/05.07.2004 20:43/

Pēdējos gados Krievijas tīkla administratoru vidū ir modē FireWall un NAT. Eserv lietotāji manu attieksmi pret šīm tehnoloģijām zina jau kopš 90. gadu vidus, taču dažkārt šādus jautājumus par FireWall/NAT uzdod iesācēji, un man nākas sevi atkārtot. Tāpēc apmēram pirms gada es uzrakstīju atsevišķu rakstu par FireWall, un šodien ir NAT kārta.

Epigrāfs

Pievienots 28.12.2005. Google sniedza labu NAT problēmas kopsavilkumu: "NAT ierīces, kas kļūst arvien populārākas mājās un birojos, ļauj vairākām iekārtām koplietot vienu interneta adresi. Līdz ar to lietojumprogrammām, piemēram, balss tērzēšanai, kļūst arvien grūtāk, kas prasa vienaudžu tieši uzrunājiet viens otru, lai uzticami izveidotu vienādranga savienojumu." (NAT ierīces, kuru popularitāte mājās un birojos kļūst arvien populārāka, ļauj koplietot vairākas mašīnas viens interneta adrese. Rezultātā tādas lietojumprogrammas kā balss tērzēšana pieprasot tiešu pušu uzrunāšanu, arvien grūtāk izveidot uzticamus savienojumus punkts-punkts.)

Dokumenta satura rādītājs

NAT vēsture

Vispirms daži vārdi par starpniekserverēšanas / vārtiem / tunelēšanas nepieciešamības rašanās vēsturi internetā, tad kļūs skaidrākas dažādu pieeju iespējas un to "hierarhija". Kā zināms, IP adrešu trūkums 4 baitu adrešu telpā tika prognozēts jau 90. gadu sākumā (plus naudas trūkums adrešu bloku nomai atsevišķos uzņēmumos. Tāpēc jau 1994. gada martā vienojās par adresi " segmentācija" no kopējās telpas - lokālajiem tīkliem piešķirot atsevišķus IP adrešu diapazonus un izslēdzot šīs IP adreses no izmantošanas internetā (http://www.ietf.org/rfc/rfc1597.txt 1994. gada marts Adrešu piešķiršana privātajam internetam; citāts par šī dokumenta mērķi "Autori cer, ka šo metožu izmantošana radīs ievērojamus ietaupījumus adrešu piešķiršanā"). Šis risinājums ļāva uzņēmumiem piešķirt mazus IP adrešu blokus saviem interneta serveriem, savukārt LAN ietvaros IP adreses savām vajadzībām piešķīra paši uzņēmumi no lokālo tīklu diapazoniem. Līdz ar to uzņēmumu interneta serveri (pasts un www/ftp) bija viegli pieejami gan no interneta, gan no LAN, un LAN ietvaros datori sazinājās bez problēmām, izmantojot vienus un tos pašus IP protokolus. Taču šis lēmums radīja barjeru starp vietējiem tīkliem un internetu: vienu un to pašu IP adresi var izmantot dažādos LAN, un tāpēc šī iemesla dēļ internets pārtrauca maršrutēšanu pakešu adrešu blokiem, kas piešķirti LAN. Tie. īstenībā "fiziskā barjera" (bez vadu pārgriešanas, kas bija jautri Krievijas bankās pēc pirmajiem uzlauzumiem, un bez FireWall instalēšanas, ar ko viņi tagad ir atkarīgi). Tīkli ir kļuvuši izolēti, jo mūsdienu operētājsistēmās uzdevumi ir izolēti - katram ir sava adrešu telpa. Šī barjera pastam nebija problēma, jo uzņēmuma pasta serveri tika novietoti tīklu malās un bija redzami gan no interneta, gan LAN. Bet ar piekļuvi no LAN ārējiem resursiem - ftp un http-serveriem, kas tajos gados joprojām guva popularitāti, sākās problēmas. Ja agrāk bija iespēja tieši sazināties ar serveri no jebkura datora, tad tagad tikai datori ar reālas interneta adreses, jo uz kuru LAN nosūtīt atbildi uz IP paketi, kuras atgriešanas adresē ir vietējā adrese - maršrutētājs nevarēs noteikt.

Vienkāršākais šīs problēmas risinājums - atgriešanas adreses aizstāšana tīklu malās - bija redzama virspusē un tika publicēta nesteidzīgi: 1994. gada maijā, t.i. divus mēnešus pēc "tīklu sadaļas" tika piedāvāta NAT specifikācija: http://www.ietf.org/rfc/rfc1631.txt Tīkla adrešu tulkotājs (NAT) 1994. gada maijs Autori to paziņoja kā "īstermiņa risinājumu", t.i. pagaidu risinājums No norādītās problēmas, sava veida "uzlauzšana", līdz parastie risinājumi kļūst plaši izplatīti. Bet, kā zināms, nekas nav tik pastāvīgs kā pagaidu IPv6, pretēji gaidītajam, ātri neiesakņojās, un pēdējo 10 gadu laikā mēs esam liecinieki arvien vairāk cīņām uz LAN un interneta robežām. NAT ir kļuvis plaši izplatīts, jo. Šai problēmai tajos gados nebija cita pieņemama risinājuma: FTP klientiem un HTTP klientiem (pārlūkprogrammām) nebija laika pielāgoties mainītajai pasaules ainai, viņi nevarēja strādāt no LAN ar ārējiem resursiem, tāpēc, lai padarīt robežu viņiem caurspīdīgu, viņi vienkārši programmatiski "apmānīja", izmantojot NAT - visas IP paketes, kas adresētas no LAN uz ārpusi, tika pakļautas visvienkāršākajai apstrādei uz robežas: apgrieztās IP adreses nomaiņa ar "robežas" īsto adresi datoru un apgriezto aizstāšanu ienākošajās paketēs. Turklāt parasti tika aizstāts arī LAN avota porta numurs. Pakešu izcelsme var būt no dažādām LAN iekārtām ar vienādiem portu numuriem. Tie. tiek tulkotas ne tikai IP adreses, bet arī portu numuri (dažkārt portu tulkotājus sauc par atsevišķu saīsinājumu PAT). Nosacītajā klasifikācijā NAT tiek iedalīts "statiskajā, dinamiskajā un maskētajā (maskētajā)", bet praksē galvenokārt tiek izmantots trešais veids, kas ļauj apkalpot tūkstošiem savienojumu no LAN caur vienu reālu adresi (ideālā gadījumā), savukārt porta tulkojums vienmēr tiek izmantots. NAT datorā vai maršrutētājā + NAT tiek piešķirts tulkošanai izmantoto portu diapazons, piemēram, ar skaitļiem, kas ir lielāki par 60 000 (lai ātri atšķirtu šos portus no tiem, kas piešķirti šī datora vajadzībām) un dinamiska pašreizējo sesiju tabula / adrešu kartējumi. Katra caurlaide tiek pārbaudīta ar šo tabulu ar portu un tiek veiktas atbilstošas ​​​​aizvietošanas. Tehnoloģija ir tik vienkārša, ka tagad arvien retāk ir iespējams atrast maršrutētāju vai kabeļa modemu bez iebūvēta NAT (un FireWall, tik primitīva kā NAT), un NAT jau var atrast pat centrmezglos, kuru cenas sākas no 40 USD. Nemaz nerunājot par "bezmaksas" NAT, kas iekļauts vairākās jaunākajās Windows versijās ar nosaukumu " savienojuma koplietošana" un " savienojuma koplietošana". Tā NAT ir pelnīti populāra pieejamība, saprotamības/lietošanas vieglums un klienta programmatūras mazprasība.

NAT interneta programmu "caur acīm".

Ja praksē viss būtu tik vienkārši, tas nebūtu interesanti.Bet, protams, tāpat kā ar jebkuru citu programmatūras triku, NAT uzreiz sāka iezagties dažādas nepatīkamas blakusparādības. Laikā, kad parādījās NAT, viens no populārākajiem protokoliem bija FTP, un tieši šis protokols kļuva par pirmo nesagremojamo NAT protokolu. Tas atklāja problēmu, kas pēdējo 10 gadu laikā NAT nekad nebija veiksmīgi atrisināta. Un vispārīgā gadījumā to nevar atrisināt NAT ietvaros, var būt tikai korekcijas konkrētiem protokoliem, bet šīs korekcijas nevar uzskatīt par uzticamu risinājumu. Problēma ir tā, ka dažos protokolos, starp kuriem FTP ir vecākais, tiek pārsūtīta klienta mašīnas IP adrese, un serveris izmanto šo IP adresi, lai pārsūtītu datus klientam. Tā kā NAT gadījumā klienta programma, kas darbojas no LAN, tiek "apmānīta" ar NAT, tā var nosūtīt serverim tikai savu lokālo IP adresi, ar kuru ārējais serveris nevarēs pieslēgties, jo nav redzams. vietējie tīkli no interneta.Citi piemēri ir protokoli ICQ, MS NetMeeting, RealAudio un daudzi citi protokoli, kuru izstrādātāji acīmredzot sēdēja tīklos bez
NAT NAT var piedāvāt tikai vienu šīs problēmas risinājumu – pamatojoties uz portu numuriem, uzminēt konkrēto tulkojamo protokolu un sākt uzraudzīt IP pakešu saturu. Kad viņi saskaras ar PORT FTP komandu, kas norāda: vietējā klienta portu (teksta komanda paketes pamattekstā, nevis IP paketes galvenē), nomainiet ne tikai galvenes, bet visu paketi. , ar kontrolsummas pārrēķinu un viena ienākošā porta telefonsarunu noklausīšanās organizēšanu. Diemžēl NAT gadījumā TCP protokols, kurā tiek pārsūtītas FTP protokola komandas, ir straumēšanas protokols, kas organizēts vairākos veidos - komandu PORT, kad tā sasniedz IP slāni, var sadalīt 2 paketēs (vai pat vairāk, atkarībā no FTP klienta un buferizācija OS). Tāpēc, lai droši atklātu NAT viltošanu, jums būs jārekonstruē sākotnējā TCP straume, buferis un atkārtoti jāsaliek paketes. Mēs atgriezīsimies pie NAT "protokolu rekonstrukcijas", bet pagaidām mēs tikai atzīmējam iespējamo kļūdu daudzpakāpju līmeni. un neuzticamība šajā procesā.Praksē tas noved pie tā, ka standarta FTP režīms, izmantojot komandu PORT over NAT, parasti NEdarbojas.

Tāpēc "NAT problēma" FTP protokolā ir jārisina īpašā veidā FTP klientos vai citā specializētā FTP starpniekserverī. FTP klientā šim nolūkam ir jāpārslēdzas uz tā saukto. "pasīvais režīms" - komandas PORT vietā izmantojiet komandu PASV. PASV lūdz FTP serveri atvērt sev papildu portu un paziņot klientam tā :portu. Pēc tam klients izveido savienojumu ar norādīto (NAT to atkal maldina, pārraida) un sesija izdodas. Papildus nepieciešamībai atbalstīt PASV režīmu FTP klientā (tā nav standarta ftp.exe), tas prasa arī zināmas pūles no FTP servera administratora puses - it īpaši, ja viņu daļēji bloķē arī ugunsmūri un NAT. (kā Eserv FTP izstrādātāju serveri zina šīs problēmas no pirmavotiem). Vispār šeit NAT nepalīdz pieslēgties, bet traucē.

Tagad par protokola rekonstrukciju NAT iekšienē, lai klientam būtu "caurspīdīgs", apejot problēmu. Tie daži NAT, kas to var izdarīt (lai gan praksē tie arī deklarē, nevis var, faktiski paceļas par vienu tīkla slāni uz augšu — vienkāršākās pakešu pārsūtīšanas vietā ar adreses tulkošanu galvenē viņi sāk darīt to pašu, ko dara TCP steka. - TCP komplektēšana- pakešu straume.Tādējādi tie pārvēršas no pārāk attīstīta maršrutētāja par mazattīstītu TCP lietojumprogrammu starpniekserveri.Šajā gadījumā FTP starpniekserveri vai FTP vārti.Nepietiekami attīstīts, jo klients nezina par šo starpniekserveri, un NAT savukārt turpina darboties. uzminēt protokolu un tikt galā ar uzdevumu, kuru ir neērti atrisināt tā līmenī (IP pakešu līmenī).

