A është e nevojshme nat? Përkthimi i adresës së rrjetit (NAT)

Nuk është më lajm se nuk ka adresa të mjaftueshme të rrjetit IP për të gjitha pajisjet që duan të jenë në internet. Aktualisht, një rrugëdalje nga kjo situatë është gjetur duke zhvilluar protokollin IPv6, në të cilin gjatësia e adresës është 128 bit, ndërsa IPv4 aktuale është vetëm 32 bit. Por në fillim të viteve 2000, ata gjetën një zgjidhje tjetër - të përdorin përkthimin e adresave të rrjetit, shkurtuar nat. Më vonë në artikull do të konfigurojmë nat në ruter.

Hyrja në menynë e cilësimeve të ruterit

Si shembull, le të marrim ruterin ZyXEL të serive ZyWALL USG dhe NXC5200.

Para së gjithash, shkoni te cilësimet e ruterit. Për ta bërë këtë, në çdo shfletues të internetit, shkruani 192.168.1.1 në shiritin e adresave. (adresa standarde e ruterit), do të shfaqet një dritare që ju kërkon të vendosni hyrjen dhe fjalëkalimin tuaj.

Në fushën “Emri i përdoruesit” shkruani admin, në fushën “Fjalëkalimi” shkruani 1234. Klikoni “OK”.

Vendosja e nat në ruter

Në dritaren e menusë që hapet, shkoni te skeda "Konfigurimi" (ikona me dy ingranazhe), pastaj "Rrjeti", më pas "Rutimi". Në dritaren e zgjedhur, shkoni te skeda "Rruga e politikës".

Menuja e cilësimeve të ruterit ZyXEL

Në këtë meny, politika e rrugëzimit është konfiguruar. Në zonën "Kriteret", ne vendosim kritere për zgjedhjen e trafikut - cili trafik duhet të transmetohet (në fakt konfiguroni nat) dhe cili duhet thjesht të drejtohet. Trafiku mund të zgjidhet bazuar në disa kritere:

1. Përdoruesi (Përdoruesi);
2. Sipas ndërfaqes (Incoming);
3. Sipas adresës IP të burimit;
4. Sipas adresës IP të marrësit (adresa e destinacionit);
5. Sipas portit të destinacionit (Shërbimit).

Në zonën "Next-Hop" ne caktojmë një objekt për të ridrejtuar trafikun:

Zgjedhja e një objekti të ridrejtimit të ruterit ZyXEL

Ku "Auto" - trafiku do të ridrejtohet në ndërfaqen globale të paracaktuar; Gateway – në adresën e specifikuar në cilësimet e portës; Tuneli VPN – tuneli privat virtual IPSec; Trunk – rruga drejt një “trunk”, ku një “trunk” është disa ndërfaqe të konfiguruara për të punuar së bashku ose në modalitetin e tepricës; Ndërfaqja - ridrejtoni në ndërfaqen e specifikuar:

Është e rëndësishme të mbani mend se sa herë që bëni ndryshime në cilësimet e ruterit, klikoni butonin "OK" për të ruajtur cilësimet, dhe jo thjesht mbyllni shfletuesin e internetit.

Konfigurimi i nat në një kompjuter

Siç e dini, vetë një kompjuter personal mund të shërbejë si ruter. Shpesh ekziston një situatë kur ekziston një rrjet kompjuterik i disa kompjuterëve, njëri prej të cilëve ka qasje në internet. Në këtë situatë, nuk mund të blini fare ruter, por vendosni një kompjuter me qasje në internet si ruter dhe konfiguroni nat në të. Le ta shqyrtojmë këtë rast në më shumë detaje.

Sigurohuni që të instaloni 2 karta rrjeti në kompjuterin kryesor që shikon internetin (le ta quajmë SERVER) - e para për t'u lidhur me rrjetin lokal, e dyta me ofruesin. Shembulli do të përdorë sistemin operativ Windows Server 2012.

Për të konfiguruar, para së gjithash, hapni "Menaxherin e Serverit" (Fillimi -> Mjetet Administrative -> Menaxheri i Serverit). Dritarja e cilësimeve do të shfaqet:

Nga këtu ne do të menaxhojmë serverin tonë. Për të vazhduar konfigurimin, klikoni "Shto role dhe veçori", e cila do të hapë dritaren e "Shto Roles Wizard". Hapi i parë - Lloji i instalimit:

Në dritaren tjetër duhet të zgjedhim rolin që po instalojmë në server. Kontrolloni kutinë pranë "Qasjes në distancë".

Do të shfaqet dritarja e mëposhtme, e cila shfaq një listë të komponentëve të nevojshëm për funksionimin. Klikoni "Shto komponentë", kjo dritare do të zhduket. Klikoni "Next".

Në dritaren tjetër, magjistari ju kërkon të shtoni komponentë të serverit. Nuk ka nevojë të ndryshoni asgjë, klikoni "Next".

Në faqen tjetër, magjistari thjesht na informon për funksionimin e rolit Remote Access. Klikoni "Next".

Në hapin tjetër, duhet të zgjidhni "Shërbimet e Rolit". Kontrolloni kutinë pranë "Routing" dhe klikoni "Next".

Dritarja tjetër është përsëri informative, nuk keni nevojë të zgjidhni asgjë, por mund të kontrolloni kutinë pranë "Rinisni automatikisht në serverin e zgjedhur...", si rezultat i së cilës serveri do të riniset automatikisht pas instalimit. Por ju gjithashtu mund ta bëni këtë me dorë. Klikoni "Next".

Dhe hapi i fundit është instalimi aktual i serverit. Kur të keni mbaruar, klikoni në butonin "Mbyll".

Instalimi i serverit

Pra, ne kemi konfiguruar një kompjuter që është i lidhur me internetin në modalitetin e serverit. Tani ju duhet të konfiguroni nat mbi të.

