Non è necessario? Traduzione degli indirizzi di rete (NAT)

Non è più una novità che non ci siano abbastanza indirizzi di rete IP per tutti i dispositivi che vogliono essere su Internet. Attualmente è stata trovata una via d'uscita da questa situazione sviluppando il protocollo IPv6, in cui la lunghezza dell'indirizzo è di 128 bit, mentre l'attuale IPv4 è di soli 32 bit. Ma all'inizio degli anni 2000 trovarono un'altra soluzione: utilizzare la traduzione degli indirizzi di rete, abbreviata nat. Più avanti nell'articolo configureremo nat nel router.

Accesso al menu delle impostazioni del router

Ad esempio, prendiamo il router ZyXEL delle serie ZyWALL USG e NXC5200.

Prima di tutto, vai alle impostazioni del router. Per fare ciò, in qualsiasi browser web, digitare 192.168.1.1 nella barra degli indirizzi. (indirizzo router standard), apparirà una finestra che ti chiederà di inserire login e password.

Nel campo “Nome utente” inserisci admin, nel campo “Password” inserisci 1234. Fai clic su “OK”.

Configurazione del nat nel router

Nella finestra del menu che si apre, vai sulla scheda “Configurazione” (l'icona con due ingranaggi), poi “Rete”, poi “Routing”. Nella finestra selezionata, vai alla scheda “Policy Routing”.

Menu delle impostazioni del router ZyXEL

In questo menu viene configurata la politica di routing. Nell'area "Criteri", impostiamo i criteri per la selezione del traffico: quale traffico deve essere trasmesso (in realtà configura nat) e quale deve essere semplicemente instradato. Il traffico può essere selezionato in base a diversi criteri:

1. Utente (Utente);
2. Per interfaccia (Incoming);
3. Per indirizzo IP di origine;
4. Per indirizzo IP del destinatario (Indirizzo di destinazione);
5. Per porto di destinazione (Servizio).

Nell'area “Next-Hop” assegniamo un oggetto per reindirizzare il traffico:

Selezione di un oggetto di reindirizzamento del router ZyXEL

Dove “Auto”: il traffico verrà reindirizzato all'interfaccia globale predefinita; Gateway – all'indirizzo specificato nelle impostazioni del gateway; Tunnel VPN: tunnel privato virtuale IPSec; Trunk – instradamento verso un “trunk”, dove un “trunk” è costituito da diverse interfacce configurate per funzionare insieme o in modalità ridondante; Interfaccia: reindirizza all'interfaccia specificata:

È importante ricordare che ogni volta che si apportano modifiche alle impostazioni del router, fare clic sul pulsante "OK" per salvare le impostazioni e non semplicemente chiudere il browser web.

Configurazione di nat su un computer

Come sai, il personal computer stesso può fungere da router. Spesso si verifica una situazione in cui esiste una rete di computer composta da più computer, uno dei quali ha accesso a Internet. In questa situazione, non è possibile acquistare affatto router, ma configurare un computer con accesso a Internet come router e configurarvi nat. Consideriamo questo caso in modo più dettagliato.

Assicurati di installare 2 schede di rete sul computer principale che guarda Internet (chiamiamolo SERVER): la prima per la connessione alla rete locale, la seconda al provider. Nell'esempio verrà utilizzato il sistema operativo Windows Server 2012.

Per configurare, innanzitutto, avviare “Server Manager” (Start -> Strumenti di amministrazione -> Server Manager). Apparirà la finestra delle impostazioni:

Da qui gestiremo il nostro server. Per continuare la configurazione, fare clic su "Aggiungi ruoli e funzionalità", che aprirà la finestra Aggiunta guidata ruoli. Primo passaggio: tipo di installazione:

Nella finestra successiva dobbiamo selezionare il ruolo che stiamo installando sul server. Seleziona la casella accanto a "Accesso remoto".

Apparirà la seguente finestra in cui viene visualizzato l'elenco dei componenti necessari per il funzionamento. Fare clic su "Aggiungi componenti", questa finestra scomparirà. Fare clic su "Avanti".

Nella finestra successiva, la procedura guidata richiede di aggiungere componenti server. Non è necessario modificare nulla, fare clic su "Avanti".

Nella pagina successiva, la procedura guidata ci informa semplicemente sul funzionamento del ruolo di Accesso remoto. Fare clic su "Avanti".

Nel passaggio successivo, è necessario selezionare "Servizi ruolo". Seleziona la casella accanto a "Routing" e fai clic su "Avanti".

La finestra successiva è di nuovo informativa, non è necessario selezionare nulla, ma puoi selezionare la casella accanto a "Riavvio automatico sul server selezionato...", in seguito alla quale il server si riavvierà automaticamente dopo l'installazione. Ma puoi anche farlo manualmente. Fare clic su "Avanti".

E l'ultimo passaggio è l'installazione vera e propria del server. Al termine, fare clic sul pulsante "Chiudi".

Installazione del server

Quindi, abbiamo configurato un computer connesso a Internet in modalità server. Ora devi configurare nat su di esso.

