Da li je nat potrebno? Prijevod mrežne adrese (NAT)

Više nije vijest da nema dovoljno IP mrežnih adresa za sve uređaje koji žele biti na internetu. Trenutno je izlaz iz ove situacije pronađen razvojem IPv6 protokola, u kojem je dužina adrese 128 bita, dok je trenutni IPv4 samo 32 bita. No, početkom 2000-ih, pronašli su drugo rješenje - da koriste prijevod mrežnih adresa, skraćeno nat. Kasnije u članku ćemo konfigurirati nat u ruteru.

Ulazak u meni postavki rutera

Kao primjer, uzmimo ZyXEL ruter serije ZyWALL USG i NXC5200.

Prije svega, idite na postavke rutera. Da biste to učinili, u bilo kojem web pretraživaču unesite 192.168.1.1 u adresnu traku. (standardna adresa rutera), pojavit će se prozor u kojem će se tražiti da unesete svoju prijavu i lozinku.

U polje “Username” unesite admin, u polje “Password” unesite 1234. Kliknite na “OK”.

Podešavanje nat-a u ruteru

U prozoru menija koji se otvori idite na karticu "Konfiguracija" (ikona sa dva zupčanika), zatim "Mreža", pa "Rutiranje". U odabranom prozoru idite na karticu “Policy Routing”.

Meni postavki ZyXEL rutera

U ovom meniju se konfiguriše politika rutiranja. U oblasti „Kriterijumi“ postavljamo kriterijume za odabir saobraćaja – koji saobraćaj treba da se emituje (zapravo konfiguriše nat), a koji jednostavno treba da se rutira. Saobraćaj se može odabrati na osnovu nekoliko kriterijuma:

1. Korisnik (Korisnik);
2. Po interfejsu (Incoming);
3. Po izvornoj IP adresi;
4. Po IP adresi primaoca (Adresa odredišta);
5. Po odredišnoj luci (Usluga).

U području “Next-Hop” dodjeljujemo objekt za preusmjeravanje prometa:

Odabir objekta preusmjeravanja ZyXEL rutera

Gde „Auto” – saobraćaj će biti preusmeren na podrazumevani globalni interfejs; Gateway – na adresu navedenu u postavkama mrežnog prolaza; VPN tunel – IPSec virtuelni privatni tunel; Trunk – ruta do “trunk”, gdje je “trunk” nekoliko interfejsa konfiguriranih da rade zajedno ili u redundantnom modu; Interfejs – preusmjeravanje na navedeni interfejs:

Važno je zapamtiti da svaki put kada izvršite promjene u postavkama rutera, kliknite na dugme “OK” da biste sačuvali postavke, a ne samo da zatvorite web pretraživač.

Podešavanje nat-a na računaru

Kao što znate, sam lični računar može poslužiti kao ruter. Često postoji situacija kada postoji računarska mreža od nekoliko računara, od kojih jedan ima pristup Internetu. U ovoj situaciji ne možete uopće kupiti rutere, već postaviti računalo s pristupom Internetu kao ruter i konfigurirati nat na njemu. Razmotrimo ovaj slučaj detaljnije.

Obavezno instalirajte 2 mrežne kartice na glavno računalo koje gleda na internet (nazovimo ga SERVER) - prva za povezivanje na lokalnu mrežu, druga na provajdera. Primjer će koristiti Windows Server 2012 operativni sistem.

Da biste konfigurirali, prije svega pokrenite “Server Manager” (Start -> Administrativni alati -> Server Manager). Pojavit će se prozor postavki:

Odavde ćemo upravljati našim serverom. Da biste nastavili sa konfiguracijom, kliknite na "Dodaj uloge i funkcije", što će otvoriti prozor čarobnjaka za dodavanje uloga. Prvi korak - Vrsta instalacije:

U sljedećem prozoru trebamo odabrati ulogu koju instaliramo na server. Označite okvir pored "Daljinski pristup".

Pojavit će se sljedeći prozor koji prikazuje popis komponenti potrebnih za rad. Kliknite na "Dodaj komponente", ovaj prozor će nestati. Kliknite na “Dalje”.

U sljedećem prozoru, čarobnjak od vas traži da dodate komponente servera. Ne morate ništa mijenjati, kliknite na “Dalje”.

Na sljedećoj stranici, čarobnjak nas jednostavno obavještava o radu uloge Remote Access. Kliknite na “Dalje”.

U sljedećem koraku trebate odabrati “Usluge uloga”. Označite kućicu pored “Routing” i kliknite na “Next”.

Sljedeći prozor je opet informativnog karaktera, ne morate ništa birati, ali možete označiti kućicu pored "Automatsko ponovno pokretanje na odabranom serveru...", zbog čega će se server automatski ponovo pokrenuti nakon instalacije. Ali to možete učiniti i ručno. Kliknite na “Dalje”.

I posljednji korak je stvarna instalacija servera. Kada završite, kliknite na dugme "Zatvori".

Instalacija servera

Dakle, konfigurisali smo računar koji je povezan na Internet u serverskom režimu. Sada trebate konfigurirati nat na njemu.