Shkoni te Start / Administration / Routing dhe aksesi në distancë. Në dritaren që shfaqet, në anën e majtë gjejmë artikullin "SERVER (lokal)", kliko me të djathtën mbi të dhe në menunë rënëse kliko "Konfiguro dhe aktivizo rrugëzimin dhe aksesin në distancë".

Do të shfaqet një magjistar për konfigurimin e një serveri të rrugëzimit dhe qasjes në distancë, në të cilin do të konfigurojmë nat.

Në faqen e parë, ne njihemi shkurtimisht me magjistarin - klikoni "Next". Hapi tjetër është të zgjidhni një nga shërbimet që do të funksionojnë në këtë server. Zgjidhni "Përkthimi i adresës së rrjetit (NAT)" dhe klikoni "Tjetër".

Më pas, magjistari do t'ju kërkojë të zgjidhni një lidhje rrjeti që shikon internetin. Të dyja kartat e rrjetit do të jenë të pranishme në listë (të paktën në varësi të numrit të tyre të instaluar në server). Ne zgjedhim atë me të cilin është lidhur kablloja e rrjetit të ofruesit. Klikoni "Next".

Në dritaren tjetër, magjistari do të fillojë të ankohet se nuk mund të zbulojë shërbimet DHCP ose DNS në rrjetin lokal. Ka dy opsione për të vazhduar - aktivizoni shërbimet bazë ose instaloni shërbimet më vonë.

Zgjidhni artikullin e parë dhe klikoni "Next". Në faqen tjetër do t'ju informoj se në çfarë gamë do të funksionojë nat. Magjistari i konfigurimit e zgjedh këtë interval automatikisht, bazuar në konfigurimin e lidhjes së rrjetit të lidhur me rrjetin lokal. Klikoni "Next".

varg nat

Kjo është e gjitha, magjistari i konfigurimit përfundon konfigurimin e nat. Klikoni "Next" dhe në dritaren tjetër "U krye".

Gjëja e fundit që mbetet është të konfiguroni kompjuterët e klientit, domethënë të gjithë kompjuterët e tjerë në rrjetin lokal. Për ta bërë këtë, në kompjuterin e klientit (kjo do të duhet të bëhet në secilin kompjuter në rrjet), shkoni te Start / Control Panel / Network and Sharing Center / ndryshoni cilësimet e përshtatësit. Shkoni te "Lidhjet e Rrjetit". Klikoni me të djathtën mbi ikonën dhe zgjidhni "Properties" nga menyja rënëse. Në dritaren që shfaqet, zgjidhni "Internet Protocol Version 4 (TCP/IPv4)" dhe klikoni "Properties".

Në fushën "Default gateway" ne shkruajmë adresën IP të kompjuterit të serverit (i cili është konfiguruar në hapin e mëparshëm), në fushën "Serveri DNS i preferuar" shkruajmë adresën IP të serverit DNS të ofruesit të specifikuar në informacionin e lidhjes në internet. në server. Klikoni "OK" dhe "OK" përsëri. Kjo është e gjitha, kompjuteri i klientit është i lidhur me internetin.

Ditë të mbarë, të dashur lexues! Epo, le të flasim për NAT.

Sot do të diskutojmë më në detaje një temë disi të dhimbshme dhe mjaft të pakuptueshme, por më të pakuptueshme sesa të dhimbshme.

Në një masë më të madhe, ky problem ka të bëjë me ata që luajnë lojëra me shumë lojtarë, dhe me pak fjalë, ky problem tingëllon si ky: "PSE ASKUSH NUK Vjen tek unë?" Për të tjerët, ky problem duket pak më ndryshe, domethënë:

• Pse nuk shkarkohet torrenti?
• Pse përdoruesit/miqtë/të njohurit/individët e panjohur nuk mund të lidhen me FTP, WEB, VOIP (TS, Mumble, Bucket) dhe serverë të tjerë që jeni përpjekur të konfiguroni për kaq shumë kohë dhe madje keni kontrolluar që gjithçka po funksionon për ju?
• Pse serveri juaj personal i shtëpisë është bosh? A mund të jetë ky një komplot universal?

Por sidoqofte nuk ka asnje konspiracion, fajtori i gjithe ketyre halleve eshte prane teje dhe dinakrisht te shkel syrin me llamba dhe emri i tij eshte...ruter po po po i njejti qe shperndan internetin tek të gjitha pajisjet tuaja (dhe ndoshta fqinjët tuaj).

Shkurtimisht, përdoruesit e internetit thjesht nuk mund të lidhen me ju, sepse ruteri juaj nuk i lejon, por ai e bën këtë jo thjesht për një dëshirë, por sepse nuk e di se të gjithë këta njerëz duan të lidhen me ju. Kështu ai mendon se ata duan diçka prej tij.

Po, sapo ju përshkrova pse nevojitet NAT. Dhe tani për atë që është.

Përkufizimi i përgjithshëm

NAT (Network Address Translation) është një mekanizëm që lejon ruterin të përcaktojë se cilat shërbime ndodhen pas ruterit dhe duhet të jenë të aksesueshme nga interneti në mënyrë që përdoruesit nga atje të mund t'i përdorin këto shërbime (Unë nuk e kam marrë përkufizimin nga wiki, sepse është abstruse dhe jo të gjithë e kuptojnë).

NAT është i pranishëm në të gjithë ruterat dhe sistemet operative të serverëve në një formë ose në një tjetër. Në ruterat kjo zakonisht quhet përcjellje portash, në Linux iptables, në serverët Windows - në pajisje speciale. Tani le të flasim për llojet e ndryshme të NAT.

Lloji i parë, NAT statike

Static NAT nuk kërkohet për shtëpinë tuaj, por nevojitet nëse ofruesi juaj ka ndarë disa adresa IP (adresa të jashtme ose "të bardha") për kompaninë tuaj dhe ju duhet që disa serverë të jenë gjithmonë të dukshëm nga Interneti, pa ndryshuar adresat e tyre.

