Trebam li nat. Prijevod mrežne adrese (NAT)

Više nije vijest da IP mrežne adrese nisu dovoljne za sve uređaje koji žele biti na internetu. Trenutno je izlaz iz ove situacije pronađen razvojem IPv6 protokola u kojem je duljina adrese 128 bita, dok je trenutni IPv4 samo 32 bita. No, početkom 2000-ih pronađeno je drugo rješenje – korištenje prijevoda mrežnih adresa ili skraćeno nat. Dalje u članku, nat će biti konfiguriran u usmjerivaču.

Ulazak u izbornik postavki usmjerivača

Uzmimo za primjer usmjerivač serije ZyXEL ZyWALL USG i NXC5200.

Prije svega, idite na postavke usmjerivača. Da biste to učinili, u bilo kojem web pregledniku upišite 192.168.1.1 u adresnu traku. (standardna adresa usmjerivača), pojavit će se prozor u kojem se traži da unesete svoje korisničko ime i lozinku.

U polje “Username” unesite admin, u polje “Password” unesite 1234. Kliknite “OK”.

Konfiguriranje nat u ruteru

U prozoru izbornika koji se otvori idite na karticu "Konfiguracija" (ikona s dva zupčanika), zatim "Mreža", zatim "Usmjeravanje". U odabranom prozoru idite na karticu "Policy Routing".

Izbornik postavki usmjerivača ZyXEL

Politika usmjeravanja je konfigurirana u ovom izborniku. U području "Kriteriji" konfiguriramo kriterije za uzorkovanje prometa - koji promet treba emitirati (zapravo konfigurirati nat), a koji jednostavno usmjeriti. Promet se može odabrati prema nekoliko kriterija:

1. Korisnik (Korisnik);
2. Po sučelju (Incoming);
3. Po izvornoj IP adresi (Source Address);
4. Po IP adresi primatelja (Destination Address);
5. Po odredišnoj luci (Usluga).

U području "Next-Hop" dodijelite objekt za preusmjeravanje prometa:

Odabir objekta preusmjeravanja za ZyXEL usmjerivač

Gdje "Auto" - promet će biti preusmjeren na zadano globalno sučelje; Gateway - na adresu navedenu u postavkama pristupnika; VPN Tunnel - IPSec virtualni privatni tunel; Trunk - put do "trunk", gdje je "trunk" nekoliko sučelja konfiguriranih da rade zajedno ili u redundantnom načinu rada; Sučelje - preusmjeravanje na navedeno sučelje:

Važno je ne zaboraviti pritisnuti tipku "OK" svaki put kada unesete bilo kakve promjene u postavke usmjerivača kako biste spremili postavke, a ne samo zatvorili web preglednik.

Postavljanje nat-a na računalo

Kao što znate, osobno računalo može poslužiti kao usmjerivač. Često postoji situacija kada postoji računalna mreža od nekoliko računala, od kojih jedno ima internetsku vezu. U ovoj situaciji uopće ne morate kupovati usmjerivače, već postavite računalo s pristupom Internetu kao router i konfigurirajte nat već na njemu. Razmotrimo ovaj slučaj detaljnije.

Obavezno instalirajte 2 mrežne kartice na glavno računalo koje gleda na Internet (nazovimo ga SERVER) - prvu za spajanje na lokalnu mrežu, drugu za davatelja. Primjer će koristiti operativni sustav Windows Server 2012.

Za konfiguraciju, prije svega, pokrenite "Upravitelj poslužitelja" (Start -> Administrativni alati -> Upravitelj poslužitelja). Pojavit će se prozor postavki:

Odavde ćemo upravljati našim poslužiteljem. Da biste nastavili s konfiguracijom, kliknite Dodaj uloge i značajke, što će otvoriti čarobnjak za dodavanje uloga. Prvi korak - Vrsta instalacije:

U sljedećem prozoru trebamo odabrati ulogu koju instaliramo na poslužitelj. Ispred "Daljinskog pristupa" stavljamo dagu.

Pojavit će se sljedeći prozor s popisom komponenti potrebnih za rad. Kliknite "Dodaj komponente", ovaj prozor će nestati. Kliknite "Dalje".

U sljedećem prozoru čarobnjak nudi dodavanje komponenti poslužitelja. Ne morate ništa mijenjati, kliknite "Dalje".

Na sljedećoj stranici, čarobnjak nas jednostavno obavještava o radu uloge "Remote Access". Kliknite "Dalje".

Sljedeći korak je odabir Role Services. Stavili smo kvačicu ispred "Routing", kliknite "Dalje".

Sljedeći prozor je opet informativnog karaktera, ne morate ništa odabrati, ali možete označiti okvir pored "Automatski ponovno pokreni na odabranom poslužitelju...", zbog čega će se poslužitelj automatski ponovno pokrenuti nakon instalacije. Ali to možete učiniti i ručno. Kliknite "Dalje".

I posljednji korak je izravna instalacija poslužitelja. Nakon završetka, pritisnite gumb "Zatvori".

Instalacija poslužitelja

Dakle, konfigurirali smo računalo koje je spojeno na Internet u poslužiteljskom načinu rada. Sada morate konfigurirati nat na njemu.

