المشاهدات: 38705

1 إذا كنت تقرأ هذا المستند، فمن المرجح أنك متصل بالإنترنت وتستخدم ترجمة عنوان الشبكة ( ترجمة عنوان الشبكة، NAT) الآن! لقد أصبح الإنترنت أكبر بكثير مما كان يتخيله أي شخص. وعلى الرغم من أن الحجم الدقيق غير معروف، إلا أن التقدير الحالي هو حوالي 100 مليون مضيف وأكثر من 350 مليون مستخدم نشط على الإنترنت. وفي الواقع، فإن معدل النمو كبير لدرجة أن حجم الإنترنت يتضاعف فعليًا كل عام.

مقدمة

لكي يتمكن جهاز الكمبيوتر من الاتصال بأجهزة الكمبيوتر الأخرى وخوادم الويب على الإنترنت، يجب أن يكون له عنوان IP. عنوان IP (IP يرمز إلى بروتوكول الإنترنت) هو رقم فريد مكون من 32 بت يحدد موقع جهاز الكمبيوتر الخاص بك على الشبكة. إنه يعمل بشكل أساسي تمامًا مثل عنوان الشارع الخاص بك: طريقة لمعرفة مكانك بالضبط وتسليم المعلومات إليك. من الناحية النظرية، يمكن أن يكون لديك 4,294,967,296 عنوانًا فريدًا (2^32). العدد الفعلي للعناوين المتاحة أصغر (ما بين 3.2 و3.3 مليار) نظرًا للطريقة التي يتم بها تقسيم العناوين إلى فئات والحاجة إلى تخصيص بعض العناوين جانبًا للبث المتعدد أو الاختبار أو غيرها من الاحتياجات المحددة. مع زيادة الشبكات المنزلية وشبكات الأعمال، لم يعد عدد عناوين IP المتاحة كافيًا. الحل الواضح هو إعادة تصميم تنسيق العنوان لاستيعاب المزيد من العناوين المحتملة. وبالتالي، فإن بروتوكول IPv6 قيد التطوير، لكن هذا التطوير سيستغرق عدة سنوات لأنه يتطلب تعديل البنية التحتية للإنترنت بالكامل.

هذا هو المكان الذي يأتي فيه NAT لإنقاذنا. في الأساس، تسمح ترجمة عنوان الشبكة لجهاز واحد، مثل جهاز التوجيه، بالعمل كوكيل بين الإنترنت (أو "الشبكة العامة") والشبكة المحلية (أو "الخاصة"). وهذا يعني أنه لا يلزم سوى عنوان IP فريد واحد فقط لتعريض مجموعة كاملة من أجهزة الكمبيوتر لأي شيء خارج شبكتها. إن عدم وجود عناوين IP هو سبب واحد فقط لاستخدام NAT. هناك سببان وجيهان آخران هما الأمن والإدارة.

ستتعرف على كيفية الاستفادة من NAT، ولكن أولاً، دعنا نلقي نظرة فاحصة على NAT ونرى ما يمكنها فعله.

تنكر

NAT يشبه السكرتير في مكتب كبير. لنفترض أنك تركت تعليمات للسكرتير بعدم إعادة توجيه أي مكالمات إليك إلا إذا طلبت ذلك. وبعد ذلك، يمكنك الاتصال بالعميل المحتمل وترك رسالة له لمعاودة الاتصال بك. تخبر السكرتير أنك تتوقع مكالمة من هذا العميل ويجب تحويل المكالمة. يتصل العميل بالرقم الرئيسي لمكتبك وهو الرقم الوحيد الذي يعرفه. عندما يخبر العميل السكرتير عن الشخص الذي يبحث عنه، يقوم السكرتير بفحص قائمة الموظفين لديه للعثور على تطابق بين الاسم ورقم التحويل الخاص به. يعلم موظف الاستقبال أنك طلبت هذه المكالمة، فيقوم بتحويل المتصل إلى هاتفك.

يتم استخدام ترجمة عنوان الشبكة، التي طورتها شركة Cisco، بواسطة جهاز (جدار الحماية أو جهاز التوجيه أو الكمبيوتر) الموجود بين الشبكة الداخلية وبقية العالم. يأتي NAT بأشكال عديدة ويمكن أن يعمل بعدة طرق:

نات ثابت- تعيين عنوان IP غير المسجل إلى عنوان IP المسجل على أساس واحد لواحد. يكون هذا مفيدًا بشكل خاص عندما يتعين الوصول إلى الجهاز من خارج الشبكة.

في NAT الثابت، سيتم دائمًا ترجمة جهاز الكمبيوتر الذي يحمل العنوان 192.168.32.10 إلى العنوان 213.18.123.110:

NAT الديناميكي- تعيين عنوان IP غير مسجل إلى عنوان مسجل من مجموعة عناوين IP المسجلة. ينشئ Dynamic NAT أيضًا تعيينًا مباشرًا بين عنوان غير مسجل وعنوان مسجل، ولكن قد يتغير التعيين اعتمادًا على العنوان المسجل المتوفر في تجمع العناوين أثناء الاتصال.

في NAT الديناميكي، تتم ترجمة الكمبيوتر الذي يحمل العنوان 192.168.32.10 إلى أول عنوان متاح في النطاق من 213.18.123.100 إلى 213.18.123.150

الزائدهو أحد أشكال NAT الديناميكية التي تقوم بتعيين عناوين متعددة غير مسجلة إلى عنوان IP مسجل واحد باستخدام منافذ مختلفة. يُعرف أيضًا باسم PAT (ترجمة عنوان المنفذ)

عند التحميل الزائد، تتم ترجمة كل كمبيوتر على الشبكة الخاصة إلى نفس العنوان (213.18.123.100)، ولكن برقم منفذ مختلف

تداخل- عندما يتم استخدام عناوين IP المستخدمة على شبكتك الداخلية أيضًا على شبكة أخرى، يجب أن يحتفظ جهاز التوجيه بجدول بحث عن هذه العناوين حتى يتمكن من اعتراضها واستبدالها بعناوين IP فريدة مسجلة. من المهم ملاحظة أن جهاز توجيه NAT يجب أن يترجم العناوين "الداخلية" إلى عناوين فريدة مسجلة، كما يجب عليه أيضًا ترجمة العناوين المسجلة "الخارجية" إلى عناوين فريدة للشبكة الخاصة. يمكن القيام بذلك إما من خلال NAT ثابت، أو يمكنك استخدام DNS وتنفيذ NAT الديناميكي.

مثال:
نطاق IP الداخلي (237.16.32.xx) هو أيضًا نطاق مسجل تستخدمه شبكة أخرى. ولذلك، يقوم جهاز التوجيه بترجمة العناوين لتجنب التعارض المحتمل. سيقوم أيضًا بترجمة عناوين IP العالمية المسجلة إلى عناوين محلية غير مسجلة عند إرسال الحزم إلى الشبكة الداخلية

عادةً ما تكون الشبكة الداخلية عبارة عن شبكة محلية (LAN)، ويُطلق عليها غالبًا اسم مجال كعب الروتين. المجال الأساسي هو شبكة LAN تستخدم عناوين IP الداخلية. معظم حركة مرور الشبكة في مثل هذا المجال تكون محلية ولا تترك الشبكة الداخلية. يمكن أن يتضمن المجال عناوين IP المسجلة وغير المسجلة. وبطبيعة الحال، فإن أي جهاز كمبيوتر يستخدم عناوين IP غير مسجلة يجب أن يستخدم NAT للتواصل مع بقية العالم.

يمكن تكوين NAT بطرق مختلفة. في المثال أدناه، تم تكوين جهاز توجيه NAT لترجمة عناوين IP غير المسجلة (العناوين الداخلية المحلية) الموجودة على الشبكة الخاصة (الداخلية) إلى عناوين IP مسجلة. يحدث هذا عندما يحتاج جهاز بالداخل بعنوان غير مسجل إلى الاتصال بالشبكة الخارجية.

يقوم مزود خدمة الإنترنت بتعيين مجموعة من عناوين IP لشركتك. مجموعة العناوين المخصصة هي عناوين IP مسجلة فريدة ويتم استدعاؤها داخل العناوين العالمية. تنقسم عناوين IP الخاصة غير المسجلة إلى مجموعتين، مجموعة صغيرة، خارج العناوين المحلية، سيتم استخدامه بواسطة أجهزة توجيه NAT ويُعرف الجهاز الرئيسي الذي سيتم استخدامه في المجال باسم داخل العناوين المحلية. تُستخدم العناوين المحلية الخارجية لترجمة عناوين IP الفريدة المعروفة باسم العناوين العالمية الخارجيةالأجهزة الموجودة على الشبكة العامة.
يقوم NAT فقط بترجمة حركة المرور التي تمر بين الشبكات الداخلية والخارجية والمخصصة للترجمة. أي حركة مرور لا تستوفي معايير الترجمة أو تمر بين واجهات أخرى على جهاز التوجيه لا تتم ترجمتها مطلقًا ويتم إعادة توجيهها كما هي.

تحتوي عناوين IP على تسميات مختلفة بناءً على ما إذا كانت موجودة على شبكة خاصة (مجال) أو شبكة عامة (الإنترنت) وما إذا كانت حركة المرور واردة أم صادرة:

تتواصل معظم أجهزة الكمبيوتر الموجودة في المجال مع بعضها البعض باستخدام العناوين المحلية الداخلية.
تتواصل بعض أجهزة الكمبيوتر في المجال مع الشبكة الخارجية. تحتوي أجهزة الكمبيوتر هذه على عناوين عمومية داخلية، مما يعني أنها لا تحتاج إلى ترجمة.
عندما يريد جهاز كمبيوتر في مجال له عنوان محلي داخلي الاتصال بشبكة خارجية، تنتقل الحزمة إلى أحد أجهزة توجيه NAT من خلال التوجيه العادي.
يتحقق جهاز توجيه NAT من جدول التوجيه لمعرفة ما إذا كان يحتوي على إدخال لعنوان الوجهة. إذا لم يكن عنوان الوجهة موجودًا في جدول التوجيه، فسيتم تجاهل الحزمة. إذا كان التسجيل متاحًا، يتحقق جهاز التوجيه مما إذا كانت الحزمة قادمة من الشبكة الداخلية إلى الشبكة الخارجية، وكذلك ما إذا كانت الحزمة تلبي المعايير المحددة للبث. يقوم جهاز التوجيه بعد ذلك بالتحقق من جدول ترجمة العناوين لمعرفة ما إذا كان هناك إدخال للعنوان المحلي الداخلي والعنوان العام الداخلي المقابل له. إذا تم العثور على إدخال، فإنه يبث الحزمة باستخدام العنوان العمومي الداخلي. إذا تم تكوين NAT الثابت فقط ولم يتم العثور على أي إدخال، فسيرسل جهاز التوجيه الحزمة بدون ترجمة.
باستخدام العنوان العالمي الداخلي، يقوم جهاز التوجيه بإعادة توجيه الحزمة إلى وجهتها.
يرسل جهاز كمبيوتر على شبكة عامة حزمة إلى شبكة خاصة. عنوان المصدر الموجود في الحزمة هو العنوان العمومي الخارجي. عنوان الوجهة هو عنوان عالمي داخلي.
عندما تصل حزمة ما إلى الشبكة الخارجية، ينظر جهاز توجيه NAT إلى جدول الترجمة ويحدد عنوان الوجهة المعين لجهاز كمبيوتر في المجال.
يقوم جهاز توجيه NAT بترجمة العنوان العام الداخلي للحزمة إلى عنوان محلي داخلي ثم يتحقق من جدول التوجيه قبل إرسال الحزمة إلى الكمبيوتر الوجهة. عندما لا يتم العثور على إدخال لعنوان في جدول الترجمة، لا تتم ترجمة الحزمة ويستمر جهاز التوجيه في التحقق من جدول التوجيه للعثور على عنوان الوجهة.

يستخدم التحميل الزائد لـ NAT إحدى ميزات مكدس بروتوكول TCP/IP، مثل تعدد الإرسال، الذي يسمح للكمبيوتر بالحفاظ على اتصالات متزامنة متعددة مع كمبيوتر بعيد باستخدام منافذ TCP أو UDP مختلفة. تحتوي حزمة IP على رأس يحتوي على المعلومات التالية:

عنوان المصدر – عنوان IP للكمبيوتر المصدر، على سبيل المثال، 201.3.83.132.
منفذ المصدر - رقم منفذ TCP أو UDP الذي يعينه الكمبيوتر كمصدر لهذه الحزمة، على سبيل المثال، المنفذ 1080.
عنوان الوجهة - عنوان IP لجهاز الكمبيوتر المتلقي. على سبيل المثال، 145.51.18.223.
منفذ الوجهة – رقم منفذ TCP أو UDP الذي يطلب من الكمبيوتر المصدر أن يفتح على جهاز الاستقبال، على سبيل المثال، المنفذ 3021.

تحدد عناوين IP الجهازين على كل جانب، بينما تضمن أرقام المنافذ أن الاتصال بين الجهازين له معرف فريد. يحدد مزيج هذه الأرقام الأربعة اتصال TCP/IP واحد. يستخدم كل رقم منفذ 16 بت، مما يعني أن هناك 65,536 (2^16) قيمة محتملة. في الواقع، نظرًا لأن الشركات المصنعة المختلفة تعرض المنافذ بطرق مختلفة قليلاً، فيمكنك توقع توفر ما يقرب من 4000 منفذ.

أمثلة على NAT الديناميكي وNAT مع التحميل الزائد

توضح الصورة أدناه كيفية عمل NAT الديناميكي.

انقر فوق أحد الأزرار الخضراء لإرسال حزمة ناجحة إما إلى الشبكة الداخلية أو منها. انقر فوق أحد الأزرار الحمراء لإرسال الحزمة التي سيتم إسقاطها بواسطة جهاز التوجيه بسبب عنوان غير صالح.

تم إعداد الشبكة الداخلية باستخدام عناوين IP التي لم يتم تخصيصها لهذه الشركة على وجه التحديد بواسطة IANA (هيئة أرقام الإنترنت المخصصة)، وهو المكتب العالمي الذي يوزع عناوين IP. يجب اعتبار هذه العناوين غير قابلة للتوجيه، لأنها ليست فريدة من نوعها. هذه عناوين محلية داخلية.
تقوم الشركة بتثبيت جهاز توجيه مع NAT. يحتوي جهاز التوجيه على مجموعة من عناوين IP الفريدة الصادرة للشركة. هذه عناوين عالمية داخلية.
يحاول جهاز كمبيوتر موجود على شبكة LAN الاتصال بجهاز كمبيوتر خارج الشبكة، مثل خادم الويب.
يتلقى جهاز التوجيه الحزمة من الكمبيوتر الموجود على الشبكة المحلية.
بعد التحقق من جدول التوجيه وعملية التحقق من الترجمة، يقوم جهاز التوجيه بتخزين عنوان الكمبيوتر غير القابل للتوجيه في جدول ترجمة العناوين. يستبدل جهاز التوجيه العنوان غير القابل للتوجيه للكمبيوتر المرسل بأول عنوان IP متاح في نطاق من العناوين الفريدة. يحتوي جدول الترجمة الآن على عرض لعنوان IP غير القابل للتوجيه للكمبيوتر والذي يتوافق مع أحد عناوين IP الفريدة.
عندما تعود حزمة من الكمبيوتر الوجهة، يتحقق جهاز التوجيه من عنوان الوجهة الموجود في الحزمة. ثم يبحث بعد ذلك في جدول ترجمة العناوين للعثور على جهاز الكمبيوتر الموجود في المجال الذي تنتمي إليه الحزمة. يقوم بتغيير عنوان جهاز الاستقبال إلى العنوان الذي تم تخزينه مسبقًا في جدول الترجمة ويرسل الحزمة إلى الكمبيوتر المطلوب. إذا لم يجد جهاز التوجيه تطابقًا في الجدول، فإنه يتجاهل الحزمة.
يتلقى الكمبيوتر الحزمة من جهاز التوجيه وتتكرر العملية بأكملها أثناء اتصال الكمبيوتر بالنظام الخارجي.