Ato. Ndodh konvertimi i adresës 1-1 (një IP e jashtme i caktohet një serveri të brendshëm). Me këtë konfigurim, serverët tuaj do të jenë gjithmonë të aksesueshëm nga interneti në çdo port.

• Avantazhi i kësaj metode është se ju hapni akses nga Interneti posaçërisht për një program specifik në një kompjuter/server specifik, të gjitha portat e tjera të kompjuterit/serverit mbeten të mbyllura;
• Disavantazhi është se ju duhet të hapni të gjitha portet me dorë (nganjëherë programet e bëjnë këtë për ju duke përdorur teknologjinë UPnP, por kjo nuk ndodh gjithmonë).

Pasthënie

Doli pak kaotike dhe tema është mjaft e ndërlikuar, por shpresoj se tani fjala NAT nuk do t'ju bëjë të dridheni :)

Si gjithmonë, nëse keni pyetje, mendime, shtesa, etj., ju lutemi mos ngurroni të komentoni në këtë postim.

PS: Për ekzistencën e artikullit, falenderim i veçantë për një mik të projektit dhe një anëtar të ekipit tonë me pseudonimin "barn4k"

Përshëndetje të gjithëve, sot do të flasim për mënyrën e konfigurimit të Cisco NAT. Çfarë është NAT dhe pse është e nevojshme në përgjithësi, pasi ky funksionalitet është vendosur prej kohësh në mënyrë të vendosur në jetën tonë të përditshme dhe tani është shumë e vështirë të imagjinohet të paktën një ndërmarrje që nuk e përdor këtë teknologji. Në një kohë, ai shpëtoi internetin dhe vonoi shumë kalimin nga ipv4 në ipv6, por gjërat e para së pari.

Çfarë është NAT

NAT (Network Address Translation) është një mekanizëm për konvertimin e adresave të rrjetit; për ta thënë thjesht, është një teknologji që lejon një grup IP-sh private ose gri të qëndrojnë pas një IP të bardhë. Një shembull do të ishte Interneti i zyrës, ku të gjithë përdoruesit përdorin një portë të përbashkët, e cila është konfiguruar me një adresë IP që lidhet me internetin, në mënyrë që përdoruesit të kenë të konfiguruara adresat IP lokale.

Duket diçka si kjo

Llojet e NAT

• Static NAT - konvertimi i IP-së gri në të bardhë, shembull i përcjelljes së portit në një rrjet lokal, për shembull RDP
• Dynamic NAT - konvertimi i një IP gri në një nga adresat IP të një grupi adresash IP të bardha
• NAT i mbingarkuar ose siç quhet edhe PAT (përkthimi i adresës së portit), duke konvertuar disa IP-të gri në të bardha, duke u dhënë porte të ndryshme.

Sot do të shikojmë NAT dhe PAT statike.

Konfigurimi i Cisco NAT

Kështu duket një plan urbanistik i vogël i zyrës. Ne kemi 3 kompjuterë në vlan 2, ka një server në një vlan 3 të veçantë. Të gjitha këto gjëra janë të lidhura me një ndërprerës të nivelit të dytë Cisco 2660, i cili nga ana tjetër është i lidhur në një router Cisco 1841, i cili drejton trafikun lokal midis vlan 2 dhe 3.

Konfigurimi i Cisco 2960

Le të krijojmë vlan 2 dhe vlan3, t'u japim emra dhe të konfigurojmë portat e nevojshme në këto vlan.

mundësojnë
conf t
krijoni vlan 2
vlan 2
emri VLAN2
dalje
krijoni vlan 3
vlan 3
emri VLAN3
dalje
Ne vendosëm portet në vlan2
intervali int fa0/1-3
qasja në modalitetin e kalimit
aksesi i portit kalimtar vlan 2
dalje
Vendosni portin në vlan3
int fa 0/4
qasja në modalitetin e kalimit
aksesi i portit kalimtar vlan 3
dalje

int fa 0/5
trungu i modalitetit të kalimit
trunk porti i lejuar vlan 2,3
bëj wr mem

Konfigurimi i Cisco 1841

Para së gjithash, le të krijojmë nënndërfaqe dhe të ngremë portin.

mundësojnë
conf t
int fa0/0
asnjë mbyllje
dalje

int fa0/0.2
kapsulimi dot1Q 2
adresa ip 192.168.2.251 255.255.255.0
asnjë mbyllje
dalje

int fa0/0.3
kapsulimi pika1Q 3
adresa ip 192.168.3.251 255.255.255.0
asnjë mbyllje
dalje

Si rezultat, porti u bë i gjelbër

Konfigurimi i PAT

Në infrastrukturën time virtuale, për fat të keq, skema jonë nuk mund të lëshohet në internet, ne e imitojmë atë, do të kemi një ruter me një adresë IP të bardhë dhe një server gjithashtu me një adresë IP të bardhë. Skematikisht duket kështu. Në ruterin e ofruesit, një porti specifik i është caktuar një adresë IP e bardhë 213.235.1.1 dhe një maskë rrjeti 255.255.255.252

Le ta konfigurojmë këtë IP në ruterin tonë të ofruesit të testimit.

sq
conf t
int fa0/0
adresa ip 213.235.1.1 255.255.255.252
asnjë mbyllje
dalje

Le të konfigurojmë portën fa0/1 të cilën e shikojmë në server dhe t'i japim një IP tjetër të bardhë 213.235.1.25 255.255.255.252

int fa0/1
adresa ip 213.235.1.25 255.255.255.252
asnjë mbyllje
dalje

Serveri im do të ketë një adresë IP prej 213.235.1.26 dhe porta do të jetë 213.235.1.25, ndërfaqja e ruterit të ofruesit që shikon serverin.

