Zobrazení: 38705

1 Pokud čtete tento dokument, pak jste s největší pravděpodobností připojeni k internetu a používáte překlad síťových adres ( Překlad síťových adres, NAT) právě teď! Internet se stal mnohem větším, než si kdokoli dokázal představit. Přestože přesná velikost není známa, současný odhad je přibližně 100 milionů hostitelů a více než 350 milionů uživatelů aktivních na internetu. Ve skutečnosti je tempo růstu takové, že internet se každým rokem efektivně zdvojnásobuje.

Úvod

Aby počítač mohl komunikovat s jinými počítači a webovými servery na internetu, musí mít IP adresu. IP adresa (IP je zkratka pro internetový protokol) je jedinečné 32bitové číslo, které identifikuje umístění vašeho počítače v síti. V zásadě to funguje stejně jako vaše adresa: způsob, jak přesně zjistit, kde se nacházíte, a doručit vám informace. Teoreticky můžete mít 4 294 967 296 jedinečných adres (2^32). Skutečný počet dostupných adres je menší (někde mezi 3,2 a 3,3 miliardami) kvůli způsobu rozdělení adres do tříd a nutnosti vyčlenit některé adresy pro multicast, testování nebo jiné specifické potřeby. S nárůstem domácích sítí a podnikových sítí již počet dostupných IP adres nestačí. Zřejmým řešením je přepracovat formát adresy tak, aby vyhovoval více možným adresám. Protokol IPv6 se vyvíjí, ale tento vývoj bude trvat několik let, protože vyžaduje úpravu celé internetové infrastruktury.

Tady nám NAT přichází na pomoc. Překlad síťových adres v zásadě umožňuje jedinému zařízení, jako je router, působit jako agent mezi internetem (nebo „veřejnou sítí“) a místní (nebo „soukromou“) sítí. To znamená, že k vystavení celé skupiny počítačů čemukoli mimo jejich síť je zapotřebí pouze jediná jedinečná adresa IP. Nedostatek IP adres je pouze jedním z důvodů, proč používat NAT. Další dva dobré důvody jsou bezpečnost a správa.

Dozvíte se o tom, jak můžete využít NAT, ale nejprve se na NAT podíváme blíže a uvidíme, co dokáže.

Přestrojení

NAT je jako sekretářka ve velké kanceláři. Řekněme, že jste zanechali pokyny pro sekretářku, aby vám nepřesměrovala žádné hovory, pokud o to nepožádáte. Později zavoláte potenciálnímu klientovi a necháte mu vzkaz, aby vám zavolal zpět. Sdělíte sekretářce, že očekáváte hovor od tohoto klienta a hovor je třeba přepojit. Klient zavolá na hlavní číslo vaší kanceláře, což je jediné číslo, které zná. Když klient sdělí sekretářce, koho hledá, sekretářka zkontroluje jeho seznam zaměstnanců, aby našla shodu mezi jménem a číslem jeho pobočky. Recepční ví, že jste o tento hovor požádali, a tak přepojí volajícího na váš telefon.

Překlad síťových adres, vyvinutý společností Cisco, používá zařízení (firewall, router nebo počítač), které se nachází mezi vnitřní sítí a zbytkem světa. NAT má mnoho podob a může fungovat několika způsoby:

Statický NAT- Mapování neregistrované IP adresy na registrovanou IP adresu na bázi jedna ku jedné. Zvláště užitečné, když musí být zařízení přístupné zvenčí sítě.

Ve statickém NAT bude počítač s adresou 192.168.32.10 vždy přeložen na adresu 213.18.123.110:

Dynamický NAT- Mapuje neregistrovanou IP adresu na registrovanou adresu ze skupiny registrovaných IP adres. Dynamic NAT také vytváří přímé mapování mezi neregistrovanou adresou a registrovanou adresou, ale mapování se může změnit v závislosti na registrované adrese dostupné ve fondu adres během komunikace.

V dynamickém NAT je počítač s adresou 192.168.32.10 přeložen na první dostupnou adresu v rozsahu od 213.18.123.100 do 213.18.123.150

Přetížení je forma dynamického NAT, která mapuje více neregistrovaných adres na jednu registrovanou IP adresu pomocí různých portů. Také známý jako PAT (Port Address Translation)

Při přetížení je každý počítač v privátní síti přeložen na stejnou adresu (213.18.123.100), ale s jiným číslem portu

Překrytí- Pokud jsou IP adresy používané ve vaší interní síti používány také v jiné síti, musí router uchovávat vyhledávací tabulku těchto adres, aby je mohl zachytit a nahradit registrovanými jedinečnými IP adresami. Je důležité poznamenat, že router NAT musí překládat „interní“ adresy na registrované jedinečné adresy a musí také překládat „externí“ registrované adresy na adresy, které jsou jedinečné pro privátní síť. To lze provést buď prostřednictvím statického NAT, nebo můžete použít DNS a implementovat dynamický NAT.

Příklad:
Interní rozsah IP (237.16.32.xx) je také registrovaný rozsah používaný jinou sítí. Router proto překládá adresy, aby se předešlo možnému konfliktu. Při odesílání paketů do vnitřní sítě také převede registrované globální adresy IP zpět na neregistrované místní adresy

Vnitřní síť je obvykle LAN (Local Area Network), nejčastěji nazývaná pahýl domény. Stub doména je síť LAN, která používá interní IP adresy. Většina síťového provozu v takové doméně je lokální a neopouští vnitřní síť. Doména může obsahovat registrované i neregistrované IP adresy. Všechny počítače, které používají neregistrované IP adresy, musí samozřejmě používat NAT ke komunikaci se zbytkem světa.

NAT lze konfigurovat různými způsoby. V níže uvedeném příkladu je směrovač NAT nakonfigurován tak, aby překládal neregistrované adresy IP (místní interní adresy), které se nacházejí v privátní (interní) síti, na registrované adresy IP. K tomu dochází vždy, když zařízení uvnitř s neregistrovanou adresou potřebuje komunikovat s vnější sítí.

ISP přidělí vaší společnosti rozsah IP adres. Přiřazený blok adres jsou jedinečné registrované IP adresy a jsou volány uvnitř globálních adres. Neregistrované soukromé IP adresy jsou rozděleny do dvou skupin, malá skupina, mimo místní adresy, budou používány routery NAT a hlavní, který bude v doméně používán, je známý jako uvnitř místních adres. Externí lokální adresy se používají k překladu jedinečných IP adres známých jako mimo globální adresy,zařízení ve veřejné síti.
NAT překládá pouze provoz, který prochází mezi vnitřní a vnější sítí a je určen pro překlad. Jakýkoli provoz, který nesplňuje kritéria překladu nebo který prochází mezi jinými rozhraními na směrovači, není nikdy přeložen a je předán tak, jak je.

IP adresy mají různá označení podle toho, zda jsou v privátní síti (doméně) nebo veřejné síti (Internet) a zda jde o příchozí nebo odchozí provoz:

Většina počítačů v doméně spolu komunikuje pomocí interních lokálních adres.
Některé počítače v doméně komunikují s externí sítí. Tyto počítače mají vnitřní globální adresy, což znamená, že nevyžadují překlad.
Když chce počítač v doméně, která má interní lokální adresu, komunikovat s externí sítí, paket jde do jednoho ze směrovačů NAT normálním směrováním.
Směrovač NAT kontroluje směrovací tabulku, aby zjistil, zda obsahuje položku pro cílovou adresu. Pokud cílová adresa není ve směrovací tabulce, paket je zahozen. Pokud je záznam dostupný, router zkontroluje, zda paket přichází z vnitřní sítě do vnější sítě a zda paket splňuje kritéria definovaná pro vysílání. Směrovač poté zkontroluje tabulku překladu adres, aby zjistil, zda existuje záznam pro vnitřní lokální adresu a její odpovídající vnitřní globální adresu. Pokud je nalezen záznam, vyšle paket pomocí vnitřní globální adresy. Pokud je nakonfigurován pouze statický NAT a není nalezen žádný záznam, pak router odešle paket bez překladu.
Pomocí interní globální adresy směrovač předá paket na místo určení.
počítač ve veřejné síti odešle paket do privátní sítě. Zdrojová adresa v paketu je externí globální adresa. Cílová adresa je interní globální adresa.
Když paket dorazí do externí sítě, NAT router se podívá na překladovou tabulku a určí cílovou adresu mapovanou na počítač v doméně.
Směrovač NAT překládá vnitřní globální adresu paketu na vnitřní místní adresu a před odesláním paketu do cílového počítače zkontroluje směrovací tabulku. Kdykoli není nalezen záznam pro adresu v překladové tabulce, paket není přeložen a router pokračuje v kontrole směrovací tabulky, aby našel cílovou adresu.

Přetížení NAT využívá funkci zásobníku protokolů TCP/IP, jako je například multiplexování, které umožňuje počítači udržovat více souběžných připojení ke vzdálenému počítači pomocí různých portů TCP nebo UDP. Paket IP má hlavičku, která obsahuje následující informace:

Zdrojová adresa – IP adresa zdrojového počítače, například 201.3.83.132.
Zdrojový port – číslo portu TCP nebo UDP přiřazené počítačem jako zdroj pro tento paket, například port 1080.
Cílová adresa – IP adresa počítače příjemce. Například 145.51.18.223.
Cílový port – číslo portu TCP nebo UDP, které požaduje, aby zdrojový počítač otevřel na přijímači, například port 3021.

IP adresy identifikují dva stroje na každé straně, zatímco čísla portů zajišťují, že spojení mezi dvěma stroji má jedinečný identifikátor. Kombinace těchto čtyř čísel definuje jediné připojení TCP/IP. Každé číslo portu používá 16 bitů, což znamená, že existuje 65 536 (2^16) možných hodnot. Ve skutečnosti, protože různí výrobci zobrazují porty mírně odlišným způsobem, můžete očekávat přibližně 4 000 dostupných portů.

Příklady dynamického NAT a NAT s přetížením

Obrázek níže ukazuje, jak dynamický NAT funguje.

Kliknutím na jedno ze zelených tlačítek odešlete úspěšný paket buď do nebo z vnitřní sítě. Kliknutím na jedno z červených tlačítek odešlete paket, který bude zahozen routerem kvůli neplatné adrese.

interní síť byla nastavena s IP adresami, které nebyly konkrétně přiděleny této společnosti IANA (Internet Assigned Numbers Authority), globální úřad, který rozdává IP adresy. Takové adresy by měly být považovány za nesměrovatelné, protože nejsou jedinečné. Jedná se o interní lokální adresy.
firma instaluje router s NAT. Router má řadu jedinečných IP adres přidělených společnosti. Jedná se o interní globální adresy.
počítač v síti LAN se pokouší připojit k počítači mimo síť, například k webovému serveru.
Směrovač přijímá paket z počítače v síti LAN.
Po kontrole směrovací tabulky a ověření překladu router uloží adresu nesměrovatelného počítače do tabulky překladu adres. Směrovač nahradí nesměrovatelnou adresu odesílajícího počítače první dostupnou IP adresou v rozsahu jedinečných adres. Překladová tabulka nyní zobrazuje nesměrovatelnou IP adresu počítače, která odpovídá jedné z jedinečných IP adres.
Když se paket vrátí z cílového počítače, router zkontroluje cílovou adresu v paketu. Poté se podívá do tabulky překladu adres, aby zjistil, ke kterému počítači v doméně paket patří. Změní adresu přijímače na tu, která byla dříve uložena v překladové tabulce a odešle paket do požadovaného počítače. Pokud router nenajde shodu v tabulce, paket zahodí.
Počítač přijme paket z routeru a celý proces se opakuje, zatímco počítač komunikuje s externím systémem.

Vnitřní síť byla nastavena s nesměrovatelnými IP adresami, které nebyly konkrétně přiděleny společnosti
firma instaluje router s NAT. Router má jedinečnou IP adresu, kterou vydává IANA
Počítač v doméně se pokouší připojit k počítači mimo síť, například k webovému serveru.
Router přijme paket z počítače v doméně.
Po směrování a prozkoumání paketu k provedení překladu směrovač uloží nesměrovatelnou IP adresu počítače a číslo portu do překladové tabulky. Router nahradí nesměrovatelnou IP adresu odesílajícího počítače IP adresou routeru. Směrovač nahradí zdrojový port počítače odesílatele nějakým náhodným číslem portu a uloží jej do tabulky překladu adres pro daného odesílatele. Překladová tabulka zobrazuje nesměrovatelnou IP adresu počítače a číslo portu spolu s IP adresou routeru.
Když se paket vrátí z cíle, router zkontroluje cílový port v paketu. Poté se podívá do překladové tabulky, aby zjistil, ke kterému počítači v doméně balíček patří. Dále router změní adresu přijímače a port přijímače na hodnoty, které byly dříve uloženy v překladové tabulce a odešle paket do koncového uzlu.
počítač přijme paket ze směrovače a proces se opakuje
Vzhledem k tomu, že směrovač NAT má nyní zdrojovou adresu počítače a zdrojový port uloženou ve své překladové tabulce, bude nadále používat stejné číslo portu pro následující připojení. Pokaždé, když router přistoupí k položce v překladové tabulce, vynuluje se časovač pro tuto položku. Není-li záznam zpřístupněn před vypršením časovače, je odstraněn z tabulky

Počet simultánních vysílání, které bude router podporovat, je určen především množstvím DRAM (Dynamic Random Access Memory). Protože typická položka překladové tabulky má přibližně 160 bajtů, router se 4 MB RAM teoreticky zvládne 26 214 současných připojení, což je pro většinu aplikací více než dost.

