Son yıllarda, Rus ağ yöneticileri arasında FireWall modası ve NAT... Eserv kullanıcıları 90'lı yılların ortalarından beri bu teknolojilere karşı tavrımı biliyorlardı ancak bazen FireWall / NAT ile ilgili bu tür sorular yeni başlayanlar tarafından soruluyor ve kendimi tekrar etmem gerekiyor. Bu nedenle, yaklaşık bir yıl önce Güvenlik Duvarı hakkında ayrı bir makale yazdım ve bugün NAT sırası.
epigraf
28.12.2005 tarihinde eklendi. Google, NAT sorununun güzel bir özetini verdi: "Evlerde ve ofislerde giderek daha popüler hale gelen NAT cihazları, birden fazla makinenin tek bir İnternet adresini paylaşmasına izin veriyor. Sonuç olarak, sesli sohbet gibi eşlerin iletişim kurmasını gerektiren uygulamalar için giderek daha zor hale geliyor. eşler arası bağlantı güvenilir bir şekilde kurmak için doğrudan birbirinize hitap edin." (Evlerde ve ofislerde popülaritesi artan NAT cihazları, birden fazla makinenin bir internet adresi. Sonuç olarak, uygulamalar gibi sesli sohbet tarafların doğrudan adreslenmesini gerektiren, güvenilir bağlantılar oluşturmak giderek zorlaşıyor noktadan noktaya.)Belge içindekiler
NAT'ın Tarihçesi
İlk olarak, internette proxy / geçit / tünel oluşturma ihtiyacının ortaya çıkış tarihi hakkında birkaç kelime, daha sonra farklı yaklaşımların olasılıkları ve bunların "hiyerarşisi" daha net hale gelecektir. Bildiğiniz gibi, 90'lı yılların başlarında 4 baytlık bir adres alanındaki IP adresleri eksikliği (artı bazı şirketlerde adres bloklarını kiralamak için para sıkıntısı) tahmin edildi. Bu nedenle, Mart 1994'te adres "segmentasyonu" üzerinde anlaştık. " ortak alan - yerel ağlar için belirli IP adresi aralıkları için tahsis ve bu IP adreslerinin İnternette kullanımdan hariç tutulması (http://www.ietf.org/rfc/rfc1597.txt Mart 1994 Özel İnternetler için Adres Tahsisi; Bu belgenin amacına ilişkin alıntı "Yazarlar, bu yöntemlerin kullanılmasının adreslerin tahsisinde önemli tasarruflara yol açacağını umuyorlar"). Bu çözüm, şirketlerin İnternet sunucuları için küçük IP adresi blokları tahsis etmelerine izin verdi ve LAN içinde, kendi ihtiyaçları için IP adresleri, şirketlerin kendileri tarafından yerel ağ aralıklarından tahsis edildi. Sonuç olarak şirketin internet sunucularına (posta ve www/ftp) hem internetten hem de LAN'dan kolayca ulaşılabiliyordu ve LAN içindeki bilgisayarlar aynı IP protokollerini kullanarak sorunsuz bir şekilde haberleşebiliyordu. Ancak bu karar, yerel ağlar ve İnternet arasında bir engel oluşturdu. aynı IP adresi farklı LAN'larda kullanılabilir ve o zamandan beri bu nedenle İnternet, paketleri LAN'lar için tahsis edilen adres bloklarına yönlendirmeyi durdurdu. Onlar. aslında, bir "fiziksel engel" (ilk hırsızlıklardan sonra Rus bankalarında keyif aldıkları şey olan kabloları kesmeden ve şu anda çok sevdikleri Güvenlik Duvarı'nı kurmadan). Ağlar, modern işletim sistemlerindeki görevler gibi yalıtılmış hale geldi - her birinin kendi adres alanı var. Bu engel postane için bir sorun değildi, çünkü kurumsal posta sunucuları ağların uçlarına kurulmuştu ve hem İnternet'ten hem de LAN'dan görülebiliyordu. Ancak LAN'dan harici kaynaklara - ftp'ye erişim ve o yıllarda hala popülerlik kazanmasıyla, http sunucuları sorun yaşamaya başladı. Daha önce herhangi bir bilgisayardan sunucuyla doğrudan etkileşim kurmak mümkün olsaydı, şimdi bu fırsat yalnızca bilgisayarlarda kaldı. gerçek internet adresleri dan beri dönüş adresinde yerel bir adrese sahip bir IP paketine hangi LAN'ın yanıt göndereceğini - yönlendirici belirleyemez.Bu sorunun en basit çözümü - ağ sınırındaki dönüş adresinin değiştirilmesi - yüzeyde yatıyor ve yayınlamakta yavaş değildi: Mayıs 1994'te, yani. "ağlar bölümü"nün NAT spesifikasyonunu önermesinden iki ay sonra: http://www.ietf.org/rfc/rfc1631.txt Ağ Adresi Çevirici (NAT) Mayıs 1994 Yazarlar bunu "kısa vadeli bir çözüm" olarak açıkladılar, yani. geçici çözüm Belirtilen sorunun bir tür "hack", normal çözümler yaygınlaşana kadar. Ancak bildiğiniz gibi, hiçbir şey geçici IPv6 kadar kalıcı değildir, beklentilerin aksine hızlı bir şekilde kök salmadı ve son 10 yılda LAN ve İnternet sınırlarında daha fazla savaşa tanık olduk. NAT yaygınlaştı çünkü o yıllarda bu soruna kabul edilebilir başka bir çözüm yoktu: FTP istemcileri ve HTTP istemcilerinin (tarayıcıların) değişen dünyanın resmine uyum sağlamak için zamanları yoktu, LAN'lardan harici kaynaklarla çalışamıyorlardı, bu yüzden sınır yapmak için onlar için şeffaf, sadece yazılım NAT kullanılarak "aldatıldı" - LAN'dan dışarıya adreslenen tüm IP paketleri sınırda en basit işlemeye tabi tutuldu: dönüş IP adresini "sınır" bilgisayarının gerçek adresiyle değiştirmek, ve gelen paketlerde geriye doğru değiştirme. Ayrıca, kaynak LAN'ın bağlantı noktası numarası da genellikle değiştirildi. LAN'daki farklı makinelerden gelen paketler aynı port numaralarıyla gelebilir. Onlar. yalnızca IP adresleri değil, aynı zamanda bağlantı noktası numaraları da çevrilir (bazen çevirmen bağlantı noktalarına ayrı bir kısaltma PAT denir). Geleneksel sınıflandırmada, NAT "statik, dinamik ve maskeleme" olarak alt bölümlere ayrılmıştır, ancak pratikte üçüncü tip esas olarak kullanılır, LAN'lardan binlerce bağlantıya tek bir gerçek adres üzerinden (ideal olarak) hizmet verilmesine izin verir, bunda her zaman bağlantı noktası çevirisi kullanılır. durum. Bir NAT bilgisayarında veya yönlendirici + NAT'ta, çeviri için kullanılan bir dizi bağlantı noktası, örneğin 60.000'den büyük sayılarla (bu bağlantı noktalarını bu bilgisayarın kendi ihtiyaçları için ayrılan bağlantı noktalarından hızlı bir şekilde ayırt etmek için) ve dinamik bir akım tablosu tahsis edilir. oturumlar / adres eşlemeleri. Her geçen paket ve port için bu tabloya göre kontrol edilir ve uygun ikameler yapılır. Teknoloji o kadar basit ki, günümüzde yerleşik NAT (ve NAT kadar ilkel Güvenlik Duvarı) olmayan bir yönlendirici veya kablolu modem bulmak giderek daha az yaygın hale geliyor ve NAT, fiyatların başlamasıyla "ah" hub'da bile bulunabiliyor. 40 $. "Ücretsiz" "NAT, Windows'un birkaç yeni sürümüne dahil edilmiştir" adı altında "bahsetmiyorum bile" bağlantı paylaşımı" ve " bağlantı paylaşma"NAT'ı hak ettiği şekilde popüler yapan, istemci yazılımına erişilebilirlik, anlaşılırlık / kullanım kolaylığı ve iddiasızlığıdır.
İnternet programlarının "gözlerinden" NAT
Pratikte her şey bu kadar basit olsaydı, ilginç olmazdı, ama elbette, diğer tüm yazılım hilelerinde olduğu gibi, NAT'a çeşitli hoş olmayan yan etkiler hemen sızmaya başladı. NAT'ın ortaya çıktığı sıralarda en popüler protokollerden biri FTP idi ve NAT için ilk sindirilemez protokol haline gelen de bu protokoldü. Bu, bu 10 yılda NAT tarafından hiçbir şekilde başarıyla çözülmeyen bir sorunu ortaya çıkardı. Ve genel durumda NAT çerçevesinde çözülemez, sadece belirli protokoller için fitingler olabilir, ancak bu fitingler güvenilir bir çözüm olarak kabul edilemez. Bu sorun, aralarında en eskisinin FTP olduğu bazı protokollerde, istemci makinenin IP adresinin iletilmesi ve bu IP adresinin sunucu tarafından istemciye veri aktarmak için kullanılmasıdır. NAT durumunda, LAN'dan çalışan istemci programı NAT tarafından "kandırıldığı" için, sunucuya yalnızca kendi yerel IP adresini gönderebilir, yerel ağların görünmez olması nedeniyle harici sunucu bağlanamaz. İnternet. ICQ protokolleri, MS NetMeeting, RealAudio ve geliştiricileri görünüşe göre ağlarda oturmuş olan diğer birçok protokol.NAT NAT bu soruna sadece bir çözüm sunabilir - port numaralarına dayanarak, çevrilmekte olan belirli protokolü tahmin edin ve IP paketlerinin içeriğini izlemeye başlayın. FTP komutu PORT'u içerdiklerinde, şunu gösterir: yerel istemcinin bağlantı noktası (IP paketinin başlığında değil, paketin gövdesinde bir metin komutu), o zaman yalnızca başlıkları değil, tüm paket, sağlama toplamının yeniden hesaplanması ve telefon dinleme organizasyonu ile. bir gelen bağlantı noktası. Ne yazık ki NAT için, FTP komutlarının iletildiği TCP protokolü, üzerinde düzenlenen bir akış protokolüdür - PORT komutu, IP katmanına girdiğinde 2 pakete bölünebilir (veya FTP istemcisine ve arabelleğe almaya bağlı olarak daha fazla) işletim sistemi). Bu nedenle, NAT sızdırma yerini güvenilir bir şekilde tespit etmek için, "orijinal TCP akışını yeniden yapılandırmanız, paketleri arabelleğe almanız ve yeniden birleştirmeniz gerekecek. NAT'ta" protokol yeniden yapılandırmasına "döneceğiz, ancak şimdilik çoklu- bu süreçte kademeli potansiyel hatalar ve güvenilmezlik.Uygulamada bunun nedeni, NAT üzerinden PORT komutunu kullanan standart FTP modunun genellikle ÇALIŞMAMASI gerçeğidir.
Bu nedenle, FTP protokolündeki "NAT sorunu", FTP istemcilerinde veya başka bir ara özelleştirilmiş FTP proxy'sinde özel bir şekilde aşılmalıdır. FTP istemcisinde, sözde geçiş yapmanız gerekir. "pasif mod" - PORT komutu yerine PASV komutunu kullanın. PASV, FTP sunucusundan kendisi için ek bir bağlantı noktası açmasını ve istemciye onun: bağlantı noktasını söylemesini ister. İstemci daha sonra belirtilene bağlanır (NAT tekrar aldatır, yayınlar) ve oturum başarılı olur. FTP istemcisinde PASV modunu destekleme ihtiyacına ek olarak (standart ftp.exe'de yoktur), bu, FTP sunucusu yöneticisinin biraz çaba göstermesini gerektirir - özellikle Güvenlik Duvarları ve NAT'lar tarafından kısmen engellenmişse ( Bir FTP geliştiricisi olarak - Eserv için sunucular Bu sorunları kulaktan kulağa değil biliyorum). Genel olarak, burada NAT bağlanmaya yardımcı olmaz, ancak müdahale eder.
