Pregleda: 38705

1 Ako čitate ovaj dokument, najvjerojatnije ste spojeni na Internet i koristite prijevod mrežne adrese ( Prijevod mrežne adrese, NAT) sada! Internet je postao toliko veći nego što je itko mogao zamisliti. Iako je točna veličina nepoznata, trenutna procjena je približno 100 milijuna hostova i više od 350 milijuna korisnika aktivnih na Internetu. U stvari, stopa rasta je takva da se Internet efektivno udvostručuje svake godine.

Uvod

Da bi računalo moglo komunicirati s drugim računalima i web poslužiteljima na Internetu, mora imati IP adresu. IP adresa (IP je kratica za Internet Protocol) jedinstveni je 32-bitni broj koji identificira lokaciju vašeg računala na mreži. U osnovi funkcionira kao i vaša kućna adresa: način da saznate gdje se točno nalazite i da vam dostavi informacije. Teoretski, možete imati 4,294,967,296 jedinstvenih adresa (2^32). Stvarni broj dostupnih adresa je manji (negdje između 3,2 i 3,3 milijarde) zbog načina na koji su adrese podijeljene u klase i potrebe da se neke od adresa odvoje za multicast, testiranje ili druge specifične potrebe. S porastom kućnih mreža i poslovnih mreža, broj dostupnih IP adresa više nije dovoljan. Očito rješenje je redizajnirati format adrese kako bi se prilagodio više mogućih adresa. Dakle, IPv6 protokol je u razvoju, ali će taj razvoj trajati nekoliko godina jer zahtijeva modifikaciju cijele internetske infrastrukture.

Ovdje nam NAT dolazi u pomoć. U osnovi, prevođenje mrežne adrese omogućuje jednom uređaju, kao što je usmjerivač, da djeluje kao posrednik između interneta (ili "javne mreže") i lokalne (ili "privatne") mreže. To znači da je samo jedna jedinstvena IP adresa potrebna za predstavljanje cijele grupe računala bilo čemu izvan njihove mreže. Nedostatak IP adresa samo je jedan od razloga za korištenje NAT-a. Druga dva dobra razloga su sigurnost i administracija.

Naučit ćete kako možete imati koristi od NAT-a, ali prvo pogledajmo pobliže NAT i vidimo što on može učiniti.

Prerušavanje

NAT je poput tajnice u velikom uredu. Recimo da ste tajnici ostavili upute da vam ne prosljeđuje pozive osim ako to ne zatražite. Kasnije nazovete potencijalnog klijenta i ostavite mu poruku da vas nazove. Kažete tajnici da očekujete poziv od ovog klijenta i da poziv treba preusmjeriti. Klijent zove glavni broj Vašeg ureda, koji je jedini broj koji poznaje. Kada klijent tajnici kaže koga traži, ona provjerava njegov popis zaposlenika kako bi pronašla podudaranje između imena i njegovog kućnog broja. Recepcionar zna da ste zatražili ovaj poziv, pa prebacuje pozivatelja na vaš telefon.

Prijevod mrežne adrese koji je razvio Cisco koristi uređaj (vatrozid, usmjerivač ili računalo) koji se nalazi između interne mreže i ostatka svijeta. NAT dolazi u mnogim oblicima i može raditi na nekoliko načina:

Statički NAT- Preslikavanje neregistrirane IP adrese u registriranu IP adresu na osnovi jedan na jedan. Osobito korisno kada uređaj mora biti dostupan izvan mreže.

U statičkom NAT-u, računalo s adresom 192.168.32.10 uvijek će biti prevedeno na adresu 213.18.123.110:

Dinamički NAT- Preslikava neregistriranu IP adresu u registriranu adresu iz grupe registriranih IP adresa. Dinamički NAT također uspostavlja izravno mapiranje između neregistrirane adrese i registrirane adrese, ali mapiranje se može promijeniti ovisno o registriranoj adresi dostupnoj u skupu adresa tijekom komunikacije.

U dinamičkom NAT-u računalo s adresom 192.168.32.10 prevodi se na prvu dostupnu adresu u rasponu od 213.18.123.100 do 213.18.123.150

Preopterećenje je oblik dinamičkog NAT-a koji preslikava više neregistriranih adresa u jednu registriranu IP adresu koristeći različite portove. Također poznat kao PAT (Prijevod adrese luka)

Kada je preopterećeno, svako računalo na privatnoj mreži prevodi se na istu adresu (213.18.123.100), ali s različitim brojem porta

Preklapanje- Kada se IP adrese koje se koriste na vašoj internoj mreži također koriste na drugoj mreži, usmjerivač mora voditi tablicu pretraživanja tih adresa kako bi ih mogao presresti i zamijeniti registriranim jedinstvenim IP adresama. Važno je napomenuti da NAT usmjerivač mora prevesti "interne" adrese u registrirane jedinstvene adrese, a također mora prevesti "vanjske" registrirane adrese u adrese koje su jedinstvene za privatnu mrežu. To se može učiniti putem statičkog NAT-a ili možete koristiti DNS i implementirati dinamički NAT.

Primjer:
Interni IP raspon (237.16.32.xx) također je registrirani raspon koji koristi druga mreža. Stoga usmjerivač prevodi adrese kako bi izbjegao potencijalni sukob. Također će prevesti registrirane globalne IP adrese natrag u neregistrirane lokalne adrese kada se paketi pošalju na internu mrežu

Unutarnja mreža je obično LAN (Local Area Network), koji se najčešće naziva stub domene. Stup domena je LAN koji koristi interne IP adrese. Većina mrežnog prometa u takvoj domeni je lokalna i ne napušta unutarnju mrežu. Domena može uključivati registrirane i neregistrirane IP adrese. Naravno, sva računala koja koriste neregistrirane IP adrese moraju koristiti NAT za komunikaciju s ostatkom svijeta.

NAT se može konfigurirati na različite načine. U donjem primjeru, NAT usmjerivač je konfiguriran za prevođenje neregistriranih IP adresa (lokalnih internih adresa) koje se nalaze na privatnoj (internoj) mreži u registrirane IP adrese. To se događa kad god unutarnji uređaj s neregistriranom adresom treba komunicirati s vanjskom mrežom.

ISP vašoj tvrtki dodjeljuje niz IP adresa. Dodijeljeni blok adresa su jedinstvene registrirane IP adrese i pozivaju se unutar globalnih adresa. Neregistrirane privatne IP adrese podijeljene su u dvije skupine, malu skupinu, izvan lokalnih adresa, koristit će se NAT usmjerivači, a glavni koji će se koristiti u domeni poznat je kao unutar lokalnih adresa. Vanjske lokalne adrese koriste se za prevođenje jedinstvenih IP adresa poznatih kao izvan globalnih adresa,uređaji na javnoj mreži.
NAT prevodi samo promet koji prolazi između interne i vanjske mreže i namijenjen je za prijevod. Svaki promet koji ne zadovoljava kriterije prijevoda ili koji prolazi između drugih sučelja na usmjerivaču nikada se ne prevodi i prosljeđuje se takav kakav jest.

IP adrese imaju različite oznake ovisno o tome jesu li na privatnoj mreži (domena) ili javnoj mreži (Internet) i je li promet dolazni ili odlazni:

Većina računala u domeni međusobno komunicira pomoću internih lokalnih adresa.
Neka računala u domeni komuniciraju s vanjskom mrežom. Ova računala imaju interne globalne adrese, što znači da ne zahtijevaju prijevod.
Kada računalo u domeni koja ima internu lokalnu adresu želi komunicirati s vanjskom mrežom, paket ide na jedan od NAT usmjerivača putem normalnog usmjeravanja.
NAT usmjerivač provjerava tablicu usmjeravanja da vidi ima li unos za odredišnu adresu. Ako odredišna adresa nije u tablici usmjeravanja, paket se odbacuje. Ako je snimka dostupna, ruter provjerava dolazi li paket iz interne mreže u vanjsku mrežu, te zadovoljava li paket kriterije definirane za emitiranje. Usmjerivač zatim provjerava tablicu prijevoda adresa da vidi postoji li unos za unutarnju lokalnu adresu i njezinu odgovarajuću unutarnju globalnu adresu. Ako se pronađe unos, on emitira paket koristeći unutarnju globalnu adresu. Ako je konfiguriran samo statički NAT i nije pronađen nijedan unos, usmjerivač šalje paket bez prijevoda.
Koristeći internu globalnu adresu, usmjerivač prosljeđuje paket na odredište.
računalo na javnoj mreži šalje paket privatnoj mreži. Izvorna adresa u paketu je vanjska globalna adresa. Odredišna adresa je interna globalna adresa.
Kada paket stigne na vanjsku mrežu, NAT usmjerivač gleda tablicu prevođenja i određuje odredišnu adresu mapiranu na računalu u domeni.
NAT usmjerivač prevodi unutarnju globalnu adresu paketa u unutarnju lokalnu adresu i zatim provjerava tablicu usmjeravanja prije slanja paketa na odredišno računalo. Kad god se ne pronađe unos za adresu u tablici prevođenja, paket se ne prevodi i usmjerivač nastavlja provjeravati tablicu usmjeravanja kako bi pronašao odredišnu adresu.

NAT preopterećenje koristi značajku skupa protokola TCP/IP, kao što je multipleksiranje, koje računalu omogućuje održavanje više istodobnih veza s udaljenim računalom pomoću različitih TCP ili UDP priključaka. IP paket ima zaglavlje koje sadrži sljedeće informacije:

Izvorna adresa – IP adresa izvornog računala, na primjer, 201.3.83.132.
Izvorni port – Broj TCP ili UDP porta koji je računalo dodijelilo kao izvor za ovaj paket, na primjer, port 1080.
Odredišna adresa – IP adresa računala primatelja. Na primjer, 145.51.18.223.
Odredišni port – TCP ili UDP broj porta koji traži od izvornog računala da se otvori na prijemniku, na primjer, port 3021.

IP adrese identificiraju dva stroja sa svake strane, dok brojevi portova osiguravaju da veza između dva stroja ima jedinstveni identifikator. Kombinacija ova četiri broja definira jednu TCP/IP vezu. Svaki broj priključka koristi 16 bitova, što znači da postoji 65 536 (2^16) mogućih vrijednosti. U stvarnosti, budući da različiti proizvođači prikazuju priključke na nešto drugačije načine, možete očekivati približno 4000 dostupnih priključaka.

Primjeri dinamičkog NAT-a i NAT-a s preopterećenjem

Slika ispod pokazuje kako radi dinamički NAT.

Kliknite na jedan od zelenih gumba za slanje uspješnog paketa na ili iz interne mreže. Pritisnite jedan od crvenih gumba za slanje paketa koji će usmjerivač odbaciti zbog nevažeće adrese.

interna mreža postavljena je s IP adresama koje IANA (Internet Assigned Numbers Authority), globalni ured koji dodjeljuje IP adrese, nije posebno dodijelio ovoj tvrtki. Takve adrese treba smatrati neusmjerivačima, budući da nisu jedinstvene. Ovo su interne lokalne adrese.
tvrtka instalira router s NAT-om. Usmjerivač ima niz jedinstvenih IP adresa izdanih tvrtki. Ovo su interne globalne adrese.
računalo na LAN-u pokušava se povezati s računalom izvan mreže, poput web poslužitelja.
Usmjerivač prima paket od računala na LAN-u.
Nakon provjere tablice usmjeravanja i postupka provjere prijevoda, usmjerivač pohranjuje adresu računala koja se ne mogu usmjeravati u tablicu prijevoda adresa. Usmjerivač zamjenjuje neusmjerivačku adresu računala pošiljatelja prvom dostupnom IP adresom u nizu jedinstvenih adresa. Tablica prevođenja sada ima prikaz IP adrese računala koja se ne može usmjeravati i koja odgovara jednoj od jedinstvenih IP adresa.
Kada se paket vrati s odredišnog računala, usmjerivač provjerava odredišnu adresu u paketu. Zatim pregledava tablicu prijevoda adresa kako bi pronašao kojem računalu u domeni paket pripada. Mijenja adresu primatelja onom koja je prethodno bila pohranjena u tablici prevođenja i šalje paket na željeno računalo. Ako usmjerivač ne pronađe podudaranje u tablici, odbacuje paket.
Računalo prima paket od usmjerivača i cijeli se proces ponavlja dok računalo komunicira s vanjskim sustavom.