Idite na Start / Administracija / Rutiranje i daljinski pristup. U prozoru koji se pojavi, na lijevoj strani nalazimo stavku „SERVER (lokalni)“, kliknite desnim klikom na nju i u padajućem izborniku kliknite na „Konfiguriraj i omogući usmjeravanje i daljinski pristup“.

Pojavit će se čarobnjak za postavljanje servera za rutiranje i udaljeni pristup u kojem ćemo konfigurirati nat.

Na prvoj stranici se ukratko upoznajemo sa čarobnjakom - kliknite na “Dalje”. Sljedeći korak je odabir jednog od servisa koji će raditi na ovom serveru. Odaberite “Prevod mrežne adrese (NAT)” i kliknite “Dalje”.

Zatim će čarobnjak od vas tražiti da odaberete mrežnu vezu koja gleda na Internet. Obje mrežne kartice će biti prisutne na listi (barem ovisno o tome koliko ih je instalirano na serveru). Odabiremo onaj na koji je povezan mrežni kabel provajdera. Kliknite na “Dalje”.

U sljedećem prozoru, čarobnjak će se početi žaliti da ne može otkriti DHCP ili DNS usluge na lokalnoj mreži. Postoje dvije opcije za nastavak - omogućiti osnovne usluge ili kasnije instalirati usluge.

Odaberite prvu stavku i kliknite "Dalje". Na sledećoj stranici ću vas obavestiti u kom opsegu će nat raditi. Čarobnjak za podešavanje automatski bira ovaj raspon, na osnovu konfiguracije mrežne veze povezane s lokalnom mrežom. Kliknite na “Dalje”.

nat range

To je to, čarobnjak za podešavanje završava nat podešavanje. Kliknite „Dalje“, a u sledećem prozoru „Gotovo“.

Zadnje što preostaje je konfiguracija klijentskih računala, odnosno svih ostalih računala na lokalnoj mreži. Da biste to učinili, na klijentskom računaru (ovo će se morati učiniti na svakom računaru na mreži), idite na Start / Control Panel / Network and Sharing Center / promijenite postavke adaptera. Idite na “Mrežne veze”. Kliknite desnim tasterom miša na ikonu i sa padajućeg menija izaberite „Svojstva“. U prozoru koji se pojavi odaberite “Internet Protocol Version 4 (TCP/IPv4)” i kliknite na “Properties”.

U polje “Default gateway” upisujemo IP adresu serverskog računara (koja je konfigurisana u prethodnom koraku), u polje “Preferred DNS server” upisujemo IP adresu DNS servera provajdera navedenog u informacijama o internet konekciji na serveru. Kliknite na “OK” i ponovo “OK”. To je to, klijentski računar je povezan na Internet.

Dobar dan, dragi čitaoci! Pa, hajde da pričamo o tome NAT.

Danas ćemo detaljnije raspravljati o pomalo bolnoj i prilično nerazumljivoj temi, ali više nerazumljivoj nego bolnoj.

U većoj mjeri, ovaj problem se tiče onih koji igraju igrice za više igrača, a ukratko, ovaj problem zvuči otprilike ovako: „ZAŠTO NIKO NE DOLAZI K meni?“ Za druge ovaj problem izgleda malo drugačije, naime:

• Zašto se torrent ne preuzima?
• Zašto korisnici/prijatelji/poznanici/nepoznate ličnosti ne mogu da se povežu na FTP, WEB, VOIP (TS, Mumble, bucket) i druge servere koje ste toliko dugo pokušavali da podesite i čak proverili da li vam sve radi?
• Zašto je vaš lični kućni server prazan? Može li ovo biti univerzalna zavjera?

Ali, medjutim, nema zavere, krivac svih ovih nevolja je pored vas i lukavo vam namiguje sijalicama, a zove se... ruter, da, da, isti onaj koji distribuira internet do sve vaše (a možda i vaše komšije) uređaje.

Ukratko, korisnici interneta jednostavno ne mogu da se povežu s vama jer im vaš ruter ne dozvoljava, ali to radi ne samo iz hira, već zato što ne zna da svi ti ljudi žele da se povežu sa vama. Pa misli da oni nešto žele od njega.

Da, upravo sam vam opisao zašto je potreban NAT. A sada o tome šta je to.

Opća definicija

NAT (Network Address Translation) je mehanizam koji omogućava ruteru da odredi koji se servisi nalaze iza rutera i trebaju biti dostupni sa interneta kako bi korisnici odatle mogli koristiti ove servise (ja nisam uzeo definiciju sa wikija, jer to je nejasno i ne razumiju ga svi).

NAT je prisutan u svim ruterima i serverskim operativnim sistemima u ovom ili onom obliku. U ruterima se to obično naziva prosljeđivanje portova, u Linuxu iptables, na Windows serverima - u posebnoj opremi. Hajde sada da pričamo o različitim tipovima NAT-a.