Şimdi, istemci-şeffaf bir geçici çözüm için protokolün NAT içinde yeniden yapılandırılması hakkında. Bunu yapabilen birkaç NAT (pratikte nasıl olduğunu bilmek yerine beyan etseler de, aslında bir ağ düzeyine çıkıyorlar - başlıkta adres çevirisi olan en basit paket yönlendirmesi yerine, TCP'nin yaptığı şeyi yapmaya başlıyorlar. yığın yapar - paketlerden TCP akışını birleştirir.Böylece, aşırı gelişmiş bir yönlendiriciden az gelişmiş bir TCP uygulama proxy'sine dönüşürler.Bu durumda, bir FTP proxy veya bir FTP kapısı.Müşteri bu proxy hakkında bilgi sahibi olmadığı için az gelişmiş ve NAT, sırayla, protokolü tahmin etmeye ve düzeyinde (IP paketleri düzeyi) çözülmesi zor olan bir görevle uğraşmaya devam eder.
NAT yerine veya buna ek olarak, hemen özel bir proxy (FTP kapısı) veya Socks gibi evrensel TCP proxy'leri veya aşırı durumlarda httpS kullanırsanız, bu sorunu çözmek çok daha kolaydır (bu aşırı durum yine de şundan daha iyi çalışır: NAT). Başlangıçta TCP düzeyinde çalışırlar ve FTP istemcisini aldatmazlar, onunla işbirliği yaparlar. Üç katman sorun aynı anda ortadan kalkar: FTP istemcisi herhangi bir modu kullanabilir - aktif veya pasif (NAT'ta olduğu gibi httpS'de yalnızca pasif), protokolü ve çift TCP derlemesini tahmin etmeye gerek yoktur. Ek olarak, yöneticinin süreci etkilemek için daha fazla fırsatı vardır (bununla ilgili daha fazlası daha sonra).
İstemci programı özel bir proxy aracılığıyla nasıl çalışacağını bilmiyorsa (pratik olarak böyle bir proxy yoktur, ancak en kötü durumlar hakkında konuşacağız), o zaman bir Socks proxy kullanırken, müşterinin çalışması SocksCapture programları kullanılarak da şeffaf hale getirilebilir. veya yerel FreeCap. Sınır şeffaflığı her zaman bir aldatmacadır, ancak SocksCapture veya FreeCap IP paketlerini engellemez, ancak program işletim sistemine çağrıları engeller, bu nedenle her zaman kesin olarak bilirler ve paket akışından programın tam olarak hangi eylemi gerçekleştirmek istediğini hesaplamazlar ve buna göre yeniden yönlendirir Bu eylemler Socks -proxy aracılığıyla.
NAT ve Çorap
Socks konusuna gelmişken bu proxy protokolü hakkında birkaç şey söylemem gerekiyor. Ayrıca, tarihsel olarak Socks, LAN ve İnternet arasındaki sınırı geçmek için NAT'tan sonraki bir sonraki araçtı: "Çorap nedir" adlı ilk inceleme makalesi Ekim 1994'te yayınlandı, Socks4 spesifikasyonu kısa süre sonra ortaya çıktı (önceki "sürümler" hiçbir yerde kullanılmadı). ürünler) http : //www.socks.nec.com/protocol/socks4a.protocol ve sadece Mart 1996'daki 5. versiyon ile ietf'te RFC olarak yayınlanmak üzere olgunlaştı: http://www.ietf.org/rfc/rfc1928. txt. Bu belgenin Rusça bir versiyonu var - çeviri, o sırada (97. ve 98.) şirketimizde çalışan ve Eserv / 2'nin oluşturulmasına katılan Alexander Gorlach tarafından yapıldı, bkz. Socks5 sayfası.Çoraplar, NAT'ın tüm sınırlamalarının üstesinden geldi ve ayrıca neredeyse tüm TCP ve UDP protokollerini "proxy" etmeye değil, aynı zamanda LAN'dan İnternet kullanımı üzerindeki kontrolü iyileştirmeye izin veren en az üç kullanışlı araç ekledi:
- Socks, yalnızca giden bağlantılara hizmet etmekle kalmaz, aynı zamanda bir proxy istemcisinin isteği üzerine bir proxy makinesinde (BIND yöntemi) dinleme gelen soketleri oluşturmanıza da olanak tanır - bu yalnızca FTP ve benzeri çoklu bağlantılı protokoller için gereklidir.
- Socks4a ve Socks5, istemcideki etki alanı adlarını çözme görevini istemciden kaldırmanıza ve bunu doğrudan proxy'de yapmanıza olanak tanır. Onlar. LAN içindeki makine, bir DNS sunucusu veya DNS eşlemesi (NAT veya özel UDPMAP aracılığıyla) gereksiz hale gelir, endişelerinin bir "işareti" yöneticiden kaldırılır, ayrıca sunucudaki DNS önbelleğe alma nedeniyle istemci daha hızlı çalışır.
- Socks5, açık istemci kimlik doğrulaması ve yetkilendirme için çeşitli seçenekleri destekler. NAT'ta dostları ve düşmanları sadece şu şekilde ayırt etmek mümkündü.
Bir sistem yöneticisinin gözünden NAT ve özel proxy'ler
tekrar ilk küçük gezi tarihin içine. HTTP protokolü 90'ların başında geliştirildi ("sürüm 0.9" olarak adlandırılır) ve 90'ların ortalarında İnternet'in "katil uygulaması" haline geldi - yalnızca bilim adamlarının ve ordunun bağlantı kurmaya başlamamasının nedeni İnternete değil, aynı zamanda "sıradan tüccarlar ve sıradan insanlara" da. Buna göre, standardizasyon ihtiyacı olgunlaşmıştır. Mayıs 1996'da, HTTP / 1.0 spesifikasyonu, dönüm noktası kazanan RFC: 1945 numarası altında yayınlandı. Spesifikasyonun yazarları, İnternet'in yeni gerçeklerini, dahil olmak üzere, zaten dikkate almıştır. LAN için protokolü proxy yapma ihtiyacı. Ayrıca pratikte HTTP bir yıldan fazla bir süredir varlığını sürdürüyor ve "proxy deneyimine" sahipti. Bu nedenle belgede proxy'ler, ağ geçitleri ve tüneller hakkında gerekli tanımlamalar ve notlar yapılmıştır. Ve aslında, orada sadece HTTP protokolünün kendisi (normal bir web sunucusu açısından) tanımlanmadı, aynı zamanda HTTP-proxy ve HTTPS-proxy protokolleri de tanımlandı. HTTP protokolüne özellikle bir proxy aracılığıyla güvenli HTTP sunucularına bağlanma yeteneği sağlamak için tanıtılan "CONNECT" yöntemi, yine de 443 numaralı bağlantı noktasıyla sınırlı kalmamasına, ancak bağlantı için herhangi bir bağlantı noktası belirtmesine izin verdi. Böylece, HTTPS proxy karşısında, Socks5'ten çok daha sınırlı yeteneklere sahip olsa da, herhangi bir protokol için başka bir "programlanabilir TCP eşlemesi" elde ederiz. Yerel HTTP protokolü için bir HTTP proxy'si oldukça başka bir konudur. Önbellek, URL'ye ve içeriğe göre filtreleme, kısıtlama, yönlendirme, yetkilendirme vb. Genellikle bu eylemler, TCP ve diğer işletim sistemi bileşenleri düzeyinde, paket düzeyinde NAT veya Socks'un kör eşlenmesinde pratik olarak imkansız olan bu tür önemsiz eylemleri gerektirir.Aynısı, özel proxy'lerin bulunduğu diğer uygulama protokolleri için de geçerlidir - bunlar her zaman evrensel düşük seviyeli olanlardan daha yönetilebilir bir büyüklük sırasıdır. Örneğin, birçok POP3 proxy'si, PopFile gibi istenmeyen postaları filtrelemenize izin verir (ancak istenmeyen postaları proxy'de değil, SMTP sunucusunda filtrelemek çok daha doğru olsa da). Socks ve NAT, iletilen protokolü anlamak için özel beceriler gerektirir, yani. aslında, POP3 proxy'lerinin "öykünmesi" bu araç için pek uygun değildir.
Bu nedenle, özel proxy'lerin (HTTP, HTTPS, FTP, SMTP, POP3, IMAP) veya genel olarak kabul edilen ara sunucuların mimarisinin (SMTP, POP3, IMAP, DNS) bulunduğu protokollerle çalışmak için Socks veya NAT kullanımı, zorunlu bir optimal olmayan çözüm olarak kabul edilir. Zorunlu - organizasyonel nedenlerle gerekli proxy türünü kullanamamaktan (gerekli proxy türünü koyacak hiçbir yer yoktur veya bağlantı türü, olduğu gibi tek bir gerçek IP adresinin varlığını sağlamaz) GPRS veya ev ağı seçenekleri aracılığıyla İnternet - bu durumlarda NAT veya "zorlanmış HTTP proxy'leri" zaten sağlayıcının tarafındadır) veya sorumlu kişilerin yetersiz farkındalığından, dahil. yöneticiler. Finansal kısıtlamaları dikkate almıyorum, çünkü tüm bu protokoller için ücretsiz veya çok ucuz proxy'ler için birçok seçenek vardır.
Bazı durumlarda, Socks5 kullanımı oldukça haklıdır - örneğin, ICQ ve diğer haberciler için. Bu protokoller için özel proxy'ler geliştirilmemiştir, çünkü ağ kullanımının genel arka planına karşı neredeyse görünmezdirler. Bir ilacın yokluğunda posta sunucusu veya pop3 / smtp-proxy Socks5, tüm posta istemcileri desteklemese de ve bazılarında belirgin olmayan özelliklere sahip olsa da bir sonraki aday olacaktır (bkz. Mozilla ThunderBird).
NAT seçeneklerini yinelerken, daha iyi bir şey bulunamadığında veya NAT orijinal olarak sağlayıcı tarafından sağlandıysa - bir kablo modem, yönlendirici, mobil bağlantıda "son çare" olacaktır (NAT bu demir parçalarına konur) , popüler protokoller için özel bir proxy değil, temel uygulamasının aşırı basitliği nedeniyle: Eproxy'deki benzer bir NAT UDPMAP eklentisinin kaynak kodu yalnızca 4Kb boyutundadır). Bazı protokoller çalışmayacak, işi yönetmek zor olacak. Ancak bu tür aşırı durumlarda, bir şekilde çalışmak hiç çalışmamaktan daha iyidir.
İşte son 8 yılda iyi bilinen konumumun ayrıntılı bir açıklaması - "Eserv'de asla NAT olmayacak" Vakaların ezici çoğunluğunda, ya NAT'a ihtiyacınız yok ya da zaten bir ceza olarak zaten var. sağlayıcı seçme Windows bağlantı paylaşımında tam olarak NAT gibi çalışır.
Ayrıca Microsoft web sitesinde NAT için "koltuk değneği" bölümüne bakın: NAT geçişi - Uygulamaları uyarlayarak NAT geçişi, UPnP üzerinden NAT / Güvenlik Duvarı yapılandırması. NAT geçişi ibaresini ilk kez duyuyorsanız, bunun nedeni geliştiricilerin yamalar için koltuk değneği yerine Socks5'i tercih etmeleri ve bu girişimin "kod desteği" almamasıdır. Ancak makale resimleri için iyidir (benimkinin ve NAT sorunlarının başka bir bağımsız açıklamasının aksine.
NAT, ICS zaten tüm yeni Windows sürümlerinde yerleşiktir
Tümünde Windows sürümleri 1999'dan beri NAT dahildir. Önce ICS (İnternet Bağlantı Paylaşımı) adı altında ve daha sonra kendi adı NAT altında. Windows 2003'te NAT'ı etkinleştirmeye yönelik iletişim kutusu ("Yönlendirme ve Uzaktan Erişim" system32rrasmgmt.msc aracılığıyla).
Windows XP'de, İnternet bağlantısının özelliklerinde NAT / ICS etkinleştirilmiştir.
"Paylaşıma izin verilemiyor. Hata: 1722: RPC sunucusu kullanılamıyor" mesajını alırsanız. ("Paylaşılan erişim etkinleştirilemiyor. Hata: 1722: RPC sunucusu kullanılamıyor."), O zaman büyük olasılıkla DHCP istemci hizmetini durdurmuş veya devre dışı bırakmışsınızdır, ICS'yi etkinleştirmeden önce başlatmanız gerekir.