تم إعداد الشبكة الداخلية باستخدام عناوين IP غير قابلة للتوجيه ولم يتم تخصيصها للشركة على وجه التحديد
تقوم الشركة بتثبيت جهاز توجيه مع NAT. يحتوي جهاز التوجيه على عنوان IP فريد صادر عن IANA
يحاول جهاز كمبيوتر في المجال الاتصال بجهاز كمبيوتر خارج الشبكة، مثل خادم الويب.
يتلقى جهاز التوجيه حزمة من جهاز كمبيوتر في المجال.
بعد توجيه الحزمة وفحصها لإجراء الترجمة، يقوم جهاز التوجيه بتخزين عنوان IP غير القابل للتوجيه للكمبيوتر ورقم المنفذ في جدول الترجمة. يستبدل جهاز التوجيه عنوان IP غير القابل للتوجيه الخاص بالكمبيوتر المرسل بعنوان IP الخاص بجهاز التوجيه. يستبدل جهاز التوجيه المنفذ المصدر لجهاز الكمبيوتر الخاص بالمرسل ببعض أرقام المنفذ العشوائية ويخزنه في جدول ترجمة العناوين لذلك المرسل. يحتوي جدول الترجمة على عرض لعنوان IP غير القابل للتوجيه للكمبيوتر ورقم المنفذ بالإضافة إلى عنوان IP الخاص بجهاز التوجيه.
عندما تعود حزمة من الوجهة، يقوم جهاز التوجيه بالتحقق من منفذ الوجهة في الحزمة. ثم ينظر إلى جدول الترجمة للعثور على جهاز الكمبيوتر الموجود في المجال الذي تنتمي إليه الحزمة. بعد ذلك، يقوم جهاز التوجيه بتغيير عنوان جهاز الاستقبال ومنفذ جهاز الاستقبال إلى القيم التي تم تخزينها مسبقًا في جدول الترجمة وإرسال الحزمة إلى عقدة النهاية.
يتلقى الكمبيوتر الحزمة من جهاز التوجيه وتتكرر العملية
نظرًا لأن جهاز توجيه NAT لديه الآن عنوان مصدر الكمبيوتر ومنفذ المصدر مخزَّنين في جدول الترجمة الخاص به، فسوف يستمر في استخدام نفس رقم المنفذ للاتصالات اللاحقة. في كل مرة يصل فيها جهاز التوجيه إلى إدخال في جدول الترجمة، تتم إعادة ضبط المؤقت المتبقي لهذا الإدخال. إذا لم يتم الوصول إلى الإدخال قبل انتهاء صلاحية المؤقت، فسيتم إزالته من الجدول

يتم تحديد عدد عمليات البث المتزامنة التي سيدعمها جهاز التوجيه بشكل أساسي من خلال مقدار DRAM (ذاكرة الوصول العشوائي الديناميكية). نظرًا لأن إدخال جدول الترجمة النموذجي يبلغ حوالي 160 بايت، فإن جهاز التوجيه المزود بذاكرة وصول عشوائي (RAM) سعة 4 ميجابايت يمكنه نظريًا التعامل مع 26214 اتصالاً متزامنًا، وهو أكثر من كافٍ لمعظم التطبيقات.

الأمن والإدارة

يؤدي تنفيذ NAT الديناميكي تلقائيًا إلى إنشاء جدار حماية بين شبكتك الداخلية والشبكات الخارجية أو الإنترنت. يسمح Dynamic NAT فقط بالاتصالات التي تنشأ على الشبكة المحلية. ويعني هذا بشكل أساسي أن جهاز الكمبيوتر الموجود على الشبكة الخارجية لا يمكنه الاتصال بجهاز الكمبيوتر الخاص بك إلا إذا بدأ جهاز الكمبيوتر الخاص بك في الاتصال. وبهذه الطريقة يمكنك تصفح الإنترنت والاتصال بأحد المواقع، وحتى تحميل ملف. ولكن لم يعد بإمكان أي شخص الحصول على عنوان IP الخاص بك واستخدامه للاتصال بمنفذ على جهاز الكمبيوتر الخاص بك.

يسمح NAT الثابت، والذي يُطلق عليه أيضًا التعيين الداخلي، بالاتصالات التي تبدأها الأجهزة الخارجية بأجهزة الكمبيوتر الموجودة على الشبكة المحلية (LAN) في ظل ظروف معينة. على سبيل المثال، يمكنك تعيين عنوان عام داخلي إلى عنوان محلي داخلي محدد تم تعيينه لخادم الويب الخاص بك.

يسمح Static NAT لجهاز الكمبيوتر الموجود على شبكة LAN بالحفاظ على عنوان محدد عند الاتصال بأجهزة خارج الشبكة:

توفر بعض أجهزة توجيه NAT تصفية واسعة النطاق وتسجيل حركة المرور. تسمح عملية التصفية لشركتك بالتحكم في المواقع التي يزورها موظفو الإنترنت، مما يمنعهم من عرض المواد المشكوك فيها. يمكنك استخدام تسجيل حركة المرور لإنشاء سجل للمواقع التي تمت زيارتها وإنشاء تقارير متنوعة بناءً على ذلك.

في بعض الأحيان يتم الخلط بين ترجمة عنوان الشبكة والخوادم الوكيلة، حيث توجد اختلافات معينة. NAT شفاف لأجهزة الكمبيوتر المصدر والوجهة. لا أحد منهم يعرف أن هذا يتعامل مع جهاز ثالث. لكن الخادم الوكيل ليس شفافًا. يعلم الكمبيوتر المصدر أن هذا يقوم بتقديم طلب إلى الوكيل. يعتقد الكمبيوتر الوجهة أن الخادم الوكيل هو الكمبيوتر المصدر ويتعامل معه مباشرة. بالإضافة إلى ذلك، تعمل الخوادم الوكيلة عادةً في الطبقة الرابعة (النقل) من نموذج OSI أو أعلى، بينما NAT هو بروتوكول الطبقة الثالثة (الشبكة). إن التشغيل على مستويات أعلى يجعل الخوادم الوكيلة أبطأ من أجهزة NAT في معظم الحالات.

تتجلى الفائدة الحقيقية لـ NAT في إدارة الشبكة. على سبيل المثال، يمكنك نقل خادم الويب أو خادم FTP الخاص بك إلى كمبيوتر آخر دون القلق بشأن انقطاع الاتصالات. ما عليك سوى تغيير تعيين الإدخال إلى العنوان المحلي الداخلي الجديد في جهاز التوجيه ليعكس المضيف الجديد. يمكنك أيضًا إجراء تغييرات على شبكتك الداخلية نظرًا لأن أيًا من عناوين IP الخارجية الخاصة بك تنتمي إما إلى جهاز توجيه أو مجموعة من العناوين العالمية.

هذه تقنيات مختلفة تمامًا. لا تخلط بينهم.

ما هو نات

NAT هو مصطلح جماعي يشير إلى تقنية ترجمة عناوين الشبكة و/أو البروتوكولات. تقوم أجهزة NAT بإجراء تحويلات على تمرير الحزم واستبدال العناوين والمنافذ والبروتوكولات وما إلى ذلك.

هناك مفاهيم أضيق مثل SNAT، وDNAT، وmasquerading، وPAT، وNAT-PT، وما إلى ذلك.

لماذا هناك حاجة إلى NAT، وكيف يتم استخدامها

لربط الشبكة الداخلية بالإنترنت

من خلال مجموعة من العناوين الخارجية
عبر عنوان خارجي واحد

لاستبدال عنوان IP خارجي بآخر (إعادة توجيه حركة المرور)

لموازنة التحميل بين الخوادم المتماثلة ذات عناوين IP المختلفة.

الجمع بين شبكتين محليتين مع عنونة داخلية متقاطعة.

كيف يعمل NAT

s+d NAT (دمج الفرع - الشر!)

رسم خرائط المنفذ، إعادة توجيه المنافذ

المميزات والعيوب

غير متوافق مع بعض البروتوكولات. يجب أن يدعم تنفيذ NAT معين فحص البروتوكول المطلوب.

تمتلك NAT خاصية "فحص" الشبكة الداخلية من العالم الخارجي، لكن لا يمكن استخدامها بدلاً من جدار الحماية.

الإعداد على سيسكو IOS

تدعم أجهزة التوجيه وجدران الحماية من Cisco أنواعًا مختلفة من NAT، اعتمادًا على مجموعة خيارات البرنامج. الأكثر استخدامًا هو أسلوب NAT مع ربط العناوين المحلية الداخلية بمنافذ مختلفة لنفس العنوان الخارجي (PAT في مصطلحات Cisco).

لتكوين NAT على جهاز التوجيه، تحتاج إلى: o تحديد حركة المرور التي تحتاج إلى ترجمتها (باستخدام قوائم الوصول أو خرائط المسار)؛

قائمة الوصول إلى IP تصريح محلي ممتد IP 10.0.0.0 0.255.255.255 أي

خريطة الطريق INT1 تتطابق مع عنوان IP واجهة المطابقة المحلية FastEthernet0/1.1

تقوم قائمة الوصول المحلية بتحديد كل حركة المرور من الشبكة 10.

تحدد خريطة الطريق INT1 حركة مرور قائمة الوصول المحلية الخارجة من خلال الواجهة الفرعية Fa 0/1.1

o تحديد العناوين الخارجية التي سيتم البث إليها. حدد مجموعة من العناوين الخارجية. بالنسبة لـ PAT، عنوان واحد يكفي.

تجمع IP nat العالمي 212.192.64.74 212.192.64.74 قناع الشبكة 255.255.255.0

تحديد مجموعة من العناوين الخارجية المسماة GLOBAL. لا يوجد سوى عنوان واحد في المجمع.

o تمكين NAT لعناوين داخلية وخارجية محددة.

IP nat داخل خريطة مسار المصدر INT1 التحميل الزائد العالمي

تمكين NAT لترجمة عنوان المصدر على الواجهة الداخلية. سيتم بث حركة المرور التي تقع ضمن شروط خريطة طريق INT1 فقط. سيتم أخذ العنوان الخارجي من التجمع العمومي.

IP nat داخل المصدر ثابت tcp 10.0.0.1 23 212.192.64.74 23 تمديد

ثابت "إعادة توجيه المنفذ" أو "نشر الخدمة". في حركة المرور المتجهة إلى الداخل إلى العنوان 212.192.64.74 على منفذ TCP 23، سيتم استبدال الوجهة بالعنوان 10.0.0.1 والمنفذ 23.

o تعيين واجهات داخلية وخارجية.

واجهة FastEthernet0/0 ip nat داخل واجهة FastEthernet0/1.1 ip nat خارج

يتم تعيين الواجهة Fa 0/0 داخليًا لـ NAT.

يتم تعيين الواجهة الفرعية Fa 0/1.1 كواجهة خارجية لـ NAT.

O التصحيح والتشخيص:

ترجمات Sh ip nat - عرض جدول عمليات البث الحالية؛ مسح ترجمات ip nat - حذف جميع الترجمات الحالية؛ debug ip nat - تمكين رسائل التصحيح (إلغاء تصحيح الكل - تعطيل تصحيح الأخطاء).

أمثلة

فيما يلي بعض الأمثلة التجريبية لمحاكي Cisco Packet Tracer.

مخطط بسيط لتوصيل شبكة صغيرة بالإنترنت من خلال مجموعة من العناوين الخارجية

مخطط بسيط لتوصيل الشبكة بالإنترنت من خلال عنوان خارجي واحد

مخطط الجمع بين الشبكات مع العنونة المتقاطعة

كيف يعمل NAT

تختلف طريقة تطبيق قواعد NAT بين الشركات المصنعة المختلفة وعلى المعدات المختلفة. فيما يلي الإجراء الخاص بتطبيق سياسات NAT لأجهزة التوجيه على Cisco IOS:

من الداخل إلى الخارج

إذا قام IPSec بعد ذلك بالتحقق من فك تشفير قائمة الوصول إلى الإدخال - بالنسبة لـ CET (تقنية تشفير Cisco) أو IPSec، تحقق من قائمة الوصول إلى الإدخال، وتحقق من حدود معدل الإدخال، ومحاسبة الإدخال، وإعادة التوجيه إلى توجيه سياسة ذاكرة التخزين المؤقت على الويب، وتوجيه NAT من الداخل إلى الخارج (الترجمة المحلية إلى العالمية) التشفير (راجع الخريطة و علامة للتشفير) تحقق من قائمة الوصول إلى المخرجات وفحص (التحكم في الوصول المستند إلى السياق (CBAC)) تشفير اعتراض TCP في قائمة الانتظار

من الخارج إلى الداخل

إذا قام IPSec بعد ذلك بالتحقق من فك تشفير قائمة الوصول إلى الإدخال - بالنسبة لـ CET أو IPSec، تحقق من قائمة الوصول إلى الإدخال، وتحقق من حدود معدل الإدخال، وإعادة توجيه محاسبة الإدخال إلى ذاكرة التخزين المؤقت على الويب NAT من الخارج إلى الداخل (الترجمة العالمية إلى المحلية)، وتوجيه السياسة، وتوجيه التشفير (تحقق من الخريطة ووضع علامة للتشفير) تحقق تقوم قائمة الوصول إلى المخرجات بفحص قائمة انتظار تشفير اعتراض CBAC TCP

قناة إنترنت من مزود واحد عبر NAT

مخطط بسيط لتنفيذ NAT مع مزود واحد

حجز قناة إنترنت من مزودين اثنين باستخدام NAT، ip sla

نظرا: نتلقى الإنترنت لعدة أجهزة كمبيوتر من ISP1. أعطانا العنوان 212.192.88.150. يتم تنظيم الوصول إلى الإنترنت من عنوان IP هذا عبر NAT.

المهمة: توصيل موفر النسخ الاحتياطي - ISP2. سيعطينا العنوان 212.192.90.150. تنظيم موازنة حركة المرور: إرسال حركة مرور الويب من خلال ISP1، وحركة المرور الأخرى من خلال ISP2. في حالة فشل أحد مقدمي الخدمة، يجب إرسال كل حركة المرور عبر قناة مباشرة.

ما مدى صعوبة المهمة؟ واضح ترجمة الملكية الفكرية نات؟

مخطط

التكوين

1 ترجمة واضحة لـ ip nat *

تم العثور على مثل هذه القطعة من EEM واختبارها. لا يتم إنشاء الحدث على كافة إصدارات IOS، نحتاج إلى التوضيح.

! برنامج مدير الأحداث NAT-TRACK نمط سجل نظام الحدث "TRACKING-5-STATE" الإجراء 0.1 أمر cli "تمكين" الإجراء 0.2 الانتظار 3 الإجراء 0.3 أمر cli "مسح ترجمة ip nat *" الإجراء 0.4 رسالة سجل النظام "تم مسح ترجمة NAT بعد تغيير حالة المسار" "!

2 إذا فشلت الواجهة لدى الموفر، فهناك احتمال كبير بأن تقوم بوابته بإجراء اختبار الاتصال عبر الواجهة الثانية