Upišite jedan, statički NAT

Statički NAT nije potreban za vaš dom, ali je potreban ako je vaš provajder dodijelio nekoliko IP adresa (spoljašnjih ili „bijelih“ adresa) vašoj kompaniji, a vama su potrebni neki serveri da uvijek budu vidljivi sa Interneta, a da se njihove adrese ne mijenjaju.

One. Događa se 1-1 konverzija adrese (jedan eksterni IP se dodeljuje jednom internom serveru). Sa ovim podešavanjem, vaši serveri će uvijek biti dostupni sa Interneta na bilo kom portu.

• Prednost ove metode je što otvarate pristup sa Interneta posebno za određeni program na određenom računaru/serveru, svi ostali portovi računara/servera ostaju zatvoreni;
• Nedostatak je što morate ručno otvoriti sve portove (ponekad programi to rade umjesto vas koristeći UPnP tehnologiju, ali to se ne događa uvijek).

Pogovor

Ispalo je malo haotično, a tema je dosta komplikovana, ali nadam se da vas sad riječ NAT neće naježiti :)

Kao i uvijek, ako imate bilo kakvih pitanja, razmišljanja, dodataka itd., slobodno komentirajte ovu objavu.

PS: Za postojanje članka posebno se zahvaljujem prijatelju projekta i članu našeg tima pod nadimkom „barn4k“

Pozdrav svima, danas ćemo razgovarati o tome kako konfigurirati Cisco NAT. Šta je NAT i zašto je uopšte neophodan, budući da je ova funkcionalnost odavno čvrsto ušla u naš svakodnevni život i sada je vrlo teško zamisliti barem jedno preduzeće koje ne koristi ovu tehnologiju. Svojevremeno je spasio internet i uvelike odložio prelazak sa ipv4 na ipv6, ali prvo.

Šta je NAT?

NAT (Network Address Translation) je mehanizam za pretvaranje mrežnih adresa; pojednostavljeno rečeno, to je tehnologija koja omogućava gomili privatnih ili sivih IP adresa da se smjeste iza jedne bijele IP adrese. Primer bi bio kancelarijski Internet, gde svi korisnici koriste zajednički gateway, koji je konfigurisan sa IP adresom koja se povezuje na Internet, tako da korisnici imaju konfigurisane lokalne IP adrese.

Izgleda otprilike ovako

Vrste NAT-a

• Statički NAT - pretvaranje sive IP adrese u bijeli, primjer prosljeđivanja portova na lokalnu mrežu, na primjer RDP
• Dinamički NAT - pretvaranje sive IP adrese u jednu od IP adresa grupe bijelih IP adresa
• Preopterećeni NAT ili kako ga još nazivaju PAT (prevođenje adrese porta), pretvara nekoliko sivih IP-ova u bijele, dajući im različite portove.

Danas ćemo pogledati statički NAT i PAT.

Cisco NAT podešavanje

Ovako izgleda raspored male kancelarije. Imamo 3 računara u vlanu 2, postoji server u posebnom vlanu 3. Sve ove stvari su povezane na Cisco 2660 prekidač drugog nivoa, koji je zauzvrat priključen na Cisco 1841 ruter, koji usmjerava lokalni promet između vlana 2 i 3.

Cisco 2960 podešavanje

Kreirajmo vlan 2 i vlan3, damo im imena i konfigurirajmo potrebne portove na ovim vlanovima.

omogućiti
conf t
kreirati vlan 2
vlan 2
naziv VLAN2
Izlaz
kreirati vlan 3
vlan 3
naziv VLAN3
Izlaz
Stavili smo portove u vlan2
interni opseg fa0/1-3
pristup režimu switchport
switchport pristupni vlan 2
Izlaz
Postavite port u vlan3
int fa 0/4
pristup režimu switchport
switchport pristupni vlan 3
Izlaz

int fa 0/5
switchport mode trunk
switchport trunk dozvoljen vlan 2,3
do wr mem

Cisco 1841 podešavanje

Prije svega, napravimo pod-sučelja i podignemo port.

omogućiti
conf t
int fa0/0
nema gašenja
Izlaz

int fa0/0.2
inkapsulacija dot1Q 2
ip adresa 192.168.2.251 255.255.255.0
nema gašenja
Izlaz

int fa0/0.3
inkapsulacija dot1Q 3
ip adresa 192.168.3.251 255.255.255.0
nema gašenja
Izlaz

Kao rezultat toga, luka je postala zelena

PAT setup

U mojoj virtuelnoj infrastrukturi, nažalost, naša šema se ne može objaviti na internetu, mi je emuliramo, imaćemo ruter sa bijelom IP adresom i server također sa bijelom IP adresom. Šematski to izgleda ovako. Na ruteru provajdera, određenom portu je dodijeljena bijela IP adresa 213.235.1.1 i mrežna maska ​​255.255.255.252

Konfigurirajmo ovu IP adresu na ruteru našeg test provajdera.

en
conf t
int fa0/0
ip adresa 213.235.1.1 255.255.255.252
nema gašenja
Izlaz

Konfigurirajmo port fa0/1 koji gledamo na serveru i damo mu još jedan bijeli ip 213.235.1.25 255.255.255.252

int fa0/1
ip adresa 213.235.1.25 255.255.255.252
nema gašenja
Izlaz

Moj server će imati IP adresu 213.235.1.26, a gateway će biti 213.235.1.25, interfejs rutera provajdera koji gleda na server.