Bir Linux sağlayıcısının gözünden NAT
(Ek 6 Temmuz 2004 - yazıya ilk cevap. Güvenlik Duvarı ile ilgili yazıda olduğu gibi sözü gerçek sistem yöneticisine verelim.Alıntı NAT üzerinden çalışmayı gerçek olanla karşılaştırırsak, şimdiye kadar NAT ile MSN Messenger gibi programlarda yalnızca ses, video ve dosya aktarımı ile ilgili sorunlar yaşadım. Belki bazı NAT uygulamalarında "ve ayrıca aktif ftp, harici VPN sunucularına bağlanma vb. ile ilgili sorunlar vardır, ancak Linux'ta NAT üzerinden çalışırken" (uygun ayarlarla) bununla ilgili herhangi bir sorun yoktur. Bu durumda NAT'ın avantajı, IP adreslerini ve güvenlik duvarlarını kaydetmesidir.
NAT'ı bir proxy ile karşılaştırırsak (İnternete erişmenin bir yolu olarak, yani önbelleğe alma, URL ayrıştırma vb. işlevlerini dikkate almadan istekleri iletme), o zaman NAT üzerinden çalışır. daha fazla uygulama ve protokoller (tümü); NAT için gerekli değil özel ayarlar kullanıcı tarafından; proxy'ler donanım üzerinde daha talepkardır. Proxy'ler genellikle Hedef NAT (DNAT) işlevselliği sağlamaz, ancak Eserv'de tcp / udp eşleme kullanarak DNAT'ın kısmi benzerliğini elde edebilirsiniz. Alıntı sonu.
Bu alıntı, sağlayıcıların gereksinimlerinin işletmelerdeki yöneticilerden de çok farklı olduğunu göstermektedir.
| Geri Bağlantılar |
|---|
| Nesne |
| güvenlik duvarı |
| MxServer |
| NCSI |
| WhatIsProxySunucusu |
IP ağ adreslerinin internete girmek isteyen tüm cihazlar için yeterli olmadığı artık bir haber değil. Şu anda, adres uzunluğunun 128 bit olduğu ve mevcut IPv4'ün sadece 32 bit olduğu IPv6 protokolünü geliştirerek bu durumdan bir çıkış yolu bulundu. Ancak 2000'lerin başında başka bir çözüm bulundu - ağ adresi çevirisi veya kısaca nat kullanmak. Makalede ayrıca, yönlendiricide nat yapılandırılacaktır.
Yönlendirici ayarları menüsüne girme
Örnek olarak ZyXEL ZyWALL USG ve NXC5200 serisi yönlendiriciyi alın.
Her şeyden önce, yönlendirici ayarlarına gidin. Bunu yapmak için herhangi bir web tarayıcısında adres çubuğuna 192.168.1.1 yazın. (yönlendiricinin standart adresi), kullanıcı adınızı ve şifrenizi girmenizi isteyen bir pencere açılacaktır.
“Kullanıcı adı” alanına admin, “Şifre” alanına 1234 girin. “Tamam”a tıklayın.
Bir yönlendiricide nat'yi yapılandırma
Açılan menü penceresinde "Yapılandırma" sekmesine (iki vitesli bir simge), ardından "Ağ" ve ardından "Yönlendirme"ye gidin. Seçilen pencerede "Politika Yönlendirme" sekmesine gidin.
ZyXEL yönlendirici ayarları menüsü
V bu menü yönlendirme politikası yapılandırılır. "Kriterler" alanında, örnekleme trafiği için kriterleri - hangi trafiğin yayınlanması gerektiğini (aslında nat'i yapılandırın) ve hangisinin basitçe yönlendirileceğini yapılandırırız. Trafik birkaç kritere göre seçilebilir:
- Kullanıcı (Kullanıcı);
- Arayüze göre (Gelen);
- Kaynak IP adresine göre (Kaynak Adresi);
- Alıcının IP adresine göre (Hedef Adres);
- Hedef bağlantı noktasına göre (Servis).
"Sonraki Atlama" alanında, trafik yönlendirmesi için bir nesne atayın:
ZyXEL yönlendirici için yeniden yönlendirme nesnesi seçme
"Otomatik" - trafik varsayılan global arayüze yönlendirilecektir; Ağ geçidi - ağ geçidi ayarlarında belirtilen adrese; VPN Tüneli - IPSec sanal özel tüneli; Trunk - "trunk" un birlikte veya yedekli modda çalışmak üzere yapılandırılmış birkaç arabirim olduğu bir "trunk" a giden yol; Arayüz - belirtilen arayüze yönlendirin:
Ayarları kaydetmek için yönlendirici ayarlarında herhangi bir değişiklik yaptığınızda "Tamam" düğmesine basmayı unutmamak ve sadece web tarayıcısını kapatmak değil.
Bir bilgisayarda nat kurulumu
Bildiğiniz gibi, kişisel bir bilgisayarın kendisi yönlendirici görevi görebilir. Genellikle, biri İnternet bağlantısı olan birkaç bilgisayardan oluşan bir bilgisayar ağı olduğunda bir durum vardır. Bu durumda, yönlendirici satın almanız gerekmez, ancak yönlendirici olarak İnternet erişimi olan bir bilgisayar kurmanız ve üzerinde nat yapılandırmanız gerekir. Bu durumu daha ayrıntılı olarak ele alalım.
İnternete bakan ana bilgisayarda 2 tane yüklü olduğundan emin olun (SUNUCU diyelim) ağ kartları- yerel ağa ilk bağlanan, ikincisi sağlayıcıya. Örnek, işletim Windows sistemi Sunucu 2012.
Yapılandırmak için öncelikle "Sunucu Yöneticisi"ni çalıştırın (Başlat -> Yönetimsel Araçlar -> Sunucu Yöneticisi). Ayarlar penceresi görünecektir:
Buradan sunucumuzu yöneteceğiz. Yapılandırmaya devam etmek için, Rol Ekleme Sihirbazı'nı açacak olan Rol ve Özellik Ekle'ye tıklayın. İlk Adım - Kurulum Türü:
Bir sonraki pencerede sunucuya yüklediğimiz rolü seçmemiz gerekiyor. "Uzaktan erişim"in önüne bir şaka koyduk.
Çalıştırmak için gerekli bileşenlerin bir listesini görüntüleyen aşağıdaki pencere görünecektir. "Bileşen Ekle" ye tıklayın, bu pencere kaybolacaktır. Sonrakine tıkla".
Sonraki pencerede sihirbaz, sunucu bileşenleri eklemeyi önerir. Hiçbir şeyi değiştirmenize gerek yok, "İleri" ye tıklayın.
Açık sonraki Sayfa sihirbaz bize "Uzaktan Erişim" rolünün çalışması hakkında bilgi verir. Sonrakine tıkla".
Bir sonraki adım, Rol Hizmetlerini seçmektir. "Yönlendirme"nin önüne bir işaret koyuyoruz, "İleri" ye tıklayın.
Bir sonraki pencere yine bilgi amaçlıdır, hiçbir şey seçmenize gerek yoktur, ancak "Seçili sunucuda otomatik yeniden başlatma ..." seçeneğinin yanındaki kutuyu işaretleyebilirsiniz, bunun sonucunda sunucu kurulumdan sonra otomatik olarak yeniden başlatılacaktır. Ama bunu manuel olarak da yapabilirsiniz. Sonrakine tıkla".
Ve son adım, sunucuyu doğrudan kurmaktır. Bitirdikten sonra "Kapat" düğmesine basın.
Sunucu kurulumu
Böylece internete bağlı olan bilgisayarı sunucu modunda yapılandırdık. Şimdi üzerinde nat'ı yapılandırmanız gerekiyor.
Başlat / Yönetim / Yönlendirme ve Uzaktan Erişim'e gidin. Görünen pencerede, sol tarafta "SUNUCU (yerel)" öğesini buluyoruz, üzerine sağ tıklayın ve açılır menüden "Yönlendirmeyi ve uzaktan erişimi yapılandır ve etkinleştir" seçeneğini tıklayın.
nat'ı yapılandıracağımız Yönlendirme ve Uzaktan Erişim Sunucusu Yapılandırma Sihirbazı görünecektir.
İlk sayfada sihirbazla kısaca tanışıyoruz - "İleri" ye tıklayın. Bir sonraki adımda, üzerinde çalışacak hizmetlerden birini seçmeniz gerekiyor. bu sunucu... "Ağ Adresi Çevirisi (NAT)" seçeneğini seçin, "İleri"ye tıklayın.
Ardından sihirbaz, İnternet'e bakan bir ağ bağlantısı seçmenizi isteyecektir. Liste, her iki ağ kartını da içerecektir (en azından, kaç tanesinin sunucuda kurulu olduğuna bağlı olarak). Bağlı olanı seçiyoruz ağ kablosu Sağlayıcı. Sonrakine tıkla".
Bir sonraki pencerede sihirbaz, içinde bulamayacağına yemin etmeye başlayacak. yerel ağ DHCP veya DNS hizmetleri. Devam etmek için iki seçenek sunulur - temel hizmetleri etkinleştirin veya hizmetleri daha sonra yükleyin.
İlk öğeyi seçiyoruz, "İleri" ye tıklayın. Bir sonraki sayfada nat'ın hangi aralıkta çalışacağını size bildireceğim. Yapılandırma sihirbazı, yerel ağa bağlı ağ bağlantısının yapılandırmasına göre bu aralığı otomatik olarak seçer. Sonrakine tıkla".
Nat aralığı
İşte bu kadar, yapılandırma sihirbazı nat yapılandırmasını tamamlar. "İleri" ye tıklayın ve bir sonraki pencerede "Bitir".
Kalan son şey, istemci bilgisayarları, yani yerel ağdaki diğer tüm bilgisayarları yapılandırmaktır. Bunu yapmak için, istemcinin bilgisayarında (bu, ağdaki her bilgisayarda yapılmalıdır), Başlat / Denetim Masası / Ağ ve Paylaşım Merkezi / adaptör ayarlarını değiştir seçeneğine gidin. "Ağ Bağlantıları" na gidiyoruz. Farenin sağ tuşuyla simgeye tıklayın ve açılır menüden "Özellikler" öğesini seçin. Görünen pencerede "İnternet Protokolü Sürüm 4 (TCP / IPv4)" seçeneğini seçin, "Özellikler"e tıklayın.
"Varsayılan ağ geçidi" kısmından sonra sunucu bilgisayarın IP adresini (son adımda konfigüre edilmiş olan) yazın, "Tercih edilen DNS sunucusu" alanına sağlayıcının İnternet bağlantı bilgilerinde belirtilen DNS sunucusunun IP adresini yazın. sunucu. "Tamam" ve tekrar "Tamam" a basıyoruz. Her şey, istemci bilgisayar internete bağlı.
Yönlendiricinin (yönlendirici) çalışma prensibi
Bu makaleyi okurken herkesin bir yönlendiricinin ne olduğunu ve neden ona ihtiyacınız olduğunu anladığını düşünüyorum, ancak nasıl çalıştığını düşünen var mı? Bu yazımda size en erişilebilir dilde bir yönlendiricinin temel ilkelerini anlatmaya çalışacağım. Bu makale hem sistem yöneticileri hem de sıradan kullanıcılar için faydalı olacaktır.
Herhangi bir yönlendiricide çalışan ana işlev NAT'tır.
NAT- IP adreslerini değiştirmek için Ağ Adresi Çevirisi kullanılır. Yerel ağlarda, esas olarak 192.168.1.XXX veya benzeri türdeki adresler kullanılır ve bu, ağdaki IP adreslerinin kopyalanmaması gerektiğinden, küresel İnternet'te bir yönlendirme sorunu yaratır. Bu sorunun çözümü NAT'tır - yerel ağdaki bilgisayarlar yönlendiricinin yerel arayüzüne bağlanır, ondan IP adresleri ve bir ağ geçidi alır (yönlendirici bir ağ geçidi görevi görür) ve yönlendiricinin WAN arayüzü İnternet'e bağlanır .