! اسم المستخدم كلمة المرور 0 كلمة المرور تمكين السر 0 تكوين كلمة المرور! ! التحكم في تسجيل الدخول إلى خط جهاز التوجيه vty 0 4 تسجيل الدخول المحلي ! ! DHCP ip dhcp Pool شبكة LAN قناع الشبكة الداخلية جهاز التوجيه الافتراضي بوابة DNS-server 10.11.12.13! DNS - وهو نظام وهمي توصلوا إليه - وليس من شبكتنا المحلية! ! ! مراقبة Ping إلى عنوان بوابة الموفر-1! انتظر 100 مللي ثانية للرد! Ping بتردد 1 ثانية ip sla مراقب 1 نوع بروتوكول الصدى ipIcmpEcho GatewayProv1 واجهة المصدر InterfaceOnProv1 مهلة 100 تردد 1 ! ! شاشة Ping لموفر-2 شاشة IP sla 2 نوع بروتوكول الصدى ipIcmpEcho GatewayProv2 واجهة المصدر InterfaceNaProv2 مهلة 50 تردد 1! ! إطلاق الأصوات 1 و 2، الآن وإلى الأبد جدول مراقبة ip sla 1 الحياة إلى الأبد وقت البدء الآن جدول مراقبة ip sla 2 إلى الأبد وقت البدء الآن! ! المساران 10 و20 - تتبع حالة الأصوات! يتفاعل مع الحالة لأسفل أو لأعلى مع تأخير لمدة ثانية واحدة. المسار 10 rtr 1 تأخير إمكانية الوصول لأسفل 1 لأعلى 1! المسار 20 rtr 2 تأخير إمكانية الوصول لأسفل 1 لأعلى 1! ! ! الطرق لجميع الشبكات الخارجية على كلا مقدمي الخدمة! الطرق مرتبطة بالمسارات! وسيتم تفعيله فقط إذا كان المسار في حالة Up! أولئك. إذا كانت بوابة الموفر المقابل متاحة مسار IP 0.0.0.0 0.0.0.0 GatewayProv1 المسار 10 مسار IP 0.0.0.0 0.0.0.0 GatewayProv2 المسار 20 ! ! ! كثافة العمليات فا 0/0 لا اغلاق! ! واجهات فرعية تجاه مقدمي الخدمات الخارجيين! تم وضع علامة عليها على أنها خارجية لواجهة NAT وصف FastEthernet0/0.1 ISP1 يغلف dot1q NumberVlanProv1 عنوان IP ipOnProv1 قناع ip nat بالخارج! وصف واجهة FastEthernet0/0.2 تغليف ISP2 dot1Q NumberVlanProv2 عنوان IP ipNaProv2 قناع ip nat بالخارج! ! واجهة للشبكة الداخلية! تم وضع علامة على أنها من الداخل لـ NAT! سياسة التوجيه مرتبطة بواجهة PBR FastEthernet0/1 عنوان IP ipOnInternalNet قناع ip nat داخل خريطة طريق سياسة IP PBR بدون إغلاق! ! الوصول إلى القوائم من الشبكة الداخلية إلى الخارج! بالنسبة لحركة مرور الويب وكل شيء آخر، فإن قائمة الوصول إلى IP الموسعة تسمح بـ LOCAL للشبكة الداخلية للملكية الفكرية (IP) أي! قائمة الوصول إلى بروتوكول الإنترنت (IP) تسمح بشبكة ويب موسعة لشبكة TCP الداخلية أي EQ www تسمح لشبكة TCP الداخلية أي EQ 443! قائمة الوصول إلى IP موسعة ALL تسمح IP أي أي! ! ! خريطة جذر PBR صعبة! إذا كانت حركة المرور من الشبكة المحلية إلى الويب! ثم قم بتعيين الموفر الأول كبوابة له! خلاف ذلك، حركة المرور الأخرى من المنطقة المحلية! تعيين الموفر الثاني كبوابة. ! عند تعيين بوابة، يسمح PBR لخريطة مسار المسارات بمطابقة 10 لعنوان IP WEB الذي يقوم بتعيين IP للقفزة التالية والتحقق من التوفر GatewayProv1 1 المسار 10! خريطة الطريق تصريح PBR 20 يتطابق مع عنوان IP ALL set IP الخطوة التالية التحقق من التوفر GatewayProv2 1 المسار 20 ! ! ! خريطة الجذر ISP1 صعبة! يعمل إذا كانت حركة المرور من LAN! محاولة الخروج عبر الواجهة Fa0/0.1 تسمح خريطة الطريق ISP1 بـ 10 مطابقة لعنوان IP واجهة المطابقة المحلية FastEthernet0/0.1! ! خريطة الجذر ISP2 صعبة! يعمل إذا كانت حركة المرور من LAN! محاولة الخروج عبر الواجهة Fa0/0.2 تسمح خريطة الطريق ISP2 بـ 10 مطابقة لعنوان IP واجهة المطابقة المحلية FastEthernet0/0.2! ! ! أخيرًا، نات ;-)! ! حركة المرور من الشبكة المحلية (LAN) إلى المزود الأول انتقل عبر الواجهة الأولى ip nat داخل خريطة طريق المصدر لواجهة ISP1 FastEthernet0/0.1 الزائد! ! حركة المرور من الشبكة المحلية إلى الموفر الثاني انتقل عبر الواجهة الثانية ip nat داخل خريطة طريق المصدر لواجهة ISP2 FastEthernet0/0.2 الزائد! ! إعادة توجيه حركة المرور إلى DNS الوهمي إلى Google DNS ip nat خارج المصدر الثابت 8.8.8.8 10.11.12.13 no-alias! ! إعادة توجيه المنفذ الداخلي 3389 إلى المنفذ الخارجي 1111 ip nat داخل المصدر ثابت tcp InternalHost 3389 خارجي 1111 قابل للتمديد IP nat داخل المصدر ثابت tcp InternalHost 3389 خارجي 1111 قابل للتمديد! !

متنوع

CGN (درجة الناقل nat) مع مجموعة خاصة من العناوين الخاصة

NAT كـ ALG (بوابة طبقة التطبيق)، (بروتوكولات النص العادي مثل SIP)

2 32 أو 4 294 967 296 IPv4هل هذا كثير من العناوين؟ يبدو ذلك. ومع ذلك، مع انتشار الحوسبة الشخصية، والأجهزة المحمولة، والنمو السريع للإنترنت، سرعان ما أصبح من الواضح أن 4.3 مليار عنوان IPv4 لن تكون كافية. وكان الحل على المدى الطويل IPv6، ولكن كانت هناك حاجة إلى حل أسرع لمعالجة نقص العناوين. وأصبح هذا القرار NAT (ترجمة عنوان الشبكة).

ما هو نات

يتم تصميم الشبكات عادةً باستخدام عناوين IP الخاصة. هذه هي العناوين 10.0.0.0/8, 172.16.0.0/12 و 192.168.0.0/16 . يتم استخدام هذه العناوين الخاصة داخل مؤسسة أو موقع للسماح للأجهزة بالاتصال محليًا ولا يتم توجيهها عبر الإنترنت. للسماح لجهاز له عنوان IPv4 خاص بالوصول إلى الأجهزة والموارد خارج الشبكة المحلية، يجب أولاً ترجمة العنوان الخاص إلى عنوان عام عام.

وهي مجرد NAT التي تحول العناوين الخاصة إلى عناوين عامة. يسمح هذا لجهاز له عنوان IPv4 خاص بالوصول إلى الموارد خارج شبكته الخاصة. أثبتت NAT، مع عناوين IPv4 الخاصة، أنها طريقة مفيدة لتخزين عناوين IPv4 العامة. يمكن استخدام عنوان IPv4 عام واحد بواسطة مئات، بل آلاف الأجهزة، ولكل منها عنوان IPv4 خاص. يتمتع NAT بميزة إضافية تتمثل في إضافة درجة من الخصوصية والأمان إلى الشبكة لأنه يخفي عناوين IPv4 الداخلية عن الشبكات الخارجية.

يمكن تكوين أجهزة التوجيه التي تدعم NAT باستخدام عنوان IPv4 عام صالح أو أكثر. تسمى هذه العناوين العامة تجمع NAT. عندما يرسل جهاز موجود على الشبكة الداخلية حركة مرور من الشبكة إلى الخارج، يقوم جهاز التوجيه الممكّن لـ NAT بترجمة عنوان IPv4 الداخلي للجهاز إلى عنوان عام من تجمع NAT. بالنسبة للأجهزة الخارجية، يبدو أن كل حركة المرور الداخلة والخارجة من الشبكة لها عنوان IPv4 عام.

يعمل جهاز توجيه NAT عادةً على الحدود كعب الروتين-الشبكات الشبكة الأساسية هي شبكة فرعية لها اتصال واحد بشبكة مجاورة، ومدخل واحد وخروج واحد من الشبكة.

عندما يريد جهاز داخل شبكة Stub الاتصال بجهاز خارج شبكته، يتم إعادة توجيه الحزمة إلى جهاز توجيه الحدود ويقوم بإجراء عملية NAT، وترجمة العنوان الخاص الداخلي للجهاز إلى عنوان عام خارجي قابل للتوجيه.

مصطلحات NAT

في مصطلحات NAT، الشبكة الداخلية هي مجموعة من الشبكات التي سيتم ترجمتها. تشير الشبكة الخارجية إلى جميع الشبكات الأخرى.

عند استخدام NAT، يكون لعناوين IPv4 تسميات مختلفة بناءً على ما إذا كانت موجودة على شبكة خاصة أو شبكة عامة (الإنترنت)، وما إذا كانت حركة المرور واردة أم صادرة.

يتضمن NAT أربعة أنواع من العناوين:

داخل العنوان المحلي;
داخل العنوان العالمي;
العنوان المحلي الخارجي;
العنوان العالمي الخارجي;

عند تحديد نوع العنوان المستخدم، من المهم أن تتذكر أن مصطلحات NAT يتم تطبيقها دائمًا فيما يتعلق بالجهاز الذي يحمل العنوان المترجم:

داخل العنوان- عنوان الجهاز الذي تتم ترجمته بواسطة NAT؛
العنوان الخارجي- عنوان الجهاز الوجهة؛
العنوان المحلي- هذا هو أي عنوان يتم عرضه على الجزء الداخلي من الشبكة؛
العنوان العالمي- هذا هو أي عنوان يتم عرضه على الجزء الخارجي من الشبكة؛

دعونا نلقي نظرة على هذا باستخدام مثال الرسم التخطيطي.

في الشكل، يوجد بالكمبيوتر جهاز داخلي محلي ( داخل المحلية) العنوان هو 192.168.1.5 ومن وجهة نظره فإن خادم الويب لديه خارجي ( الخارج) العنوان 208.141.17.4. عندما يتم إرسال الحزم من جهاز كمبيوتر إلى العنوان العام لخادم الويب، فإن العنوان الداخلي المحلي ( داخل المحلية) تتم ترجمة عنوان الكمبيوتر إلى 208.141.16.5 ( داخل العالمية). عادةً لا تتم ترجمة عنوان الجهاز الخارجي لأنه عنوان IPv4 عام.

ومن الجدير بالذكر أن جهاز الكمبيوتر لديه عناوين محلية وعالمية مختلفة، في حين أن خادم الويب له نفس عنوان IP العام. ومن وجهة نظره، تأتي حركة المرور الصادرة من جهاز الكمبيوتر من العنوان العالمي الداخلي 208.141.16.5. يعد جهاز توجيه NAT بمثابة نقطة ترسيم بين الشبكات الداخلية والخارجية وبين العناوين المحلية والعالمية.

شروط داخلو الخارج، جنبا إلى جنب مع المصطلحات محليو عالميللربط بعناوين محددة. في الشكل، تم تكوين جهاز التوجيه لتوفير NAT ولديه مجموعة من العناوين العامة لتعيينها للمضيفين الداخليين.

يوضح الشكل كيفية إرسال حركة المرور من جهاز كمبيوتر داخلي إلى خادم ويب خارجي، من خلال جهاز توجيه يدعم NAT، وإعادة توجيهها وإعادة توجيهها في الاتجاه المعاكس.

العنوان المحلي الداخلي ( داخل العنوان المحلي) - عنوان المصدر مرئي من الشبكة الداخلية. في الشكل، تم تخصيص العنوان 192.168.1.5 لجهاز الكمبيوتر - وهذا هو عنوانه المحلي الداخلي.

العنوان العمومي الداخلي ( داخل العنوان العالمي) - عنوان المصدر مرئي من الشبكة الخارجية. في الشكل، عندما يتم إرسال حركة المرور من جهاز الكمبيوتر إلى خادم الويب على 208.141.17.4، يقوم جهاز التوجيه بترجمة العنوان المحلي الداخلي ( داخل العنوان المحلي) إلى العنوان العالمي الداخلي ( داخل العنوان العالمي). في هذه الحالة، يقوم جهاز التوجيه بتغيير عنوان مصدر IPv4 من 192.168.1.5 إلى 208.141.16.5.

العنوان العمومي الخارجي ( العنوان العالمي الخارجي) - عنوان المستلم الذي يمكن رؤيته من الشبكة الخارجية. هذا هو عنوان IPv4 قابل للتوجيه عالميًا ويتم تعيينه لمضيف على الإنترنت. في الرسم التخطيطي، يتوفر خادم الويب على 208.141.17.4. في أغلب الأحيان، تكون العناوين العالمية المحلية والخارجية هي نفسها.

العنوان المحلي الخارجي ( العنوان المحلي الخارجي) - عنوان المستلم المرئي من الشبكة الداخلية. في هذا المثال، يرسل الكمبيوتر حركة المرور إلى خادم الويب على 208.141.17.4

دعونا نفكر في المسار الكامل للحزمة. يحاول جهاز الكمبيوتر الذي يحمل العنوان 192.168.1.5 الاتصال بخادم الويب 208.141.17.4. عندما تصل حزمة إلى جهاز توجيه يدعم NAT، فإنها تقرأ عنوان وجهة IPv4 الخاص بالحزمة لتحديد ما إذا كانت الحزمة تلبي المعايير المحددة للترجمة. في هذا المثال، يفي عنوان المصدر بالمعايير ويتم ترجمته من 192.168.1.5 ( داخل العنوان المحلي) على 208.141.16.5. ( داخل العنوان العالمي). يضيف جهاز التوجيه تعيين العنوان المحلي إلى العالمي إلى جدول NAT ويرسل حزمة تحتوي على عنوان المصدر المترجم إلى الوجهة. يستجيب خادم الويب بحزمة موجهة إلى العنوان العالمي الداخلي لجهاز الكمبيوتر (208.141.16.5). يتلقى جهاز التوجيه حزمة بعنوان الوجهة 208.141.16.5 ويتحقق من جدول NAT، حيث يجد إدخالاً لهذا التعيين. يستخدم هذه المعلومات ويترجم العنوان العالمي الداخلي (208.141.16.5) مرة أخرى إلى العنوان المحلي الداخلي (192.168.1.5) ويتم إعادة توجيه الحزمة نحو جهاز الكمبيوتر.

أنواع NAT

هناك ثلاثة أنواع من ترجمة NAT:

ترجمة العناوين الثابتة (NAT الثابتة)- تعيين عنوان واحد لواحد بين العناوين المحلية والعالمية؛
ترجمة العنوان الديناميكي (NAT الديناميكي)- تعيين عنوان متعدد إلى متعدد بين العناوين المحلية والعالمية؛
ترجمة عنوان المنفذ (NAT)- تعيين عنوان البث المتعدد بين العناوين المحلية والعالمية باستخدام المنافذ. تُعرف هذه الطريقة أيضًا باسم NAT الزائد;

يستخدم Static NAT تعيينًا واحدًا لواحد للعناوين المحلية والعالمية. يتم تكوين هذه التعيينات بواسطة مسؤول الشبكة وتظل دائمة. عندما ترسل الأجهزة حركة مرور إلى الإنترنت، تتم ترجمة عناوينها المحلية الداخلية إلى العناوين العمومية الداخلية التي تم تكوينها. بالنسبة للشبكات الخارجية، تحتوي هذه الأجهزة على عناوين IPv4 عامة. يعد Static NAT مفيدًا بشكل خاص لخوادم الويب أو الأجهزة التي يجب أن يكون لها عنوان ثابت يمكن الوصول إليه من الإنترنت، مثل خادم الويب الخاص بالشركة. يتطلب NAT الثابت عددًا كافيًا من العناوين العامة لتلبية العدد الإجمالي لجلسات المستخدم المتزامنة.

يبدو جدول NAT الثابت كما يلي:

يستخدم Dynamic NAT مجموعة من العناوين العامة ويعينها على أساس أسبقية الحضور. عندما يطلب جهاز داخلي الوصول إلى شبكة خارجية، يقوم NAT الديناميكي بتعيين عنوان IPv4 عام متاح من التجمع. مثل NAT الثابت، يتطلب NAT الديناميكي عددًا كافيًا من العناوين العامة لتلبية العدد الإجمالي لجلسات المستخدم المتزامنة.

يبدو جدول NAT الديناميكي كما يلي:

ترجمة عنوان المنفذ (PAT)

تربيتةيبث عناوين خاصة متعددة إلى عنوان عام واحد أو أكثر. هذا ما تفعله معظم أجهزة التوجيه المنزلية. يقوم مزود خدمة الإنترنت بتعيين عنوان واحد لجهاز التوجيه، ولكن يمكن لعدة أفراد من العائلة الوصول إلى الإنترنت في نفس الوقت. هذا هو الشكل الأكثر شيوعًا لـ NAT.

باستخدام PAT، يمكن تعيين عناوين متعددة إلى عنوان واحد أو أكثر لأنه يتم تعقب كل عنوان خاص أيضًا بواسطة رقم منفذ. عندما يبدأ الجهاز جلسة تكب / إب، يقوم بإنشاء قيمة المنفذ المصدر برنامج التعاون الفنيأو UDPلتحديد الجلسة بشكل فريد. عندما يتلقى جهاز توجيه NAT حزمة من العميل، فإنه يستخدم رقم المنفذ المصدر الخاص به لتعريف ترجمة NAT محددة بشكل فريد. يضمن PAT أن الأجهزة تستخدم رقم منفذ TCP مختلفًا لكل جلسة. عندما يتم إرجاع الاستجابة من الخادم، يحدد رقم المنفذ المصدر، الذي يصبح رقم المنفذ الوجهة على مسار الإرجاع، الجهاز الذي يقوم جهاز التوجيه بإعادة توجيه الحزم إليه.

توضح الصورة عملية PAT. يضيف PAT أرقام منفذ مصدر فريدة إلى العنوان العام الداخلي للتمييز بين الترجمات.

أثناء قيام جهاز التوجيه بمعالجة كل حزمة، فإنه يستخدم رقم المنفذ (1331 و1555، في هذا المثال) لتحديد الجهاز الذي نشأت منه الحزمة.

عنوان المصدر ( عنوان المصدر) هو عنوان محلي داخلي برقم منفذ ملحق تم تعيينه بواسطة TCP/IP. عنوان الوجهة ( عنوان الوجهة) هو عنوان محلي خارجي مُلحق به رقم منفذ الخدمة. في هذا المثال، منفذ الخدمة هو 80: HTTP.