Bezpečnost a administrativa

Implementace dynamického NAT automaticky vytvoří firewall mezi vaší interní sítí a externími sítěmi nebo internetem. Dynamic NAT umožňuje pouze připojení, která pocházejí z místní sítě. V podstatě to znamená, že počítač v externí síti se nemůže připojit k vašemu počítači, dokud váš počítač připojení nezahájí. Tímto způsobem můžete surfovat po internetu a připojit se k webu a dokonce nahrát soubor. Ale nikdo už nemůže jen tak získat vaši IP adresu a použít ji k připojení k portu vašeho počítače.

Statický NAT, také nazývaný příchozí mapování, umožňuje za určitých okolností připojení iniciovaná externími zařízeními k počítačům v síti LAN. Můžete například mapovat vnitřní globální adresu na konkrétní vnitřní místní adresu, která je přiřazena vašemu webovému serveru.

Statický NAT umožňuje počítači v síti LAN udržovat konkrétní adresu při komunikaci se zařízeními mimo síť:

Některé směrovače NAT poskytují rozsáhlé filtrování a protokolování provozu. Filtrování umožňuje vaší společnosti kontrolovat, které stránky na internetu zaměstnanci navštěvují, a zabránit jim tak v prohlížení pochybných materiálů. Pomocí protokolování provozu můžete vytvořit protokol navštívených stránek a na základě toho generovat různé zprávy.

Někdy se Network Address Translation zaměňuje s proxy servery, kde existují určité rozdíly. NAT je transparentní pro zdrojové a cílové počítače. Nikdo z nich neví, že se jedná o třetí zařízení. Ale proxy server není transparentní. Zdrojový počítač ví, že se jedná o požadavek na proxy. Cílový počítač si myslí, že server proxy je zdrojovým počítačem a jedná přímo s ním. Proxy servery navíc obvykle pracují na vrstvě 4 (Transport) modelu OSI nebo vyšší, zatímco NAT je protokol vrstvy 3 (síť). Při provozu na vyšších úrovních jsou proxy servery ve většině případů pomalejší než zařízení NAT.

Skutečný přínos NAT je patrný při správě sítě. Můžete například přesunout svůj webový nebo FTP server na jiný počítač, aniž byste se museli obávat přerušení připojení. Jednoduše změňte mapování vstupu na novou interní místní adresu ve směrovači, aby odpovídala novému hostiteli. Můžete také provádět změny ve své interní síti, protože jakákoli z vašich externích IP adres patří buď směrovači, nebo skupině globálních adres.

To jsou úplně jiné technologie. Nepleťte si je.

Co je NAT

NAT je souhrnný termín, který označuje technologii překladu síťových adres a/nebo protokolů. Zařízení NAT provádějí transformace procházejících paketů, nahrazují adresy, porty, protokoly atd.

Existují užší pojmy SNAT, DNAT, maškaráda, PAT, NAT-PT atd.

proč je NAT potřeba, jak se používá

Pro připojení vnitřní sítě k internetu

prostřednictvím fondu externích adres
přes jednu externí adresu

Nahrazení externí IP adresy jinou (přesměrování provozu)

Pro vyvážení zátěže mezi identickými servery s různými IP adresami.

Kombinovat dvě lokální sítě s protínajícím se vnitřním adresováním.

jak NAT funguje

s+d NAT (sloučení větví - zlo!)

mapování portů, přesměrování portů

Výhody a nevýhody

Nekompatibilní s některými protokoly. Konkrétní implementace NAT musí podporovat kontrolu požadovaného protokolu.

NAT má vlastnost "screening" vnitřní sítě od vnějšího světa, ale nelze jej použít místo firewallu.

Nastavení na Cisco IOS

Směrovače a firewally Cisco podporují různé typy NAT v závislosti na sadě softwarových možností. Nejpoužívanější je metoda NAT s vázáním interních lokálních adres na různé porty stejné externí adresy (PAT v terminologii Cisco).

Chcete-li nakonfigurovat NAT na routeru, musíte: o Určit provoz, který je třeba přeložit (pomocí přístupových seznamů nebo map tras);

IP access-list rozšířené LOCAL povolení IP 10.0.0.0 0.255.255.255 jakákoli

Route-map INT1 match IP address LOCAL match interface FastEthernet0/1.1

Přístupový seznam LOCAL vybírá veškerý provoz ze sítě 10.

Mapa trasy INT1 vybírá provoz LOKÁLNÍHO přístupového seznamu vycházející přes podrozhraní Fa 0/1.1

o Určete, na které externí adresy se má vysílat. Vyberte fond externích adres. Pro PAT stačí jedna adresa.

IP nat pool GLOBAL 212.192.64.74 212.192.64.74 síťová maska 255.255.255.0

Určení fondu externích adres s názvem GLOBAL. Ve fondu je pouze jedna adresa.

o Povolit NAT pro vybrané interní a externí adresy.

IP nat uvnitř zdrojové route-mapy INT1 pool GLOBAL přetížení

Povolte NAT pro překlad zdrojové adresy na interním rozhraní. Vysílán bude pouze provoz spadající do podmínek mapy trasy INT1. Externí adresa bude převzata z GLOBAL fondu.

IP nat uvnitř zdroje static tcp 10.0.0.1 23 212.192.64.74 23 extend

Statické „přesměrování portů“ nebo „publikování služby“. V provozu směřujícím dovnitř na adresu 212.192.64.74 na tcp portu 23 bude cíl nahrazen adresou 10.0.0.1 a portem 23.

o Přiřadit interní a externí rozhraní.

Rozhraní FastEthernet0/0 IP nat uvnitř rozhraní FastEthernet0/1.1 IP nat venku

Rozhraní Fa 0/0 je přiřazeno interní pro NAT.

Subinterface Fa 0/1.1 je přiřazen jako externí pro NAT.

O Ladění a diagnostika:

Sh ip nat translations - zobrazit tabulku aktuálního vysílání; vymazat překlady IP nat - smazat všechny aktuální překlady; debug ip nat – povolení ladicích zpráv (undebug all – zakázání ladění).

Příklady

Zde je několik ukázkových příkladů emulátoru Cisco Packet Tracer.

Jednoduché schéma pro připojení malé sítě k internetu prostřednictvím skupiny externích adres

Jednoduché schéma pro připojení sítě k internetu prostřednictvím jedné externí adresy

Schéma kombinování sítí s protínajícím se adresováním

Jak funguje NAT

Způsob aplikace pravidel NAT se u různých výrobců a na různých zařízeních liší. Zde je postup pro použití zásad NAT pro směrovače na Cisco IOS:

Zevnitř navenek

Pokud IPSec, zkontrolujte dešifrování vstupního přístupového seznamu – pro CET (Cisco Encryption Technology) nebo IPSec zkontrolujte vstupní přístupový seznam zkontrolujte vstupní rychlostní limity vstupní účtování přesměrování na webovou mezipaměť zásady směrování směrování NAT zevnitř ven (z místního do globálního překladu) krypto (zkontrolujte mapu a značka pro šifrování) kontrola výstupu přístupový seznam kontrola (Kontextová kontrola přístupu (CBAC)) TCP intercept šifrování Zařazení do fronty

Outside-to-Inside

Pokud IPSec, zkontrolujte dešifrování vstupního přístupového seznamu - pro CET nebo IPSec zkontrolujte vstupní přístupový seznam zkontrolujte vstupní rychlostní limity účtování vstupů přesměrování do webové mezipaměti NAT zvenku dovnitř (z globálního do místního překladu) zásada směrování směrování krypto (kontrola mapy a označení pro šifrování) kontrola výstupní přístupový seznam prozkoumat CBAC TCP zachycení šifrování Zařazení do fronty

Internetový kanál od jednoho poskytovatele přes NAT

Jednoduché schéma implementace NAT u jednoho poskytovatele

Rezervace internetového kanálu od dvou poskytovatelů pomocí NAT, ip sla

Vzhledem k tomu: od ISP1 přijímáme internet pro několik počítačů. Dal nám adresu 212.192.88.150. Přístup k internetu je organizován z této IP adresy pomocí NAT.

Úkol: připojte poskytovatele zálohování - ISP2. Dá nám adresu 212.192.90.150. Uspořádejte vyrovnávání provozu: posílejte webový provoz přes ISP1, ostatní provoz přes ISP2. V případě selhání jednoho z poskytovatelů musí být veškerý provoz odeslán přes živý kanál.

Jaká je obtížnost úkolu? vymazat ip nat překlady?

Systém

Konfigurace

1 jasný překlad IP nat *

Takový kus EEM byl nalezen a otestován. Událost se negeneruje na všech verzích IOS.

! applet správce událostí NAT-TRACK vzor systémového protokolu události "TRACKING-5-STATE" akce 0.1 cli příkaz "enable" akce 0.2 čekat 3 akce 0.3 cli příkaz "clear ip nat translation *" akce 0.4 syslog msg "NAT překlad vymazán po změně stavu stopy "!

2 Pokud selže rozhraní na poskytovateli, je velká šance, že jeho brána bude pingovat přes druhého

! uživatelské jméno JMÉNO heslo 0 HESLO povolit tajné 0 NASTAVIT HESLO! ! kontrola přihlášení k lince routeru vty 0 4 přihlášení místní ! ! DHCP ip dhcp pool LAN síť Interní maska sítě default-router Brána DNS-server 10.11.12.13 ! DNS - fiktivní, se kterým přišli - NE z naší místní sítě! ! ! Ping monitor na adresu brány poskytovatele-1! Počkejte 100 ms na odpověď! Ping s frekvencí 1 sekundy IP sla monitor 1 typ echo protokol ipIcmpEcho GatewayProv1 zdrojové rozhraní InterfaceOnProv1 timeout 100 frekvence 1 ! ! Monitor Ping pro poskytovatele-2 IP sla monitor 2 typ echo protokol ipIcmpEcho GatewayProv2 zdrojové rozhraní InterfaceNaProv2 časový limit 50 frekvence 1 ! ! Spuštění pingů 1 a 2, nyní a navždy ip sla monitor plán 1 život navždy start-time nyní ip sla monitor plán 2 navždy start-time nyní! ! Stopy 10 a 20 - sledování stavu pingů! Reaguje na stav Down nebo Up se zpožděním 1 sekundy. stopa 10 rtr 1 zpoždění dosažitelnosti dolů 1 nahoru 1 ! stopa 20 rtr 2 zpoždění dosažitelnosti dolů 1 nahoru 1 ! ! ! Trasy do všech externích sítí u obou poskytovatelů! Trasy jsou propojeny se stopami! a bude aktivován pouze v případě, že je dráha ve stavu Nahoru! těch. pokud je dostupná brána k příslušnému poskytovateli ip route 0.0.0.0 0.0.0.0 GatewayProv1 track 10 ip route 0.0.0.0 0.0.0.0 GatewayProv2 track 20 ! ! ! int fa 0/0 nezavřeno! ! Dílčí rozhraní směrem k externím poskytovatelům! jsou označeny jako vnější pro NAT rozhraní FastEthernet0/0.1 popis ISP1 encaps dot1q ČísloVlanProv1 IP adresa ipOnProv1 Maska IP nat venku ! rozhraní FastEthernet0/0.2 popis ISP2 zapouzdření dot1Q ČísloVlanProv2 ip adresa ipNaProv2 Maska ip nat venku ! ! Rozhraní k vnitřní síti! označeno jako uvnitř pro NAT! Zásady směrování jsou vázány PBR rozhraní FastEthernet0/1 ip adresa ipOnInternalNet mask ip nat uvnitř zásady ip route-map PBR no shut ! ! Přístupové seznamy z vnitřní sítě ven! Pro webový provoz a vše ostatní ip access-list rozšířený LOCAL povolte ip intranet jakýkoli! ip access-list rozšířený WEB povolení tcp interní síť any eq www povolení tcp interní síť any eq 443 ! ip access-list rozšířený VŠECHNY povolují ip jakékoli libovolné ! ! ! složitá kořenová mapa PBR! Pokud je provoz z LAN na web! pak přiřaďte prvního poskytovatele jako jeho bránu! Jinak ostatní provoz z místního okolí! přiřadit druhého poskytovatele jako bránu. ! Při přiřazování brány povoluje trasa-mapa trasy PBR 10 shodu ip adresa WEB nastavit ip příští skok ověřit-dostupnost GatewayProv1 1 stopa 10 ! route-map PBR permit 20 match ip address ALL set ip next-hop ověření-availability GatewayProv2 1 track 20 ! ! ! složitý ISP1 rootmap! funguje, pokud je provoz z LAN! pokus o ukončení přes rozhraní Fa0/0.1 route-map ISP1 povoluje 10 shodu IP adresy LOCAL shodu rozhraní FastEthernet0/0.1 ! ! složitý ISP2 rootmap! funguje, pokud je provoz z LAN! pokus o ukončení přes rozhraní Fa0/0.2 route-map ISP2 povoluje 10 shodu IP adresy LOCAL shodu rozhraní FastEthernet0/0.2 ! ! ! Konečně NAT ;-) ! ! Provoz z LAN k prvnímu poskytovateli Navigace přes první rozhraní ip nat uvnitř zdroje route-map ISP1 rozhraní FastEthernet0/0.1 přetížení! ! Provoz z LAN k druhému poskytovateli Navigace přes druhé rozhraní ip nat uvnitř zdroje route-map ISP2 rozhraní FastEthernet0/0.2 přetížení ! ! Přesměrovat provoz na fiktivní DNS na Google DNS IP nat mimo zdroj statický 8.8.8.8 10.11.12.13 no-alias ! ! předávání interního portu 3389 na externí port 1111 IP nat uvnitř zdroje statické tcp interníHost 3389 externí 1111 rozšiřitelné IP nat uvnitř zdroje statické tcp interníHost 3389 externí 1111 rozšiřitelné ! !