Sada konfigurirajmo naš lokalni ruter Router0, konfigurirajmo ga bijelom IP adresom koju nam je dodijelio naš provajder 213.235.1.2 255.255.255.252, pristupnik će biti 213.235.1.1

omogućiti
conf t
int fa0/1
ip adresa 213.235.1.2 255.255.255.252
nema gašenja
Izlaz
ip ruta 0.0.0.0 0.0.0.0 213.235.1.1
Izlaz
wr mem

Pokušavamo da pingujemo IP adrese provajdera i servera sa kancelarijskog rutera i vidimo da sve radi kako treba.

Ruter#ping 213.235.1.1

Stopa uspjeha je 80 posto (4/5), povratno min/prosjek/max = 0/0/0 ms

Ruter#ping 213.235.1.1

Upišite sekvencu za bijeg za abortus.

Slanje 5, 100-bajtnih ICMP eha na 213.235.1.1, vrijeme čekanja je 2 sekunde:

Stopa uspjeha je 100 posto (5/5), povratno min/prosjek/max = 0/0/1 ms

Ruter#ping 213.235.1.2

Upišite sekvencu za bijeg za abortus.

Slanje 5, 100-bajtnih ICMP eha na 213.235.1.2, vrijeme čekanja je 2 sekunde:

Stopa uspjeha je 100 posto (5/5), povratno min/prosjek/max = 0/9/17 ms

Ruter#ping 213.235.1.25

Upišite sekvencu za bijeg za abortus.

Slanje 5, 100-bajtnih ICMP eha na 213.235.1.25, vrijeme čekanja je 2 sekunde:

Ruter#ping 213.235.1.26

Upišite sekvencu za bijeg za abortus.

Slanje 5, 100-bajtnih ICMP eha na 213.235.1.26, vrijeme čekanja je 2 sekunde:

Stopa uspjeha je 100 posto (5/5), povratno min/prosjek/max = 0/0/0 ms

Pa, sam nating. Na lokalnom ruteru radimo sljedeće. Sada treba da podesimo koji nat interfejs će se smatrati eksternim, a koji internim, ovde će jednostavno sve biti eksterno gde je konfigurisana bijela IP adresa provajdera, interno će biti ono što je povezano sa prekidačem drugog nivoa. fa0/1 će biti eksterni, a dva pomoćna interfejsa će biti interna.

omogućiti
conf t
int fa0/1
ip nat vani
Izlaz
int fa0/0.2
ip nat unutra
int fa0/0.3
ip nat unutra
Izlaz

Postavljanje liste pristupa

Lista pristupa je lista saobraćaja koji treba da bude NAT, a koji treba da radi bez NAT-a.

Kreiranje pristupne liste prema NAT imenu

ip pristupna lista standardna NAT
Dozvolite dva bazena
dozvola 192.168.2.0 0.0.0.255
dozvola 192.168.3.0 0.0.0.255

0.0.0.255 su zamjenski bitovi

Kao što vidite, imamo pristupnu listu u našoj konfiguraciji i označeni su portovi koji su spolja, a koji su unutra.

I unosimo još jednu magičnu komandu, koja kaže da saobraćaj koji dolazi na fa0/1 mora biti rutiran prema NAT pravilu. Na kraju smo postavili PAT.

ip nat unutar liste izvora NAT sučelje fa0/1 preopterećenje

Sačuvaj sve, uradi mi

Provjerimo dostupnost eksternih resursa sa računara lokalne mreže. Pogledajmo trenutne konfiguracije koristeći komandu ipconfig, vidimo IP adresu 192.168.2.1, ping 213.235.1.26, kao što vidite sve je u redu i NAT cisco radi.

Pregledi: 41179

1 Ako čitate ovaj dokument, onda ste najvjerovatnije povezani na Internet i koristite prijevod mrežne adrese ( Prevod mrežnih adresa, NAT) upravo sada! Internet je postao mnogo veći nego što je iko mogao zamisliti. Iako je tačna veličina nepoznata, trenutna procjena je oko 100 miliona hostova i više od 350 miliona korisnika aktivnih na internetu. U stvari, stopa rasta je takva da se Internet efektivno udvostručuje svake godine.