بالنسبة لعنوان المصدر، يقوم جهاز التوجيه بترجمة العنوان المحلي الداخلي إلى العنوان العام الداخلي مع إضافة رقم منفذ. لا يتغير عنوان الوجهة، ولكنه يُسمى الآن عنوان IP العالمي الخارجي. عندما يستجيب خادم الويب، يتم عكس المسار.

في هذا المثال، لم يتم تغيير أرقام منفذ العميل 1331 و1555 على جهاز توجيه NAT. وهذا ليس سيناريو محتملًا جدًا نظرًا لوجود فرصة جيدة لأن تكون أرقام المنافذ هذه مرتبطة بالفعل بجلسات نشطة أخرى. يحاول PAT الحفاظ على منفذ المصدر الأصلي. ومع ذلك، إذا كان المنفذ المصدر الأصلي قيد الاستخدام بالفعل، يقوم PAT بتعيين رقم المنفذ الأول المتاح، بدءًا من بداية مجموعة المنافذ المقابلة 0-511, 512-1023 أو 1024-65535 . عند عدم وجود المزيد من المنافذ ويوجد أكثر من عنوان خارجي في تجمع العناوين، ينتقل PAT إلى العنوان التالي لمحاولة تخصيص منفذ المصدر الأصلي. تستمر هذه العملية حتى لا يتوفر المزيد من المنافذ أو عناوين IP الخارجية.

أي أنه إذا كان بمقدور مضيف آخر اختيار نفس رقم المنفذ 1444. فهذا مقبول بالنسبة للعنوان الداخلي لأن المضيفين لديهم عناوين IP خاصة فريدة. ومع ذلك، على جهاز توجيه NAT، يجب تغيير أرقام المنافذ - وإلا فإن الحزم من مضيفين مختلفين ستتركها بنفس عنوان المصدر. ولذلك، يقوم PAT بتعيين المنفذ التالي المتاح (1445) لعنوان المضيف الثاني.

دعونا نلخص المقارنة بين NAT وPAT. كما ترون من الجداول، تقوم NAT بترجمة عناوين IPv4 على أساس 1:1 بين عناوين IPv4 الخاصة وعناوين IPv4 العامة. ومع ذلك، يقوم PAT بتغيير كل من العنوان نفسه ورقم المنفذ. يقوم NAT بإعادة توجيه الحزم الواردة إلى عنوانها الداخلي استنادًا إلى عنوان IP المصدر الوارد الذي يقدمه المضيف على الشبكة العامة، ومع PAT يوجد عادةً عنوان واحد فقط أو عدد قليل جدًا من عناوين IPv4 المكشوفة للعامة ويتم إعادة توجيه الحزم الواردة استنادًا إلى جدول NAT الخاص بجهاز التوجيه .

ماذا عن حزم IPv4 التي تحتوي على بيانات غير TCP أو UDP؟ لا تحتوي هذه الحزم على رقم منفذ الطبقة الرابعة. يترجم PAT البروتوكولات الأكثر شيوعًا التي يحملها IPv4، والتي لا تستخدم TCP أو UDP كبروتوكول طبقة النقل. وأكثرها شيوعًا هو ICMPv4. يتم التعامل مع كل نوع من أنواع البروتوكولات هذه بشكل مختلف بواسطة PAT. على سبيل المثال، تتضمن رسائل طلب ICMPv4 وطلبات الارتداد والاستجابات معرف الطلب معرف الاستعلام. يستخدم ICMPv4 معرف الاستعلام. لتحديد طلب الصدى مع الاستجابة المقابلة. تتم زيادة معرف الطلب مع كل اختبار ping يتم إرساله. يستخدم PAT معرف الطلب بدلاً من رقم منفذ الطبقة الرابعة.

مزايا وعيوب NAT

يوفر NAT العديد من الفوائد، بما في ذلك:

تحافظ NAT على نظام العنونة المسجل، مما يسمح بخصخصة الشبكات الداخلية. باستخدام PAT، يمكن للمضيفين الداخليين مشاركة عنوان IPv4 عام واحد لجميع الاتصالات الخارجية. في هذا النوع من التكوين، يلزم وجود عدد قليل جدًا من العناوين الخارجية لدعم العديد من المضيفين الداخليين؛
يعمل NAT على زيادة مرونة الاتصالات بالشبكة العامة. يمكن تنفيذ تجمعات متعددة، وتجمعات احتياطية، وتجمعات موازنة التحميل لتوفير اتصالات شبكة عامة موثوقة؛

يوفر NAT الاتساق لأنظمة العنونة الداخلية للشبكة. على الشبكة التي لا تستخدم عناوين IPv4 الخاصة وNAT، يتطلب تغيير نظام عنوان IPv4 الإجمالي إعادة توجيه جميع الأجهزة المضيفة على الشبكة الحالية. يمكن أن تكون تكلفة إعادة توجيه المضيف كبيرة. يسمح NAT لنظام عنونة IPv4 الخاص الحالي بالبقاء مع السماح بتغيير نظام العنونة العام الجديد بسهولة. وهذا يعني أنه يمكن للمؤسسة تغيير مقدمي الخدمة وليس عليها تغيير أي من عملائها الداخليين؛

يوفر NAT أمان الشبكة. نظرًا لأن الشبكات الخاصة لا تعلن عن عناوينها أو هيكلها الداخلي، فإنها تظل آمنة تمامًا عند استخدامها مع NAT لتحقيق وصول خارجي خاضع للرقابة. ومع ذلك، عليك أن تفهم أن NAT لا يحل محل جدران الحماية؛

لكن NAT لديه بعض العيوب. حقيقة أن المضيفين على الإنترنت يبدو أنهم يتواصلون مباشرة مع الجهاز الذي يدعم NAT بدلاً من المضيف الفعلي داخل الشبكة الخاصة يخلق عددًا من المشكلات:

أحد عيوب استخدام NAT يتعلق بأداء الشبكة، خاصة بالنسبة لبروتوكولات الوقت الفعلي مثل الصوت عبر بروتوكول الإنترنت. يزيد NAT من تأخيرات التبديل لأنه يستغرق وقتًا لترجمة كل عنوان IPv4 في رؤوس الحزمة؛
عيب آخر لاستخدام NAT هو فقدان المعالجة الشاملة. تعتمد العديد من بروتوكولات وتطبيقات الإنترنت على المعالجة الشاملة من المصدر إلى الوجهة. بعض التطبيقات لا تعمل مع NAT. التطبيقات التي تستخدم العناوين الفعلية بدلاً من اسم المجال المؤهل لا تصل إلى الوجهات التي يتم ترجمتها من خلال جهاز توجيه NAT. في بعض الأحيان يمكن تجنب هذه المشكلة عن طريق تنفيذ تعيينات NAT الثابتة؛
يتم أيضًا فقدان تتبع IPv4 من طرف إلى طرف. من الصعب تتبع الحزم التي تخضع لتغييرات متعددة في عنوان الحزمة عبر قفزات NAT المتعددة، مما يجعل استكشاف الأخطاء وإصلاحها أكثر صعوبة؛
يؤدي استخدام NAT أيضًا إلى إعاقة بروتوكولات الأنفاق مثل IPsec لأن NAT يغير القيم في الرؤوس التي تتداخل مع عمليات التحقق من التكامل التي يتم إجراؤها بواسطة IPsec وبروتوكولات الأنفاق الأخرى؛
قد تتعطل الخدمات التي تتطلب بدء اتصالات TCP من شبكة خارجية، أو البروتوكولات عديمة الحالة مثل تلك التي تستخدم UDP. إذا لم يتم تكوين جهاز توجيه NAT لدعم هذه البروتوكولات، فلن تتمكن الحزم الواردة من الوصول إلى وجهتها؛

هل كانت هذه المقالة مفيدة لك؟

أرجوك أخبرني لماذا؟

نأسف لأن المقال لم يكن مفيدًا لك: (من فضلك، إذا لم يكن الأمر صعبًا، وضح السبب؟ سنكون ممتنين جدًا للحصول على إجابة مفصلة. شكرًا لك على مساعدتنا في أن نصبح أفضل!

حسنًا، دعونا ننسى هذه الكلمات لبعض الوقت.
بشكل عام، تختلف قوائم الوصول:

معيار
- متقدم
- متحرك
- عاكس
- على أساس الوقت

سنركز اهتمامنا اليوم على الأولين، ويمكنك قراءة المزيد عنهم جميعًا من ciska.

حركة المرور الواردة والصادرة

للبدء، دعونا نوضح شيئًا واحدًا. ماذا تقصد بحركة المرور الواردة والصادرة؟ سوف نحتاج هذا في المستقبل. حركة المرور الواردة هي تلك التي تأتي إلى الواجهة من الخارج.

الصادر هو الذي يتم إرساله من الواجهة إلى الخارج.

يمكنك تطبيق قائمة الوصول إما على حركة المرور الواردة، ثم لن تصل الحزم غير المرغوب فيها إلى جهاز التوجيه، وبالتالي، إلى الشبكة، أو إلى حركة المرور الصادرة، ثم تصل الحزم إلى جهاز التوجيه، وتتم معالجتها بواسطته، وتصل إلى الواجهة المستهدفة ويتم إسقاطها عليها فقط.

قائمة الوصول القياسية تتحقق فقط من عنوان المرسل. ممتد - عنوان المرسل وعنوان المستلم والمنفذ. يوصى بوضع قوائم ACL القياسية في أقرب مكان ممكن من المستلم (حتى لا يتم قطع أكثر من اللازم)، ووضع القوائم الموسعة - بالقرب من المرسل (لإسقاط حركة المرور غير المرغوب فيها في أقرب وقت ممكن).

يمارس

دعونا ننتقل مباشرة إلى الممارسة. ما الذي يجب أن نحد منه في شبكتنا الصغيرة "Lift mi Up"؟

أ) خادم الويب. السماح بالوصول للجميع على منفذ TCP 80 (بروتوكول HTTP). بالنسبة للجهاز الذي سيتم تنفيذ التحكم منه (لدينا مسؤول)، تحتاج إلى فتح telnet وftp، لكننا سنمنحه حق الوصول الكامل. الجميع يعلقون المكالمة.

ب) خادم الملفات. يجب أن نجعل سكان Lift Mi Up يصلون إليه عبر منافذ للمجلدات المشتركة، ويمكن لأي شخص آخر الوصول إليه عبر FTP.

ب) خادم البريد. لدينا هنا SMTP وPOP3 قيد التشغيل، أي منفذي TCP 25 و110. ونفتح أيضًا الوصول إلى الإدارة للمسؤول. نحن نمنع الآخرين.

د) بالنسبة لخادم DNS المستقبلي، تحتاج إلى فتح منفذ UDP 53

هـ) السماح بوصول رسائل ICMP إلى شبكة الخوادم

هـ) نظرًا لأن لدينا شبكة أخرى لجميع الأشخاص غير المنتمين إلى الحزب والذين لم يتم تضمينهم في قسم FEO وVET وقسم المحاسبة، فسنقوم بتقييدهم جميعًا ونمنحهم بعض الوصول فقط (بما في ذلك نحن والمسؤول)

و) مرة أخرى، يجب السماح فقط للمسؤول، وبالطبع الشخص الذي تحبه، بالدخول إلى شبكة التحكم.

ز) لن نخلق حواجز أمام التواصل بين موظفي القسم.

أ) الوصول إلى خادم الويب

لدينا هنا سياسة حظر كل ما هو غير مسموح به. لذلك، نحن الآن بحاجة إلى فتح شيء ما وإغلاق كل شيء آخر.
نظرًا لأننا نحمي شبكة من الخوادم، فسنعلق الورقة على الواجهة متجهة نحوها، أي على FE0/0.3 السؤال موجود فقط فياو عند خارجهل نحن بحاجة للقيام بذلك؟ إذا لم نرغب في إرسال حزم نحو الخوادم الموجودة بالفعل على جهاز التوجيه، فستكون هذه حركة مرور صادرة. وهذا هو، سيكون لدينا عناوين الوجهة في شبكة الخوادم (والتي سنختار منها الخادم الذي تذهب إليه حركة المرور)، ويمكن أن تكون عناوين المصدر أي شيء - سواء من شبكة شركتنا أو من الإنترنت.
ملاحظة أخرى: نظرًا لأننا سنقوم أيضًا بالتصفية حسب عنوان الوجهة (هناك بعض القواعد لخادم الويب، وأخرى لخادم البريد)، فسنحتاج إلى قائمة موسعة للتحكم في الوصول، فهي الوحيدة التي تسمح لنا بالقيام بذلك .

يتم التحقق من القواعد الموجودة في قائمة الوصول بالترتيب من أعلى إلى أسفل حتى المطابقة الأولى. بمجرد تشغيل إحدى القواعد، بغض النظر عما إذا كانت مسموحة أم مرفوضة، يتوقف التحقق وتتم معالجة حركة المرور بناءً على القاعدة التي تم تشغيلها.
وهذا يعني أننا إذا أردنا حماية خادم الويب، فسنحتاج أولاً إلى منح الإذن، لأنه إذا قمنا بتكوينه في السطر الأول رفض الملكية الفكرية أي- فستعمل دائمًا ولن تتدفق حركة المرور على الإطلاق. أي- هذه كلمة خاصة تعني عنوان الشبكة والقناع العكسي 0.0.0.0 0.0.0.0 وتعني أن جميع العقد من أي شبكات تقع تحت القاعدة. كلمة خاصة أخرى هي يستضيف- يعني القناع 255.255.255.255 - أي عنوان واحد محدد بالضبط.
لذا، القاعدة الأولى: السماح بالوصول للجميع على المنفذ 80

msk-arbat-gw1(config-ext-nacl)# ملاحظة WEB
أي مضيف 172.16.0.2 مكافئ 80

يسمح ( يسمح) حركة مرور TCP من أي عقدة ( أي) تستضيف ( يستضيف- عنوان واحد بالضبط) 172.16.0.2، موجه إلى المنفذ 80.
دعونا نحاول إرفاق قائمة الوصول هذه بالواجهة FE0/0.3:

msk-arbat-gw1(config-subif)# ip Access-group Servers-out خارج

نتحقق من أي من أجهزة الكمبيوتر المتصلة لدينا:

كما ترون، يتم فتح الصفحة، ولكن ماذا عن الأمر ping؟

وذلك من أي عقدة أخرى؟

والحقيقة هي أنه بعد كل القواعد في Cisco ACLs، فهي ضمنية رفض الملكية الفكرية أي(رفض ضمني). ماذا يعني هذا بالنسبة لنا؟ أي حزمة تترك الواجهة ولا تتطابق مع أي قاعدة في قائمة التحكم بالوصول (ACL) تخضع للرفض الضمني ويتم تجاهلها. وهذا هو، حتى ping، حتى FTP، أو أي شيء آخر لن يعمل هنا.

دعنا نذهب أبعد من ذلك: نحتاج إلى منح حق الوصول الكامل إلى الكمبيوتر الذي سيتم تنفيذ التحكم منه. سيكون هذا هو جهاز الكمبيوتر الخاص بالمسؤول لدينا بالعنوان 172.16.6.66 من الشبكة الأخرى.
تتم إضافة كل قاعدة جديدة تلقائيًا إلى نهاية القائمة إذا كانت موجودة بالفعل:

msk-arbat-gw1(التكوين)#
msk-arbat-gw1(config-ext-nacl)# السماح بمضيف TCP 172.16.6.66 مضيف 172.16.0.2 نطاق 20 بروتوكول نقل الملفات
msk-arbat-gw1(config-ext-nacl)# السماح بمضيف tcp 172.16.6.66 مضيف 172.16.0.2 مكافئ telnet

هذا كل شئ. نتحقق من العقدة المطلوبة (نظرًا لأن الخوادم في جمهورية تتارستان لا تدعم telnet، فإننا نتحقق من FTP):

أي أن رسالة FTP وصلت إلى جهاز التوجيه ويجب أن تترك الواجهة FE0/0.3. يتحقق جهاز التوجيه ويرى أن الحزمة تطابق القاعدة التي أضفناها ويمررها من خلالها.

ومن عقدة أجنبية

لا تتطابق حزمة FTP مع أي من القواعد باستثناء الرفض الضمني لـ ip أي ويتم تجاهلها.