Interna mreža postavljena je s IP adresama koje se ne mogu usmjeravati i koje nisu posebno dodijeljene tvrtki
tvrtka instalira router s NAT-om. Usmjerivač ima jedinstvenu IP adresu koju izdaje IANA
Računalo u domeni pokušava se povezati s računalom izvan mreže, poput web poslužitelja.
Usmjerivač prima paket od računala u domeni.
Nakon usmjeravanja i pregleda paketa radi prevođenja, usmjerivač pohranjuje IP adresu računala koja se ne može usmjeravati i broj porta u tablicu prevođenja. Usmjerivač zamjenjuje IP adresu računala pošiljatelja koja se ne može usmjeravati IP adresom usmjerivača. Usmjerivač zamjenjuje izvorni port računala pošiljatelja nekim nasumičnim brojem porta i pohranjuje ga u tablicu prijevoda adresa za tog pošiljatelja. Tablica prevođenja ima prikaz IP adrese računala koja se ne može usmjeravati i broja porta zajedno s IP adresom usmjerivača.
Kada se paket vrati s odredišta, usmjerivač provjerava odredišni port u paketu. Zatim pregledava tablicu prijevoda kako bi pronašao kojem računalu u domeni paket pripada. Zatim usmjerivač mijenja adresu primatelja i priključak primatelja na vrijednosti koje su prethodno bile pohranjene u tablici prijevoda i šalje paket do krajnjeg čvora.
računalo prima paket od usmjerivača i proces se ponavlja
Budući da NAT usmjerivač sada ima izvornu adresu računala i izvorni port pohranjen u svojoj tablici prijevoda, nastavit će koristiti isti broj porta za sljedeće veze. Svaki put kada usmjerivač pristupi unosu u tablici prijevoda, mjerač vremena za taj unos se poništava. Ako se unosu ne pristupi prije isteka vremena, on se uklanja iz tablice

Broj istodobnih emitiranja koje će usmjerivač podržavati prvenstveno je određen količinom DRAM-a (Dynamic Random Access Memory). Budući da tipični unos tablice prijevoda iznosi približno 160 bajtova, usmjerivač s 4 MB RAM-a teoretski može podnijeti 26 214 istodobnih veza, što je više nego dovoljno za većinu aplikacija.

Sigurnost i administracija

Implementacija dinamičkog NAT-a automatski stvara vatrozid između vaše unutarnje mreže i vanjskih mreža ili interneta. Dinamički NAT dopušta samo veze koje potječu iz lokalne mreže. U biti, to znači da se računalo na vanjskoj mreži ne može povezati s vašim računalom osim ako vaše računalo nije pokrenulo vezu. Na taj način možete surfati internetom i spojiti se na stranicu, pa čak i učitati datoteku. Ali više nitko ne može samo zgrabiti vašu IP adresu i upotrijebiti je za povezivanje s portom na vašem računalu.

Statički NAT, koji se naziva i ulazno mapiranje, dopušta veze koje iniciraju vanjski uređaji s računalima na LAN-u pod određenim okolnostima. Na primjer, možete preslikati unutarnju globalnu adresu na određenu unutarnju lokalnu adresu koja je dodijeljena vašem web poslužitelju.

Statički NAT omogućuje računalu na LAN-u da zadrži određenu adresu kada komunicira s uređajima izvan mreže:

Neki NAT usmjerivači pružaju opsežno filtriranje i bilježenje prometa. Filtriranje omogućuje vašoj tvrtki da kontrolira koja mjesta na internetu zaposlenici posjećuju, sprječavajući ih da gledaju sumnjiv materijal. Zapisivanje prometa možete koristiti za izradu dnevnika posjećenih stranica i generiranje različitih izvješća na temelju toga.

Ponekad se prijevod mrežne adrese miješa s proxy poslužiteljima, gdje postoje određene razlike. NAT je transparentan za izvorna i odredišna računala. Nitko od njih ne zna da se radi o trećem uređaju. Ali proxy poslužitelj nije transparentan. Izvorno računalo zna da ovo upućuje zahtjev proxyju. Odredišno računalo misli da je proxy poslužitelj izvorno računalo i radi izravno s njim. Osim toga, proxy poslužitelji obično rade na razini 4 (prijenos) OSI modela ili višem, dok je NAT protokol razine 3 (mreža). Rad na višim razinama čini proxy poslužitelje sporijima od NAT uređaja u većini slučajeva.

Prava korist od NAT-a očita je u mrežnoj administraciji. Na primjer, možete premjestiti svoj web ili FTP poslužitelj na drugo računalo bez brige o prekinutim vezama. Jednostavno promijenite mapiranje ulaza na novu internu lokalnu adresu u usmjerivaču da odražava novi host. Također možete mijenjati svoju internu mrežu budući da bilo koja od vaših vanjskih IP adresa pripada usmjerivaču ili skupu globalnih adresa.

To su potpuno različite tehnologije. Nemojte ih brkati.

Što je NAT

NAT je skupni pojam koji se odnosi na tehnologiju prevođenja mrežnih adresa i/ili protokola. NAT uređaji provode transformacije prilikom prolaska paketa, zamjenjujući adrese, portove, protokole itd.

Postoje uži pojmovi SNAT, DNAT, maskiranje, PAT, NAT-PT itd.

zašto je NAT potreban, kako se koristi

Za povezivanje interne mreže s Internetom

kroz skup vanjskih adresa
putem jedne vanjske adrese

Za zamjenu vanjske IP adrese drugom (preusmjeravanje prometa)

Za ravnotežu opterećenja između identičnih poslužitelja s različitim IP adresama.

Kombinirati dvije lokalne mreže s unutarnjim adresiranjem koje se presijeca.

kako radi NAT

s+d NAT (spajanje grana - zlo!)

port-mapping, portovi za prosljeđivanje

Prednosti i nedostatci

Nekompatibilno s nekim protokolima. Određena implementacija NAT-a mora podržavati inspekciju potrebnog protokola.

NAT ima svojstvo "prekrivanja" interne mreže od vanjskog svijeta, ali se ne može koristiti umjesto vatrozida.

Postavljanje na Cisco IOS

Cisco usmjerivači i vatrozidi podržavaju različite vrste NAT-a, ovisno o skupu softverskih opcija. Najviše se koristi NAT metoda s vezanjem internih lokalnih adresa na različite portove iste eksterne adrese (PAT u Cisco terminologiji).

Da biste konfigurirali NAT na usmjerivaču, trebate: o Odrediti promet koji treba prevesti (pomoću popisa pristupa ili mapa rute);

Ip access-list proširena LOKALNA dozvola ip 10.0.0.0 0.255.255.255 bilo koji

Mapa rute INT1 podudaranje ip adrese LOKALNO podudaranje sučelja FastEthernet0/1.1

LOKALNA pristupna lista odabire sav promet s mreže 10.

Karta rute INT1 odabire promet LOKALNE pristupne liste koji izlazi kroz podsučelje Fa 0/1.1

o Odredite na koje vanjske adrese emitirati. Odaberite skup vanjskih adresa. Za PAT je dovoljna jedna adresa.

IP nat pool GLOBAL 212.192.64.74 212.192.64.74 mrežna maska 255.255.255.0

Određivanje skupa vanjskih adresa pod nazivom GLOBAL. Postoji samo jedna adresa u bazenu.

o Omogućite NAT za odabrane interne i eksterne adrese.

Ip nat unutar izvora route-map INT1 skup GLOBALNO preopterećenje

Omogućite NAT za prijevod izvorne adrese na internom sučelju. Emitirati će se samo promet koji spada u uvjete karte rute INT1. Vanjska adresa bit će preuzeta iz GLOBALnog skupa.

Ip nat unutar izvora statički tcp 10.0.0.1 23 212.192.64.74 23 proširiti

Statičko "prosljeđivanje porta" ili "objavljivanje usluge". U prometu koji ide prema unutra prema adresi 212.192.64.74 na tcp portu 23, odredište će biti zamijenjeno adresom 10.0.0.1 i portom 23.

o Dodijeliti interna i eksterna sučelja.

Sučelje FastEthernet0/0 ip nat unutar sučelja FastEthernet0/1.1 ip nat izvana

Sučelje Fa 0/0 dodijeljeno je interno za NAT.

Podsučelje Fa 0/1.1 dodijeljeno je vanjsko za NAT.

O Otklanjanje pogrešaka i dijagnostika:

Sh ip nat prijevodi - pogledajte tablicu trenutnih emisija; očisti ip nat prijevode - izbriši sve trenutne prijevode; debug ip nat – omogući otklanjanje pogrešaka (undebug all – onemogući otklanjanje pogrešaka).

Primjeri

Evo nekoliko demo primjera za emulator Cisco Packet Tracer.

Jednostavna shema za povezivanje male mreže s Internetom putem skupa vanjskih adresa

Jednostavna shema povezivanja mreže s internetom putem jedne vanjske adrese

Shema kombiniranja mreža s intersekcijskim adresiranjem

Kako radi NAT

Način na koji se NAT pravila primjenjuju razlikuje se među različitim proizvođačima i na različitoj opremi. Evo postupka za primjenu NAT pravila za usmjerivače na Cisco IOS-u:

Iznutra prema van

Ako je IPSec, tada provjerite ulaznu pristupnu listu dešifriranje - za CET (Cisco Encryption Technology) ili IPSec provjerite ulaznu pristupnu listu provjerite ograničenja ulazne brzine računovodstveno preusmjeravanje na web predmemoriju politika usmjeravanja usmjeravanje NAT-a iznutra prema van (lokalno na globalno prevođenje) kripto (provjerite kartu i označiti za enkripciju) provjeriti izlaznu pristupnu listu pregledati (kontrola pristupa temeljena na kontekstu (CBAC)) TCP presretanje enkripcija Čekanje

Izvana prema unutra

Ako je IPSec, tada provjerite ulaznu pristupnu listu dešifriranje - za CET ili IPSec provjerite ulaznu pristupnu listu provjerite ograničenja ulazne brzine ulazno računovodstvo preusmjeravanje na web predmemoriju NAT izvan prema unutra (globalno na lokalno prevođenje) politika usmjeravanja rutiranje kripto (provjerite kartu i označite za šifriranje) provjerite output access list pregledati CBAC TCP intercept encryption Queuing

Internet kanal od jednog provajdera putem NAT-a

Jednostavna shema za implementaciju NAT-a s jednim pružateljem usluga

Rezervacija internetskog kanala od dva provajdera koji koriste NAT, ip sla

Zadano: primamo internet za nekoliko računala od ISP1. Dao nam je adresu 212.192.88.150. Pristup internetu organiziran je s ove IP adrese putem NAT-a.

Zadatak: spojite rezervnog davatelja usluga - ISP2. On će nam dati adresu 212.192.90.150. Organizirajte balansiranje prometa: neka web promet ide preko ISP1, ostali promet preko ISP2. Ako jedan od pružatelja usluga zakaže, dopustite da sav promet ide kroz kanal uživo.

Koja je težina zadatka? jasne ip nat prijevode?

Shema

Konfiguracija

1 jasni ip nat prijevodi *

Takav dio EEM-a je pronađen i testiran. Događaj se ne generira na svim verzijama iOS-a, potrebno je pojasniti.

! aplet upravitelja događaja NAT-TRACK uzorak syslog događaja "TRACKING-5-STATE" akcija 0.1 cli naredba "enable" akcija 0.2 čekaj 3 akcija 0.3 cli naredba "očisti ip nat prijevod *" akcija 0.4 syslog poruka "NAT prijevod izbrisan nakon promjene stanja praćenja "!

2 Ako sučelje zakaže na pružatelju, postoji velika vjerojatnost da će njegov pristupnik pingati kroz drugi

! korisničko ime IME lozinka 0 LOZINKA omogućiti tajnu 0 LOZINKA ZA KONFIGURIRANJE! ! kontrola prijave na liniju usmjerivača vty 0 4 lokalna prijava! ! DHCP ip dhcp pool LAN mreža Interna mrežna maska default-router Gateway dns-server 10.11.12.13 ! DNS - fiktivni kojeg su smislili - NE iz naše lokalne mreže! ! ! Ping monitor na adresu pristupnika pružatelja usluga-1! Pričekajte 100 ms za odgovor! Ping s učestalošću od 1 sekunde ip sla monitor 1 tip echo protokol ipIcmpEcho GatewayProv1 izvorno sučelje InterfaceOnProv1 timeout 100 frekvencija 1 ! ! Ping monitor za provider-2 ip sla monitor 2 tip echo protokol ipIcmpEcho GatewayProv2 izvorno sučelje InterfaceNaProv2 timeout 50 frekvencija 1 ! ! Pokretanje pingova 1 i 2, sada i zauvijek ip sla monitor raspored 1 život zauvijek vrijeme početka sada ip sla monitor raspored 2 zauvijek početak vrijeme sada! ! Staze 10 i 20 - praćenje statusa pingova! Reagira na status Down ili Up s odgodom od 1 sekunde. staza 10 rtr 1 odgoda dostupnosti dolje 1 gore 1 ! staza 20 rtr 2 odgoda dostupnosti dolje 1 gore 1 ! ! ! Rute prema svim vanjskim mrežama na oba providera! Rute su povezane s stazama! i aktivirat će se samo ako je pjesma u stanju Up! oni. ako je pristupnik do odgovarajućeg pružatelja dostupan ip route 0.0.0.0 0.0.0.0 GatewayProv1 track 10 ip route 0.0.0.0 0.0.0.0 GatewayProv2 track 20 ! ! ! int fa 0/0 nema zatvaranja! ! Podsučelja prema vanjskim pružateljima! označeni su kao vanjski za NAT sučelje FastEthernet0/0.1 opis ISP1 encaps dot1q NumberVlanProv1 ip adresa ipOnProv1 Maska ip nat outside ! sučelje FastEthernet0/0.2 opis ISP2 enkapsulacija dot1Q NumberVlanProv2 ip adresa ipNaProv2 Maska ip nat outside ! ! Sučelje za internu mrežu! označen kao unutar za NAT ! Politika usmjeravanja vezana je za PBR sučelje FastEthernet0/1 ip adresa ipOnInternalNet maska ip nat unutar ip politike route-map PBR no shut ! ! Pristupite listama iz interne mreže prema van! Za web promet i sve ostalo ip access-list extended LOCAL permit ip intranet any! ip access-list extended WEB dopuštenje tcp unutarnja mreža bilo koji eq www dopuštenje tcp unutarnja mreža bilo koji eq 443 ! ip access-list extended ALL permit ip any any ! ! ! lukava PBR korijenska mapa! Ako je promet s LAN-a na Web! zatim dodijelite prvom pružatelju usluga kao pristupniku! Inače, ostali promet iz okoline! dodijelite drugom pružatelju usluga kao pristupniku. ! Prilikom dodjele gatewaya, Tracks route-map PBR permit 10 match ip address WEB set ip next-hop verify-availability GatewayProv1 1 track 10 ! mapa rute PBR dozvola 20 podudaranje ip adrese SVE postavi ip sljedeći skok provjeri dostupnost GatewayProv2 1 staza 20 ! ! ! lukava ISP1 rootmap! radi ako je promet iz LAN-a! pokušava izaći preko sučelja Fa0/0.1 route-map ISP1 permit 10 match ip address LOCAL match sučelje FastEthernet0/0.1 ! ! lukava ISP2 rootmapa! radi ako je promet iz LAN-a! pokušava izaći preko sučelja Fa0/0.2 route-map ISP2 dopuštenje 10 podudaranje ip adrese LOKALNO podudaranje sučelja FastEthernet0/0.2 ! ! ! Napokon, NAT ;-) ! ! Promet od LAN-a do prvog pružatelja Navigacija kroz prvo sučelje ip nat unutar izvorne rute-mape ISP1 sučelje FastEthernet0/0.1 preopterećenje! ! Promet od LAN-a do drugog pružatelja Navigacija kroz drugo sučelje ip nat unutar izvorne rute-mape ISP2 sučelje FastEthernet0/0.2 preopterećenje! ! Preusmjeri promet na fiktivni DNS na Google DNS ip nat vanjski izvor statički 8.8.8.8 10.11.12.13 no-alias ! ! prosljeđivanje internog priključka 3389 na vanjski priključak 1111 ip nat unutar izvora statički tcp internalHost 3389 vanjski 1111 proširivi ip nat unutar izvora statički tcp internalHost 3389 vanjski 1111 proširiv! !