Šo uzdevumu ir daudz vieglāk atrisināt, ja NAT vietā vai papildus tam nekavējoties izmantojat specializētu starpniekserveri (FTP vārti) vai universālos TCP starpniekserveri, piemēram, Socks vai, galējā gadījumā, httpS (šis galējais gadījums tomēr, darbosies labāk nekā NAT). Viņi sākotnēji strādā TCP līmenī un nemaldina FTP klientu, bet sadarbojas ar to. Trīs problēmu slāņi pazūd uzreiz: FTP klients var izmantot jebkuru režīmu - aktīvo vai pasīvo (HTTPS tikai pasīvo, tāpat kā NAT), nav nepieciešams uzminēt protokolu un dubultu TCP montāžu. Turklāt administratoram ir lielākas iespējas ietekmēt procesu (vairāk par to vēlāk).

Ja klienta programma neprot strādāt caur speciālu starpniekserveri (tādu praktiski nav palicis, bet runāsim par sliktākajiem gadījumiem), tad, izmantojot Socks proxy, klienta darbu var padarīt caurspīdīgu arī izmantojot SocksCapture vai vietējās FreeCap programmas. Robežas caurspīdīgums vienmēr ir mānīšana, bet SocksCapture vai FreeCap nepārtver IP paketes, bet gan programmu izsaukumus uz OS, tāpēc viņi vienmēr precīzi zina, nevis izrēķina no pakešu straumes, tieši kādu darbību programma vēlas veikt. , un attiecīgi novirzīt šīs darbības, izmantojot Socks starpniekserveri.

NAT pret zeķēm

Tā kā mēs runājam par zeķēm, mums ir jāsaka daži vārdi par šo starpniekservera protokolu. Turklāt vēsturiski Socks bija nākamais līdzeklis, kā šķērsot robežu starp LAN un internetu pēc NAT: pirmais apskata raksts "kas ir zeķes" tika publicēts 1994. gada oktobrī, drīz parādījās Socks4 specifikācija (iepriekšējās "versijas" netika izmantotas jebkuri produkti) http://www.socks.nec.com/protocol/socks4a.protocol un tikai 5. versija 1996. gada martā bija gatava publicēšanai ietf kā RFC: http://www.ietf.org/ rfc/rfc1928.txt. Šim dokumentam ir krievu versija - tulkojumu veicis Aleksandrs Gorlačs, kurš toreiz (97. un 98.g.) strādāja mūsu uzņēmumā un piedalījās Eserv /2 izveidē, skat. Socks5.

Socks ir pārvarējis visus NAT ierobežojumus, kā arī pievienojis vismaz trīs ērtus rīkus, kas ļauj ne tikai "pārsūtīt" gandrīz jebkuru TCP un UDP protokolu, bet arī uzlabot interneta lietošanas kontroli no LAN:

1. Socks ne tikai apstrādā izejošos savienojumus, bet arī ļauj izveidot noklausīšanās ienākošās ligzdas starpniekserverī (BIND metode) pēc starpniekservera klienta pieprasījuma - tieši tas ir nepieciešams FTP un līdzīgiem tīkla protokoliem.
2. Socks4a un Socks5 ļauj noņemt klienta domēna nosaukumu atrisināšanas uzdevumu no klienta un darīt to tieši starpniekserverī. Tie. DNS serveris vai DNS kartēšana (caur NAT vai speciālu UDPMAP) kļūst nevajadzīga mašīnai LAN iekšienē, viena viņa rūpju "ķeksītis" tiek noņemta no administratora, plus, pateicoties DNS kešatmiņai serverī, klients strādā ātrāk.
3. Socks5 atbalsta dažādas iespējas skaidrai klienta autentifikācijai un autorizācijai. NAT draugus no svešiniekiem varēja atšķirt tikai pēc .

Bet Socks, lai gan tai ir uzlabota lietojamība salīdzinājumā ar NAT, joprojām ir universāla "programmējama kartēšana". Dažas NAT problēmas tajā palika neatrisinātas. Un tos nevar atrisināt zemā līmenī, neiedziļinoties konkrētā protokola detaļās. Tāpat kā, piemēram, tālrunis spēj pārraidīt cilvēka runu, bet nespēj to saprast un izfiltrēt ļaunprātīgu izmantošanu, tāpēc tie administratori, kuri vēlas pilnībā kontrolēt tīklā notiekošo, izmanto specializētus starpniekserverus.

NAT un specializētie starpniekserveri ar sistēmas administratora acīm

Atkal pirmais neliela atkāpe vēsturē. HTTP protokols tika izstrādāts 90. gadu sākumā (tā sauktā "versija 0.9"), un līdz 90. gadu vidum tas kļuva par interneta "slepkavas lietotni" — tādu, kurai sāka sazināties ne tikai zinātnieki un militārpersonas. internetam, bet arī "parastiem biznesmeņiem un lajiem". Attiecīgi ir nepieciešama standartizācija. 1996. gada maijā HTTP/1.0 specifikācija tika izlaista ar nozīmīgāko uzvaras numuru RFC:1945. Specifikācijas autori jau ir ņēmuši vērā interneta jaunās realitātes, t.sk. nepieciešamība pēc protokola starpniekservera LAN. Turklāt praksē HTTP pastāv jau vairāk nekā gadu un tam ir "pieredze starpniekserverīšanā". Tāpēc dokumentā ir veiktas nepieciešamās definīcijas un komentāri par starpniekserveriem, vārtiem un tuneļiem. Un patiesībā tur bija definēts ne tikai pats HTTP protokols (no parastā tīmekļa servera viedokļa), bet arī aprakstīti HTTP-proxy un HTTPS-proxy protokoli. "CONNECT" metode, kas tika ieviesta HTTP protokolā, lai nodrošinātu savienojumu ar drošiem HTTP serveriem, izmantojot starpniekserveri, tomēr ļāva neaprobežoties tikai ar 443. portu, bet gan norādīt jebkuru savienojuma portu. Tādējādi, saskaroties ar HTTPS starpniekserveri, mēs iegūstam citu "programmējamu TCP kartēšanu" jebkuram protokolam, lai gan ar daudz ierobežotākām iespējām nekā Socks5. HTTP starpniekserveris ir pavisam cits jautājums tā “vietējam” HTTP protokolam. Viņš to var apstrādāt, pilnībā zinot lietu - saglabāt kešatmiņu, filtrēt pēc URL un satura, ierobežot, maršrutēt, autorizēt utt. Bieži vien šīm darbībām ir nepieciešamas tādas netriviālas darbības TCP un citu OS komponentu līmenī, kas praktiski nav iespējamas NAT pakešu līmenī vai Socks aklā kartēšanā.

Tas pats attiecas uz jebkuru citu lietojumprogrammu protokolu, kuram ir specializēti starpniekserveri — tie vienmēr ir daudz vieglāk pārvaldāmi nekā parastie zema līmeņa protokoli. Piemēram, daudzi POP3 starpniekserveri ļauj filtrēt surogātpastu, piemēram, PopFile (lai gan daudz pareizāk ir filtrēt surogātpastu nevis starpniekserverī, bet gan SMTP serverī). Zeķes un NAT šim nolūkam būtu nepieciešamas īpašas prasmes izprast pārraidīto protokolu, t.i. patiesībā POP3 starpniekservera "emulācija" ar līdzekļiem, kas tam nav īpaši ērti.

Tāpēc var apsvērt Socks vai NAT izmantošanu darbam ar tiem protokoliem, kuriem ir specializēti starpniekserveri (HTTP, HTTPS, FTP, SMTP, POP3, IMAP) vai vispārpieņemto starpserveru arhitektūru (SMTP, POP3, IMAP, DNS). piespiedu neoptimāls risinājums. Piespiedu - vai nu no nespējas izmantot vēlamo starpniekservera veidu organizatorisku iemeslu dēļ (nav kur likt vēlamo starpniekservera veidu, vai arī savienojuma veids neparedz reālas IP adreses klātbūtni, kā tas ir gadījumā ar Internets caur GPRS vai mājas tīkla iespējas - šajos gadījumos NAT vai "forsed HTTP proxy" jau ir nodrošinātāja pusē), vai arī no nepietiekamas atbildīgo personu informētības, t.sk. admini. Neņemu vērā finansiālos ierobežojumus, jo visiem šiem protokoliem ir daudz iespēju bez maksas vai ļoti lēti starpniekserveriem.

Dažos gadījumos Socks5 izmantošana ir diezgan pamatota - piemēram, ICQ un citiem kurjeriem. Šiem protokoliem īpašie starpniekserveri vienkārši netiek izstrādāti, jo tie ir gandrīz neredzami uz vispārējā tīkla lietošanas fona. Ja nav LAN pasta serveris vai pop3/smtp starpniekserveris, nākamais kandidāts būs arī Socks5, lai gan tā atbalsts nav pieejams visos e-pasta klientos, un dažos tam ir nepārprotamas funkcijas (skatiet Mozilla ThunderBird).

Šķirojot opcijas, NAT būs "pēdējais līdzeklis" - ja nekas labāks netika atrasts vai ja NAT sākotnēji bija iestatījis pakalpojumu sniedzējs - kabeļa modemā, maršrutētājā, mobilajā savienojumā (šajos ir instalēts NAT dzelzs gabali, nevis īpašs starpniekserveris populāriem protokoliem tā pamata ieviešanas ārkārtējās vienkāršības dēļ: līdzīga NAT UDPMAP spraudņa avota kods Eproxy ir tikai 4Kb). Daži protokoli nedarbosies, būs grūti vadīt darbu. Bet šādos ekstrēmos gadījumos labāk vismaz kaut kā strādāt, nekā nestrādāt vispār.

Šeit ir detalizēts skaidrojums par manu labi zināmo pēdējo 8 gadu nostāju - "Eserv nekad nebūs NAT" Lielākajā daļā gadījumu NAT vai nu nav vajadzīgs, vai arī tas jau ir. Kā sods par pakalpojumu sniedzēja izvēli A, jūs varat izmantot iebūvēto Windows savienojumu koplietošanu, tas darbojas tieši tāpat kā NAT.

Skatiet arī "kruķi" NAT Microsoft vietnē: NAT traversal - NAT šķērsošana, izmantojot lietojumprogrammas adaptāciju, NAT/ugunsmūra konfigurācija, izmantojot UPnP. Ja frāzi NAT traversal dzirdat pirmo reizi, tas ir tāpēc, ka izstrādātāji plāksteriem dod priekšroku Socks5, nevis kruķiem, un šī iniciatīva nav saņēmusi "koda atbalstu". Bet raksts ir labs savām bildēm (atšķirībā no manas un cita neatkarīga NAT problēmu apraksta.

NAT, ICS jau ir iebūvēts visās jaunajās Windows versijās

Visā Windows versijas izdots kopš 1999. gada, NAT ir iekļauts. Vispirms ar nosaukumu ICS (Internet Connection Sharing — savienojuma koplietošana), bet vēlāk ar savu NAT nosaukumu. Šeit ir dialoglodziņš, lai iespējotu NAT operētājsistēmā Windows 2003 (izmantojot "Maršrutēšana un attālā piekļuve" system32rrasmgmt.msc).

Operētājsistēmā Windows XP interneta savienojuma rekvizītos ir iespējots NAT/ICS.

Ja tiek parādīts ziņojums "Nevar atļaut koplietot. Kļūda: 1722: RPC serveris nav pieejams." ("Nevar iespējot koplietojamo piekļuvi. Kļūda: 1722: RPC serveris nav pieejams."), visticamāk, esat apturējis vai atspējojis DHCP klienta pakalpojumu, tas ir jāsāk pirms ICS iespējošanas.