Şimdi NAT çevirisinin ilkesine bakalım:
- Yerel ağdaki herhangi bir bilgisayardan bir istek yapılır, örneğin herhangi bir siteye erişmeye çalışırsınız - bilgisayar gönderir verilen istek ağ geçidinin adresine, yani yönlendiricimize;
- Yönlendirici, bu isteği aldıktan sonra, bilgisayarınızı bağlantının başlatıcısı olarak kaydeder, ardından paketinizin bir kopyası oluşturulur ve hedef adrese gönderilir, ancak yönlendirici adına ve IP adresi ve paketinizle birlikte basitçe yok edilir;
- İsteğin gönderildiği sunucu bunu işler ve elbette yönlendiricinin adresine bir yanıt gönderir. Ve yönlendirici zaten bunu bekliyordu çünkü bilgisayarınızın isteğine bir yanıt gelmesi gerektiğine dair bir kayıt oluşturdu ve bunu bilgisayarınıza gönderdi. Gördüğünüz gibi, bu şemaya göre, yalnızca yerel ağdan bir bilgisayar bağlantının başlatıcısı olabilir ve sunucudan gelen yanıt bilgisayara ancak yönlendirici onu bekliyorsa (isteğe yanıt) ulaşır. . Başka bir deyişle, tüm dışarıdan bağlanma girişimleri yönlendiricide duracak ve yalnızca yönlendirici istenen bağlantı noktasında bir kaynak sağlıyorsa veya şimdi bahsedeceğimiz Bağlantı Noktası Yönlendirme kurallarını yapılandırdıysa başarılı olacaktır.
bağlantı noktası yönlendirme
bağlantı noktası yönlendirme- bu temelde NAT ile aynıdır, ancak diğer yöndedir ve bu nedenle yalnızca statik NAT, yani yalnızca belirli bilgisayarlara belirli istekler, çünkü küresel ağda yönlendiricinin arkasındaki IP adreslerini bilemezler. Örneğin, bilgisayarınızda bir FTP veya HTTP sunucusu oluşturdunuz ve bu kaynaklara erişim sağlamak istiyorsunuz, bunun için yönlendiriciye bu kuralı kaydetmeniz gerekiyor, bu da gelen tüm paketlerin istenen bağlantı noktasına (21 veya 80) geldiğini gösterecektir. bizim durumumuzda) bilgisayarımızın IP adresi belirli bir bağlantı noktasına iletilecektir (port değiştirilebilir).
NAT - DMZ
NAT - DMZ- bu kesinlikle Port Yönlendirme ile aynıdır, ancak her port için bir kural yazmanıza gerek olmaması farkıyla, sadece NAT - DMZ'yi yapılandırmanız yeterlidir, gerekli bilgisayar yönlendiricinin WAN'ına gelen tüm istekler. Tabii ki, artık portları değiştirmek mümkün değil.
yönlendirme
Ne olduğu fikrini basitleştirmek için NAT ile aynı olduğunu söyleyebiliriz, ancak sadece her iki yönde. Bu şema ile yönlendirici, farklı adres alanlarına sahip 2'den fazla LAN arayüzüne (bağlantı noktaları değil, arayüzler) sahip olmalıdır, örneğin, bir IP arayüzü 192.168.0.1'e ve diğerinde 192.168.1.1'e sahiptir. Bu nedenle, bir ağdaki bilgisayarlar 192.168.0.XXX ve başka bir ağdaki 192.168.0.XXX IP tipini alacak ve ağ geçitleri sırasıyla 192.168.0.1 ve 192.168.1.1 olacaktır. Bu şekilde iki yönlü yönlendirme elde edersiniz.
|
ayrılmayı unutma |
Genel IPv4 adreslerinin sayısı, İnternet'e bağlı tüm cihazlara benzersiz adresler atamak için yetersizdir. Çoğu durumda ağlar, RFC 1918'e göre özel IPv4 adresleri kullanılarak uygulanır. 1, RFC 1918'de bulunan adres aralığını gösterir. Büyük olasılıkla, şu anda öğreticiyi görüntülediğiniz bilgisayara özel bir adres atanmıştır.
Bu özel adresler, yerel cihaz iletişimini kolaylaştırmak için bir kuruluş veya varlık içinde kullanılır. Ancak bu adresler belirli bir şirket veya kuruluşu tanımlamadığından, İnternet üzerinden yönlendirme için özel IPv4 adresleri kullanılamaz. Özel IPv4 adresine sahip bir cihazın yerel ağ dışındaki cihazlara ve kaynaklara erişmesine izin vermek için önce özel adresin bir genel adrese çözülmesi gerekir.
Şekilde gösterildiği gibi. 2, NAT genel adres çevirisine özel sağlar. Bu, özel IPv4 adresine sahip bir cihazın, İnternette bulunan kaynaklar da dahil olmak üzere, kendi özel ağının dışındaki kaynaklara erişmesine izin verir. Özel IPv4 adresleriyle birlikte NAT, genel IPv4 adreslerini kaydetme açısından değerini kanıtlamıştır. Tek bir genel IPv4 adresi, her biri benzersiz bir özel IPv4 adresine sahip yüzlerce, hatta binlerce cihaz tarafından paylaşılabilir.
NAT olmasaydı, IPv4 adres alanı 2000 yılından çok önce tükenmiş olurdu. Avantajlarına rağmen, NAT'ın bu bölümde daha sonra ayrıntılı olarak tartışılacak olan bir takım sınırlamaları vardır. IPv4 tükenmesine ve NAT sınırlamalarına yönelik çözüm, IPv6'ya nihai geçiştir.
NAT özellikleri
Ağ Adresi Çevirisi NAT çeşitli amaçlar için kullanılır, ancak bu mekanizmanın temel amacı genel IPv4 adreslerini korumaktır. Bunu, ağların dahili iletişim için özel IPv4 adreslerini kullanmasına izin vererek ve bunları yalnızca gerektiğinde genel adreslere dönüştürerek yapar. NAT'ın ek bir yararı - artan gizlilik ve ağ güvenliği - dahili IPv4 adreslerini harici ağlardan gizlemesidir.
Bir NAT yönlendiricisi, bir veya daha fazla geçerli genel IPv4 adresiyle yapılandırılabilir. Bu genel adresler, NAT adres havuzu olarak bilinir. Dahili bir cihaz ağ dışına trafik gönderdiğinde, NAT özellikli bir yönlendirici, cihazın dahili IPv4 adresini NAT havuzundan genel bir adrese çevirir. Harici cihazlara, ağa giren ve çıkan tüm trafiğin, sağlanan adres havuzundan genel IPv4 adreslerini kullandığı görülüyor.
Bir NAT yönlendiricisi genellikle bir çıkmaz ağın ucunda çalışır. Saplama ağı, komşu bir ağa tek bir bağlantı, bir gelen yol ve bir giden yol kullanan bir ağdır. Şekilde gösterilen örnekte, R2 bir uç yönlendiricidir. ISS'nin bakış açısından, yönlendirici R2 bir çıkmaz ağ oluşturur.
Çıkmaz ağdaki bir cihaz, ağı dışındaki bir cihaza bağlantı gerektirdiğinde, paket bir uç yönlendiriciye iletilir. Sınır yönlendirici, cihazın dahili özel adresini genel, harici, yönlendirilebilir bir adrese çevirerek bir NAT işlemi gerçekleştirir.
Not... ISP'nin ağına bağlantı, özel bir adresi veya sağlayıcının müşterileri tarafından paylaşılan genel bir adresi de kullanabilir. Söz konusu konu çerçevesinde örnek olarak bir genel seslendirme yapılmıştır.
NAT terminolojisinde "iç ağ", çeviride yer alan ağlar kümesini ifade eder. "Harici ağ" terimi, diğer tüm ağları ifade eder.
NAT kullanırken, IPv4 adresleri özel veya genel ağda (İnternet) olup olmadığına ve trafiğin gelen veya giden olmasına bağlı olarak farklı hedefleri temsil eder.
NAT 4 tür adres sağlar:
- yerel adres içinde;
- global adres içinde;
- harici yerel adres;
- harici genel adres.
Kullanılacak adres türünü belirlerken, NAT terminolojisinin her zaman çözümlenebilir adresi olan bir cihaz açısından uygulandığını hatırlamak önemlidir:
- Dahili adres NAT mekanizması tarafından çevrildiği şekliyle cihaz adresidir.
- Harici adres hedef cihazın adresidir.
NAT, adreslerle ilgili olarak yerellik veya küresellik kavramını da kullanır:
- Yerel adres bir ağın içinde görünen herhangi bir adrestir.
- genel adres ağın dışında görünen herhangi bir adrestir.
Şekilde, PC1'in dahili yerel adresi 192.168.10.10'dur. PC1'in bakış açısından, web sunucusu 209.165.201.1 harici adresini kullanır. Paketler PC1'den global web sunucusu adresine gönderildiğinde, PC1'in yerel adresi 209.165.200.226 (global adres içinde) olarak çevrilir. Bu adres genellikle zaten genel bir IPv4 adresi olduğundan, harici aygıt adresi genellikle çevrilmez.
PC1'in farklı yerel ve genel adresler kullandığını ve web sunucusunun her ikisi için de aynı genel IPv4 adresini kullandığını unutmayın. Web sunucusunun bakış açısından, PC1'den gelen trafik, iç global adres olan 209.165.200.226'dan geliyor gibi görünüyor.
NAT yönlendiricisi (şekilde R2), dahili ve harici ağlar ve yerel ve global adresler arasındaki sınır noktasını temsil eder.
"Dahili" ve "harici" terimleri, belirli adreslere atıfta bulunulurken "yerel" ve "küresel" terimleriyle birlikte kullanılır. Şekilde R2, NAT kullanacak şekilde yapılandırılmıştır. Dahili ana bilgisayarlara atanan bir genel adres havuzunu kullanır.
- Dahili yerel adres iç ağdan görüldüğü şekliyle kaynak adresidir. Şekil PC1'de IPv4 adresi 192.168.10.10'dur. Bu, PC1'in iç yerel adresidir.
- Genel adres içinde harici ağdan görüldüğü şekliyle kaynak adresidir. Şekilde, PC1 209.165.201.1'de web sunucusuna trafik gönderdiğinde, R2 dahili yerel adresi dahili global adrese çevirir. Bu durumda R2, orijinal IPv4 adresini 192.168.10.10'dan 209.165.200.226'ya değiştirir. NAT terminolojisinde, dahili yerel adres 192.168.10.10, dahili global adres 209.165.200.226'ya çevrilir.
- Genel adres dışında harici ağdan görüldüğü şekliyle hedef adrestir. Bu, İnternet'teki bir ana bilgisayara atanan, küresel olarak yönlendirilen bir IPv4 adresidir. Örneğin, web sunucusuna 209.165.201.1 IPv4 adresinden erişilebilir. Çoğu durumda, dış yerel ve dış genel adresler aynıdır.
- Harici yerel adres dahili ağdan görüldüğü gibi hedef adrestir. Bu örnekte, PC1, 209.165.201.1 IPv4 adresiyle web sunucusuna trafik gönderir. Nadir durumlarda, bu adres global olarak yönlendirilen hedef adresinden farklı olabilir.
Şekil, NAT özellikli bir yönlendirici aracılığıyla dahili bir bilgisayar tarafından harici bir web sunucusuna gönderilen trafiğin nasıl adreslendiğini gösterir. Ayrıca, dönüş trafiğinin başlangıçta nasıl adreslendiğini ve eşlendiğini de gösterir.
Not... Harici bir yerel adresin kullanımı bu öğreticinin kapsamı dışındadır.
NAT Ağ Adresi Çevirisi Türleri
Ağ adreslerini çevirmek için üç mekanizma vardır:
- Statik ağ adresi çevirisi (statik NAT) yerel ve global adresler arasında bire bir yazışmadır.
- Dinamik ağ adresi çevirisi (dinamik NAT) yerel ve küresel adresler arasında çoktan çoğa adres eşlemesidir.
- Port Adresi Çevirisi (PAT) yerel ve küresel adresler arasında çoktan bire bir adres eşlemesidir. Bu method ayrıca aşırı yükleme (aşırı yük ile NAT) olarak da adlandırılır.