Razno

CGN (carrier grade nat) s posebnim skupom privatnih adresa

NAT kao ALG (pristupnik sloja aplikacije), (protokoli običnog teksta, npr. SIP)

2 32 ili 4 294 967 296 IPv4 je li to puno adresa? Izgleda tako. Međutim, s proliferacijom osobnih računala, mobilnih uređaja i brzim rastom Interneta, ubrzo je postalo očito da 4,3 milijarde IPv4 adresa neće biti dovoljno. Dugoročno rješenje je bilo IPv6, ali bilo je potrebno brže rješenje za rješavanje problema s nedostatkom adresa. I ova odluka je postala NAT (prijevod mrežne adrese).

Što je NAT

Mreže su obično dizajnirane korištenjem privatnih IP adresa. Ovo su adrese 10.0.0.0/8, 172.16.0.0/12 I 192.168.0.0/16 . Te se privatne adrese koriste unutar organizacije ili stranice kako bi se uređajima omogućila lokalna komunikacija i ne usmjeravaju se preko interneta. Da biste uređaju s privatnom IPv4 adresom omogućili pristup uređajima i resursima izvan lokalne mreže, privatna adresa mora prvo biti prevedena u javnu javnu adresu.

A upravo NAT pretvara privatne adrese u javne. To omogućuje uređaju s privatnom IPv4 adresom pristup resursima izvan njegove privatne mreže. NAT, u kombinaciji s privatnim IPv4 adresama, pokazao se kao korisna metoda za pohranu javnih IPv4 adresa. Jednu javnu IPv4 adresu mogu koristiti stotine, čak tisuće uređaja, svaki s privatnom IPv4 adresom. NAT ima dodatnu prednost dodavanja određenog stupnja privatnosti i sigurnosti mreži jer skriva interne IPv4 adrese od vanjskih mreža.

Usmjerivači koji podržavaju NAT mogu se konfigurirati s jednom ili više valjanih javnih IPv4 adresa. Ove javne adrese nazivaju se NAT skup. Kada uređaj na internoj mreži šalje promet s mreže prema van, NAT-omogućeni usmjerivač prevodi internu IPv4 adresu uređaja u javnu adresu iz NAT skupa. Vanjskim uređajima izgleda da sav promet koji ulazi i izlazi iz mreže ima javnu IPv4 adresu.

NAT router obično radi na granici Stub- mreže Stup mreža je stub mreža koja ima jednu vezu sa susjednom mrežom, jedan ulaz i izlaz iz mreže.

Kada uređaj unutar Stub mreže želi komunicirati s uređajem izvan svoje mreže, paket se prosljeđuje graničnom usmjerivaču i on izvodi NAT proces, prevodeći internu privatnu adresu uređaja u javnu, vanjsku adresu koja se može usmjeravati.

NAT terminologija

U NAT terminologiji, interna mreža je skup mreža koje treba prevesti. Vanjska mreža se odnosi na sve ostale mreže.

Kada koristite NAT, IPv4 adrese imaju različite oznake ovisno o tome jesu li na privatnoj mreži ili javnoj mreži (Internet) i je li promet dolazni ili odlazni.

NAT uključuje četiri vrste adresa:

Unutar lokalne adrese;
Unutar globalne adrese;
Izvan lokalne adrese;
Vanjska globalna adresa;

Prilikom određivanja koja se vrsta adrese koristi, važno je zapamtiti da se NAT terminologija uvijek primjenjuje u smislu uređaja s prevedenom adresom:

Unutarnja adresa- adresu uređaja koju NAT prevodi;
Vanjska adresa- adresu odredišnog uređaja;
Lokalna adresa- ovo je bilo koja adresa koja se prikazuje na internom dijelu mreže;
Globalna adresa- ovo je bilo koja adresa koja se prikazuje na vanjskom dijelu mreže;

Pogledajmo ovo pomoću primjera dijagrama.

Na slici PC ima unutarnju lokalnu ( Unutar lokalnog) adresa je 192.168.1.5 i sa svoje točke gledišta web poslužitelj ima vanjski ( vani) adresa 208.141.17.4. Kada se paketi šalju s računala na globalnu adresu web poslužitelja, interni lokalni ( Unutar lokalnog) PC adresa je prevedena u 208.141.16.5 ( unutar globalnog). Adresa vanjskog uređaja obično se ne prevodi jer je to javna IPv4 adresa.

Vrijedno je napomenuti da računalo ima različite lokalne i globalne adrese, dok web poslužitelj ima istu javnu IP adresu. S njegove točke gledišta, promet koji potječe s osobnog računala dolazi s interne globalne adrese 208.141.16.5. NAT usmjerivač je točka razgraničenja između internih i vanjskih mreža te između lokalnih i globalnih adresa.

Pojmovi iznutra I vani, u kombinaciji s pojmovima lokalni I globalno za povezivanje na određene adrese. Na slici je usmjerivač konfiguriran za pružanje NAT-a i ima skup javnih adresa za dodjelu internim hostovima.

Na slici je prikazano kako se promet šalje s internog računala na vanjski web poslužitelj, preko usmjerivača omogućenog za NAT, te se prosljeđuje i prosljeđuje u suprotnom smjeru.

Interna lokalna adresa ( Unutar lokalne adrese) - adresa izvora vidljiva iz interne mreže. Na slici je PC-u dodijeljena adresa 192.168.1.5 - to je njegova interna lokalna adresa.

Interna globalna adresa ( Unutar globalne adrese) - adresa izvora vidljiva iz vanjske mreže. Na slici, kada se promet s računala šalje na web poslužitelj na 208.141.17.4, usmjerivač prevodi internu lokalnu adresu ( Unutar lokalne adrese) na unutarnju globalnu adresu ( Unutar globalne adrese). U ovom slučaju usmjerivač mijenja IPv4 izvornu adresu s 192.168.1.5 na 208.141.16.5.

Vanjska globalna adresa ( Vanjska globalna adresa) - adresa primatelja, vidljiva iz vanjske mreže. Ovo je globalno rutabilna IPv4 adresa dodijeljena hostu na Internetu. U dijagramu je web poslužitelj dostupan na adresi 208.141.17.4. Najčešće su vanjske lokalne i vanjske globalne adrese iste.

Vanjska lokalna adresa ( Izvan lokalne adrese) - adresa primatelja vidljiva iz interne mreže. U ovom primjeru računalo šalje promet na web poslužitelj na 208.141.17.4

Razmotrimo cijeli put paketa. Računalo s adresom 192.168.1.5 pokušava komunicirati s web poslužiteljem 208.141.17.4. Kada paket stigne na usmjerivač s omogućenom NAT-om, on čita IPv4 odredišnu adresu paketa kako bi utvrdio ispunjava li paket kriterije navedene za prijevod. U ovom primjeru izvorna adresa zadovoljava kriterije i prevedena je s 192.168.1.5 ( Unutar lokalne adrese) na 208.141.16.5. ( Unutar globalne adrese). Usmjerivač dodaje ovo preslikavanje lokalne u globalnu adresu u NAT tablicu i šalje paket s prevedenom izvornom adresom na odredište. Web poslužitelj odgovara paketom adresiranim na internu globalnu adresu osobnog računala (208.141.16.5). Usmjerivač prima paket s odredišnom adresom 208.141.16.5 i provjerava NAT tablicu, gdje pronalazi unos za ovo mapiranje. Koristi ove informacije i prevodi natrag unutarnju globalnu adresu (208.141.16.5) u unutarnju lokalnu adresu (192.168.1.5) i paket se prosljeđuje prema računalu.

NAT vrste

Postoje tri vrste NAT prijevoda:

Prijevod statičke adrese (statički NAT)- mapiranje adresa jedan na jedan između lokalnih i globalnih adresa;
Dinamički prijevod adresa (Dynamic NAT)- mapiranje više-na-više adresa između lokalnih i globalnih adresa;
Prijevod adrese priključka (NAT)- multicast mapiranje adresa između lokalnih i globalnih adresa pomoću portova. Ova metoda je također poznata kao NAT preopterećenje;

Statički NAT koristi mapiranje jedan na jedan lokalnih i globalnih adresa. Ova mapiranja konfigurira mrežni administrator i ostaju trajna. Kada uređaji šalju promet na Internet, njihove interne lokalne adrese prevode se u konfigurirane interne globalne adrese. Za vanjske mreže ovi uređaji imaju javne IPv4 adrese. Statički NAT posebno je koristan za web poslužitelje ili uređaje koji moraju imati dosljednu adresu dostupnu s interneta, kao što je web poslužitelj tvrtke. Statički NAT zahtijeva dovoljan broj javnih adresa kako bi se zadovoljio ukupni broj istodobnih korisničkih sesija.

Statička NAT tablica izgleda ovako:

Dinamički NAT koristi skup javnih adresa i dodjeljuje ih po načelu tko prvi dođe, prvi poslužen. Kada interni uređaj zatraži pristup vanjskoj mreži, dinamički NAT dodjeljuje dostupnu javnu IPv4 adresu iz skupa. Kao i statički NAT, dinamički NAT zahtijeva dovoljan broj javnih adresa kako bi se zadovoljio ukupni broj istodobnih korisničkih sesija.

Dinamička NAT tablica izgleda ovako:

Prijevod adrese priključka (PAT)

POGLADITI emitira više privatnih adresa na jednu ili više javnih adresa. To radi većina kućnih usmjerivača. ISP dodjeljuje jednu adresu usmjerivaču, ali više članova obitelji može pristupiti internetu istovremeno. Ovo je najčešći oblik NAT-a.

S PAT-om se više adresa može preslikati na jednu ili više adresa jer se svaka privatna adresa također prati brojem priključka. Kada uređaj započne sesiju TCP/IP, generira vrijednost izvorišnog priključka TCP ili UDP za jedinstvenu identifikaciju sesije. Kada NAT usmjerivač primi paket od klijenta, koristi svoj izvorni broj porta za jedinstvenu identifikaciju specifičnog NAT prijevoda. PAT osigurava da uređaji koriste različit broj TCP priključka za svaku sesiju. Kada se odgovor vrati s poslužitelja, izvorni broj porta, koji postaje odredišni broj porta na povratnoj stazi, određuje kojem uređaju usmjerivač prosljeđuje pakete.

Slika ilustrira PAT proces. PAT dodaje jedinstvene izvorne brojeve portova unutarnjoj globalnoj adresi kako bi razlikovao prijevode.

Dok usmjerivač obrađuje svaki paket, koristi broj porta (1331 i 1555, u ovom primjeru) za identifikaciju uređaja s kojeg je paket potekao.

Izvorna adresa ( Izvorna adresa) je interna lokalna adresa s dodanim brojem porta koji dodjeljuje TCP/IP. Adresa odredišta ( Adresa odredišta) je vanjska lokalna adresa s dodanim brojem servisnog priključka. U ovom primjeru, port usluge je 80: HTTP.

Za izvorišnu adresu, usmjerivač prevodi unutarnju lokalnu adresu u unutarnju globalnu adresu s dodanim brojem priključka. Odredišna adresa se ne mijenja, ali se sada naziva vanjska globalna IP adresa. Kada web poslužitelj odgovori, put se obrće.