Vai su Start / Amministrazione / Routing e accesso remoto. Nella finestra che appare, sul lato sinistro troviamo la voce “SERVER (locale)”, cliccarci sopra con il tasto destro e nel menu a tendina cliccare su “Configura e abilita routing e accesso remoto”.

Apparirà una procedura guidata per la configurazione di un server di routing e accesso remoto, in cui configureremo nat.

Nella prima pagina ci viene brevemente presentata la procedura guidata: fare clic su "Avanti". Il passaggio successivo è selezionare uno dei servizi che verranno eseguiti su questo server. Selezionare "Traduzione degli indirizzi di rete (NAT)" e fare clic su "Avanti".

Successivamente, la procedura guidata ti chiederà di selezionare una connessione di rete che guardi a Internet. Entrambe le schede di rete saranno presenti nell'elenco (almeno a seconda di quante di esse sono installate sul server). Selezioniamo quello a cui è collegato il cavo di rete del provider. Fare clic su "Avanti".

Nella finestra successiva, la procedura guidata inizierà a lamentarsi di non poter rilevare i servizi DHCP o DNS sulla rete locale. Sono disponibili due opzioni per continuare: abilitare i servizi di base o installare i servizi in un secondo momento.

Selezionare il primo elemento e fare clic su "Avanti". Nella pagina successiva ti informerò in quale intervallo funzionerà nat. La configurazione guidata seleziona automaticamente questo intervallo, in base alla configurazione della connessione di rete connessa alla rete locale. Fare clic su "Avanti".

intervallo nazionale

Questo è tutto, la procedura guidata di configurazione completa la configurazione nat. Fare clic su "Avanti" e nella finestra successiva "Fine".

L'ultima cosa che resta da fare è configurare i computer client, cioè tutti gli altri computer della rete locale. Per fare ciò, sul computer client (questo dovrà essere fatto su ciascun computer della rete), vai su Start / Pannello di controllo / Centro connessioni di rete e condivisione / modifica le impostazioni dell'adattatore. Vai su “Connessioni di rete”. Fare clic con il tasto destro sull'icona e selezionare "Proprietà" dal menu a discesa. Nella finestra che appare, seleziona “Protocollo Internet versione 4 (TCP/IPv4)” e fai clic su “Proprietà”.

Nel campo “Gateway predefinito” scriviamo l'indirizzo IP del computer server (che è stato configurato nel passaggio precedente), nel campo “Server DNS preferito” scriviamo l'indirizzo IP del server DNS del provider specificato nelle informazioni sulla connessione Internet sul server. Fare clic su "OK" e di nuovo su "OK". Questo è tutto, il computer client è connesso a Internet.

Buona giornata, cari lettori! Bene, parliamone NAT.

Oggi parleremo più in dettaglio di un argomento un po' doloroso e piuttosto incomprensibile, ma più incomprensibile che doloroso.

In misura maggiore, questo problema riguarda coloro che giocano a giochi multiplayer e, in breve, questo problema suona più o meno così: "PERCHÉ NESSUNO VIENE DA ME?" Per altri, questo problema sembra leggermente diverso, vale a dire:

• Perchè il torrent non si scarica?
• Perché utenti/amici/conoscenti/personaggi sconosciuti non riescono a connettersi a FTP, WEB, VOIP (TS, Mumble, bucket) e ad altri server che stai cercando di configurare da così tanto tempo e nemmeno controllare che tutto funzioni per te?
• Perché il tuo server domestico personale è vuoto? Potrebbe trattarsi di una cospirazione universale?

Ma però non c'è nessun complotto, il colpevole di tutti questi guai è accanto a te e ti fa l'occhiolino sornione con le lampadine, e si chiama... un router, sì, sì, lo stesso che distribuisce Internet a tutti i tuoi dispositivi (e forse quelli dei tuoi vicini).

In breve, gli utenti di Internet semplicemente non possono connettersi a te perché il tuo router non glielo consente, ma lo fa non solo per capriccio, ma perché non sa che tutte queste persone vogliono connettersi a te. Quindi pensa che vogliano qualcosa da lui.

Sì, ti ho appena descritto perché è necessario il NAT. E ora di cosa si tratta.

Definizione generale

NAT (Network Address Translation) è un meccanismo che consente al router di determinare quali servizi si trovano dietro il router e dovrebbero essere accessibili da Internet in modo che gli utenti da lì possano utilizzare questi servizi (non ho preso la definizione dal wiki, perché è astruso e non tutti lo capiscono).

NAT è presente in tutti i router e sistemi operativi server in una forma o nell'altra. Nei router questo viene solitamente chiamato port forwarding, in Linux iptables, sui server Windows - in apparecchiature speciali. Ora parliamo dei diversi tipi di NAT.

Digitarne uno, NAT statico

Il NAT statico non è necessario per la tua casa, ma è necessario se il tuo provider ha assegnato diversi indirizzi IP (indirizzi esterni o “bianchi”) alla tua azienda, e hai bisogno che alcuni server siano sempre visibili da Internet, senza che i loro indirizzi cambino.