Idite na Start / Administracija / Usmjeravanje i daljinski pristup. U prozoru koji se pojavi, na lijevoj strani nalazimo stavku "SERVER (lokalno)", desnom tipkom miša kliknite na nju i u padajućem izborniku kliknite "Konfiguriraj i omogući usmjeravanje i daljinski pristup".

Pojavit će se Čarobnjak za konfiguraciju poslužitelja usmjeravanja i udaljenog pristupa u kojem ćemo konfigurirati nat.

Na prvoj stranici ukratko se upoznajemo s čarobnjakom - kliknite "Dalje". U sljedećem koraku morate odabrati jedan od servisa koji će se izvoditi na ovom poslužitelju. Odaberite "Prevod mrežne adrese (NAT)", kliknite "Dalje".

Zatim će vas čarobnjak zamoliti da odaberete mrežnu vezu koja gleda na Internet. Popis će sadržavati obje mrežne kartice (barem ovisno o tome koliko ih je instalirano na poslužitelju). Odabiremo onaj na koji je spojen mrežni kabel davatelja. Kliknite "Dalje".

U sljedećem prozoru, čarobnjak će se početi zaklinjati da ne može pronaći DHCP ili DNS usluge na lokalnoj mreži. Nude se dvije opcije za nastavak - omogućiti osnovne usluge ili kasnije instalirati usluge.

Odaberemo prvu stavku, kliknemo "Dalje". Na sljedećoj stranici ću vas obavijestiti u kojem rasponu će nat raditi. Čarobnjak za konfiguraciju automatski odabire ovaj raspon na temelju konfiguracije mrežne veze spojene na lokalnu mrežu. Kliknite "Dalje".

Nat raspon

To je to, čarobnjak za konfiguraciju dovršava nat konfiguraciju. Kliknite "Dalje", a u sljedećem prozoru "Završi".

Zadnje što preostaje jest konfigurirati klijentska računala, odnosno sva ostala računala na lokalnoj mreži. Da biste to učinili, na računalu klijenta (to će se morati učiniti na svakom računalu u mreži), idite na Start / Upravljačka ploča / Centar za mrežu i dijeljenje / promijenite postavke adaptera. Idemo na "Mrežne veze". Desnom tipkom miša kliknite na ikonu i na padajućem izborniku odaberite "Svojstva". U prozoru koji se pojavi odaberite "Internet Protocol Version 4 (TCP / IPv4)", kliknite "Svojstva".

Nakon "Default gateway" upišite IP adresu poslužiteljskog računala (koja je konfigurirana u zadnjem koraku), u polje "Preferred DNS server" upišite IP adresu davateljevog DNS poslužitelja navedenog u informacijama o internetskoj vezi na poslužitelju. Pritisnemo "OK", a opet "OK". Sve, klijentsko računalo je spojeno na Internet.

Dobar dan, dragi čitatelji! Pa, razgovarajmo o tome NAT.

Danas ćemo se detaljnije dotaknuti teme koja je pomalo bolna i prilično nerazumljiva, ali više nerazumljiva nego bolna.

U većoj mjeri ovaj problem se tiče onih koji igraju igrice za više igrača i ukratko ovaj problem zvuči otprilike ovako: "ZAŠTO NITKO NE DOLAZI K meni?" Za druge ovaj problem izgleda malo drugačije, naime:

• Zašto se torrent ne preuzima?
• Zašto se korisnici/prijatelji/poznanici/nepoznate osobe ne mogu spojiti na FTP, WEB, VOIP (TS, Mamble, bucket) i druge servere koje ste toliko dugo pokušavali konfigurirati pa čak i provjerili da li vam sve radi?
• Zašto je vaš osobni kućni poslužitelj prazan? Možda je ovo univerzalna zavjera?

Ali, međutim, nema nikakve zavjere, krivac svih ovih nevolja je pored vas i lukavo vam namiguje žaruljama, a zove se ... router, da, onaj koji vam distribuira internet svim vašim (a možda i susjeda) uređaja.

Ukratko, korisnici interneta se jednostavno ne mogu povezati s vama jer ih vaš usmjerivač neće pustiti unutra, ali to ne čini samo iz hira, već zato što ne zna da se svi ti ljudi žele povezati s vama. Pa misli da oni nešto žele od njega.

Da, upravo sam vam skicirao čemu služi NAT. A sada o tome što je.

Opća definicija

NAT (Network Address Translation) je mehanizam koji omogućuje usmjerivaču da odredi koje se usluge nalaze iza usmjerivača i moraju biti dostupne s interneta kako bi korisnici mogli koristiti te usluge odatle (nisam uzeo definiciju s wikija, jer je nejasno i ne razumiju ga svi).

NAT je prisutan u svim usmjerivačima i poslužiteljskim operativnim sustavima u ovom ili onom obliku. U usmjerivačima se to obično naziva prosljeđivanje portova, u Linuxu iptables, na Windows poslužiteljima - u posebnoj opremi. Sada razgovarajmo o različitim vrstama NAT-a.