U ovom primjeru, brojevi portova klijenta 1331 i 1555 nisu promijenjeni na NAT usmjerivaču. Ovo nije vrlo vjerojatan scenarij jer postoji dobra šansa da su ovi brojevi priključaka već bili pridruženi drugim aktivnim sesijama. PAT pokušava sačuvati izvorni port izvora. Međutim, ako je originalni izvorni port već u upotrebi, PAT dodjeljuje prvi dostupni broj porta, počevši od početka odgovarajuće grupe portova 0-511, 512-1023 ili 1024-65535 . Kada više nema priključaka i postoji više od jedne vanjske adrese u skupu adresa, PAT se pomiče na sljedeću adresu kako bi pokušao dodijeliti originalni izvorni priključak. Ovaj proces se nastavlja sve dok više ne budu dostupni portovi ili vanjske IP adrese.

To jest, ako drugi host može odabrati isti broj porta 1444. To je prihvatljivo za internu adresu jer hostovi imaju jedinstvene privatne IP adrese. Međutim, na NAT usmjerivaču, brojevi priključaka moraju se promijeniti - inače će paketi s dva različita računala napustiti njega s istom izvornom adresom. Stoga PAT dodjeljuje sljedeći dostupni port (1445) drugoj adresi glavnog računala.

Sažmimo usporedbu između NAT-a i PAT-a. Kao što možete vidjeti iz tablica, NAT prevodi IPv4 adrese u omjeru 1:1 između privatnih IPv4 adresa i javnih IPv4 adresa. Međutim, PAT mijenja i samu adresu i broj porta. NAT prosljeđuje dolazne pakete na njihovu internu adresu na temelju dolazne izvorne IP adrese koju daje host na javnoj mreži, a s PAT-om obično postoji samo jedna ili vrlo malo javno izloženih IPv4 adresa i dolazni paketi se prosljeđuju na temelju NAT tablice usmjerivača. .

Što je s IPv4 paketima koji sadrže podatke koji nisu TCP ili UDP? Ovi paketi ne sadrže broj porta sloja 4. PAT prevodi najčešće protokole koje prenosi IPv4, a koji ne koriste TCP ili UDP kao protokol transportnog sloja. Najčešći od njih su ICMPv4. Svakim od ovih tipova protokola PAT upravlja drugačije. Na primjer, ICMPv4 poruke zahtjeva, echo zahtjevi i odgovori uključuju ID zahtjeva ID upita. ICMPv4 koristi ID upita. za identifikaciju echo zahtjeva s odgovarajućim odgovorom. ID zahtjeva se povećava sa svakim poslanim pingom. PAT koristi ID zahtjeva umjesto broja porta razine 4.

Prednosti i nedostaci NAT-a

NAT pruža mnoge prednosti, uključujući:

NAT čuva registriranu shemu adresiranja, dopuštajući privatizaciju intraneta. Uz PAT, interni hostovi mogu dijeliti jednu javnu IPv4 adresu za sve vanjske komunikacije. U ovoj vrsti konfiguracije, potrebno je vrlo malo vanjskih adresa za podršku mnogim internim hostovima;
NAT povećava fleksibilnost povezivanja s javnom mrežom. Više skupova, rezervnih skupova i skupova za balansiranje opterećenja mogu se implementirati kako bi se osigurale pouzdane javne mrežne veze;

NAT osigurava dosljednost za sheme internog adresiranja mreže. Na mreži koja ne koristi privatne IPv4 adrese i NAT, promjena cjelokupne sheme IPv4 adresa zahtijeva preusmjeravanje svih hostova na postojećoj mreži. Trošak prosljeđivanja hosta može biti značajan. NAT dopušta da postojeća privatna IPv4 shema adresiranja ostane dok omogućuje jednostavnu promjenu nove javne sheme adresiranja. To znači da organizacija može promijeniti pružatelje usluga i ne mora mijenjati niti jednog od svojih internih korisnika;

NAT pruža mrežnu sigurnost. Budući da privatne mreže ne reklamiraju svoje adrese ili internu topologiju, one ostaju prilično sigurne kada se koriste u kombinaciji s NAT-om za postizanje kontroliranog vanjskog pristupa. Međutim, morate razumjeti da NAT ne zamjenjuje vatrozid;

Ali NAT ima neke nedostatke. Činjenica da se čini da hostovi na Internetu komuniciraju izravno s uređajem s omogućenim NAT-om, a ne sa stvarnim hostom unutar privatne mreže, stvara niz problema:

Jedan od nedostataka korištenja NAT-a povezan je s performansama mreže, posebno za protokole u stvarnom vremenu kao što su VoIP. NAT povećava kašnjenje prebacivanja jer je potrebno vrijeme za prevođenje svake IPv4 adrese u zaglavlja paketa;
Još jedan nedostatak korištenja NAT-a je taj što se gubi end-to-end adresiranje. Mnogi internetski protokoli i aplikacije ovise o adresiranju s kraja na kraj od izvora do odredišta. Neke aplikacije ne rade s NAT-om. Aplikacije koje koriste fizičke adrese umjesto kvalificiranog naziva domene ne dosežu odredišta koja su prevedena kroz NAT usmjerivač. Ponekad se ovaj problem može izbjeći implementacijom statičkih NAT mapiranja;
End-to-end IPv4 praćenje također se gubi. Teže je pratiti pakete koji su podvrgnuti višestrukim promjenama adresa paketa tijekom više NAT skokova, što otežava rješavanje problema;
Upotreba NAT-a također otežava protokole tuneliranja kao što je IPsec jer NAT mijenja vrijednosti u zaglavljima koja ometaju provjere integriteta koje provode IPsec i drugi protokoli tuneliranja;
Usluge koje zahtijevaju da se TCP veze pokrenu s vanjske mreže ili protokoli bez statusa poput onih koji koriste UDP mogu biti prekinuti. Ako NAT usmjerivač nije konfiguriran da podržava takve protokole, dolazni paketi ne mogu doći do svog odredišta;

Je li vam ovaj članak bio koristan?

Molim te reci mi zašto?

Žao nam je što vam članak nije bio od koristi: (Molimo, ako nije teško, navedite zašto? Bit ćemo vam vrlo zahvalni za detaljan odgovor. Hvala vam što ste nam pomogli da postanemo bolji!

U redu, zaboravimo na neko vrijeme ove tekstove.
Općenito govoreći, liste pristupa su različite:

Standard
- Napredna
- Dinamično
- Reflektirajuća
- Na temelju vremena

Danas ćemo se posvetiti prva dva, a više o njima možete pročitati na cisci.

Dolazni i odlazni promet

Za početak, razjasnimo jednu stvar. Što podrazumijevate pod dolaznim i odlaznim prometom? Ovo će nam trebati u budućnosti. Dolazni promet je onaj koji na sučelje dolazi izvana.

Odlazni je onaj koji se šalje sa sučelja prema van.

Pristupnu listu možete primijeniti ili na dolazni promet, tada neželjeni paketi neće niti doći do usmjerivača i, shodno tome, dalje u mrežu, ili na odlazni promet, tada paketi stižu do usmjerivača, on ih obrađuje, dolaze do ciljano sučelje i ispuštaju se samo na njega.

Standardna pristupna lista provjerava samo adresu pošiljatelja. Prošireno - adresa pošiljatelja, adresa primatelja i port. Preporuča se postavljanje standardnih ACL-ova što je moguće bliže primatelju (kako ne bi smanjili više nego što je potrebno), a proširene - bliže pošiljatelju (kako bi se neželjeni promet ispustio što je prije moguće).

Praksa

Prijeđimo odmah na vježbu. Što bismo trebali ograničiti u našoj maloj mreži “Lift mi Up”?

A) WEB poslužitelj. Dopusti pristup svima na TCP priključku 80 (HTTP protokol). Za uređaj s kojeg će se vršiti kontrola (imamo admina) morate otvoriti telnet i ftp, ali mi ćemo mu dati puni pristup. Svi ostali spuštaju slušalicu.

B) Datotečni poslužitelj. Stanovnici Lift Mi Up-a trebali bismo mu pristupiti preko portova za dijeljene mape, a svi ostali putem FTP-a.

B) Poslužitelj pošte. Ovdje imamo pokrenute SMTP i POP3, odnosno TCP portove 25 i 110. Također otvaramo pristup upravljanju za administratora. Blokiramo druge.

D) Za budući DNS poslužitelj morate otvoriti UDP port 53

E) Dopustite ICMP poruke mreži poslužitelja

E) Budući da imamo drugu mrežu za sve nestranačke osobe koje nisu uključene u FEO, VET i računovodstveni odjel, sve ćemo ih ograničiti i dati samo dio pristupa (uključujući nas i administratora)

f) Još jednom, samo administratoru, i naravno vašoj voljenoj osobi, treba dopustiti pristup kontrolnoj mreži.

G) Nećemo stvarati prepreke u komunikaciji među zaposlenicima odjela.

a) Pristup WEB poslužitelju

Ovdje imamo politiku zabrane svega što nije dopušteno. Dakle, sada treba nešto otvoriti, a sve ostalo zatvoriti.
Budući da štitimo mrežu poslužitelja, objesit ćemo list na sučelje koje ide prema njima, odnosno na FE0/0.3 Pitanje je samo na u ili na van trebamo li ovo učiniti? Ako ne želimo slati pakete prema poslužiteljima koji su već na routeru, onda će to biti odlazni promet. Odnosno, imat ćemo odredišne adrese u mreži poslužitelja (s kojih ćemo birati na koji poslužitelj ide promet), a izvorne adrese mogu biti bilo što - i iz naše korporativne mreže i s Interneta.
Još jedna napomena: budući da ćemo također filtrirati prema odredišnoj adresi (postoje neka pravila za WEB poslužitelj, a druga za poslužitelj e-pošte), trebat će nam prošireni popis kontrole pristupa; on je jedini koji nam to omogućuje .

Pravila na popisu za pristup provjeravaju se redoslijedom od vrha prema dnu do prvog podudaranja. Čim se jedno od pravila aktivira, bez obzira radi li se o dopuštenju ili odbijanju, provjera prestaje i promet se obrađuje na temelju pokrenutog pravila.
Odnosno, ako želimo zaštititi WEB poslužitelj, onda prije svega moramo dati dopuštenje, jer ako konfiguriramo u prvom redu uskrati ip bilo koji- tada će uvijek raditi i promet uopće neće teći. Bilo koje- ovo je posebna riječ koja označava mrežnu adresu i obrnutu masku 0.0.0.0 0.0.0.0 i znači da apsolutno svi čvorovi iz bilo koje mreže potpadaju pod pravilo. Još jedna posebna riječ je domaćin- znači masku 255.255.255.255 - odnosno točno jednu jedinu specificiranu adresu.
Dakle, prvo pravilo: dopustite pristup svima na portu 80

msk-arbat-gw1(config-ext-nacl)# primjedba WEB
bilo koji host 172.16.0.2 eq 80

Dopusti ( dozvola) TCP promet s bilo kojeg čvora ( bilo koji) domaćin ( domaćin- točno jedna adresa) 172.16.0.2, adresiran na port 80.
Pokušajmo priložiti ovu pristupnu listu sučelju FE0/0.3:

msk-arbat-gw1(config-subif)# ip access-group Servers-out van

Provjeravamo s bilo kojeg od naših povezanih računala:

Kao što vidite, stranica se otvara, ali što je s pingom?

I tako iz bilo kojeg drugog čvora?

Činjenica je da nakon svih pravila u Cisco ACL-ovima, implicitna uskrati ip bilo koji(implicitno poricanje). Što to znači za nas? Svaki paket koji napušta sučelje, a ne odgovara nijednom pravilu u ACL-u, podliježe implicitnom odbijanju i odbacuje se. Odnosno, čak ni ping, čak ni ftp, niti bilo što drugo ovdje neće raditi.

Idemo dalje: moramo dati puni pristup računalu s kojeg će se vršiti kontrola. Ovo će biti računalo našeg administratora s adresom 172.16.6.66 iz druge mreže.
Svako novo pravilo automatski se dodaje na kraj popisa ako već postoji:

msk-arbat-gw1(config)#
msk-arbat-gw1(config-ext-nacl)# dopuštenje tcp host 172.16.6.66 host 172.16.0.2 raspon 20 ftp
msk-arbat-gw1(config-ext-nacl)# dopuštenje tcp host 172.16.6.66 host 172.16.0.2 eq telnet

To je sve. Provjeravamo sa željenog čvora (budući da poslužitelji u Republici Tatarstan ne podržavaju telnet, provjeravamo na FTP-u):

To jest, FTP poruka je stigla na usmjerivač i trebala bi napustiti FE0/0.3 sučelje. Usmjerivač provjerava i vidi odgovara li paket pravilu koje smo dodali te ga prosljeđuje.