Statik Ağ Adresi Çevirisi (NAT)
Statik NAT, yerel ve genel adresler arasında bire bir eşleme kullanır. Bu yazışmalar ağ yöneticisi tarafından belirlenir ve değişmeden kalır.
Şekilde, yönlendirici R2, Svr1, PC2 ve PC3'ün dahili yerel adresleri için yapılandırılmış statik eşlemelere sahiptir. Bu cihazlar internete trafik gönderdiğinde, dahili yerel adresleri belirtilen dahili global adreslere çevrilir. Harici ağlar için bu cihazlar genel IPv4 adreslerini kullanır.
Statik ağ adresi çeviri yöntemi, özellikle internetten erişilebilen kalıcı bir adrese sahip olması gereken web sunucuları veya cihazlar için yararlıdır - örneğin bir şirket web sunucusu. Statik NAT, ofis dışında çalışan yetkili personel tarafından erişilebilir olması gereken ancak kapalı kalan cihazlar için de uygundur. genel erişim internet yoluyla. Örneğin, PC4'ten bir ağ yöneticisi dahili genel adres Svr1'e (209.165.200.226) SSH yapabilir. Yönlendirici R2, bu genel dahili adresi dahili bir yerel adrese çevirir ve yönetici oturumunu Svr1'e bağlar.
Statik NAT, toplam eşzamanlı kullanıcı oturumu sayısı için yeterli sayıda genel adres gerektirir.
Dinamik NAT adresi çevirisi
Dinamik Ağ Adresi Çevirisi (Dinamik NAT), ilk gelene ilk hizmet esasına göre atanan bir genel adres havuzu kullanır. Dahili cihaz dış ağa erişim istediğinde, dinamik NAT havuzdan uygun bir genel IPv4 adresi atar.
Şekilde, PC3, dinamik NAT havuzundaki ilk kullanılabilir adresi kullanarak İnternet'e erişir. Diğer adresler hala kullanılabilir durumda. Statik NAT'a benzer şekilde, dinamik NAT, toplam eşzamanlı kullanıcı oturumu sayısını desteklemek için yeterli sayıda genel adres gerektirir.
Port Adresi Çevirisi (PAT)
NAT aşırı yüklemesi olarak da adlandırılır, birden çok özel IPv4 adresini bir veya daha fazla genel IPv4 adresiyle eşler. Bu, çoğu ev yönlendiricisi tarafından kullanılan yöntemdir. ISP, yönlendiriciye tek bir adres atar, ancak birden fazla aile üyesi aynı anda İnternet'e erişebilir. Load NAT, ağ adreslerini çevirmek için en yaygın yöntemdir.
Bu yöntemle, her bir özel adres aynı zamanda bir port numarası ile izlendiğinden, birden fazla adres bir veya daha fazla adrese eşlenebilir. Bir cihaz bir TCP/IP oturumu başlattığında, kaynağın oturumu benzersiz bir şekilde tanımlaması için bir TCP veya UDP bağlantı noktası değeri oluşturur. Bir NAT yönlendiricisi bir istemciden bir paket aldığında, belirli bir NAT çevirisini benzersiz şekilde tanımlamak için kaynak bağlantı noktası numarasını kullanır.
PAT, cihazların İnternet'teki bir sunucu ile her oturum için farklı bir TCP bağlantı noktası numarası kullanmasını sağlar. Sunucudan bir yanıt döndürüldüğünde, geri gönderme sırasında hedef bağlantı noktası numarası haline gelen kaynak bağlantı noktası numarası, yönlendiricinin ilgili paketleri hangi aygıta ileteceğini belirler. PAT süreci ayrıca gelen paketlerin gerçekten istendiğini doğrular ve böylece oturumun güvenliğini arttırır.
Animasyonu kontrol etmek için şekildeki Oynat ve Duraklat düğmelerini kullanın.
Animasyon, bağlantı noktası adresi çevirisi (PAT) sürecini gösterir. Çevirileri ayırt etmek için, PAT mekanizması dahili global adrese benzersiz kaynak bağlantı noktası numaraları ekler.
R2 her paketi işlediğinden, paketin geldiği aygıtı tanımlamak için bağlantı noktası numarasını (bu örnekte 1331 ve 1555) kullanır. Kaynak adres (SA), atanan TCP / IP bağlantı noktası numarasıyla eklenen iç yerel adrestir. Hedef adres (DA), servis bağlantı noktası numarası eklenmiş dış yerel adrestir. Bu örnekte, hizmet bağlantı noktası 80: HTTP'dir.
Kaynak adres için R2, dahili yerel adresi, eklenen bağlantı noktası numarasıyla birlikte dahili genel adrese çevirir. Hedef adres değişmez, ancak artık dış global IP adresi olur. Web sunucusu yanıt verdiğinde, yol yalnızca ters sırada tekrar geçilir.
Önceki örnekte, istemci bağlantı noktası numaraları olan 1331 ve 1555, NAT etkin yönlendiricide değişmedi. Bu senaryo çok makul değil çünkü bu bağlantı noktası numaralarının halihazırda diğer etkin oturumlar için kullanılıyor olması çok muhtemeldir.
PAT, orijinal kaynak bağlantı noktasını korumaya çalışır. Orijinal kaynak bağlantı noktasının zaten kullanımda olması durumunda, PAT, karşılık gelen bağlantı noktası grubunun başlangıcından başlayarak ilk kullanılabilir bağlantı noktası numarasını atar - 0-511, 512-1023 veya 1024-65535. Kullanılabilir bağlantı noktası yoksa ve adres havuzunda birden fazla harici adres varsa, PAT orijinal kaynak bağlantı noktasını ayırmaya çalışarak bir sonraki adrese geçer. Bu işlem, hem mevcut portlar hem de harici IP adresleri tükenene kadar devam eder.
PAT işleminin prensibini tanımak için şekildeki "Oynat" düğmesine tıklayın.
Animasyonda, düğümler aynı bağlantı noktası numarasını seçerler, 1444. Düğümlere benzersiz özel IP adresleri atandığından, bu bir dahili adres için geçerlidir. Ancak bir NAT yönlendiricide bağlantı noktası numaralarının değiştirilmesi gerekir. Aksi takdirde, iki farklı düğümden gelen paketler aynı kaynak adresiyle R2'den çıkar. Bu örnekte, PAT çevirisi sırasında, ikinci düğüm adresine bir sonraki uygun bağlantı noktasına (1445) atanır.
NAT ve PAT karşılaştırması
Aşağıda özetlenen NAT ve PAT arasındaki farklar, bu ağ adresi çeviri yöntemlerinin her birinin özelliklerini anlamanıza yardımcı olacaktır.
Şekilde gösterildiği gibi NAT, IPv4 adreslerini özel IPv4 adresleri ve genel IPv4 adresleri için 1: 1 temelinde çevirir. Aynı zamanda PAT hem adresi hem de port numarasını değiştirir.
NAT, genel ağdaki bir ana bilgisayar tarafından sağlanan gelen IPv4 kaynak adresini kullanarak gelen paketleri dahili hedeflerine iletir. PAT kullanırken, genellikle yalnızca bir veya az miktarda halka açık olarak sunulan IPv4 adresleri. Genel ağdan gelen paketler, NAT yönlendirici tablosu kullanılarak özel ağdaki hedeflere yönlendirilir. Bu masa bağlantı gözetleme adı verilen genel ve özel bağlantı noktası çiftlerini izler.
Segment seviyesi 4 olmayan paketler
TCP veya UDP segmenti olmayan verileri taşıyan IPv4 paketlerine ne olur? Bu paketler Katman 4 bağlantı noktası numarası içermez.PAT, TCP veya UDP kullanmayan IPv4 üzerinden taşınan ana protokollerin çoğunu bir taşıma katmanı protokolüne dönüştürür. Bu protokollerden en yaygın olanı ICMPv4'tür. PAT dönüştürme işlemi, bu protokollerin her birini farklı şekilde işler. Örneğin, ICMPv4 istek mesajları, yankı istekleri ve yankı yanıtları bir Sorgu Kimliği içerir. ICMPv4, eşleşen bir yankı yanıtıyla bir yankı isteğini tanımlamak için bir Sorgu Kimliği kullanır. İstek kimliği, gönderilen her yankı isteğiyle birlikte artırılır. PAT, katman 4 bağlantı noktası numarası yerine istek kimliğini kullanır.
Not... Diğer ICMPv4 mesajları, Sorgu Kimliğini kullanmaz. Bu mesajlar ve TCP ve UDP bağlantı noktası numaralarını kullanmayan diğer protokoller birbirinden farklı olabilir ve bu eğitimde ele alınmamıştır.
NAT kurulumu
Statik NAT'ı yapılandırma
Statik ağ adresi çevirisi NAT, iç ve dış adresler arasında bire bir eşlemedir. Statik NAT, harici cihazların statik olarak atanmış bir genel adres kullanarak dahili cihazlara bağlantı başlatmasına olanak tanır. Örneğin, bir dahili web sunucusu, harici ağlardan erişilebilir olarak tanımlanan dahili bir global adrese eşlenebilir.
İncirde. 1, özel bir IPv4 adresine sahip bir web sunucusu içeren dahili bir ağı gösterir. Statik NAT, harici ağdan (İnternet) cihazların web sunucusuna erişmesine izin vermek için R2'de yapılandırılır. Harici ağdaki bir istemci, genel bir IPv4 adresi kullanarak web sunucusuna erişir. Statik NAT, genel bir IPv4 adresini özel bir IPv4 adresine çevirir.
Statik NAT yapılandırması iki ana görevi içerir.
Aşama 1.İlk görev, yerel içi ve küresel içi adresler arasında bir eşleme oluşturmaktır. Örneğin, Şekil 1'de. 1, dahili yerel adres 192.168.10.254 ve dahili global adres 209.165.201.5 statik bir NAT çevirisi olarak yapılandırılır.
Adım 2. Eşleme yapılandırıldıktan sonra, çeviriye dahil olan arayüzler, NAT'a dahili veya harici olarak yapılandırılır. Bu örnekte, R2'nin Seri 0/0/0 arabirimi dahili arabirimdir ve Seri 0/1/0 harici arabirimdir.
Yapılandırılmış dahili yerel IPv4 adresinden (192.168.10.254) yönlendirici R2'nin dahili arayüzüne (Seri 0/0/0) gelen paketler çevrilir ve ardından harici ağa iletilir. Konfigüre edilmiş dahili global IPv4 adresine (209.165.201.5) adreslenen R2 yönlendiricisinin dış arayüzüne (Seri 0/1/0) gelen paketler, dahili yerel adrese (192.168.10.254) çevrilir ve ardından iç ağa iletilir.
İncirde. Şekil 2, statik NAT'ı yapılandırmak için gereken komutları gösterir.
İncirde. Şekil 3, referans topolojisinde R2 üzerindeki web sunucusu için statik bir NAT eşlemesi oluşturmak için gereken komutları göstermektedir. Gösterilen yapılandırmanın bir parçası olarak R2, web sunucusu tarafından gönderilen paketlerde 192.168.10.254 adresini genel IPv4 adresi 209.165.201.5'e dönüştürür. İnternet istemcisi, web isteklerini 209.165.201.5 genel IPv4 adresine yönlendirir. R2, bu trafiği 192.168.10.254 adresindeki web sunucusuna iletir.
R2'de ek bir statik NAT çeviri girişi yapılandırmak için Sözdizimi Denetleyicisini (bkz. Şekil 4) kullanın.
Bu şekil, önceki yapılandırmayı kullanan bir istemci ile bir web sunucusu arasındaki statik NAT çevirisi sürecini gösterir. Statik dönüştürmeler, harici ağdan (İnternet) gelen istemcilerin dahili ağdaki sunuculara erişmesi gerektiğinde yaygın olarak kullanılır.
1. İstemcinin web sunucusuna bağlanması gerekir. İstemci, paketi 209.165.201.5 genel IPv4 hedefini kullanarak web sunucusuna gönderir. Bu, web sunucusunun dahili genel adresidir.
2. R2'nin dış NAT arabirimindeki bir istemciden aldığı ilk paket, R2'nin NAT tablosunu kontrol etmesine neden olur. Hedef IPv4 adresi NAT tablosundadır ve yönlendirici buna göre çeviri yapar.