Uvod

Da bi računar mogao komunicirati sa drugim računarima i web serverima na Internetu, mora imati IP adresu. IP adresa (IP je skraćenica za Internet Protocol) je jedinstveni 32-bitni broj koji identifikuje lokaciju vašeg računara na mreži. U osnovi, radi isto kao i vaša adresa: način da saznate gdje se tačno nalazite i da vam dostavimo informacije. Teoretski, možete imati 4,294,967,296 jedinstvenih adresa (2^32). Stvarni broj dostupnih adresa je manji (negdje između 3,2 i 3,3 milijarde) zbog načina na koji su adrese podijeljene u klase i potrebe da se neke od adresa odvoje za multicast, testiranje ili druge specifične potrebe. Sa povećanjem kućnih i poslovnih mreža, broj dostupnih IP adresa više nije dovoljan. Očigledno rješenje je redizajnirati format adrese kako bi se prilagodio više mogućih adresa. Dakle, IPv6 protokol se razvija, ali taj razvoj će trajati nekoliko godina jer zahtijeva modifikaciju cjelokupne internet infrastrukture.

Ovdje nam NAT dolazi u pomoć. U osnovi, prevođenje mrežnih adresa omogućava jednom uređaju, kao što je ruter, da djeluje kao agent između Interneta (ili "javne mreže") i lokalne (ili "privatne") mreže. To znači da je potrebna samo jedna jedinstvena IP adresa da bi se čitava grupa računara izložila bilo čemu izvan njihove mreže. Nedostatak IP adresa je samo jedan od razloga za korištenje NAT-a. Druga dva dobra razloga su sigurnost i administracija.

Naučit ćete o tome kako možete imati koristi od NAT-a, ali prvo hajde da pobliže pogledamo NAT i vidimo šta on može učiniti.

Prerušavanje

NAT je poput sekretarice u velikoj kancelariji. Recimo da ste ostavili instrukcije sekretarici da vam ne prosljeđuje pozive osim ako to ne zatražite. Kasnije nazovete potencijalnog klijenta i ostavite mu poruku da vam se javi. Kažete sekretarici da očekujete poziv od ovog klijenta i poziv treba prenijeti. Klijent zove glavni broj vaše kancelarije, koji je jedini broj koji zna. Kada klijent kaže sekretarici koga traži, tajnica provjerava svoju listu zaposlenih kako bi pronašla podudaranje između imena i njegovog lokala. Recepcionar zna da ste zatražili ovaj poziv, pa prebacuje pozivaoca na vaš telefon.

Prevođenje mrežnih adresa, koje je razvio Cisco, koristi uređaj (zaštitni zid, ruter ili računar) koji se nalazi između interne mreže i ostatka svijeta. NAT dolazi u mnogo oblika i može raditi na nekoliko načina:

Statički NAT- Mapiranje neregistrovane IP adrese u registrovanu IP adresu na bazi jedan na jedan. Posebno korisno kada uređaj mora biti dostupan izvan mreže.

U statičkom NAT-u, računar sa adresom 192.168.32.10 će uvek biti preveden na adresu 213.18.123.110:

Dynamic NAT- Mapira neregistrovanu IP adresu na registrovanu adresu iz grupe registrovanih IP adresa. Dinamički NAT također uspostavlja direktno mapiranje između neregistrirane adrese i registrirane adrese, ali se mapiranje može promijeniti ovisno o registriranoj adresi dostupnoj u spremištu adresa tokom komunikacije.

U dinamičkom NAT-u, računar sa adresom 192.168.32.10 se prevodi na prvu dostupnu adresu u rasponu od 213.18.123.100 do 213.18.123.150

Preopterećenje je oblik dinamičkog NAT-a koji preslikava više neregistriranih adresa na jednu registriranu IP adresu koristeći različite portove. Također poznat kao PAT (Prevođenje adrese porta)

Kada je preopterećen, svaki računar u privatnoj mreži se prevodi na istu adresu (213.18.123.100), ali sa različitim brojem porta

Preklapanje- Kada se IP adrese koje se koriste na vašoj internoj mreži koriste i na drugoj mreži, ruter mora voditi tabelu pretraživanja ovih adresa kako bi ih mogao presresti i zamijeniti registrovanim jedinstvenim IP adresama. Važno je napomenuti da NAT ruter mora prevesti "interne" adrese u registrovane jedinstvene adrese, a takođe mora prevesti "spoljašnje" registrovane adrese u adrese koje su jedinstvene za privatnu mrežu. Ovo se može uraditi putem statičkog NAT-a, ili možete koristiti DNS i implementirati dinamički NAT.

primjer:
Interni IP opseg (237.16.32.xx) je takođe registrovani opseg koji koristi druga mreža. Stoga ruter prevodi adrese kako bi izbjegao potencijalni sukob. Takođe će prevesti registrovane globalne IP adrese nazad na neregistrovane lokalne adrese kada se paketi pošalju na internu mrežu

Interna mreža je obično LAN (Local Area Network), koja se najčešće naziva stub domena. Stub domena je LAN koji koristi interne IP adrese. Većina mrežnog prometa u takvoj domeni je lokalna i ne napušta internu mrežu. Domena može uključivati ​​registrovane i neregistrovane IP adrese. Naravno, svi računari koji koriste neregistrovane IP adrese moraju koristiti NAT za komunikaciju sa ostatkom svijeta.

