությունների ընդհանուր թվի, NAT-ի կազմաձևման կարգավորումների, լողավազանի հասցեների և հատկացված հասցեների քանակի մասին:

Որպես այլընտրանք, կարող եք օգտագործել հրամանը ցույց տալ run-configև գտնել NAT, ACL, ինտերֆեյսի կամ լողավազանի հրամանները ցանկալի արժեքներ. Ուշադիր ուսումնասիրեք արդյունքները և ուղղեք հայտնաբերված սխալները:

Նավահանգստի հասցեի թարգմանության կարգավորում (PAT)

Նավահանգստի հասցեների թարգմանության PAT-ը (հայտնի է նաև որպես NAT գերբեռնվածություն) պահպանում է հասցեները ներքին գլոբալ լողավազանում՝ թույլ տալով երթուղիչին օգտագործել մեկ ներքին գլոբալ հասցե բազմաթիվ ներքին տեղական հասցեների համար: Այլ կերպ ասած, մեկ հանրային IPv4 հասցեն կարող է օգտագործվել հարյուրավոր կամ նույնիսկ հազարավոր ներքին IPv4 մասնավոր հասցեների համար: Երբ այս տեսակի թարգմանությունը կազմաձևված է, երթուղիչը պահպանում է բավական բարձր մակարդակի արձանագրության տեղեկատվությունը, ինչպիսիք են TCP կամ UDP պորտի համարները, որպեսզի թարգմանի ներքին գլոբալ հասցեն ճիշտ ներքին տեղական հասցեին: Երբ բազմաթիվ ներքին տեղական հասցեներ քարտեզագրվում են մեկ ներքին գլոբալ հասցեի հետ, TCP կամ UDP պորտի համարներն օգտագործվում են տեղական հասցեները տարբերելու համար:

Նշում. Ներքին հասցեների ընդհանուր թիվը, որոնք կարող են փոխակերպվել մեկ արտաքին հասցեի, տեսականորեն կարող է հասնել 65,536-ի մեկ IP հասցեի համար: Բայց ներքին հասցեների թիվը, որոնց կարելի է վերագրել մեկ IP հասցե, մոտավորապես 4000 է:

Կախված նրանից, թե ինչպես է ձեր ISP-ն հատկացնում հանրային IPv4 հասցեները, PAT կարգավորելու երկու եղանակ կա: Առաջին դեպքում, ISP-ն կազմակերպությանը հատկացնում է մի քանի հանրային IPv4 հասցե, իսկ երկրորդ դեպքում հատկացվում է մեկ հանրային IPv4 հասցե, անհրաժեշտ կազմակերպություն ISP-ի ցանցին միանալու համար:

PAT-ի կարգավորում հանրային IP հասցեների լողավազանի համար

Եթե ​​օբյեկտին հատկացվել են մի քանի հանրային IPv4 հասցեներ, ապա այդ հասցեները կարող են լինել PAT-ի կողմից օգտագործվող լողավազանի մի մասը: Սա նման է դինամիկ NAT-ին, բացառությամբ, որ բավարար հանրային հասցեներ չկան ներքին և արտաքին հասցեների միջև մեկ առ մեկ համապատասխանություն ստեղծելու համար: Հասցեների փոքր խումբը համօգտագործվում է մեծ թվով սարքերի կողմից:

Նկ. Նկար 1-ը ցույց է տալիս PAT-ը հասցեների լողավազան օգտագործելու համար կարգավորելու քայլերը: Այս կոնֆիգուրացիայի և դինամիկ մեկ առ մեկ NAT-ի կազմաձևման հիմնական տարբերությունը հիմնաբառի օգտագործումն է. գերբեռնվածություն. Հիմնաբառ գերբեռնվածությունհնարավորություն է տալիս աշխատել ՊԱՏ.