3. R2, 209.165.201.5 dahili global adresini, dahili yerel adres 192.168.10.254 ile değiştirir. R2 daha sonra paketi web sunucusuna iletir.
4. Web sunucusu paketi alır ve 192.168.10.254 dahili yerel adresini kullanarak istemciye yanıt verir.
5a. R2, web sunucusundan dahili NAT arabiriminde, web sunucusunun dahili yerel adresi olan 192.168.10.254 ile eşleşen bir kaynak adrese sahip bir paket alır.
5b. R2, iç yerel adres için bir çeviri olup olmadığını görmek için NAT tablosunu kontrol eder. Bu adres NAT tablosunda görünür. R2, kaynak adresi tekrar 209.165.201.5 iç global adresine dönüştürür ve paketi Seri 0/1/0 arabirimi aracılığıyla istemciye iletir.
6. Müşteri paketi alır ve diyaloğu sürdürür. NAT yönlendiricisi her paket için 2-5b adımlarını gerçekleştirir (adım 6 şekilde gösterilmemiştir).
Statik NAT kontrolü
NAT'ın çalışıp çalışmadığını kontrol etmek için şu komutu kullanın: ip nat çevirilerini göster... Bu komut, aktif NAT çevirilerini görüntüler. Dinamik çevirilerin aksine, statik çeviriler her zaman NAT tablosunda bulunur. İncirde. 1, önceki yapılandırma örneği için bu komutun çıktısını gösterir. Örnek statik bir konfigürasyon olduğundan, aktif iletişimden bağımsız olarak çeviri her zaman NAT tablosunda bulunur. Komut aktif bir oturum sırasında girilirse, çıktı, Şekil 2'de gösterildiği gibi harici cihazın adresini de içerecektir. 1.
Başka bir yararlı komut ip nat istatistiklerini göster... Şekilde gösterildiği gibi. 2, takım ip nat istatistiklerini göster
NAT çevirisinin doğru çalıştığından emin olmak için, test etmeden önce komutu kullanarak önceki tüm çevirilerin istatistiklerini temizlemeniz önerilir. ip nat istatistiklerini temizle.
Web sunucusuyla etkileşime geçmeden önce, komut ip nat istatistiklerini göster herhangi bir eşleşme göstermemelidir. İstemci web sunucusuyla bir oturum kurduktan sonra, komutun sonucu ip nat istatistiklerini göster eşleşme sayısında 5'e bir artış gösterecektir. Bu, R2'de statik bir NAT çevirisinin gerçekleştirildiğini doğrular.
Dinamik NAT'ı yapılandırma
Statik NAT, dahili yerel adres ile dahili global adres arasında kalıcı bir eşleştirme sağlarken, dinamik NAT, dahili yerel adreslerin dahili global adreslere otomatik olarak eşlenmesini destekler. Bu genel adresler genellikle genel IPv4 adresleridir. Dinamik NAT, çeviri için bir grup veya genel IPv4 adresi havuzu kullanır.
Dinamik NAT, statik NAT gibi, NAT çevirisine dahil olan iç ve dış arabirimlerin yapılandırılmasını gerektirir. Ancak, statik NAT tek bir adresle kalıcı bir eşleme oluşturuyorsa, dinamik NAT için bir adres havuzu kullanılır.
Not... Genel ve özel IPv4 adresleri arasındaki çeviri, NAT'ın en yaygın kullanımıdır. Ancak, herhangi bir adres çifti arasında NAT çevirileri yapılabilir.
Şekilde gösterilen referans topolojisinde, dahili ağ, RFC 1918'de tanımlanan özel adres alanından adresleri kullanır. R1 - 192.168.10.0/24 ve 192.168.11.0/24 yönlendiricisine bağlı iki LAN vardır. Edge Router R2, 209.165.200.226 ila 209.165.200.240 arasında bir genel IPv4 adresi havuzu kullanılarak dinamik NAT çevirisi için yapılandırılır.
Genel IPv4 adresleri havuzu (dahili küresel adresler havuzu), ilk gelen ilk hizmet esasına göre dahili ağdaki herhangi bir cihaz tarafından kullanılabilir. Dinamik NAT, bir iç adresi bir dış adrese çevirir. Bu tür bir çeviri için, havuzda, aynı anda harici ağa erişmesi gereken tüm dahili cihazları kapsayacak kadar yeterli adres bulunmalıdır. Havuzdaki tüm adresler kullanılıyorsa, cihazın harici ağa erişmek için uygun bir adresi beklemesi gerekir.
İncirde. dinamik NAT'ı yapılandırmak için kullanılan adımları ve komutları gösterir.
Aşama 1. Komutu kullanma ip nat havuzuçeviri için kullanılacak adres havuzunu ayarlayın. Bu adres havuzu genellikle bir grup genel adrestir. Bu adresler, havuzun başlangıç ve bitiş IP adresleri belirtilerek belirlenir. anahtar kelime ağ maskesi veya önek uzunluğu adresin hangi bitlerinin ağla ve hangilerinin ana bilgisayar adresleri aralığıyla ilgili olduğunu gösterir.
Adım 2. Yalnızca çevrilmesi gereken adresleri tanımlamak (izin vermek) için standart bir ACL yapılandırın. Çok fazla izin verilen komut içeren bir ACL, öngörülemeyen sonuçlara yol açabilir. Her ACL'nin sonunda satır olduğunu unutmayın. Hepsini inkar etmek.
Aşama 3. ACL'yi havuza bağlayın. Emretmek kaynak listesi içinde ip naterişim listesi numarasısayı havuzuhavuz adı bir listeyi bir havuza bağlamak için kullanılır. Bu yapılandırma, yönlendirici tarafından hangi aygıtları belirlemek için kullanılır ( liste) hangi adresleri al ( havuz).
Adım 4. NAT içindeki arayüzleri tanımlayın, yani. dahili ağa bağlı herhangi bir arayüz.
Adım 5. NAT'a harici olan arayüzleri tanımlayın, ör. harici bir ağa bağlı herhangi bir arabirim.
İncirde. 2, örnek bir topoloji ve ilgili konfigürasyonu gösterir. Bu yapılandırma, ana bilgisayarlar S0 / 0/0 giren ve S0 / 1/0'dan çıkan trafik oluşturduğunda, 192.168.10.0 ve 192.168.11.0 yerel ağlarını içeren 192.168.0.0/16 ağındaki tüm ana bilgisayarlar için dönüştürmeye izin verir. Bu düğümlerin adresleri, havuzdan 209.165.200.226 ila 209.165.200.240 aralığındaki kullanılabilir bir adrese eşlenir.
İncirde. 3, sözdizimi denetleyicisini yapılandırmak için kullanılan topolojiyi gösterir. Şekil 2'deki sözdizimi denetleyicisini kullanın. 4 R2'de dinamik NAT çevirisini yapılandırmak için.
Dinamik NAT Analizi
Aşağıdaki şekiller, önceki yapılandırmayı kullanan iki istemci ve bir web sunucusu arasındaki dinamik NAT çeviri sürecini göstermektedir.
İncirde. 1, içeriden dışarıya trafik akışını gösterir.
1. Kaynak IPv4 adresleri (192.168.10.10 (PC1) ve 192.168.11.10 (PC2)) olan ana bilgisayarlar, sunucuya bağlantı isteyen paketleri genel bir IPv4 adresine (209.165.200.254) gönderir.
2. Yönlendirici R2, ilk paketi ana bilgisayar 192.168.10.10'dan alır. Bu paket, arabirim içinde NAT olarak yapılandırılmış bir arabirimde alındığından, R2, bu paketi çevirmesi gerekip gerekmediğini belirlemek için NAT yapılandırmasını kontrol eder. ACL bu pakete izin verir, dolayısıyla R2 onu dönüştürür. R2, NAT tablosunu kontrol ediyor. Bu IP adresi için çeviri girişi olmadığından R2, 192.168.10.10 kaynak adresinin dinamik çeviri gerektirdiğine karar verir. R2, dinamik adres havuzundan uygun bir genel adres seçer ve bir çeviri girişi oluşturur - 209.165.200.226. Orijinal IPv4 kaynak adresi (192.168.10.10) dahili yerel adrestir ve çeviri için kullanılan adres, NAT tablosundaki dahili global adrestir (209.165.200.226).
R2, dinamik adres havuzundan bir sonraki kullanılabilir genel adresi seçerek ve 209.165.200.227 adlı ikinci bir çeviri girişi oluşturarak ikinci düğüm 192.168.11.10 için prosedürü tekrarlar.
3. R2, PC1'in (192.168.10.10) dahili yerel kaynak adresini, dahili global adresle (209.165.200.226) çeviri için kullanılan adresle değiştirir ve paketi iletir. Aynı adımlar, çeviri için PC2'ye (209.165.200.227) karşılık gelen adres kullanılarak PC2 tarafından gönderilen paket için gerçekleştirilir.
Şekil 1
İncirde. 2 dışarıdan içeriye trafik akışını gösterir.
4. Sunucu, paketi PC1'den alır ve hedef IPv4 adresi 209.165.200.226 ile yanıt verir. İkinci paketi aldığında, sunucu 209.165.200.227 hedef IPv4 adresini kullanarak PC2'ye yanıt verir.
5a. R2, hedef IPv4 adresi 209.165.200.226 olan bir paket aldığında, Router R2 NAT tablosuna bakar. R2, adresi iç yerel adrese (192.168.10.10) geri çözümlemek için tablodaki eşlemeyi kullanır ve paketi PC1'e iletir.
5b. R2, hedef IPv4 adresi 209.165.200.227 olan bir paket aldığında, yönlendirici R2 NAT tablosunu arar. R2, adresi iç yerel adrese (192.168.11.10) geri çözmek için tablodan eşleştirmeyi kullanır ve paketi PC2'ye iletir.
6. 192.168.10.10 adresli PC1 ve 192.168.11.10 adresli PC2 paketleri alır ve diyaloga devam eder. NAT yönlendiricisi her paket için 2-5b adımlarını gerçekleştirir (adım 6 şekillerde gösterilmemiştir).
İncir. 2
Dinamik NAT kontrolü
Takım sonuçları ip nat çevirilerini gösterŞek. 1 önceki iki NAT ataması hakkında bilgi içerir. Komut, yapılandırılmış tüm statik adres çevirilerini ve trafik işlemenin bir sonucu olarak oluşturulan tüm dinamik çevirileri görüntüler.
Anahtar kelime ekleme ayrıntılı girişin oluşturulduğu ve kullanıldığı zamandan bu yana geçen süre de dahil olmak üzere her dönüşüm hakkında ek bilgiler görüntüler.
Varsayılan olarak, komut kullanılarak zamanlayıcı ayarı değiştirilmediği sürece dönüştürme girişleri 24 saat sonra sona erer. ip nat çeviri zaman aşımızaman aşımı-saniye küresel yapılandırma modunda.
Dinamik girişleri süresi dolmadan silmek için genel yapılandırma modu komutunu kullanın. net ip nat çeviri... NAT yapılandırmanızı doğrularken dinamik girişleri silmeniz önerilir. Tabloda gösterildiği gibi, bu komut hangi kayıtların silineceğini belirlemek için anahtar kelimeler ve değişkenlerle birlikte kullanılabilir. Etkin oturumların kilitlenmesini önlemek için belirli girişler silinebilir. Tablodan tüm dönüşümleri kaldırmak için genel yapılandırma komutunu kullanın. net ip nat çevirisi *.
Not... Tablodan yalnızca dinamik dönüşümler kaldırılır. Statik dönüşümler, dönüşüm tablosundan kaldırılamaz.
Gösterildiği gibi, komut ip nat istatistiklerini göster toplam etkin çeviri sayısı, NAT yapılandırma parametreleri, havuzdaki adres sayısı ve tahsis edilen adreslerin sayısı hakkında bilgileri görüntüler.
Alternatif olarak, komutu kullanabilirsiniz. çalışan yapılandırmayı göster ve NAT, ACL, arabirim veya havuz komutlarını bulun istenen değerler... Sonuçları dikkatlice inceleyin ve bulunan hataları düzeltin.