Upišite jedan, statički NAT

Statički NAT nije potreban za dom, ali je potreban ako je davatelj dodijelio nekoliko IP adresa (vanjskih ili "bijelih" adresa) za vašu tvrtku, a vama su potrebni neki poslužitelji da uvijek budu vidljivi s interneta, a da se njihove adrese ne bi mijenjale ...

Oni. postoji prijevod adresa 1-1 (jedan vanjski IP je dodijeljen jednom internom poslužitelju). Uz ovu postavku, vaši će poslužitelji uvijek biti dostupni s Interneta na bilo kojem portu.

• Prednost ove metode je što otvarate pristup s Interneta za određeni program na određenom računalu/poslužitelju, svi ostali portovi računala/poslužitelja ostaju zatvoreni;
• Nedostatak je što sve portove morate otvoriti ručno (ponekad programi to rade umjesto vas koristeći UPnP tehnologiju, ali to nije uvijek slučaj).

Pogovor

Ispalo je malo kaotično, a tema je prilično komplicirana, ali nadam se da sada nećete drhtati od riječi NAT :)

Kao i uvijek, ako imate pitanja, razmišljanja, dodatke i sve te stvari, dobrodošli u komentare na ovom postu.

PS: Za postojanje ovog članka posebna hvala prijatelju projekta i članu našeg tima pod nadimkom “barn4k”

Pozdrav svima, danas ćemo razgovarati o tome kako konfigurirati NAT na Cisco. Što je NAT i zašto je općenito potreban, budući da je ova funkcionalnost odavno i čvrsto ušla u naš svakodnevni život i sada je vrlo teško zamisliti barem jedno poduzeće koje ne bi koristilo ovu tehnologiju. Svojedobno je spasila internet i jako odgodila prijelaz s ipv4 na ipv6, ali prije svega.

Što je NAT

NAT (Network Address Translation) je mehanizam za prevođenje mrežnih adresa, jednostavno rečeno, to je tehnologija koja omogućuje hrpu privatnog ili sivog IP-a da sjedne iza jednog bijelog IP-a. Primjer može biti uredski internet, gdje svi korisnici sjede kroz zajednički pristupnik, na kojem je konfigurirana IP adresa okrenuta prema Internetu, da korisnici imaju konfigurirane lokalne IP adrese.

Izgleda otprilike ovako

NAT vrste

• Statički NAT - pretvaranje sivog ip-a u bijeli, primjer prosljeđivanja porta na lokalnu mrežu, na primjer RDP
• Dinamički NAT - pretvaranje sive IP adrese u jednu od IP adresa grupe bijelih IP adresa
• Preopterećeni NAT ili kako ga još nazivaju PAT (prijevod adrese porta), pretvara nekoliko sivih IP-ova u bijeli, dajući im različite portove.

Danas ćemo pogledati statički NAT i PAT.

Konfiguriranje Cisco NAT-a

Ovako izgleda raspored malog ureda. Imamo 3 računala u vlanu 2, postoji poslužitelj u zasebnom vlanu 3. Sve ove stvari su spojene na cisco 2660 prekidač druge razine, koji je zauzvrat priključen na Cisco 1841 usmjerivač, koji usmjerava lokalni promet između vlana 2 i 3.

Konfiguriranje Cisco 2960

Kreirajmo vlan 2 i vlan3, damo im imena i konfigurirajmo potrebne portove za te vlan.

omogućiti
konf t
stvoriti vlan 2
vlan 2
naziv VLAN2
Izlaz
stvoriti vlan 3
vlan 3
naziv VLAN3
Izlaz
Stavljanje portova u vlan2
unutarnji raspon fa0 / 1-3
pristup načinu switchport
switchport pristupni vlan 2
Izlaz
Stavili smo port u vlan3
int fa 0/4
pristup načinu switchport
switchport pristupni vlan 3
Izlaz

int fa 0/5
switchport mode trunk
switchport trunk dopušten vlan 2,3
učiniti wr mem

Konfiguriranje Cisco 1841

Prvi korak je kreiranje podsučelja i otvaranje porta.

omogućiti
konf t
int fa0 / 0
nema gašenja
Izlaz

int fa0 / 0,2
inkapsulacija dot1Q 2
IP adresa 192.168.2.251 255.255.255.0
nema gašenja
Izlaz

int fa0 / 0,3
inkapsulacija dot1Q 3
IP adresa 192.168.3.251 255.255.255.0
nema gašenja
Izlaz

Kao rezultat toga, luka je svijetlila zeleno

PAT postavka

U mojoj virtualnoj infrastrukturi, nažalost, naša shema ne može biti puštena na Internet, mi ćemo je oponašati, imat ćemo usmjerivač s bijelom IP adresom i poslužitelj s bijelom IP adresom. Shematski to izgleda ovako. Na usmjerivaču davatelja na određenom portu bijela IP adresa je dodijeljena 213.235.1.1, a mrežna maska ​​je 255.255.255.252

Konfigurirajmo ovaj ip na usmjerivaču našeg testnog provajdera.

ru
konf t
int fa0 / 0
IP adresa 213.235.1.1 255.255.255.252
nema gašenja
Izlaz

konfigurirajte fa0 / 1 port koji gledamo na poslužitelju i dajte mu drugi bijeli ip 213.235.1.25 255.255.255.252

int fa0 / 1
IP adresa 213.235.1.25 255.255.255.252
nema gašenja
Izlaz

Moj poslužitelj će imati IP adresu 213.235.1.26, a pristupnik će biti 213.235.1.25, sučelje usmjerivača davatelja koji gleda na poslužitelj.