NAT ar Linux nodrošinātāja sistēmas administratora acīm

(Papildinājums datēts ar 2004. gada 6. jūliju - pirmā atbilde uz rakstu. Tāpat kā rakstā par FireWall, dosim vārdu īstam sistēmas administratoram

Citāts Ja salīdzinām darbu caur NAT ar reālo, tad man līdz šim problēmas ar NAT ir bijušas tikai ar balss, video un failu pārsūtīšanu tādās programmās kā MSN Messenger. Varbūt dažās NAT implementācijās ir problēmas arī ar aktīvo ftp, savienojumu ar ārējiem VPN serveriem utt., Bet, strādājot caur NAT operētājsistēmā Linux (ar atbilstošiem iestatījumiem), ar to nav problēmu. NAT priekšrocība šajā gadījumā ir IP adrešu un ugunsmūra saglabāšana.

Ja salīdzinām NAT ar starpniekserveri (kā veids, kā piekļūt internetam, t.i., pāradresēt pieprasījumus, neņemot vērā kešatmiņas funkcijas, URL parsēšanu utt.), tad NAT darbojas. vairāk lietotņu un protokoli (visi); nav nepieciešams NAT īpaši iestatījumi lietotājs; starpniekserveris ir prasīgāks pret aparatūru. Starpniekserveri parasti nenodrošina galamērķa NAT (DNAT) funkcionalitāti, lai gan programmā Eserve varat panākt daļēju DNAT līdzību, izmantojot tcp / udp kartēšanu. Citāta beigas.

Šis citāts parāda, ka pakalpojumu sniedzējiem ir arī ļoti atšķirīgas prasības no administratoriem uzņēmumos.

atpakaļsaites
rakstus
ugunsmūris
MxServer
NCSI
WhatIsProxyServer

Jau sen nav jaunums, ka ar IP tīkla adresēm visām ierīcēm, kuras vēlas būt internetā, nepietiek. Šobrīd izeja no šīs situācijas ir atrasta, izstrādājot IPv6 protokolu, kurā adreses garums ir 128 biti, kamēr pašreizējais IPv4 ir tikai 32 biti. Taču 2000. gadu sākumā viņi atrada citu risinājumu – izmantot tīkla adrešu tulkojumu, saīsināti kā nat. Tālāk rakstā tiks veikts nat iestatījums maršrutētājā.

Maršrutētāja iestatījumu izvēlnes ievadīšana

Kā piemēru ņemsim ZyWALL USG un NXC5200 sērijas ZyXEL maršrutētāju.

Vispirms dodieties uz maršrutētāja iestatījumiem. Lai to izdarītu, jebkurā tīmekļa pārlūkprogrammā adreses joslā ierakstiet 192.168.1.1. (maršrutētāja standarta adrese), parādīsies logs, kurā jums būs jāievada pieteikumvārds un parole.

Laukā "Lietotājvārds" ierakstiet admin, laukā "Parole" ievadiet 1234. Noklikšķiniet uz "OK".

Nat iestatīšana maršrutētājā

Atvērtajā izvēlnes logā dodieties uz cilni "Konfigurācija" (ikona ar diviem zobratiem), pēc tam uz "Tīkls", pēc tam uz "Maršrutēšana". Atlasītajā logā dodieties uz cilni "Politikas maršrutēšana".

ZyXEL maršrutētāja iestatījumu izvēlne

V šī izvēlne maršrutēšanas politikas konfigurēšana. Apgabalā “Kritēriji” mēs iestatām satiksmes atlases kritērijus - kāda veida trafiku nepieciešams pārraidīt (faktiski konfigurēt nat) un kāda veida trafiku vienkārši maršrutēt. Satiksmi var izvēlēties pēc vairākiem kritērijiem:

1. Lietotājs (Lietotājs);
2. Pēc saskarnes (ienākošie);
3. Pēc avota IP adreses (avota adrese);
4. Pēc adresāta IP adreses (Destination Address);
5. Pēc mērķa ostas (pakalpojums).

Apgabalā "Nākamais aplēciens" piešķiriet objektu trafika novirzīšanai:

ZyXEL maršrutētāja novirzīšanas objekta atlase

Kur "Auto" - satiksme tiks novirzīta uz noklusējuma globālo saskarni; Vārteja – uz iestatījumos norādīto vārtejas adresi; VPN tunelis — IPSec virtuālais privātais tunelis; Trunk - maršruts uz "stumbru", kur "stumbrs" ir vairākas saskarnes, kas konfigurētas darbam kopā vai redundances režīmā; Interfeiss — novirzīt uz norādīto interfeisu:

Ir svarīgi atcerēties nospiest pogu “OK” ikreiz, kad veicat izmaiņas maršrutētāja iestatījumos, lai saglabātu iestatījumus, nevis vienkārši aizvērtu tīmekļa pārlūkprogrammu.

Nat iestatīšana datorā

Kā zināms, personālais dators var kalpot arī kā maršrutētājs. Bieži vien ir situācija, kad datortīkls ir no vairākiem datoriem, no kuriem vienam ir pieejams internets. Šajā situācijā jūs nevarat iegādāties maršrutētājus vispār, bet iestatīt datoru ar piekļuvi internetam kā maršrutētāju un konfigurēt jau tajā esošo nat. Apsvērsim šādu gadījumu sīkāk.

Nepieciešams galvenajā datorā, kas skatās internetu (sauksim to par SERVER), tika iestatīts uz 2 tīkla kartes- pirmais, lai izveidotu savienojumu ar vietējo tīklu, otrais ar pakalpojumu sniedzēju. Piemērā tiks izmantota darbība Windows sistēma Serveris 2012.

Lai konfigurētu, vispirms palaidiet "Servera pārvaldnieku" (Sākt -\u003e Administratīvie rīki -\u003e Servera pārvaldnieks). Parādīsies iestatījumu logs:

No šejienes mēs pārvaldīsim savu serveri. Lai turpinātu konfigurēšanu, noklikšķiniet uz Pievienot lomas un līdzekļus, kas atvērs lomu pievienošanas vedņa logu. Pirmais solis - uzstādīšanas veids:

Nākamajā logā mums ir jāatlasa loma, kuru instalējam serverī. Atzīmējiet izvēles rūtiņu blakus "Attālā piekļuve".

Tiks parādīts šāds logs, kurā tiek parādīts darbībai nepieciešamo komponentu saraksts. Noklikšķiniet uz "Pievienot komponentus", šis logs pazudīs. Noklikšķiniet uz "Tālāk".

Nākamajā logā vednis piedāvā pievienot servera komponentus. Jums nekas nav jāmaina, noklikšķiniet uz "Tālāk".

Uz nākamā lapaspuse vednis vienkārši informē mūs par lomas "Attālā piekļuve" darbību. Noklikšķiniet uz "Tālāk".

Nākamais solis ir izvēlēties "Lomu pakalpojumi". Atzīmējiet ķeksīti pirms "Maršrutēšana", noklikšķiniet uz "Tālāk".

Nākamais logs atkal ir informatīvs, jums nekas nav jāatlasa, bet varat atzīmēt izvēles rūtiņu blakus “Automātiska restartēšana atlasītajā serverī ...”, kā rezultātā serveris pēc instalēšanas automātiski restartēsies. Bet to var izdarīt arī manuāli. Noklikšķiniet uz "Tālāk".

Un pēdējais solis ir tiešā servera instalēšana. Kad esat pabeidzis, noklikšķiniet uz pogas "Aizvērt".

Servera uzstādīšana

Tātad, mēs esam konfigurējuši datoru, kas ir savienots ar internetu servera režīmā. Tagad jums tajā jākonfigurē nat.

Dodieties uz Sākt / Administratīvie rīki / Maršrutēšana un attālā piekļuve. Parādītajā logā kreisajā pusē atrodam vienumu “SERVER (lokāli)”, ar peles labo pogu noklikšķiniet uz tā un nolaižamajā izvēlnē noklikšķiniet uz “Konfigurēt un iespējot maršrutēšanu un attālo piekļuvi”.

Parādīsies maršrutēšanas un attālās piekļuves servera konfigurācijas vednis, kurā mēs konfigurēsim nat.

Pirmajā lapā mēs esam īsi iepazīstināti ar vedni - noklikšķiniet uz "Tālāk". Nākamais solis ir izvēlēties vienu no pakalpojumiem, kas darbosies šis serveris. Atlasiet Network Address Translation (NAT) un noklikšķiniet uz Tālāk.

Pēc tam vednis lūgs jums izvēlēties tīkla savienojumu, kas aplūko internetu. Sarakstā būs abas tīkla kartes (vismaz atkarībā no tā, cik daudz no tām ir instalētas serverī). Izvēlieties to, ar kuru esat izveidojis savienojumu tīkla kabelis pakalpojumu sniedzējs. Noklikšķiniet uz "Tālāk".

Nākamajā logā vednis sāks zvērēt, ka nevar to atklāt lokālais tīkls DHCP vai DNS pakalpojumi. Ir divas iespējas, kā turpināt — iespējot pamatpakalpojumus vai instalēt pakalpojumus vēlāk.

Izvēlieties pirmo vienumu, noklikšķiniet uz "Tālāk". Nākamajā lapā es jūs informēšu, kurā diapazonā nat darbosies. Iestatīšanas vednis automātiski atlasa šo diapazonu, pamatojoties uz lokālajam tīklam pievienotā tīkla savienojuma konfigurāciju. Noklikšķiniet uz "Tālāk".

nat diapazons

Tas arī viss, iestatīšanas vednis pabeidz nat iestatīšanu. Noklikšķiniet uz "Tālāk" un nākamajā logā "Pabeigt".

Pēdējā lieta, kas atliek, ir konfigurēt klientu datorus, tas ir, visus citus datorus lokālajā tīklā. Lai to izdarītu, klienta datorā (tas būs jādara katrā tīkla datorā) dodieties uz Sākt / Vadības panelis / Tīkla un koplietošanas centrs / mainiet adaptera iestatījumus. Mēs ejam uz "Tīkla savienojumi". Ar peles labo pogu noklikšķiniet uz ikonas un nolaižamajā izvēlnē atlasiet "Properties". Parādītajā logā atlasiet "Internet Protocol version 4 (TCP / IPv4)", noklikšķiniet uz "Properties".

Aiz "Galvenās vārtejas" ierakstām servera datora IP adresi (kas tika konfigurēta pēdējā solī), laukā "Priekšvēlētais DNS serveris" ierakstām internetā norādītā pakalpojumu sniedzēja DNS servera IP adresi. savienojuma informācija serverī. Noklikšķiniet uz "OK" un vēlreiz uz "OK". Viss, klienta dators ir savienots ar internetu.

Maršrutētāja (maršrutētāja) darbības princips

Lasot šo rakstu, es domāju, ka visi saprot, kas ir rūteris un kāpēc tas ir vajadzīgs, bet vai kāds ir domājis, kā tas darbojas? Šajā rakstā es mēģināšu pastāstīt maršrutētāja pamatprincipus vispieejamākajā valodā. Šis raksts būs noderīgs gan sistēmas administratoriem, gan parastajiem lietotājiem.

Galvenā funkcija, kas darbojas jebkurā maršrutētājā, ir NAT

NAT- Tīkla adrešu tulkošana tiek izmantota, lai aizstātu IP adreses. Vietējos tīklos galvenokārt tiek izmantotas adreses, piemēram, 192.168.1.XXX vai līdzīgas, un tas rada maršrutēšanas problēmu globālajā internetā, jo IP adreses tīklā nedrīkst dublēt. Šīs problēmas risinājums ir NAT – lokālā tīkla datori pieslēdzas maršrutētāja lokālajam interfeisam, saņem no tā IP adreses un vārteju (maršrutētājs kalpo kā vārteja), un maršrutētāja WAN interfeiss pieslēdzas internetam.