NAT se može konfigurirati na različite načine. U primjeru ispod, NAT ruter je konfiguriran da prevede neregistrirane IP adrese (lokalne interne adrese) koje se nalaze na privatnoj (internoj) mreži u registrirane IP adrese. Ovo se dešava kad god uređaj iznutra sa neregistrovanom adresom treba da komunicira sa spoljnom mrežom.

ISP vašoj kompaniji dodeljuje niz IP adresa. Dodijeljeni blok adresa su jedinstvene registrirane IP adrese i pozivaju se unutar globalnih adresa. Neregistrovane privatne IP adrese podijeljene su u dvije grupe, malu grupu, van lokalnih adresa, koristiće NAT ruteri, a glavni koji će se koristiti u domeni je poznat kao unutar lokalnih adresa. Vanjske lokalne adrese se koriste za prevođenje jedinstvenih IP adresa poznatih kao izvan globalnih adresa,uređaji na javnoj mreži.
NAT samo prevodi saobraćaj koji prolazi između interne i eksterne mreže i određen je za prevođenje. Svaki promet koji ne ispunjava kriterije prevođenja ili koji prolazi između drugih sučelja na ruteru nikada se ne prevodi i prosljeđuje se kakav jeste.

IP adrese imaju različite oznake na osnovu toga da li su na privatnoj mreži (domena) ili javnoj mreži (Internet) i da li je promet dolazni ili odlazni:

• Većina računara u domeni međusobno komuniciraju koristeći interne lokalne adrese.
• Neki računari u domeni komuniciraju sa spoljnom mrežom. Ovi računari imaju interne globalne adrese, što znači da im nije potreban prevod.
• Kada računar u domenu koji ima internu lokalnu adresu želi da komunicira sa eksternom mrežom, paket ide do jednog od NAT rutera putem normalnog rutiranja.
• NAT ruter provjerava tabelu rutiranja da vidi da li ima unos za odredišnu adresu. Ako odredišna adresa nije u tabeli rutiranja, paket se odbacuje. Ako je snimak dostupan, ruter provjerava da li paket dolazi iz interne mreže u eksternu mrežu, kao i da li paket ispunjava kriterije definirane za emitiranje. Ruter zatim provjerava tablicu prijevoda adresa da vidi postoji li unos za unutrašnju lokalnu adresu i njenu odgovarajuću unutarnju globalnu adresu. Ako se pronađe unos, on emituje paket koristeći unutrašnju globalnu adresu. Ako je konfigurisan samo statički NAT i nijedan unos nije pronađen, onda ruter šalje paket bez prijevoda.
• Koristeći internu globalnu adresu, ruter prosljeđuje paket do njegovog odredišta.
• računar na javnoj mreži šalje paket u privatnu mrežu. Izvorna adresa u paketu je vanjska globalna adresa. Odredišna adresa je interna globalna adresa.
• Kada paket stigne na vanjsku mrežu, NAT ruter gleda u tablicu prijevoda i određuje odredišnu adresu mapiranu na računar u domeni.
• NAT ruter prevodi unutrašnju globalnu adresu paketa u unutrašnju lokalnu adresu i zatim provjerava tabelu rutiranja prije slanja paketa na odredišni računar. Kad god se ne pronađe unos za adresu u tablici prijevoda, paket se ne prevodi i ruter nastavlja provjeravati tabelu usmjeravanja kako bi pronašao odredišnu adresu.

NAT preopterećenje koristi funkciju steka TCP/IP protokola, kao što je multipleksiranje, koja omogućava računaru da održava više istovremenih veza sa udaljenim računarom koristeći različite TCP ili UDP portove. IP paket ima zaglavlje koje sadrži sljedeće informacije:

• Izvorna adresa – IP adresa izvornog računara, na primjer, 201.3.83.132.
• Izvorni port – Broj TCP ili UDP porta koji je računar dodijelio kao izvor za ovaj paket, na primjer, Port 1080.
• Adresa odredišta – IP adresa računara primaoca. Na primjer, 145.51.18.223.
• Odredišni port – broj TCP ili UDP porta koji traži da se izvorni računar otvori na prijemniku, na primjer, port 3021.

IP adrese identifikuju dve mašine sa svake strane, dok brojevi portova obezbeđuju da veza između dve mašine ima jedinstveni identifikator. Kombinacija ova četiri broja definira jednu TCP/IP vezu. Svaki broj porta koristi 16 bita, što znači da postoji 65.536 (2^16) mogućih vrijednosti. U stvarnosti, budući da različiti proizvođači prikazuju portove na malo različite načine, možete očekivati ​​otprilike 4.000 dostupnih portova.

Primjeri dinamičkog NAT-a i NAT-a s preopterećenjem

Slika ispod pokazuje kako funkcionira dinamički NAT.

Kliknite na jedno od zelenih dugmadi da pošaljete uspješan paket na internu mrežu ili sa nje. Kliknite na jedno od crvenih dugmadi da pošaljete paket koji će ruter odbaciti zbog nevažeće adrese.