Smíšený

CGN (carrier grade nat) se speciálním fondem soukromých adres

NAT jako ALG (brána aplikační vrstvy), (prostý textový protokol, např. SIP)

2 32 nebo 4 294 967 296 IPv4 to je hodně adres? Vypadá to tak. S rozšířením osobních počítačů, mobilních zařízení a rychlým růstem internetu se však brzy ukázalo, že 4,3 miliardy IPv4 adres nebude stačit. Dlouhodobé řešení bylo IPv6, ale k vyřešení nedostatku adres bylo potřeba rychlejší řešení. A toto rozhodnutí se stalo NAT (překlad síťových adres).

Co je NAT

Sítě jsou obvykle navrženy pomocí privátních IP adres. Toto jsou adresy 10.0.0.0/8, 172.16.0.0/12 A 192.168.0.0/16 . Tyto soukromé adresy se používají v rámci organizace nebo webu, aby umožnily zařízením místně komunikovat a nejsou směrovány přes internet. Chcete-li zařízení se soukromou adresou IPv4 umožnit přístup k zařízením a zdrojům mimo místní síť, musí být soukromá adresa nejprve přeložena na veřejnou veřejnou adresu.

A je to právě NAT, který převádí soukromé adresy na veřejné. To umožňuje zařízení s privátní IPv4 adresou přistupovat ke zdrojům mimo jeho privátní síť. NAT v kombinaci se soukromými adresami IPv4 se ukázal jako užitečná metoda pro ukládání veřejných adres IPv4. Jednu veřejnou IPv4 adresu mohou využívat stovky, dokonce tisíce zařízení, z nichž každé má privátní IPv4 adresu. NAT má další výhodu v tom, že do sítě přidává určitý stupeň soukromí a zabezpečení, protože skrývá interní adresy IPv4 před externími sítěmi.

Směrovače s podporou NAT lze nakonfigurovat s jednou nebo více platnými veřejnými adresami IPv4. Tyto veřejné adresy se nazývají fond NAT. Když zařízení v interní síti odešle provoz ze sítě ven, router s podporou NAT přeloží interní adresu IPv4 zařízení na veřejnou adresu z fondu NAT. Externím zařízením se zdá, že veškerý provoz vstupující do sítě a opouštějící síť má veřejnou adresu IPv4.

NAT router obvykle funguje na hranici Pahýl-sítě Síť stub je síť stub, která má jedno připojení k sousední síti, jeden vstup a výstup ze sítě.

Když zařízení uvnitř sítě Stub chce komunikovat se zařízením mimo jeho síť, je paket předán hraničnímu směrovači a ten provede proces NAT, přičemž převede interní privátní adresu zařízení na veřejnou, externí, směrovatelnou adresu.

Terminologie NAT

V terminologii NAT je interní síť soubor sítí, které mají být přeloženy. Externí síť se vztahuje na všechny ostatní sítě.

Při použití NAT mají adresy IPv4 různá označení podle toho, zda jsou v privátní nebo veřejné síti (Internet) a zda jde o příchozí nebo odchozí provoz.

NAT zahrnuje čtyři typy adres:

Uvnitř místní adresy;
Uvnitř globální adresy;
Mimo místní adresu;
Mimo globální adresu;

Při určování, jaký typ adresy se použije, je důležité mít na paměti, že terminologie NAT je vždy aplikována na zařízení s přeloženou adresou:

Vnitřní adresa- adresa zařízení, která je překládána pomocí NAT;
Venkovní adresa- adresa cílového zařízení;
Místní adresa- to je jakákoli adresa, která je zobrazena na vnitřní části sítě;
Globální adresa- to je jakákoli adresa, která je zobrazena na vnější části sítě;

Podívejme se na to pomocí příkladu diagramu.

Na obrázku má počítač vnitřní místní ( Uvnitř místní) adresa je 192.168.1.5 a webový server má z jejího pohledu externí ( mimo) adresa 208.141.17.4. Když jsou pakety odesílány z PC na globální adresu webového serveru, interní místní ( Uvnitř místní) Adresa PC je přeložena na 208.141.16.5 ( uvnitř globální). Adresa externího zařízení se obvykle nepřekládá, protože se jedná o veřejnou adresu IPv4.

Stojí za zmínku, že PC má různé lokální a globální adresy, zatímco webový server má stejnou veřejnou IP adresu. Z jeho pohledu pochází provoz pocházející z PC z interní globální adresy 208.141.16.5. NAT router je hraničním bodem mezi interní a externí sítí a mezi lokálními a globálními adresami.

Podmínky uvnitř A mimo v kombinaci s pojmy místní A globální odkazovat na konkrétní adresy. Na obrázku je směrovač nakonfigurován tak, aby poskytoval NAT a má soubor veřejných adres, které lze přiřadit interním hostitelům.

Obrázek ukazuje, jak je provoz odesílán z interního PC na externí webový server prostřednictvím routeru s podporou NAT a jak je předáván a předáván opačným směrem.

Vnitřní místní adresa ( Uvnitř místní adresy) - zdrojová adresa viditelná z vnitřní sítě. Na obrázku je PC přiřazena adresa 192.168.1.5 - jedná se o jeho vnitřní lokální adresu.

Interní globální adresa ( Uvnitř globální adresy) - zdrojová adresa viditelná z vnější sítě. Na obrázku, když je provoz z PC odeslán na webový server na 208.141.17.4, router přeloží interní místní adresu ( Uvnitř místní adresy) na vnitřní globální adresu ( Uvnitř globální adresy). V tomto případě router změní zdrojovou adresu IPv4 z 192.168.1.5 na 208.141.16.5.

Externí globální adresa ( Mimo globální adresu) - adresa příjemce, viditelná z vnější sítě. Toto je globálně směrovatelná adresa IPv4 přiřazená hostiteli na internetu. V diagramu je webový server dostupný na adrese 208.141.17.4. Nejčastěji jsou externí lokální a externí globální adresy stejné.

Externí místní adresa ( Mimo místní adresu) - adresa příjemce viditelná z vnitřní sítě. V tomto příkladu PC odesílá provoz na webový server na 208.141.17.4

Podívejme se na celou cestu paketu. Počítač s adresou 192.168.1.5 se pokouší komunikovat s webovým serverem 208.141.17.4. Když paket dorazí do směrovače s podporou NAT, přečte cílovou adresu IPv4 paketu, aby zjistil, zda paket splňuje kritéria určená pro překlad. V tomto příkladu zdrojová adresa splňuje kritéria a je přeložena z 192.168.1.5 ( Uvnitř místní adresy) na 208.141.16.5. ( Uvnitř globální adresy). Směrovač přidá toto mapování místní na globální adresu do tabulky NAT a odešle paket s přeloženou zdrojovou adresou do cíle. Webový server odpoví paketem adresovaným na interní globální adresu PC (208.141.16.5). Router přijme paket s cílovou adresou 208.141.16.5 a zkontroluje NAT tabulku, kde najde záznam pro toto mapování. Využije tyto informace a přeloží zpět vnitřní globální adresu (208.141.16.5) na vnitřní místní adresu (192.168.1.5) a paket je předán do PC.

Typy NAT

Existují tři typy překladu NAT:

Statický překlad adres (statický NAT)- mapování adresy jedna ku jedné mezi místními a globálními adresami;
Dynamický překlad adres (Dynamic NAT)- mapování adres many-to-many mezi lokálními a globálními adresami;
Překlad adres portu (NAT)- mapování multicastových adres mezi lokálními a globálními adresami pomocí portů. Tato metoda je také známá jako Přetížení NAT;

Statický NAT využívá mapování lokálních a globálních adres jedna ku jedné. Tato mapování jsou konfigurována správcem sítě a zůstávají trvalá. Když zařízení odesílají provoz do Internetu, jejich interní místní adresy se překládají na nakonfigurované interní globální adresy. Pro externí sítě mají tato zařízení veřejné adresy IPv4. Statický NAT je užitečný zejména pro webové servery nebo zařízení, která musí mít konzistentní adresu přístupnou z internetu, jako je například firemní webový server. Statický NAT vyžaduje dostatečný počet veřejných adres k uspokojení celkového počtu souběžných uživatelských relací.

Statická tabulka NAT vypadá takto:

Dynamic NAT využívá fond veřejných adres a přiřazuje je podle toho, kdo dřív přijde, je dřív na řadě. Když interní zařízení požaduje přístup k externí síti, dynamický NAT přiřadí dostupnou veřejnou IPv4 adresu z fondu. Stejně jako statický NAT vyžaduje dynamický NAT dostatečný počet veřejných adres k uspokojení celkového počtu souběžných uživatelských relací.

Dynamická tabulka NAT vypadá takto:

Překlad adres portu (PAT)

PAT vysílá více soukromých adres na jednu nebo více veřejných adres. To dělá většina domácích routerů. ISP přidělí routeru jednu adresu, ale k internetu může přistupovat více členů rodiny současně. Toto je nejběžnější forma NAT.

Pomocí PAT lze na jednu nebo více adres mapovat více adres, protože každá soukromá adresa je také sledována číslem portu. Když zařízení zahájí relaci TCP/IP, vygeneruje hodnotu zdrojového portu TCP nebo UDP k jednoznačné identifikaci relace. Když směrovač NAT přijme paket od klienta, použije číslo jeho zdrojového portu k jedinečné identifikaci konkrétního překladu NAT. PAT zajišťuje, že zařízení používají pro každou relaci jiné číslo portu TCP. Když je ze serveru vrácena odpověď, číslo zdrojového portu, které se stane číslem cílového portu na zpáteční cestě, určuje, kterému zařízení směrovač předává pakety.

Obrázek ilustruje proces PAT. PAT přidává jedinečná čísla zdrojových portů k vnitřní globální adrese, aby se rozlišovaly mezi překlady.

Když router zpracovává každý paket, používá číslo portu (v tomto příkladu 1331 a 1555) k identifikaci zařízení, ze kterého paket pochází.

zdrojová adresa ( Adresa zdroje) je interní místní adresa s připojeným číslem portu přiřazeným protokolem TCP/IP. Cílová adresa ( Cílová adresa) je externí místní adresa s připojeným číslem portu služby. V tomto příkladu je port služby 80: HTTP.

Pro zdrojovou adresu router překládá vnitřní místní adresu na vnitřní globální adresu s připojeným číslem portu. Cílová adresa se nemění, ale nyní se nazývá externí globální IP adresa. Když webový server odpoví, cesta se obrátí.

V tomto příkladu se čísla portů klienta 1331 a 1555 na směrovači NAT nezměnila. Toto není příliš pravděpodobný scénář, protože existuje velká šance, že tato čísla portů již byla připojena k jiným aktivním relacím. PAT se pokouší zachovat původní zdrojový port. Pokud se však původní zdrojový port již používá, PAT přiřadí první dostupné číslo portu, počínaje od začátku odpovídající skupiny portů. 0-511, 512-1023 nebo 1024-65535 . Pokud nejsou žádné další porty a ve fondu adres je více než jedna externí adresa, PAT se přesune na další adresu a pokusí se přidělit původní zdrojový port. Tento proces pokračuje, dokud nebudou k dispozici žádné další porty nebo externí adresy IP.