I to iz stranog čvora

FTP paket ne odgovara niti jednom pravilu osim implicitnog deny ip any any i odbacuje se.

b) Pristup poslužitelju datoteka

Ovdje prije svega trebamo odlučiti tko će biti “stanovnik” i kome treba omogućiti pristup. Naravno, radi se o onima koji imaju adresu iz mreže 172.16.0.0/16 - samo će oni dobiti pristup.
Sada s dijeljenim mapama. Većina modernih sustava za to već koristi SMB protokol za koji je potreban port TCP 445. Na starijim verzijama korišten je NetBios koji je išao preko čak tri porta: UDP 137 i 138 te TCP 139. U dogovoru s našim administratorom, će konfigurirati priključak 445 (stvarno provjerite u okviru Republike Tatarstan, naravno, neće raditi). Ali osim toga, trebat će nam portovi za FTP - 20, 21, i to ne samo za interne hostove, već i za veze s Interneta:

msk-arbat-gw1(config)# ip access-list extended Servers-out
msk-arbat-gw1(config-ext-nacl)# dopuštenje tcp 172.16.0.0 0.0.255.255 host 172.16.0.3 eq 445
msk-arbat-gw1(config-ext-nacl)# dopuštenje tcp bilo koji host 172.16.0.3 raspon 20 21

Ovdje smo ponovno primijenili dizajn raspon 20 21- kako biste odredili nekoliko portova u jednom retku. Za FTP, općenito govoreći, samo port 21 nije dovoljan. Činjenica je da ako otvorite samo njega, tada ćete biti autorizirani, ali prijenos datoteka neće.

0.0.255.255 - maska zamjenskog znaka. Razgovarat ćemo o tome što je ovo malo kasnije.

c) Pristup mail serveru

Nastavljamo stjecati praksu - sada s poslužiteljem pošte. Unutar iste pristupne liste dodajemo nove zapise koji su nam potrebni.
Umjesto brojeva portova za široko korištene protokole, možete odrediti njihova imena:

msk-arbat-gw1(config)# ip access-list extended Servers-out
msk-arbat-gw1(config-ext-nacl)#dozvoli tcp bilo koji host 172.16.0.4 eq pop3
msk-arbat-gw1(config-ext-nacl)#dozvoli tcp bilo koji host 172.16.0.4 eq smtp

d) DNS poslužitelj

msk-arbat-gw1(config)# ip access-list extended Servers-out
msk-arbat-gw1(config-ext-nacl)# dopuštenje udp 172.16.0.0 0.0.255.255 host 172.16.0.5 eq 53

e) ICMP

Ostaje samo popraviti situaciju s pingom. Nema ništa loše u dodavanju pravila na kraj liste, ali nekako će estetski biti ugodnije vidjeti ih na početku.
Za to koristimo jednostavnu varku. Da biste to učinili, možete koristiti uređivač teksta, na primjer. Kopirajte članak o ACL-u iz show run-a tamo i dodajte sljedeće retke:
no ip access-list extended Servers-out
ip access-list prošireni Servers-out
dopustiti icmp bilo koji bilo koji
primjedba WEB

primjedba DATOTEKA

primjedba POŠTA

primjedba DNS

U prvom redu brišemo postojeći popis, zatim ga ponovno kreiramo i ispisujemo sva nova pravila redoslijedom koji nam je potreban. Naredbom u trećem retku dopustili smo prolaz svih ICMP paketa s bilo kojeg računala na bilo koje računalo.

Zatim jednostavno sve masovno kopiramo i zalijepimo u konzolu. Sučelje interpretira svaki redak kao zasebnu naredbu i izvršava je. Stoga smo stari popis zamijenili novim.
Provjeravamo postoji li ping:

Predivno.

Ova "prevara" je dobra za početnu konfiguraciju ili ako točno razumijete što radite. Na radnoj mreži, kada daljinski konfigurirate ACL-ove, riskirate da ostanete bez pristupa hardveru koji postavljate.

Da biste umetnuli pravilo na početak ili bilo koje drugo željeno mjesto, možete pribjeći ovoj tehnici:
ip access-list prošireni Servers-out
1 dopustiti icmp bilo koji bilo koji

Svako pravilo na popisu numerirano je određenim korakom, a ako stavite broj ispred riječi dopustiti/odbiti, pravilo će biti dodano ne na kraj, već na mjesto koje vam je potrebno. Nažalost, ova značajka ne radi u RT-u.
Ako iznenada zatreba (svi uzastopni brojevi između pravila su zauzeti), uvijek možete prenumerirati pravila (u ovom primjeru, broj prvog pravila dodijeljen je 10 (prvi broj), a korak je 10):
ip access-list resequence Servers-out 10 10

Kao rezultat toga, popis pristupa za mrežu poslužitelja izgledat će ovako:
ip access-list prošireni Servers-out
dopustiti icmp bilo koji bilo koji
primjedba WEB
dopustiti tcp bilo koji host 172.16.0.2 eq www
dozvoli tcp host 172.16.6.66 host 172.16.0.2 raspon 20 ftp
dozvoli tcp host 172.16.6.66 host 172.16.0.2 eq telnet
primjedba DATOTEKA
dopuštenje tcp 172.16.0.0 0.0.255.255 host 172.16.0.3 eq 445
dozvoli tcp bilo koji host 172.16.0.3 raspon 20 21
primjedba POŠTA
dozvoli tcp bilo koji host 172.16.0.4 eq pop3
dopustiti tcp bilo koji host 172.16.0.4 eq smtp
primjedba DNS
dozvola udp 172.16.0.0 0.0.255.255 host 172.16.0.5 eq 53

Trenutno naš administrator ima pristup samo WEB poslužitelju. Dajte mu puni pristup cijeloj mreži. Ovo je prva domaća zadaća.

f) Prava korisnika iz Druge mreže

Do sada smo trebali ne puštaj unutra netko negdje, pa smo obratili pozornost na odredišnu adresu i priložili pristupnu listu prometu koji izlazi iz sučelja.

Sada trebamo ne puštaj: Zahtjevi s računala na drugoj mreži ne smiju izlaziti izvan granica. Pa, naravno, osim onih koje izričito dopuštamo.

msk-arbat-gw1(config)# ip access-list extended Other-in

msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.6.61 bilo koji

Ovdje nismo mogli prvo odbiti sve, a zatim dopustiti nekolicini odabranih, jer bi apsolutno svi paketi potpali pod pravilo uskrati ip bilo koji I dozvola uopće ne bi funkcioniralo.
Primjenjujemo ga na sučelje. Ovaj put na ulazu:

msk-arbat-gw1(config)#int fa0/0.104
msk-arbat-gw1(config-subif)#ip access-group Other-in u

to jest, svi IP paketi s glavnog računala s adresom 172.16.6.61 ili 172.16.6.66 mogu se proslijediti kamo god im je odredište. Zašto ovdje također koristimo proširenu pristupnu listu? Uostalom, čini se da provjeravamo samo adresu pošiljatelja. Zato što smo administratoru dali puni pristup, ali gost npr. tvrtke “Lift mi Up” koji uđe u istu mrežu nema apsolutno nikakav pristup ničemu osim Internetu.

g) Kontrolna mreža

Ništa komplicirano. Pravilo će izgledati ovako:

msk-arbat-gw1(config)# ip access-list extended Management-out
msk-arbat-gw1(config-ext-nacl)# primjedba IAM
msk-arbat-gw1(config-ext-nacl)# dozvola ip host 172.16.6.61 172.16.1.0 0.0.0.255
msk-arbat-gw1(config-ext-nacl)# napomena ADMIN
msk-arbat-gw1(config-ext-nacl)# dozvola ip host 172.16.6.66 172.16.1.0 0.0.0.255

Ovaj ACL primjenjujemo na izlaz na sučelje FE 0/0.2:

msk-arbat-gw1(config)# int fa0/0.2
msk-arbat-gw1(config-subif)#ip access-group Izlaz upravljanja

g) Nema više ograničenja

Spreman

Maska i obrnuta maska

Do sada smo bez objašnjenja davali čudan parametar poput 0.0.255.255, koji sumnjivo podsjeća na subnet masku.
Malo je teško za razumjeti, ali ovo je ono što se obrnuta maska koristi za određivanje hostova koji će biti predmet pravila.
Da biste razumjeli što je obrnuta maska, morate znati što je obična maska.

Počnimo s najjednostavnijim primjerom.

Obična mreža s 256 adresa: 172.16.5.0/24, na primjer. Što ovaj unos znači?
A to znači upravo sljedeće

IP adresa. Decimalni zapis	172	16	5	0
IP adresa. Binarni zapis	10101100	00010000	00000101	00000000
	11111111	11111111	11111111	00000000
	255	255	255	0

IP adresa je 32-bitni parametar podijeljen u 4 dijela, koji ste navikli vidjeti u decimalnom obliku.
Podmrežna maska je također dugačka 32 bita – to je zapravo predložak, šablona koja određuje podmrežnu adresu adrese. Tamo gdje su jedinice u maski, vrijednost se ne može promijeniti, odnosno dio 172.16.5 je potpuno nepromijenjen i bit će isti za sve hostove na ovoj subneti, ali dio gdje su nule varira.
To jest, u našem primjeru, 172.16.5.0/24 je mrežna adresa, a hostovi će biti 172.16.5.1-172.16.5.254 (posljednjih 255 je emitirano), jer je 00000001 1, a 11111110 je 254 (govorimo oko posljednjeg okteta adrese). /24 znači da je duljina maske 24 bita, odnosno imamo 24 jedinice - nepromijenjeni dio i 8 nula.
Drugi slučaj je kada je naša maska, na primjer, 30 bita, a ne 24.
Na primjer 172.16.2.4/30. Zapišimo to ovako:

IP adresa. Decimalni zapis	172	16	2	4
IP adresa. Binarni zapis	10101100	00010000	00000010	00000100
Maska podmreže. Binarni zapis	11111111	11111111	11111111	11111100
Maska podmreže. Decimalni zapis	255	255	255	252

Kao što vidite, samo se zadnja dva bita mogu promijeniti za ovu podmrežu. Zadnji oktet može imati sljedeće 4 vrijednosti:
00000100 - podmrežna adresa (4 u decimalnom)
00000101 - adresa čvora (5)
00000110 - adresa čvora (6)
00000111 - emitiranje (7)
Sve izvan ovoga je druga podmreža

Odnosno, sad bi vam trebalo biti malo jasno da je maska podmreže niz od 32 bita, gdje su prvo jedinice, znači adresa podmreže, a zatim nule, što znači adresa hosta. U ovom slučaju, nule i jedinice u maski ne mogu se izmjenjivati. Odnosno, maska je 11111111.11100000.11110111.00000000 nemoguće

Što je obrnuta maska (džoker)?
Za veliku većinu administratora i nekih inženjera ovo nije ništa više od inverzije uobičajene maske. To jest, nule prvo postavljaju adresu dijela koji se nužno mora podudarati, a jedinice, naprotiv, slobodni dio.
To jest, u prvom primjeru koji smo uzeli, ako želite filtrirati sve hostove iz podmreže 172.16.5.0/24, tada ćete postaviti pravilo na Access listi:
…. 172.16.5.0 0.0.0.255
Zato što će obrnuta maska izgledati ovako:

00000000.00000000.00000000.11111111

U drugom primjeru s mrežom 172.16.2.4/30 obrnuta maska će izgledati ovako: 30 nula i dvije jedinice:

Obrnuta maska. Binarni zapis	00000000	00000000	00000000	00000011
Obrnuta maska. Decimalni zapis	0	0	0	3

Sukladno tome, parametar na pristupnoj listi izgledat će ovako:
…. 172.16.2.4 0.0.0.3
Kasnije, kada pojedete psa na računskim maskama i obrnutim maskama, prisjetit ćete se najčešće korištenih brojeva, broja domaćina u pojedinoj maski, te ćete shvatiti da se u opisanim situacijama dobiva zadnji oktet obrnute maske. oduzimanjem posljednjeg okteta regularne maske od 255 (255-252 =3), itd. U međuvremenu, morate naporno raditi i računati)

No zapravo, obrnuta maska je malo bogatiji alat, ovdje možete kombinirati adrese unutar iste podmreže ili čak kombinirati podmreže, ali najvažnija razlika je u tome što možete izmjenjivati nule i jedinice. To vam omogućuje, na primjer, filtriranje određenog računala (ili grupe) preko više podmreža s jednom linijom.

Primjer 1

dano: mreža 172.16.16.0/24
Potrebno: filtrirajte prve 64 adrese (172.16.16.0-172.16.16.63)
Riješenje: 172.16.16.0 0.0.0.63

Primjer 2

dano: mreže 172.16.16.0/24 i 172.16.17.0/24
Potrebno: filtrirati adrese s obje mreže
Riješenje: 172.16.16.0 0.0.1.255

Primjer 3

dano: Mreže 172.16.0.0-172.16.255.0
Potrebno: filter host s adresom 4 iz svih podmreža
Riješenje: 172.16.16.0 0.0.255.4

ACL rad u slikama

Hipotetska mreža:

1) Na usmjerivaču RT1 na sučelju FE0/1 sve je dozvoljeno za unos osim ICMP-a.

2) Na usmjerivaču RT2 na sučelju FE0/1 zabranjen je izlaz SSH i TELNET-a

Testovi
kliknuti
1) Ping s PC1 na Server1

2) TELNET od PC1 do Server1

3) SSH od PC1 do Server2

4) Ping s Server2 na PC1

Dodaci

1) Pravila koja se primjenjuju na odlazni promet neće filtrirati promet samog uređaja. Odnosno, ako negdje trebate zabraniti pristup samom Ciscu, tada ćete morati filtrirati dolazni promet na ovom sučelju (promet odgovora odakle trebate zabraniti pristup).