Sada ćemo konfigurirati naš lokalni usmjerivač Router0, konfigurirati bijelu IP adresu koju nam je dodijelio davatelj 213.235.1.2 255.255.255.252 na njemu, pristupnik će biti 213.235.1.1

omogućiti
konf t
int fa0 / 1
IP adresa 213.235.1.2 255.255.255.252
nema gašenja
Izlaz
ip ruta 0.0.0.0 0.0.0.0 213.235.1.1
Izlaz
wr mem

Pokušavamo pingati IP adrese davatelja i poslužitelja s uredskog usmjerivača i vidimo da sve radi u redu.

Ruter # ping 213.235.1.1

Stopa uspješnosti je 80 posto (4/5), povratno min/prosj./maks. = 0/0/0 ms

Ruter # ping 213.235.1.1

Upišite izlazni slijed za prekid.

Slanje 5, 100-bajtnih ICMP odjeka na 213.235.1.1, vrijeme čekanja je 2 sekunde:

Stopa uspješnosti je 100 posto (5/5), povratno min/prosj./maks. = 0/0/1 ms

Ruter # ping 213.235.1.2

Upišite izlazni slijed za prekid.

Slanje 5, 100-bajtnih ICMP odjeka na 213.235.1.2, vrijeme čekanja je 2 sekunde:

Stopa uspješnosti je 100 posto (5/5), povratno min/prosj./maks. = 0/9/17 ms

Ruter # ping 213.235.1.25

Upišite izlazni slijed za prekid.

Slanje 5, 100-bajtnih ICMP odjeka na 213.235.1.25, vrijeme čekanja je 2 sekunde:

Ruter # ping 213.235.1.26

Upišite izlazni slijed za prekid.

Slanje 5, 100-bajtnih ICMP odjeka na 213.235.1.26, vrijeme čekanja je 2 sekunde:

Stopa uspjeha je 100 posto (5/5), povratno min/prosj./maks. = 0/0/0 ms

Pa i samo zatvaranje. Na lokalnom usmjerivaču učinite sljedeće. Sada trebamo postaviti koje će sučelje nat smatrati vanjskim, a koje internim, sve će biti samo vanjsko, gdje je konfigurirana bijela ip adresa provajdera, interna koja je spojena na prekidač druge razine. fa0 / 1 bit će vanjski, a dva podsučelja bit će interna.

omogućiti
konf t
int fa0 / 1
ip nat vani
Izlaz
int fa0 / 0,2
ip nat unutra
int fa0 / 0,3
ip nat unutra
Izlaz

Konfiguriranje popisa pristupa

Popis pristupa je popis koji promet treba natirati, a koji bi trebao raditi bez NAT-a.

Napravite pristupnu listu prema NAT nazivu

ip pristupna lista standard NAT
Dopuštaju dva bazena
dozvola 192.168.2.0 0.0.0.255
dozvola 192.168.3.0 0.0.0.255

0.0.0.255 su zamjenski bitovi

kao što vidite, imamo pristupnu listu u konfiguraciji i označili portove koji su izvan, a koji su unutra.

I unosimo još jednu magičnu naredbu, gdje piše da se promet koji dolazi na fa0 / 1 treba hraniti prema NAT pravilu. Kao rezultat toga, konfigurirali smo PAT.

ip nat unutar popisa izvora NAT sučelje fa0 / 1 preopterećenje

Spremite sve, učinite mi

provjerite dostupnost vanjskih resursa s računala lokalne mreže. Pogledajmo trenutne konfiguracije s naredbom ipconfig, pogledajte ip adresu 192.168.2.1, ping 213.235.1.26, kao što vidite sve je ok i NAT cisco radi.

Pregledano: 41179

1 Ako čitate ovaj dokument, najvjerojatnije ste spojeni na internet i koristite prijevod mrežne adrese ( Prijevod mrežne adrese, NAT) sada! Internet je postao masivniji nego što je itko mogao zamisliti. Iako točna veličina nije poznata, trenutna procjena je da na internetu postoji oko 100 milijuna hostova i više od 350 milijuna aktivnih korisnika. Zapravo, stopa rasta je takva da se internet svake godine zapravo udvostručuje.

Uvod

Da bi računalo moglo komunicirati s drugim računalima i web poslužiteljima na Internetu, mora imati IP adresu. IP adresa (IP je skraćenica za Internet Protocol) jedinstveni je 32-bitni broj koji identificira lokaciju vašeg računala na mreži. U osnovi funkcionira baš kao i vaša adresa: način da saznate gdje se točno nalazite i dobijete informacije. U teoriji, možete imati 4,294,967,296 jedinstvenih adresa (2 ^ 32). Stvarni broj dostupnih adresa manji je (bilo gdje između 3,2 i 3,3 milijarde) zbog načina na koji su adrese podijeljene u klase i potrebe da se neke od adresa dodijele za višestruko emitiranje, testiranje ili druge specifične potrebe. S porastom kućnih i poslovnih mreža, broj dostupnih IP adresa više nije dovoljan. Očito rješenje je redizajnirati format adrese kako bi se prilagodio više mogućih adresa. Dakle, IPv6 protokol se razvija, ali taj razvoj će trajati nekoliko godina, jer zahtijeva modifikaciju cjelokupne infrastrukture interneta.