Նկ.-ում ցուցադրված կոնֆիգուրացիայի օրինակ: 2-ը ստեղծում է գերբեռնվածության փոխակերպում NAT լողավազանի համար, որը կոչվում է NAT-POOL2: NAT-POOL2-ը պարունակում է հասցեներ 209.165.200.226-ից մինչև 209.165.200.240: Փոխակերպման օբյեկտները 192.168.0.0/16 ցանցի հանգույցներն են։ S0/0/0 ինտերֆեյսը սահմանվում է որպես ներքին ինտերֆեյս, իսկ S0/0/0 ինտերֆեյսը սահմանվում է որպես արտաքին ինտերֆեյս- ինտերֆեյս S0/1/0:

Օգտագործեք շարահյուսության ստուգիչը Նկ. 3 R2-ում PAT-ը կարգավորելու համար՝ օգտագործելով հասցեների լողավազանը:

PAT-ի կազմաձևում մեկ հանրային IPv4 հասցեի համար

Նկ. Նկար 1-ը ցույց է տալիս PAT ներդրման տոպոլոգիան մեկ հանրային IPv4 հասցեի թարգմանության համար: Այս օրինակում 192.168.0.0/16 ցանցի բոլոր հոսթները (համապատասխանում է ACL 1-ին), որոնք երթևեկություն են ուղարկում դեպի ինտերնետ R2 երթուղիչի միջոցով, կթարգմանվեն 209.165.200.225 IPv4 հասցեով (S0/1/0 ինտերֆեյսի IPv4 հասցեն: ): Երթևեկության հոսքերը որոշվելու են NAT աղյուսակի նավահանգիստների համարներով, ինչպես այն օգտագործվել է գերբեռնվածություն.

Նկ. Նկար 2-ում ներկայացված են մեկ IPv4 հասցեով PAT-ը կարգավորելու համար անհրաժեշտ քայլերը: Եթե ​​հասանելի է միայն մեկ հանրային IPv4 հասցե, ապա գերբեռնվածության կոնֆիգուրացիան սովորաբար դրվում է ISP-ին միացող արտաքին ինտերֆեյսի հանրային հասցեին: Արտաքին միջերեսից դուրս եկող փաթեթների բոլոր ներքին հասցեները թարգմանվում են մեկ IPv4 հասցեի:

Քայլ 1.Սահմանեք ACL, որը թույլ է տալիս երթևեկության թարգմանությունը:

Քայլ 2Անհատականացրեք աղբյուրի փոխակերպումը հիմնաբառերի միջոցով ինտերֆեյսԵվ գերբեռնվածություն. Հիմնաբառ ինտերֆեյսնշում է ինտերֆեյսի IP հասցեն, որը պետք է օգտագործվի ներքին հասցեների թարգմանության մեջ: Հիմնաբառ գերբեռնվածությունասում է երթուղիչին հետևել նավահանգիստների համարներին NAT յուրաքանչյուր մուտքի համար:

Քայլ 3Նշեք NAT-ի ներքին ինտերֆեյսները: Սա ներքին ցանցին միացված ցանկացած ինտերֆեյս է:

Քայլ 4Նշեք NAT-ի արտաքին ինտերֆեյսը: Սա պետք է լինի նույն ինտերֆեյսը, որը նշված է 2-րդ քայլի աղբյուրի փոխակերպման մուտքագրում:

Այս կոնֆիգուրացիան նման է դինամիկ NAT-ին, բացառությամբ, որ հիմնաբառը օգտագործվում է հասցեների ֆոնդի փոխարեն արտաքին IPv4 հասցեն որոշելու համար: ինտերֆեյս. Այսպիսով, NAT լողավազան սահմանված չէ:

Օգտագործեք շարահյուսական ստուգիչը՝ R2-ում PAT-ը մեկ հասցեով կարգավորելու համար:

PAT վերլուծություն

NAT թարգմանության գործընթացը գերբեռնվածությամբ նույնն է, երբ օգտագործվում է հասցեների լողավազան, ինչ մեկ հասցե օգտագործելիս: Շարունակելով նախորդ PAT օրինակը՝ օգտագործելով մեկ հանրային IPv4 հասցե, PC1-ը պետք է միանա Svr1 վեբ սերվերին: Միևնույն ժամանակ, մեկ այլ հաճախորդ՝ PC2-ը, պետք է նմանատիպ նիստ հաստատի Svr2 վեբ սերվերի հետ: Ինչպես PC1-ը, այնպես էլ PC2-ը կազմաձևված են մասնավոր IPv4 հասցեներով, իսկ PAT-ը միացված է R2-ում:

Փաթեթները համակարգչից սերվերներ փոխանցելու գործընթացը

1. Նկ. Նկար 1-ը ցույց է տալիս, որ PC1-ը և PC2-ը փաթեթներ են ուղարկում համապատասխանաբար Svr1 և Svr2 սերվերներին: PC1-ն օգտագործում է IPv4 հասցեն 192.168.10.10 և աղբյուրի TCP պորտը 1444: PC2-ն օգտագործում է սկզբնաղբյուր IPv4 հասցեն 192.168.10.11 և զուգադիպությամբ նույն աղբյուրի TCP պորտը 1444:

2. PC1-ի փաթեթը առաջինը հասնում է R2-ին: Օգտագործելով PAT-ը, R2-ը փոխում է աղբյուրի IPv4 հասցեն 209.165.200.225 (ներքին գլոբալ հասցեն): NAT աղյուսակում չկան այլ սարքեր, որոնք օգտագործում են պորտ 1444, ուստի PAT-ը պահում է նույն պորտի համարը: Այնուհետև փաթեթը փոխանցվում է Svr1 սերվերին 209.165.201.1 հասցեով:

3. Հաջորդը PC2-ից փաթեթ է հասնում R2 երթուղիչին: PAT կարգավորումն ապահովում է, որ բոլոր թարգմանություններն օգտագործում են նույն ներքին գլոբալ IPv4 հասցեն՝ 209.165.200.225: PC1-ի թարգմանության գործընթացի նման, PAT-ը փոխում է PC2-ի սկզբնաղբյուր IPv4 հասցեն ներքին գլոբալ հասցեով՝ 209.165.200.225: Այնուամենայնիվ, այս PC2 փաթեթն օգտագործում է աղբյուրի միացքի համարը արդեն ընթացիկ PAT մուտքագրում, որն ապահովում է PC1 թարգմանությունը: PAT-ն ավելացնում է աղբյուրի պորտի համարը, մինչև դրա արժեքը եզակի լինի այս աղյուսակում: Այս դեպքում NAT աղյուսակում աղբյուրի պորտի մուտքագրմանը և PC2-ից փաթեթին վերագրվում է 1445 համարը:

Չնայած PC1-ը և PC2-ն օգտագործում են նույն թարգմանված հասցեն, ներքին գլոբալ հասցեն՝ 209.165.200.225, և նույն աղբյուրի միացքի համարը՝ 1444, PC2-ի (1445) փոխված միացքի համարը դարձնում է NAT աղյուսակի յուրաքանչյուր մուտքը եզակի: Սա ակնհայտ է դառնում, երբ սերվերները ետ փաթեթներ են ուղարկում հաճախորդներին:

Փաթեթները սերվերներից համակարգիչներ փոխանցելու գործընթացը

4. Ինչպես ցույց է տրված նկ. 2, տիպիկ հաճախորդ-սերվեր փոխանակման դեպքում, Svr1 և Svr2 սերվերները պատասխանում են համապատասխանաբար PC1 և PC2 համակարգիչներից ստացված հարցումներին: Սերվերներն օգտագործում են ստացված փաթեթի սկզբնաղբյուրը որպես նպատակակետ վերադարձի տրաֆիկի համար, իսկ սկզբնաղբյուրի հասցեն՝ որպես նպատակակետ: Սերվերներն իրենց պահում են այնպես, կարծես նրանք շփվում են մեկ հոսթի հետ 209.165.200.225, բայց դա այդպես չէ:

5. Փաթեթները ստանալուց հետո R2-ը գտնում է եզակի մուտք NAT աղյուսակում՝ օգտագործելով յուրաքանչյուր փաթեթի նպատակակետ հասցեն և նպատակակետ նավահանգիստը: Երբ փաթեթ է ստացվում Svr1-ից, IPv4 նպատակակետ հասցեն՝ 209.165.200.225, ունի բազմաթիվ մուտքեր, բայց դրանցից միայն մեկն է պարունակում 1444 նպատակակետ պորտը: Օգտագործելով այս աղյուսակի մուտքը՝ R2-ը փոխում է փաթեթի նպատակակետ IPv4 հասցեն 192.168.10.10: Նշանակման նավահանգիստը փոխելն այս դեպքում չի պահանջվում: Այնուհետև փաթեթն ուղարկվում է PC1:

6. Svr2-ից փաթեթ ստանալով՝ R2-ը կատարում է նմանատիպ փոխակերպում։ Երթուղիչը կրկին գտնում է IPv4 նպատակակետ հասցեն՝ 209.165.200.225՝ բազմաթիվ մուտքերով: Այնուամենայնիվ, օգտագործելով նպատակակետ պորտը 1445, R2-ը կարող է եզակիորեն նույնականացնել փոխակերպման մուտքը: Նպատակակետ IPv4 հասցեն փոխվել է 192.168.10.11: Այս դեպքում, նպատակակետ նավահանգիստը նույնպես պետք է վերադառնա NAT աղյուսակում պահվող 1444-ի սկզբնական արժեքին: Այնուհետև փաթեթն ուղարկվում է PC2:

PAT ստուգում

Router R2-ը կազմաձևված է 192.168.0.0/16 ցանցից հաճախորդներին PAT տրամադրելու համար: Երբ ներքին հոսթները հասնում են ինտերնետ R2-ի միջոցով, նրանց հասցեները թարգմանվում են IPv4 հասցեի PAT լողավազանից՝ եզակի աղբյուրի միացքի համարով:

PAT-ը ստուգելու համար օգտագործվում են նույն հրամանները, ինչպես ստատիկ և դինամիկ NAT-ը ստուգելու համար, ինչպես ցույց է տրված Նկար 1-ում: 1. Թիմ ցույց տալ ip nat թարգմանություններըարդյունահանում է թարգմանություններ երկու տարբեր հոսթներից դեպի տարբեր վեբ սերվերներ տրաֆիկի համար: Նկատի ունեցեք, որ երկու տարբեր ներքին հոսթերին հատկացվում է նույն IPv4 հասցեն 209.165.200.226 (ներքին գլոբալ հասցե): Աղբյուրի պորտի համարներն օգտագործվում են NAT աղյուսակում՝ երկու գործարքները տարբերելու համար:

Ինչպես ցույց է տրված նկ. 2, հրաման ցույց տալ ip nat վիճակագրությունըթույլ է տալիս ստուգել, ​​որ NAT-POOL2 լողավազանն ունի մեկ հասցե հատկացված երկու թարգմանությունների համար: Հրամանի կատարման արդյունքը պարունակում է տեղեկատվություն ակտիվ թարգմանությունների քանակի և տեսակի, NAT կարգավորումների, լողավազանի հասցեների քանակի և հատկացված հասցեների քանակի մասին:

NAT-ը կամ ցանցային հասցեների թարգմանությունը մի հասցեի տարածությունը մյուսին վերարտադրելու միջոց է՝ փոխելով ցանցի հասցեի տեղեկատվությունը ինտերնետ արձանագրությունում կամ IP-ում: Փաթեթների վերնագրերը փոխվում են, երբ դրանք տեղափոխվում են երթուղային սարքերով: Այս մեթոդն ի սկզբանե օգտագործվել է IP ցանցերի երթևեկությունն ավելի հեշտ փոխանցելու համար՝ առանց յուրաքանչյուր հոսթին համարակալելու անհրաժեշտության: Այն դարձել է կարևոր և հանրաճանաչ գործիք՝ գլոբալ հասցեների տարածությունը տեղաբաշխելու և պահպանելու համար՝ IPv4 հասցեների խիստ պակասի պայմաններում:

Ի՞նչ է NAT-ը:

Ցանցային հասցեների թարգմանության օգտագործումը յուրաքանչյուր հասցեի քարտեզագրումն է մի հասցեի տարածությունից դեպի հասցե, որը գտնվում է մեկ այլ հասցեի տարածքում: Դա կարող է անհրաժեշտ լինել, եթե ծառայության մատակարարը փոխվել է, և օգտվողը հնարավորություն չունի հրապարակայնորեն հայտարարել նոր երթուղի դեպի ցանց: 1990-ականների վերջից NAT տեխնոլոգիան ավելի ու ավելի է օգտագործվում գլոբալ հասցեների տարածության սպառման համատեքստում: Որպես կանոն, այս տեխնոլոգիան օգտագործվում է IP կոդավորման հետ համատեղ: IP կոդավորումը մի քանի IP հասցեներ մեկ տարածության մեջ տեղափոխելու մեթոդ է: Այս մեխանիզմը ներդրված է երթուղային սարքում, որն օգտագործում է պետական ​​թարգմանության աղյուսակներ՝ թաքնված հասցեները մեկ IP հասցեով քարտեզագրելու համար: Այն նաև վերահղում է բոլոր ելքային IP փաթեթները ելքի ժամանակ: Այսպիսով, այս փաթեթները կարծես դուրս են գալիս երթուղային սարքից: Հակադարձ կապի պատասխանները քարտեզագրվում են աղբյուրի IP հասցեին՝ օգտագործելով թարգմանության աղյուսակներում պահվող կանոնները: Իր հերթին, թարգմանության աղյուսակները կարճ ժամանակ անց մաքրվում են, եթե տրաֆիկը չի թարմացնում իր վիճակը: Սա NAT-ի հիմնական մեխանիզմն է: Ինչ է սա նշանակում? Այս տեխնոլոգիան թույլ է տալիս կազմակերպել հաղորդակցությունը երթուղիչի միջոցով միայն այն դեպքում, երբ կապը տեղի է ունենում կոդավորված ցանցում, քանի որ դա ստեղծում է թարգմանության աղյուսակներ: Նման ցանցի ներսում վեբ զննարկիչը կարող է դիտել կայք նրանից դուրս, սակայն տեղադրվելով դրանից դուրս՝ այն չի կարող բացել այն ռեսուրսը, որը տեղակայված է դրա վրա: Այսօր NAT սարքերից շատերը ցանցի ադմինիստրատորին թույլ են տալիս կարգավորել թարգմանչական աղյուսակի գրառումները մշտական ​​օգտագործման համար: Այս հատկությունը հաճախ կոչվում է նավահանգիստների վերահասցեավորում կամ ստատիկ NAT: Այն թույլ է տալիս «արտաքին» ցանցից առաջացող տրաֆիկին հասնել գաղտնագրված ցանցի նշանակված հյուրընկալողներին: IPv4 հասցեների տարածությունը պահպանելու համար օգտագործվող մեթոդի հանրաճանաչության պատճառով NAT տերմինը գրեթե հոմանիշ է դարձել կոդավորման մեթոդի հետ: Քանի որ ցանցային հասցեների թարգմանությունը փոխում է IP փաթեթների հասցեի տեղեկատվությունը, դա կարող է լուրջ հետևանքներ ունենալ կապի որակի վրա: Այսպիսով, այն պահանջում է մեծ ուշադրություն իրականացման բոլոր մանրամասներին: NAT-ի օգտագործման եղանակները տարբերվում են միմյանցից իրենց հատուկ վարքագծով տարբեր իրավիճակներում, որոնք վերաբերում են ցանցի տրաֆիկի վրա ազդեցությանը:

Հիմնական NAT

NAT-ի ամենապարզ տեսակը թույլ է տալիս մեկ առ մեկ IP հասցեի թարգմանություն: Այս թարգմանության հիմնական տեսակը RFC-2663 է։ Այս դեպքում փոխվում են միայն IP հասցեները, ինչպես նաև IP վերնագրերի ստուգման գումարը: Դուք կարող եք օգտագործել թարգմանության հիմնական տեսակները՝ անհամատեղելի հասցեներ ունեցող երկու IP ցանցեր միացնելու համար:

NAT-ի ձևերի մեծամասնությունը ի վիճակի է մի քանի մասնավոր հոսթեր քարտեզագրել մեկ հանրային նշանակված IP հասցեով: Տիպիկ կոնֆիգուրացիայի մեջ տեղական ցանցն օգտագործում է ենթացանցին հատկացված «մասնավոր» IP հասցեներից մեկը: Այս ցանցում երթուղիչն ունի անձնական հասցե տիեզերքում: Երթուղիչը նաև միանում է ինտերնետին, օգտագործելով «հրապարակային հասցեն», որը նշանակվել է ISP-ի կողմից: Քանի որ տրաֆիկը ծագում է տեղական ինտերնետից, յուրաքանչյուր փաթեթի սկզբնաղբյուր հասցեն անմիջապես թարգմանվում է մասնավորից հանրային: Երթուղիչը նաև հետևում է յուրաքանչյուր ակտիվ կապի հիմնական տվյալներին: Մասնավորապես, դա վերաբերում է այնպիսի տեղեկատվությանը, ինչպիսին է հասցեն և նշանակման նավահանգիստը: Երբ պատասխանը վերադարձվում է դրան, այն օգտագործում է կապի տվյալները, որոնք պահվում են ելքային ոտքի ընթացքում: Սա անհրաժեշտ է ներքին ցանցի մասնավոր հասցեն որոշելու համար, որին պետք է ուղղված լինի պատասխանը: Այս ֆունկցիոնալության հիմնական առավելությունն այն է, որ այն գործնական լուծում է IPv4 հասցեների տարածքի սպառման խնդրին: Նույնիսկ խոշոր ցանցերը կարելի է միացնել ինտերնետին մեկ IP հասցեով: Փաթեթների բոլոր տվյալների գծապատկերները IP ցանցերում ունեն երկու IP հասցե՝ սա սկզբնաղբյուր և նպատակակետ հասցեն է: Մասնավոր ցանցից հանրային ցանց ճանապարհորդող փաթեթները կունենան փաթեթների սկզբնաղբյուր հասցեն, որը փոխվում է հանրային ցանցից մասնավոր ցանցին անցնելու ժամանակ: Հնարավոր են նաև ավելի բարդ կոնֆիգուրացիաներ:

NAT-ի ստեղծման առանձնահատկությունները

NAT-ի կարգավորումը կարող է ունենալ որոշակի առանձնահատկություններ: Հետագա փոփոխությունները կարող են պահանջվել վերադարձված փաթեթների թարգմանության հետ կապված դժվարություններից խուսափելու համար: Ինտերնետ տրաֆիկի մեծ մասը կանցնի UDP և TCP արձանագրությունների միջոցով: Նրանց համարները փոխվում են այնպես, որ IP հասցեները և նավահանգիստների համարները սկսում են համընկնել, երբ տվյալները հետ են ուղարկվում: Արձանագրությունները, որոնք հիմնված չեն UDP-ի կամ TCP-ի վրա, պահանջում են թարգմանության այլ մեթոդներ: Սովորաբար ICMP-ը կամ ինտերնետ հաղորդագրությունների կառավարման արձանագրությունը փոխկապակցում է փոխանցված տեղեկատվությունը հասանելի կապի հետ: Սա նշանակում է, որ դրանք պետք է ցուցադրվեն՝ օգտագործելով նույն IP հասցեն և համարը, որն ի սկզբանե սահմանված էր: Ինչը պետք է հաշվի առնել. Երթուղղիչում NAT-ի կարգավորումը նրան չի ապահովում ծայրից ծայր միացում: Այդ պատճառով նման երթուղիչները չեն կարող մասնակցել որոշ ինտերնետային արձանագրություններին: Ծառայությունները, որոնք պահանջում են TCP կապերի մեկնարկը արտաքին ցանցից կամ ոչ պրոտոկոլային օգտագործողներից, կարող են պարզապես հասանելի չլինել: Եթե ​​երթուղիչը NAT չի անում հատուկ ջանքերՆման արձանագրություններին աջակցելու համար մուտքային փաթեթները կարող են երբեք չհասնել իրենց նպատակակետին: Որոշ արձանագրություններ կարող են տեղադրվել միևնույն թարգմանության մեջ մասնակից հյուրընկալողների միջև՝ երբեմն օգտագործելով կիրառական շերտի դարպասը: Այնուամենայնիվ, կապը չի հաստատվի, երբ երկու համակարգերն էլ բաժանվեն ինտերնետից NAT-ով: Նաև NAT-ի օգտագործումը բարդացնում է թունելային արձանագրությունները, ինչպիսիք են IPsec-ը, քանի որ այն փոխում է արժեքները վերնագրերում, որոնք փոխազդում են հարցումների ամբողջականության ստուգումների հետ:

NAT. առկա խնդիր

Ինտերնետի հիմնական սկզբունքը ծայրից ծայր կապն է: Այն գոյություն ունի իր ստեղծման օրվանից: Ցանցի ներկայիս վիճակը միայն ապացուցում է, որ NAT-ը խախտում է այս սկզբունքը. Մասնագիտական ​​միջավայրում լուրջ մտահոգություն կա՝ կապված IPv6-ում ցանցային հասցեների թարգմանության լայն կիրառման հետ: Այսպիսով, այսօր հարց է բարձրացվում, թե ինչպես կարելի է վերացնել այս խնդիրը։ Քանի որ NAT երթուղիչներում թարգմանության վիճակի աղյուսակներն ի սկզբանե հավերժական չեն, ներքին ցանցային սարքերը կորցնում են իրենց IP կապը շատ կարճ ժամանակահատվածում: Մենք չպետք է մոռանանք այս հանգամանքի մասին, երբ խոսում ենք այն մասին, թե ինչ է NAT-ը երթուղիչում: Սա զգալիորեն նվազեցնում է կոմպակտ սարքերի շահագործման ժամանակը, որոնք աշխատում են մարտկոցներով և վերալիցքավորվող մարտկոցներով:

Մասշտաբայնություն

NAT-ը նաև վերահսկում է միայն այն նավահանգիստները, որոնք կարող են արագ սպառվել ներքին հավելվածների կողմից, որոնք օգտագործում են մի քանի միաժամանակյա միացումներ: Դա կարող է լինել HTTP հարցումներշատ ներկառուցված օբյեկտներով էջերի համար: Այս խնդիրը կարելի է մեղմել՝ բացի նավահանգստից, IP հասցեին հետևելով ուղղություններում: Այսպիսով, մեկ տեղական նավահանգիստը կարող է համօգտագործվել մեծ թվով հեռավոր հոսթորդների կողմից:

NAT. որոշ բարդություններ

Քանի որ բոլոր ներքին հասցեները դիմակավորված են որպես միևնույն հանրային հասցե, արտաքին հոսթների համար հնարավոր չէ կապ հաստատել որոշակի ներքին հոսթի հետ՝ առանց firewall-ում հատուկ կոնֆիգուրացիա ստեղծելու: Այս կոնֆիգուրացիան պետք է վերահղի կապերը կոնկրետ նավահանգիստ: IP հեռախոսակապի, վիդեոկոնֆերանսի և նմանատիպ ծառայությունների հայտերը պետք է օգտագործեն NAT անցման մեթոդներ՝ իրենց բնականոն գործունեության համար: Rapti թարգմանչական նավահանգիստ վերադարձի հասցենթույլ է տալիս հոսթին, որի IP հասցեն ժամանակ առ ժամանակ փոխվում է, հասանելի մնալ որպես սերվեր՝ օգտագործելով տնային ցանցի ֆիքսված IP հասցե: Սա սկզբունքորեն պետք է թույլ տա սերվերներին կարգավորել կապը պահպանելու համար: Թեև այս լուծումը իդեալական չէ, այն կարող է լինել ևս մեկ օգտակար գործիք ցանցի ադմինիստրատորի զինանոցում երթուղիչի վրա NAT-ի կազմաձևման հետ կապված խնդիրները լուծելիս:

PAT կամ նավահանգստի հասցեի թարգմանություն

Port Address Translation-ը Cisco Rapt-ի իրականացումն է, որը քարտեզագրում է բազմաթիվ մասնավոր IP հասցեներ որպես մեկ հանրային: Այսպիսով, մի քանի հասցեներ կարող են քարտեզագրվել որպես հասցե, քանի որ յուրաքանչյուրը հետևվում է պորտի համարով: Տվյալների փոխանցման ուղղությունը տարբերակելու համար PAT-ն օգտագործում է եզակի աղբյուրի միացքի համարներ ներքին գլոբալ IP-ի վրա: Այս թվերը 16-բիթանոց ամբողջ թվեր են: Ներքին հասցեների ընդհանուր թիվը, որոնք կարող են թարգմանվել մեկ արտաքին հասցեի, տեսականորեն կարող է հասնել մինչև 65536: Իրականում, պորտերի թիվը, որոնց կարող է վերագրվել մեկ IP հասցե, մոտավորապես 4000 է: PAT-ը, որպես կանոն, փորձում է. պահել բնօրինակ «բնօրինակ» պորտը: Եթե ​​այն արդեն օգտագործվում է, Port Address Translation-ը նշանակում է առաջին հասանելի պորտի համարը՝ սկսած համապատասխան խմբի սկզբից: Երբ այլևս հասանելի նավահանգիստներ չկան, և կան մեկից ավելի արտաքին IP հասցե, PAT-ն անցնում է հաջորդին` սկզբնաղբյուր պորտը հատկացնելու համար: Այս գործընթացը կշարունակվի այնքան ժամանակ, մինչև առկա տվյալները սպառվեն: Cisco ծառայությունը ցուցադրում է հասցեն և նավահանգիստը: Այն համատեղում է թարգմանչական նավահանգստի հասցեն և IPv4 փաթեթների թունելային տվյալները ներքին IPv6 ցանցի միջոցով: Իրականում սա Carrier Grade NAT-ի և DS-Lite-ի այլընտրանքն է, որն աջակցում է նավահանգիստների և հասցեների IP թարգմանությանը: Սա խուսափում է կապի հաստատման և պահպանման հետ կապված խնդիրներից: Այն նաև տրամադրում է անցումային մեխանիզմ IPv6-ի տեղակայման համար:

Թարգմանության մեթոդներ

Ցանցի հասցեի և պորտի թարգմանության իրականացման մի քանի հիմնական եղանակ կա: Որոշ կիրառական արձանագրություններ պահանջում են, որ դուք որոշեք արտաքին NAT հասցեն, որն օգտագործվում է կապի մյուս ծայրում: Հաճախ անհրաժեշտ է նաև ուսումնասիրել և դասակարգել փոխանցման տեսակը: Որպես կանոն, դա արվում է, քանի որ ցանկալի է ստեղծել ուղիղ կապ երկու հաճախորդների միջև առանձին NAT-ների հետևում: Այդ նպատակով մշակվել է RFC 3489 հատուկ արձանագրություն, որն ապահովում է UPD-ի պարզ շրջանցում NATS-ի միջոցով: Այն այսօր արդեն համարվում է հնացած, քանի որ այսօր նման մեթոդները անբավարար են համարվում սարքերի աշխատանքի ճիշտ գնահատման համար։ 2008 թվականին մշակվել է RFC 5389, որը ստանդարտացրել է նոր մեթոդներ։ Այս ճշգրտումն այսօր կոչվում է Session Traversal: Նա ներկայացնում է հատուկ կոմունալ, նախատեսված NAT շահագործման համար։

Երկկողմանի կապի ստեղծում

Յուրաքանչյուր UDP և TCP փաթեթ պարունակում է աղբյուրի IP հասցեն և դրա պորտի համարը, ինչպես նաև նպատակակետ պորտի կոորդինատները: Նավահանգստի համարը շատ կարևոր է հանրային ծառայություններ ստանալու համար, ինչպիսիք են փոստի սերվերի ֆունկցիոնալությունը: Այսպիսով, օրինակ, նավահանգիստ 25-ը միանում է փոստի սերվերի SMTP-ին, իսկ 80-րդ նավահանգիստը միանում է ծրագրային ապահովումվեբ սերվեր: Հանրային սերվերի IP հասցեն նույնպես նշանակալի է: Այս պարամետրերը պետք է հուսալիորեն հայտնի լինեն այն հանգույցներին, որոնք մտադիր են կապ հաստատել: Մասնավոր IP հասցեները նշանակություն ունեն միայն տեղական ցանցերում:

ՀԱՐԱԿԻՑ ՀՈԴՎԱԾՆԵՐ