Tagad apsveriet NAT tulkošanas principu:

• Pieprasījums tiek veikts no jebkura datora lokālajā tīklā, piemēram, jūs mēģināt doties uz jebkuru vietni - dators nosūta dots pieprasījums uz vārtejas, tas ir, mūsu maršrutētāja, adresi;
• Maršrutētājs, saņemot šo pieprasījumu, ieraksta jūsu datoru kā savienojuma iniciatoru, pēc tam tiek izveidota jūsu paketes kopija un nosūtīta uz galamērķa adresi, bet jau maršrutētāja vārdā un ar tā IP adresi un jūsu pakete tiek vienkārši iznīcināta;
• Serveris, kuram tika nosūtīts pieprasījums, to apstrādā un nosūta atbildi, protams, uz maršrutētāja adresi. Un maršrutētājs to jau gaidīja, jo izveidoja ierakstu, ka uz jūsu datora pieprasījumu jānāk atbildei, un nosūta to uz jūsu datoru. Kā redzat, saskaņā ar šo shēmu tikai dators no lokālā tīkla var būt savienojuma iniciators, un atbilde no servera nonāks līdz datoram tikai tad, ja maršrutētājs to gaidīs (atbilde uz pieprasījumu). Citiem vārdiem sakot, visi mēģinājumi izveidot savienojumu no ārpuses apstāsies pie maršrutētāja un būs veiksmīgi tikai tad, ja maršrutētājs nodrošinās resursu pieprasītajā portā vai tajā ir konfigurēti portu pāradresācijas noteikumi, par kuriem mēs tagad runāsim.

Portu pārsūtīšana

Portu pārsūtīšana- tas būtībā ir tas pats, kas NAT, bet otrā virzienā, un tāpēc tikai statisks NAT, tas ir, noteikti pieprasījumi tikai noteiktiem datoriem, jo ​​globālajā tīklā viņi nevar zināt IP adreses aiz maršrutētāja. Piemēram, jūs savā datorā esat izveidojis FTP vai HTTP serveri un vēlaties nodrošināt piekļuvi šiem resursiem, šim nolūkam maršrutētājā jāreģistrē šis noteikums, kas norādīs, ka visas ienākošās paketes vēlamajā portā (21 vai 80 mūsu gadījumā) tiks pārsūtīts uz mūsu datora IP adresi noteiktā portā (portu var mainīt).

NAT-DMZ

NAT-DMZ- tas ir absolūti tas pats, kas Port Forwarding, bet ar atšķirību, ka jums nav jāraksta kārtula katram portam, jums vienkārši jākonfigurē NAT - DMZ, kas tiks pārsūtīts uz vēlamo datoru visi ienākošie pieprasījumi maršrutētāja WAN tīklā. Protams, jūs nevarat mainīt portus.

Maršrutēšana

Lai vienkāršotu priekšstatu par to, kas tas ir, mēs varam teikt, ka tas ir tāds pats kā NAT, bet tikai abos virzienos. Izmantojot šo shēmu, maršrutētājam ir jābūt vairāk nekā 2 LAN saskarnēm (nevis portiem, bet interfeisiem), ar dažādām adrešu telpām, piemēram, viens IP interfeiss ir 192.168.0.1, bet otrs ir 192.168.1.1. Tāpēc datori vienā tīklā saņems IP tipu 192.168.0.XXX, bet citā tīklā 192.168.0.XXX, un to vārtejas būs attiecīgi 192.168.0.1 un 192.168.1.1. Tādā veidā jūs iegūstat divvirzienu maršrutēšanu.

Neaizmirsti aizbraukt

Nav pietiekami daudz publisko IPv4 adrešu, lai piešķirtu unikālas adreses visām ierīcēm, kas savienotas ar internetu. Vairumā gadījumu tīkli tiek realizēti, izmantojot privātās IPv4 adreses saskaņā ar RFC 1918. Attēlā. 1. attēlā parādīts RFC 1918 iekļauto adrešu diapazons. Visticamāk, datoram, kurā pašlaik skatāties kursa materiālu, ir piešķirta privāta adrese.

Šīs privātās adreses tiek izmantotas organizācijā vai objektā, lai ierīces varētu sazināties lokāli. Taču, tā kā šīs adreses neidentificē konkrētu uzņēmumu vai organizāciju, privātas IPv4 adreses nevar izmantot maršrutēšanai internetā. Lai ierīce ar privātu IPv4 adresi varētu piekļūt ierīcēm un resursiem ārpus lokālā tīkla, privātā adrese vispirms ir jāpārveido par publisku adresi.

Kā parādīts attēlā. 2, NAT nodrošina privāto adrešu tulkošanu publiskās adresēs. Tas ļauj ierīcei ar privātu IPv4 adresi piekļūt resursiem ārpus tās privātā tīkla, tostarp resursiem, kas atrodami internetā. Kombinācijā ar privātām IPv4 adresēm NAT ir izrādījies noderīgs publisko IPv4 adrešu saglabāšanā. Vienu publisko IPv4 adresi var koplietot simtiem, pat tūkstošiem ierīču, katrai no kurām ir konfigurēta unikāla privātā IPv4 adrese.

Ja neizmantotu NAT, IPv4 adrešu telpa būtu izsmelta jau ilgi pirms 2000. gada. Neskatoties uz priekšrocībām, NAT ir vairāki ierobežojumi, kas tiks apspriesti sīkāk vēlāk šajā nodaļā. IPv4 adrešu telpas izsmelšanas un NAT ierobežojumu problēmas risinājums ir pēdējā pāreja uz IPv6.

NAT raksturojums

NAT tiek izmantots dažādiem mērķiem, taču šī mehānisma galvenais mērķis ir saglabāt publiskās IPv4 adreses. Tas tiek panākts, ļaujot tīkliem izmantot privātas IPv4 adreses iekšējai saziņai un tikai nepieciešamības gadījumā pārveidot tās par publiskām adresēm. Papildu NAT priekšrocība ir palielināta tīkla privātums un drošība, jo tas slēpj iekšējās IPv4 adreses no ārējiem tīkliem.

Ar NAT iespējotu maršrutētāju var konfigurēt ar vienu vai vairākām derīgām publiskām IPv4 adresēm. Šīs publiskās adreses ir pazīstamas kā NAT adrešu kopums. Kad iekšējā ierīce sūta trafiku ārpus tīkla, maršrutētājs ar NAT iespējotu ierīces iekšējo IPv4 adresi pārvērš publiskā adresē no NAT pūla. Ārējām ierīcēm visa trafika, kas ienāk tīklā un iziet no tā, izmanto publiskās IPv4 adreses no nodrošinātā adrešu kopas.

NAT maršrutētājs parasti darbojas stub tīkla malā. Stop tīkls ir tīkls, kas izmanto vienu savienojumu ar blakus esošo tīklu, vienu ienākošo un vienu izejošo maršrutu. Attēlā parādītajā piemērā R2 ir robežmaršrutētājs. No ISP viedokļa maršrutētājs R2 izveido stub tīklu.

Ja ierīcei, kas atrodas apakštīklā, ir nepieciešams savienojums ar ierīci ārpus tās tīkla, pakete tiek pārsūtīta uz malas maršrutētāju. Malas maršrutētājs veic NAT procesu, pārveidojot ierīces iekšējo privāto adresi par publisku, ārējo, maršrutējamu adresi.

Piezīme. Savienojuma izveidei ar ISP tīklu var izmantot arī privātu adresi vai publisku adresi, ko koplieto ISP klienti. Aplūkojamās tēmas ietvaros kā piemērs ir dota publiskā uzruna.

NAT terminoloģijā "iekšējais tīkls" attiecas uz tulkošanā iesaistīto tīklu kopumu. Termins "ārējais tīkls" attiecas uz visiem citiem tīkliem.

Izmantojot NAT, IPv4 adreses ir dažādi galamērķi atkarībā no tā, vai tās atrodas privātā vai publiskā tīklā (internetā) un vai trafika ir ienākošā vai izejošā.

NAT ir 4 veidu adreses:

• iekšējā vietējā adrese;

• iekšējā globālā adrese;

• ārējā vietējā adrese;

• ārējā globālā adrese.

Nosakot, kuru adreses veidu izmantot, ir svarīgi atcerēties, ka NAT terminoloģija vienmēr tiek lietota no ierīces viedokļa, kurā adrese tiek atrisināta:

• Iekšējā adrese ir ierīces adrese, ko atrisina NAT mehānisms.

• Ārējā adrese ir mērķa ierīces adrese.

NAT ietvaros lokalitātes vai globalitātes jēdziens tiek lietots arī saistībā ar adresēm:

• Vietējā adrese ir jebkura adrese, kas parādās tīkla iekšpusē.

• Globālā adrese ir jebkura adrese, kas parādās tīkla ārpusē.

Attēlā PC1 iekšējā vietējā adrese ir 192.168.10.10. No PC1 viedokļa tīmekļa serveris izmanto ārējo adresi 209.165.201.1. Kad paketes no PC1 tiek sūtītas uz tīmekļa servera globālo adresi, PC1 iekšējā vietējā adrese tiek pārtulkota uz 209.165.200.226 (iekšējā globālā adrese). Ārējās ierīces adrese parasti netiek tulkota, jo šī adrese parasti jau ir publiska IPv4 adrese.

Ņemiet vērā, ka PC1 izmanto dažādas vietējās un globālās adreses, un tīmekļa serveris abos gadījumos izmanto vienu un to pašu publisko IPv4 adresi. No tīmekļa servera viedokļa šķiet, ka datplūsma no PC1 nāk no 209.165.200.226, iekšējās globālās adreses.

NAT maršrutētājs (attēlā R2) ir robežpunkts starp iekšējo un ārējo tīklu, kā arī starp lokālajām un globālajām adresēm.

Termini "iekšējais" un "ārējais" tiek lietoti kopā ar terminiem "lokāls" un "globāls", atsaucoties uz konkrētām adresēm. Attēlā R2 ir konfigurēts, lai izmantotu NAT mehānismu. Tas izmanto iekšējiem resursdatoriem piešķirto publisko adrešu kopu.

• Iekšējā vietējā adrese ir avota adrese, kas redzama no iekšējā tīkla. Attēlā datoram PC1 ir piešķirta IPv4 adrese 192.168.10.10. Šī ir PC1 iekšējā vietējā adrese.

• Iekšējā globālā adrese ir avota adrese, kas redzama no ārējā tīkla. Attēlā, kad PC1 nosūta trafiku uz tīmekļa serveri ar numuru 209.165.201.1, R2 pārvērš iekšējo vietējo adresi iekšējā globālajā adresē. Šajā gadījumā R2 maina sākotnējo IPv4 adresi no 192.168.10.10 uz 209.165.200.226. NAT terminoloģijā iekšējā vietējā adrese 192.168.10.10 nozīmē iekšējo globālo adresi 209.165.200.226.

• Ārējā globālā adrese ir galamērķa adrese, kas redzama no ārējā tīkla. Šī ir globāli maršrutējama IPv4 adrese, kas piešķirta resursdatoram internetā. Piemēram, tīmekļa serveris ir pieejams ar IPv4 adresi 209.165.201.1. Vairumā gadījumu ārējā lokālā un ārējā globālā adrese ir vienāda.

• Ārējā vietējā adrese ir galamērķa adrese, kas redzama no iekšējā tīkla. Šajā piemērā PC1 nosūta trafiku uz tīmekļa serveri ar IPv4 adresi 209.165.201.1. Retos gadījumos šī adrese var atšķirties no globāli maršrutējamās galamērķa adreses.

Attēlā parādīts, kā tiek adresēta trafika, kas tiek sūtīta no iekšējā datora uz ārējo tīmekļa serveri, izmantojot maršrutētāju ar iespējotu NAT. Tas arī parāda, kā reversā trafika sākotnēji tiek risināta un pārveidota.

Piezīme. Ārējās lokālās adreses izmantošana ir ārpus šīs apmācības darbības jomas.

NAT tīkla adrešu tulkošanas veidi

Ir trīs tīkla adrešu tulkošanas mehānismi:

• Statiskā tīkla adrešu tulkošana (statiskā NAT) ir savstarpēja sarakste starp vietējām un globālajām adresēm.

• Dinamiskā tīkla adrešu tulkošana (dinamiskā NAT) ir adrešu kartēšana no daudziem pret daudziem starp vietējām un globālajām adresēm.

• Portu adrešu tulkošana (PAT) ir daudz pret vienu adrešu kartēšana starp vietējām un globālajām adresēm. Šī metode sauc arī par pārslodzi (NAT ar pārslodzi).

Statiskā tīkla adrešu tulkošana (NAT)

Statiskais NAT izmanto vietējo un globālo adrešu kartēšanu viens pret vienu. Šīs kartēšanas ir iestatījis tīkla administrators, un tās paliek nemainīgas.

