Wyświetlenia: 38705

1 Jeśli czytasz ten dokument, najprawdopodobniej masz połączenie z Internetem i korzystasz z translacji adresów sieciowych ( Tłumaczenie adresów sieciowych, NAT) już teraz! Internet stał się znacznie większy, niż ktokolwiek mógł sobie wyobrazić. Chociaż dokładna wielkość nie jest znana, obecne szacunki mówią o około 100 milionach hostów i ponad 350 milionach użytkowników aktywnych w Internecie. W rzeczywistości tempo wzrostu jest takie, że rozmiar Internetu praktycznie podwaja się każdego roku.

Wstęp

Aby komputer mógł komunikować się z innymi komputerami i serwerami internetowymi w Internecie, musi mieć adres IP. Adres IP (IP oznacza protokół internetowy) to unikalny 32-bitowy numer identyfikujący lokalizację komputera w sieci. Zasadniczo działa podobnie jak Twój adres: sposób, aby dowiedzieć się dokładnie, gdzie jesteś i dostarczyć Ci informacje. Teoretycznie możesz mieć 4 294 967 296 unikalnych adresów (2^32). Rzeczywista liczba dostępnych adresów jest mniejsza (od 3,2 do 3,3 miliarda) ze względu na sposób podziału adresów na klasy i konieczność zarezerwowania części adresów na potrzeby multiemisji, testowania lub innych specyficznych potrzeb. Wraz ze wzrostem sieci domowych i sieci biznesowych liczba dostępnych adresów IP nie jest już wystarczająca. Oczywistym rozwiązaniem jest przeprojektowanie formatu adresu, aby uwzględnić więcej możliwych adresów. Tym samym rozwija się protokół IPv6, jednak rozwój ten zajmie kilka lat, gdyż wymaga modyfikacji całej infrastruktury internetowej.

Tutaj z pomocą przychodzi nam NAT. Zasadniczo translacja adresów sieciowych pozwala pojedynczemu urządzeniu, takiemu jak router, działać jako agent między Internetem (lub „siecią publiczną”) a siecią lokalną (lub „prywatną”). Oznacza to, że do reprezentowania całej grupy komputerów poza ich siecią wymagany jest tylko jeden unikalny adres IP. Brak adresów IP to tylko jeden z powodów stosowania NAT. Dwa inne dobre powody to bezpieczeństwo i administracja.

Dowiesz się, jakie korzyści możesz zyskać dzięki NAT, ale najpierw przyjrzyjmy się bliżej NAT i zobaczmy, co potrafi.

Przebranie

NAT jest jak sekretarka w dużym biurze. Załóżmy, że zostawiłeś sekretarce instrukcje, aby nie przekierowywała do Ciebie żadnych połączeń, chyba że o to poprosisz. Później dzwonisz do potencjalnego klienta i zostawiasz mu wiadomość, żeby oddzwonił. Mówisz sekretarce, że spodziewasz się połączenia od tego klienta i połączenie należy przekazać. Klient dzwoni na główny numer Twojego biura, który jest jedynym numerem, jaki zna. Kiedy klient mówi sekretarce, kogo szuka, sekretarka sprawdza jego listę pracowników, aby znaleźć zgodność między nazwiskiem a numerem wewnętrznym. Recepcjonista wie, że prosiłeś o to połączenie, więc przekazuje rozmówcę do Twojego telefonu.

Opracowana przez firmę Cisco funkcja translacji adresów sieciowych jest używana przez urządzenie (zaporę sieciową, router lub komputer), które znajduje się pomiędzy siecią wewnętrzną a resztą świata. NAT występuje w wielu postaciach i może działać na kilka sposobów:

Statyczny NAT- Mapowanie niezarejestrowanego adresu IP na zarejestrowany adres IP na zasadzie jeden do jednego. Szczególnie przydatne, gdy urządzenie musi być dostępne spoza sieci.

W statycznym NAT komputer o adresie 192.168.32.10 będzie zawsze tłumaczony na adres 213.18.123.110:

Dynamiczny NAT- Mapuje niezarejestrowany adres IP na zarejestrowany adres z grupy zarejestrowanych adresów IP. Dynamiczny NAT ustanawia również bezpośrednie mapowanie pomiędzy adresem niezarejestrowanym a adresem zarejestrowanym, ale mapowanie może się zmieniać w zależności od zarejestrowanego adresu dostępnego w puli adresów podczas komunikacji.