Tani le të konfigurojmë ruterin tonë lokal Router0, konfigurojmë atë me adresën IP të bardhë të caktuar nga ofruesi ynë 213.235.1.2 255.255.255.252, porta do të jetë 213.235.1.1

mundësojnë
conf t
int fa0/1
adresa ip 213.235.1.2 255.255.255.252
asnjë mbyllje
dalje
ip route 0.0.0.0 0.0.0.0 213.235.1.1
dalje
wr mem

Ne përpiqemi të bëjmë ping adresat IP të ofruesit dhe serverit nga ruteri i zyrës dhe shohim që gjithçka funksionon mirë.

Ruteri#ping 213.235.1.1

Shkalla e suksesit është 80 përqind (4/5), vajtje-ardhje min./mesatare/maksimum = 0/0/0 ms

Ruteri#ping 213.235.1.1

Shkruani sekuencën e arratisjes për abortin.

Dërgimi i ICMP Echos 5, 100 byte në 213.235.1.1, koha e skadimit është 2 sekonda:

Shkalla e suksesit është 100 për qind (5/5), vajtje-ardhje min./mesatare/maksimum = 0/0/1 ms

Ruteri#ping 213.235.1.2

Shkruani sekuencën e arratisjes për abortin.

Dërgimi i ICMP Echos 5, 100 byte në 213.235.1.2, koha e skadimit është 2 sekonda:

Shkalla e suksesit është 100 për qind (5/5), vajtje-ardhje min./mesatare/maksimum = 0/9/17 ms

Ruteri#ping 213.235.1.25

Shkruani sekuencën e arratisjes për abortin.

Dërgimi i ICMP Echos 5, 100 byte në 213.235.1.25, koha e skadimit është 2 sekonda:

Ruteri#ping 213.235.1.26

Shkruani sekuencën e arratisjes për abortin.

Dërgimi i ICMP Echos 5, 100 byte në 213.235.1.26, koha e skadimit është 2 sekonda:

Shkalla e suksesit është 100 për qind (5/5), vajtje-ardhje min./mesatare/maksimum = 0/0/0 ms

Epo, vetë kombësia. Në ruterin lokal bëjmë sa më poshtë. Tani duhet të vendosim se cila ndërfaqe nat do të konsiderohet e jashtme dhe cila e brendshme, këtu gjithçka do të jetë thjesht e jashtme ku është konfiguruar adresa IP e bardhë e ofruesit, e brendshme do të jetë ajo që lidhet me ndërprerësin e nivelit të dytë. fa0/1 do të jetë i jashtëm dhe dy nënndërfaqe do të jenë të brendshme.

mundësojnë
conf t
int fa0/1
ip nat jashtë
dalje
int fa0/0.2
ip nat brenda
int fa0/0.3
ip nat brenda
dalje

Konfigurimi i Listës së Aksesit

Lista e aksesit është një listë e të cilit trafiku duhet të jetë NAT dhe i cili duhet të funksionojë pa NAT.

Krijimi i një liste aksesi me emrin NAT

ip access-list standard NAT
Lejo dy pishina
leje 192.168.2.0 0.0.0.255
leje 192.168.3.0 0.0.0.255

0.0.0.255 është bit Wildcard

Siç mund ta shihni, ne kemi një listë aksesi në konfigurimin tonë dhe portat janë të shënuara se cilat janë jashtë dhe cilat janë brenda.

Dhe futemi një komandë tjetër magjike, e cila thotë se trafiku që arrin në fa0/1 duhet të drejtohet sipas rregullit NAT. Ne përfunduam duke ngritur PAT.

ip nat brenda listës së burimeve Ndërfaqja NAT mbingarkesë fa0/1

Ruaj gjithçka duke bërë wr mem

Le të kontrollojmë disponueshmërinë e burimeve të jashtme nga një kompjuter i rrjetit lokal. Le të shohim konfigurimet aktuale duke përdorur komandën ipconfig, shohim adresën IP 192.168.2.1, ping 213.235.1.26, pasi mund ta shihni gjithçka është në rregull dhe NAT cisco po funksionon.

Shikime: 41179

1 Nëse jeni duke e lexuar këtë dokument, atëherë ka shumë të ngjarë që jeni të lidhur në internet dhe përdorni përkthimin e adresës së rrjetit ( Përkthimi i Adresës së Rrjetit, NAT) tani! Interneti është bërë shumë më i madh sesa mund ta imagjinonte dikush. Megjithëse madhësia e saktë nuk dihet, vlerësimi aktual është afërsisht 100 milionë host dhe më shumë se 350 milionë përdorues aktivë në internet. Në fakt, shkalla e rritjes është e tillë që interneti po dyfishohet në mënyrë efektive çdo vit.

Prezantimi

Që një kompjuter të komunikojë me kompjuterë dhe serverë të tjerë në internet në internet, duhet të ketë një adresë IP. Një adresë IP (IP qëndron për Protokollin e Internetit) është një numër unik 32-bit që identifikon vendndodhjen e kompjuterit tuaj në një rrjet. Në thelb funksionon njësoj si adresa juaj e rrugës: një mënyrë për të gjetur saktësisht se ku jeni dhe për t'ju ofruar informacion. Teorikisht, mund të keni 4,294,967,296 adresa unike (2^32). Numri aktual i adresave të disponueshme është më i vogël (diku midis 3.2 dhe 3.3 miliardë) për shkak të mënyrës së ndarjes së adresave në klasa dhe nevojës për të lënë mënjanë disa prej adresave për multicast, testim ose nevoja të tjera specifike. Me rritjen e rrjeteve shtëpiake dhe rrjeteve të biznesit, numri i adresave IP të disponueshme nuk është më i mjaftueshëm. Zgjidhja e dukshme është ridizajnimi i formatit të adresës për të akomoduar më shumë adresa të mundshme. Kështu, protokolli IPv6 po zhvillohet, por ky zhvillim do të zgjasë disa vite, sepse kërkon modifikim të të gjithë infrastrukturës së internetit.