2) Morate biti oprezni s ACL-ovima. Mala greška u pravilu, netočan redoslijed konfiguracije ili općenito loše osmišljen popis mogli bi vas ostaviti bez pristupa uređaju.
Na primjer, želite blokirati pristup bilo gdje za mrežu 172.16.6.0/24, osim za svoju adresu 172.16.6.61 i postavite pravila ovako:

zabrani ip 172.16.6.0 0.0.0.255 bilo koji
dopustiti IP host 172.16.6.61 bilo koji

Čim primijenite ACL na sučelje, odmah ćete izgubiti pristup usmjerivaču, jer potpadate pod prvo pravilo, a drugo nije niti provjereno.
Druga neugodna situacija koja vam se može dogoditi: promet koji nije trebao proći ispod ACL-a.
Zamislite ovu situaciju: imamo FTP poslužitelj u pasivnom načinu rada u sobi s poslužiteljem. Da biste mu pristupili otvorili ste 21. port u ACL-u Poslužitelji isključeni. Nakon što se uspostavi početna veza, FTP poslužitelj obavještava klijenta o portu na kojem je spreman za prijenos/primanje datoteka, na primjer, 1523. Klijent pokušava uspostaviti TCP vezu na ovom portu, ali nailazi na ACL Servers-out, gdje nema takve dozvole - i time priča o uspješnom prijenosu završava. U našem primjeru iznad, gdje smo postavili pristup poslužitelju datoteka, otvorili smo pristup samo 20. i 21., jer je to dovoljno za primjer. U stvarnom životu morat ćete petljati. Nekoliko primjera ACL konfiguracija za uobičajene slučajeve.

3) Vrlo sličan i zanimljiv problem proizlazi iz točke 2.
Jeste li htjeli, na primjer, staviti sljedeće ACL-ove na internet sučelje:

access-list out permit tcp host 1.1.1.1 host 2.2.2.2 eq 80
access-list u dozvoli tcp host 2.2.2.2 bilo koji eq 80

Čini se: hostu s adresom 1.1.1.1 dopušten je pristup preko porta 80 poslužitelju 2.2.2.2 (prvo pravilo). I natrag s poslužitelja 2.2.2.2, dopuštene su ulazne veze.
Ali ovdje je nijansa da računalo 1.1.1.1 uspostavlja vezu NA port 80, ali s nekog drugog porta, na primjer, 1054, odnosno paket odgovora s poslužitelja stiže na socket 1.1.1.1: 1054, ne spada pod pravilo u ACL-u je na IN i odbacuje se zbog implicitnog deny ip any any.
Kako biste izbjegli ovu situaciju i ne otvorili cijelu hrpu portova, možete pribjeći ovom triku u ACL-u na u:

dopustiti tcp host 2.2.2.2 bilo koji uspostavljen.

Pojedinosti ovog rješenja pronaći ćete u jednom od sljedećih članaka.

4) Govoreći o suvremenom svijetu, ne može se zanemariti takav alat kao što su grupe objekata (Object-group).

Recimo da trebate stvoriti ACL koji oslobađa tri specifične adrese na Internetu na tri identična porta s mogućnošću proširenja broja adresa i portova. Kako to izgleda bez poznavanja grupa objekata:

ip access-list prošireni TO-INTERNET
dozvoli tcp host 172.16.6.66 bilo koji eq 80
dozvoli tcp host 172.16.6.66 bilo koji eq 8080
dozvoli tcp host 172.16.6.66 bilo koji eq 443
Dopusti tcp host 172.16.6.67 bilo koji eq 80
dozvoli tcp host 172.16.6.67 bilo koji eq 8080
dozvoli tcp host 172.16.6.67 bilo koji eq 443
Dopusti tcp host 172.16.6.68 bilo koji eq 80
dozvoli tcp host 172.16.6.68 bilo koji eq 8080
dozvoli tcp host 172.16.6.68 bilo koji eq 443

Kako se broj parametara povećava, održavanje takvog ACL-a postaje sve teže, a lako je pogriješiti prilikom konfiguracije.
Ali ako se okrenemo grupama objekata, one poprimaju sljedeći oblik:

usluga objektne grupe INET-PORTS
opis Portovi dopušteni za neke hostove
tcp eq www
tcp eq 8080
tcp eq 443
Mreža grupe objekata HOSTS-TO-INET
opis Domaćini mogu pregledavati mrežu
domaćin 172.16.6.66
domaćin 172.16.6.67
domaćin 172.16.6.68
IP access-list prošireni INET-OUT
dopustiti grupu objekata INET-PORTS grupu objekata HOSTS-TO-INET bilo koji

Na prvi pogled izgleda malo prijeteće, ali ako pogledate, vrlo je zgodno.

4) Vrlo korisne informacije za rješavanje problema mogu se dobiti iz izlaza naredbe prikaži IP access-lists %ACL name%. Uz stvarni popis pravila za navedeni ACL, ova naredba prikazuje broj podudaranja za svako pravilo.

msk-arbat-gw1#sh ip pristupne liste nat-inet
Proširena IP pristupna lista nat-inet

(4 podudaranja)

I dodavanjem na kraju bilo kojeg pravila log, moći ćemo primati poruke o svakoj utakmici u konzolu. (ovo zadnje ne radi na PT)

NAT

Prijevod mrežnih adresa apsolutno je neophodan mehanizam u gospodarstvu od 1994. Mnoge sesije o tome su prekinute i paketi su izgubljeni.
Najčešće je potrebno za povezivanje vaše lokalne mreže s internetom. Činjenica je da teoretski postoji 255*255*255*255=4 228 250 625 adresa. Čak i kada bi svaki stanovnik planeta imao samo jedno računalo, više ne bi bilo dovoljno adresa. Ali ovdje se glačala ne spajaju na internet. Pametni su to shvatili još početkom 90-ih i kao privremeno rješenje predložili podjelu adresnog prostora na javni (bijeli) i privatni (privatni, sivi).
Potonji uključuje tri raspona:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Oni su besplatni za korištenje na vašoj privatnoj mreži, pa će se naravno ponavljati. Što je s jedinstvenošću? Kome će WEB poslužitelj odgovoriti kada dobije zahtjev s povratnom adresom 192.168.1.1? Rostelecom? Tatneft tvrtka? Ili vaš Indoor Long? Na velikom Internetu nitko ne zna ništa o privatnim mrežama – one nisu rutirane.
Ovdje NAT stupa na scenu. Uglavnom, ovo je obmana, namještaljka. Na uređaju za trljanje vaša se privatna adresa, grubo rečeno, jednostavno zamijeni bijelom adresom, koja će se pojaviti dalje u paketu dok on putuje do WEB poslužitelja. Ali bijele adrese se jako dobro usmjeravaju, a paket će se sigurno vratiti na uređaj za trljanje.
Ali kako će ono, zauzvrat, razumjeti što dalje s njim? Hajdemo shvatiti ovo.

NAT vrste

Statički

U ovom slučaju, jedna interna adresa se pretvara u jednu vanjsku adresu. Istovremeno, svi zahtjevi koji dolaze na vanjsku adresu bit će prevedeni na internu. Kao da je ovaj host vlasnik ove bijele IP adrese.

Konfigurirano sljedećom naredbom:

Usmjerivač (konfiguracija)# ip nat unutar izvora statički 172.16.6.5 198.51.100.2

Što se događa:
1) Čvor 172.16.6.5 pristupa WEB poslužitelju. Šalje IP paket gdje je odredišna adresa 192.0.2.2, a adresa pošiljatelja 172.16.6.5.

2) Paket se isporučuje putem korporativne mreže na pristupnik 172.16.6.1, gdje je NAT konfiguriran

3) Prema konfiguriranoj naredbi, usmjerivač uklanja trenutno IP zaglavlje i mijenja ga u novo, gdje se bijela adresa 198.51.100.2 već pojavljuje kao adresa pošiljatelja.

4) Preko interneta, ažurirani paket doseže poslužitelj 192.0.2.2.

5) Vidi da odgovor mora biti poslan na 198.51.100.2 i priprema IP paket odgovora. Kao adresa pošiljatelja, stvarna adresa poslužitelja je 192.0.2.2, odredišna adresa je 198.51.100.2

6) Paket se vraća natrag preko Interneta, i to ne nužno istom rutom.

7) Uređaj za trljanje označava da se svi zahtjevi na adresu 198.51.100.2 trebaju preusmjeriti na 172.16.6.5. Usmjerivač ponovno uklanja TCP segment skriven unutra i postavlja novo IP zaglavlje (izvorna adresa se ne mijenja, odredišna adresa je 172.16.6.5).

8) Paket se internom mrežom vraća inicijatoru, koji ni ne zna kakva su mu se čuda dogodila na granici.
I tako će biti sa svima.
Štoviše, ako je veza pokrenuta s Interneta, paketi automatski, prolazeći kroz uređaj za trljanje, dolaze do internog glavnog računala.

Ovaj pristup je koristan kada imate poslužitelj unutar svoje mreže kojem je potreban puni pristup izvana. Naravno, ovu opciju ne možete koristiti ako preko jedne adrese želite Internetu izložiti tri stotine hostova. Ova NAT opcija nikako neće pomoći u očuvanju bijelih IP adresa, ali svejedno može biti korisna.

Dinamičan

Imate skup bijelih adresa, na primjer, vaš pružatelj vam je dodijelio mrežu 198.51.100.0/28 sa 16 adresa. Dvije od njih (prva i posljednja) su mrežna adresa i adresa emitiranja, još dvije adrese dodijeljene su opremi za pružanje usmjeravanja. Preostalih 12 adresa možete koristiti za NAT i putem njih otpustiti svoje korisnike.
Situacija je slična statičkom NAT-u - jedna privatna adresa se prevodi u jednu vanjsku - ali sada vanjska nije jasno fiksirana, već će se birati dinamički iz zadanog raspona.
Konfiguriran je ovako:

Router(config)#ip nat pool lol_pool 198.51.100.3 198.51.103.14

Specificira skup (raspon) javnih adresa iz kojih će se odabrati adresa za natiranje

Router(config)#access-list 100 dozvola ip 172.16.6.0 0.0.0.255 bilo koji

Postavljamo pristupnu listu koja dopušta sve pakete s izvornom adresom 172.16.6.x, gdje x varira 0-255.

Router(config)#ip nat unutar popisa izvora 100 pool lol_pool

Ovom naredbom povezujemo kreirani ACL i pool.

Ova opcija također nije univerzalna; također nećete moći pustiti svih svojih 300 korisnika na Internet ako nemate 300 vanjskih adresa. Nakon što se bijele adrese potroše, nitko novi neće moći pristupiti internetu. U isto vrijeme, oni korisnici koji su već uspjeli zgrabiti vanjsku adresu za sebe će raditi. Tim će vam pomoći da odbacite sva trenutna emitiranja i oslobodite vanjske adrese čisti ip nat prijevod *
Osim dinamičke dodjele vanjskih adresa, ovaj se dinamički NAT razlikuje od statičkog NAT-a po tome što bez posebne konfiguracije prosljeđivanja porta, vanjska veza s jednom od adresa skupa više nije moguća.

Više prema jednom

Sljedeći tip ima nekoliko naziva: NAT Overload, Port Address Translation (PAT), IP Masquerading, Many-to-One NAT.
Prezime govori samo za sebe - preko jedne vanjske adrese u svijet odlaze mnoge privatne. To vam omogućuje da riješite problem s nedostatkom vanjskih adresa i pustite sve u svijet.
Ovdje bismo trebali dati objašnjenje kako to funkcionira. Možete zamisliti kako se dvije privatne adrese prevode u jednu, ali kako usmjerivač razumije tko treba proslijediti paket vraćen s Interneta na tu adresu?
Sve je vrlo jednostavno:
Pretpostavimo da paketi stižu od dva računala na internoj mreži do uređaja za trljanje. Oba sa zahtjevom prema WEB serveru 192.0.2.2.
Podaci s hostova izgledaju ovako:

Usmjerivač otkriva IP paket s prvog hosta, izdvaja TCP segment iz njega, ispisuje ga i otkriva s kojeg se porta uspostavlja veza. Ima vanjsku adresu 198.51.100.2, na koju će se promijeniti adresa iz interne mreže.
Zatim odabire slobodni port, na primjer, 11874. I što dalje radi? Pakira sve podatke na razini aplikacije u novi TCP segment, gdje odredišni port i dalje ostaje 80 (ovo je mjesto gdje WEB poslužitelj čeka veze), a port pošiljatelja se mijenja s 23761 na 11874. Ovaj TCP segment je enkapsuliran u novi IP paket u kojem se IP adresa pošiljatelja mijenja iz 172.16.6.5 u 198.51.100.2.
Ista stvar se događa za paket s drugog hosta, samo je odabran sljedeći slobodni port, na primjer 11875. "Slobodan" znači da nije već zauzet drugim takvim vezama.
Podaci koji se šalju na Internet sada će izgledati ovako.

Unosi podatke pošiljatelja i primatelja u svoju NAT tablicu

Za WEB poslužitelj to su dva potpuno različita zahtjeva, koje mora obraditi svaki pojedinačno. Nakon toga šalje odgovor koji izgleda ovako:

Kada jedan od ovih paketa stigne do našeg usmjerivača, on povezuje podatke u tom paketu sa svojim unosima u NAT tablici. Ako se pronađe podudaranje, događa se obrnuti postupak - paket i TCP segment se vraćaju na svoje originalne parametre samo kao odredište:

I sada se paketi preko interne mreže dostavljaju početnim računalima, koja niti ne shvaćaju da su negdje na granici s njihovim podacima tako grubo postupali.