Ovdje nam NAT dolazi u pomoć. U osnovi, prevođenje mrežnih adresa omogućuje jednom uređaju, kao što je usmjerivač, da djeluje kao agent između interneta (ili "javne mreže") i lokalne (ili "privatne") mreže. To znači da je potrebna samo jedna jedinstvena IP adresa za predstavljanje cijele grupe računala bilo čemu izvan njihove mreže. Nedostatak IP adresa samo je jedan od razloga za korištenje NAT-a. Druga dva dobra razloga su sigurnost i administracija.

Naučit ćete kako možete imati koristi od NAT-a, ali prvo pogledajmo NAT pobliže i vidimo što on može učiniti.

Prerušavanje

NAT je poput tajnice u velikom uredu. Recimo da tajnici ostavljate upute da ne preusmjerava pozive na vas dok to ne zatražite. Kasnije nazovete potencijalnog klijenta i ostavite mu poruku da vas nazove. Kažete tajnici da očekujete poziv od ovog klijenta i poziv treba prenijeti. Kupac zove glavni broj vašeg ureda, koji je jedini broj koji zna. Kada klijent kaže tajnici koga traži, tajnica provjerava svoj popis zaposlenika kako bi pronašla podudaranje između imena i njegovog kućnog broja. Tajnik zna da ste zatražili ovaj poziv, pa će prenijeti pozivatelja na vaš telefon.

Razvijen od strane tehnologije Cisco, prevođenje mrežnih adresa koristi uređaj (vatrozid, usmjerivač ili računalo) koji se nalazi između interne mreže i ostatka svijeta. NAT ima mnogo oblika i može raditi na nekoliko načina:

Statički NAT- Mapiranje neregistrirane IP adrese u registriranu IP adresu na osnovi jedan-na-jedan. Posebno je korisno kada uređaj treba biti dostupan izvan mreže.

U statičkom NAT-u, računalo s adresom 192.168.32.10 uvijek će se prevoditi na adresu 213.18.123.110:

Dinamički NAT- Prikazuje neregistriranu IP adresu na registriranu adresu iz grupe registriranih IP adresa. Dinamički NAT također uspostavlja izravno preslikavanje između neregistrirane i registrirane adrese, ali preslikavanje se može promijeniti ovisno o registriranoj adresi dostupnoj u skupu adresa tijekom komunikacije.

U dinamičkom NAT-u, računalo s adresom 192.168.32.10 se prevodi na prvu dostupnu adresu u rasponu od 213.18.123.100 do 213.18.123.150

Preopterećenje je oblik dinamičkog NAT-a koji preslikava više neregistriranih adresa na jednu registriranu IP adresu koristeći različite portove. Također poznat kao PAT (prevod adrese porta)

Kada je preopterećeno, svako računalo u privatnoj mreži prevodi se na istu adresu (213.18.123.100), ali s drugim brojem porta

Preklapanje- Kada se IP adrese koje se koriste na vašoj internoj mreži također koriste na drugoj mreži, usmjerivač mora voditi tablicu pretraživanja za te adrese kako bi ih mogao presresti i zamijeniti registriranim jedinstvenim IP adresama. Važno je napomenuti da NAT usmjerivač mora prevesti "unutarnje" adrese u registrirane jedinstvene adrese, a također mora prevesti "vanjske" registrirane adrese na adrese koje su jedinstvene za privatnu mrežu. To se može učiniti putem statičkog NAT-a ili možete koristiti DNS i implementirati dinamički NAT.

Primjer:
Interni IP raspon (237.16.32.xx) također je registrirani raspon koji koristi druga mreža. Stoga usmjerivač prevodi adrese kako bi izbjegao potencijalne sukobe. Također će prevesti registrirane globalne IP adrese natrag u neregistrirane lokalne adrese kada se paketi pošalju na internu mrežu.

Interna mreža je obično LAN (Local Area Network), koji se najčešće naziva, domena slijepe ulice... Stub domena je LAN koji koristi interne IP adrese. Većina mrežnog prometa u takvoj domeni je lokalna i ne napušta internu mrežu. Domena može uključivati ​​registrirane i neregistrirane IP adrese. Naravno, sva računala koja koriste neregistrirane IP adrese moraju koristiti NAT za komunikaciju s ostatkom svijeta.

NAT se može konfigurirati na razne načine. U donjem primjeru, NAT usmjerivač je konfiguriran da prevodi neregistrirane IP adrese (lokalne unutarnje adrese) koje se nalaze na privatnoj (internoj) mreži u registrirane IP adrese. To se događa svaki put kada uređaj iznutra s neregistriranom adresom treba komunicirati s vanjskom mrežom.