Këtu na vjen në ndihmë NAT. Në thelb, Përkthimi i Adresave të Rrjetit lejon një pajisje të vetme, siç është një ruter, të veprojë si një agjent midis internetit (ose "rrjetit publik") dhe rrjetit lokal (ose "privat"). Kjo do të thotë që kërkohet vetëm një adresë IP unike për të ekspozuar një grup të tërë kompjuterësh ndaj çdo gjëje jashtë rrjetit të tyre. Mungesa e adresave IP është vetëm një arsye për të përdorur NAT. Dy arsye të tjera të mira janë siguria dhe administrimi.

Do të mësoni se si mund të përfitoni nga NAT, por së pari, le të hedhim një vështrim më të afërt në NAT dhe të shohim se çfarë mund të bëjë.

maskim

Një NAT është si një sekretar në një zyrë të madhe. Le të themi se i keni lënë udhëzime sekretarit që të mos ju përcjellë asnjë telefonatë nëse nuk e kërkoni. Më vonë, ju telefononi klientin e mundshëm dhe i lini një mesazh që t'ju telefonojë. Ju i thoni sekretarit se jeni duke pritur një telefonatë nga ky klient dhe telefonata duhet të transferohet. Klienti telefonon në numrin kryesor të zyrës suaj, i cili është numri i vetëm që ai njeh. Kur klienti i tregon sekretarit se kë kërkon, sekretari kontrollon listën e tij të punonjësve për të gjetur një përputhje midis emrit dhe numrit të tij shtesë. Pritësi e di që ju e keni kërkuar këtë telefonatë, kështu që ai e transferon telefonuesin në telefonin tuaj.

Zhvilluar nga Cisco, Përkthimi i Adresave të Rrjetit përdoret nga një pajisje (firewall, ruter ose kompjuter) që ndodhet midis rrjetit të brendshëm dhe pjesës tjetër të botës. NAT vjen në shumë forma dhe mund të funksionojë në disa mënyra:

NAT statike- Hartimi i adresës IP të paregjistruar në adresën IP të regjistruar në baza një-me-një. Veçanërisht e dobishme kur pajisja duhet të jetë e aksesueshme nga jashtë rrjetit.

Në NAT statike, një kompjuter me adresën 192.168.32.10 do të përkthehet gjithmonë në adresën 213.18.123.110:

NAT dinamike- Harton një adresë IP të paregjistruar në një adresë të regjistruar nga një grup adresash IP të regjistruara. Dynamic NAT gjithashtu krijon një hartë të drejtpërdrejtë midis një adrese të paregjistruar dhe një adrese të regjistruar, por hartëzimi mund të ndryshojë në varësi të adresës së regjistruar të disponueshme në grupin e adresave gjatë komunikimit.

Në NAT dinamike, kompjuteri me adresën 192.168.32.10 përkthehet në adresën e parë të disponueshme në rangun nga 213.18.123.100 në 213.18.123.150

Mbingarkesaështë një formë e NAT dinamike që harton adresa të shumta të paregjistruara në një adresë IP të vetme të regjistruar duke përdorur porte të ndryshme. I njohur gjithashtu si PAT (Përkthimi i adresës së portit)

Kur mbingarkohet, çdo kompjuter në rrjetin privat përkthehet në të njëjtën adresë (213.18.123.100), por me një numër porti të ndryshëm

Mbivendosja- Kur adresat IP të përdorura në rrjetin tuaj të brendshëm përdoren gjithashtu në një rrjet tjetër, ruteri duhet të mbajë një tabelë kërkimi të këtyre adresave në mënyrë që t'i përgjojë dhe zëvendësojë ato me adresa IP unike të regjistruara. Është e rëndësishme të theksohet se një ruter NAT duhet të përkthejë adresat "të brendshme" në adresa unike të regjistruara, dhe gjithashtu duhet të përkthejë adresat e regjistruara "të jashtme" në adresa që janë unike për rrjetin privat. Kjo mund të bëhet ose përmes NAT statike, ose mund të përdorni DNS dhe të zbatoni NAT dinamik.

Shembull:
Gama e brendshme IP (237.16.32.xx) është gjithashtu një interval i regjistruar i përdorur nga një rrjet tjetër. Prandaj, ruteri përkthen adresat për të shmangur konfliktin e mundshëm. Ai gjithashtu do të kthejë adresat IP të regjistruara globale në adresa lokale të paregjistruara kur paketat dërgohen në rrjetin e brendshëm

Një rrjet i brendshëm është zakonisht një LAN (Rrjeti i zonës lokale), i quajtur më shpesh domeni cung. Një domen cung është një LAN që përdor adresa IP të brendshme. Shumica e trafikut të rrjetit në një domen të tillë është lokal dhe nuk largohet nga rrjeti i brendshëm. Një domen mund të përfshijë adresa IP të regjistruara dhe të paregjistruara. Sigurisht, çdo kompjuter që përdor adresa IP të paregjistruara duhet të përdorë NAT për të komunikuar me pjesën tjetër të botës.

NAT mund të konfigurohet në mënyra të ndryshme. Në shembullin e mëposhtëm, ruteri NAT është konfiguruar për të përkthyer adresat IP të paregjistruara (adresat e brendshme lokale) që ndodhen në rrjetin privat (të brendshëm) në adresa IP të regjistruara. Kjo ndodh sa herë që një pajisje brenda me një adresë të paregjistruar duhet të komunikojë me rrjetin e jashtëm.