W dynamicznym NAT komputer o adresie 192.168.32.10 jest tłumaczony na pierwszy dostępny adres z zakresu od 213.18.123.100 do 213.18.123.150

Przeciążać to forma dynamicznego NAT, która mapuje wiele niezarejestrowanych adresów na jeden zarejestrowany adres IP przy użyciu różnych portów. Znany również jako PAT (tłumaczenie adresu portu)

W przypadku przeciążenia każdy komputer w sieci prywatnej jest tłumaczony na ten sam adres (213.18.123.100), ale z innym numerem portu

Zachodzić na siebie- Jeśli adresy IP używane w Twojej sieci wewnętrznej są również używane w innej sieci, router musi prowadzić tablicę przeglądową tych adresów, aby móc je przechwycić i zastąpić zarejestrowanymi unikalnymi adresami IP. Należy pamiętać, że router NAT musi tłumaczyć adresy „wewnętrzne” na zarejestrowane unikalne adresy, a także musi tłumaczyć „zewnętrzne” zarejestrowane adresy na adresy unikalne dla sieci prywatnej. Można to zrobić albo poprzez statyczny NAT, albo możesz użyć DNS i zaimplementować dynamiczny NAT.

Przykład:
Wewnętrzny zakres adresów IP (237.16.32.xx) jest także zarejestrowanym zakresem używanym przez inną sieć. Dlatego router tłumaczy adresy, aby uniknąć potencjalnego konfliktu. Tłumaczy także zarejestrowane globalne adresy IP z powrotem na niezarejestrowane adresy lokalne, gdy pakiety są wysyłane do sieci wewnętrznej

Sieć wewnętrzna to zazwyczaj sieć LAN (ang. Local Area Network), zwana najczęściej siecią LAN domena pośrednia. Domena pośrednicząca to sieć LAN korzystająca z wewnętrznych adresów IP. Większość ruchu sieciowego w takiej domenie ma charakter lokalny i nie opuszcza sieci wewnętrznej. Domena może obejmować zarówno zarejestrowane, jak i niezarejestrowane adresy IP. Oczywiście każdy komputer korzystający z niezarejestrowanych adresów IP musi używać NAT, aby komunikować się z resztą świata.

NAT można skonfigurować na różne sposoby. W poniższym przykładzie router NAT jest skonfigurowany do tłumaczenia niezarejestrowanych adresów IP (lokalnych adresów wewnętrznych), które znajdują się w sieci prywatnej (wewnętrznej), na zarejestrowane adresy IP. Dzieje się tak za każdym razem, gdy urządzenie wewnętrzne o niezarejestrowanym adresie musi komunikować się z siecią zewnętrzną.

Dostawca usług internetowych przydziela Twojej firmie zakres adresów IP. Przypisany blok adresów to unikalne zarejestrowane adresy IP i tzw wewnątrz adresów globalnych. Niezarejestrowane prywatne adresy IP są podzielone na dwie grupy, małą grupę, poza adresami lokalnymi, będzie używany przez routery NAT, a główny, który będzie używany w domenie, to tzw wewnątrz adresów lokalnych. Zewnętrzne adresy lokalne służą do tłumaczenia unikalnych adresów IP, tzw poza adresami globalnymi,urządzenia w sieci publicznej.
NAT tłumaczy jedynie ruch przechodzący pomiędzy siecią wewnętrzną i zewnętrzną i jest przeznaczony do translacji. Jakikolwiek ruch, który nie spełnia kryteriów translacji lub który przechodzi pomiędzy innymi interfejsami routera, nigdy nie jest tłumaczony i jest przekazywany w niezmienionej postaci.