ب) الوصول إلى خادم الملفات

هنا، أولاً وقبل كل شيء، نحتاج إلى تحديد من سيكون "المقيم" ومن يجب أن يُمنح حق الوصول. بالطبع، هؤلاء هم أولئك الذين لديهم عنوان من الشبكة 172.16.0.0/16 - سيتم منحهم فقط حق الوصول.
الآن مع المجلدات المشتركة. تستخدم معظم الأنظمة الحديثة بالفعل بروتوكول SMB لهذا الغرض، الأمر الذي يتطلب منفذ TCP 445. في الإصدارات الأقدم، تم استخدام NetBios، والذي تم تغذيته من خلال ما يصل إلى ثلاثة منافذ: UDP 137 و138 وTCP 139. بعد الاتفاق مع المشرف لدينا، نحن سيتم تكوين المنفذ 445 (تحقق حقًا في إطار جمهورية تتارستان، بالطبع، لن يعمل). ولكن إلى جانب ذلك، سنحتاج إلى منافذ FTP - 20، 21، وليس فقط للمضيفين الداخليين، ولكن أيضًا للاتصالات من الإنترنت:

msk-arbat-gw1(config)# قائمة وصول IP الموسعة للخوادم الخارجية
msk-arbat-gw1(config-ext-nacl)# تصريح tcp 172.16.0.0 0.0.255.255 المضيف 172.16.0.3 مكافئ 445
msk-arbat-gw1(config-ext-nacl)# تصريح tcp أيالمضيف 172.16.0.3 النطاق 20 21

هنا قمنا بإعادة تطبيق التصميم النطاق 20 21- من أجل تحديد عدة منافذ في سطر واحد. بالنسبة لـ FTP، بشكل عام، المنفذ 21 فقط لا يكفي. والحقيقة هي أنه إذا قمت بفتحه فقط، فسيتم التصريح لك، ولكن لن يتم نقل الملفات.

0.0.255.255 - قناع البدل. سنتحدث عن ماهية هذا بعد قليل.

ج) الوصول إلى خادم البريد

نستمر في اكتساب التدريب - الآن مع خادم البريد. ضمن نفس قائمة الوصول، نقوم بإضافة السجلات الجديدة التي نحتاجها.
بدلاً من أرقام المنافذ للبروتوكولات المستخدمة على نطاق واسع، يمكنك تحديد أسمائها:

msk-arbat-gw1(config)# قائمة وصول IP الموسعة للخوادم الخارجية
msk-arbat-gw1(config-ext-nacl)#السماح لـ tcp بأي مضيف 172.16.0.4 مكافئ pop3
msk-arbat-gw1(config-ext-nacl)#السماح لـ tcp بأي مضيف 172.16.0.4 مكافئ smtp

د) خادم DNS

msk-arbat-gw1(config)# قائمة وصول IP الموسعة للخوادم الخارجية
msk-arbat-gw1(config-ext-nacl)# تصريح udp 172.16.0.0 0.0.255.255 المضيف 172.16.0.5 مكافئ 53

ه) اللجنة الدولية لشؤون المفقودين

كل ما تبقى هو إصلاح حالة ping. لا حرج في إضافة القواعد إلى نهاية القائمة، ولكن بطريقة ما سيكون من الممتع أكثر من الناحية الجمالية رؤيتها في البداية.
نحن نستخدم الغش البسيط لهذا الغرض. للقيام بذلك، يمكنك استخدام محرر النصوص، على سبيل المثال. انسخ القطعة الخاصة بالـ ACL من show run هناك وأضف الأسطر التالية:
لا توجد قائمة وصول IP الموسعة خوادم الخروج
قائمة الوصول IP الموسعة خوادم الخروج
تسمح ICMP أي أي
ملاحظة ويب

ملف الملاحظة

بريد الملاحظة

ملاحظة DNS

في السطر الأول، نقوم بحذف القائمة الموجودة، ثم نقوم بإنشائها مرة أخرى وندرج جميع القواعد الجديدة بالترتيب الذي نحتاجه. باستخدام الأمر الموجود في السطر الثالث، سمحنا بمرور جميع حزم ICMP من أي مضيف إلى أي مضيف.

بعد ذلك، نقوم ببساطة بنسخ كل شيء بشكل جماعي ولصقه في وحدة التحكم. تفسر الواجهة كل سطر كأمر منفصل وتنفذه. لذلك استبدلنا القائمة القديمة بقائمة جديدة.
نتحقق من وجود ping:

رائع.

يعد هذا "الغش" مفيدًا للتكوين الأولي أو إذا كنت تفهم بالضبط ما تفعله. على شبكة العمل، عندما تقوم بتكوين قوائم ACL عن بعد، فإنك تخاطر بالبقاء دون الوصول إلى الجهاز الذي تقوم بإعداده.

لإدراج قاعدة في البداية أو أي مكان آخر مرغوب، يمكنك اللجوء إلى هذه التقنية:
قائمة الوصول IP الموسعة خوادم الخروج
1 تصريح ICMP أي أي

يتم ترقيم كل قاعدة في القائمة بخطوة معينة، وإذا وضعت رقمًا قبل كلمة السماح/الرفض، فلن تتم إضافة القاعدة إلى النهاية، بل إلى المكان الذي تريده. للأسف هذه الميزة لا تعمل في RT.
إذا لزم الأمر فجأة (جميع الأرقام المتتالية بين القواعد مشغولة)، يمكنك دائمًا إعادة ترقيم القواعد (في هذا المثال، يتم تعيين رقم القاعدة الأولى إلى 10 (الرقم الأول) والزيادة هي 10):
تسلسل قائمة الوصول إلى IP خوادم الخروج 10 10

ونتيجة لذلك، ستبدو قائمة الوصول لشبكة الخادم كما يلي:
قائمة الوصول IP الموسعة خوادم الخروج
تسمح ICMP أي أي
ملاحظة ويب
السماح لـ TCP بأي مضيف 172.16.0.2 مكافئ www
السماح لمضيف TCP 172.16.6.66 المضيف 172.16.0.2 النطاق 20 بروتوكول نقل الملفات
السماح لمضيف TCP 172.16.6.66 المضيف 172.16.0.2 مكافئ التلنت
ملف الملاحظة
السماح لبرنامج التعاون الفني 172.16.0.0 0.0.255.255 المضيف 172.16.0.3 مكافئ 445
السماح لـ TCP بأي نطاق مضيف 172.16.0.3 20 21
بريد الملاحظة
السماح لـ TCP بأي مضيف 172.16.0.4 مكافئ pop3
السماح لـ TCP بأي مضيف 172.16.0.4 مكافئ SMTP
ملاحظة DNS
تصريح UDP 172.16.0.0 0.0.255.255 المضيف 172.16.0.5 مكافئ 53

حاليا المشرف لدينا لديه حق الوصول فقط إلى خادم الويب. منحه حق الوصول الكامل إلى الشبكة بأكملها. هذا هو الواجب المنزلي الأول.

و) حقوق المستخدمين من الشبكة الأخرى

حتى الآن كنا بحاجة لا تدعشخص ما في مكان ما، لذلك انتبهنا إلى عنوان الوجهة وأرفقنا قائمة وصول بحركة المرور الصادرة من الواجهة.

الآن نحن بحاجة لا تفرج: يجب ألا تتجاوز أي طلبات من أجهزة الكمبيوتر الموجودة على الشبكة الأخرى الحدود. حسنًا، بالطبع، باستثناء تلك التي نسمح بها على وجه التحديد.

msk-arbat-gw1(config)# قائمة الوصول إلى IP ممتدة أخرى

msk-arbat-gw1(config-ext-nacl)# السماح لمضيف IP 172.16.6.61 أي

هنا لا يمكننا أن ننكر الجميع أولاً ثم نسمح لقلة مختارة، لأن جميع الحزم بالتأكيد تندرج تحت القاعدة رفض الملكية الفكرية أيو يسمحلن تعمل على الإطلاق.
نحن نطبقه على الواجهة. هذه المرة عند المدخل:

msk-arbat-gw1(config)#int fa0/0.104
msk-arbat-gw1(config-subif)#ip access-group أخرى في

أي أنه يُسمح بإعادة توجيه جميع حزم IP من مضيف بعنوان 172.16.6.61 أو 172.16.6.66 إلى أي مكان وجهتها. لماذا نستخدم أيضًا قائمة وصول موسعة هنا؟ بعد كل شيء، يبدو أننا نتحقق فقط من عنوان المرسل. لأننا منحنا المشرف حق الوصول الكامل، لكن ضيف شركة "Lift mi Up"، على سبيل المثال، الذي يدخل إلى نفس الشبكة، ليس لديه أي حق على الإطلاق في الوصول إلى أي شيء باستثناء الإنترنت.

ز) شبكة التحكم

لا شيء معقد. ستبدو القاعدة كالتالي:

msk-arbat-gw1(config)# قائمة وصول IP الموسعة للإدارة
msk-arbat-gw1(config-ext-nacl)# ملاحظة IAM
msk-arbat-gw1(config-ext-nacl)# تصريح مضيف IP 172.16.6.61 172.16.1.0 0.0.0.255
msk-arbat-gw1(config-ext-nacl)# ملاحظة ADMIN
msk-arbat-gw1(config-ext-nacl)# تصريح مضيف IP 172.16.6.66 172.16.1.0 0.0.0.255

نطبق قائمة التحكم بالوصول (ACL) هذه على الواجهة FE 0/0.2:

msk-arbat-gw1(config)# int fa0/0.2
msk-arbat-gw1(config-subif)#ip Access-group Management-out

ز) لا مزيد من القيود

مستعد

قناع وقناع عكسي

حتى الآن، وبدون تفسير، قدمنا معلمة غريبة مثل 0.0.255.255، والتي تشبه قناع الشبكة الفرعية بشكل مثير للريبة.
من الصعب بعض الشيء أن نفهم، ولكن هذا هو ما يتم استخدام القناع العكسي لتحديد المضيفين الذين سيخضعون للقاعدة.
لفهم ما هو القناع العكسي، يجب أن تعرف ما هو القناع العادي.

لنبدأ بأبسط مثال.

شبكة عادية تحتوي على 256 عنوان: 172.16.5.0/24 مثلاً. ماذا يعني هذا الإدخال؟
وهذا يعني بالضبط ما يلي

عنوان IP. العشري	172	16	5	0
عنوان IP. التدوين الثنائي	10101100	00010000	00000101	00000000
	11111111	11111111	11111111	00000000
	255	255	255	0

عنوان IP هو معلمة 32 بت مقسمة إلى 4 أجزاء، والتي اعتدت على رؤيتها في شكل عشري.
يبلغ طول قناع الشبكة الفرعية أيضًا 32 بت - وهو في الواقع قالب، وهو استنسل يحدد عنوان الشبكة الفرعية للعنوان. في حالة وجود قيم في القناع، لا يمكن تغيير القيمة، أي أن الجزء 172.16.5 لم يتغير تمامًا وسيكون هو نفسه بالنسبة لجميع المضيفين على هذه الشبكة الفرعية، لكن الجزء الذي توجد به أصفار يختلف.
أي أنه في مثالنا، 172.16.5.0/24 هو عنوان الشبكة، وسيكون المضيفون 172.16.5.1-172.16.5.254 (يتم بث آخر 255)، لأن 00000001 هو 1، و11111110 هو 254 (نحن نتحدث حول الثماني الأخيرة من العنوان ). /24 يعني أن طول القناع هو 24 بت، أي أن لدينا 24 بت - الجزء غير المتغير و8 أصفار.
حالة أخرى هي عندما يكون قناعنا، على سبيل المثال، 30 بت، وليس 24.
على سبيل المثال 172.16.2.4/30. دعنا نكتبها هكذا:

عنوان IP. العشري	172	16	2	4
عنوان IP. التدوين الثنائي	10101100	00010000	00000010	00000100
قناع الشبكة الفرعية. التدوين الثنائي	11111111	11111111	11111111	11111100
قناع الشبكة الفرعية. العشري	255	255	255	252

كما ترون، يمكن فقط تغيير البتين الأخيرين لهذه الشبكة الفرعية. يمكن أن تأخذ الثماني الأخيرة القيم الأربع التالية:
00000100 - عنوان الشبكة الفرعية (4 بالأرقام العشرية)
00000101 - عنوان العقدة (5)
00000110 - عنوان العقدة (6)
00000111 - البث (7)
كل شيء أبعد من هذا هو شبكة فرعية مختلفة

وهذا يعني أنه يجب أن يكون واضحًا لك الآن أن قناع الشبكة الفرعية عبارة عن سلسلة من 32 بت، حيث يوجد في البداية وحدات بت، أي عنوان الشبكة الفرعية، ثم هناك أصفار، أي عنوان المضيف. في هذه الحالة، لا يمكن أن تتناوب الأصفار والواحدات الموجودة في القناع. أي أن القناع هو 11111111.11100000.11110111.00000000 مستحيل

ما هو القناع العكسي (حرف البدل)؟
بالنسبة للغالبية العظمى من المسؤولين وبعض المهندسين، هذا ليس أكثر من مجرد انقلاب للقناع المعتاد. وهذا يعني أن الأصفار تحدد أولاً عنوان الجزء الذي يجب أن يتطابق بالضرورة، وعلى العكس من ذلك، تحدد الجزء الحر.
أي أنه في المثال الأول الذي تناولناه، إذا كنت تريد تصفية جميع المضيفين من الشبكة الفرعية 172.16.5.0/24، فسوف تقوم بتعيين قاعدة في ورقة الوصول:
…. 172.16.5.0 0.0.0.255
لأن القناع العكسي سيبدو هكذا:

00000000.00000000.00000000.11111111

في المثال الثاني مع الشبكة 172.16.2.4/30، سيبدو القناع العكسي كما يلي: 30 صفرًا واثنين من الآحاد:

قناع عكسي. التدوين الثنائي	00000000	00000000	00000000	00000011
قناع عكسي. العشري	0	0	0	3

وبناءً على ذلك، ستبدو المعلمة في قائمة الوصول كما يلي:
…. 172.16.2.4 0.0.0.3
لاحقًا، عندما تأكل الكلب عند حساب الأقنعة والأقنعة العكسية، ستتذكر الأرقام الأكثر استخدامًا، وعدد المضيفين في قناع معين، وستفهم أنه في المواقف الموضحة، يتم الحصول على الثماني الأخيرة من القناع العكسي عن طريق طرح الثماني الأخيرة من القناع العادي من 255 (255-252 =3)، وما إلى ذلك. في غضون ذلك ، عليك أن تعمل بجد وتحسب)

ولكن في الواقع، يعد القناع العكسي أداة أكثر ثراءً قليلاً، حيث يمكنك هنا دمج العناوين داخل نفس الشبكة الفرعية أو حتى دمج الشبكات الفرعية، لكن الاختلاف الأكثر أهمية هو أنه يمكنك تبديل الأصفار والآحاد. يتيح لك هذا، على سبيل المثال، تصفية مضيف معين (أو مجموعة) عبر شبكات فرعية متعددة بسطر واحد.

مثال 1

منح:الشبكة 172.16.16.0/24
ضروري:تصفية العناوين الـ 64 الأولى (172.16.16.0-172.16.16.63)
حل: 172.16.16.0 0.0.0.63

مثال 2

منح:الشبكات 172.16.16.0/24 و 172.16.17.0/24
ضروري:عناوين التصفية من كلا الشبكتين
حل: 172.16.16.0 0.0.1.255

مثال 3

منح:الشبكات 172.16.0.0-172.16.255.0
ضروري:تصفية المضيف بالعنوان 4 من جميع الشبكات الفرعية
حل: 172.16.16.0 0.0.255.4

عملية ACL في الصور

الشبكة الافتراضية:

1) على جهاز التوجيه RT1 على الواجهة FE0/1، يُسمح بإدخال كل شيء باستثناء ICMP.

2) على جهاز التوجيه RT2 على الواجهة FE0/1، يُحظر الخروج من SSH وTELNET

الاختبارات
قابلة للنقر
1) اختبار الاتصال من PC1 إلى Server1

2) TELNET من PC1 إلى Server1

3) SSH من PC1 إلى Server2

4) اختبار الاتصال من Server2 إلى PC1

الإضافات

1) لن تقوم القواعد التي تنطبق على حركة المرور الصادرة (الخارجة) بتصفية حركة مرور الجهاز نفسه. وهذا يعني أنه إذا كنت بحاجة إلى رفض الوصول إلى Cisco نفسها في مكان ما، فسيتعين عليك تصفية حركة المرور الواردة على هذه الواجهة (حركة الاستجابة من حيث تحتاج إلى رفض الوصول).