Quelli. Si verifica la conversione dell'indirizzo 1-1 (un IP esterno viene assegnato a un server interno). Con questa configurazione, i tuoi server saranno sempre accessibili da Internet su qualsiasi porta.

• Il vantaggio di questo metodo è che si apre l'accesso da Internet specificamente per un determinato programma su un determinato computer/server, tutte le altre porte del computer/server rimangono chiuse;
• Lo svantaggio è che è necessario aprire manualmente tutte le porte (a volte i programmi lo fanno per te utilizzando la tecnologia UPnP, ma ciò non sempre accade).

Epilogo

Si è rivelato un po' caotico e l'argomento è piuttosto complicato, ma spero che ora la parola NAT non vi faccia rabbrividire :)

Come sempre, se avete domande, pensieri, aggiunte, ecc., non esitate a commentare questo post.

PS: Per l'esistenza dell'articolo, un ringraziamento speciale a un amico del progetto e membro del nostro team con il soprannome “barn4k“

Ciao a tutti, oggi parleremo di come configurare Cisco NAT. Cos'è il NAT e perché è generalmente necessario, poiché questa funzionalità è stata a lungo saldamente radicata nella nostra vita quotidiana e ora è molto difficile immaginare almeno un'azienda che non utilizzi questa tecnologia. Un tempo ha salvato Internet e ha ritardato notevolmente la transizione da ipv4 a ipv6, ma prima di tutto.

Cos'è il NAT

NAT (Network Address Translation) è un meccanismo per la conversione degli indirizzi di rete; per dirla semplicemente, è una tecnologia che consente a un gruppo di IP privati ​​o grigi di sedersi dietro un IP bianco. Un esempio potrebbe essere Internet dell'ufficio, in cui tutti gli utenti utilizzano un gateway comune, configurato con un indirizzo IP che si connette a Internet, in modo che gli utenti dispongano di indirizzi IP locali configurati.

Sembra qualcosa del genere

Tipi di NAT

• NAT statico: conversione dell'IP grigio in bianco, esempio di port forwarding su una rete locale, ad esempio RDP
• NAT dinamico: conversione di un IP grigio in uno degli indirizzi IP di un gruppo di indirizzi IP bianchi
• NAT sovraccaricato o come viene anche chiamato PAT (port Address translation), converte diversi IP grigi in bianchi, assegnando loro porte diverse.

Oggi esamineremo NAT e PAT statici.

Configurazione NAT Cisco

Ecco come appare il layout di un piccolo ufficio. Abbiamo 3 computer nella vlan 2, c'è un server in una vlan 3 separata. Tutto questo è collegato a uno switch di secondo livello Cisco 2660, che a sua volta è collegato a un router Cisco 1841, che instrada il traffico locale tra la vlan 2 e 3.

Configurazione Cisco 2960

Creiamo vlan 2 e vlan3, diamo loro dei nomi e configuriamo le porte necessarie su questi vlan.

abilitare
conf t
creare vlan 2
Vlan 2
nome VLAN2
Uscita
creare vlan 3
Vlan 3
nome VLAN3
Uscita
Inseriamo le porte in vlan2
intervallo int fa0/1-3
accesso in modalità switchport
vlan di accesso switchport 2
Uscita
Posiziona la porta in vlan3
int fa 0/4
accesso in modalità switchport
vlan di accesso switchport 3
Uscita

int fa 0/5
tronco in modalità switchport
trunk switchport consentito vlan 2,3
fallo, mem

Configurazione Cisco 1841

Prima di tutto creiamo le sottointerfacce e aumentiamo la porta.

abilitare
conf t
int fa0/0
nessun arresto
Uscita

int fa0/0.2
incapsulamento punto1Q 2
indirizzo ip 192.168.2.251 255.255.255.0
nessun arresto
Uscita

int fa0/0.3
incapsulamento punto1Q 3
indirizzo ip 192.168.3.251 255.255.255.0
nessun arresto
Uscita

Di conseguenza, il porto è diventato verde

Configurazione PAT

Nella mia infrastruttura virtuale purtroppo il nostro schema non può essere rilasciato su Internet, lo emuliamo, avremo un router con indirizzo IP bianco e un server anch'esso con indirizzo IP bianco. Schematicamente appare così. Sul router del provider ad una determinata porta viene assegnato un indirizzo IP bianco 213.235.1.1 e una maschera di rete 255.255.255.252

Configuriamo questo IP sul router del nostro provider di prova.

en
conf t
int fa0/0
indirizzo ip 213.235.1.1 255.255.255.252
nessun arresto
Uscita

Configuriamo la porta fa0/1 che guardiamo sul server, e diamogli un altro ip bianco 213.235.1.25 255.255.255.252

int fa0/1
indirizzo ip 213.235.1.25 255.255.255.252
nessun arresto
Uscita

Il mio server avrà un indirizzo IP 213.235.1.26 e il gateway sarà 213.235.1.25, l'interfaccia del router del provider che guarda il server.