Svaki vaš poziv je zasebna veza. Odnosno, pokušali ste otvoriti WEB stranicu - to je HTTP protokol koji koristi port 80. Da biste to učinili, vaše računalo mora uspostaviti TCP sesiju s udaljenim poslužiteljem. Takvu sesiju (TCP ili UDP) definiraju dvije utičnice: lokalna IP adresa: lokalni port i udaljena IP adresa: udaljeni port. U normalnoj situaciji imate jednu vezu računalo-poslužitelj, ali u slučaju NAT-a bit će dvije veze: usmjerivač-poslužitelj i računalo misli da ima sesiju računalo-poslužitelj.

Postavka se prilično razlikuje: s dodatnim preopterećenjem riječi:

Router(config)#access-list 101 dozvola 172.16.4.0 0.0.0.255
Router(config)#ip nat unutar popisa izvora 101 sučelja fa0/1 preopterećenje

U ovom slučaju, naravno, ostaje moguće konfigurirati skup adresa:

Router(config)#ip nat pool lol_pool 198.51.100.2 198.51.103.14
Router(config)#access-list 100 dozvola 172.16.6.0 0.0.0.255
Router(config)#ip nat unutar popisa izvora 100 pool lol_pool preopterećenje

Port Forwarding

Inače kažu i port forwarding ili mapping.
Kad smo tek počeli razgovarati o NAT-u, imali smo emitiranje jedan na jedan i svi zahtjevi koji dolaze izvana automatski su preusmjereni na interni host. Na taj način bilo bi moguće izložiti poslužitelj Internetu.
Ali ako nemate takvu priliku - ograničeni ste u bijelim adresama ili ne želite izložiti cijelu hrpu portova prema van, što trebate učiniti?
Možete odrediti da svi zahtjevi koji dolaze na određenu bijelu adresu i određeni port usmjerivača trebaju biti proslijeđeni na željeni port željene interne adrese.

Router(config)#ip nat unutar izvora statički tcp 172.16.0.2 80 198.51.100.2 80 proširiv

Korištenje ove naredbe znači da će TCP zahtjev koji dolazi s interneta na adresu 198.51.100.2 na portu 80 biti preusmjeren na internu adresu 172.16.0.2 na istom portu 80. Naravno, također možete proslijediti UDP i preusmjeriti s jednog porta na drugi. Ovo, primjerice, može biti korisno ako imate dva računala kojima je potreban pristup putem RDP-a izvana. RDP koristi port 3389. Ne možete proslijediti isti port na različita računala (kada koristite istu vanjsku adresu). Dakle, možete učiniti ovo:

Router(config)# ip nat unutar izvora statički tcp 172.16.6.61 3389 198.51.100.2 3389
Router(config)# ip nat unutar izvora statički tcp 172.16.6.66 3389 198.51.100.2 3398

Zatim, da biste došli do računala 172.16.6.61, pokrećete RDP sesiju na portu 198.51.100.2:3389, a na 172.16.6.66 - 198.51.100.2:3398. Ruter će sam distribuirati sve gdje je potrebno.

Usput, ova naredba je poseban slučaj prve: ip nat unutar izvora statički 172.16.6.66 198.51.100.2. Samo u ovom slučaju govorimo o prosljeđivanju cjelokupnog prometa, au našim primjerima - specifičnih portova TCP protokola.

Ovako funkcionira NAT općenito. Mnogo je članaka napisano o njegovim značajkama i prednostima i nedostacima, ali ne mogu se zanemariti.

Slabosti i snage NAT-a

+

- Kao prvo NAT vam omogućuje spremanje javnih IP adresa. Upravo je za to i stvoren. Preko jedne adrese teoretski je moguće izdati više od 65.000 sivih adresa (prema broju portova).
- Drugo, PAT i dinamički NAT su u određenoj mjeri vatrozid koji sprječava vanjske veze da dođu do krajnjih računala koja možda nemaju vlastiti vatrozid i antivirus. Činjenica je da ako izvana do uređaja za trljanje dođe paket koji se ovdje ne očekuje ili nije dopušten, jednostavno se odbacuje.
Da bi se paketu omogućio prolaz i obrada, moraju biti ispunjeni sljedeći uvjeti:
1) Mora postojati unos u NAT tablici za ovu vanjsku adresu navedenu kao izvornu adresu u paketu
I
2) Izvorni port u paketu mora odgovarati portu za tu bijelu adresu u unosu
I
3) Odredišni port u paketu odgovara portu u unosu.
ILI
Prosljeđivanje priključka je konfigurirano.
Ali ne morate NAT promatrati baš kao vatrozid - to nije ništa više od dodatne pogodnosti.

- Treći, NAT skriva unutarnju strukturu vaše mreže od znatiželjnih očiju - kada pratite rutu izvana, nećete vidjeti ništa izvan uređaja za kretanje.

-

NAT također ima nedostatke. Najznačajniji od njih su možda sljedeći:
- Neki protokoli ne mogu raditi kroz NAT bez štaka. Na primjer, FTP ili protokoli tuneliranja (unatoč tome koliko sam lako postavio FTP u laboratoriju, u stvarnom životu to može stvoriti mnogo problema)
- Još jedan problem leži u činjenici da ima puno zahtjeva s jedne adrese na jedan server. Mnogi su tome svjedočili, kad odeš na neki Rapidshare, pa ti kaže da je već bila veza s tvog IP-a, ti misliš da "lažeš, pseto jedno", a susjed ti je već sranje. Iz istog razloga bilo je problema s ICQ-om kada su poslužitelji odbili registraciju.
- Sada ne baš hitan problem: opterećenje procesora i RAM-a. Budući da je količina posla prilično velika u usporedbi s jednostavnim usmjeravanjem (ne trebate samo pogledati IP zaglavlje, morate ga ukloniti, ukloniti TCP zaglavlje, unijeti ga u tablicu, dodati nova zaglavlja) u malim uredima postoje problemi s ovim.
Naišao sam na ovu situaciju.
Jedno moguće rješenje je premjestiti NAT funkciju na zasebno računalo ili na specijalizirani uređaj, kao što je Cisco ASA.
Za velike igrače čiji ruteri pokreću 3-4 BGP full-view, to sada nije problem.

Što još trebate znati?
- NAT se uglavnom koristi za pružanje pristupa Internetu hostovima s privatnim adresama. Ali postoji još jedna primjena - komunikacija između dvije privatne mreže s isprepletenim adresnim prostorima.
Na primjer, vaša tvrtka kupuje podružnicu u Aktobeu. Vaša adresa je 10.0.0.0-10.1.255.255, a njihova je 10.1.1.0-10.1.10.255. Rasponi se jasno preklapaju; ne postoji način za konfiguriranje usmjeravanja, jer ista adresa može biti u Aktobeu iu vašem sjedištu.
U ovom slučaju, NAT je konfiguriran na spoju. Budući da nemamo dovoljno sivih adresa, možemo odabrati, na primjer, raspon 10.2.1.0-10.2.10.255 i napraviti jedan-na-jedan emitiranje:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2
…
10.1.10.255-10.2.10.255

U velikim igračkama za odrasle, NAT se može implementirati na zasebnoj ploči (i često jest) i neće raditi bez njega. Na uredskom hardveru, naprotiv, gotovo uvijek postoji.

Sa širokim usvajanjem IPv6, potreba za NAT-om će nestati. Već sada se veliki kupci počinju zanimati za funkcionalnost NAT64 - to je kada imate pristup svijetu putem IPv4, a interna mreža je već na IPv6

Naravno, ovo je samo površan pogled na NAT i još uvijek postoji more nijansi u kojima će vam samoobrazovanje pomoći da se ne utopite.

NAT praksa

Što stvarnost traži od nas?
1) Kontrolna mreža uopće nema pristup internetu
2) Domaćini iz VET mreže imaju pristup samo specijaliziranim stranicama, na primjer, Linkmeup.ru
3) Lijepe dame iz odjela računovodstva trebaju otvoriti prozor u svijet klijenata banaka.
4) FEO ne bi trebao biti pušten nigdje osim financijskom direktoru
5) Na drugoj mreži, naše računalo i računalo administratora - dat ćemo im puni pristup internetu. Svi ostali ga mogu otvoriti na pismeni zahtjev.
6) Ne zaboravimo na podružnice u St. Petersburgu i Kemerovu. Radi jednostavnosti, konfigurirajmo puni pristup za korisnike iz ovih podmreža.
7) Poslužitelji su druga stvar. Za njih ćemo konfigurirati prosljeđivanje portova. Sve što trebamo:
a) WEB poslužitelj mora biti dostupan na portu 80
b) Mail server na 25. i 110
c) Poslužitelj datoteka dostupan je iz svijeta putem FTP-a.
8) Računala administratora i naša moraju biti dostupna s interneta putem RDP-a. Zapravo, ovo je pogrešan način - za udaljenu vezu morate koristiti VPN vezu i, već na lokalnoj mreži, koristiti RDP, ali to je tema za poseban, potpuno drugačiji članak.

Prvo, pripremimo mjesto za testiranje:

Priključak na Internet bit će organiziran putem postojećeg linka kojeg pruža davatelj.
Ide u mrežu pružatelja usluga. Podsjećamo vas da je sve u ovom oblaku apstraktna mreža, koja se u stvarnosti može sastojati od desetaka rutera i stotina preklopnika. Ali trebamo nešto upravljivo i predvidljivo, pa ovdje također instaliramo ruter. S jedne strane je link sa switcha, s druge je server na internetu.

Trebat će nam sljedeći poslužitelji:
1. Dvije klijentske banke za računovođe (sperbank.ru, mmm-bank.ru)
2. Linkmeup.ru za studente strukovnog obrazovanja
3. Yandex (yandex.ru)

Za takvu vezu podići ćemo još jedan vlan na msk-arbat-gw1. Njegov broj, naravno, dogovara se s davateljem usluga. Neka to bude VLAN 6
Pretpostavimo da nam pružatelj pruža podmreža 198.51.100.0/28. Prve dvije adrese služe za organiziranje veze (198.51.100.1 i 198.51.100.2), a preostale koristimo kao skup za NAT. Međutim, nitko nam ne brani da za pool koristimo adresu 198.51.100.2. Napravimo to: bazen: 198.51.100.2-198.51.100.14
Radi jednostavnosti, pretpostavimo da se naši javni poslužitelji nalaze na istoj podmreži:
192.0.2.0/24 .
Već znate kako postaviti vezu i adrese.
Budući da imamo samo jedan usmjerivač u mreži pružatelja usluga, a sve su mreže povezane izravno na njega, nema potrebe za konfiguriranjem usmjeravanja.
Ali naš msk-arbat-gw1 mora znati gdje poslati pakete na Internet, pa nam je potrebna zadana ruta:

msk-arbat-gw1(config)# ip ruta 0.0.0.0 0.0.0.0 198.51.100.1

Sada po redu

Prvo, postavimo skup adresa

msk-arbat-gw1(config)# ip nat pool main_pool 198.51.100.2 198.51.100.14 mrežna maska 255.255.255.240

Sada prikupljamo ACL:

msk-arbat-gw1(config)# ip access-list prošireni nat-inet

1) Kontrolna mreža

uopće nema pristup internetu
Spreman

2) Domaćini iz VET mreže

Imaju pristup samo specijaliziranim stranicama, na primjer, Linkmeup.ru

msk-arbat-gw1(config-ext-nacl)# dopuštenje tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq 80

3) Računovodstvo

Dajemo pristup svim hostovima na oba servera

msk-arbat-gw1(config-ext-nacl)# dozvola ip 172.16.5.0 0.0.0.255 host 192.0.2.3
msk-arbat-gw1(config-ext-nacl)# dozvola ip 172.16.5.0 0.0.0.255 host 192.0.2.4

4) FEO

Dozvolu dajemo samo financijskom direktoru - ovo je samo jedan domaćin.

msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.4.123 bilo koji

5) Ostalo

Naša računala s punim pristupom

msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.6.61 bilo koji
msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.6.66 bilo koji

6) Podružnice u St. Petersburgu i Kemerovu

Neka Eniki adrese budu iste: 172.16.x.222

msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.16.222 bilo koji
msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.17.222 bilo koji
msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.24.222 bilo koji

Ovako sada izgleda cijeli ACL:
ip pristupna lista prošireni nat-inet
primjedba PTO
dopuštenje tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq www
primjedba RAČUNOVODSTVO
dopustiti ip 172.16.5.0 0.0.0.255 host 192.0.2.3
dozvoli ip 172.16.5.0 0.0.0.255 host 192.0.2.4
primjedba FEO
dopustiti IP host 172.16.4.123 bilo koji
primjedba IAM
dopustiti IP host 172.16.6.61 bilo koji
primjedba ADMIN
dozvoli ip host 172.16.6.66 bilo koji
primjedba SPB_VSL_OTOK
dozvoli ip host 172.16.16.222 bilo koji
primjedba SPB_OZERKI
dozvoli ip host 172.16.17.222 bilo koji
primjedba KMR
dozvoli ip host 172.16.24.222 bilo koji

Pokrenimo:

msk-arbat-gw1(config)# ip nat unutar popisa izvora nat-inet pool main_pool overload

Ali sreća neće biti potpuna bez prilagođavanja sučelja:
Na vanjskom sučelju trebate dati naredbu ip nat izvana
Iznutra: ip nat unutra

msk-arbat-gw1(config)# int fa0/0.101
msk-arbat-gw1(config)# int fa0/0.102
msk-arbat-gw1(config-subif)# ip nat unutar
msk-arbat-gw1(config)# int fa0/0.103
msk-arbat-gw1(config-subif)# ip nat unutar
msk-arbat-gw1(config)# int fa0/0.104
msk-arbat-gw1(config-subif)# ip nat unutar
Msk-arbat-gw1(config)# int fa0/1.6
msk-arbat-gw1(config-subif)# ip nat izvana

To će omogućiti usmjerivaču da razumije gdje može očekivati pakete koje treba obraditi i kamo ih kasnije poslati.