To znamená, že pokud jiný hostitel může zvolit stejné číslo portu 1444. To je přijatelné pro interní adresu, protože hostitelé mají jedinečné soukromé IP adresy. Na routeru NAT je však nutné změnit čísla portů - jinak z něj pakety od dvou různých hostitelů odejdou se stejnou zdrojovou adresou. Proto PAT přiřadí další dostupný port (1445) druhé hostitelské adrese.

Shrňme si srovnání mezi NAT a PAT. Jak můžete vidět z tabulek, NAT překládá adresy IPv4 na bázi 1:1 mezi privátními adresami IPv4 a veřejnými adresami IPv4. PAT však mění jak samotnou adresu, tak i číslo portu. NAT předává příchozí pakety na jejich vnitřní adresu na základě příchozí zdrojové IP adresy dané hostitelem ve veřejné síti a u PAT je obvykle pouze jedna nebo velmi málo veřejně vystavených IPv4 adres a příchozí pakety jsou předávány na základě NAT tabulky routeru. .

A co pakety IPv4 obsahující jiná data než TCP nebo UDP? Tyto pakety neobsahují číslo portu vrstvy 4. PAT překládá nejběžnější protokoly přenášené protokolem IPv4, které nepoužívají TCP nebo UDP jako protokol transportní vrstvy. Nejběžnější z nich jsou ICMPv4. Každý z těchto typů protokolů zpracovává PAT odlišně. Například zprávy požadavků ICMPv4, požadavky echo a odpovědi obsahují ID požadavku ID dotazu. ICMPv4 používá Query ID. k identifikaci požadavku echa s odpovídající odpovědí. ID požadavku se zvyšuje s každým odeslaným pingem. PAT používá ID požadavku místo čísla portu 4. vrstvy.

Výhody a nevýhody NAT

NAT poskytuje mnoho výhod, včetně:

NAT zachovává registrované schéma adresování a umožňuje privatizaci intranetů. S PAT mohou interní hostitelé sdílet jednu veřejnou IPv4 adresu pro veškerou externí komunikaci. V tomto typu konfigurace je k podpoře mnoha interních hostitelů vyžadováno velmi málo externích adres;
NAT zvyšuje flexibilitu připojení k veřejné síti. Pro zajištění spolehlivého připojení k veřejné síti lze implementovat více fondů, fondů zálohování a vyrovnávání zátěže;

NAT poskytuje konzistenci pro vnitřní schémata adresování sítě. V síti, která nepoužívá privátní adresy IPv4 a NAT, vyžaduje změna celkového schématu adres IPv4 přesměrování všech hostitelů ve stávající síti. Náklady na přesměrování hostitele mohou být značné. NAT umožňuje zachování stávajícího soukromého schématu adresování IPv4 a zároveň umožňuje snadnou změnu nového schématu veřejného adresování. To znamená, že organizace může změnit poskytovatele a nemusí měnit žádného ze svých interních zákazníků;

NAT poskytuje zabezpečení sítě. Protože privátní sítě neinzerují své adresy ani vnitřní topologii, zůstávají zcela bezpečné, když jsou používány ve spojení s NAT k dosažení řízeného externího přístupu. Musíte však pochopit, že NAT nenahrazuje firewally;

NAT má ale některé nevýhody. Skutečnost, že hostitelé na internetu komunikují přímo se zařízením podporujícím NAT, spíše než se skutečným hostitelem v privátní síti, vytváří řadu problémů:

Jedna z nevýhod použití NAT souvisí s výkonem sítě, zejména u protokolů v reálném čase jako např VoIP. NAT zvyšuje zpoždění při přepínání, protože překlad každé IPv4 adresy v hlavičkách paketů zabere čas;
Další nevýhodou použití NAT je ztráta end-to-end adresování. Mnoho internetových protokolů a aplikací závisí na end-to-end adresování od zdroje k cíli. Některé aplikace nepracují s NAT. Aplikace, které používají spíše fyzické adresy než kvalifikovaný název domény, nedosahují cílů, které jsou překládány prostřednictvím směrovače NAT. Někdy lze tomuto problému předejít implementací statického mapování NAT;
Ztratí se také úplné trasování IPv4. Je obtížnější sledovat pakety, které procházejí více změnami adresy paketů přes více směrů NAT, což ztěžuje odstraňování problémů;
Použití NAT také brání tunelovacím protokolům, jako je IPsec, protože NAT mění hodnoty v hlavičkách, které narušují kontroly integrity prováděné protokolem IPsec a dalšími tunelovacími protokoly;
Mohou být narušeny služby, které vyžadují inicializaci připojení TCP z externí sítě, nebo bezstavové protokoly, jako jsou protokoly používající UDP. Pokud směrovač NAT není nakonfigurován pro podporu takových protokolů, příchozí pakety nemohou dosáhnout svého cíle;

Byl pro vás tento článek užitečný?

Řekni mi prosím proč?

Je nám líto, že pro vás článek nebyl užitečný: (Pokud to není obtížné, uveďte proč? Budeme velmi vděční za podrobnou odpověď. Děkujeme, že nám pomáháte být lepšími!

Dobře, zapomeňme na chvíli na tyto texty.
Obecně řečeno, přístupové seznamy jsou různé:

Standard
- Pokročilý
- Dynamický
- Reflexní
- Časově založené

Na první dva dnes zaměříme svou pozornost a o všech si můžete přečíst více z ciska.

Příchozí a odchozí provoz

Pro začátek si ujasněme jednu věc. Co myslíte příchozím a odchozím provozem? To budeme v budoucnu potřebovat. Příchozí provoz je ten, který přichází do rozhraní zvenčí.

Odchozí je ten, který je odeslán z rozhraní ven.

Přístupový seznam můžete aplikovat buď na příchozí provoz, pak se nechtěné pakety ani nedostanou do routeru a tedy dále do sítě, nebo na odchozí provoz, pak pakety dorazí do routeru, jsou jím zpracovány, dosáhnou cílové rozhraní a jsou na něm pouze vypuštěny.

Standardní přístupový seznam kontroluje pouze adresu odesílatele. Rozšířené – adresa odesílatele, adresa příjemce a port. Doporučuje se umístit standardní ACL co nejblíže k příjemci (aby nedošlo k přeříznutí více, než je nutné), a rozšířené - blíže k odesílateli (aby se nechtěný provoz co nejdříve upustil).

Praxe

Pojďme rovnou ke cvičení. Co bychom měli omezit v naší malé síti „Lift mi Up“?

A) WEB server. Povolit přístup všem na portu TCP 80 (protokol HTTP). Pro zařízení, ze kterého bude ovládání prováděno (máme admina), musíte otevřít telnet a ftp, ale my mu dáme plný přístup. Všichni ostatní zavěsí.

B) Souborový server. Měli bychom mít obyvatele Lift Mi Up k němu přistupovat přes porty pro sdílené složky a všichni ostatní přes FTP.

B) Poštovní server. Zde nám běží SMTP a POP3, tedy TCP porty 25 a 110. Otevíráme také přístup pro správu pro administrátora. Blokujeme ostatní.

D) Pro budoucí DNS server musíte otevřít UDP port 53

E) Povolit zprávy ICMP do sítě serverů

E) Vzhledem k tomu, že máme síť Other pro všechny nestraníky, kteří nejsou zahrnuti v oddělení FEO, VET a Accounting Department, omezíme je všechny a poskytneme pouze určitý přístup (včetně nás a administrátora)

f) Do ovládací sítě by měl být opět vpuštěn pouze správce a samozřejmě váš blízký.

G) Nebudeme vytvářet bariéry v komunikaci mezi zaměstnanci oddělení.

a) Přístup na WEB server

Zde máme politiku zákazu všeho, co není povoleno. Proto nyní musíme něco otevřít a vše ostatní zavřít.
Protože chráníme síť serverů, pověsíme list na rozhraní směřující k nim, tedy na FE0/0.3 Otázka je pouze na v nebo při ven musíme to udělat? Pokud nechceme posílat pakety na servery, které jsou již na routeru, pak se bude jednat o odchozí provoz. To znamená, že v síti serverů budeme mít cílové adresy (ze kterých si vybereme, na který server bude provoz směřovat) a zdrojové adresy mohou být jakékoli – jak z naší podnikové sítě, tak z internetu.
Ještě poznámka: protože budeme filtrovat také podle cílové adresy (existují některá pravidla pro WEB server a jiná pro poštovní server), budeme potřebovat rozšířený seznam řízení přístupu, který nám to umožňuje .

Pravidla v přístupovém seznamu jsou kontrolována v pořadí shora dolů až po první shodu. Jakmile je spuštěno jedno z pravidel, bez ohledu na to, zda je povoleno nebo zakázáno, kontrola se zastaví a provoz je zpracován na základě spuštěného pravidla.
To znamená, že pokud chceme chránit WEB server, musíme nejprve udělit oprávnění, protože pokud nakonfigurujeme v prvním řádku odepřít ip jakoukoli- pak to bude fungovat vždy a provoz nebude proudit vůbec. Žádný- toto je speciální slovo, které znamená síťovou adresu a reverzní masku 0.0.0.0 0.0.0.0 a znamená, že pod pravidlo spadají absolutně všechny uzly ze všech sítí. Další speciální slovo je hostitel- znamená masku 255.255.255.255 - tedy přesně jednu zadanou adresu.
Takže první pravidlo: povolit přístup všem na portu 80

msk-arbat-gw1(config-ext-nacl)# poznámka WEB
jakýkoli hostitel 172.16.0.2 ekv 80

Dovolit ( povolení) TCP provoz z libovolného uzlu ( žádný) hostit ( hostitel- přesně jedna adresa) 172.16.0.2, adresovaná na port 80.
Zkusme připojit tento přístupový seznam k rozhraní FE0/0.3:

msk-arbat-gw1(config-subif)# ip access-group Servers-out ven

Z kteréhokoli z našich připojených počítačů kontrolujeme:

Jak vidíte, stránka se otevře, ale co ten ping?

A tak z jakéhokoli jiného uzlu?

Faktem je, že po všech pravidlech v Cisco ACL, implicitní odepřít ip jakoukoli(implicitní popření). Co to pro nás znamená? Jakýkoli paket opouštějící rozhraní, který neodpovídá žádnému pravidlu v ACL, podléhá implicitnímu odmítnutí a je zahozen. To znamená, že zde nebude fungovat ani ping, dokonce ani FTP nebo cokoli jiného.

Pojďme dále: musíme dát plný přístup k počítači, ze kterého bude ovládání prováděno. Toto bude počítač našeho administrátora s adresou 172.16.6.66 z jiné sítě.
Každé nové pravidlo se automaticky přidá na konec seznamu, pokud již existuje:

msk-arbat-gw1(config)#
msk-arbat-gw1(config-ext-nacl)# povolit tcp hostitel 172.16.6.66 hostitel 172.16.0.2 rozsah 20 ftp
msk-arbat-gw1(config-ext-nacl)# allow tcp host 172.16.6.66 host 172.16.0.2 eq telnet

To je vše. Zkontrolujeme z požadovaného uzlu (protože servery v Republice Tatarstan nepodporují telnet, zkontrolujeme na FTP):

To znamená, že zpráva FTP dorazila do routeru a měla by opustit rozhraní FE0/0.3. Router zkontroluje a uvidí, že paket odpovídá pravidlu, které jsme přidali, a projde ho.

A z cizího uzlu

FTP paket neodpovídá žádnému pravidlu kromě implicitního deny ip any any a je zahozen.

b)Přístup k souborovému serveru

Zde se nejprve musíme rozhodnout, kdo bude „rezidentem“ a kdo potřebuje mít přístup. Samozřejmě jde o ty, kteří mají adresu ze sítě 172.16.0.0/16 - pouze jim bude umožněn přístup.
Nyní se sdílenými složkami. Většina moderních systémů k tomu již používá protokol SMB, který vyžaduje port TCP 445. Na starších verzích se používal NetBios, který byl napájen až třemi porty: UDP 137 a 138 a TCP 139. Po dohodě s naším adminem jsme nakonfiguruje port 445 (opravdu zkontrolujte v rámci Republiky Tatarstán, to samozřejmě nepůjde). Ale kromě toho budeme potřebovat porty pro FTP - 20, 21, a to nejen pro interní hostitele, ale také pro připojení z internetu:

msk-arbat-gw1(config)# ip access-list rozšířený Server-out
msk-arbat-gw1(config-ext-nacl)# allow tcp 172.16.0.0 0.0.255.255 hostitel 172.16.0.3 ekv. 445
msk-arbat-gw1(config-ext-nacl)# allow tcp žádný hostitel 172.16.0.3 rozsah 20 21

Zde jsme znovu použili design rozsah 20 21- za účelem určení několika portů v jednom řádku. Pro FTP, obecně řečeno, pouze port 21 nestačí. Faktem je, že pokud otevřete pouze jej, budete autorizováni, ale přenos souborů nikoli.