Ora configuriamo il nostro router locale Router0, configuriamolo con l'indirizzo IP bianco assegnatoci dal nostro provider 213.235.1.2 255.255.255.252, il gateway sarà 213.235.1.1

abilitare
conf t
int fa0/1
indirizzo ip 213.235.1.2 255.255.255.252
nessun arresto
Uscita
percorso ip 0.0.0.0 0.0.0.0 213.235.1.1
Uscita
wr mem

Proviamo a eseguire il ping degli indirizzi IP del provider e del server dal router dell'ufficio e vediamo che tutto funziona bene.

Router#ping 213.235.1.1

La percentuale di successo è dell'80% (4/5), andata e ritorno min/media/max = 0/0/0 ms

Router#ping 213.235.1.1

Digitare la sequenza di fuga per l'aborto.

Invio di 5 echi ICMP da 100 byte a 213.235.1.1, il timeout è di 2 secondi:

La percentuale di successo è del 100% (5/5), min/media/max andata e ritorno = 0/0/1 ms

Router#ping 213.235.1.2

Digitare la sequenza di fuga per l'aborto.

Invio di 5 echi ICMP da 100 byte a 213.235.1.2, il timeout è di 2 secondi:

La percentuale di successo è del 100% (5/5), min/media/max andata e ritorno = 0/9/17 ms

Router#ping 213.235.1.25

Digitare la sequenza di fuga per l'aborto.

Invio di 5 echi ICMP da 100 byte a 213.235.1.25, il timeout è di 2 secondi:

Router#ping 213.235.1.26

Digitare la sequenza di fuga per l'aborto.

Invio di 5 echi ICMP da 100 byte a 213.235.1.26, il timeout è di 2 secondi:

La percentuale di successo è del 100% (5/5), min/media/max andata e ritorno = 0/0/0 ms

Ebbene, la nazione stessa. Sul router locale eseguiamo quanto segue. Ora bisogna impostare quale interfaccia nat sarà considerata esterna e quale interna, qui tutto sarà semplicemente esterno dove è configurato l'indirizzo IP bianco del provider, interno sarà ciò che è collegato allo switch di secondo livello. fa0/1 sarà esterno e due interfacce secondarie saranno interne.

abilitare
conf t
int fa0/1
ip nat fuori
Uscita
int fa0/0.2
ip nat dentro
int fa0/0.3
ip nat dentro
Uscita

Impostazione della lista di accesso

L'elenco di accesso è un elenco di quale traffico deve essere sottoposto a NAT e quale dovrebbe funzionare senza NAT.

Creazione di un elenco di accesso in base al nome NAT

NAT standard dell'elenco di accesso ip
Consenti due piscine
permesso 192.168.2.0 0.0.0.255
permesso 192.168.3.0 0.0.0.255

0.0.0.255 sono bit con caratteri jolly

Come puoi vedere, abbiamo un elenco di accesso nella nostra configurazione e le porte sono contrassegnate quali sono esterne e quali sono interne.

E inseriamo un altro comando magico, che dice che il traffico che arriva a fa0/1 deve essere instradato secondo la regola NAT. Alla fine abbiamo creato PAT.

ip nat all'interno dell'elenco delle sorgenti Interfaccia NAT fa0/1 sovraccarico

Salva tutto, fai scrivi mem

Verifichiamo la disponibilità di risorse esterne da un computer della rete locale. Diamo un'occhiata alle configurazioni attuali usando il comando ipconfig, vediamo l'indirizzo IP 192.168.2.1, ping 213.235.1.26, come puoi vedere è tutto ok e NAT cisco funziona.

Visualizzazioni: 41179

1 Se stai leggendo questo documento, molto probabilmente sei connesso a Internet e utilizzi la traduzione degli indirizzi di rete ( Traduzione degli indirizzi di rete, NAT) Proprio adesso! Internet è diventato molto più grande di quanto chiunque avrebbe potuto immaginare. Anche se la dimensione esatta non è nota, la stima attuale è di circa 100 milioni di host e più di 350 milioni di utenti attivi su Internet. In effetti, il tasso di crescita è tale che Internet raddoppia ogni anno.

introduzione

Affinché un computer possa comunicare con altri computer e server Web su Internet, deve disporre di un indirizzo IP. Un indirizzo IP (IP sta per Internet Protocol) è un numero univoco a 32 bit che identifica la posizione del tuo computer su una rete. Fondamentalmente funziona proprio come il tuo indirizzo stradale: un modo per scoprire esattamente dove ti trovi e fornirti informazioni. Teoricamente, puoi avere 4.294.967.296 indirizzi univoci (2 ^ 32). Il numero effettivo di indirizzi disponibili è inferiore (tra 3,2 e 3,3 miliardi) a causa del modo in cui gli indirizzi sono divisi in classi e della necessità di riservare alcuni indirizzi per multicast, test o altre esigenze specifiche. Con l'aumento delle reti domestiche e aziendali, il numero di indirizzi IP disponibili non è più sufficiente. La soluzione ovvia è riprogettare il formato dell'indirizzo per accogliere più indirizzi possibili. Pertanto, il protocollo IPv6 è in fase di sviluppo, ma questo sviluppo richiederà diversi anni perché richiede la modifica dell'intera infrastruttura Internet.