ISP cakton një sërë adresash IP për kompaninë tuaj. Një bllok i caktuar adresash janë adresa IP unike të regjistruara dhe thirren brenda adresave globale. Adresat IP private të paregjistruara ndahen në dy grupe, një grup i vogël, jashtë adresave lokale, do të përdoret nga ruterat NAT dhe kryesori që do të përdoret në domen njihet si brenda adresave lokale. Adresat e jashtme lokale përdoren për të përkthyer adresat IP unike të njohura si jashtë adresave globale, pajisje në një rrjet publik.
NAT përkthen vetëm trafikun që kalon ndërmjet rrjeteve të brendshme dhe të jashtme dhe është i caktuar për përkthim. Çdo trafik që nuk plotëson kriteret e përkthimit ose që kalon ndërmjet ndërfaqeve të tjera në ruter nuk përkthehet kurrë dhe përcillet siç është.

Adresat IP kanë emërtime të ndryshme bazuar nëse ato janë në një rrjet privat (domain) ose një rrjet publik (Internet) dhe nëse trafiku është në hyrje ose në dalje:

• Shumica e kompjuterëve në një domen komunikojnë me njëri-tjetrin duke përdorur adresa të brendshme lokale.
• Disa kompjuterë në domen komunikojnë me rrjetin e jashtëm. Këta kompjuterë kanë adresa të brendshme globale, që do të thotë se nuk kërkojnë përkthim.
• Kur një kompjuter në një domen që ka një adresë të brendshme lokale dëshiron të komunikojë me një rrjet të jashtëm, paketa shkon në një nga ruterat NAT përmes rrugëtimit normal.
• Ruteri NAT kontrollon tabelën e rrugëzimit për të parë nëse ka një hyrje për adresën e destinacionit. Nëse adresa e destinacionit nuk është në tabelën e rrugëzimit, paketa hidhet poshtë. Nëse regjistrimi është i disponueshëm, ruteri kontrollon nëse paketa vjen nga rrjeti i brendshëm në rrjetin e jashtëm, si dhe nëse paketa i plotëson kriteret e përcaktuara për transmetim. Më pas ruteri kontrollon tabelën e përkthimit të adresave për të parë nëse ekziston një hyrje për adresën e brendshme lokale dhe adresën e saj të brendshme globale. Nëse gjendet një hyrje, ajo transmeton paketën duke përdorur adresën e brendshme globale. Nëse është konfiguruar vetëm NAT statike dhe nuk gjendet asnjë hyrje, atëherë ruteri e dërgon paketën pa përkthim.
• Duke përdorur adresën e brendshme globale, ruteri e përcjell paketën në destinacionin e saj.
• një kompjuter në një rrjet publik dërgon një paketë në një rrjet privat. Adresa e burimit në paketë është adresa e jashtme globale. Adresa e destinacionit është një adresë e brendshme globale.
• Kur një paketë arrin në rrjetin e jashtëm, ruteri NAT shikon tabelën e përkthimit dhe përcakton adresën e destinacionit të përcaktuar në një kompjuter në domen.
• Një ruter NAT përkthen adresën e brendshme globale të paketës në një adresë të brendshme lokale dhe më pas kontrollon tabelën e rrugëtimit përpara se të dërgojë paketën në kompjuterin e destinacionit. Sa herë që nuk gjendet një hyrje për një adresë në tabelën e përkthimit, paketa nuk përkthehet dhe ruteri vazhdon të kontrollojë tabelën e rrugëtimit për të gjetur adresën e destinacionit.

Mbingarkimi NAT përdor një veçori të grumbullit të protokollit TCP/IP, siç është multipleksimi, që lejon një kompjuter të mbajë lidhje të shumta të njëkohshme me një kompjuter të largët duke përdorur porte të ndryshme TCP ose UDP. Paketa IP ka një kokë që përmban informacionin e mëposhtëm:

• Adresa e burimit – adresa IP e kompjuterit burim, për shembull, 201.3.83.132.
• Porta e burimit – Numri i portit TCP ose UDP i caktuar nga kompjuteri si burim për këtë paketë, për shembull, Porta 1080.
• Adresa e destinacionit – adresa IP e kompjuterit marrës. Për shembull, 145.51.18.223.
• Porta e destinacionit – numri i portit TCP ose UDP që kërkon që kompjuteri burim të hapet në marrës, për shembull, porta 3021.

Adresat IP identifikojnë dy makinat në secilën anë, ndërsa numrat e portave sigurojnë që lidhja midis dy makinave të ketë një identifikues unik. Kombinimi i këtyre katër numrave përcakton një lidhje të vetme TCP/IP. Çdo numër porti përdor 16 bit, që do të thotë se ka 65,536 (2^16) vlera të mundshme. Në realitet, meqenëse prodhues të ndryshëm shfaqin portet në mënyra paksa të ndryshme, mund të prisni rreth 4000 porte në dispozicion.

Shembuj të NAT dinamike dhe NAT me mbingarkesë

Fotografia më poshtë tregon se si funksionon NAT dinamik.

Klikoni në një nga butonat e gjelbër për të dërguar një paketë të suksesshme ose në ose nga rrjeti i brendshëm. Klikoni në një nga butonat e kuq për të dërguar një paketë që do të hidhet nga ruteri për shkak të një adrese të pavlefshme.