• interna mreža je postavljena sa IP adresama koje ovoj kompaniji nije posebno dodijelila IANA (Internet Assigned Numbers Authority), globalni biro koji dodjeljuje IP adrese. Takve adrese treba smatrati neusmjerljivim, jer nisu jedinstvene. Ovo su interne lokalne adrese.
• kompanija instalira ruter sa NAT-om. Ruter ima niz jedinstvenih IP adresa izdatih kompaniji. Ovo su interne globalne adrese.
• računar na LAN-u pokušava da se poveže sa računarom van mreže, kao što je veb server.
• Ruter prima paket sa računara na LAN.
• Nakon provjere tablice rutiranja i procesa verifikacije za prijevod, ruter pohranjuje neusmjerivu adresu računala u tablicu prijevoda adresa. Ruter zamjenjuje neusmjerivu adresu računara koji šalje s prvom dostupnom IP adresom u nizu jedinstvenih adresa. Tablica prijevoda sada ima prikaz neusmjerljive IP adrese računara koja odgovara jednoj od jedinstvenih IP adresa.
• Kada se paket vrati sa odredišnog računara, ruter provjerava odredišnu adresu u paketu. Zatim gleda tabelu prevođenja adresa da pronađe kom računaru u domeni paket pripada. On mijenja adresu primatelja u onu koja je prethodno bila pohranjena u tablici prijevoda i šalje paket na željeni računar. Ako ruter ne pronađe podudaranje u tabeli, odbacuje paket.
• Računar prima paket od rutera i cijeli proces se ponavlja dok računar komunicira sa vanjskim sistemom.

• Interna mreža je postavljena sa neusmjerljivim IP adresama koje nisu bile posebno dodijeljene kompaniji
• kompanija instalira ruter sa NAT-om. Ruter ima jedinstvenu IP adresu koju izdaje IANA
• Računar u domeni pokušava da se poveže sa računarom van mreže, kao što je veb server.
• Ruter prima paket sa računara u domenu.
• Nakon usmjeravanja i pregleda paketa za obavljanje prijevoda, ruter pohranjuje neusmjerivu IP adresu i broj porta u tablicu prijevoda. Ruter zamjenjuje neusmjerivu IP adresu računara koji šalje IP adresom rutera. Ruter zamjenjuje izvorni port računara pošiljaoca nekim slučajnim brojem porta i pohranjuje ga u tablicu prijevoda adresa za tog pošiljaoca. Tabela za prevođenje ima prikaz IP adrese računara koji se ne može usmjeravati i broja porta zajedno sa IP adresom rutera.
• Kada se paket vrati sa odredišta, ruter provjerava odredišni port u paketu. Zatim gleda u tablicu prijevoda da pronađe kojem računaru u domeni paket pripada. Zatim ruter mijenja adresu prijemnika i port prijemnika na vrijednosti koje su prethodno bile pohranjene u tablici prijevoda i šalje paket do krajnjeg čvora.
• računar prima paket od rutera i proces se ponavlja
• Budući da NAT ruter sada ima izvornu adresu računara i izvorni port pohranjene u svojoj tablici prijevoda, nastavit će koristiti isti broj porta za naredne veze. Svaki put kada ruter pristupi unosu u tablici prijevoda, tajmer koji živi za taj unos se resetuje. Ako se unosu ne pristupi prije isteka tajmera, on se uklanja iz tabele

Broj istovremenih emitiranja koje će ruter podržati određen je prvenstveno količinom DRAM-a (Dynamic Random Access Memory). Budući da je tipičan unos u tablicu prijevoda otprilike 160 bajtova, ruter sa 4 MB RAM-a teoretski može podnijeti 26.214 istovremenih veza, što je više nego dovoljno za većinu aplikacija.

Sigurnost i administracija

Implementacija dinamičkog NAT-a automatski stvara zaštitni zid između vaše interne mreže i eksternih mreža ili interneta. Dinamički NAT dozvoljava samo veze koje potiču na lokalnoj mreži. U suštini, to znači da se računar na spoljnoj mreži ne može povezati sa vašim računarom osim ako vaš računar nije pokrenuo vezu. Na ovaj način možete surfati Internetom i povezati se na web lokaciju, pa čak i postaviti datoteku. Ali više niko ne može samo uzeti vašu IP adresu i koristiti je za povezivanje na port na vašem računaru.

Statički NAT, koji se naziva i ulazno mapiranje, dozvoljava veze koje iniciraju vanjski uređaji s računalima na LAN-u pod određenim okolnostima. Na primjer, možete mapirati unutarnju globalnu adresu na određenu unutarnju lokalnu adresu koja je dodijeljena vašem web serveru.

Statički NAT omogućava računaru na LAN-u da održava određenu adresu kada komunicira sa uređajima izvan mreže:

Neki NAT ruteri pružaju opsežno filtriranje i evidentiranje prometa. Filtriranje omogućava vašoj kompaniji da kontroliše koje sajtove na Internetu zaposleni posećuju, sprečavajući ih da pregledaju sumnjiv materijal. Možete koristiti evidenciju prometa za kreiranje dnevnika posjećenih lokacija i generiranje različitih izvještaja na osnovu toga.