È qui che NAT viene in nostro soccorso. Fondamentalmente, la Network Address Translation consente a un singolo dispositivo, come un router, di fungere da agente tra Internet (o "rete pubblica") e la rete locale (o "privata"). Ciò significa che è necessario un solo indirizzo IP univoco per esporre un intero gruppo di computer a qualsiasi cosa al di fuori della loro rete. La mancanza di indirizzi IP è solo uno dei motivi per utilizzare NAT. Altri due buoni motivi sono la sicurezza e l'amministrazione.

Imparerai come trarre vantaggio dal NAT, ma prima diamo un'occhiata più da vicino al NAT e vediamo cosa può fare.

Travestimento

Un NAT è come una segretaria in un grande ufficio. Mettiamo il caso che tu abbia lasciato istruzioni alla segretaria di non inoltrarti nessuna chiamata a meno che tu non lo chieda. Successivamente, chiami il potenziale cliente e gli lasci un messaggio affinché ti richiami. Dici alla segretaria che stai aspettando una chiamata da questo cliente e che la chiamata deve essere trasferita. Il cliente chiama il numero principale del tuo ufficio, che è l'unico numero che conosce. Quando il cliente dice alla segretaria chi sta cercando, la segretaria controlla la sua lista dei dipendenti per trovare una corrispondenza tra il nome e il suo numero di interno. L'addetto alla reception sa che hai richiesto questa chiamata, quindi trasferisce la chiamata al tuo telefono.

Sviluppato da Cisco, Network Address Translation viene utilizzato da un dispositivo (firewall, router o computer) che si trova tra la rete interna e il resto del mondo. NAT è disponibile in molte forme e può funzionare in diversi modi:

NAT statico- Mappatura dell'indirizzo IP non registrato all'indirizzo IP registrato su base uno a uno. Particolarmente utile quando il dispositivo deve essere accessibile dall'esterno della rete.

Nel NAT statico, un computer con l'indirizzo 192.168.32.10 verrà sempre tradotto nell'indirizzo 213.18.123.110:

NAT dinamico- Mappa un indirizzo IP non registrato su un indirizzo registrato da un gruppo di indirizzi IP registrati. Il NAT dinamico stabilisce inoltre una mappatura diretta tra un indirizzo non registrato e un indirizzo registrato, ma la mappatura può cambiare a seconda dell'indirizzo registrato disponibile nel pool di indirizzi durante la comunicazione.

Nel NAT dinamico, il computer con l'indirizzo 192.168.32.10 viene convertito nel primo indirizzo disponibile nell'intervallo da 213.18.123.100 a 213.18.123.150

Sovraccaricoè una forma di NAT dinamico che mappa più indirizzi non registrati su un singolo indirizzo IP registrato utilizzando porte diverse. Noto anche come PAT (Port Address Translation)

In caso di sovraccarico, ogni computer della rete privata viene tradotto allo stesso indirizzo (213.18.123.100), ma con un numero di porta diverso

Sovrapposizione- Quando gli indirizzi IP utilizzati sulla rete interna vengono utilizzati anche su un'altra rete, il router deve conservare una tabella di ricerca di questi indirizzi in modo da poterli intercettare e sostituire con indirizzi IP univoci registrati. È importante notare che un router NAT deve tradurre gli indirizzi "interni" in indirizzi univoci registrati e deve anche tradurre gli indirizzi registrati "esterni" in indirizzi univoci per la rete privata. Questa operazione può essere eseguita tramite NAT statico oppure è possibile utilizzare DNS e implementare NAT dinamico.

Esempio:
Anche l'intervallo IP interno (237.16.32.xx) è un intervallo registrato utilizzato da un'altra rete. Pertanto, il router traduce gli indirizzi per evitare potenziali conflitti. Tradurrà inoltre gli indirizzi IP globali registrati in indirizzi locali non registrati quando i pacchetti vengono inviati alla rete interna

Una rete interna è solitamente una LAN (Local Area Network), più spesso chiamata dominio stub. Un dominio stub è una LAN che utilizza indirizzi IP interni. La maggior parte del traffico di rete in tale dominio è locale e non lascia la rete interna. Un dominio può includere sia indirizzi IP registrati che non registrati. Naturalmente, tutti i computer che utilizzano indirizzi IP non registrati devono utilizzare NAT per comunicare con il resto del mondo.

Il NAT può essere configurato in vari modi. Nell'esempio seguente, il router NAT è configurato per tradurre gli indirizzi IP non registrati (indirizzi interni locali) che risiedono sulla rete privata (interna) in indirizzi IP registrati. Ciò accade ogni volta che un dispositivo interno con un indirizzo non registrato deve comunicare con la rete esterna.