2) عليك أن تكون حذرًا مع قوائم ACL. قد يؤدي خطأ بسيط في إحدى القواعد، أو ترتيب تكوين غير صحيح، أو قائمة غير مدروسة بشكل عام إلى تركك دون الوصول إلى الجهاز.
على سبيل المثال، تريد حظر الوصول إلى أي مكان للشبكة 172.16.6.0/24، باستثناء عنوانك 172.16.6.61 وتعيين القواعد مثل هذا:

رفض IP 172.16.6.0 0.0.0.255 أي
السماح بمضيف IP 172.16.6.61 أي

بمجرد تطبيق قائمة التحكم بالوصول (ACL) على الواجهة، ستفقد الوصول إلى جهاز التوجيه على الفور، لأنك تندرج تحت القاعدة الأولى ولم يتم التحقق من الثانية.
الموقف الثاني غير السار الذي يمكن أن يحدث لك: حركة المرور التي لا ينبغي أن تكون تحت قائمة التحكم بالوصول (ACL).
تخيل هذا الموقف: لدينا خادم FTP في الوضع السلبي في غرفة الخادم. للوصول إليه قمت بفتح المنفذ رقم 21 في قائمة التحكم بالوصول (ACL). خروج الخوادم. بعد إنشاء الاتصال الأولي، يقوم خادم FTP بإعلام العميل بالمنفذ الذي يكون جاهزًا لنقل/استقبال الملفات عليه، على سبيل المثال، 1523. يحاول العميل إنشاء اتصال TCP على هذا المنفذ، لكنه يصادف خروج خوادم ACL، حيث لا يوجد مثل هذا الإذن - وهكذا تنتهي قصة النقل الناجح. في مثالنا أعلاه، حيث قمنا بإعداد الوصول إلى خادم الملفات، فتحنا الوصول فقط في اليومين العشرين والحادي والعشرين، لأن هذا يكفي للمثال. في الحياة الحقيقية سوف تضطر إلى العبث. بعض الأمثلة على تكوينات ACL للحالات الشائعة.

3) هناك مشكلة مشابهة ومثيرة للاهتمام تتبع النقطة 2.
هل تريد، على سبيل المثال، وضع قوائم ACL التالية على واجهة الإنترنت:

تصريح خروج قائمة الوصول لمضيف TCP 1.1.1.1 المضيف 2.2.2.2 مكافئ 80
قائمة الوصول في تصريح مضيف TCP 2.2.2.2 أي مكافئ 80

يبدو: يُسمح للمضيف ذو العنوان 1.1.1.1 بالوصول عبر المنفذ 80 إلى الخادم 2.2.2.2 (القاعدة الأولى). وبالعودة من الخادم 2.2.2.2، يُسمح بالاتصالات الداخلية.
لكن الفارق الدقيق هنا هو أن الكمبيوتر 1.1.1.1 ينشئ اتصالاً بالمنفذ 80، ولكن من منفذ آخر، على سبيل المثال، 1054، أي أن حزمة الاستجابة من الخادم تصل إلى المقبس 1.1.1.1:1054، لا تندرج تحت القاعدة الموجودة في قائمة التحكم بالوصول (ACL) موجودة في IN ويتم تجاهلها بسبب الرفض الضمني لـ IP Any Any.
لتجنب هذا الموقف، وعدم فتح مجموعة المنافذ بأكملها، يمكنك اللجوء إلى هذه الخدعة في قائمة التحكم بالوصول (ACL) الموجودة في:

السماح لمضيف TCP 2.2.2.2 بأي شكل من الأشكال.

تفاصيل هذا الحل تجدونها في أحد المقالات التالية.

4) التحدث عن العالم الحديث، من المستحيل تجاهل أداة مثل مجموعات الكائنات (مجموعة الكائنات).

لنفترض أنك بحاجة إلى إنشاء قائمة التحكم بالوصول (ACL) التي تطلق ثلاثة عناوين محددة على الإنترنت على ثلاثة منافذ متطابقة مع احتمال زيادة عدد العناوين والمنافذ. كيف يبدو دون معرفة مجموعات الكائنات:

قائمة الوصول IP الموسعة إلى الإنترنت
السماح لمضيف TCP 172.16.6.66 أي مكافئ 80
السماح لمضيف TCP 172.16.6.66 أي مكافئ 8080
السماح لمضيف TCP 172.16.6.66 أي مكافئ 443
السماح لمضيف TCP 172.16.6.67 أي مكافئ 80
السماح لمضيف TCP 172.16.6.67 أي مكافئ 8080
السماح لمضيف TCP 172.16.6.67 أي مكافئ 443
السماح لمضيف TCP 172.16.6.68 أي مكافئ 80
اسمح لمضيف TCP 172.16.6.68 أي مكافئ 8080
السماح لمضيف TCP 172.16.6.68 أي مكافئ 443

مع زيادة عدد المعلمات، يصبح الحفاظ على قائمة ACL هذه أكثر صعوبة، ومن السهل ارتكاب الأخطاء عند التكوين.
لكن إذا انتقلنا إلى مجموعات الكائنات، فإنها تأخذ الشكل التالي:

خدمة مجموعة الكائنات INET-PORTS
وصف المنافذ المسموح بها لبعض المضيفين
برنامج التعاون الفني مكافئ شبكة الاتصالات العالمية
تي سي بي مكافئ 8080
برنامج التعاون الفني مكافئ 443
شبكة مجموعة الكائنات HOSTS-TO-INET
الوصف يسمح للمضيفين بتصفح الشبكة
المضيف 172.16.6.66
المضيف 172.16.6.67
المضيف 172.16.6.68
قائمة الوصول IP الموسعة INET-OUT
السماح لمجموعة الكائنات INET-PORTS لمجموعة الكائنات HOSTS-TO-INET بأي

للوهلة الأولى، يبدو الأمر مهددًا بعض الشيء، ولكن إذا نظرت إليه، فهو مريح للغاية.

4) يمكن الحصول على معلومات مفيدة جدًا لاستكشاف الأخطاء وإصلاحها من إخراج الأمر إظهار قوائم الوصول إلى IP٪ اسم ACL٪. بالإضافة إلى القائمة الفعلية للقواعد الخاصة بقائمة التحكم بالوصول (ACL) المحددة، يعرض هذا الأمر عدد التطابقات لكل قاعدة.

msk-arbat-gw1#sh قوائم الوصول إلى IP nat-inet
قائمة الوصول إلى IP الموسعة nat-inet

(4 مباريات (مباريات))

وبالإضافة في نهاية أي قاعدة سجل، سنكون قادرين على تلقي رسائل حول كل مباراة في وحدة التحكم. (الأخير لا يعمل في PT)

نات

لقد أصبحت ترجمة عنوان الشبكة آلية ضرورية للغاية في الاقتصاد منذ عام 1994. يتم كسر العديد من الجلسات حول هذا الموضوع ويتم فقدان الحزم.
غالبًا ما تكون هناك حاجة لتوصيل شبكتك المحلية بالإنترنت. الحقيقة هي أنه من الناحية النظرية هناك 255*255*255*255=4,228,250,625 4 مليار عنوان. حتى لو كان لدى كل ساكن على هذا الكوكب جهاز كمبيوتر واحد فقط، فلن يكون هناك ما يكفي من العناوين. ولكن هنا المكواة لا تتصل بالإنترنت. لقد أدرك الأشخاص الأذكياء ذلك في أوائل التسعينيات، وكحل مؤقت، اقترحوا تقسيم مساحة العنوان إلى عامة (بيضاء) وخاصة (خاصة ورمادية).
يتضمن الأخير ثلاثة نطاقات:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

يمكنك استخدامها مجانًا على شبكتك الخاصة، لذا سيتم تكرارها بالطبع. ماذا عن التفرد؟ من سيستجيب خادم الويب عندما يتلقى طلبًا بعنوان المرسل 192.168.1.1؟ روستيليكوم؟ شركة تاتنفت؟ أو داخلي طويل؟ على شبكة الإنترنت الكبيرة، لا أحد يعرف أي شيء عن الشبكات الخاصة - لا يتم توجيهها.
هذا هو المكان الذي يلعب فيه NAT. بشكل عام، هذا خداع، إعداد. على جهاز المسح، يتم استبدال عنوانك الخاص، تقريبًا، ببساطة بعنوان أبيض، والذي سيظهر بشكل أكبر في الحزمة أثناء انتقالها إلى خادم الويب. لكن يتم توجيه العناوين البيضاء بشكل جيد للغاية، ومن المؤكد أن الحزمة ستعود مرة أخرى إلى جهاز المسح.
ولكن كيف سيفهم بدوره ما يجب فعله به بعد ذلك؟ دعونا معرفة ذلك.

أنواع NAT

ثابتة

في هذه الحالة، يتم تحويل عنوان داخلي واحد إلى عنوان خارجي واحد. وفي الوقت نفسه، سيتم ترجمة جميع الطلبات الواردة إلى العنوان الخارجي إلى العنوان الداخلي. كما لو أن هذا المضيف هو مالك عنوان IP الأبيض هذا.

تم تكوينه باستخدام الأمر التالي:

جهاز التوجيه (التكوين) # ip nat داخل المصدر الثابت 172.16.6.5 198.51.100.2

ماذا يحدث:
1) تصل العقدة 172.16.6.5 إلى خادم الويب. يرسل حزمة IP حيث يكون عنوان الوجهة 192.0.2.2 وعنوان المرسل هو 172.16.6.5.

2) يتم تسليم الحزمة عبر شبكة الشركة إلى البوابة 172.16.6.1، حيث تم تكوين NAT

3) وفقًا للأمر الذي تم تكوينه، يقوم جهاز التوجيه بإزالة رأس IP الحالي وتغييره إلى رأس جديد، حيث يظهر العنوان الأبيض 198.51.100.2 بالفعل كعنوان المرسل.

4) عبر الإنترنت، تصل الحزمة المحدثة إلى الخادم 192.0.2.2.

5) يرى أنه يجب إرسال الرد إلى 198.51.100.2 ويقوم بإعداد حزمة IP للاستجابة. كعنوان المرسل، عنوان الخادم نفسه هو 192.0.2.2، عنوان الوجهة هو 198.51.100.2

6) تعود الحزمة عبر الإنترنت، وليس بالضرورة عبر نفس المسار.

7) يشير جهاز المسح إلى أنه يجب إعادة توجيه جميع الطلبات إلى العنوان 198.51.100.2 إلى 172.16.6.5. يقوم جهاز التوجيه مرة أخرى بتجريد مقطع TCP المخفي بالداخل ويقوم بتعيين رأس IP جديد (لا يتغير عنوان المصدر، وعنوان الوجهة هو 172.16.6.5).

8) يتم إرجاع الحزمة عبر الشبكة الداخلية إلى البادئ الذي لا يعرف حتى ما هي المعجزات التي حدثت له على الحدود.
وهكذا سيكون الأمر مع الجميع.
علاوة على ذلك، إذا تم بدء الاتصال من الإنترنت، فإن الحزم تمر تلقائيًا عبر جهاز المسح، وتصل إلى المضيف الداخلي.

يعد هذا الأسلوب مفيدًا عندما يكون لديك خادم داخل شبكتك يحتاج إلى الوصول الكامل من الخارج. بالطبع، لا يمكنك استخدام هذا الخيار إذا كنت تريد كشف ثلاثمائة مضيف للإنترنت من خلال عنوان واحد. لن يساعد خيار NAT هذا بأي شكل من الأشكال في الحفاظ على عناوين IP البيضاء، ولكنه مع ذلك يمكن أن يكون مفيدًا.

متحرك

لديك مجموعة من العناوين البيضاء، على سبيل المثال، خصص لك مزود الخدمة شبكة 198.51.100.0/28 تحتوي على 16 عنوانًا. اثنان منهم (الأول والأخير) هما عنوان الشبكة وعنوان البث، ويتم تعيين عنوانين آخرين للجهاز لتوفير التوجيه. يمكنك استخدام العناوين الـ 12 المتبقية لـ NAT وتحرير المستخدمين من خلالها.
الوضع مشابه لـ NAT الثابت - تتم ترجمة عنوان خاص واحد إلى عنوان خارجي واحد - ولكن الآن لم يتم إصلاح العنوان الخارجي بشكل واضح، ولكن سيتم تحديده ديناميكيًا من نطاق معين.
تم تكوينه على النحو التالي:

جهاز التوجيه (التكوين)# تجمع IP nat lol_pool 198.51.100.3 198.51.103.14

تم تحديد مجموعة (نطاق) من العناوين العامة التي سيتم من خلالها تحديد العنوان الذي سيتم تحديده

جهاز التوجيه (التكوين) # قائمة الوصول 100 تصريح IP 172.16.6.0 0.0.0.255 أي

قمنا بتعيين قائمة وصول تسمح لجميع الحزم بعنوان المصدر 172.16.6.x، حيث Xيختلف 0-255.

جهاز التوجيه (التكوين) #ip nat داخل قائمة المصدر 100 تجمع lol_pool

باستخدام هذا الأمر نقوم بتوصيل قائمة التحكم بالوصول (ACL) التي تم إنشاؤها والمجمع.

هذا الخيار أيضًا ليس عالميًا؛ فلن تتمكن أيضًا من إطلاق سراح جميع مستخدميك البالغ عددهم 300 على الإنترنت إذا لم يكن لديك 300 عنوان خارجي. بمجرد استنفاد العناوين البيضاء، لن يتمكن أي شخص جديد من الوصول إلى الإنترنت. في الوقت نفسه، سيعمل هؤلاء المستخدمون الذين تمكنوا بالفعل من الحصول على عنوان خارجي لأنفسهم. سيساعدك الفريق على إسقاط جميع عمليات البث الحالية وتحرير العناوين الخارجية ترجمة واضحة IP نات *
بالإضافة إلى التخصيص الديناميكي للعناوين الخارجية، يختلف NAT الديناميكي عن NAT الثابت في أنه بدون تكوين منفصل لإعادة توجيه المنفذ، لن يعد الاتصال الخارجي بأحد عناوين التجمع ممكنًا.

كثير إلى واحد

النوع التالي له عدة أسماء: NAT Overload، Port Address Translation (PAT)، IP Masquerading، Many-to-One NAT.
الاسم الأخير يتحدث عن نفسه - من خلال عنوان خارجي واحد يخرج العديد من العناوين الخاصة إلى العالم. يتيح لك هذا حل مشكلة عدم وجود عناوين خارجية وإطلاق سراح الجميع في العالم.
وهنا ينبغي لنا أن نقدم شرحا لكيفية عمل ذلك. يمكنك أن تتخيل كيف تتم ترجمة عنوانين خاصين إلى عنوان واحد، ولكن كيف يفهم جهاز التوجيه من يحتاج إلى إعادة توجيه الحزمة التي تم إرجاعها من الإنترنت إلى هذا العنوان؟
كل شيء بسيط للغاية:
لنفترض أن الحزم تصل من مضيفين على الشبكة الداخلية إلى جهاز المسح. كلاهما مع طلب إلى خادم الويب 192.0.2.2.
تبدو البيانات من المضيفين كما يلي:

يكشف جهاز التوجيه عن حزمة IP من المضيف الأول، ويستخرج منها مقطع TCP، ويطبعها ويكتشف المنفذ الذي يتم إنشاء الاتصال منه. وله عنوان خارجي 198.51.100.2، والذي سيتغير إليه العنوان من الشبكة الداخلية.
بعد ذلك، يقوم باختيار منفذ مجاني، على سبيل المثال، 11874. وماذا يفعل بعد ذلك؟ يقوم بحزم جميع البيانات على مستوى التطبيق في مقطع TCP جديد، حيث يظل منفذ الوجهة 80 (هذا هو المكان الذي ينتظر فيه خادم الويب الاتصالات)، ويتغير منفذ المرسل من 23761 إلى 11874. يتم تغليف مقطع TCP هذا في عنوان IP جديد حزمة يتغير فيها عنوان IP الخاص بالمرسل من 172.16.6.5 إلى 198.51.100.2.
يحدث نفس الشيء مع الحزمة من المضيف الثاني، ويتم تحديد المنفذ المجاني التالي فقط، على سبيل المثال 11875. ويعني "مجاني" أنه غير مشغول بالفعل باتصالات أخرى مماثلة.
ستبدو البيانات التي يتم إرسالها إلى الإنترنت الآن بهذا الشكل.

يقوم بإدخال بيانات المرسلين والمستلمين في جدول NAT الخاص به

بالنسبة لخادم الويب، هناك طلبان مختلفان تمامًا، ويجب معالجة كل منهما على حدة. وبعد ذلك يرسل ردًا يبدو كالتالي:

عندما تصل إحدى هذه الحزم إلى جهاز التوجيه الخاص بنا، فإنها تطابق البيانات الموجودة في هذه الحزمة مع إدخالاتها في جدول NAT. إذا تم العثور على تطابق، فسيتم تنفيذ الإجراء العكسي - تتم إرجاع الحزمة وقطعة TCP إلى معلماتها الأصلية كوجهة فقط:

والآن يتم تسليم الحزم عبر الشبكة الداخلية إلى أجهزة الكمبيوتر البادئة، والتي لا تدرك حتى أنه في مكان ما تم التعامل مع بياناتها بقسوة شديدة على الحدود.