Kako bi poslužitelji na internetu bili dostupni preko naziva domene, bilo bi lijepo da dobijemo DNS poslužitelj na našoj mreži:

Naravno, potrebno ga je registrirati na onim uređajima s kojih ćemo provjeravati pristup:

Predstava se mora nastaviti!

Sve je dostupno s računala administratora:

Iz VET mreže postoji pristup samo web stranici linkmeup.ru preko porta 80 (HTTP):

U FEO mreži samo 4.123 izlazi u svijet (finirector)

U odjelu računovodstva rade samo stranice klijent-banka. No, budući da je dopuštenje u potpunosti dano IP protokolu, možete ih pingati:

7) Poslužitelji

Ovdje moramo konfigurirati prosljeđivanje porta tako da im se može pristupiti s interneta:

a) Web poslužitelj

msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.2 80 198.51.100.2 80

Provjerimo odmah, na primjer, možemo li to učiniti s testnog računala s adresom 192.0.2.7.
Sada ništa neće raditi, jer za mrežu poslužitelja nemamo sučelje konfigurirano za msk-arbat-gw1:

msk-arbat-gw1(config)# int fa0/0.3
msk-arbat-gw1(config-subif)# ip nat unutar

A sada:

b) Datotečni poslužitelj

msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.3 20 198.51.100.3 20
msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.3 21 198.51.100.3 21

U tu svrhu smo u ACL Servers-out također otvorili portove 20-21 za sve

c) Poslužitelj pošte

msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.4 25 198.51.100.4 25
msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.4 110 198.51.100.4 110

Također nije teško provjeriti. Slijedi upute:
Prvo postavljamo mail server. Određujemo domenu i kreiramo dva korisnika.

Postavljanje računala iz naše mreže:

Iz vanjskog:

Pripremamo pismo:

Na lokalnom hostu kliknite Primi:

8) Pristup putem RDP-a administratorskim i našim računalima

msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.6.61 3389 198.51.100.10 3389
msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.6.66 3389 198.51.100.10 3398

Sigurnost

Još jedna konačna napomena. Najvjerojatnije vaš uređaj za trljanje gleda van sa svojim ip nat vanjskim sučeljem - na Internet. Stoga, ne bi škodilo objesiti ACL na ovo sučelje, gdje odbijate, dopuštate, ono što trebate. U ovom članku nećemo se zadržavati na ovom pitanju.

U ovom trenutku, prvo upoznavanje s NAT tehnologijom može se smatrati dovršenim.
Kao drugi DZ, odgovorite na pitanje zašto nema pristupa internetu s Eniki računala u Sankt Peterburgu i Kemerovu. Uostalom, već smo ih dodali na pristupnu listu.

Više nije novost da nema dovoljno IP mrežnih adresa za sve uređaje koji žele biti na Internetu. Trenutno je izlaz iz ove situacije pronađen razvojem IPv6 protokola, u kojem je duljina adrese 128 bita, dok je trenutni IPv4 samo 32 bita. Ali početkom 2000-ih pronašli su drugo rješenje - koristiti prijevod mrežne adrese, skraćeno nat. Kasnije u članku ćemo konfigurirati nat u routeru.

Ulazak u izbornik postavki rutera

Kao primjer, uzmimo ZyXEL router serije ZyWALL USG i NXC5200.

Prije svega, idite na postavke usmjerivača. Da biste to učinili, u bilo kojem web pregledniku upišite 192.168.1.1 u adresnu traku. (standardna adresa usmjerivača), pojavit će se prozor u kojem ćete morati unijeti svoju prijavu i lozinku.

U polje “Username” unesite admin, u polje “Password” unesite 1234. Kliknite “OK”.

Postavljanje nat-a u ruteru

U prozoru izbornika koji se otvori idite na karticu "Konfiguracija" (ikona s dva zupčanika), zatim "Mreža", zatim "Usmjeravanje". U odabranom prozoru idite na karticu "Politika usmjeravanja".

Izbornik postavki rutera ZyXEL

U ovom izborniku se konfigurira politika usmjeravanja. U području “Kriteriji” postavljamo kriterije za odabir prometa - koji promet treba emitirati (zapravo konfigurirati nat), a koji jednostavno usmjeriti. Promet se može odabrati prema nekoliko kriterija:

Korisnik (Korisnik);
Sučeljem (Dolazni);
Prema izvornoj IP adresi;
Po IP adresi primatelja (Destination Address);
Po odredišnoj luci (Servis).

U području “Next-Hop” dodjeljujemo objekt za preusmjeravanje prometa:

Odabir objekta preusmjeravanja ZyXEL usmjerivača

Gdje je "Auto" - promet će biti preusmjeren na zadano globalno sučelje; Pristupnik – na adresu navedenu u postavkama pristupnika; VPN tunel – IPSec virtualni privatni tunel; Trunk – ruta do "trunka", gdje je "trunk" nekoliko sučelja konfiguriranih za zajednički rad ili u redundantnom načinu rada; Sučelje – preusmjeravanje na navedeno sučelje:

Važno je upamtiti da kad god mijenjate postavke usmjerivača, kliknite gumb "OK" kako biste spremili postavke, a ne samo zatvorite web preglednik.

Postavljanje nat-a na računalu

Kao što znate, samo osobno računalo može poslužiti kao usmjerivač. Često postoji situacija kada postoji računalna mreža nekoliko računala, od kojih jedno ima pristup Internetu. U ovoj situaciji uopće ne možete kupiti usmjerivače, već postaviti računalo s pristupom internetu kao usmjerivač i na njemu konfigurirati nat. Razmotrimo ovaj slučaj detaljnije.

Na glavno računalo koje pristupa internetu (nazovimo ga SERVER) obavezno instalirajte 2 mrežne kartice - prva za spajanje na lokalnu mrežu, druga na providera. Primjer će koristiti operativni sustav Windows Server 2012.

Za konfiguraciju, prvo pokrenite “Upravitelj poslužitelja” (Start -> Administrativni alati -> Upravitelj poslužitelja). Pojavit će se prozor postavki:

Odavde ćemo upravljati našim poslužiteljem. Za nastavak konfiguracije kliknite na “Dodaj uloge i značajke”, što će otvoriti prozor čarobnjaka za dodavanje uloga. Prvi korak - vrsta instalacije:

U sljedećem prozoru trebamo odabrati ulogu koju instaliramo na poslužitelj. Označite okvir pored "Daljinski pristup".

Pojavit će se sljedeći prozor koji prikazuje popis komponenti potrebnih za rad. Kliknite "Dodaj komponente", ovaj prozor će nestati. Pritisnite "Dalje".

U sljedećem prozoru čarobnjak će od vas tražiti da dodate komponente poslužitelja. Ne morate ništa mijenjati, kliknite "Dalje".

Na sljedećoj stranici čarobnjak nas jednostavno informira o radu uloge Remote Access. Pritisnite "Dalje".

U sljedećem koraku trebate odabrati “Usluge uloga”. Označite kućicu pored "Usmjeravanje" i kliknite "Dalje".

Sljedeći prozor je opet informativni, ne morate ništa odabrati, ali možete označiti kućicu pored “Automatsko ponovno pokretanje na odabranom poslužitelju...”, zbog čega će se poslužitelj automatski ponovno pokrenuti nakon instalacije. Ali to možete učiniti i ručno. Pritisnite "Dalje".

I posljednji korak je stvarna instalacija poslužitelja. Kada završite, kliknite gumb "Zatvori".

Instalacija poslužitelja

Dakle, konfigurirali smo računalo koje je spojeno na Internet u načinu poslužitelja. Sada trebate konfigurirati nat na njemu.

Idite na Start / Administracija / Usmjeravanje i daljinski pristup. U prozoru koji se pojavi, s lijeve strane nalazimo stavku "SERVER (lokalno)", desnom tipkom miša kliknite na nju i na padajućem izborniku kliknite "Konfiguriraj i omogući usmjeravanje i daljinski pristup".

Pojavit će se čarobnjak za postavljanje poslužitelja za usmjeravanje i udaljeni pristup u kojem ćemo konfigurirati nat.

Na prvoj stranici ukratko se upoznajemo s čarobnjakom - kliknemo “Dalje”. Sljedeći korak je odabir jednog od servisa koji će raditi na ovom poslužitelju. Odaberite “Prijevod mrežne adrese (NAT)” i kliknite “Dalje”.

Zatim će čarobnjak tražiti da odaberete mrežnu vezu koja gleda na Internet. Obje mrežne kartice bit će prisutne na popisu (barem ovisno o tome koliko ih je instalirano na poslužitelju). Odaberemo onaj na koji je priključen mrežni kabel davatelja usluga. Pritisnite "Dalje".

U sljedećem prozoru čarobnjak će se početi žaliti da ne može otkriti DHCP ili DNS usluge na lokalnoj mreži. Postoje dvije opcije za nastavak - omogućiti osnovne usluge ili instalirati usluge kasnije.

Odaberite prvu stavku i kliknite "Dalje". Na sljedećoj stranici ću vas obavijestiti u kojem rasponu će nat raditi. Čarobnjak za postavljanje odabire ovaj raspon automatski, na temelju konfiguracije mrežne veze povezane s lokalnom mrežom. Pritisnite "Dalje".

nat raspon

To je to, čarobnjak za postavljanje dovršava nat postavljanje. Pritisnite “Dalje”, au sljedećem prozoru “Gotovo”.

Zadnje što preostaje je konfigurirati klijentska računala, odnosno sva ostala računala u lokalnoj mreži. Da biste to učinili, na klijentskom računalu (to ćete morati učiniti na svakom računalu na mreži) idite na Start / Upravljačka ploča / Centar za mrežu i zajedničko korištenje / promijenite postavke adaptera. Idite na "Mrežne veze". Kliknite desnom tipkom miša na ikonu i odaberite "Svojstva" iz padajućeg izbornika. U prozoru koji se pojavi odaberite “Internet Protocol Version 4 (TCP/IPv4)” i kliknite “Properties”.

U polje "Default gateway" upisujemo IP adresu poslužiteljskog računala (koje je konfigurirano u prethodnom koraku), u polje "Preferred DNS server" upisujemo IP adresu DNS poslužitelja pružatelja usluge navedenog u informacijama o internetskoj vezi. na poslužitelju. Pritisnite “OK” i ponovno “OK”. To je to, klijentsko računalo je spojeno na Internet.

NAT na prstima: što je to? NAT - što je to? Upute za postavljanje NAT-a

Uvod

Prerušavanje

Primjeri dinamičkog NAT-a i NAT-a s preopterećenjem

Sigurnost i administracija

Što je NAT

zašto je NAT potreban, kako se koristi

kako radi NAT

Prednosti i nedostatci

Postavljanje na Cisco IOS

Primjeri

Kako radi NAT

Internet kanal od jednog provajdera putem NAT-a

Rezervacija internetskog kanala od dva provajdera koji koriste NAT, ip sla

Shema

Konfiguracija

Razno

Što je NAT

NAT terminologija

NAT vrste

Prijevod adrese priključka (PAT)

Prednosti i nedostaci NAT-a

Je li vam ovaj članak bio koristan?

Molim te reci mi zašto?

Dolazni i odlazni promet

Praksa

a) Pristup WEB poslužitelju

b) Pristup poslužitelju datoteka

c) Pristup mail serveru

d) DNS poslužitelj

e) ICMP

f) Prava korisnika iz Druge mreže

g) Kontrolna mreža

g) Nema više ograničenja

Maska i obrnuta maska

Primjer 1

Primjer 2

Primjer 3

ACL rad u slikama

Dodaci

NAT

NAT vrste

Statički

Dinamičan

Više prema jednom

Port Forwarding

Slabosti i snage NAT-a

+

-

NAT praksa

1) Kontrolna mreža

2) Domaćini iz VET mreže

3) Računovodstvo

4) FEO

5) Ostalo

6) Podružnice u St. Petersburgu i Kemerovu

7) Poslužitelji

a) Web poslužitelj

b) Datotečni poslužitelj

c) Poslužitelj pošte

8) Pristup putem RDP-a administratorskim i našim računalima

Sigurnost

Ulazak u izbornik postavki rutera

Postavljanje nat-a u ruteru

Odabir objekta preusmjeravanja ZyXEL usmjerivača

Postavljanje nat-a na računalu