L'ISP assegna un intervallo di indirizzi IP alla tua azienda. Un blocco di indirizzi assegnato sono indirizzi IP registrati univoci e vengono chiamati all'interno degli indirizzi globali. Gli indirizzi IP privati ​​non registrati sono divisi in due gruppi, un piccolo gruppo, indirizzi locali esterni, sarà utilizzato dai router NAT e quello principale che verrà utilizzato nel dominio è noto come all'interno degli indirizzi locali. Gli indirizzi locali esterni vengono utilizzati per tradurre indirizzi IP univoci noti come indirizzi globali esterni,dispositivi su una rete pubblica.
NAT traduce solo il traffico che passa tra le reti interne ed esterne ed è designato per la traduzione. Tutto il traffico che non soddisfa i criteri di traduzione o che passa tra altre interfacce sul router non viene mai tradotto e viene inoltrato così com'è.

Gli indirizzi IP hanno designazioni diverse a seconda che si trovino su una rete privata (dominio) o su una rete pubblica (Internet) e se il traffico sia in entrata o in uscita:

• La maggior parte dei computer di un dominio comunicano tra loro utilizzando indirizzi locali interni.
• Alcuni computer del dominio comunicano con la rete esterna. Questi computer hanno indirizzi globali interni, il che significa che non richiedono traduzione.
• Quando un computer in un dominio che ha un indirizzo locale interno vuole comunicare con una rete esterna, il pacchetto va a uno dei router NAT attraverso il normale instradamento.
• Il router NAT controlla la tabella di routing per vedere se contiene una voce per l'indirizzo di destinazione. Se l'indirizzo di destinazione non è presente nella tabella di routing, il pacchetto viene scartato. Se la registrazione è disponibile, il router controlla se il pacchetto proviene dalla rete interna verso la rete esterna e anche se il pacchetto soddisfa i criteri definiti per la trasmissione. Il router quindi controlla la tabella di traduzione degli indirizzi per vedere se esiste una voce per l'indirizzo locale interno e il suo indirizzo globale interno corrispondente. Se viene trovata una voce, trasmette il pacchetto utilizzando l'indirizzo globale interno. Se è configurato solo il NAT statico e non viene trovata alcuna voce, il router invia il pacchetto senza traduzione.
• Utilizzando l'indirizzo globale interno, il router inoltra il pacchetto alla sua destinazione.
• un computer su una rete pubblica invia un pacchetto a una rete privata. L'indirizzo di origine nel pacchetto è l'indirizzo globale esterno. L'indirizzo di destinazione è un indirizzo globale interno.
• Quando un pacchetto arriva sulla rete esterna, il router NAT esamina la tabella di traduzione e determina l'indirizzo di destinazione mappato su un computer nel dominio.
• Un router NAT traduce l'indirizzo globale interno di un pacchetto in un indirizzo locale interno e quindi controlla la tabella di routing prima di inviare il pacchetto al computer di destinazione. Ogni volta che non viene trovata una voce per un indirizzo nella tabella di traduzione, il pacchetto non viene tradotto e il router continua a controllare la tabella di instradamento per trovare l'indirizzo di destinazione.

L'overloading NAT utilizza una funzionalità dello stack di protocolli TCP/IP, come il multiplexing, che consente a un computer di mantenere più connessioni simultanee a un computer remoto utilizzando diverse porte TCP o UDP. Il pacchetto IP ha un'intestazione che contiene le seguenti informazioni:

• Indirizzo di origine: indirizzo IP del computer di origine, ad esempio 201.3.83.132.
• Porta di origine: il numero di porta TCP o UDP assegnato dal computer come origine per questo pacchetto, ad esempio Porta 1080.
• Indirizzo di destinazione: indirizzo IP del computer ricevente. Ad esempio, 145.51.18.223.
• Porta di destinazione: numero di porta TCP o UDP che richiede al computer di origine di aprirsi sul ricevitore, ad esempio la porta 3021.

Gli indirizzi IP identificano le due macchine su ciascun lato, mentre i numeri di porta assicurano che la connessione tra le due macchine abbia un identificatore univoco. La combinazione di questi quattro numeri definisce una singola connessione TCP/IP. Ciascun numero di porta utilizza 16 bit, il che significa che ci sono 65.536 (2^16) valori possibili. In realtà, poiché diversi produttori visualizzano le porte in modi leggermente diversi, ci si possono aspettare circa 4.000 porte disponibili.

Esempi di NAT dinamico e NAT con sovraccarico

L'immagine seguente mostra come funziona il NAT dinamico.

Fare clic su uno dei pulsanti verdi per inviare con successo un pacchetto da o verso la rete interna. Fare clic su uno dei pulsanti rossi per inviare un pacchetto che verrà scartato dal router a causa di un indirizzo non valido.