Attēlā maršrutētājs R2 ir konfigurēts ar statisku kartējumu iekšējām lokālajām adresēm Svr1, PC2 un PC3. Kad šīs ierīces nosūta trafiku uz internetu, to iekšējās lokālās adreses tiek pārtulkotas uz norādītajām iekšējām globālajām adresēm. Ārējiem tīkliem šīs ierīces izmanto publiskās IPv4 adreses.

Statiskā tīkla adrešu tulkošanas metode ir īpaši noderīga tīmekļa serveriem vai ierīcēm, kurām ir nepieciešama pastāvīga adrese, kas pieejama no interneta, piemēram, uzņēmuma tīmekļa serveris. Statiskais NAT ir piemērots arī ierīcēm, kurām jābūt pieejamām pilnvarotam personālam, kas strādā ārpus biroja, taču joprojām ir slēgts sabiedrībai. publiska pieeja izmantojot internetu. Piemēram, tīkla administrators var SSH ievadīt Svr1 iekšējo globālo adresi (209.165.200.226) no PC4. Maršrutētājs R2 pārvērš šo iekšējo globālo adresi iekšējā vietējā adresē un savieno administratora sesiju ar Svr1.

Statiskajam NAT ir nepieciešams pietiekami daudz publisko adrešu, lai tās būtu pieejamas kopējam vienlaicīgu lietotāju sesiju skaitam.

Dinamiskais NAT

Dinamiskā tīkla adrešu tulkošana (Dynamic NAT) izmanto publisko adrešu kopu, kas tiek piešķirtas rindas kārtībā. Kad iekšējā ierīce pieprasa piekļuvi ārējam tīklam, dinamiskais NAT piešķir pieejamo publisko IPv4 adresi no kopas.

Attēlā PC3 piekļūst internetam, izmantojot pirmo pieejamo adresi dinamiskajā NAT pūlā. Citas adreses joprojām ir pieejamas lietošanai. Līdzīgi kā statiskajam NAT, dinamiskajam NAT ir nepieciešams pietiekami daudz publisko adrešu, lai atbalstītu kopējo vienlaicīgo lietotāju sesiju skaitu.

Portu adrešu tulkošana (PAT)

To sauc arī par NAT pārslodzi, vairākas privātās IPv4 adreses kartē uz vienu vai vairākām publiskām IPv4 adresēm. Šo metodi ievieš lielākā daļa mājas maršrutētāju. ISP maršrutētājam piešķir vienu adresi, bet vairāki ģimenes locekļi var piekļūt internetam vienlaikus. Ielādētais NAT ir visizplatītākā tīkla adrešu tulkošanas metode.

Izmantojot šo metodi, vairākas adreses var saistīt ar vienu vai vairākām adresēm, jo ​​katra privātā adrese tiek izsekota arī ar porta numuru. Kad ierīce sāk TCP/IP sesiju, tā izveido TCP vai UDP porta vērtību, lai avots unikāli identificētu sesiju. Kad NAT maršrutētājs saņem paketi no klienta, tas izmanto sava avota porta numuru, lai unikāli identificētu konkrētu NAT tulkojumu.

PAT nodrošina, ka ierīces izmanto dažādus TCP porta numurus katrai sesijai, kurā tās sazinās ar serveri internetā. Kad atbilde tiek atgriezta no servera, avota porta numurs, kas kļūst par galamērķa porta numuru atpakaļizlikšanā, nosaka, uz kuru ierīci maršrutētājs pārsūta atbilstošās paketes. PAT process arī nodrošina, ka ienākošās paketes patiešām tika pieprasītas, tādējādi palielinot sesijas drošību.

Lai vadītu animāciju, izmantojiet attēlā redzamās pogas Atskaņot un Pauze.

Animācija ilustrē portu adrešu tulkošanas (PAT) procesu. Lai atšķirtu tulkojumus, PAT mehānisms iekšējai globālajai adresei pievieno unikālus avota porta numurus.

Tā kā R2 apstrādā katru paketi, tas izmanto porta numuru (šajā piemērā 1331 un 1555), lai identificētu ierīci, no kuras pakete nākusi. Avota adrese (SA) ir iekšējā vietējā adrese, kas pievienota piešķirtajam TCP/IP porta numuram. Galamērķa adrese (DA) ir ārējā vietējā adrese ar pievienotu pakalpojuma porta numuru. Šajā piemērā pakalpojuma ports ir 80: HTTP.

Avota adresei R2 pārvērš iekšējo vietējo adresi iekšējā globālajā adresē ar pievienotu porta numuru. Galamērķa adrese nemainās, bet tagad tā kļūst par ārējo globālo IP adresi. Kad tīmekļa serveris atbild, ceļš tiek šķērsots vēlreiz, tikai apgrieztā secībā.

Iepriekšējā piemērā klienta porta numuri 1331 un 1555 maršrutētājā ar iespējotu NAT netika mainīti. Šis scenārijs nav ļoti ticams, jo, visticamāk, šie portu numuri jau tiek izmantoti citām aktīvajām sesijām.

PAT tulkojums mēģina saglabāt oriģinālā avota portu. Gadījumā, ja sākotnējā avota ports jau tiek izmantots, PAT piešķir pirmo pieejamo porta numuru, sākot no atbilstošās portu grupas sākuma - 0-511, 512-1023 vai 1024-65535. Ja vairs nav pieejami porti un adrešu pūlā ir vairākas ārējās adreses, PAT pāriet uz nākamo adresi, mēģinot piešķirt sākotnējā avota portu. Šis process turpinās, līdz tiek izsmelti gan pieejamie porti, gan ārējās IP adreses.

Lai uzzinātu, kā darbojas PAT, noklikšķiniet uz pogas Atskaņot attēlā.

Animācijā mezgli izvēlas vienu un to pašu porta numuru 1444. Tas attiecas uz iekšējo adresi, jo mezgliem tiek piešķirtas unikālas privātās IP adreses. Bet maršrutētājā ar NAT atbalstu ir jāmaina portu numuri. Pretējā gadījumā paketes no diviem dažādiem mezgliem izietu no R2 ar vienu un to pašu avota adresi. Šajā piemērā PAT process piešķir nākamo pieejamo portu (1445) otrajai resursdatora adresei.

NAT un PAT salīdzinājums

Tālāk norādītās atšķirības starp NAT un PAT palīdzēs jums izprast katras šīs tīkla adrešu tulkošanas metodes specifiku.

Kā parādīts attēlā, NAT pārveido IPv4 adreses, pamatojoties uz 1:1 shēmu privātām IPv4 adresēm un publiskajām IPv4 adresēm. Tajā pašā laikā PAT maina gan adresi, gan porta numuru.

NAT pārsūta ienākošās paketes uz to iekšējo galamērķi, izmantojot ienākošā avota IPv4 adresi, ko nodrošina resursdators publiskajā tīklā. Lietojot PAT, parasti tikai viens vai neliels daudzums publiski uzrādītas IPv4 adreses. Ienākošās paketes no publiskā tīkla tiek maršrutētas uz galamērķiem privātajā tīklā, izmantojot maršrutētāja NAT tabulu. Šī tabula seko publisko un privāto portu pāriem, ko sauc par savienojuma izsekošanu.

Iepakojumi bez slāņa 4 segmenta

Kas notiek ar IPv4 paketēm, kas nes datus, kas nav TCP vai UDP segments? Šīs paketes nesatur 4. slāņa porta numuru. PAT pārvērš lielāko daļu IPv4 protokolu, kuros netiek izmantots TCP vai UDP, par transporta slāņa protokolu. Visizplatītākais starp šiem protokoliem ir ICMPv4 protokols. PAT konvertēšanas process katru no šiem protokoliem apstrādā atšķirīgi. Piemēram, ICMPv4 pieprasījuma ziņojumos, atbalss pieprasījumos un atbalss atbildēs ir ietverts pieprasījuma identifikators (vaicājuma ID). ICMPv4 izmanto pieprasījuma identifikatoru (vaicājuma ID), lai noteiktu atbalss pieprasījumu ar atbilstošo atbalss atbildi. Pieprasījuma ID tiek palielināts ar katru nosūtīto atbalss pieprasījumu. PAT izmanto pieprasījuma ID, nevis 4. slāņa porta numuru.

Piezīme. Citos ICMPv4 ziņojumos vaicājuma ID netiek izmantots. Šie ziņojumi un citi protokoli, kas neizmanto TCP un UDP portu numurus, var atšķirties un nav apskatīti šajā apmācībā.

NAT iestatīšana

Statiskā NAT konfigurēšana

Statiskais NAT ir savstarpēja kartēšana starp iekšējām un ārējām adresēm. Statiskais NAT ļauj ārējām ierīcēm izveidot savienojumu ar iekšējām ierīcēm, izmantojot statiski piešķirtu publisko adresi. Piemēram, iekšējais tīmekļa serveris var tikt kartēts uz iekšējo globālo adresi, kas definēta kā pieejama no ārējiem tīkliem.

Uz att. 1. attēlā parādīts iekšējais tīkls, kurā ir tīmekļa serveris ar privātu IPv4 adresi. Statiskais NAT ir konfigurēts uz R2, lai nodrošinātu piekļuvi tīmekļa serverim ierīcēm no ārējā tīkla (interneta). Klients no ārējā tīkla piekļūst tīmekļa serverim, izmantojot publisko IPv4 adresi. Statiskais NAT pārvērš publisko IPv4 adresi privātā IPv4 adresē.

Statiskā NAT iestatīšanai ir divi galvenie uzdevumi.

1. darbība. Pirmais uzdevums ir izveidot kartējumu starp iekšējo vietējo adresi un iekšējo globālo adresi. Piemēram, attēlā. 1 iekšējā vietējā adrese 192.168.10.254 un iekšējā globālā adrese 209.165.201.5 ir konfigurēta kā statisks NAT.

2. darbība Pēc kartēšanas konfigurēšanas saskarnes, kas piedalās tulkošanā, tiek konfigurētas kā NAT iekšpusē vai ārpusē. Šajā piemērā R2 Serial 0/0/0 ir iekšējais interfeiss, un Serial 0/1/0 ir ārējais interfeiss.

Paketes, kas nonāk R2 iekšējā saskarnē (Serial 0/0/0) no konfigurētās iekšējās lokālās IPv4 adreses (192.168.10.254), tiek pārveidotas un pēc tam pārsūtītas uz ārējo tīklu. Paketes, kas nonāk R2 ārējā saskarnē (Serial 0/1/0), kas paredzētas konfigurētajai iekšējai globālajai IPv4 adresei (209.165.201.5), tiek pārtulkotas uz iekšējo lokālo adresi (192.168.10.254) un pēc tam pārsūtītas uz iekšējo tīklu.

Uz att. 2. tabulā ir uzskaitītas komandas, kas nepieciešamas statiskā NAT iestatīšanai.

Uz att. 3. attēlā ir parādītas komandas, kas nepieciešamas, lai izveidotu statisku NAT kartēšanu uz R2 tīmekļa serverim atsauces topoloģijā. Parādītajā konfigurācijā R2 pārvērš 192.168.10.254 paketēs, kas nosūtītas no tīmekļa servera uz publisko IPv4 adresi 209.165.201.5. Interneta klients novirza tīmekļa pieprasījumus uz publisko IPv4 adresi 209.165.201.5. Maršrutētājs R2 pārsūta šo trafiku uz tīmekļa serveri 192.168.10.254.

Izmantojiet sintakses pārbaudītāju (skatiet 4. attēlu), lai konfigurētu neobligāto statisko NAT ierakstu R2.

Šis attēls parāda statiskās NAT tulkošanas procesu starp klientu un tīmekļa serveri, izmantojot iepriekšējo konfigurāciju. Statiskā kartēšana parasti tiek izmantota, ja klientiem ārējā tīklā (internetā) ir jāsazinās ar serveriem iekšējā tīklā.

1. Klientam ir nepieciešams izveidot savienojumu ar tīmekļa serveri. Klients nosūta paketi uz tīmekļa serveri, izmantojot publisko IPv4 mērķa adresi 209.165.201.5. Šī ir tīmekļa servera iekšējā globālā adrese.