0.0.255.255 - maska zástupných znaků. O co jde, si povíme trochu později.

c) Přístup k poštovnímu serveru

Pokračujeme v získávání praxe - nyní s poštovním serverem. Do stejného přístupového seznamu přidáme nové záznamy, které potřebujeme.
Místo čísel portů pro široce používané protokoly můžete zadat jejich názvy:

msk-arbat-gw1(config)# ip access-list rozšířený Server-out
msk-arbat-gw1(config-ext-nacl)#permit tcp any host 172.16.0.4 eq pop3
msk-arbat-gw1(config-ext-nacl)#permit tcp any host 172.16.0.4 eq smtp

d) DNS server

msk-arbat-gw1(config)# ip access-list rozšířený Server-out
msk-arbat-gw1(config-ext-nacl)# povolení udp 172.16.0.0 0.0.255.255 hostitel 172.16.0.5 ekv. 53

e) ICMP

Zbývá pouze opravit situaci pingu. Na přidání pravidel na konec seznamu není nic špatného, ale jaksi bude estetičtější vidět je na začátku.
K tomu používáme jednoduchý cheat. K tomu můžete použít například textový editor. Zkopírujte tam část o ACL ze show run a přidejte následující řádky:
no ip access-list rozšířený Server-out
ip access-list rozšířený Server-out
povolit icmp jakékoli
poznámka WEB

poznámka SOUBOR

poznámka MAIL

poznámka DNS

V prvním řádku smažeme stávající seznam, poté jej znovu vytvoříme a vypíšeme všechna nová pravidla v pořadí, jaké potřebujeme. Příkazem na třetím řádku jsme umožnili průchod všech ICMP paketů z libovolných hostitelů na libovolné hostitele.

Dále vše jednoduše hromadně zkopírujeme a vložíme do konzole. Rozhraní interpretuje každý řádek jako samostatný příkaz a provede jej. Starý seznam jsme tedy nahradili novým.
Zkontrolujeme, zda je ping:

Báječné.

Tento „cheat“ je dobrý pro počáteční konfiguraci nebo pokud přesně rozumíte tomu, co děláte. V pracovní síti, když konfigurujete ACL vzdáleně, riskujete, že zůstanete bez přístupu k hardwaru, který nastavujete.

Chcete-li vložit pravidlo na začátek nebo jakékoli jiné požadované místo, můžete se uchýlit k této technice:
ip access-list rozšířený Server-out
1 povolení icmp jakékoli jakékoli

Každé pravidlo v seznamu je očíslováno určitým krokem, a pokud před slovo povolit/zakázat číslo, pravidlo se přidá nikoli na konec, ale na místo, které potřebujete. Bohužel tato funkce v RT nefunguje.
Pokud je to náhle nutné (všechna po sobě jdoucí čísla mezi pravidly jsou obsazena), můžete pravidla vždy přečíslovat (v tomto příkladu je číslo prvního pravidla přiřazeno 10 (první číslo) a přírůstek je 10):
IP access-list resekvence Servers-out 10 10

V důsledku toho bude přístupový seznam pro síť serveru vypadat takto:
ip access-list rozšířený Server-out
povolit icmp jakékoli
poznámka WEB
permit tcp jakýkoli hostitel 172.16.0.2 eq www
povolení tcp hostitel 172.16.6.66 hostitel 172.16.0.2 rozsah 20 ftp
povolení tcp hostitel 172.16.6.66 hostitel 172.16.0.2 ekv telnet
poznámka SOUBOR
povolení tcp 172.16.0.0 0.0.255.255 hostitel 172.16.0.3 ekv. 445
allow tcp any host 172.16.0.3 range 20 21
poznámka MAIL
allow tcp any host 172.16.0.4 eq pop3
allow tcp any host 172.16.0.4 eq smtp
poznámka DNS
povolení udp 172.16.0.0 0.0.255.255 hostitel 172.16.0.5 ekv 53

V současné době má náš administrátor přístup pouze k WEB serveru. Poskytněte mu plný přístup k celé síti. Toto je první domácí úkol.

f) Práva uživatelů z Jiné sítě

Doteď jsme potřebovali nepouštěj dovnitř někoho někde, takže jsme věnovali pozornost cílové adrese a připojili přístupový seznam k provozu odcházejícímu z rozhraní.

Teď potřebujeme neuvolňujte: Žádné požadavky z počítačů v jiné síti by neměly jít za hranice. Tedy samozřejmě kromě těch, které výslovně povolujeme.

msk-arbat-gw1(config)# ip access-list rozšířený Other-in

msk-arbat-gw1(config-ext-nacl)# povolit ip hostitele 172.16.6.61 libovolný

Zde jsme nemohli nejprve všechny odepřít a poté povolit pár vyvoleným, protože pod pravidlo by spadaly naprosto všechny balíčky odepřít ip jakoukoli A povolení vůbec by nefungovalo.
Aplikujeme to na rozhraní. Tentokrát u vchodu:

msk-arbat-gw1(config)#int fa0/0.104
msk-arbat-gw1(config-subif)#ip access-group Other-in v

to znamená, že všechny IP pakety z hostitele s adresou 172.16.6.61 nebo 172.16.6.66 mohou být předány kamkoli, kam jsou určeny. Proč zde také používáme rozšířený přístupový seznam? Ostatně by se zdálo, že kontrolujeme pouze adresu odesílatele. Protože jsme administrátorovi dali plný přístup, ale například host společnosti „Lift mi Up“, který se dostane do stejné sítě, nemá absolutně žádný přístup k ničemu kromě internetu.

g) Řídicí síť

Nic složitého. Pravidlo bude vypadat takto:

msk-arbat-gw1(config)# ip access-list rozšířený Management-out
msk-arbat-gw1(config-ext-nacl)# poznámka IAM
msk-arbat-gw1(config-ext-nacl)# povolit ip hostitele 172.16.6.61 172.16.1.0 0.0.0.255
msk-arbat-gw1(config-ext-nacl)# poznámka ADMIN
msk-arbat-gw1(config-ext-nacl)# povolit ip hostitele 172.16.6.66 172.16.1.0 0.0.0.255

Tento ACL aplikujeme na out na rozhraní FE 0/0.2:

msk-arbat-gw1(config)# int fa0/0.2
msk-arbat-gw1(config-subif)#ip access-group Management-out

g) Žádná další omezení

Připraveno

Maska a reverzní maska

Až dosud jsme bez vysvětlení uváděli podivný parametr jako 0.0.255.255, který podezřele připomíná masku podsítě.
Trochu obtížné na pochopení, ale to je to, co se zpětná maska používá k určení, kteří hostitelé budou podléhat pravidlu.
Abyste pochopili, co je reverzní maska, musíte vědět, co je běžná maska.

Začněme tím nejjednodušším příkladem.

Běžná síť s 256 adresami: například 172.16.5.0/24. Co tento záznam znamená?
A to znamená přesně následující

IP adresa. Desetinný zápis	172	16	5	0
IP adresa. Binární zápis	10101100	00010000	00000101	00000000
	11111111	11111111	11111111	00000000
	255	255	255	0

IP adresa je 32bitový parametr rozdělený na 4 části, které jste zvyklí vidět v desítkové podobě.
Maska podsítě je také dlouhá 32 bitů – je to vlastně šablona, vzorník, který určuje adresu podsítě adresy. Tam, kde jsou v masce jedničky, se hodnota nemůže změnit, to znamená, že část 172.16.5 je zcela nezměněna a bude stejná pro všechny hostitele v této podsíti, ale část, kde jsou nuly, se liší.
To znamená, že v našem příkladu je 172.16.5.0/24 síťová adresa a hostitelé budou 172.16.5.1-172.16.5.254 (vysílá se posledních 255), protože 00000001 je 1 a 11111110 je 254 (mluvíme o posledním oktetu adresy). /24 znamená, že délka masky je 24 bitů, to znamená, že máme 24 jedniček - nezměněná část a 8 nul.
Jiný případ je, když je naše maska například 30bitová, nikoli 24bitová.
Například 172.16.2.4/30. Zapišme si to takto:

IP adresa. Desetinný zápis	172	16	2	4
IP adresa. Binární zápis	10101100	00010000	00000010	00000100
Maska podsítě. Binární zápis	11111111	11111111	11111111	11111100
Maska podsítě. Desetinný zápis	255	255	255	252

Jak vidíte, pro tuto podsíť se mohou změnit pouze poslední dva bity. Poslední oktet může nabývat následujících 4 hodnot:
00000100 – adresa podsítě (4 v desítkové soustavě)
00000101 - adresa uzlu (5)
00000110 - adresa uzlu (6)
00000111 - vysílání (7)
Vše mimo toto je jiná podsíť

To znamená, že nyní by vám mělo být trochu jasné, že maska podsítě je sekvence 32 bitů, kde nejprve jsou jedničky, což znamená adresa podsítě, pak jsou nuly, což znamená adresu hostitele. V tomto případě se nuly a jedničky v masce nemohou střídat. To znamená, že maska je 11111111.11100000.11110111.00000000 nemožné

Co je zpětná maska (zástupný znak)?
Pro drtivou většinu adminů a některých inženýrů to není nic jiného než obrácení obvyklé masky. To znamená, že nuly nejprve nastavují adresu části, která se musí nutně shodovat, a jedničky naopak nastavují volnou část.
To znamená, že v prvním příkladu, který jsme použili, pokud chcete filtrovat všechny hostitele z podsítě 172.16.5.0/24, nastavíte pravidlo v listu Přístup:
…. 172.16.5.0 0.0.0.255
Protože reverzní maska bude vypadat takto:

00000000.00000000.00000000.11111111

Ve druhém příkladu se sítí 172.16.2.4/30 bude reverzní maska vypadat takto: 30 nul a dvě jedničky:

Reverzní maska. Binární zápis	00000000	00000000	00000000	00000011
Reverzní maska. Desetinný zápis	0	0	0	3

Podle toho bude parametr v přístupovém seznamu vypadat takto:
…. 172.16.2.4 0.0.0.3
Později, až budete psa jíst při výpočtu masek a reverzních masek, zapamatujete si nejpoužívanější čísla, počet hostitelů v konkrétní masce, a pochopíte, že v popsaných situacích se získá poslední oktet reverzní masky. odečtením posledního oktetu běžné masky od 255 (255-252 =3) atd. Mezitím musíte tvrdě pracovat a počítat)

Ve skutečnosti je ale reverzní maska o něco bohatší nástroj, zde můžete kombinovat adresy v rámci stejné podsítě nebo dokonce kombinovat podsítě, ale nejdůležitější rozdíl je v tom, že můžete střídat nuly a jedničky. To vám umožňuje například filtrovat konkrétního hostitele (nebo skupinu) přes více podsítí pomocí jedné linky.

Příklad 1

Vzhledem k tomu: síť 172.16.16.0/24
Nezbytné: filtrovat prvních 64 adres (172.16.16.0-172.16.16.63)
Řešení: 172.16.16.0 0.0.0.63

Příklad 2

Vzhledem k tomu: sítě 172.16.16.0/24 a 172.16.17.0/24
Nezbytné: filtrovat adresy z obou sítí
Řešení: 172.16.16.0 0.0.1.255

Příklad 3

Vzhledem k tomu: Sítě 172.16.0.0-172.16.255.0
Nezbytné: filtrovat hostitele s adresou 4 ze všech podsítí
Řešení: 172.16.16.0 0.0.255.4

Operace ACL na obrázcích

Hypotetická síť:

1) Na routeru RT1 na rozhraní FE0/1 je povoleno vše kromě ICMP.

2) Na routeru RT2 na rozhraní FE0/1 je zakázáno opustit SSH a TELNET

Testy
klikací
1) Ping z PC1 na Server1

2) TELNET z PC1 na Server1

3) SSH z PC1 na Server2

4) Ping ze Server2 na PC1

Doplňky

1) Pravidla, která se vztahují na odchozí provoz (out), nebudou filtrovat provoz samotného zařízení. To znamená, že pokud potřebujete někde zakázat přístup k samotnému Cisco, pak budete muset filtrovat příchozí provoz na tomto rozhraní (odpovídající provoz z místa, kde potřebujete zakázat přístup).