كل مكالمة تجريها هي اتصال منفصل. أي أنك حاولت فتح صفحة ويب - هذا هو بروتوكول HTTP باستخدام المنفذ 80. للقيام بذلك، يجب على جهاز الكمبيوتر الخاص بك إنشاء جلسة TCP مع خادم بعيد. يتم تعريف مثل هذه الجلسة (TCP أو UDP) بواسطة مآخذين: عنوان IP المحلي: المنفذ المحلي وعنوان IP البعيد: المنفذ البعيد. في الوضع الطبيعي، يكون لديك اتصال واحد بين كمبيوتر وخادم، ولكن في حالة NAT سيكون هناك اتصالان: خادم جهاز التوجيه والكمبيوتر يعتقد أن لديه جلسة خادم كمبيوتر.

يختلف الإعداد قليلاً: مع التحميل الزائد للكلمات الإضافية:

جهاز التوجيه (التكوين) # قائمة الوصول 101 تصريح 172.16.4.0 0.0.0.255
جهاز التوجيه (التكوين) #ip nat داخل قائمة المصدر 101 واجهة fa0/1 الزائد

في هذه الحالة، بالطبع، يظل من الممكن تكوين تجمع العناوين:

جهاز التوجيه (التكوين)# تجمع IP nat lol_pool 198.51.100.2 198.51.103.14
جهاز التوجيه (التكوين) # قائمة الوصول 100 تصريح 172.16.6.0 0.0.0.255
جهاز التوجيه (التكوين) #ip nat داخل قائمة المصدر 100 تجمع lol_pool الزائد

ميناء الشحن

وإلا فإنهم يقولون أيضًا إعادة توجيه المنفذ أو تعيينه.
عندما بدأنا الحديث عن NAT لأول مرة، كان لدينا بث مباشر وتمت إعادة توجيه جميع الطلبات الواردة من الخارج تلقائيًا إلى المضيف الداخلي. بهذه الطريقة سيكون من الممكن تعريض الخادم إلى الإنترنت.
ولكن إذا لم تكن لديك مثل هذه الفرصة - فأنت مقيد بالعناوين البيضاء، أو لا ترغب في كشف مجموعة المنافذ بأكملها للخارج، فماذا يجب أن تفعل؟
يمكنك تحديد أن جميع الطلبات الواردة إلى عنوان أبيض محدد ومنفذ جهاز توجيه محدد يجب إعادة توجيهها إلى المنفذ المطلوب للعنوان الداخلي المطلوب.

جهاز التوجيه (التكوين)#ip nat داخل المصدر الثابت tcp 172.16.0.2 80 198.51.100.2 80 قابل للتمديد

يعني استخدام هذا الأمر أنه سيتم إعادة توجيه طلب TCP القادم من الإنترنت إلى العنوان 198.51.100.2 على المنفذ 80 إلى العنوان الداخلي 172.16.0.2 على نفس المنفذ 80. بالطبع، يمكنك أيضًا إعادة توجيه UDP وإعادة التوجيه من منفذ إلى آخر. قد يكون هذا، على سبيل المثال، مفيدًا إذا كان لديك جهازي كمبيوتر يحتاجان إلى الوصول عبر RDP من الخارج. يستخدم RDP المنفذ 3389. لا يمكنك إعادة توجيه نفس المنفذ إلى مضيفين مختلفين (عند استخدام نفس العنوان الخارجي). لذلك يمكنك القيام بذلك:

جهاز التوجيه (التكوين) # ip nat داخل المصدر الثابت tcp 172.16.6.61 3389 198.51.100.2 3389
جهاز التوجيه (التكوين) # ip nat داخل المصدر الثابت tcp 172.16.6.66 3389 198.51.100.2 3398

بعد ذلك، للوصول إلى الكمبيوتر 172.16.6.61، يمكنك تشغيل جلسة RDP على المنفذ 198.51.100.2:3389، وعلى 172.16.6.66 - 198.51.100.2:3398. سيقوم جهاز التوجيه نفسه بتوزيع كل شيء عند الحاجة.

بالمناسبة، هذا الأمر هو حالة خاصة للأمر الأول: ip nat داخل المصدر الثابت 172.16.6.66 198.51.100.2. فقط في هذه الحالة نحن نتحدث عن إعادة توجيه كل حركة المرور، وفي الأمثلة لدينا - منافذ بروتوكول TCP محددة.

هذه هي الطريقة التي يعمل بها NAT بشكل عام. تمت كتابة الكثير من المقالات حول مميزاته وإيجابياته/سلبياته، لكن لا يمكن تجاهلها.

نقاط الضعف والقوة في NAT

+

- أولاًيسمح لك NAT بحفظ عناوين IP العامة. هذا هو بالضبط ما تم إنشاؤه من أجله. من خلال عنوان واحد، من الممكن نظريًا إصدار أكثر من 65000 عنوان رمادي (استنادًا إلى عدد المنافذ).
- ثانيًايعد PAT وNAT الديناميكي جدار حماية إلى حد ما، مما يمنع الاتصالات الخارجية من الوصول إلى أجهزة الكمبيوتر النهائية التي قد لا تحتوي على جدار حماية خاص بها ومضاد فيروسات. والحقيقة هي أنه إذا جاءت الحزمة من الخارج إلى جهاز الفرك، وهو أمر غير متوقع هنا أو غير مسموح به، فسيتم التخلص منه ببساطة.
للسماح بمرور الحزمة ومعالجتها، يجب استيفاء الشروط التالية:
1) يجب أن يكون هناك إدخال في جدول NAT لهذا العنوان الخارجي المحدد كعنوان المصدر في الحزمة
و
2) يجب أن يتطابق المنفذ المصدر في الحزمة مع المنفذ الخاص بهذا العنوان الأبيض الموجود في الإدخال
و
3) يتطابق منفذ الوجهة في الحزمة مع المنفذ الموجود في الإدخال.
أو
تم تكوين إعادة توجيه المنفذ.
لكنك لا تحتاج إلى اعتبار NAT بمثابة جدار حماية تمامًا - فهي ليست أكثر من مجرد مكافأة إضافية.

- ثالث، يخفي NAT البنية الداخلية لشبكتك عن أعين المتطفلين - عند تتبع مسار من الخارج، لن ترى أي شيء يتجاوز جهاز natating.

-

NAT له أيضًا عيوب. ولعل أهمها ما يلي:
- لا يمكن لبعض البروتوكولات العمل من خلال NAT بدون عكازات. على سبيل المثال، بروتوكول FTP أو بروتوكولات الأنفاق (على الرغم من مدى سهولة إعداد FTP في المختبر، إلا أن هذا يمكن أن يخلق الكثير من المشكلات في الحياة الواقعية)
- مشكلة أخرى تكمن في وجود طلبات كثيرة من عنوان واحد إلى خادم واحد. لقد شهد الكثيرون هذا، عندما تذهب إلى بعض Rapidshare، وتقول أن هناك بالفعل اتصال من IP الخاص بك، تعتقد أنك "تكذب، أيها الكلب"، وأن جارك هو الذي يمتص بالفعل. لنفس السبب، كانت هناك مشاكل مع ICQ عندما رفضت الخوادم التسجيل.
- مشكلة ليست ملحة للغاية الآن: الحمل على المعالج وذاكرة الوصول العشوائي. نظرًا لأن حجم العمل كبير جدًا مقارنة بالتوجيه البسيط (لا تحتاج فقط إلى إلقاء نظرة على رأس IP، بل تحتاج إلى إزالته وإزالة رأس TCP وإدخاله في الجدول وإضافة رؤوس جديدة) في المكاتب الصغيرة هناك مشاكل مع هذا.
لقد واجهت هذا الوضع.
أحد الحلول الممكنة هو نقل وظيفة NAT إلى كمبيوتر منفصل أو إلى جهاز متخصص، مثل Cisco ASA.
بالنسبة للاعبين الكبار الذين تعمل أجهزة التوجيه الخاصة بهم بعرض كامل 3-4 BGP، فهذه ليست مشكلة الآن.

ماذا تحتاج إلى معرفته؟
- يُستخدم NAT بشكل أساسي لتوفير الوصول إلى الإنترنت للمضيفين ذوي العناوين الخاصة. ولكن هناك تطبيق آخر - الاتصال بين شبكتين خاصتين بمساحات عناوين متقاطعة.
على سبيل المثال، تشتري شركتك فرعًا في أكتوبي. عنوانك هو 10.0.0.0-10.1.255.255، وعنوانهم هو 10.1.1.0-10.1.10.255. من الواضح أن النطاقات تتداخل؛ لا توجد طريقة لتكوين التوجيه، لأن نفس العنوان قد يكون في أكتوبي وفي مقرك الرئيسي.
في هذه الحالة، يتم تكوين NAT عند التقاطع. نظرًا لعدم وجود عناوين رمادية كافية لدينا، يمكننا على سبيل المثال تحديد النطاق 10.2.1.0-10.2.10.255 وإجراء بث مباشر:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2
…
10.1.10.255-10.2.10.255

في الألعاب الكبيرة للبالغين، يمكن تنفيذ NAT على لوحة منفصلة (وغالبًا ما تكون كذلك) ولن تعمل بدونها. على الأجهزة المكتبية، على العكس من ذلك، يوجد دائمًا واحد تقريبًا.

مع التنفيذ الواسع النطاق لـ IPv6، ستختفي الحاجة إلى NAT. بالفعل، بدأ العملاء الكبار يهتمون بوظيفة NAT64 - وذلك عندما يكون لديك إمكانية الوصول إلى العالم عبر IPv4، وتكون الشبكة الداخلية موجودة بالفعل على IPv6

بالطبع، هذه مجرد نظرة سطحية على NAT ولا يزال هناك الكثير من الفروق الدقيقة التي سيساعدك التعليم الذاتي على عدم الغرق فيها.

ممارسة NAT

ماذا يتطلب منا الواقع؟
1) شبكة التحكم ليس لديها إمكانية الوصول إلى الإنترنت على الإطلاق
2) يتمتع المضيفون من شبكة التعليم والتدريب المهني بإمكانية الوصول فقط إلى المواقع المتخصصة، على سبيل المثال، Linkmeup.ru
3) تحتاج السيدات الجميلات من قسم المحاسبة إلى فتح نافذة على عالم البنوك العميلة.
4) لا يجوز إطلاق سراح FEO في أي مكان إلا للمدير المالي
5) على الشبكة الأخرى، جهاز الكمبيوتر الخاص بنا وجهاز الكمبيوتر الخاص بالمسؤول - سنمنحهم حق الوصول الكامل إلى الإنترنت. ويمكن لأي شخص آخر فتحه بناء على طلب كتابي.
6) دعونا لا ننسى الفروع في سانت بطرسبرغ وكيميروفو. ولتبسيط الأمر، فلنقم بتكوين الوصول الكامل للمستخدمين من هذه الشبكات الفرعية.
7) الخوادم مسألة مختلفة. سنقوم بتكوين إعادة توجيه المنفذ لهم. كل مانحتاجه:
أ) يجب أن يكون خادم الويب قابلاً للوصول عبر المنفذ 80
ب) خادم البريد يومي 25 و110
ج) يمكن الوصول إلى خادم الملفات من أي مكان في العالم عبر بروتوكول نقل الملفات.
8) يجب أن تكون أجهزة الكمبيوتر الخاصة بالمسؤول وأجهزة الكمبيوتر الخاصة بنا قابلة للوصول من الإنترنت عبر RDP. في الواقع، هذه طريقة خاطئة - بالنسبة للاتصال عن بعد، تحتاج إلى استخدام اتصال VPN، وعلى الشبكة المحلية بالفعل، استخدم RDP، ولكن هذا موضوع لمقالة منفصلة ومختلفة تمامًا.

أولاً، لنجهز موقع الاختبار:

سيتم تنظيم الاتصال بالإنترنت من خلال رابط موجود يقدمه المزود.
يذهب إلى شبكة المزود. نذكرك أن كل شيء في هذه السحابة عبارة عن شبكة مجردة، والتي يمكن أن تتكون في الواقع من عشرات أجهزة التوجيه ومئات المحولات. لكننا نحتاج إلى شيء يمكن التحكم فيه ويمكن التنبؤ به، لذلك قمنا أيضًا بتثبيت جهاز توجيه هنا. يوجد على أحد الجانبين رابط من المحول، وعلى الجانب الآخر يوجد خادم على الإنترنت.

سنحتاج إلى الخوادم التالية:
1. بنكان عميلان للمحاسبين (sperbank.ru، mmm-bank.ru)
2. Linkmeup.ru لطلاب التدريب المهني
3. ياندكس (yandex.ru)

لمثل هذا الاتصال، سنقوم برفع شبكة محلية ظاهرية أخرى على msk-arbat-gw1. رقمه طبعا متفق عليه مع المزود. فليكن VLAN 6
لنفترض أن المزود يقدم لنا الشبكة الفرعية 198.51.100.0/28. يتم استخدام العنوانين الأولين لتنظيم الارتباط (198.51.100.1 و198.51.100.2)، ونستخدم العناوين المتبقية كمجمع لـ NAT. ومع ذلك، لا أحد يمنعنا من استخدام العنوان 198.51.100.2 للمجمع. هيا بنا نقوم بذلك: حمام السباحة: 198.51.100.2-198.51.100.14
من أجل التبسيط، لنفترض أن خوادمنا العامة موجودة على نفس الشبكة الفرعية:
192.0.2.0/24 .
أنت تعرف بالفعل كيفية إعداد الرابط والعناوين.
وبما أنه لدينا جهاز توجيه واحد فقط في شبكة الموفر، وجميع الشبكات متصلة به مباشرة، فليست هناك حاجة لتكوين التوجيه.
لكن يجب أن يعرف msk-arbat-gw1 مكان إرسال الحزم إلى الإنترنت، لذلك نحتاج إلى مسار افتراضي:

msk-arbat-gw1(config)# مسار IP 0.0.0.0 0.0.0.0 198.51.100.1

الآن بالترتيب

أولاً، لنقم بإعداد تجمع العناوين

msk-arbat-gw1(config)# ip natpool main_pool 198.51.100.2 198.51.100.14 قناع الشبكة 255.255.255.240

الآن نقوم بجمع ACL:

msk-arbat-gw1(config)# قائمة الوصول إلى IP الموسعة nat-inet

1) شبكة التحكم

ليس لديه إمكانية الوصول إلى الإنترنت على الإطلاق
مستعد

2) المضيفين من شبكة التعليم والتدريب المهني

لديهم إمكانية الوصول فقط إلى المواقع المتخصصة، على سبيل المثال، Linkmeup.ru

msk-arbat-gw1(config-ext-nacl)# تصريح tcp 172.16.3.0 0.0.0.255 مضيف 192.0.2.2 مكافئ 80

3) المحاسبة

نحن نمنح حق الوصول إلى جميع المضيفين على كلا الخادمين

msk-arbat-gw1(config-ext-nacl)# تصريح IP 172.16.5.0 0.0.0.255 المضيف 192.0.2.3
msk-arbat-gw1(config-ext-nacl)# تصريح IP 172.16.5.0 0.0.0.255 المضيف 192.0.2.4

4) فيو

نحن نمنح الإذن للمدير المالي فقط - وهذا مضيف واحد فقط.

msk-arbat-gw1(config-ext-nacl)# السماح لمضيف IP 172.16.4.123 أي

5) أخرى

أجهزة الكمبيوتر لدينا مع الوصول الكامل

msk-arbat-gw1(config-ext-nacl)# السماح لمضيف IP 172.16.6.61 أي
msk-arbat-gw1(config-ext-nacl)# السماح لمضيف IP 172.16.6.66 أي

6) فروع في سان بطرسبرج وكيميروفو

اجعل عناوين Eniki هي نفسها: 172.16.x.222

msk-arbat-gw1(config-ext-nacl)# السماح بمضيف IP 172.16.16.222 أي
msk-arbat-gw1(config-ext-nacl)# السماح بمضيف IP 172.16.17.222 أي
msk-arbat-gw1(config-ext-nacl)# السماح بمضيف IP 172.16.24.222 أي

هذا ما تبدو عليه قائمة ACL بالكامل الآن:
قائمة الوصول إلى IP الموسعة Nat-inet
ملاحظة PTO
السماح لبرنامج التعاون الفني 172.16.3.0 0.0.0.255 المضيف 192.0.2.2 مكافئ شبكة الاتصالات العالمية
المحاسبة الملاحظة
تصريح الملكية الفكرية 172.16.5.0 0.0.0.255 المضيف 192.0.2.3
تصريح الملكية الفكرية 172.16.5.0 0.0.0.255 المضيف 192.0.2.4
ملاحظة FEO
السماح لمضيف IP 172.16.4.123 بأي
ملاحظة IAM
السماح بمضيف IP 172.16.6.61 أي
مشرف الملاحظة
اسمح لمضيف IP 172.16.6.66 بأي
ملاحظة SPB_VSL_ISLAND
السماح لمضيف IP 172.16.16.222 بأي
ملاحظة SPB_OZERKI
السماح لمضيف IP 172.16.17.222 بأي
ملاحظة KMR
السماح لمضيف IP 172.16.24.222 بأي

هيا نطلق:

msk-arbat-gw1(config)# ip nat داخل قائمة المصدر تجمع nat-inet main_pool الزائد

لكن السعادة لن تكتمل دون تخصيص الواجهات:
على الواجهة الخارجية تحتاج إلى إعطاء الأمر الملكية الفكرية نات خارج
في الداخل: الملكية الفكرية نات في الداخل

msk-arbat-gw1(config)# int fa0/0.101
msk-arbat-gw1(config)# int fa0/0.102
msk-arbat-gw1(config-subif)# ip nat بالداخل
msk-arbat-gw1(config)# int fa0/0.103
msk-arbat-gw1(config-subif)# ip nat بالداخل
msk-arbat-gw1(config)# int fa0/0.104
msk-arbat-gw1(config-subif)# ip nat بالداخل
Msk-arbat-gw1(config)# int fa0/1.6
msk-arbat-gw1(config-subif)# ip nat بالخارج

سيسمح هذا لجهاز التوجيه بفهم المكان المتوقع للحزم التي تحتاج إلى المعالجة ومكان إرسالها لاحقًا.