• la rete interna è stata configurata con indirizzi IP che non sono stati specificatamente assegnati a questa azienda dalla IANA (Internet Assigned Numbers Authority), l'ufficio globale che distribuisce gli indirizzi IP. Tali indirizzi dovrebbero essere considerati non instradabili poiché non sono univoci. Questi sono indirizzi locali interni.
• l'azienda installa un router con NAT. Il router dispone di una serie di indirizzi IP univoci rilasciati all'azienda. Questi sono indirizzi globali interni.
• un computer sulla LAN sta tentando di connettersi a un computer esterno alla rete, ad esempio un server Web.
• Il router riceve il pacchetto dal computer sulla LAN.
• Dopo aver controllato la tabella di instradamento e il processo di verifica della traduzione, il router memorizza l'indirizzo del computer non instradabile nella tabella di traduzione degli indirizzi. Il router sostituisce l'indirizzo non instradabile del computer mittente con il primo indirizzo IP disponibile in un intervallo di indirizzi univoci. La tabella di traduzione ora mostra l'indirizzo IP non instradabile del computer che corrisponde a uno degli indirizzi IP univoci.
• Quando un pacchetto ritorna dal computer di destinazione, il router controlla l'indirizzo di destinazione nel pacchetto. Quindi esamina la tabella di traduzione degli indirizzi per trovare a quale computer nel dominio appartiene il pacchetto. Cambia l'indirizzo del destinatario in quello precedentemente memorizzato nella tabella di traduzione e invia il pacchetto al computer desiderato. Se il router non trova una corrispondenza nella tabella, scarta il pacchetto.
• Il computer riceve il pacchetto dal router e l'intero processo si ripete mentre il computer comunica con il sistema esterno.

• La rete interna è stata realizzata con indirizzi IP non instradabili, non assegnati specificatamente all'azienda
• l'azienda installa un router con NAT. Il router ha un indirizzo IP univoco rilasciato da IANA
• Un computer nel dominio sta tentando di connettersi a un computer esterno alla rete, ad esempio un server Web.
• Il router riceve un pacchetto da un computer nel dominio.
• Dopo aver instradato ed esaminato il pacchetto per eseguire la traduzione, il router memorizza l'indirizzo IP non instradabile e il numero di porta del computer nella tabella di traduzione. Il router sostituisce l'indirizzo IP non instradabile del computer mittente con l'indirizzo IP del router. Il router sostituisce la porta di origine del computer del mittente con un numero di porta casuale e lo memorizza nella tabella di traduzione degli indirizzi per quel mittente. La tabella di conversione mostra l'indirizzo IP non instradabile del computer e il numero di porta insieme all'indirizzo IP del router.
• Quando un pacchetto ritorna dalla destinazione, il router controlla la porta di destinazione nel pacchetto. Quindi esamina la tabella di traduzione per trovare a quale computer nel dominio appartiene il pacchetto. Successivamente, il router modifica l'indirizzo e la porta del ricevitore con i valori precedentemente memorizzati nella tabella di traduzione e invia il pacchetto al nodo finale.
• il computer riceve il pacchetto dal router e il processo si ripete
• Poiché ora il router NAT ha l'indirizzo e la porta di origine del computer memorizzati nella tabella di traduzione, continuerà a utilizzare lo stesso numero di porta per le connessioni successive. Ogni volta che il router accede a una voce nella tabella di traduzione, il timer attivo per quella voce viene reimpostato. Se non si accede a una voce prima della scadenza del timer, viene rimossa dalla tabella

Il numero di trasmissioni simultanee supportate da un router è determinato principalmente dalla quantità di DRAM (Dynamic Random Access Memory). Poiché una tipica voce della tabella di traduzione è di circa 160 byte, un router con 4 MB di RAM può teoricamente gestire 26.214 connessioni simultanee, il che è più che sufficiente per la maggior parte delle applicazioni.

Sicurezza e amministrazione

L'implementazione del NAT dinamico crea automaticamente un firewall tra la rete interna e le reti esterne o Internet. Il NAT dinamico consente solo le connessioni che hanno origine sulla rete locale. In sostanza, ciò significa che un computer sulla rete esterna non può connettersi al tuo computer a meno che il tuo computer non abbia avviato la connessione. In questo modo puoi navigare in Internet e collegarti a un sito, e anche caricare un file. Ma nessuno può più semplicemente prendere il tuo indirizzo IP e usarlo per connettersi a una porta del tuo computer.

Il NAT statico, chiamato anche mappatura in entrata, consente in determinate circostanze le connessioni avviate da dispositivi esterni ai computer della LAN. Ad esempio, è possibile associare un indirizzo globale interno a un indirizzo locale interno specifico assegnato al server Web.

Il NAT statico consente a un computer sulla LAN di mantenere un indirizzo specifico quando comunica con dispositivi esterni alla rete:

Alcuni router NAT forniscono filtri estesi e registrazione del traffico. Il filtraggio consente alla tua azienda di controllare quali siti Internet visitano i dipendenti, impedendo loro di visualizzare materiale discutibile. È possibile utilizzare la registrazione del traffico per creare un registro di quali siti vengono visitati e generare vari report basati su questo.