ISP vašoj tvrtki dodjeljuje niz IP adresa. Dodijeljeni blok adresa jedinstvene su registrirane IP adrese i pozivaju se unutar globalnih adresa... Neregistrirane privatne IP adrese podijeljene su u dvije grupe, malu grupu, izvan lokalnih adresa, koristit će se NAT usmjerivači, a glavni koji će se koristiti u domeni je poznat kao unutar lokalnih adresa... Vanjske lokalne adrese koriste se za prevođenje jedinstvenih IP adresa poznatih kao izvan globalnih adresa, uređaji na javnoj mreži.
NAT samo prevodi promet koji prolazi između interne i vanjske mreže i određen je za prijevod. Svaki promet koji ne zadovoljava kriterije prijevoda ili koji prolazi između drugih sučelja na usmjerivaču nikada se ne prevodi, već se prosljeđuje kakav jest.

IP adrese imaju različite oznake na temelju toga jesu li na privatnoj mreži (domena) ili na javnoj mreži (Internet) i je li promet dolazni ili odlazni:

• Većina računala u domeni međusobno komuniciraju koristeći interne lokalne adrese.
• Neka računala u domeni komuniciraju s vanjskom mrežom. Ova računala imaju interne globalne adrese, što znači da im nije potreban prijevod.
• Kada računalo u domeni koja ima unutarnju lokalnu adresu želi komunicirati s vanjskom mrežom, paket ide na jedan od NAT usmjerivača putem uobičajenog usmjeravanja.
• NAT usmjerivač provjerava tablicu usmjeravanja da vidi ima li unos za odredišnu adresu. Ako odredišna adresa nije u tablici usmjeravanja, paket se ispušta. Ako je snimka dostupna, usmjerivač provjerava ide li paket iz interne mreže u vanjsku, kao i zadovoljava li paket kriterije navedene za emitiranje. Usmjerivač zatim provjerava tablicu prijevoda adresa da vidi postoji li unos za unutarnju lokalnu adresu i njezinu odgovarajuću unutarnju globalnu adresu. Ako se pronađe unos, on emitira paket koristeći unutarnju globalnu adresu. Ako je konfiguriran samo statički NAT i nijedan unos nije pronađen, tada usmjerivač šalje paket bez prijevoda.
• Koristeći unutarnju globalnu adresu, usmjerivač prosljeđuje paket do njegovog odredišta.
• računalo u javnoj mreži šalje paket u privatnu mrežu. Izvorna adresa u paketu je vanjska globalna adresa. Odredišna adresa je interna globalna adresa.
• Kada paket stigne na vanjsku mrežu, NAT usmjerivač gleda u tablicu prijevoda i određuje odredišnu adresu mapiranu na računalo u domeni.
• NAT usmjerivač prevodi unutarnju globalnu adresu paketa u unutarnju lokalnu adresu i zatim provjerava tablicu usmjeravanja prije slanja paketa na odredišno računalo. Kad god se ne pronađe unos za adresu u tablici prijevoda, paket se ne emitira i usmjerivač nastavlja provjeravati tablicu usmjeravanja kako bi pronašao odredišnu adresu.

NAT preopterećenje koristi značajku steka TCP/IP protokola, kao što je multipleksiranje, koje omogućuje računalu održavanje više istovremenih veza s udaljenim računalom koristeći različite TCP ili UDP portove. IP paket ima zaglavlje koje sadrži sljedeće informacije:

• Izvorna adresa - IP adresa izvornog računala, na primjer 201.3.83.132.
• Izvorni port - Broj TCP ili UDP porta koji je dodijelilo izvorno računalo za ovaj paket, na primjer, Port 1080.
• Odredišna adresa - IP adresa računala primatelja. Na primjer, 145.51.18.223.
• Odredišni port - broj TCP ili UDP porta koji izvorno računalo traži da se otvori na prijemniku, na primjer, port 3021.

IP adrese identificiraju dva računala sa svake strane, dok brojevi portova osiguravaju da veza između ova dva računala ima jedinstveni identifikator. Kombinacija ova četiri broja definira jednu TCP/IP vezu. Svaki broj porta koristi 16 bitova, što znači da postoji 65.536 (2 ^ 16) mogućih vrijednosti. Zapravo, budući da različiti proizvođači mapiraju portove na malo različite načine, možete očekivati ​​da će biti dostupno oko 4000 portova.

Primjeri dinamičkog NAT-a i NAT-a preopterećenja

Slika ispod pokazuje kako funkcionira dinamički NAT.

Kliknite na jedan od zelenih gumba za slanje uspješnog paketa na ili iz interne mreže. Kliknite na jedan od crvenih gumba za slanje paketa koji će usmjerivač ispustiti zbog nevažeće adrese.