2. Pirmā pakete R2, ko saņem no klienta savā ārējā NAT saskarnē, liek R2 pārbaudīt savu NAT tabulu. Mērķa IPv4 adrese ir NAT tabulā, un maršrutētājs attiecīgi veic tulkojumu.

3. R2 aizstāj iekšējo globālo adresi 209.165.201.5 ar iekšējo vietējo adresi 192.168.10.254. Pēc tam R2 pārsūta paketi uz tīmekļa serveri.

4. Web serveris saņem paketi un atbild klientam, izmantojot iekšējo lokālo adresi 192.168.10.254.

5a. R2 savā iekšējā NAT saskarnē saņem paketi no tīmekļa servera ar avota adresi, kas atbilst tīmekļa servera iekšējai vietējai adresei — 192.168.10.254.

5b. R2 pārbauda NAT tabulu, lai redzētu, vai iekšējai vietējai adresei ir tulkojums. Šī adrese ir redzama NAT tabulā. R2 apgrieztā kartē avota adresi uz iekšējo globālo adresi 209.165.201.5 un pārsūta paketi klientam, izmantojot Serial 0/1/0 interfeisu.

6. Klients saņem paku un turpina dialogu. NAT maršrutētājs katrai paketei veic 2.–5.b darbību (6. darbība nav parādīta).

Statiskā NAT pārbaude

Lai pārbaudītu NAT darbību, izmantojiet komandu rādīt ip nat tulkojumus. Šī komanda parāda aktīvos NAT tulkojumus. Atšķirībā no dinamiskajiem tulkojumiem, statiskie tulkojumi vienmēr ir pieejami NAT tabulā. Uz att. 1. attēlā parādīta šīs komandas izvade iepriekšējā konfigurācijas piemērā. Tā kā piemērs ir statiska konfigurācija, tulkojums vienmēr ir pieejams NAT tabulā neatkarīgi no aktīvajām mijiedarbībām. Ja komanda tiek ievadīta aktīvās sesijas laikā, izvadē būs arī ārējās ierīces adrese, kā parādīts 1. attēlā. viens.

Vēl viena noderīga komanda ir rādīt ip nat statistiku. Kā parādīts attēlā. 2, komanda rādīt ip nat statistiku

Lai pārliecinātos, ka NAT tulkojums darbojas pareizi, pirms testēšanas ieteicams notīrīt visu iepriekšējo tulkojumu statistiku, izmantojot komandu notīrīt ip nat statistiku.

Pirms mijiedarbības ar tīmekļa serveri, komanda rādīt ip nat statistiku nevajadzētu rādīt nevienu sakritību. Pēc tam, kad klients izveido sesiju ar tīmekļa serveri, komandas rezultāts rādīt ip nat statistiku parādīs spēļu skaita pieaugumu līdz 5. Tas apstiprina, ka ir veikta statiskā NAT uz R2.

Dinamiskā NAT konfigurēšana

Lai gan statiskais NAT nodrošina pastāvīgu kartēšanu starp iekšējo vietējo adresi un iekšējo globālo adresi, dinamiskais NAT atbalsta automātisku iekšējo lokālo adrešu kartēšanu ar iekšējām globālajām adresēm. Šīs iekšējās globālās adreses parasti ir publiskas IPv4 adreses. Dinamiskais NAT tulkošanai izmanto publisko IPv4 adrešu grupu vai kopu.

Dinamiskais NAT, tāpat kā statiskais NAT, prasa NAT tulkošanā iesaistīto iekšējo un ārējo saskarņu konfigurēšanu. Tomēr, lai gan statiskais NAT izveido pastāvīgu kartējumu vienai adresei, dinamiskais NAT izmanto adrešu kopu.

Piezīme. Tulkošana starp publiskajām un privātajām IPv4 adresēm ir visizplatītākā NAT lietojumprogramma. Tomēr NAT tulkojumi var notikt starp jebkuru adrešu pāri.

Atsauces topoloģijā, kas parādīta attēlā, iekšējais tīkls izmanto adreses no privātās adrešu telpas, kas definēta RFC 1918. Divi LAN ir savienoti ar R1, 192.168.10.0/24 un 192.168.11.0/24. Edge maršrutētājs R2 ir konfigurēts dinamiskam NAT, izmantojot publisko IPv4 adrešu kopu no 209.165.200.226 līdz 209.165.200.240.

Publisko IPv4 adrešu kopums (iekšējo globālo adrešu kopums) ir pieejams jebkurai iekšējā tīkla ierīcei rindas kārtībā. Dinamiskais NAT pārvērš vienu iekšējo adresi vienā ārējā adresē. Šāda veida tulkošanai pūlā ir jābūt pietiekami daudz adrešu, lai aptvertu visas iekšējās ierīces, kurām vienlaikus jāpiekļūst ārējam tīklam. Ja tiek izmantotas visas pūlā esošās adreses, ierīcei jāgaida pieejama adrese, lai piekļūtu ārējam tīklam.

Uz att. parāda darbības un komandas, kas tiek izmantotas dinamiskā NAT iestatīšanai.

1. darbība. Ar komandu ip nat baseins norādiet adrešu kopu, kas tiks izmantota tulkošanai. Šis adrešu kopums parasti ir publisko adrešu grupa. Šīs adreses tiek noteiktas, norādot pūla sākuma un beigu IP adreses. Atslēgvārds tīkla maska vai prefiksa garums norāda, kuri adreses biti ir specifiski tīklam un kuri biti ir resursdatora adrešu diapazoni.

2. darbība Iestatiet standarta ACL, lai definētu (atļautu) tikai tās adreses, kuras ir jātulko. ACL ar pārāk daudzām atļaujām komandām var radīt neparedzamus rezultātus. Atcerieties, ka katra ACL beigās ir rinda visu noliegt.

3. darbība Saistiet ACL ar baseinu. Komanda ip nat avotu sarakstāpiekļuves saraksta numursnumuru kopumsbaseina nosaukums izmanto, lai saistītu sarakstu ar pūlu. Šo konfigurāciju maršrutētājs izmanto, lai noteiktu, kuras ierīces ( sarakstu) iegūt kuras adreses ( baseins).

4. darbība Nosakiet, kuras saskarnes ir iekšējas NAT, t.i. jebkura saskarne, kas savienota ar iekšējo tīklu.

5. darbība Nosakiet, kuras saskarnes ir ārpus NAT, t.i. jebkura saskarne, kas savienota ar ārēju tīklu.

Uz att. 2 parāda topoloģijas un atbilstošās konfigurācijas piemēru. Šī konfigurācija nodrošina tulkošanu visiem resursdatoriem tīklā 192.168.0.0/16, kurā ir LAN 192.168.10.0 un 192.168.11.0, kad saimniekdatori ģenerē trafiku, kas ienāk uz S0/0/0 un no S0/1/0. Šo mezglu adreses tiek tulkotas pieejamās kopas adresēs diapazonā no 209.165.200.226 līdz 209.165.200.240.

Uz att. 3 parāda sintakses pārbaudītāja konfigurēšanai izmantoto topoloģiju. Izmantojiet sintakses pārbaudītāju attēlā. 4, lai iestatītu dinamisko NAT uz R2.

Dinamiskā NAT analīze

Šie attēli ilustrē dinamiskās NAT tulkošanas procesu starp diviem klientiem un tīmekļa serveri, izmantojot iepriekšējo konfigurāciju.

Uz att. 1 parāda satiksmes plūsmu no iekšpuses uz āru.

1. Hosts ar avota IPv4 adresēm (192.168.10.10 (PC1) un 192.168.11.10 (PC2)) nosūta paketes, pieprasot savienojumu ar serveri uz publisko IPv4 adresi (209.165.200.254).

2. Maršrutētājs R2 saņem pirmo paketi no resursdatora 192.168.10.10. Tā kā šī pakete tika saņemta interfeisā, kas konfigurēts kā iekšējais NAT interfeiss, R2 pārbauda NAT konfigurāciju, lai noteiktu, vai pakete ir jātulko. ACL atļauj šo paketi, tāpēc R2 veic tajā transformāciju. Maršrutētājs R2 pārbauda savu NAT tabulu. Tā kā norādītajai IP adresei nav tulkošanas ierakstu, R2 nolemj, ka avota adresei 192.168.10.10 ir nepieciešams dinamisks tulkojums. Maršrutētājs R2 izvēlas pieejamo globālo adresi no dinamisko adrešu kopas un izveido tulkošanas ierakstu - 209.165.200.226. Sākotnējā avota IPv4 adrese (192.168.10.10) ir iekšējā vietējā adrese, un tulkošanai izmantotā adrese ir iekšējā globālā adrese (209.165.200.226) NAT tabulā.

R2 atkārto procedūru otrajam resursdatoram — 192.168.11.10, izvēloties nākamo pieejamo globālo adresi no dinamiskās adrešu kopas un izveidojot otru tulkošanas ierakstu — 209.165.200.227.

3. R2 aizstāj PC1 iekšējo lokālā avota adresi (192.168.10.10) ar iekšējo globālo adresi, ko izmanto tulkošanai (209.165.200.226), un pārsūta paketi. Tādas pašas darbības tiek veiktas PC2 nosūtītajai paketei, tulkošanai izmantojot PC2 atbilstošo adresi (209.165.200.227).

1. att

Uz att. 2 parāda satiksmes plūsmu no ārpuses uz iekšpusi.

4. Serveris saņem paketi no PC1 un atbild, izmantojot mērķa IPv4 adresi 209.165.200.226. Saņemot otro paketi, serveris atbild ar PC2, izmantojot mērķa IPv4 adresi 209.165.200.227.

5a. Saņemot paketi ar galamērķa IPv4 adresi 209.165.200.226, R2 veic uzmeklēšanu NAT tabulā. Izmantojot tabulas atbilstību, R2 pārvērš adresi atpakaļ uz iekšējo vietējo adresi (192.168.10.10) un pārsūta PC1 paketi.

5b. Saņemot paketi ar galamērķa IPv4 adresi 209.165.200.227, R2 veic uzmeklēšanu NAT tabulā. Izmantojot tabulas atbilstību, R2 pārvērš adresi atpakaļ uz iekšējo vietējo adresi (192.168.11.10) un pārsūta PC2 paketi.

6. PC1 ar adresi 192.168.10.10 un PC2 ar adresi 192.168.11.10 saņemt paketes un turpināt sarunu. NAT maršrutētājs katrai paketei veic 2.-5.b darbību (attēlos 6. darbība nav parādīta).

2. att

Pārbauda dinamisko NAT

Komandu rezultāti rādīt ip nat tulkojumus attēlā parādīts. 1 satur informāciju par diviem iepriekšējiem NAT uzdevumiem. Komanda parāda visus konfigurētos statisko adrešu tulkojumus un visus dinamiskos tulkojumus, kas izveidoti trafika apstrādes rezultātā.

Atslēgvārda pievienošana runīgs parāda papildu informāciju par katru transformāciju, tostarp laiku, kas pagājis kopš ieraksta izveides un izmantošanas.

Pēc noklusējuma reklāmguvumu ierakstu derīguma termiņš beidzas pēc 24 stundām, ja vien taimera iestatījums nav mainīts, izmantojot komandu ip nat tulkošanas taimautstaimauta sekundes globālajā konfigurācijas režīmā.

Lai noņemtu dinamiskos ierakstus pirms to derīguma termiņa beigām, izmantojiet globālā konfigurācijas režīma komandu skaidrs ip nat tulkojums. Veicot NAT konfigurācijas pārbaudi, ieteicams noņemt dinamiskos ierakstus. Kā parādīts tabulā, šo komandu var izmantot kopā ar atslēgvārdiem un mainīgajiem, lai noteiktu, kuri ieraksti ir jānoņem. Konkrētus ierakstus var dzēst, lai izvairītos no aktīvo sesiju avārijas. Lai noņemtu visas transformācijas no tabulas, izmantojiet globālās konfigurācijas komandu notīrīt ip nat tulkojumu *.

Piezīme. No tabulas tiek noņemtas tikai dinamiskās transformācijas. Statiskos reklāmguvumus nevar noņemt no reklāmguvumu tabulas.

Kā parādīts, komanda rādīt ip nat statistiku parāda informāciju par kopējo aktīvo tulkojumu skaitu, NAT konfigurācijas iestatījumiem, adrešu skaitu pūlā un piešķirto adrešu skaitu.