Adresy IP mają różne oznaczenia w zależności od tego, czy znajdują się w sieci prywatnej (domena), czy sieci publicznej (Internet) i czy ruch jest przychodzący czy wychodzący:

Większość komputerów w domenie komunikuje się między sobą za pomocą wewnętrznych adresów lokalnych.
Niektóre komputery w domenie komunikują się z siecią zewnętrzną. Komputery te mają wewnętrzne adresy globalne, co oznacza, że nie wymagają tłumaczenia.
Gdy komputer w domenie mający wewnętrzny adres lokalny chce komunikować się z siecią zewnętrzną, pakiet trafia do jednego z routerów NAT poprzez normalny routing.
Router NAT sprawdza tablicę routingu, aby sprawdzić, czy zawiera ona wpis dotyczący adresu docelowego. Jeżeli adresu docelowego nie ma w tablicy routingu, pakiet zostaje odrzucony. Jeżeli nagranie jest dostępne, router sprawdza, czy pakiet przechodzi z sieci wewnętrznej do sieci zewnętrznej, a także czy pakiet spełnia kryteria zdefiniowane dla rozgłoszenia. Następnie router sprawdza tabelę translacji adresów, aby sprawdzić, czy istnieje wpis dla wewnętrznego adresu lokalnego i odpowiadającego mu wewnętrznego adresu globalnego. Jeśli wpis zostanie znaleziony, rozgłasza pakiet przy użyciu wewnętrznego adresu globalnego. Jeśli skonfigurowany jest tylko statyczny NAT i nie zostanie znaleziony żaden wpis, router wysyła pakiet bez translacji.
Wykorzystując wewnętrzny adres globalny, router przekazuje pakiet do miejsca docelowego.
komputer w sieci publicznej wysyła pakiet do sieci prywatnej. Adres źródłowy w pakiecie jest zewnętrznym adresem globalnym. Adres docelowy jest wewnętrznym adresem globalnym.
Kiedy pakiet dociera do sieci zewnętrznej, router NAT sprawdza tabelę translacji i określa adres docelowy mapowany na komputer w domenie.
Router NAT tłumaczy wewnętrzny adres globalny pakietu na wewnętrzny adres lokalny, a następnie sprawdza tablicę routingu przed wysłaniem pakietu do komputera docelowego. Jeśli w tablicy translacji nie zostanie znaleziony wpis dla adresu, pakiet nie jest tłumaczony, a router kontynuuje sprawdzanie tablicy routingu w celu znalezienia adresu docelowego.

Przeciążanie NAT wykorzystuje funkcję stosu protokołów TCP/IP, taką jak multipleksowanie, która umożliwia komputerowi utrzymywanie wielu jednoczesnych połączeń z komputerem zdalnym przy użyciu różnych portów TCP lub UDP. Pakiet IP ma nagłówek zawierający następujące informacje:

Adres źródłowy – adres IP komputera źródłowego, np. 201.3.83.132.
Port źródłowy — numer portu TCP lub UDP przypisany przez komputer jako źródło tego pakietu, na przykład Port 1080.
Adres docelowy – adres IP komputera odbiorcy. Na przykład 145.51.18.223.
Port docelowy – numer portu TCP lub UDP, który prosi komputer źródłowy o otwarcie na odbiorniku, na przykład port 3021.

Adresy IP identyfikują dwie maszyny po każdej stronie, natomiast numery portów zapewniają, że połączenie między dwiema maszynami ma unikalny identyfikator. Kombinacja tych czterech liczb definiuje pojedyncze połączenie TCP/IP. Każdy numer portu wykorzystuje 16 bitów, co oznacza, że istnieje 65 536 (2^16) możliwych wartości. W rzeczywistości, ponieważ różni producenci wyświetlają porty w nieco inny sposób, można spodziewać się około 4000 dostępnych portów.

Przykłady dynamicznego NAT i NAT z przeciążeniem

Poniższy obrazek pokazuje, jak działa dynamiczny NAT.