Port Adresi Çevirisini (PAT) Yapılandırma
PAT bağlantı noktası adres çevirisi (aşırı yüklenmiş NAT olarak da adlandırılır), yönlendiricinin birden çok dahili yerel adres için bir dahili genel adresi kullanmasına izin vererek dahili global havuzdaki adresleri korur. Başka bir deyişle, tek bir genel IPv4 adresi, yüzlerce hatta binlerce dahili IPv4 özel adresi için kullanılabilir. Bu tür bir çeviri yapılandırıldığında, yönlendirici, iç global adresi doğru iç yerel adrese çevirmek için TCP veya UDP bağlantı noktası numaraları gibi yeterince yüksek katman protokol bilgilerini depolar. Birden çok dahili yerel adresi tek bir dahili genel adrese bağladığınızda, yerel adresleri ayırt etmek için TCP veya UDP bağlantı noktası numaraları kullanılır.
Not... Bir harici adrese çevrilebilecek toplam dahili adres sayısı teorik olarak IP adresi başına 65.536'ya ulaşabilir. Ancak tek bir IP adresi atanabilecek dahili adres sayısı yaklaşık 4000'dir.
ISP'nizin genel IPv4 adreslerini nasıl ayırdığına bağlı olarak PAT'yi yapılandırmanın iki yolu vardır. İlk durumda, ISP kuruluşa birkaç genel IPv4 adresi tahsis eder ve ikinci durumda, tek bir genel IPv4 adresi tahsis edilir. organizasyon için gerekliİnternet sağlayıcısının ağına bağlanmak için.
Genel IP adresleri havuzu için PAT'yi yapılandırma
Bir nesneye birden fazla genel IPv4 adresi tahsis edilmişse, bu adresler PAT tarafından kullanılan havuzun bir parçası olabilir. Bu, dinamik NAT'a benzer, ancak iç ve dış adresler arasında bire bir yazışmalar oluşturmak için yeterli genel adres yoktur. Küçük bir adres havuzu, çok sayıda cihaz tarafından paylaşılır.
İncirde. 1, bir adres havuzu kullanmak için PAT'yi yapılandırma adımlarını gösterir. Bu yapılandırma ile dinamik bire bir NAT yapılandırması arasındaki temel fark, anahtar sözcüğün kullanılmasıdır. aşırı yükleme... anahtar kelime aşırı yükleme PAT çalışmasını sağlar.
Şekil 2'de gösterilen konfigürasyonun bir örneği. 2, NAT-POOL2 adlı NAT havuzu için bir aşırı yük çevirisi oluşturur. NAT-POOL2, 209.165.200.226 ile 209.165.200.240 arasındaki adresleri içerir. Dönüşüm nesneleri, 192.168.0.0/16 ağındaki ana bilgisayarlardır. S0 / 0/0 arayüzü, dahili arayüz olarak tanımlanır ve harici arayüz- S0 / 1/0 arayüzü.
Şekil 2'deki sözdizimi denetleyicisini kullanın. 3 bir adres havuzu kullanarak R2'de PAT'yi yapılandırmak için.
Bir genel IPv4 adresi için PAT'yi yapılandırma
İncirde. 1, tek bir genel IPv4 adresini çevirmek için bir PAT uygulamasının topolojisini gösterir. Bu örnekte, 192.168.0.0/16 ağındaki (ACL 1'e karşılık gelen) R2 yönlendiricisi aracılığıyla İnternet'e trafik gönderen tüm ana bilgisayarlar, IPv4 adresi 209.165.200.225 (S0 / 1/0 arabiriminin IPv4 adresi) ile eşleştirilecektir. ). Trafik akışları NAT tablosundaki port numaralarına göre belirlenecektir, çünkü aşırı yükleme.
İncirde. Şekil 2, bir PAT'yi tek bir IPv4 adresiyle yapılandırmak için gereken adımları gösterir. Yalnızca bir genel IPv4 adresi varsa, aşırı yükleme yapılandırmasına genellikle ISP'ye bağlanan harici arabirimin genel adresi atanır. Dış arabirimden ayrılan paketlerdeki tüm dahili adresler, tek bir IPv4 adresine çevrilir.
Aşama 1. Trafik dönüşümüne izin veren bir EKL tanımlayın.
Adım 2. Anahtar kelimeleri kullanarak kaynak dönüştürmeyi özelleştirin arayüz ve aşırı yükleme... anahtar kelime arayüz dahili adresleri çevirirken kullanılacak arayüzün IP adresini tanımlar. anahtar kelime aşırı yükleme yönlendiriciye her NAT girişi için bağlantı noktası numaralarını izlemesini söyler.
Aşama 3. NAT için dahili olan arabirimleri belirtin. Bu, dahili ağa bağlı herhangi bir arabirimdir.
Adım 4. NAT'ın dışında olan bir arabirim belirtin. Bu, 2. adımda kaynak dönüştürme girişinde belirtilen arabirimle aynı olmalıdır.
Anahtar kelimenin bir adres havuzu yerine harici bir IPv4 adresi tanımlamak için kullanılması dışında, bu yapılandırma dinamik NAT'a benzer. arayüz... Bu nedenle, hiçbir NAT havuzu tanımlanmamıştır.
Tek bir adresle R2'de PAT'yi yapılandırmak için sözdizimi denetleyicisini kullanın.
PAT analizi
NAT aşırı yük çevirisi işlemi, bir adres havuzu kullanılırken veya tek bir adres kullanılırken aynıdır. Tek bir genel IPv4 adresi kullanan önceki PAT örneğinden devam ederek, PC1, Svr1 web sunucusuna bağlantı gerektirir. Aynı zamanda, başka bir istemci olan PC2'nin Svr2 web sunucusuyla benzer bir oturum oluşturması gerekir. Hem PC1 hem de PC2, özel IPv4 adresleriyle yapılandırılır ve R2'de PAT etkinleştirilir.
Paketleri bilgisayarlardan sunuculara aktarma işlemi
1. Şek. Şekil 1, sırasıyla Svr1 ve Svr2 sunucularına paket gönderen PC1 ve PC2 bilgisayarlarını göstermektedir. PC1, 192.168.10.10 IPv4 adresini ve kaynak TCP bağlantı noktası 1444'ü kullanır. PC2, 192.168.10.11 kaynak IPv4 adresini kullanır ve tesadüfen aynı kaynak TCP bağlantı noktası 1444'ü kullanır.
2. PC1'den gelen paket önce R2 yönlendiricisine ulaşır. R2, PAT kullanarak kaynak IPv4 adresini 209.165.200.225 (genel adresin içinde) olarak değiştirir. NAT tablosunda 1444 numaralı bağlantı noktasını kullanan başka aygıt yoktur, bu nedenle PAT aynı bağlantı noktası numarasını tutar. Paket daha sonra 209.165.201.1'de Svr1 sunucusuna iletilir.
3. Ardından, PC2'den R2 yönlendiricisine bir paket gelir. PAT ayarı, tüm çevirilerin aynı dahili global IPv4 adresini, 209.165.200.225 kullanmasını sağlar. PC1 için çeviri sürecine benzer şekilde PAT, PC2'nin IPv4 kaynak adresini 209.165.200.225 dahili genel adresiyle değiştirir. Ancak bu PC2 paketi, PC1'i dönüştüren mevcut PAT girişinde zaten bulunan kaynak bağlantı noktası numarasını kullanır. PAT, verilen tablo için benzersiz olana kadar kaynak bağlantı noktası numarasını artırır. Bu durumda, NAT tablosundaki kaynak port girişi ve PC2'den gelen pakete 1445 numarası atanır.
PC1 ve PC2 aynı çevrilmiş adresi kullanmasına rağmen, dahili genel adres 209.165.200.225 ve aynı kaynak bağlantı noktası numarası 1444'tür, PC2 için değiştirilen bağlantı noktası numarası (1445) NAT tablosundaki her girişi benzersiz kılar. Bu, sunucular paketleri istemcilere geri gönderdiğinde ortaya çıkar.
Paketleri sunuculardan bilgisayarlara aktarma işlemi
4. Şek. Şekil 2'de gösterildiği gibi, tipik bir istemci-sunucu alışverişinde, Svr1 ve Svr2 sunucuları sırasıyla PC1 ve PC2 bilgisayarlarından alınan isteklere yanıt verir. Sunucular, dönüş trafiği için alınan paketin kaynak bağlantı noktasını hedef bağlantı noktası olarak ve kaynak adresi de hedef adres olarak kullanır. Sunucular, tek bir 209.165.200.225 düğümü ile haberleşiyormuş gibi davranır, ancak durum böyle değildir.
5. Paketleri aldıktan sonra, yönlendirici R2, her paketin hedef adresini ve hedef bağlantı noktasını kullanarak NAT tablosunda benzersiz bir giriş bulur. Svr1'den bir paket alınırsa, IPv4 hedef adresi 209.165.200.225 birkaç girişe karşılık gelir, ancak bunlardan yalnızca biri hedef bağlantı noktası 1444'ü içerir. Bu tablo girişini kullanarak, yönlendirici R2 paketin hedef IPv4 adresini 192.168.10.10 olarak değiştirir. Bu durumda hedef bağlantı noktasının değiştirilmesi gerekli değildir. Paket daha sonra PC1'e iletilir.
6. Paketi Svr2 sunucusundan aldıktan sonra, R2 aynı dönüştürmeyi gerçekleştirir. Yönlendirici, birden çok girişle 209.165.200.225 IPv4 hedef adresini yeniden bulur. Ancak, hedef bağlantı noktası 1445'i kullanarak R2, eşleme girişini benzersiz bir şekilde tanımlayabilir. Hedef IPv4 adresi 192.168.10.11 olarak değiştirilir. Bu durumda, hedef bağlantı noktası da NAT tablosunda saklanan 1444 orijinal değerine değiştirilmelidir. Paket daha sonra PC2'ye iletilir.
PAT kontrolü
R2, 192.168.0.0/16 ağındaki istemcilere PAT sağlayacak şekilde yapılandırılmıştır. Dahili ana bilgisayarlar R2 üzerinden İnternet'e gittiğinde, adresleri benzersiz bir kaynak bağlantı noktası numarasına sahip PAT havuzundan bir IPv4 adresine çözümlenir.
PAT kontrolü, Şekil 2'de gösterildiği gibi statik ve dinamik NAT kontrolü ile aynı komutları kullanır. 1. Takım ip nat çevirilerini göster iki farklı siteden farklı web sunucularına trafik için dönüşümler üretir. İki farklı dahili ana bilgisayara aynı IPv4 adresi 209.165.200.226 (dahili global adres) atandığını unutmayın. Kaynak bağlantı noktası numaraları, iki işlemi birbirinden ayırmak için NAT tablosunda kullanılır.
Şekilde gösterildiği gibi. 2, takım ip nat istatistiklerini göster NAT-POOL2'de her iki çeviri için bir adresin tahsis edildiğini doğrulamanıza olanak tanır. Komut çıktısı, aktif çevirilerin sayısı ve türü, NAT ayarları, havuzdaki adreslerin sayısı ve tahsis edilen adreslerin sayısı hakkında bilgi içerir.
NAT veya Ağ Adresi Çevirisi, İnternet Protokolü veya IP'deki ağ adresi bilgilerini değiştirerek bir adres alanını diğerine yeniden atamanın bir yoludur. Paket başlıkları, yönlendirme aygıtları aracılığıyla geçiş halindeyken değişir. Bu yöntem, başlangıçta, her bir ana bilgisayarı numaralandırmaya gerek kalmadan IP ağlarındaki trafiği daha kolay yeniden yönlendirmek için kullanıldı. Akut bir IPv4 adresi sıkıntısı karşısında küresel adres alanını tahsis etmek ve sürdürmek için önemli ve popüler bir araç haline geldi.
NAT nedir?