Ponekad se prevođenje mrežnih adresa brka sa proxy serverima, gdje postoje određene razlike. NAT je transparentan za izvorne i odredišne ​​računare. Niko od njih ne zna da se radi o trećem uređaju. Ali proxy server nije transparentan. Izvorni računar zna da ovo postavlja zahtjev proxyju. Odredišni računar misli da je proxy server izvorni računar i radi direktno s njim. Dodatno, proxy serveri obično rade na sloju 4 (transport) OSI modela ili višem, dok je NAT protokol nivoa 3 (mrežni). Rad na višim nivoima čini proxy servere sporijim od NAT uređaja u većini slučajeva.

Prava korist od NAT-a je očigledna u mrežnoj administraciji. Na primjer, možete premjestiti svoj Web ili FTP server na drugi računar bez brige o prekidu veza. Jednostavno promijenite mapiranje ulaza na novu internu lokalnu adresu u ruteru da odražava novi host. Također možete napraviti promjene u svojoj internoj mreži jer bilo koja od vaših vanjskih IP adresa pripada ruteru ili skupu globalnih adresa.

Princip rada rutera (rutera)

Čitajući ovaj članak, mislim da svi razumiju šta je ruter i zašto je potreban, ali da li je neko ikada razmišljao o tome kako funkcioniše? U ovom članku pokušat ću na najpristupačnijem jeziku objasniti osnovne principe rada rutera. Ovaj članak će biti koristan i administratorima sistema i običnim korisnicima.

Glavna funkcija koja radi u bilo kojem ruteru je NAT

NAT- Prijevod mrežnih adresa se koristi za zamjenu IP adresa. Lokalne mreže uglavnom koriste adrese poput 192.168.1.XXX ili slične, a to stvara problem rutiranja na globalnom Internetu, pošto IP adrese na mreži ne bi trebale biti duplicirane. Rješenje ovog problema je NAT - računari na lokalnoj mreži se povezuju na lokalno sučelje rutera, primaju IP adrese i gateway od njega (ruter služi kao gateway), a WAN sučelje rutera povezuje se na Internet .

Pogledajmo sada princip NAT prijevoda:

• Zahtjev se šalje s bilo kojeg računala na lokalnoj mreži, na primjer, pokušavate pristupiti bilo kojoj web stranici - računar šalje ovaj zahtjev na adresu gatewaya, odnosno našeg rutera;
• Ruter, nakon što je primio ovaj zahtjev, bilježi vaš računar kao pokretača veze, nakon čega se kreira kopija vašeg paketa i šalje na odredišnu adresu, ali u ime rutera, i sa njegovom IP adresom, i vašim paketom jednostavno je uništena;
• Server kojem je zahtjev poslat obrađuje ga i šalje odgovor, naravno na adresu rutera. A ruter je to već čekao, jer je kreirao zapis da na zahtjev vašeg računara treba doći odgovor i šalje ga na vaš računar. Kao što vidite, prema ovoj šemi, samo računar iz lokalne mreže može biti inicijator veze, a odgovor servera će stići do računara samo ako ga ruter sačeka (odgovor na zahtev). Drugim riječima, svi pokušaji povezivanja izvana će se zaustaviti na ruteru i bit će uspješni samo ako ruter obezbijedi resurs na traženom portu ili ima konfigurisana pravila za prosljeđivanje portova, o čemu ćemo sada govoriti.

Port Forwarding

Port Forwarding- ovo je u suštini isto što i NAT, ali u drugom smjeru, dakle samo statički NAT, odnosno određeni zahtjevi samo određenim računarima, jer na globalnoj mreži ne mogu znati IP adrese iza rutera. Na primjer, kreirali ste FTP ili HTTP server na svom računaru i želite da omogućite pristup ovim resursima. Da biste to učinili, potrebno je da upišete ovo pravilo u ruter, koje će ukazati da svi dolazni paketi idu na željeni port (21 ili 80 u našem slučaju) će se prenijeti na IP adresu našeg računara na određeni port (port se može promijeniti).

NAT - DMZ

NAT - DMZ- ovo je apsolutno isto kao i Port Forwarding, ali s tom razlikom što ne morate registrirati pravilo za svaki port, samo trebate konfigurirati NAT - DMZ, koji će sve dolazne zahtjeve prenijeti na WAN ruter na željeni računar . Naravno, više nije moguće mijenjati portove.

Routing

Da bismo pojednostavili ideju o tome šta je to, možemo reći da je isti kao NAT, ali samo u oba smjera. Sa ovom šemom, ruter mora imati više od 2 LAN interfejsa (ne portove, već interfejse), sa različitim adresnim prostorima, na primer, jedan IP interfejs ima 192.168.0.1, a drugi 192.168.1.1. Shodno tome, računari na jednoj mreži će dobiti IP tip 192.168.0.XXX, a na drugoj mreži 192.168.0.XXX, a njihovi gateway-i će biti 192.168.0.1 i 192.168.1.1, respektivno. Ovako dobijate dvosmerno rutiranje.

Ne zaboravi da odeš