Kliknij jeden z zielonych przycisków, aby wysłać pomyślny pakiet do lub z sieci wewnętrznej. Kliknij jeden z czerwonych przycisków, aby wysłać pakiet, który zostanie odrzucony przez router z powodu nieprawidłowego adresu.

sieć wewnętrzna została skonfigurowana z adresami IP, które nie zostały specjalnie przydzielone tej firmie przez IANA (Internet Assigned Numbers Authority), globalne biuro rozdające adresy IP. Takie adresy należy uważać za nierutowalne, ponieważ nie są unikalne. Są to wewnętrzne adresy lokalne.
firma instaluje router z NAT. Router posiada szereg unikalnych adresów IP nadawanych firmie. Są to wewnętrzne adresy globalne.
komputer w sieci LAN próbuje połączyć się z komputerem spoza sieci, takim jak serwer WWW.
Router odbiera pakiet z komputera w sieci LAN.
Po sprawdzeniu tablicy routingu i procesie weryfikacji translacji router przechowuje adres komputera, który nie podlega trasowaniu, w tablicy translacji adresów. Router zastępuje nieroutowalny adres komputera wysyłającego pierwszym dostępnym adresem IP z zakresu unikalnych adresów. Tabela translacji zawiera teraz nieroutowalny adres IP komputera, który odpowiada jednemu z unikalnych adresów IP.
Kiedy pakiet wraca z komputera docelowego, router sprawdza adres docelowy w pakiecie. Następnie przegląda tabelę translacji adresów, aby dowiedzieć się, do którego komputera w domenie należy pakiet. Zmienia adres odbiorcy na ten, który był wcześniej zapisany w tablicy translacji i wysyła pakiet do żądanego komputera. Jeśli router nie znajdzie dopasowania w tabeli, odrzuca pakiet.
Komputer odbiera pakiet z routera i cały proces się powtarza, podczas gdy komputer komunikuje się z systemem zewnętrznym.

Sieć wewnętrzna została skonfigurowana z nierutowalnymi adresami IP, które nie zostały specjalnie przydzielone firmie
firma instaluje router z NAT. Router ma unikalny adres IP nadawany przez IANA
Komputer w domenie próbuje połączyć się z komputerem poza siecią, na przykład z serwerem internetowym.
Router odbiera pakiet z komputera w domenie.
Po trasowaniu i sprawdzeniu pakietu w celu wykonania translacji router zapisuje nieroutowalny adres IP komputera i numer portu w tablicy translacji. Router zastępuje nieroutowalny adres IP komputera wysyłającego adresem IP routera. Router zastępuje port źródłowy komputera nadawcy jakimś losowym numerem portu i zapisuje go w tabeli translacji adresów dla tego nadawcy. Tabela translacji zawiera nierutowalny adres IP komputera i numer portu wraz z adresem IP routera.
Kiedy pakiet powraca od miejsca docelowego, router sprawdza port docelowy w pakiecie. Następnie przegląda tabelę tłumaczeń, aby dowiedzieć się, do którego komputera w domenie należy pakiet. Następnie router zmienia adres odbiornika i port odbiornika na wartości, które zostały wcześniej zapisane w tablicy translacji i wysyła pakiet do węzła końcowego.
komputer odbiera pakiet z routera i proces się powtarza
Ponieważ router NAT ma teraz adres źródłowy komputera i port źródłowy zapisane w swojej tabeli translacji, będzie nadal używać tego samego numeru portu dla kolejnych połączeń. Za każdym razem, gdy router uzyskuje dostęp do wpisu w tablicy tłumaczeń, licznik czasu życia tego wpisu jest resetowany. Jeśli wpis nie zostanie wyświetlony przed upływem limitu czasu, zostanie on usunięty z tabeli

Liczba jednoczesnych transmisji, które router będzie obsługiwał, zależy przede wszystkim od ilości pamięci DRAM (Dynamic Random Access Memory). Ponieważ typowy wpis w tablicy translacji ma około 160 bajtów, router z 4 MB pamięci RAM może teoretycznie obsłużyć 26 214 jednoczesnych połączeń, co w większości zastosowań jest więcej niż wystarczające.

Bezpieczeństwo i Administracja

Wdrożenie dynamicznego NAT powoduje automatyczne utworzenie zapory ogniowej pomiędzy siecią wewnętrzną a sieciami zewnętrznymi lub Internetem. Dynamiczny NAT pozwala tylko na połączenia pochodzące z sieci lokalnej. Zasadniczo oznacza to, że komputer w sieci zewnętrznej nie może połączyć się z Twoim komputerem, chyba że Twój komputer uruchomił połączenie. W ten sposób możesz surfować po Internecie i łączyć się z witryną, a nawet przesyłać pliki. Ale już nikt nie może po prostu pobrać Twojego adresu IP i użyć go do połączenia się z portem w komputerze.