• Interna mreža je postavljena s IP adresama koje ovoj tvrtki nije posebno dodijelila IANA (Internet Assigned Numbers Authority), globalni ured koji izdaje IP adrese. Takve adrese treba smatrati neusmjerljivim jer nisu jedinstvene. To su interne lokalne adrese.
• tvrtka instalira usmjerivač s NAT-om. Usmjerivač ima niz jedinstvenih IP adresa dodijeljenih tvrtki. To su interne globalne adrese.
• računalo na LAN-u pokušava se povezati s računalom izvan mreže, kao što je web poslužitelj.
• usmjerivač prima paket od računala na LAN-u.
• Nakon provjere tablice usmjeravanja i procesa provjere za prijevod, usmjerivač pohranjuje adresu računala koja se ne može usmjeriti u tablicu prijevoda adresa. Usmjerivač zamjenjuje neusmjerivu adresu računala pošiljatelja prvom dostupnom IP adresom u svom jedinstvenom rasponu adresa. Tablica prijevoda sada ima mapiranje IP adrese računala koja se ne može usmjeravati, a koja odgovara jednoj od jedinstvenih IP adresa.
• Kada se paket vrati s odredišnog računala, usmjerivač provjerava odredišnu adresu u paketu. Zatim gleda tablicu prijevoda adresa kako bi pronašao kojem računalu u domeni pripada dati paket. Mijenja adresu primatelja u onu koja je prethodno bila pohranjena u tablici prijevoda i šalje paket na željeno računalo. Ako usmjerivač ne pronađe podudaranje u tablici, ispušta paket.
• Računalo prima paket od usmjerivača i cijeli se proces ponavlja dok računalo razgovara s vanjskim sustavom.

• Interna mreža je postavljena s neusmjerljivim IP adresama koje nisu bile posebno dodijeljene tvrtki
• tvrtka instalira usmjerivač s NAT-om. Usmjerivač ima jedinstvenu IP adresu koju je izdala IANA
• računalo u domeni pokušava se povezati s računalom izvan mreže, kao što je web poslužitelj.
• usmjerivač prima paket s računala u domeni.
• Nakon usmjeravanja i provjere paketa radi prijevoda, usmjerivač pohranjuje neusmjerivu IP adresu računala i broj porta u tablicu prijevoda. Usmjerivač zamjenjuje neusmjerivu IP adresu računala pošiljatelja s IP adresom usmjerivača. Usmjerivač zamjenjuje izvorni port na računalu pošiljatelja nekim slučajnim brojem porta i pohranjuje ga u tablicu prijevoda adresa za tog pošiljatelja. Tablica prijevoda ima prikaz IP adrese računala koja se ne može usmjeravati i broja porta zajedno s IP adresom usmjerivača.
• Kada se paket vrati s odredišta, usmjerivač provjerava odgovarajući port u paketu. Zatim gleda u tablicu prijevoda kako bi pronašao koje računalo u domeni posjeduje paket. Zatim usmjerivač mijenja adresu primatelja i port primatelja na vrijednosti koje su prethodno bile pohranjene u tablici prijevoda i šalje paket do krajnjeg čvora.
• računalo prima paket od usmjerivača i proces se ponavlja
• Budući da NAT usmjerivač sada ima adresu izvornog računala i izvorni port pohranjen u tablici prijevoda, nastavit će koristiti isti broj porta za sljedeće veze. Svaki put kada usmjerivač pristupi unosu u tablici prijevoda, vrijeme trajanja za taj unos se resetira. Ako se zapisu ne pristupi prije isteka mjerača vremena, on se uklanja iz tablice.

Broj istodobnih prijevoda koje će usmjerivač podržavati uglavnom je određen količinom DRAM-a (Dynamic Random Access Memory). Budući da je tipičan unos u tablicu prijevoda otprilike 160 bajtova, usmjerivač s 4 MB RAM-a teoretski može podnijeti 26.214 istodobnih veza, što je više nego dovoljno za većinu aplikacija.

Sigurnost i administracija

Implementacija dinamičkog NAT-a automatski stvara vatrozide između vaše interne mreže i vanjskih mreža ili interneta. Dinamički NAT dopušta samo veze koje potječu iz lokalne mreže. U osnovi, to znači da se računalo na vanjskoj mreži ne može povezati s vašim računalom ako vaše računalo nije pokrenulo vezu. Tako možete surfati Internetom i povezati se na stranicu, pa čak i prenijeti datoteku. Ali nitko drugi ne može samo napasti vašu IP adresu i koristiti je za povezivanje s portom na vašem računalu.

Statički NAT, koji se također naziva ulazno mapiranje, dopušta veze koje iniciraju vanjski uređaji s računalima na LAN-u pod određenim okolnostima. Na primjer, možete mapirati unutarnju globalnu adresu na određenu unutarnju lokalnu adresu koja je dodijeljena vašem web poslužitelju.

Statički NAT omogućuje računalu na LAN-u da zadrži određenu adresu dok komunicira s uređajima izvan mreže:

Neki NAT usmjerivači pružaju opsežno filtriranje i bilježenje prometa. Filtriranje omogućuje vašoj tvrtki da kontrolira koja web-mjesta na webu posjećuju zaposlenici, sprječavajući ih da pregledaju sumnjiv materijal. Možete koristiti bilježenje prometa za izradu zapisnika o posjećenim stranicama i generiranje različitih izvješća na temelju toga.