• rrjeti i brendshëm u krijua me adresa IP që nuk i ishin caktuar në mënyrë specifike kësaj kompanie nga IANA (Internet Assigned Numbers Authority), byroja globale që shpërndan adresat IP. Adresa të tilla duhet të konsiderohen të padrejtuara, pasi ato nuk janë unike. Këto janë adresa të brendshme lokale.
• kompania instalon një ruter me NAT. Ruteri ka një sërë adresash IP unike të lëshuara për kompaninë. Këto janë adresa të brendshme globale.
• një kompjuter në LAN po përpiqet të lidhet me një kompjuter jashtë rrjetit, siç është një server në internet.
• Ruteri e merr paketën nga kompjuteri në LAN.
• Pas kontrollit të tabelës së rrugëzimit dhe procesit të verifikimit për përkthim, ruteri ruan adresën e kompjuterit të padrejtuar në tabelën e përkthimit të adresave. Ruteri zëvendëson adresën e padrejtueshme të kompjuterit dërgues me adresën e parë IP të disponueshme në një sërë adresash unike. Tabela e përkthimit tani ka një shfaqje të adresës IP të padrejtueshme të kompjuterit që korrespondon me një nga adresat IP unike.
• Kur një paketë kthehet nga kompjuteri i destinacionit, ruteri kontrollon adresën e destinacionit në paketë. Më pas shikon tabelën e përkthimit të adresave për të gjetur se cilit kompjuter në domen i përket paketa. Ai ndryshon adresën e marrësit në atë që ishte ruajtur më parë në tabelën e përkthimit dhe dërgon paketën në kompjuterin e dëshiruar. Nëse ruteri nuk gjen një përputhje në tabelë, ai e hedh paketën.
• Kompjuteri merr paketën nga ruteri dhe i gjithë procesi përsëritet ndërsa kompjuteri komunikon me sistemin e jashtëm.

• Rrjeti i brendshëm u krijua me adresa IP jo të rutueshme që nuk i ishin caktuar në mënyrë specifike kompanisë
• kompania instalon një ruter me NAT. Ruteri ka një adresë IP unike që lëshohet nga IANA
• Një kompjuter në domen po përpiqet të lidhet me një kompjuter jashtë rrjetit, si p.sh. një server në internet.
• Ruteri merr një paketë nga një kompjuter në domen.
• Pas rrugëtimit dhe ekzaminimit të paketës për të kryer përkthimin, ruteri ruan adresën IP të padrejtueshme të kompjuterit dhe numrin e portit në tabelën e përkthimit. Ruteri zëvendëson adresën IP jo të rrugëzueshme të kompjuterit dërgues me adresën IP të ruterit. Ruteri zëvendëson portën burimore të kompjuterit të dërguesit me një numër porti të rastësishëm dhe e ruan atë në tabelën e përkthimit të adresave për atë dërgues. Tabela e përkthimit ka një shfaqje të adresës IP të padrejtueshme të kompjuterit dhe numrin e portës së bashku me adresën IP të ruterit.
• Kur një paketë kthehet nga destinacioni, ruteri kontrollon portën e destinacionit në paketë. Më pas shikon tabelën e përkthimit për të gjetur se cilit kompjuter në domen i përket paketa. Më pas, ruteri ndryshon adresën e marrësit dhe portën e marrësit në vlerat që ishin ruajtur më parë në tabelën e përkthimit dhe e dërgon paketën në nyjen fundore.
• kompjuteri merr paketën nga ruteri dhe procesi përsëritet
• Meqenëse ruteri NAT tani ka adresën e burimit të kompjuterit dhe portën e burimit të ruajtur në tabelën e tij të përkthimit, ai do të vazhdojë të përdorë të njëjtin numër porti për lidhjet e mëvonshme. Sa herë që ruteri i qaset një hyrjeje në tabelën e përkthimit, kohëmatësi për të jetuar për atë hyrje rivendoset. Nëse një hyrje nuk aksesohet përpara skadimit të kohëmatësit, ai hiqet nga tabela

Numri i transmetimeve të njëkohshme që do të mbështesë një ruter përcaktohet kryesisht nga sasia e DRAM-it (Dynamic Random Access Memory). Meqenëse një hyrje tipike e tabelës së përkthimit është afërsisht 160 bajt, një ruter me 4 MB RAM mund të trajtojë teorikisht 26,214 lidhje të njëkohshme, që është më se e mjaftueshme për shumicën e aplikacioneve.

Siguria dhe Administrata

Zbatimi dinamik NAT krijon automatikisht një mur zjarri midis rrjetit tuaj të brendshëm dhe rrjeteve të jashtme ose internetit. Dynamic NAT lejon vetëm lidhjet që kanë origjinën në rrjetin lokal. Në thelb, kjo do të thotë që një kompjuter në rrjetin e jashtëm nuk mund të lidhet me kompjuterin tuaj nëse kompjuteri juaj nuk e ka nisur lidhjen. Në këtë mënyrë ju mund të lundroni në internet dhe të lidheni me një faqe, madje të ngarkoni një skedar. Por askush nuk mund të marrë më adresën tuaj IP dhe ta përdorë atë për t'u lidhur me një port në kompjuterin tuaj.

Static NAT, i quajtur gjithashtu harta hyrëse, lejon lidhjet e inicuara nga pajisjet e jashtme me kompjuterët në LAN në rrethana të caktuara. Për shembull, mund të hartoni një adresë të brendshme globale në një adresë specifike të brendshme lokale që i është caktuar serverit tuaj të uebit.

Static NAT lejon një kompjuter në LAN të mbajë një adresë specifike kur komunikon me pajisje jashtë rrjetit:

Disa ruterë NAT ofrojnë filtrim të gjerë dhe regjistrim të trafikut. Filtrimi lejon kompaninë tuaj të kontrollojë se cilat faqe në internet vizitojnë punonjësit e internetit, duke i penguar ata të shikojnë materiale të dyshimta. Ju mund të përdorni regjistrimin e trafikut për të krijuar një regjistër se cilat faqe vizitohen dhe të gjeneroni raporte të ndryshme bazuar në këtë.