Statyczny NAT, zwany także mapowaniem przychodzącym, umożliwia w pewnych okolicznościach połączenia inicjowane przez urządzenia zewnętrzne z komputerami w sieci LAN. Można na przykład zmapować wewnętrzny adres globalny na konkretny wewnętrzny adres lokalny przypisany do serwera sieci Web.

Statyczny NAT pozwala komputerowi w sieci LAN zachować określony adres podczas komunikacji z urządzeniami poza siecią:

Niektóre routery NAT zapewniają rozbudowane filtrowanie i rejestrowanie ruchu. Filtrowanie pozwala Twojej firmie kontrolować, które strony w Internecie odwiedzają pracownicy, zapobiegając przeglądaniu przez nich podejrzanych materiałów. Możesz użyć rejestrowania ruchu, aby utworzyć dziennik odwiedzanych witryn i wygenerować na tej podstawie różne raporty.

Czasami translacja adresów sieciowych jest mylona z serwerami proxy, gdzie występują pewne różnice. NAT jest przezroczysty dla komputerów źródłowych i docelowych. Żaden z nich nie wie, że chodzi o trzecie urządzenie. Ale serwer proxy nie jest przezroczysty. Komputer źródłowy wie, że wysyła żądanie do serwera proxy. Komputer docelowy uważa, że serwer proxy jest komputerem źródłowym i bezpośrednio się z nim kontaktuje. Ponadto serwery proxy zazwyczaj działają w warstwie 4 (transportowej) modelu OSI lub wyższej, podczas gdy NAT jest protokołem warstwy 3 (sieciowej). Praca na wyższych poziomach powoduje, że w większości przypadków serwery proxy są wolniejsze niż urządzenia NAT.

Prawdziwe korzyści z NAT są widoczne w administrowaniu siecią. Można na przykład przenieść serwer WWW lub serwer FTP na inny komputer, nie martwiąc się o zerwane połączenia. Po prostu zmień mapowanie wejścia na nowy wewnętrzny adres lokalny w routerze, aby odzwierciedlić nowego hosta. Możesz także wprowadzić zmiany w swojej sieci wewnętrznej, ponieważ dowolny z Twoich zewnętrznych adresów IP należy do routera lub puli adresów globalnych.

To zupełnie inne technologie. Nie myl ich.

Co to jest NAT

NAT to zbiorcze określenie odnoszące się do technologii translacji adresów sieciowych i/lub protokołów. Urządzenia NAT dokonują transformacji przechodzących pakietów, zastępując adresy, porty, protokoły itp.

Istnieją węższe koncepcje SNAT, DNAT, maskarady, PAT, NAT-PT itp.

dlaczego potrzebny jest NAT i jak się go używa

Aby połączyć sieć wewnętrzną z Internetem

poprzez pulę adresów zewnętrznych
poprzez jeden adres zewnętrzny

Aby zastąpić zewnętrzny adres IP innym (przekierowanie ruchu)

Aby zrównoważyć obciążenie pomiędzy identycznymi serwerami o różnych adresach IP.

Aby połączyć dwie sieci lokalne z przecinającym się adresowaniem wewnętrznym.

jak działa NAT

s+d NAT (łączenie oddziałów - zło!)

mapowanie portów, przekierowanie portów

Zalety i wady

Niekompatybilny z niektórymi protokołami. Konkretna implementacja NAT musi obsługiwać kontrolę wymaganego protokołu.

NAT ma właściwość „ekranowania” sieci wewnętrznej od świata zewnętrznego, ale nie można go używać zamiast zapory ogniowej.

Konfiguracja w systemie Cisco IOS

Routery i zapory Cisco obsługują różne typy NAT, w zależności od zestawu opcji oprogramowania. Najczęściej stosowaną metodą NAT jest wiązanie wewnętrznych adresów lokalnych z różnymi portami tego samego adresu zewnętrznego (PAT w terminologii Cisco).