Alternatīvi varat izmantot komandu parādīt darbības konfigurāciju un atrodiet NAT, ACL, interfeisa vai pūla komandas ar vēlamās vērtības. Uzmanīgi izpētiet rezultātus un izlabojiet visas atrastās kļūdas.

Portu adrešu tulkošanas (PAT) konfigurēšana

Porta adrešu tulkošana PAT (pazīstama arī kā NAT pārslodze) saglabā adreses iekšējā globālajā pūlā, ļaujot maršrutētājam izmantot vienu iekšējo globālo adresi vairākām iekšējām lokālajām adresēm. Citiem vārdiem sakot, vienu publisko IPv4 adresi var izmantot simtiem vai pat tūkstošiem iekšējo IPv4 privāto adrešu. Ja šāda veida tulkošana ir konfigurēta, maršrutētājs saglabā pietiekami daudz augstāka slāņa protokola informācijas, piemēram, TCP vai UDP portu numurus, lai pārvērstu iekšējo globālo adresi atpakaļ uz pareizo iekšējo vietējo adresi. Ja vairākas iekšējās lokālās adreses tiek kartētas uz vienu iekšējo globālo adresi, TCP vai UDP porta numuri tiek izmantoti, lai atšķirtu vietējās adreses.

Piezīme. Kopējais iekšējo adrešu skaits, ko var pārvērst par vienu ārējo adresi, teorētiski var sasniegt 65 536 uz vienu IP adresi. Bet iekšējo adrešu skaits, kurām var piešķirt vienu IP adresi, ir aptuveni 4000.

Atkarībā no tā, kā jūsu ISP piešķir publiskās IPv4 adreses, ir divi veidi, kā iestatīt PAT. Pirmajā gadījumā ISP piešķir organizācijai vairākas publiskas IPv4 adreses, bet otrajā gadījumā tiek piešķirta viena publiskā IPv4 adrese, nepieciešamo organizāciju lai izveidotu savienojumu ar ISP tīklu.

PAT konfigurēšana publiskam IP adrešu kopumam

Ja objektam ir piešķirtas vairākas publiskas IPv4 adreses, šīs adreses var būt daļa no PAT izmantotā pūla. Tas ir līdzīgi dinamiskajam NAT, izņemot to, ka nav pietiekami daudz publisko adrešu, lai izveidotu savstarpēju atbilstību starp iekšējām un ārējām adresēm. Nelielu adrešu kopu koplieto liels skaits ierīču.

Uz att. 1. attēlā parādītas darbības, lai konfigurētu PAT, lai izmantotu adrešu kopu. Galvenā atšķirība starp šo konfigurāciju un dinamiskā viens pret vienu NAT konfigurāciju ir atslēgvārda izmantošana pārslodze. Atslēgvārds pārslodzeļauj strādāt PAT.

Attēlā parādītās konfigurācijas piemērs. 2 izveido pārslodzes transformāciju NAT pūlam ar nosaukumu NAT-POOL2. NAT-POOL2 satur adreses no 209.165.200.226 līdz 209.165.200.240. Transformācijas objekti ir tīkla 192.168.0.0/16 mezgli. S0/0/0 interfeiss ir definēts kā iekšējais interfeiss, un S0/0/0 interfeiss ir definēts kā ārējais interfeiss- interfeiss S0/1/0.

Izmantojiet sintakses pārbaudītāju attēlā. 3, lai iestatītu PAT uz R2, izmantojot adrešu kopu.

PAT konfigurēšana vienai publiskai IPv4 adresei

Uz att. 1. attēlā parādīta PAT ieviešanas topoloģija vienas publiskas IPv4 adreses tulkošanai. Šajā piemērā visi resursdatori tīklā 192.168.0.0/16 (atbilst ACL 1), kas sūta trafiku uz internetu, izmantojot R2, tiks tulkoti uz IPv4 adresi 209.165.200.225 (interfeisa S0/1/0 IPv4 adrese). . Satiksmes plūsmas tiks noteiktas pēc portu numuriem NAT tabulā, kā tā tika izmantota pārslodze.

Uz att. 2. attēlā parādītas darbības, kas jāveic, lai iestatītu PAT ar vienu IPv4 adresi. Ja ir pieejama tikai viena publiskā IPv4 adrese, pārslodzes konfigurācija parasti tiek iestatīta uz ārējā interfeisa publisko adresi, kas savieno ar ISP. Visas iekšējās adreses paketēs, kas atstāj ārējo interfeisu, tiek tulkotas vienā IPv4 adresē.

1. darbība. Definējiet ACL, kas ļauj tulkot trafiku.

2. darbība Pielāgojiet avota transformāciju, izmantojot atslēgvārdus saskarne un pārslodze. Atslēgvārds saskarne norāda interfeisa IP adresi, kas jāizmanto iekšējā adreses tulkošanā. Atslēgvārds pārslodze liek maršrutētājam sekot līdzi katra NAT ieraksta portu numuriem.

3. darbība Norādiet NAT iekšējās saskarnes. Šī ir jebkura saskarne, kas savienota ar iekšējo tīklu.

4. darbība Norādiet saskarni, kas ir ārēja NAT. Tam ir jābūt tam pašam interfeisam, kas norādīts avota transformācijas ierakstā 2. darbībā.

Šī konfigurācija ir līdzīga dinamiskajam NAT, izņemot to, ka ārējās IPv4 adreses noteikšanai adrešu kopas vietā tiek izmantots atslēgvārds. saskarne. Tādējādi NAT pūls nav definēts.

Izmantojiet sintakses pārbaudītāju, lai iestatītu PAT uz R2, izmantojot vienu adresi.

PAT analīze

NAT tulkošanas process ar pārslodzi ir tāds pats, ja tiek izmantots adrešu kopums, kā tad, ja tiek izmantota viena adrese. Turpinot ar iepriekšējo PAT piemēru, izmantojot vienu publisku IPv4 adresi, PC1 ir nepieciešams izveidot savienojumu ar Svr1 tīmekļa serveri. Tajā pašā laikā citam klientam PC2 ir jāizveido līdzīga sesija ar Svr2 tīmekļa serveri. Gan PC1, gan PC2 ir konfigurēti ar privātām IPv4 adresēm, un R2 ir iespējots PAT.

Pakešu pārsūtīšanas process no datoriem uz serveriem

1. Attēlā. 1. attēlā parādīts PC1 un PC2, kas nosūta pakešu attiecīgi uz serveriem Svr1 un Svr2. PC1 izmanto IPv4 adresi 192.168.10.10 un avota TCP portu 1444. PC2 izmanto avota IPv4 adresi 192.168.10.11 un nejauši to pašu avota TCP portu 1444.

2. PC1 pakete vispirms sasniedz R2. Izmantojot PAT, R2 maina avota IPv4 adresi uz 209.165.200.225 (iekšējā globālā adrese). NAT tabulā nav citu ierīču, kas izmanto portu 1444, tāpēc PAT saglabā to pašu porta numuru. Pēc tam pakete tiek pārsūtīta uz Svr1 serveri uz 209.165.201.1.

3. Tālāk maršrutētājā R2 pienāk pakete no PC2. PAT iestatījums nodrošina, ka visos tulkojumos tiek izmantota viena iekšējā globālā IPv4 adrese — 209.165.200.225. Līdzīgi kā PC1 tulkošanas procesā, PAT maina PC2 avota IPv4 adresi uz iekšējo globālo adresi 209.165.200.225. Tomēr šī PC2 pakete izmanto avota porta numuru jau pašreizējā PAT ierakstā, kas nodrošina PC1 tulkojumu. PAT palielina avota porta numuru, līdz tā vērtība šajā tabulā ir unikāla. Šajā gadījumā avota porta ierakstam NAT tabulā un paketei no PC2 tiek piešķirts numurs 1445.

Lai gan PC1 un PC2 izmanto vienu un to pašu tulkoto adresi, iekšējo globālo adresi 209.165.200.225 un to pašu avota porta numuru 1444, mainītais PC2 porta numurs (1445) padara katru ierakstu NAT tabulā unikālu. Tas kļūst acīmredzams, kad serveri nosūta atpakaļ paketes klientiem.

Pakešu pārsūtīšanas process no serveriem uz datoriem

4. Kā parādīts attēlā. 2, tipiskā klienta-servera apmaiņā serveri Svr1 un Svr2 atbild uz pieprasījumiem, kas saņemti attiecīgi no datoriem PC1 un PC2. Serveri izmanto saņemtās paketes avota portu kā galamērķa portu atgriešanai un avota adresi kā galamērķa adresi. Serveri darbojas tā, it kā tie sazinātos ar vienu resursdatoru 209.165.200.225, bet tā nav.

5. Saņemot paketes, R2 atrod unikālu ierakstu NAT tabulā, izmantojot katras paketes mērķa adresi un mērķa portu. Kad tiek saņemta pakete no Svr1, IPv4 mērķa adresei 209.165.200.225 ir vairāki ieraksti, bet tikai vienā no tiem ir 1444. mērķa ports. Izmantojot šo tabulas ierakstu, R2 maina paketes mērķa IPv4 adresi uz 192.168.10.10. Šajā gadījumā galamērķa porta maiņa nav nepieciešama. Pēc tam pakete tiek nosūtīta uz PC1.

6. Saņemot paketi no Svr2, R2 veic līdzīgu konvertēšanu. Maršrutētājs atkal atrod IPv4 galamērķa adresi 209.165.200.225 ar vairākiem ierakstiem. Tomēr, izmantojot mērķa portu 1445, R2 var unikāli identificēt transformācijas ierakstu. Galamērķa IPv4 adrese tiek mainīta uz 192.168.10.11. Šajā gadījumā arī galamērķa ports ir jāmaina atpakaļ uz sākotnējo vērtību 1444, kas saglabāta NAT tabulā. Pēc tam pakete tiek nosūtīta uz PC2.

PAT pārbaude

Maršrutētājs R2 ir konfigurēts, lai nodrošinātu PAT klientiem no 192.168.0.0/16 tīkla. Kad iekšējie resursdatori sasniedz internetu, izmantojot R2, to adreses tiek tulkotas IPv4 adresē no PAT pūla ar unikālu avota porta numuru.

PAT pārbaudei tiek izmantotas tās pašas komandas kā statiskā un dinamiskā NAT pārbaudei, kā parādīts 1. attēlā. 1. Komanda rādīt ip nat tulkojumus izvada tulkojumus trafikam no diviem dažādiem saimniekiem uz dažādiem tīmekļa serveriem. Ņemiet vērā, ka diviem dažādiem iekšējiem resursdatoriem ir piešķirta viena un tā pati IPv4 adrese 209.165.200.226 (iekšējā globālā adrese). Avota porta numuri tiek izmantoti NAT tabulā, lai atšķirtu abas transakcijas.

Kā parādīts attēlā. 2, komanda rādīt ip nat statistikuļauj pārbaudīt, vai NAT-POOL2 pūlam ir piešķirta viena adrese abiem tulkojumiem. Komandas izpildes rezultāts satur informāciju par aktīvo tulkojumu skaitu un veidu, NAT iestatījumiem, adrešu skaitu pūlā un piešķirto adrešu skaitu.

NAT jeb tīkla adrešu tulkošana ir veids, kā pārplānot vienu adrešu telpu citā, mainot tīkla adreses informāciju interneta protokolā vai IP. Pakešu galvenes mainās, kamēr tās tiek sūtītas caur maršrutēšanas ierīcēm. Sākotnēji šī metode tika izmantota, lai ērtāk pārsūtītu trafiku IP tīklos bez nepieciešamības numurēt katru resursdatoru. Tas ir kļuvis par svarīgu un populāru rīku globālās adrešu telpas piešķiršanai un uzturēšanai, saskaroties ar nopietnu IPv4 adrešu trūkumu.

Kas ir NAT?