A volte la traduzione degli indirizzi di rete viene confusa con i server proxy, dove esistono alcune differenze. NAT è trasparente per i computer di origine e di destinazione. Nessuno di loro sa che si tratta di un terzo dispositivo. Ma il server proxy non è trasparente. Il computer di origine sa che sta effettuando una richiesta al proxy. Il computer di destinazione pensa che il server proxy sia il computer di origine e si occupa direttamente di esso. Inoltre, i server proxy in genere operano al livello 4 (trasporto) del modello OSI o superiore, mentre NAT è un protocollo di livello 3 (rete). Il funzionamento a livelli più alti rende i server proxy più lenti dei dispositivi NAT nella maggior parte dei casi.

Il vero vantaggio del NAT è evidente nell'amministrazione della rete. Ad esempio, puoi spostare il tuo server Web o FTP su un altro computer senza preoccuparti di interruzioni delle connessioni. È sufficiente modificare la mappatura dell'input sul nuovo indirizzo locale interno nel router per riflettere il nuovo host. Puoi anche apportare modifiche alla tua rete interna poiché qualsiasi indirizzo IP esterno appartiene a un router o a un pool di indirizzi globali.

Il principio di funzionamento di un router (router)

Leggendo questo articolo, penso che tutti capiscano cos'è un router e perché è necessario, ma qualcuno ha mai pensato a come funziona? In questo articolo cercherò di spiegare nel linguaggio più accessibile i principi base del funzionamento del router. Questo articolo sarà utile sia agli amministratori di sistema che agli utenti ordinari.

La funzione principale che funziona in qualsiasi router è NAT

NAT- La traduzione degli indirizzi di rete viene utilizzata per sostituire gli indirizzi IP. Le reti locali utilizzano principalmente indirizzi come 192.168.1.XXX o simili, e questo crea un problema di routing su Internet globale, poiché gli indirizzi IP sulla rete non dovrebbero essere duplicati. La soluzione a questo problema è NAT: i computer sulla rete locale si connettono all'interfaccia locale del router, ricevono da esso indirizzi IP e un gateway (il router funge da gateway) e l'interfaccia WAN del router si connette a Internet .

Ora diamo un'occhiata al principio della traduzione NAT:

• Viene effettuata una richiesta da qualsiasi computer sulla rete locale, ad esempio, stai tentando di accedere a qualsiasi sito Web: il computer invia questa richiesta all'indirizzo del gateway, ovvero il nostro router;
• Il router, dopo aver ricevuto questa richiesta, registra il tuo computer come iniziatore della connessione, dopodiché viene creata una copia del tuo pacchetto e inviata all'indirizzo di destinazione, ma per conto del router, e con il suo indirizzo IP, e il tuo pacchetto viene semplicemente distrutto;
• Il server a cui è stata inviata la richiesta la elabora e invia una risposta, naturalmente all'indirizzo del router. E il router lo stava già aspettando, poiché ha creato un record secondo cui dovrebbe arrivare una risposta alla richiesta del tuo computer e la invia al tuo computer. Come puoi vedere, secondo questo schema, solo un computer della rete locale può essere l'iniziatore della connessione e la risposta del server raggiungerà il computer solo se il router lo attende (risposta a una richiesta). In altre parole, tutti i tentativi di connessione dall'esterno si fermeranno al router, e andranno a buon fine solo se il router fornisce una risorsa sulla porta richiesta o ha configurate le regole di Port Forwarding, di cui parleremo ora.

Port forwarding

Port forwarding- questo è essenzialmente uguale al NAT, ma nella direzione opposta, e quindi solo NAT statico, cioè determinate richieste solo a determinati computer, perché sulla rete globale non possono conoscere gli indirizzi IP dietro il router. Ad esempio, se hai creato un server FTP o HTTP sul tuo computer e desideri fornire l'accesso a queste risorse, per fare ciò devi scrivere questa regola nel router, che indicherà che tutti i pacchetti in arrivo alla porta desiderata (21 o 80 nel nostro caso) verranno trasmessi all'indirizzo IP del nostro computer ad una porta specifica (la porta può essere modificata).

NAT-DMZ

NAT-DMZ- è assolutamente uguale al Port Forwarding, ma con la differenza che non è necessario registrare una regola per ciascuna porta, è sufficiente configurare NAT - DMZ, che trasferirà tutte le richieste in entrata dal router WAN al computer desiderato . Naturalmente non è più possibile cambiare porta.

Instradamento

Per semplificare l’idea di cosa sia, possiamo dire che è uguale al NAT, ma solo in entrambe le direzioni. Con questo schema, il router deve avere più di 2 interfacce LAN (non porte, ma interfacce), con spazi di indirizzi diversi, ad esempio un'interfaccia IP ha 192.168.0.1 e l'altra ha 192.168.1.1. Di conseguenza, i computer su una rete riceveranno il tipo IP 192.168.0.XXX e sull'altra rete 192.168.0.XXX e i loro gateway saranno rispettivamente 192.168.0.1 e 192.168.1.1. In questo modo ottieni il routing bidirezionale.

Non dimenticare di andartene