Aby skonfigurować NAT na routerze, musisz: o Określić ruch, który ma zostać przetłumaczony (przy użyciu list dostępu lub map tras);

Lista dostępu IP rozszerzona Zezwolenie LOKALNE ip 10.0.0.0 0.255.255.255 dowolne

Mapa tras INT1 dopasowuje adres IP LOKALNY interfejs dopasowuje FastEthernet0/1.1

Lista dostępu LOCAL wybiera cały ruch z sieci 10.

Mapa tras INT1 wybiera ruch z LOKALNEJ listy dostępu wychodzący przez podinterfejs Fa 0/1.1

o Określ, do których adresów zewnętrznych chcesz rozgłaszać. Wybierz pulę adresów zewnętrznych. W przypadku PAT wystarczy jeden adres.

Pula IP nat GLOBALNA 212.192.64.74 212.192.64.74 maska sieci 255.255.255.0

Określanie puli adresów zewnętrznych o nazwie GLOBAL. W puli jest tylko jeden adres.

o Włącz NAT dla wybranych adresów wewnętrznych i zewnętrznych.

IP nat wewnątrz źródłowej mapy tras INT1 puli GLOBALNE przeciążenie

Włącz NAT dla translacji adresów źródłowych w interfejsie wewnętrznym. Rozgłaszany będzie tylko ruch spełniający warunki mapy tras INT1. Adres zewnętrzny zostanie pobrany z puli GLOBALNEJ.

IP nat wewnątrz źródła statyczny tcp 10.0.0.1 23 212.192.64.74 23 przedłużenie

Statyczne „przekierowanie portów” lub „publikowanie usług”. W ruchu przychodzącym do adresu 212.192.64.74 na porcie TCP 23 miejsce docelowe zostanie zastąpione adresem 10.0.0.1 i portem 23.

o Przypisz interfejsy wewnętrzne i zewnętrzne.

Interfejs FastEthernet0/0 ip nat wewnątrz interfejs FastEthernet0/1.1 ip nat na zewnątrz

Interfejs Fa 0/0 jest przypisany wewnętrznie dla NAT.

Podinterfejs Fa 0/1.1 jest przypisany jako zewnętrzny dla NAT.

O Debugowanie i diagnostyka:

Wyślij tłumaczenia nat - zobacz tabelę aktualnych audycji; wyczyść tłumaczenia ip nat - usuń wszystkie bieżące tłumaczenia; debug ip nat – włącz komunikaty debugowania (odbuguj wszystko – wyłącz debugowanie).

Przykłady

Oto kilka przykładów demonstracyjnych emulatora Cisco Packet Tracer.

Prosty schemat podłączenia małej sieci do Internetu poprzez pulę adresów zewnętrznych

Prosty schemat podłączenia sieci do Internetu za pośrednictwem jednego adresu zewnętrznego

Schemat łączenia sieci z przecinającym się adresowaniem

Jak działa NAT

Sposób stosowania reguł NAT różni się w zależności od producenta i sprzętu. Oto procedura stosowania zasad NAT dla routerów w systemie Cisco IOS:

Od wewnątrz do zewnątrz

Jeśli IPSec, sprawdź odszyfrowanie listy dostępu wejściowego - w przypadku CET (Cisco Encryption Technology) lub IPSec sprawdź listę dostępu wejściowego sprawdź limity szybkości wejściowej rozliczanie wejściowe przekierowanie do polityki pamięci podręcznej sieci routing routing NAT wewnątrz na zewnątrz (tłumaczenie lokalne na globalne) krypto (sprawdź mapę i znak do szyfrowania) sprawdź listę dostępu do wyników kontroli (kontekstowa kontrola dostępu (CBAC)) szyfrowanie przechwytujące TCP Kolejkowanie

Z zewnątrz do wewnątrz

Jeśli IPSec, sprawdź odszyfrowanie listy dostępu do danych wejściowych - dla CET lub IPSec sprawdź listę dostępu do danych wejściowych sprawdź limity szybkości wejściowej rozliczanie danych wejściowych przekierowanie do pamięci podręcznej sieci NAT z zewnątrz do wewnątrz (tłumaczenie z globalnego na lokalne) routing zasad routing kryptograficzny (sprawdź mapę i zaznacz pod kątem szyfrowania) sprawdź wyjściowa lista dostępu sprawdź CBAC przechwytywanie TCP szyfrowanie kolejkowanie

Kanał internetowy od jednego dostawcy poprzez NAT

Prosty schemat wdrożenia NAT u jednego dostawcy

Rezerwacja kanału internetowego od dwóch dostawców korzystających z NAT, ip sla

Dane: Internet dla kilku komputerów odbieramy od ISP1. Podał nam adres 212.192.88.150. Dostęp do Internetu jest organizowany z tego adresu IP poprzez NAT.