Tīkla adrešu tulkošanas izmantošana ir katras adreses kartēšana no vienas adrešu telpas uz adresi, kas atrodas citā adrešu telpā. Tas var būt nepieciešams, ja ir mainījies pakalpojuma sniedzējs un lietotājam nav iespējas publiski paziņot par jaunu maršrutu tīklā. Kopš 90. gadu beigām NAT tehnoloģija arvien vairāk tiek izmantota globālās adrešu telpas izsīkuma kontekstā. Parasti šī tehnoloģija tiek izmantota kopā ar IP šifrēšanu. IP šifrēšana ir metode vairāku IP adrešu pārvietošanai vienā vietā. Šis mehānisms ir ieviests maršrutēšanas ierīcē, kas izmanto statusa tulkošanas tabulas, lai kartētu slēptās adreses ar vienu IP adresi. Tas arī novirza visas izejošās IP paketes izejā. Tādējādi šķiet, ka šīs paketes atstāj maršrutēšanas ierīci. Reversās saites atbildes tiek kartētas uz avota IP adresi, izmantojot tulkošanas tabulās saglabātās kārtulas. Savukārt tulkošanas tabulas pēc neilga laika tiek notīrītas, ja satiksme neatjaunina savu stāvokli. Šis ir NAT pamatmehānisms. Ko tas nozīmē? Šī tehnoloģija ļauj organizēt saziņu caur maršrutētāju tikai tad, ja savienojums notiek šifrētā tīklā, jo tādējādi tiek izveidotas tulkošanas tabulas. Šādā tīklā tīmekļa pārlūkprogramma var skatīt vietni ārpus tā, taču, ja tā ir instalēta ārpus tā, tā nevar atvērt tajā mitināto resursu. Lielākā daļa NAT ierīču mūsdienās ļauj tīkla administratoram konfigurēt tulkošanas tabulas ierakstus pastāvīgai lietošanai. Šo līdzekli bieži dēvē par portu pāradresāciju vai statisku NAT. Tas ļauj datplūsmai, kas rodas "ārējā" tīklā, sasniegt norādītos saimniekdatorus šifrētajā tīklā. Tā kā IPv4 adrešu telpas saglabāšanai izmantotā metode ir populāra, termins NAT ir kļuvis gandrīz par sinonīmu šifrēšanas metodei. Tā kā tīkla adrešu tulkošana maina IP pakešu adrešu informāciju, tas var nopietni ietekmēt savienojuma kvalitāti. Tāpēc ir jāpievērš īpaša uzmanība visām ieviešanas detaļām. NAT izmantošanas veidi atšķiras viens no otra ar to specifisko uzvedību dažādās situācijās, kas saistītas ar ietekmi uz tīkla trafiku.

Pamata NAT

Vienkāršākais NAT veids ļauj tulkot viens pret vienu IP adreses. Galvenais šī tulkojuma veids ir RFC-2663. Šajā gadījumā tiek mainītas tikai IP adreses, kā arī IP virsrakstu kontrolsumma. Varat izmantot pamata tulkošanas veidus, lai savienotu divus IP tīklus, kuriem ir nesaderīga adrese.

Lielākā daļa NAT veidu spēj kartēt vairākus privātos resursdatorus ar vienu publiski norādītu IP adresi. Vietējais tīkls tipiskā konfigurācijā izmanto vienu no apakštīklam piešķirtajām "privātajām" IP adresēm. Šajā tīklā maršrutētājam ir privāta adrese kosmosā. Maršrutētājs arī izveido savienojumu ar internetu, izmantojot ISP piešķirto "publisko adresi". Tā kā trafika izcelsme ir no vietējā interneta, avota adrese katrā paketē tiek tulkota no privātās uz publisko. Maršrutētājs arī seko pamatdatiem par katru aktīvo savienojumu. Jo īpaši tas attiecas uz tādu informāciju kā adrese un galamērķa osta. Kad atbilde tiek atgriezta, tā izmanto savienojuma datus, kas tiek saglabāti izejošā posma laikā. Tas ir nepieciešams, lai noteiktu iekšējā tīkla privāto adresi, uz kuru jānosūta atbilde. Šīs funkcionalitātes galvenā priekšrocība ir tā, ka tā ir praktisks risinājums problēmai, kas saistīta ar IPv4 adrešu telpas izsīkšanu. Pat lielus tīklus var savienot ar internetu ar vienu IP adresi. Visām pakešu datagrammām IP tīklos ir divas IP adreses - tā ir avota adrese un galamērķa adrese. Paketēm, kas ceļo no privātā tīkla uz publisko tīklu, būs pakešu avota adrese, kas mainās, pārejot no publiskā tīkla uz privāto tīklu. Iespējamas arī sarežģītākas konfigurācijas.

NAT iestatīšanas iezīmes

NAT iestatīšanai var būt noteiktas funkcijas. Var būt nepieciešamas papildu izmaiņas, lai izvairītos no grūtībām, kas saistītas ar atgriezto paku tulkošanu. Lielākā daļa interneta trafika tiks veikta, izmantojot UDP un TCP protokolus. To numuri tiek mainīti tā, ka IP adreses un portu numuri sāk sakrist, kad dati tiek nosūtīti atpakaļ. Protokoliem, kuru pamatā nav UDP vai TCP, ir nepieciešamas citas tulkošanas metodes. Parasti ICMP vai interneta ziņojumu pārvaldības protokols pārsūtīto informāciju korelē ar pieejamo savienojumu. Tas nozīmē, ka tie ir jāparāda, izmantojot to pašu IP adresi un numuru, kas sākotnēji tika iestatīts. Kas jāņem vērā? NAT iestatīšana maršrutētājā nenodrošina tam pilnīgu savienojumu. Šī iemesla dēļ šādi maršrutētāji nevar piedalīties dažos interneta protokolos. Pakalpojumi, kuriem nepieciešams uzsākt TCP savienojumus no ārēja tīkla vai lietotājiem, kuri nav protokola lietotāji, var vienkārši nebūt pieejami. Ja maršrutētājs neveic NAT īpašas pūles lai atbalstītu šādus protokolus, ienākošās paketes, iespējams, nekad nesasniegs galamērķi. Dažus protokolus var ievietot vienā tulkojumā starp iesaistītajiem saimniekiem, dažreiz izmantojot lietojumprogrammas slāņa vārteju. Tomēr savienojums netiks izveidots, ja abas sistēmas ir atdalītas no interneta ar NAT. Turklāt NAT izmantošana sarežģī tunelēšanas protokolus, piemēram, IPsec, jo tas maina vērtības galvenēs, kas mijiedarbojas ar pieprasījuma integritātes pārbaudēm.

NAT: esošā problēma

Interneta pamatprincips ir savienojums no gala līdz galam. Tā pastāv kopš tās pirmsākumiem. Pašreizējais tīkla stāvoklis tikai pierāda, ka NAT ir pārkāpums šis princips. Profesionālajā vidē pastāv nopietnas bažas, kas saistītas ar plašo tīkla adrešu tulkošanas izmantošanu IPv6. Tādējādi šodien tiek aktualizēts jautājums, kā šo problēmu novērst. Tā kā tulkošanas stāvokļa tabulas NAT maršrutētājos pēc būtības nav mūžīgas, iekšējā tīkla ierīces ļoti īsā laika periodā zaudē IP savienojumu. Mēs nedrīkstam aizmirst par šo apstākli, runājot par to, kas NAT ir maršrutētājā. Tas ievērojami samazina kompakto ierīču darbības laiku, kas darbojas ar baterijām un uzlādējamām baterijām.

Mērogojamība

NAT arī uzrauga tikai tos portus, kurus iekšējās lietojumprogrammas, kas izmanto vairākus vienlaicīgus savienojumus, var ātri izsmelt. Tā var būt HTTP pieprasījumi lapām, kurās ir daudz iegultu objektu. Šo problēmu var mazināt, papildus portam sekojot līdzi IP adresei galamērķos. Tādējādi vienu vietējo portu var koplietot liels skaits attālo saimniekdatoru.

NAT: dažas komplikācijas

Tā kā visas iekšējās adreses tiek maskētas kā viena un tā pati publiskā adrese, ārējie resursdatori nevar izveidot savienojumu ar noteiktu iekšējo resursdatoru, neiestatot īpašu ugunsmūra konfigurāciju. Šai konfigurācijai ir jānovirza savienojumi uz noteiktu portu. IP telefonijas, video konferenču un līdzīgu pakalpojumu lietojumprogrammām, lai tās normāli darbotos, ir jāizmanto NAT šķērsošanas metodes. Rapti tulkošanas ports Atgriešanās adreseļauj resursdatoram, kura IP adrese laiku pa laikam mainās, palikt pieejamam kā serverim, izmantojot fiksētu mājas tīkla IP adresi. Tam principā vajadzētu ļaut serverus konfigurēt, lai saglabātu savienojumu. Lai gan šis risinājums nav ideāls, tas var būt vēl viens noderīgs rīks tīkla administratora arsenālā, risinot problēmas, kas saistītas ar NAT konfigurēšanu maršrutētājā.

PAT vai ostas adreses tulkošana

Portu adrešu tulkošana ir Cisco Rapt implementācija, kas kartē vairākas privātās IP adreses kā vienu publisku. Tādējādi vairākas adreses var kartēt kā adresi, jo katra no tām tiek izsekota ar porta numuru. PAT izmanto unikālus avota portu numurus iekšējā globālajā IP, lai atšķirtu datu pārsūtīšanas virzienu. Šie skaitļi ir 16 bitu veseli skaitļi. Kopējais iekšējo adrešu skaits, ko var pārtulkot vienā ārējā adresē, teorētiski var sasniegt pat 65536. Patiesībā portu skaits, kuriem var piešķirt vienu IP adresi, ir aptuveni 4000. PAT, kā likums, cenšas saglabāt oriģinālo "oriģinālo" portu. Ja tas jau tiek izmantots, Port Address Translation piešķir pirmo pieejamo porta numuru, sākot ar atbilstošās grupas sākumu. Ja vairs nav pieejami porti un ir vairāk nekā viena ārējā IP adrese, PAT pāriet uz nākamo, lai piešķirtu avota portu. Šis process turpināsies, līdz beigsies pieejamie dati. Cisco pakalpojums parāda adresi un portu. Tas apvieno IPv4 pakešu tulkošanas porta adresi un tunelēšanas datus iekšējā IPv6 tīklā. Faktiski šī ir alternatīva Carrier Grade NAT un DS-Lite, kas atbalsta portu un adrešu IP tulkošanu. Tas ļauj izvairīties no problēmām, kas saistītas ar savienojuma izveidi un uzturēšanu. Tas nodrošina arī pārejas mehānismu IPv6 izvietošanai.

Tulkošanas metodes

Ir vairāki pamata veidi, kā ieviest tīkla adrešu un portu tulkošanu. Dažiem lietojumprogrammu protokoliem ir jānosaka ārējā NAT adrese, kas tiek izmantota savienojuma otrā galā. Tāpat bieži ir nepieciešams izpētīt un klasificēt pārraides veidu. Parasti tas tiek darīts, jo ir vēlams izveidot tiešu saikni starp diviem klientiem aiz atsevišķiem NAT. Šim nolūkam tika izstrādāts īpašs protokols RFC 3489, kas nodrošina vienkāršu UPD apiešanu caur NATS. Tas jau šodien tiek uzskatīts par novecojušu, jo šodien šādas metodes tiek uzskatītas par nepietiekamām, lai pareizi novērtētu ierīču darbību. 2008. gadā tika izstrādāts RFC 5389, kas standartizēja jaunas metodes. Šo specifikāciju šodien sauc par sesijas iziešanu. Viņa pārstāv īpaša lietderība, kas paredzēts NAT darbībai.

Divvirzienu saites izveide

Katra UDP un TCP pakete satur avota IP adresi un tās porta numuru, kā arī galamērķa porta koordinātas. Porta numurs ir ļoti svarīgs publisko pakalpojumu, piemēram, pasta servera funkcionalitātes, saņemšanai. Tā, piemēram, 25. ports savienojas ar pasta servera SMTP, bet 80. ports savieno ar programmatūra tīmekļa serveris. Nozīmīga ir arī publiskā servera IP adrese. Šiem parametriem ir jābūt droši zināmiem tiem mezgliem, kuri plāno izveidot savienojumu. Privātām IP adresēm ir nozīme tikai lokālajos tīklos.