لكي يمكن الوصول إلى الخوادم الموجودة على الإنترنت عن طريق اسم النطاق، سيكون من الجيد أن نحصل على خادم DNS على شبكتنا:

وبطبيعة الحال، يجب أن يتم تسجيله على تلك الأجهزة التي سنتحقق من الوصول منها:

العرض يجب ان يستمر!

كل شيء متاح من كمبيوتر المسؤول:

من شبكة التعليم والتدريب المهني لا يمكن الوصول إلا إلى موقع linkmeup.ru عبر المنفذ 80 (HTTP):

في شبكة FEO، يخرج 4.123 فقط إلى العالم (finirector)

في قسم المحاسبة، تعمل مواقع بنك العميل فقط. ولكن بما أن الإذن مُنح بالكامل لبروتوكول IP، فيمكنك تنفيذ الأمر ping عليهم:

7) الخوادم

نحن هنا بحاجة إلى تكوين إعادة توجيه المنفذ بحيث يمكن الوصول إليها من الإنترنت:

أ) خادم الويب

msk-arbat-gw1(config)# ip nat داخل المصدر الثابت tcp 172.16.0.2 80 198.51.100.2 80

دعونا نتحقق على الفور، على سبيل المثال، يمكننا القيام بذلك من جهاز كمبيوتر اختباري بعنوان 192.0.2.7.
الآن لن يعمل أي شيء، لأنه بالنسبة لشبكة الخوادم ليس لدينا واجهة تم تكوينها لـ msk-arbat-gw1:

msk-arbat-gw1(config)# int fa0/0.3
msk-arbat-gw1(config-subif)# ip nat بالداخل

و الأن:

ب) خادم الملفات

msk-arbat-gw1(config)# ip nat داخل المصدر الثابت tcp 172.16.0.3 20 198.51.100.3 20
msk-arbat-gw1(config)# ip nat داخل المصدر الثابت tcp 172.16.0.3 21 198.51.100.3 21

ولهذا الغرض، في خوادم ACL-out، قمنا أيضًا بفتح المنافذ 20-21 للجميع

ج) خادم البريد

msk-arbat-gw1(config)# ip nat داخل المصدر الثابت tcp 172.16.0.4 25 198.51.100.4 25
msk-arbat-gw1(config)# ip nat داخل المصدر الثابت tcp 172.16.0.4 110 198.51.100.4 110

كما أنه ليس من الصعب التحقق منه. اتبع التعليمات:
أولاً قمنا بإعداد خادم البريد. نحدد المجال وننشئ مستخدمين.

إعداد جهاز كمبيوتر من شبكتنا:

من الخارج:

نحن نستعد الرسالة:

على المضيف المحلي، انقر فوق تلقي:

8) الوصول عبر RDP إلى أجهزة الكمبيوتر الخاصة بالمسؤول وأجهزة الكمبيوتر الخاصة بنا

msk-arbat-gw1(config)# ip nat داخل المصدر الثابت tcp 172.16.6.61 3389 198.51.100.10 3389
msk-arbat-gw1(config)# ip nat داخل المصدر الثابت tcp 172.16.6.66 3389 198.51.100.10 3398

أمان

ملاحظة أخيرة. على الأرجح، فإن جهاز الفرك الخاص بك يتطلع إلى الخارج بواجهة IP Nat الخارجية الخاصة به - إلى الإنترنت. لذلك، لن يضر تعليق قائمة التحكم بالوصول (ACL) على هذه الواجهة، حيث ترفض ما تحتاجه وتسمح به. لن نتناول هذه المسألة في هذا المقال.

في هذه المرحلة، يمكن اعتبار التعارف الأول مع تقنية NAT مكتملاً.
كما DZ آخر، أجب على السؤال لماذا لا يوجد إمكانية الوصول إلى الإنترنت من أجهزة كمبيوتر Eniki في سانت بطرسبرغ وكيميروفو. بعد كل شيء، لقد أضفناهم بالفعل إلى قائمة الوصول.

لم يعد خبرًا أنه لا توجد عناوين شبكة IP كافية لجميع الأجهزة التي تريد الاتصال بالإنترنت. حاليًا، تم العثور على طريقة للخروج من هذا الوضع من خلال تطوير بروتوكول IPv6، حيث يبلغ طول العنوان 128 بت، في حين أن IPv4 الحالي يبلغ 32 بت فقط. ولكن في أوائل العقد الأول من القرن الحادي والعشرين، وجدوا حلاً آخر - وهو استخدام ترجمة عنوان الشبكة، والمختصرة nat. لاحقًا في هذه المقالة، سنقوم بتكوين nat في جهاز التوجيه.

الدخول إلى قائمة إعدادات جهاز التوجيه

كمثال، لنأخذ جهاز التوجيه ZyXEL من سلسلة ZyWALL USG وNXC5200.

في البداية قم بالذهاب إلى إعدادات جهاز التوجيه. للقيام بذلك، في أي متصفح ويب، اكتب 192.168.1.1 في شريط العناوين. (عنوان جهاز التوجيه القياسي)، ستظهر نافذة تطلب منك إدخال معلومات تسجيل الدخول وكلمة المرور الخاصة بك.

في حقل "اسم المستخدم"، أدخل admin، وفي حقل "كلمة المرور"، أدخل 1234. انقر فوق "موافق".

إعداد nat في جهاز التوجيه

في نافذة القائمة التي تفتح، انتقل إلى علامة التبويب "التكوين" (أيقونة ذات ترسين)، ثم "الشبكة"، ثم "التوجيه". في النافذة المحددة، انتقل إلى علامة التبويب "توجيه السياسة".

قائمة إعدادات جهاز التوجيه ZyXEL

في هذه القائمة، يتم تكوين سياسة التوجيه. في منطقة "المعايير"، قمنا بإعداد معايير لاختيار حركة المرور - ما هي حركة المرور التي يجب بثها (في الواقع تكوين nat)، وأي حركة يجب توجيهها ببساطة. يمكن اختيار حركة المرور وفقًا لعدة معايير:

المستخدم (المستخدم)؛
عن طريق الواجهة (الواردة)؛
حسب عنوان IP المصدر؛
حسب عنوان IP الخاص بالمستلم (عنوان الوجهة)؛
عن طريق منفذ الوجهة (الخدمة).

في منطقة "Next-Hop"، نقوم بتعيين كائن لإعادة توجيه حركة المرور:

تحديد كائن إعادة توجيه جهاز التوجيه ZyXEL

حيث "تلقائي" - سيتم إعادة توجيه حركة المرور إلى الواجهة العالمية الافتراضية؛ البوابة – إلى العنوان المحدد في إعدادات البوابة؛ نفق VPN - نفق IPSec الافتراضي الخاص؛ الجذع - الطريق إلى "الجذع"، حيث "الجذع" عبارة عن عدة واجهات تم تكوينها للعمل معًا أو في وضع التكرار؛ الواجهة - إعادة التوجيه إلى الواجهة المحددة:

من المهم أن تتذكر أنه كلما قمت بإجراء تغييرات على إعدادات جهاز التوجيه، انقر فوق الزر "موافق" لحفظ الإعدادات، وليس فقط إغلاق متصفح الويب.

إعداد نات على جهاز الكمبيوتر

كما تعلمون، يمكن للكمبيوتر الشخصي نفسه أن يكون بمثابة جهاز توجيه. غالبًا ما يكون هناك موقف عندما تكون هناك شبكة كمبيوتر مكونة من عدة أجهزة كمبيوتر، أحدها لديه إمكانية الوصول إلى الإنترنت. في هذه الحالة، لا يمكنك شراء أجهزة التوجيه على الإطلاق، ولكن قم بإعداد جهاز كمبيوتر متصل بالإنترنت كموجه وتكوين nat عليه. دعونا نفكر في هذه الحالة بمزيد من التفصيل.

تأكد من تثبيت بطاقتي شبكة على الكمبيوتر الرئيسي الذي ينظر إلى الإنترنت (دعنا نسميها خادمًا) - الأولى للاتصال بالشبكة المحلية والثانية للمزود. سيستخدم المثال نظام التشغيل Windows Server 2012.

للتهيئة، قم أولاً بتشغيل "Server Manager" (ابدأ -> الأدوات الإدارية -> مدير الخادم). ستظهر نافذة الإعدادات:

من هنا سوف نقوم بإدارة الخادم الخاص بنا. لمتابعة التكوين، انقر فوق "إضافة الأدوار والميزات"، والذي سيفتح نافذة معالج إضافة الأدوار. الخطوة الأولى - نوع التثبيت:

في النافذة التالية نحتاج إلى تحديد الدور الذي نقوم بتثبيته على الخادم. حدد المربع بجوار "الوصول عن بعد".

ستظهر النافذة التالية التي تعرض قائمة بالمكونات المطلوبة للتشغيل. انقر فوق "إضافة مكونات"، وسوف تختفي هذه النافذة. انقر فوق {التالي".

في النافذة التالية، يطالبك المعالج بإضافة مكونات الخادم. ليست هناك حاجة لتغيير أي شيء، انقر على "التالي".

في الصفحة التالية، يخبرنا المعالج ببساطة عن تشغيل دور الوصول عن بعد. انقر فوق {التالي".

في الخطوة التالية، عليك تحديد "خدمات الدور". حدد المربع بجوار "التوجيه" وانقر على "التالي".

النافذة التالية إعلامية مرة أخرى، لا تحتاج إلى تحديد أي شيء، ولكن يمكنك تحديد المربع بجوار "إعادة التشغيل التلقائي على الخادم المحدد..."، ونتيجة لذلك سيتم إعادة تشغيل الخادم تلقائيًا بعد التثبيت. ولكن يمكنك أيضًا القيام بذلك يدويًا. انقر فوق {التالي".

والخطوة الأخيرة هي التثبيت الفعلي للخادم. عند الانتهاء، انقر فوق الزر "إغلاق".

تثبيت الخادم

لذلك، قمنا بتكوين جهاز كمبيوتر متصل بالإنترنت في وضع الخادم. أنت الآن بحاجة إلى تكوين nat عليه.

انتقل إلى ابدأ / الإدارة / التوجيه والوصول عن بعد. في النافذة التي تظهر، على الجانب الأيسر نجد العنصر "الخادم (المحلي)"، انقر بزر الماوس الأيمن عليه وفي القائمة المنسدلة، انقر فوق "تكوين وتمكين التوجيه والوصول عن بعد".

سيظهر معالج لإعداد خادم التوجيه والوصول عن بعد، حيث سنقوم بتكوين nat.

في الصفحة الأولى، تم تعريفنا بإيجاز بالمعالج - انقر فوق "التالي". الخطوة التالية هي اختيار إحدى الخدمات التي سيتم تشغيلها على هذا الخادم. حدد "ترجمة عنوان الشبكة (NAT)" وانقر على "التالي".

بعد ذلك، سيطلب منك المعالج تحديد اتصال شبكة ينظر إلى الإنترنت. ستكون كلتا بطاقتي الشبكة موجودتين في القائمة (على الأقل اعتمادًا على عددهما المثبت على الخادم). نختار الكابل الذي يتصل به كابل شبكة الموفر. انقر فوق {التالي".

في النافذة التالية، سيبدأ المعالج في الشكوى من عدم قدرته على اكتشاف خدمات DHCP أو DNS على الشبكة المحلية. هناك خياران للمتابعة - تمكين الخدمات الأساسية، أو تثبيت الخدمات لاحقًا.

حدد العنصر الأول وانقر على "التالي". في الصفحة التالية سأخبرك بالنطاق الذي ستعمل فيه nat. يحدد معالج الإعداد هذا النطاق تلقائيًا، بناءً على تكوين اتصال الشبكة المتصل بالشبكة المحلية. انقر فوق {التالي".

نطاق نات

هذا كل شيء، معالج الإعداد يكمل إعداد nat. انقر فوق "التالي"، وفي النافذة التالية "تم".

آخر شيء تبقى هو تكوين أجهزة الكمبيوتر العميلة، أي كافة أجهزة الكمبيوتر الأخرى الموجودة على الشبكة المحلية. للقيام بذلك، على جهاز الكمبيوتر العميل (يجب القيام بذلك على كل كمبيوتر على الشبكة)، انتقل إلى ابدأ / لوحة التحكم / مركز الشبكة والمشاركة / تغيير إعدادات المحول. انتقل إلى "اتصالات الشبكة". انقر بزر الماوس الأيمن على الأيقونة وحدد "خصائص" من القائمة المنسدلة. في النافذة التي تظهر، حدد "Internet Protocol Version 4 (TCP/IPv4)" وانقر على "Properties".

في حقل "البوابة الافتراضية" نكتب عنوان IP الخاص بالكمبيوتر الخادم (الذي تم تكوينه في الخطوة السابقة)، وفي حقل "خادم DNS المفضل" نكتب عنوان IP الخاص بخادم DNS الخاص بالمزود المحدد في معلومات الاتصال بالإنترنت على الخادم. انقر فوق "موافق"، ثم "موافق" مرة أخرى. هذا كل شيء، جهاز الكمبيوتر العميل متصل بالإنترنت.

نات على الأصابع: ما هذا؟ نات - ما هذا؟ تعليمات لإعداد NAT

مقدمة

تنكر

أمثلة على NAT الديناميكي وNAT مع التحميل الزائد

الأمن والإدارة

ما هو نات

لماذا هناك حاجة إلى NAT، وكيف يتم استخدامها

كيف يعمل NAT

المميزات والعيوب

الإعداد على سيسكو IOS

أمثلة

كيف يعمل NAT

قناة إنترنت من مزود واحد عبر NAT

حجز قناة إنترنت من مزودين اثنين باستخدام NAT، ip sla

مخطط

التكوين

متنوع

ما هو نات

مصطلحات NAT

أنواع NAT

ترجمة عنوان المنفذ (PAT)

مزايا وعيوب NAT

هل كانت هذه المقالة مفيدة لك؟

أرجوك أخبرني لماذا؟

حركة المرور الواردة والصادرة

يمارس

أ) الوصول إلى خادم الويب

ب) الوصول إلى خادم الملفات

ج) الوصول إلى خادم البريد

د) خادم DNS

ه) اللجنة الدولية لشؤون المفقودين

و) حقوق المستخدمين من الشبكة الأخرى

ز) شبكة التحكم

ز) لا مزيد من القيود

قناع وقناع عكسي

مثال 1

مثال 2

مثال 3

عملية ACL في الصور

الإضافات

نات

أنواع NAT

ثابتة

متحرك

كثير إلى واحد

ميناء الشحن

نقاط الضعف والقوة في NAT

+

-

ممارسة NAT

1) شبكة التحكم

2) المضيفين من شبكة التعليم والتدريب المهني

3) المحاسبة

4) فيو

5) أخرى

6) فروع في سان بطرسبرج وكيميروفو

7) الخوادم

أ) خادم الويب

ب) خادم الملفات

ج) خادم البريد

8) الوصول عبر RDP إلى أجهزة الكمبيوتر الخاصة بالمسؤول وأجهزة الكمبيوتر الخاصة بنا

أمان

الدخول إلى قائمة إعدادات جهاز التوجيه

إعداد nat في جهاز التوجيه

تحديد كائن إعادة توجيه جهاز التوجيه ZyXEL

إعداد نات على جهاز الكمبيوتر