2) Musíte být opatrní s ACL. Malá chyba v pravidle, nesprávné pořadí konfigurace nebo obecně špatně promyšlený seznam vás mohou nechat bez přístupu k zařízení.
Chcete například zablokovat přístup kdekoli pro síť 172.16.6.0/24 kromě vaší adresy 172.16.6.61 a nastavit pravidla takto:

odepřít IP 172.16.6.0 0.0.0.255 libovolná
povolit ip hostitele 172.16.6.61 jakýkoli

Jakmile aplikujete ACL na rozhraní, okamžitě ztratíte přístup k routeru, protože spadáte pod první pravidlo a druhé není ani zaškrtnuto.
Druhá nepříjemná situace, která se vám může stát: provoz, který se neměl dostat pod ACL.
Představte si tuto situaci: v serverovně máme FTP server v pasivním režimu. Pro přístup k němu jste otevřeli 21. port v ACL Servery-out. Po navázání počátečního připojení FTP server informuje klienta o portu, na kterém je připraven přenášet/přijímat soubory, například 1523. Klient se pokusí navázat TCP spojení na tomto portu, ale narazí na ACL Servers-out, kde takové oprávnění není – a tím příběh o úspěšném přenosu končí. V našem příkladu výše, kde jsme nastavili přístup k souborovému serveru, jsme otevřeli přístup pouze 20. a 21., protože to pro příklad stačí. V reálném životě budete muset šťourat. Několik příkladů konfigurací ACL pro běžné případy.

3) Z bodu 2 vyplývá velmi podobný a zajímavý problém.
Chtěli jste například umístit následující ACL na internetové rozhraní:

access-list out permit tcp host 1.1.1.1 host 2.2.2.2 eq 80
přístupový seznam v permit tcp host 2.2.2.2 any eq 80

Zdálo by se: hostitel s adresou 1.1.1.1 má povolen přístup přes port 80 k serveru 2.2.2.2 (první pravidlo). A zpět ze serveru 2.2.2.2 jsou povolena vnitřní připojení.
Ale nuance je v tom, že počítač 1.1.1.1 naváže spojení s portem 80, ale z nějakého jiného portu, například 1054, to znamená, že paket odpovědi ze serveru dorazí na soket 1.1.1.1:1054, nespadá pod pravidlo v ACL je na IN a je zahozeno kvůli implicitnímu odmítnutí ip any any.
Abyste se této situaci vyhnuli a neotevírali celou řadu portů, můžete se uchýlit k tomuto triku v ACL na:

permit tcp host 2.2.2.2 jakýkoli zaveden.

Podrobnosti o tomto řešení naleznete v jednom z následujících článků.

4) Když už mluvíme o moderním světě, nelze ignorovat takový nástroj, jako jsou skupiny objektů (Object-group).

Řekněme, že potřebujete vytvořit ACL, které uvolní tři konkrétní adresy na internetu na třech stejných portech s vyhlídkou na rozšíření počtu adres a portů. Jak to vypadá bez znalosti skupin objektů:

ip access-list rozšířený TO-INTERNET
permit tcp host 172.16.6.66 any eq 80
permit tcp host 172.16.6.66 any eq 8080
permit tcp host 172.16.6.66 any eq 443
Povolit hostitele tcp 172.16.6.67 jakýkoli ekv 80
permit tcp host 172.16.6.67 any eq 8080
permit tcp host 172.16.6.67 any eq 443
Povolit hostitele tcp 172.16.6.68 jakýkoli ekv 80
permit tcp host 172.16.6.68 any eq 8080
permit tcp host 172.16.6.68 any eq 443

S rostoucím počtem parametrů je údržba takového ACL stále obtížnější a při konfiguraci je snadné dělat chyby.
Pokud se však obrátíme na skupiny objektů, nabývá to následující podoby:

služba objektové skupiny INET-PORTS
popis Porty povolené pro některé hostitele
tcp eq www
tcp eq 8080
tcp ekv 443
Síť objektových skupin HOSTS-TO-INET
popis Hostitelé mohou procházet síť
hostitel 172.16.6.66
hostitel 172.16.6.67
hostitel 172.16.6.68
IP access-list rozšířený INET-OUT
allow object-group INET-PORTS object-group HOSTS-TO-INET any

Na první pohled to vypadá trochu hrozivě, ale když se na to podíváte, je to velmi pohodlné.

4) Velmi užitečné informace pro odstraňování problémů lze získat z výstupu příkazu zobrazit ip přístupové seznamy %ACL name%. Kromě skutečného seznamu pravidel pro zadaný ACL tento příkaz zobrazuje počet shod pro každé pravidlo.

msk-arbat-gw1#sh ip přístupové seznamy nat-inet
Rozšířený přístupový seznam IP nat-inet

(4 zápasy)

A přidáním na konec jakéhokoli pravidla log, budeme moci do konzole přijímat zprávy o každém zápase. (druhé nefunguje v PT)

NAT

Překlad síťových adres je od roku 1994 naprosto nezbytným mechanismem v ekonomice. Mnoho relací o tom je přerušeno a pakety jsou ztraceny.
Nejčastěji je potřeba pro připojení vaší lokální sítě k internetu. Faktem je, že teoreticky existuje 255*255*255*255=4 228 250 625 adres. I kdyby měl každý obyvatel planety jen jeden počítač, už by nebylo dost adres. Ale tady se žehličky nepřipojují k internetu. Chytří lidé si to uvědomili již na počátku 90. let a jako dočasné řešení navrhli rozdělení adresního prostoru na veřejný (bílý) a soukromý (soukromý, šedý).
Ten zahrnuje tři rozsahy:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Ty jsou zdarma k použití ve vaší privátní síti, takže se samozřejmě budou opakovat. A co jedinečnost? Komu WEB server odpoví, když obdrží požadavek se zpáteční adresou 192.168.1.1? Rostelecom? Společnost Tatneft? Nebo váš vnitřní Long? Na velkém internetu o privátních sítích nikdo nic neví – nejsou směrované.
Zde vstupuje do hry NAT. Celkově vzato je to podvod, nastavení. Na mazacím zařízení je vaše soukromá adresa, zhruba řečeno, jednoduše nahrazena bílou adresou, která se objeví dále v paketu při jeho cestě na WEB server. Bílé adresy jsou ale směrovány velmi dobře a paket se určitě vrátí zpět do třecího zařízení.
Ale jak to zase pochopí, co s tím dál? Pojďme na to přijít.

Typy NAT

Statický

V tomto případě je jedna interní adresa převedena na jednu externí adresu. A zároveň budou všechny požadavky přicházející na externí adresu přeloženy na interní. Jako by tento hostitel byl vlastníkem této bílé IP adresy.

Nakonfigurováno pomocí následujícího příkazu:

Router (config)# IP nat uvnitř zdroje statické 172.16.6.5 198.51.100.2

Co se děje:
1) Uzel 172.16.6.5 přistupuje k WEB serveru. Odešle paket IP, kde cílová adresa je 192.0.2.2 a adresa odesílatele je 172.16.6.5.

2) Paket je doručen přes podnikovou síť na bránu 172.16.6.1, kde je nakonfigurován NAT

3) Podle nakonfigurovaného příkazu router odstraní aktuální IP hlavičku a změní ji na novou, kde se již jako adresa odesílatele objevuje bílá adresa 198.51.100.2.

4) Přes internet se aktualizovaný balíček dostane na server 192.0.2.2.

5) Vidí, že odpověď musí být odeslána na 198.51.100.2 a připraví paket IP odpovědi. Jako adresa odesílatele je samotná adresa serveru 192.0.2.2, cílová adresa je 198.51.100.2

6) Paket letí zpět přes internet a ne nutně stejnou cestou.

7) Odírací zařízení indikuje, že všechny požadavky na adresu 198.51.100.2 mají být přesměrovány na 172.16.6.5. Router opět odřízne uvnitř skrytý TCP segment a nastaví novou IP hlavičku (zdrojová adresa se nemění, cílová adresa je 172.16.6.5).

8) Paket je vrácen přes vnitřní síť iniciátorovi, který ani neví, jaké zázraky se mu na hranici přihodily.
A tak to bude se všemi.
Navíc, pokud je připojení iniciováno z internetu, pakety automaticky, procházející přes mazací zařízení, dosáhnou interního hostitele.

Tento přístup je užitečný, když máte uvnitř sítě server, který potřebuje plný přístup zvenčí. Tuto možnost samozřejmě nemůžete použít, pokud chcete prostřednictvím jedné adresy zpřístupnit internetu tři sta hostitelů. Tato volba NAT nijak nepomůže zachovat bílé IP adresy, ale přesto může být užitečná.

Dynamický

Máte skupinu bílých adres, například váš poskytovatel vám přidělil síť 198.51.100.0/28 s 16 adresami. Dvě z nich (první a poslední) jsou síťová adresa a vysílací adresa, další dvě adresy jsou přiřazeny zařízení pro zajištění směrování. Zbývajících 12 adres můžete použít pro NAT a přes ně uvolnit své uživatele.
Situace je podobná jako u statického NATu – jedna soukromá adresa je přeložena na jednu externí – ale nyní ta externí není jasně fixní, ale bude se vybírat dynamicky z daného rozsahu.
Je nakonfigurován takto:

Router(config)#ip nat pool lol_pool 198.51.100.3 198.51.103.14

Zadaný fond (rozsah) veřejných adres, ze kterého bude vybrána adresa, která má být natována

Router(config)#access-list 100 povolení ip 172.16.6.0 0.0.0.255 libovolná

Nastavili jsme přístupový seznam, který povoluje všechny pakety se zdrojovou adresou 172.16.6.x, kde X se liší 0-255.

Router(config)#ip nat uvnitř seznamu zdrojů 100 pool lol_pool

Tímto příkazem propojíme vytvořený ACL a pool.

Tato možnost také není univerzální, pokud nemáte 300 externích adres, nebudete moci uvolnit všechny ze svých 300 uživatelů. Jakmile budou bílé adresy vyčerpány, nikdo nový nebude mít přístup k internetu. Zároveň budou fungovat ti uživatelé, kteří si již pro sebe dokázali urvat externí adresu. Tým vám pomůže zahodit všechna aktuální vysílání a uvolnit externí adresy jasný překlad IP nat *
Kromě dynamického přidělování externích adres se tento dynamický NAT od statického NAT liší tím, že bez samostatné konfigurace předávání portů již není možné externí připojení k jedné z adres fondu.

Mnoho ku jednomu

Následující typ má několik názvů: NAT Overload, Port Address Translation (PAT), IP Masquerading, Many-to-One NAT.
Příjmení mluví samo za sebe – přes jednu externí adresu vyráží do světa mnoho soukromých. To umožňuje vyřešit problém s nedostatkem externích adres a vypustit všechny do světa.
Zde bychom měli vysvětlit, jak to funguje. Dokážete si představit, jak se dvě soukromé adresy překládají do jedné, ale jak router rozumí tomu, kdo potřebuje přeposlat paket vrácený z internetu na tuto adresu?
Vše je velmi jednoduché:
Předpokládejme, že pakety přicházejí ze dvou hostitelů ve vnitřní síti do zařízení s mazáním. Oba s požadavkem na WEB server 192.0.2.2.
Data od hostitelů vypadají takto:

Router odkryje IP paket z prvního hostitele, extrahuje z něj TCP segment, vytiskne jej a zjistí, ze kterého portu se spojení navazuje. Má externí adresu 198.51.100.2, na kterou se změní adresa z vnitřní sítě.
Dále vybere volný port, například 11874. A co udělá dál? Zabalí všechna data na úrovni aplikace do nového segmentu TCP, kde cílový port stále zůstává 80 (zde WEB server čeká na připojení) a port odesílatele se změní z 23761 na 11874. Tento segment TCP je zapouzdřen v nové IP adrese paket, kde se IP adresa odesílatele změní z 172.16.6.5 na 198.51.100.2.
Totéž se stane pro paket z druhého hostitele, pouze je vybrán další volný port, například 11875. „Volný“ znamená, že již není obsazen jinými takovými spojeními.
Data odesílaná na internet budou nyní vypadat takto.

Do své tabulky NAT zadává údaje o odesílatelích a příjemcích

Pro WEB server se jedná o dva zcela odlišné požadavky, které musí zpracovat každý samostatně. Poté odešle odpověď, která vypadá takto:

Když jeden z těchto paketů dosáhne našeho routeru, porovná data v tomto paketu s jeho položkami v tabulce NAT. Pokud je nalezena shoda, dojde k opačnému postupu - paket a TCP segment se vrátí do svých původních parametrů pouze jako cíl:

A nyní jsou pakety doručovány po vnitřní síti iniciujícím počítačům, které si ani neuvědomují, že někde bylo s jejich daty na hranicích tak tvrdě zacházeno.

Každý hovor, který provedete, je samostatné spojení. To znamená, že jste se pokusili otevřít webovou stránku – jedná se o protokol HTTP využívající port 80. K tomu musí váš počítač navázat TCP relaci se vzdáleným serverem. Taková relace (TCP nebo UDP) je definována dvěma sokety: lokální IP adresa: lokální port a vzdálená IP adresa: vzdálený port. V normální situaci máte jedno připojení počítač-server, ale v případě NAT to budou dvě připojení: router-server a počítač si myslí, že má relaci počítač-server.