Ponekad se prijevod mrežnih adresa brka s proxy poslužiteljima, gdje postoje neke razlike. NAT je transparentan za izvorna i odredišna računala. Nitko od njih ne zna da je riječ o trećem uređaju. Ali proxy poslužitelj nije transparentan. Izvorno računalo zna da postavlja zahtjev proxyju. Odredišno računalo misli da je proxy poslužitelj izvorno računalo i s njim se izravno bavi. Osim toga, proxyji obično rade na Layer 4 (Transport) OSI modela ili više, dok je NAT Layer 3 (Network) protokol. Rad na višim razinama čini proxy poslužitelje sporijim od NAT uređaja u većini slučajeva.

Prava korist od NAT-a očita je u mrežnoj administraciji. Na primjer, možete premjestiti svoj web poslužitelj ili FTP poslužitelj na drugo računalo bez brige o prekidu veza. Samo promijenite dolazno mapiranje na novu unutarnju lokalnu adresu u usmjerivaču kako bi odražavalo novi host. Također možete napraviti promjene u svojoj internoj mreži jer bilo koja od vaših vanjskih IP adresa pripada usmjerivaču ili globalnom skupu adresa.

Princip rada usmjerivača (usmjerivača)

Čitajući ovaj članak, mislim da svi razumiju što je ruter i zašto vam treba, ali je li netko razmišljao o tome kako radi? U ovom članku pokušat ću vam reći osnovne principe usmjerivača na najpristupačnijem jeziku. Ovaj će članak biti koristan i za administratore sustava i za obične korisnike.

Glavna funkcija koja radi u bilo kojem usmjerivaču je NAT

NAT- Prijevod mrežnih adresa koristi se za zamjenu IP adresa. U lokalnim mrežama uglavnom se koriste adrese tipa 192.168.1.XXX ili slične, što stvara problem s usmjeravanjem na globalnom Internetu, budući da se IP adrese na mreži ne smiju duplicirati. Rješenje ovog problema je NAT - računala u lokalnoj mreži spajaju se na lokalno sučelje usmjerivača, primaju IP adrese i pristupnik s njega (usmjerivač služi kao gateway), a WAN sučelje usmjerivača povezuje se na Internet .

Pogledajmo sada princip NAT prijevoda:

• Zahtjev se postavlja s bilo kojeg računala u lokalnoj mreži, na primjer, pokušavate pristupiti bilo kojoj stranici - računalo šalje ovaj zahtjev na adresu pristupnika, odnosno našeg usmjerivača;
• Usmjerivač, nakon što je primio ovaj zahtjev, bilježi vaše računalo kao pokretača veze, nakon čega se kreira kopija vašeg paketa i šalje na odredišnu adresu, ali u ime usmjerivača, i s njegovom IP adresom, i vašim paketom jednostavno je uništena;
• Poslužitelj kojem je zahtjev poslan obrađuje ga i šalje odgovor, naravno, na adresu usmjerivača. A usmjerivač je to već čekao, jer je napravio zapis da bi trebao doći odgovor na zahtjev vašeg računala i šalje ga na vaše računalo. Kao što vidite, prema ovoj shemi, samo računalo iz lokalne mreže može biti inicijator veze, a odgovor poslužitelja će doći do računala samo ako ga usmjerivač čeka (odgovor na zahtjev) . Drugim riječima, svi pokušaji povezivanja izvana zaustavit će se na usmjerivaču i bit će uspješni samo ako usmjerivač osigura resurs na traženom portu ili ima konfigurirana pravila za prosljeđivanje portova, o čemu ćemo sada govoriti.

Prosljeđivanje luka

Prosljeđivanje luka- ovo je u biti isto što i NAT, ali u drugom smjeru, dakle samo statički NAT, odnosno određeni zahtjevi samo određenim računalima, jer u globalnoj mreži ne mogu znati IP adrese iza rutera. Na primjer, stvorili ste FTP ili HTTP poslužitelj na svom računalu i želite omogućiti pristup tim resursima, za to morate registrirati ovo pravilo u usmjerivaču, što će naznačiti da su svi dolazni paketi na željeni port (21 ili 80 u našem slučaju) će se prenijeti na IP adresu našeg računala na određeni port (port se može promijeniti).

NAT - DMZ

NAT - DMZ- ovo je apsolutno isto kao i Port Forwarding, ali s tom razlikom što ne morate pisati pravilo za svaki port, samo trebate konfigurirati NAT - DMZ, koji će sve dolazne zahtjeve prenositi na WAN router na željeno računalo . Naravno, više nije moguće mijenjati portove.

Usmjeravanje

Da bismo pojednostavili ideju o tome što je, možemo reći da je isti kao NAT, ali samo u oba smjera. Uz ovu shemu, usmjerivač mora imati više od 2 LAN sučelja (ne portove, već sučelja), s različitim adresnim prostorima, na primjer, jedno IP sučelje ima 192.168.0.1, a drugo 192.168.1.1. Posljedično, računala u jednoj mreži će dobiti IP tip 192.168.0.XXX, a na drugoj mreži 192.168.0.XXX, a pristupnici će im biti 192.168.0.1 odnosno 192.168.1.1. Ovako dobivate dvosmjerno usmjeravanje.

Ne zaboravi otići