Ndonjëherë përkthimi i adresës së rrjetit ngatërrohet me serverët proxy, ku ka dallime të caktuara. NAT është transparent për kompjuterët burim dhe destinacion. Asnjëri prej tyre nuk e di se kjo ka të bëjë me një pajisje të tretë. Por serveri proxy nuk është transparent. Kompjuteri burimor e di se ky po i bën një kërkesë përfaqësuesit. Kompjuteri i destinacionit mendon se serveri proxy është kompjuteri burim dhe merret drejtpërdrejt me të. Për më tepër, serverët proxy zakonisht funksionojnë në Layer 4 (Transport) të modelit OSI ose më të lartë, ndërsa NAT është një protokoll i Layer 3 (Rrjeti). Operacioni në nivele më të larta i bën serverët proxy më të ngadalshëm se pajisjet NAT në shumicën e rasteve.

Përfitimi i vërtetë i NAT është i dukshëm në administrimin e rrjetit. Për shembull, mund ta zhvendosni serverin tuaj në ueb ose FTP në një kompjuter tjetër pa u shqetësuar për lidhjet e ndërprera. Thjesht ndryshoni hartën e hyrjes në adresën e re të brendshme lokale në ruter për të pasqyruar hostin e ri. Ju gjithashtu mund të bëni ndryshime në rrjetin tuaj të brendshëm pasi çdo adresë IP e jashtme ose i përket një ruteri ose një grupi adresash globale.

Parimi i funksionimit të një ruteri (ruteri)

Duke lexuar këtë artikull, mendoj se të gjithë e kuptojnë se çfarë është një ruter dhe pse është i nevojshëm, por a ka menduar dikush ndonjëherë se si funksionon? Në këtë artikull do të përpiqem të shpjegoj në gjuhën më të arritshme parimet themelore të funksionimit të ruterit. Ky artikull do të jetë i dobishëm si për administratorët e sistemit ashtu edhe për përdoruesit e zakonshëm.

Funksioni kryesor që funksionon në çdo ruter është NAT

NAT- Përkthimi i adresave të rrjetit përdoret për të zëvendësuar adresat IP. Rrjetet lokale përdorin kryesisht adresa si 192.168.1.XXX ose të ngjashme, dhe kjo krijon një problem rrugëtimit në internetin global, pasi adresat IP në rrjet nuk duhet të dublikohen. Zgjidhja për këtë problem është NAT - kompjuterët në rrjetin lokal lidhen me ndërfaqen lokale të ruterit, marrin adresat IP dhe një portë prej tij (ruteri shërben si portë), dhe ndërfaqja WAN e ruterit lidhet me internetin .

Tani le të shohim parimin e përkthimit NAT:

• Bëhet një kërkesë nga çdo kompjuter në rrjetin lokal, për shembull, po përpiqeni të hyni në ndonjë faqe interneti - kompjuteri e dërgon këtë kërkesë në adresën e portës, domethënë ruterin tonë;
• Ruteri, pasi ka marrë këtë kërkesë, regjistron kompjuterin tuaj si iniciator të lidhjes, pas së cilës krijohet një kopje e paketës suaj dhe dërgohet në adresën e destinacionit, por në emër të ruterit, dhe me adresën e tij IP dhe paketën tuaj. thjesht shkatërrohet;
• Serveri tek i cili është dërguar kërkesa e përpunon atë dhe dërgon një përgjigje, natyrisht në adresën e ruterit. Dhe ruteri tashmë e priste këtë, pasi krijoi një rekord që një përgjigje duhet të vijë në kërkesën e kompjuterit tuaj dhe ta dërgojë atë në kompjuterin tuaj. Siç mund ta shihni, sipas kësaj skeme, vetëm një kompjuter nga rrjeti lokal mund të jetë iniciatori i lidhjes, dhe përgjigja nga serveri do të arrijë në kompjuter vetëm nëse ruteri e pret atë (përgjigje ndaj një kërkese). Me fjalë të tjera, të gjitha përpjekjet për t'u lidhur nga jashtë do të ndalen në ruter dhe do të jenë të suksesshme vetëm nëse ruteri siguron një burim në portin e kërkuar ose ka të konfiguruara rregullat e Port Forwarding, për të cilat do të flasim tani.

Port Forwarding

Port Forwarding- kjo është në thelb e njëjtë me NAT, por në drejtimin tjetër, dhe për këtë arsye vetëm NAT statike, domethënë kërkesa të caktuara vetëm për kompjuterë të caktuar, sepse në rrjetin global nuk mund të dinë adresat IP pas ruterit. Për shembull, ju keni krijuar një server FTP ose HTTP në kompjuterin tuaj dhe dëshironi të siguroni qasje në këto burime. Për ta bërë këtë, duhet të shkruani këtë rregull në ruter, i cili do të tregojë se të gjitha paketat hyrëse në portin e dëshiruar (21 ose 80 në rastin tonë) do të transmetohet në adresën IP të kompjuterit tonë në një port të caktuar (porti mund të ndryshohet).

NAT - DMZ

NAT - DMZ- kjo është absolutisht e njëjtë me Port Forwarding, por me ndryshimin që nuk keni nevojë të regjistroni një rregull për secilën port, thjesht duhet të konfiguroni NAT - DMZ, i cili do të transferojë të gjitha kërkesat hyrëse në ruterin WAN në kompjuterin e dëshiruar . Natyrisht, nuk është më e mundur të ndryshohen portet.

Drejtimi

Për të thjeshtuar idenë se çfarë është, mund të themi se është njësoj si NAT, por vetëm në të dy drejtimet. Me këtë skemë, ruteri duhet të ketë më shumë se 2 ndërfaqe LAN (jo porta, por ndërfaqe), me hapësira të ndryshme adresash, për shembull, një ndërfaqe IP ka 192.168.0.1, dhe tjetra ka 192.168.1.1. Rrjedhimisht, kompjuterët në njërin rrjet do të marrin IP të tipit 192.168.0.XXX, dhe në rrjetin tjetër 192.168.0.XXX, dhe portat e tyre do të jenë përkatësisht 192.168.0.1 dhe 192.168.1.1. Kjo është mënyra se si ju merrni drejtimin e dyanshëm.

Mos harroni të largoheni