Nastavení se mírně liší: s dodatečným přetížením slov:

Router(config)#access-list 101 permit 172.16.4.0 0.0.0.255
Router(config)#ip nat uvnitř seznamu zdrojů 101 rozhraní fa0/1 přetížení

V tomto případě je samozřejmě možné nakonfigurovat fond adres:

Router(config)#ip nat pool lol_pool 198.51.100.2 198.51.103.14
Router(config)#access-list 100 povolení 172.16.6.0 0.0.0.255
Router(config)#ip nat uvnitř seznamu zdrojů 100 pool lol_pool přetížení

Přesměrování portů

Jinak se také říká přesměrování portů nebo mapování.
Když jsme poprvé začali mluvit o NAT, měli jsme vysílání one-to-one a všechny požadavky přicházející zvenčí byly automaticky přesměrovány na interní hostitele. Tímto způsobem by bylo možné vystavit server internetu.
Ale pokud takovou příležitost nemáte - jste omezeni bílými adresami nebo nechcete navenek vystavovat celou hromadu portů, co byste měli dělat?
Můžete určit, že všechny požadavky přicházející na konkrétní bílou adresu a konkrétní port routeru by měly být předány na požadovaný port požadované interní adresy.

Router(config)#ip nat uvnitř zdroje statický tcp 172.16.0.2 80 198.51.100.2 80 rozšiřitelný

Použití tohoto příkazu znamená, že požadavek TCP přicházející z internetu na adresu 198.51.100.2 na portu 80 bude přesměrován na interní adresu 172.16.0.2 na stejném portu 80. Samozřejmě můžete také přeposílat UDP a přesměrovávat z jednoho portu na druhý. To může být například užitečné, pokud máte dva počítače, které potřebují přístup přes RDP zvenčí. RDP používá port 3389. Nemůžete předávat stejný port různým hostitelům (při použití stejné externí adresy). Takže můžete udělat toto:

Router(config)# IP nat uvnitř zdroje static tcp 172.16.6.61 3389 198.51.100.2 3389
Router(config)# IP nat uvnitř zdroje static tcp 172.16.6.66 3389 198.51.100.2 3398

Poté, abyste se dostali k počítači 172.16.6.61, spusťte relaci RDP na portu 198.51.100.2:3389 a na 172.16.6.66 - 198.51.100.2:3398. Router sám distribuuje vše tam, kde je potřeba.

Mimochodem, tento příkaz je speciální případ toho úplně prvního: ip nat inside source static 172.16.6.66 198.51.100.2. Pouze v tomto případě mluvíme o přesměrování veškerého provozu a v našich příkladech o konkrétních portech protokolu TCP.

Takto funguje NAT obecně. O jeho vlastnostech a výhodách/záporech bylo napsáno mnoho článků, ale nelze je ignorovat.

Slabé a silné stránky NAT

+

- Nejdříve NAT umožňuje ukládat veřejné IP adresy. Přesně pro to byl stvořen. Prostřednictvím jedné adresy je teoreticky možné vydat více než 65 000 šedých adres (podle počtu portů).
- Za druhé, PAT a dynamický NAT jsou do jisté míry firewally, které brání externím připojením dosáhnout koncových počítačů, které nemusí mít vlastní firewall a antivirus. Faktem je, že pokud přijde paket zvenčí do třecího zařízení, který se zde neočekává nebo není povolen, je jednoduše zahozen.
Aby paket mohl projít a zpracovat, musí být splněny následující podmínky:
1) V tabulce NAT musí být položka pro tuto externí adresu uvedenou jako zdrojová adresa v paketu
A
2) Zdrojový port v paketu se musí shodovat s portem pro tuto bílou adresu v položce
A
3) Cílový port v paketu odpovídá portu v položce.
NEBO
Přesměrování portů je nakonfigurováno.
Ale nemusíte považovat NAT přesně za firewall – není to nic jiného než další bonus.

- Třetí, NAT skryje vnitřní strukturu vaší sítě před zvědavýma očima - při sledování trasy zvenčí neuvidíte nic za natujícím zařízením.

-

NAT má také nevýhody. Nejvýznamnější z nich jsou možná následující:
- Některé protokoly nemohou fungovat přes NAT bez berliček. Například FTP nebo tunelovací protokoly (navzdory tomu, jak snadno nastavím FTP v laboratoři, v reálném životě to může způsobit spoustu problémů)
- Další problém spočívá v tom, že existuje mnoho požadavků z jedné adresy na jeden server. Mnozí toho byli svědky, když jdete na nějaký Rapidshare, a tam se píše, že už tam bylo spojení z vaší IP, myslíte si, že „lžete, pse“, a je to váš soused, kdo už ciká. Ze stejného důvodu byly problémy s ICQ, když se servery odmítly zaregistrovat.
- Nyní nepříliš palčivý problém: zatížení procesoru a RAM. Vzhledem k tomu, že množství práce je poměrně velké ve srovnání s jednoduchým směrováním (nestačí se podívat na hlavičku IP, musíte ji odstranit, odstranit hlavičku TCP, zadat ji do tabulky, přidat nové hlavičky) v malých kancelářích jsou s tím problémy.
Narazil jsem na tuto situaci.
Jedním z možných řešení je přesunout funkci NAT na samostatné PC nebo na specializované zařízení, jako je Cisco ASA.
Pro velké hráče, jejichž routery provozují 3-4 BGP full-view, to nyní není problém.

Co ještě potřebujete vědět?
- NAT se používá hlavně k poskytování přístupu k internetu hostitelům se soukromými adresami. Existuje ale další aplikace – komunikace mezi dvěma privátními sítěmi s protínajícími se adresními prostory.
Vaše společnost například koupí pobočku v Aktobe. Vaše adresa je 10.0.0.0-10.1.255.255 a jejich adresa je 10.1.1.0-10.1.10.255. Rozsahy se jasně překrývají, neexistuje způsob, jak nakonfigurovat směrování, protože stejná adresa může být v Aktobe a ve vašem ústředí.
V tomto případě je NAT nakonfigurován na křižovatce. Protože nemáme dostatek šedých adres, můžeme vybrat například rozsah 10.2.1.0-10.2.10.255 a provést vysílání jeden na jednoho:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2
…
10.1.10.255-10.2.10.255

U velkých hraček pro dospělé může být NAT implementován na samostatné desce (a často je) a bez něj nebude fungovat. Na kancelářském hardwaru je naopak téměř vždy jeden.

S rozšířenou implementací IPv6 zmizí potřeba NAT. Již nyní se začínají velcí zákazníci zajímat o funkcionalitu NAT64 - to je, když máte přístup do světa přes IPv4 a vnitřní síť je již na IPv6

Samozřejmě je to jen povrchní pohled na NAT a stále je zde spousta nuancí, ve kterých vám sebevzdělávání pomůže se neutopit.

Cvičení NAT

Co od nás vyžaduje realita?
1) Řídicí síť nemá vůbec přístup k internetu
2) Hostitelé ze sítě VET mají přístup pouze na specializované stránky, například Linkmeup.ru
3) Milé slečny z účetního oddělení potřebují otevřít okno do světa klientských bank.
4) FEO by neměl být uvolněn nikde kromě finančního ředitele
5) V jiné síti, náš počítač a počítač administrátora – dáme jim plný přístup k internetu. Všichni ostatní jej mohou otevřít na základě písemné žádosti.
6) Nezapomeňme na pobočky v Petrohradě a Kemerovu. Pro jednoduchost nakonfigurujme plný přístup pro uživatele z těchto podsítí.
7) Servery jsou jiná věc. Nastavíme jim přesměrování portů. Vše, co potřebujeme:
a) WEB server musí být přístupný na portu 80
b) Poštovní server na 25. a 110
c) Souborový server je přístupný ze světa přes FTP.
8) Počítače správce a naše počítače musí být přístupné z internetu přes RDP. Ve skutečnosti je to špatná cesta - pro vzdálené připojení musíte použít připojení VPN a již v místní síti použít RDP, ale to je téma na samostatný, zcela jiný článek.

Nejprve si připravíme testovací web:

Internetové připojení bude organizováno prostřednictvím existujícího odkazu poskytnutého poskytovatelem.
Jde do sítě poskytovatele. Připomínáme, že vše v tomto cloudu je abstraktní síť, která se ve skutečnosti může skládat z desítek routerů a stovek přepínačů. Potřebujeme ale něco ovladatelného a předvídatelného, takže sem nainstalujeme i router. Na jedné straně je odkaz z přepínače, na druhé je server na internetu.

Budeme potřebovat následující servery:
1. Dvě klientské banky pro účetní (sperbank.ru, mmm-bank.ru)
2. Linkmeup.ru pro studenty odborného výcviku
3. Yandex (yandex.ru)

Pro takové spojení vytvoříme další vlan na msk-arbat-gw1. Jeho číslo je samozřejmě dohodnuto s poskytovatelem. Ať je to VLAN 6
Předpokládejme, že nám poskytovatel poskytne podsíť 198.51.100.0/28. První dvě adresy slouží k uspořádání odkazu (198.51.100.1 a 198.51.100.2) a zbývající používáme jako fond pro NAT. Nikdo nám však nebrání použít pro bazén adresu 198.51.100.2. Pojďme to udělat: bazén: 198.51.100.2-198.51.100.14
Pro zjednodušení předpokládejme, že naše veřejné servery jsou umístěny ve stejné podsíti:
192.0.2.0/24 .
Již víte, jak nastavit odkaz a adresy.
Vzhledem k tomu, že v síti poskytovatele máme pouze jeden router a všechny sítě jsou k němu připojeny přímo, není potřeba konfigurovat směrování.
Ale náš msk-arbat-gw1 musí vědět, kam posílat pakety na internet, takže potřebujeme výchozí trasu:

msk-arbat-gw1(config)# ip route 0.0.0.0 0.0.0.0 198.51.100.1

Nyní v pořádku

Nejprve nastavíme fond adres

msk-arbat-gw1(config)# ip nat pool main_pool 198.51.100.2 198.51.100.14 maska sítě 255.255.255.240

Nyní shromažďujeme ACL:

msk-arbat-gw1(config)# ip access-list rozšířený nat-inet

1) Řídicí síť

nemá vůbec přístup k internetu
Připraveno

2) Hostitelé ze sítě odborného vzdělávání a přípravy

Mají přístup pouze na specializované stránky, například Linkmeup.ru

msk-arbat-gw1(config-ext-nacl)# permit tcp 172.16.3.0 0.0.0.255 hostitel 192.0.2.2 ekv 80

3) Účetnictví

Poskytujeme přístup všem hostitelům na obou serverech

msk-arbat-gw1(config-ext-nacl)# povolit ip 172.16.5.0 0.0.0.255 hostitel 192.0.2.3
msk-arbat-gw1(config-ext-nacl)# povolit ip 172.16.5.0 0.0.0.255 hostitel 192.0.2.4

4) FEO

Povolení dáváme pouze finančnímu řediteli – jedná se pouze o jednoho hostitele.

msk-arbat-gw1(config-ext-nacl)# povolit ip hostitele 172.16.4.123 libovolný

5) Jiné

Naše počítače s plným přístupem

msk-arbat-gw1(config-ext-nacl)# povolit ip hostitele 172.16.6.61 libovolný
msk-arbat-gw1(config-ext-nacl)# povolit ip hostitele 172.16.6.66 libovolný

6) Pobočky v Petrohradu a Kemerovu

Nechť jsou adresy Eniki stejné: 172.16.x.222

msk-arbat-gw1(config-ext-nacl)# povolit ip hostitele 172.16.16.222 libovolný
msk-arbat-gw1(config-ext-nacl)# povolit ip hostitele 172.16.17.222 libovolný
msk-arbat-gw1(config-ext-nacl)# povolit ip hostitele 172.16.24.222 libovolný

Takto nyní vypadá celý ACL:
ip access-list rozšířený nat-inet
poznámka PTO
permit tcp 172.16.3.0 0.0.0.255 hostitel 192.0.2.2 ekv www
poznámka ÚČETNICTVÍ
povolení ip 172.16.5.0 0.0.0.255 hostitel 192.0.2.3
povolení ip 172.16.5.0 0.0.0.255 hostitel 192.0.2.4
poznámka FEO
povolit ip hostitele 172.16.4.123 libovolný
poznámka IAM
povolit ip hostitele 172.16.6.61 jakýkoli
poznámka ADMIN
povolit ip hostitele 172.16.6.66 jakýkoli
poznámka SPB_VSL_ISLAND
povolit ip hostitele 172.16.16.222 jakýkoli
poznámka SPB_OZERKI
povolit ip hostitele 172.16.17.222 jakýkoli
poznámka KMR
povolit ip hostitele 172.16.24.222 jakýkoli

Pojďme spustit:

msk-arbat-gw1(config)# ip nat uvnitř zdrojového seznamu nat-inet pool main_pool přetížení

Ale štěstí nebude úplné bez přizpůsobení rozhraní:
Na externím rozhraní musíte zadat příkaz ip nat venku
Uvnitř: ip nat uvnitř

msk-arbat-gw1(config)# int fa0/0.101
msk-arbat-gw1(config)# int fa0/0.102
msk-arbat-gw1(config-subif)# ip nat uvnitř
msk-arbat-gw1(config)# int fa0/0.103
msk-arbat-gw1(config-subif)# ip nat uvnitř
msk-arbat-gw1(config)# int fa0/0.104
msk-arbat-gw1(config-subif)# ip nat uvnitř
Msk-arbat-gw1(config)# int fa0/1.6
msk-arbat-gw1(config-subif)# ip nat venku

To routeru umožní pochopit, kde očekávat pakety, které je třeba zpracovat, a kam je poslat později.