Ağ adresi çevirisinin kullanımı, her adresi bir adres alanından farklı bir adres alanında bulunan bir adrese eşlemektir. Bu, servis sağlayıcının değişmesi ve kullanıcının şebekeye giden yeni rotayı herkese açık olarak duyurma fırsatına sahip olmaması durumunda gerekli olabilir. Küresel adres alanının tükenmesi karşısında, NAT teknolojisi 1990'ların sonlarından beri giderek daha fazla kullanılmaktadır. Tipik olarak bu teknoloji, IP şifreleme ile birlikte kullanılır. IP şifreleme, birden çok IP adresini tek bir alana dönüştürme yöntemidir. Bu mekanizma, gizli adresleri tek bir IP adresine eşlemek için kalıcı çeviri tabloları kullanan bir yönlendirme cihazında uygulanır. Ayrıca, çıkıştaki tüm giden IP paketlerini yeniden yönlendirir. Böylece bu paketler yönlendirme cihazından çıkıyor olarak görüntülenir. Geri bağlantı yanıtları, çeviri tablolarında depolanan kurallar kullanılarak orijinal IP adresine eşlenir. Buna karşılık, trafik durumunu güncellemezse, çeviri tabloları kısa bir süre sonra temizlenir. Temel NAT mekanizması budur. Ne anlama geliyor? Bu teknoloji, çeviri tabloları oluşturduğundan, yalnızca bağlantı şifreli bir ağda gerçekleştiğinde bir yönlendirici aracılığıyla iletişimi düzenlemeyi mümkün kılar. Böyle bir ağın içinde, bir web tarayıcısı onun dışındaki bir siteyi görüntüleyebilir, ancak bunun dışına yüklendiğinde, üzerinde barındırılan bir kaynağı açamaz. Günümüzde çoğu NAT cihazı, ağ yöneticisinin kalıcı kullanım için çeviri tablosu girişlerini yapılandırmasına izin verir. Bu özellik genellikle bağlantı noktası iletme veya statik NAT olarak adlandırılır. "Dış" ağa giden trafiğin şifrelenmiş ağdaki belirlenmiş ana bilgisayarlara ulaşmasını sağlar. IPv4 adres alanını korumak için kullanılan tekniğin popülaritesi nedeniyle, NAT terimi pratikte şifreleme ile eş anlamlı hale geldi. Ağ adresi çevirisi, IP paketlerinin adres bilgilerini değiştirdiği için, bunun bağlantı kalitesi üzerinde ciddi sonuçları olabilir. Bu nedenle, tüm uygulama detaylarına yakın dikkat gerektirir. NAT'ın kullanım biçimleri, ağ trafiği üzerindeki etkiyle ilgili farklı durumlardaki belirli davranışlarında birbirinden farklıdır.
Temel NAT
En basit NAT türü, IP adreslerinin bire bir çevirisine izin verir. Bu yayının ana türü RFC-2663'tür. Bu durumda, IP başlıklarının sağlama toplamının yanı sıra yalnızca IP adresleri değiştirilir. Temel çeviri türleri, uyumsuz adreslemeye sahip iki IP ağını bağlamak için kullanılabilir.
Çoğu NAT çeşidi, birden çok özel ana bilgisayarı genel olarak belirlenmiş tek bir IP adresine eşleme yeteneğine sahiptir. Tipik bir konfigürasyondaki bir LAN, alt ağ için atanan "özel" IP adreslerinden birini kullanır. Bu ağda yönlendiricinin uzayda özel bir adresi vardır. Ayrıca yönlendirici, İnternet sağlayıcısı tarafından atanan bir "genel adres" kullanarak İnternet'e bağlanır. Trafik yerel İnternet'ten geçtiği için, her paketteki kaynak adres anında özelden genele çevrilir. Yönlendirici ayrıca her aktif bağlantıyla ilgili temel verileri takip eder. Bu özellikle adres ve varış limanı gibi bilgiler için geçerlidir. Cevap kendisine geri döndüğünde çıkış aşamasında kaydedilen bağlantı verilerini kullanır. Bu, yanıtın yönlendirileceği dahili ağın özel adresini belirlemek için gereklidir. Bu işlevselliğin ana avantajı, IPv4 adres alanını tüketme sorununa pratik bir çözüm olmasıdır. Büyük ağlar bile tek bir IP adresi kullanılarak İnternet'e bağlanabilir. IP ağlarındaki tüm paket datagramlarının iki IP adresi vardır - kaynak adres ve hedef adres. Özel ağdan genel ağa giden paketler, genel ağdan özel ağa geçiş sırasında değişen bir paket kaynak adresine sahip olacaktır. Daha karmaşık konfigürasyonlar da mümkündür.
NAT yapılandırmasının özellikleri
NAT yapılandırması özel olabilir. İade edilen paketleri tercüme etme zahmetinden kaçınmak için daha fazla değişiklik yapılması gerekebilir. İnternet trafiğinin çoğu UDP ve TCP üzerinden geçecektir. Numaraları, veriler geri gönderildiğinde IP adresleri ve port numaraları eşleşecek şekilde değiştirilir. UDP veya TCP'ye dayalı olmayan protokoller, farklı çeviri yöntemleri gerektirir. Tipik olarak, ICMP veya İnternet Mesaj Kontrol Protokolü, iletilen bilgileri mevcut bağlantıyla ilişkilendirir. Bu, orijinal olarak ayarlanan aynı IP adresi ve numara kullanılarak görüntülenmeleri gerektiği anlamına gelir. Nelerin dikkate alınması gerekiyor? NAT'ın yönlendiricide yapılandırılması, uçtan uca bağlantı sağlamaz. Bu nedenle, bu tür yönlendiriciler bazı İnternet protokollerine katılamamaktadır. Harici ağdan veya protokol dışı kullanıcılardan TCP bağlantılarının başlatılmasını gerektiren hizmetler mevcut olmayabilir. NAT yönlendirici çalışmıyorsa özel çabalar bu tür protokolleri desteklemek için gelen paketler asla hedeflerine ulaşmayabilir. Bazı protokoller, bazen bir uygulama katmanı ağ geçidi kullanılarak, katılan ana bilgisayarlar arasında aynı çeviride barındırılabilir. Ancak, her iki sistem de NAT kullanılarak İnternet'ten ayrıldığında bağlantı kurulmayacaktır. Ayrıca NAT kullanımı, isteklerin bütünlük kontrolleriyle etkileşime giren başlıklardaki değerleri değiştirdiği için IPsec gibi tünel protokollerini karmaşıklaştırır.
NAT: mevcut bir sorun
İnternetin temel prensibi uçtan uca bağlantıdır. Kuruluşundan beri var olmuştur. Ağın mevcut durumu yalnızca NAT'ın bir ihlal olduğunu kanıtlıyor bu ilke... Profesyonel bir ortamda, IPv6'da ağ adresi çevirisinin yaygın kullanımı hakkında ciddi endişeler vardır. Bu nedenle, bugün bu sorunun nasıl ortadan kaldırılacağı sorusu gündeme gelmektedir. NAT yönlendiricilerindeki çeviri durumu tabloları doğal olarak kalıcı olmadığından, dahili ağdaki cihazlar çok kısa bir süre içinde IP bağlantısını kaybeder. Bir yönlendiricide NAT'ın ne olduğundan bahsederken bu durumu unutmamalıyız. Bu, şarj edilebilir piller ve pillerle çalışan kompakt cihazların çalışma süresini önemli ölçüde azaltır.
ölçeklenebilirlik
NAT ayrıca yalnızca birden çok eşzamanlı bağlantı kullanan dahili uygulamalar tarafından hızla tüketilebilen bağlantı noktalarını da izler. Olabilir HTTP istekleriçok sayıda gömülü nesne içeren sayfalar için. Bu sorun, bağlantı noktasına ek olarak hedefteki IP adresinin izlenmesiyle azaltılabilir. Böylece bir yerel bağlantı noktası çok sayıda uzak ana bilgisayar tarafından paylaşılabilir.
NAT: bazı komplikasyonlar
Tüm dahili adresler tek bir genel adres olarak gizlendiğinden, harici ana bilgisayarların güvenlik duvarında özel bir yapılandırma ayarlamadan belirli bir dahili ana bilgisayara bağlantı başlatması mümkün değildir. Bu yapılandırma, bağlantıları belirli bir bağlantı noktasına yönlendirmelidir. IP telefonu, video konferansı ve benzer uygulamalar, düzgün çalışması için NAT geçiş tekniklerini kullanmalıdır. Rapt çeviri bağlantı noktası iade adresi IP adresi zaman zaman değişen bir ana bilgisayarın, ev ağının sabit IP adresini kullanan bir sunucu olarak kullanılabilir durumda kalmasına izin verir. Bu prensipte sunucu kurulumunun bağlantıyı sürdürmesine izin vermelidir. Bu çözüm ideal olmasa da, bir yönlendiricide NAT yapılandırmasıyla ilgili sorunları çözerken ağ yöneticisinin cephaneliğinde başka bir yararlı araç olabilir.
PAT veya Port Adresi Çevirisi
Port Adresi Çevirisi, birden çok özel IP adresini tek bir genel IP adresiyle eşleyen bir Cisco Rapt uygulamasıdır. Böylece, her biri bir port numarası kullanılarak izlendiğinden, birden fazla adres bir adres olarak eşlenebilir. PAT, veri aktarımının yönünü ayırt etmek için benzersiz dahili global IP kaynak bağlantı noktası numaralarını kullanır. Bu sayılar 16 bitlik tam sayılardır. Tek bir dış adrese çevrilebilecek toplam dahili adres sayısı teorik olarak 65536'ya ulaşabilir. Gerçekte, tek bir IP adresinin atanabileceği port sayısı yaklaşık 4000'dir. PAT, kural olarak, orijinali korumaya çalışır. "orijinal" limanı ... Halihazırda kullanılıyorsa, Bağlantı Noktası Adresi Çevirisi, ilgili grubun başlangıcından başlayarak ilk uygun bağlantı noktası numarasını atar. Kullanılabilir bağlantı noktası olmadığında ve birden fazla harici IP adresi olduğunda, PAT kaynak bağlantı noktasını tahsis etmek için bir sonrakine geçer. Bu işlem mevcut veriler bitene kadar devam edecektir. Cisco Hizmeti, adresi ve bağlantı noktasını görüntüler. IPv4 paketlerini dahili bir IPv6 ağı üzerinden tünellemek için çeviri bağlantı noktası adresini ve verilerini birleştirir. Aslında, portların ve adreslerin IP çevirisini destekleyen Carrier Grade NAT ve DS-Lite'ın alternatif bir versiyonudur. Bu, bir bağlantı kurma ve sürdürme ile ilgili sorunları önler. Ayrıca IPv6 dağıtımı için bir geçiş mekanizması sağlar.
Çeviri yöntemleri
Bir ağ adresinin ve bağlantı noktasının çevirisini uygulamanın birkaç ana yolu vardır. Belirli uygulama protokolleri, bağlantının diğer ucunda kullanılan harici NAT adresini belirlemenizi gerektirir. İletim tipini incelemek ve sınıflandırmak da sıklıkla gereklidir. Tipik olarak, bu yapılır çünkü ayrı NAT'ların arkasındaki iki istemci arasında doğrudan bir iletişim kanalı oluşturmak istenir. Bu amaçla, NATS üzerinden basit bir UPD geçişi sağlayan özel bir protokol RFC 3489 geliştirilmiştir. Bugün zaten modası geçmiş olarak kabul ediliyor, çünkü bu günlerde bu tür yöntemlerin cihazların çalışmasının doğru bir şekilde değerlendirilmesi için yetersiz olduğu düşünülüyor. 2008 yılında RFC 5389 geliştirilmiş ve yeni yöntemler standardize edilmiştir. Bu belirtime bugün Oturum Geçişi denir. o temsil eder özel yardımcı program NAT'ın çalışması için tasarlanmıştır.
İki yönlü iletişim oluşturun
Her UDP ve TCP paketi, hedef bağlantı noktası koordinatlarının yanı sıra kaynak IP adresini ve bağlantı noktası numarasını içerir. Bağlantı noktası numarası, posta sunucusu işlevi gibi genel hizmetleri almak için çok önemlidir. Bu nedenle, örneğin, 25 numaralı bağlantı noktası SMTP posta sunucusuna bağlanır ve 80 numaralı bağlantı noktası SMTP posta sunucusuna bağlanır. yazılım Web sunucusu. Genel sunucunun IP adresi de önemlidir. Bu parametreler, bağlantı kurmak isteyen düğümler tarafından güvenilir bir şekilde bilinmelidir. Özel IP adresleri yalnızca yerel ağlarla ilgilidir.