Aby byly servery na internetu přístupné podle názvu domény, bylo by hezké, kdybychom do naší sítě získali server DNS:

Přirozeně je potřeba jej zaregistrovat na těch zařízeních, ze kterých budeme kontrolovat přístup:

Show musí pokračovat!

Vše je dostupné z počítače správce:

Ze sítě VET je přístup pouze na web linkmeup.ru přes port 80 (HTTP):

V síti FEO jde do světa pouze 4.123 (finirektor)

V účetním oddělení fungují pouze stránky klient-banka. Ale protože oprávnění je uděleno výhradně protokolu IP, můžete je pingnout:

7) Servery

Zde musíme nakonfigurovat přesměrování portů, aby k nim bylo možné přistupovat z internetu:

a) Webový server

msk-arbat-gw1(config)# ip nat uvnitř zdroje statické tcp 172.16.0.2 80 198.51.100.2 80

Okamžitě si to ověříme, například to můžeme udělat z testovacího PC s adresou 192.0.2.7.
Nyní nebude nic fungovat, protože pro síť serverů nemáme nakonfigurované rozhraní pro msk-arbat-gw1:

msk-arbat-gw1(config)# int fa0/0.3
msk-arbat-gw1(config-subif)# ip nat uvnitř

A teď:

b) Souborový server

msk-arbat-gw1(config)# ip nat uvnitř zdroje statické tcp 172.16.0.3 20 198.51.100.3 20
msk-arbat-gw1(config)# ip nat uvnitř zdroje statické tcp 172.16.0.3 21 198.51.100.3 21

Za tímto účelem jsme v ACL Servers-out také otevřeli porty 20-21 pro všechny

c) Poštovní server

msk-arbat-gw1(config)# ip nat uvnitř zdroje statické tcp 172.16.0.4 25 198.51.100.4 25
msk-arbat-gw1(config)# ip nat uvnitř zdroje statické tcp 172.16.0.4 110 198.51.100.4 110

Také to není těžké zkontrolovat. Následuj instrukce:
Nejprve nastavíme poštovní server. Určíme doménu a vytvoříme dva uživatele.

Nastavení počítače z naší sítě:

Z externího:

Připravujeme dopis:

Na místním hostiteli klikněte na Přijmout:

8) Přístup přes RDP k počítačům správce a našim počítačům

msk-arbat-gw1(config)# ip nat uvnitř zdroje statické tcp 172.16.6.61 3389 198.51.100.10 3389
msk-arbat-gw1(config)# ip nat uvnitř zdroje statické tcp 172.16.6.66 3389 198.51.100.10 3398

Bezpečnost

Jedna poznámka na závěr. S největší pravděpodobností se vaše zařízení na mazání dívá ven pomocí vnějšího rozhraní IP nat – na internet. Proto by nebylo na škodu zavěsit na toto rozhraní ACL, kde zakážete, povolíte, co potřebujete. Touto problematikou se v tomto článku zabývat nebudeme.

V tuto chvíli lze považovat první seznámení s technologií NAT za dokončené.
Jako další DZ odpovězte na otázku, proč v Petrohradu a Kemerovu není přístup k internetu z počítačů Eniki. Ostatně už jsme je přidali do přístupového seznamu.

Už není novinkou, že není dostatek IP síťových adres pro všechna zařízení, která chtějí být na internetu. V současné době bylo nalezeno východisko z této situace vyvinutím protokolu IPv6, ve kterém je délka adresy 128 bitů, zatímco současný IPv4 je pouze 32 bitů. Ale na začátku 2000s našli jiné řešení - použít překlad síťových adres, zkráceně nat. Dále v článku nakonfigurujeme nat v routeru.

Vstup do nabídky nastavení routeru

Jako příklad si vezměme router ZyXEL řady ZyWALL USG a NXC5200.

Nejprve přejděte do nastavení routeru. Chcete-li to provést, v libovolném webovém prohlížeči zadejte do adresního řádku 192.168.1.1. (standardní adresa routeru), zobrazí se okno s výzvou k zadání přihlašovacího jména a hesla.

Do pole „Uživatelské jméno“ zadejte admin, do pole „Heslo“ zadejte 1234. Klikněte na „OK“.

Nastavení nat v routeru

V okně nabídky, které se otevře, přejděte na kartu „Konfigurace“ (ikona se dvěma ozubenými koly), poté na „Síť“ a poté na „Směrování“. Ve vybraném okně přejděte na kartu „Směrování zásad“.

Nabídka nastavení routeru ZyXEL

V této nabídce se konfigurují zásady směrování. V oblasti „Kritéria“ nastavujeme kritéria pro výběr provozu – který provoz je třeba vysílat (ve skutečnosti nakonfigurovat nat) a který by měl být jednoduše směrován. Provoz lze vybrat podle několika kritérií:

Uživatel (Uživatel);
Podle rozhraní (příchozí);
Podle zdrojové IP adresy;
Podle IP adresy příjemce (cílová adresa);
Podle cílového portu (služby).

V oblasti „Next-Hop“ přiřadíme objekt k přesměrování provozu:

Výběr objektu přesměrování routeru ZyXEL

Kde „Auto“ – provoz bude přesměrován na výchozí globální rozhraní; Brána – na adresu uvedenou v nastavení brány; VPN tunel – IPSec virtuální privátní tunel; Trunk – cesta do „svazku“, kde „kmen“ je několik rozhraní konfigurovaných pro spolupráci nebo v režimu redundance; Rozhraní – přesměrování na zadané rozhraní:

Je důležité si pamatovat, že kdykoli provedete změny v nastavení routeru, kliknutím na tlačítko „OK“ nastavení uložíte, nikoli pouze zavřete webový prohlížeč.

Nastavení nat na počítači

Jak víte, osobní počítač může sloužit jako router. Často nastává situace, kdy existuje počítačová síť několika počítačů, z nichž jeden má přístup k internetu. V této situaci nemůžete vůbec kupovat routery, ale nastavit počítač s přístupem k internetu jako router a nakonfigurovat na něm nat. Podívejme se na tento případ podrobněji.

Na hlavní počítač, který se dívá na internet (říkejme tomu SERVER) nezapomeňte nainstalovat 2 síťové karty - první pro připojení k místní síti, druhá k poskytovateli. V příkladu bude použit operační systém Windows Server 2012.

Pro konfiguraci nejprve spusťte „Správce serveru“ (Start -> Nástroje pro správu -> Správce serveru). Zobrazí se okno nastavení:

Odtud budeme spravovat náš server. Chcete-li pokračovat v konfiguraci, klikněte na „Přidat role a funkce“, čímž se otevře okno Průvodce přidáním rolí. První krok – typ instalace:

V dalším okně musíme vybrat roli, kterou instalujeme na server. Zaškrtněte políčko vedle položky „Vzdálený přístup“.

Zobrazí se následující okno, které zobrazuje seznam součástí potřebných pro provoz. Klikněte na „Přidat komponenty“, toto okno zmizí. Klikněte na „Další“.

V dalším okně vás průvodce vyzve k přidání komponent serveru. Není třeba nic měnit, klikněte na „Další“.

Na další stránce nás průvodce jednoduše informuje o fungování role Vzdálený přístup. Klikněte na „Další“.

V dalším kroku musíte vybrat „Služby rolí“. Zaškrtněte políčko vedle „Směrování“ a klikněte na „Další“.

Další okno je opět informativní, nemusíte nic vybírat, ale můžete zaškrtnout políčko „Automatický restart na vybraném serveru...“, v důsledku čehož se server po instalaci automaticky restartuje. Ale můžete to udělat i ručně. Klikněte na „Další“.

A posledním krokem je samotná instalace serveru. Po dokončení klikněte na tlačítko „Zavřít“.

Instalace serveru

Takže jsme nakonfigurovali počítač, který je připojen k internetu v režimu serveru. Nyní na něm musíte nakonfigurovat nat.

Přejděte na Start / Správa / Směrování a vzdálený přístup. V okně, které se objeví, najdeme na levé straně položku „SERVER (místní)“, klikneme na ni pravým tlačítkem a v rozbalovací nabídce klikneme na „Konfigurovat a povolit směrování a vzdálený přístup“.

Objeví se průvodce nastavením směrovacího a vzdáleného serveru, ve kterém nakonfigurujeme nat.

Na první stránce se krátce seznámíme s průvodcem – klikněte na „Další“. Dalším krokem je výběr jedné ze služeb, které poběží na tomto serveru. Vyberte „Network Address Translation (NAT)“ a klikněte na „Další“.

Dále vás průvodce požádá o výběr síťového připojení, které se dívá na Internet. V seznamu budou přítomny obě síťové karty (alespoň podle toho, kolik jich je na serveru nainstalováno). Vybereme ten, ke kterému je připojen síťový kabel poskytovatele. Klikněte na „Další“.

V dalším okně si průvodce začne stěžovat, že nedokáže detekovat služby DHCP nebo DNS v místní síti. Existují dvě možnosti, jak pokračovat - povolit základní služby nebo nainstalovat služby později.

Vyberte první položku a klikněte na „Další“. Na další stránce vás budu informovat, v jakém rozsahu bude nat fungovat. Průvodce nastavením vybere tento rozsah automaticky na základě konfigurace síťového připojení připojeného k místní síti. Klikněte na „Další“.

rozsah nat

To je vše, průvodce nastavením dokončí nastavení nat. Klikněte na „Další“ a v dalším okně na „Hotovo“.

Poslední věcí je nakonfigurovat klientské počítače, tedy všechny ostatní počítače v lokální síti. Chcete-li to provést, přejděte na klientském počítači (toto bude nutné provést na každém počítači v síti) do nabídky Start / Ovládací panely / Centrum sítí a sdílení / změňte nastavení adaptéru. Přejděte na „Síťová připojení“. Klepněte pravým tlačítkem myši na ikonu a z rozbalovací nabídky vyberte „Vlastnosti“. V zobrazeném okně vyberte „Internet Protocol Version 4 (TCP/IPv4)“ a klikněte na „Vlastnosti“.

Do pole „Výchozí brána“ napíšeme IP adresu počítače serveru (který byl nakonfigurován v předchozím kroku), do pole „Preferovaný server DNS“ zapíšeme IP adresu DNS serveru poskytovatele uvedeného v informacích o připojení k internetu. na serveru. Klikněte na „OK“ a znovu na „OK“. To je vše, klientský počítač je připojen k internetu.

NAT na prstech: co to je? NAT - co to je? Pokyny pro nastavení NAT

Úvod

Přestrojení

Příklady dynamického NAT a NAT s přetížením

Bezpečnost a administrativa

Co je NAT

proč je NAT potřeba, jak se používá

jak NAT funguje

Výhody a nevýhody

Nastavení na Cisco IOS

Příklady

Jak funguje NAT

Internetový kanál od jednoho poskytovatele přes NAT

Rezervace internetového kanálu od dvou poskytovatelů pomocí NAT, ip sla

Systém

Konfigurace

Smíšený

Co je NAT

Terminologie NAT

Typy NAT

Překlad adres portu (PAT)

Výhody a nevýhody NAT

Byl pro vás tento článek užitečný?

Řekni mi prosím proč?

Příchozí a odchozí provoz

Praxe

a) Přístup na WEB server

b)Přístup k souborovému serveru

c) Přístup k poštovnímu serveru

d) DNS server

e) ICMP

f) Práva uživatelů z Jiné sítě

g) Řídicí síť

g) Žádná další omezení

Maska a reverzní maska

Příklad 1

Příklad 2

Příklad 3

Operace ACL na obrázcích

Doplňky

NAT

Typy NAT

Statický

Dynamický

Mnoho ku jednomu

Přesměrování portů

Slabé a silné stránky NAT

+

-

Cvičení NAT

1) Řídicí síť

2) Hostitelé ze sítě odborného vzdělávání a přípravy

3) Účetnictví

4) FEO

5) Jiné

6) Pobočky v Petrohradu a Kemerovu

7) Servery

a) Webový server

b) Souborový server

c) Poštovní server

8) Přístup přes RDP k počítačům správce a našim počítačům

Bezpečnost

Vstup do nabídky nastavení routeru

Nastavení nat v routeru

Výběr objektu přesměrování routeru ZyXEL

Nastavení nat na počítači