Zadanie: podłącz dostawcę zapasowego - ISP2. Poda nam adres 212.192.90.150. Zorganizuj równoważenie ruchu: pozwól ruchowi internetowemu przechodzić przez ISP1, a pozostały ruch przez ISP2. Jeśli jeden z dostawców zawiedzie, zezwól cały ruch na kanał na żywo.

Jaka jest trudność zadania? wyczyścić tłumaczenia ip nat?

Schemat

Konfig

1 jasne tłumaczenia ip nat *

Znaleziono i przetestowano taki fragment EEM. Zdarzenie nie jest generowane we wszystkich wersjach IOS. Musimy to wyjaśnić.

! aplet menadżera zdarzeń NAT-TRACK zdarzenie syslog wzór "TRACKING-5-STATE" akcja 0.1 polecenie cli "włącz" akcja 0.2 czekaj 3 akcja 0.3 polecenie cli "wyczyść tłumaczenie ip nat *" akcja 0.4 syslog msg "Translacja NAT wyczyszczona po zmianie stanu ścieżki „!

2 Jeśli interfejs u dostawcy ulegnie awarii, istnieje duże prawdopodobieństwo, że jego brama wykona polecenie ping przez drugi raz

! nazwa użytkownika NAZWA hasło 0 HASŁO włącz tajne 0 KONFIGUJ HASŁO! ! kontrola logowania do routera linia vty 0 4 logowanie lokalne ! ! DHCP ip dhcp pula Sieć LAN Sieć wewnętrzna Maska routera domyślnego Brama serwer dns 10.11.12.13 ! DNS - fikcyjny, który wymyślili - NIE z naszej sieci lokalnej! ! ! Monitor ping do bramy dostawcy o adresie-1! Poczekaj 100 ms na odpowiedź! Ping z częstotliwością 1 sekundy ip sla monitor 1 typ echo protokół ipIcmpEcho GatewayProv1 źródło-interfejs InterfaceOnProv1 timeout 100 częstotliwość 1 ! ! Monitor ping dla dostawcy-2 monitor ip sla 2 typ protokół echa ipIcmpEcho GatewayProv2 interfejs źródłowy interfejsNaProv2 limit czasu 50 częstotliwość 1 ! ! Uruchamianie pingów 1 i 2, teraz i na zawsze ip sla monitor harmonogram 1 życie na zawsze czas rozpoczęcia teraz ip sla monitor harmonogram 2 zawsze czas rozpoczęcia teraz ! ! Ścieżki 10 i 20 – śledzenie statusu pingów! Reaguje na stan Down lub Up z opóźnieniem 1 sekundy. ścieżka 10 rtr 1 opóźnienie osiągalności w dół 1 w górę 1 ! ścieżka 20 rtr 2 opóźnienie osiągalności w dół 1 w górę 1 ! ! ! Trasy do wszystkich sieci zewnętrznych u obu dostawców! Trasy są powiązane z torami! i zostanie aktywowany tylko wtedy, gdy ścieżka będzie w stanie Up! te. jeśli bramka do odpowiedniego dostawcy jest dostępna ip Route 0.0.0.0 0.0.0.0 GatewayProv1 ścieżka 10 ip Route 0.0.0.0 0.0.0.0 GatewayProv2 ścieżka 20 ! ! ! int fa 0/0 nie zamykaj! ! Subinterfejsy do dostawców zewnętrznych! są oznaczone jako zewnętrzne dla interfejsu NAT FastEthernet0/0.1 opis ISP1 encaps dot1q NumberVlanProv1 adres IP ipOnProv1 Maska ip nat na zewnątrz ! interfejs FastEthernet0/0.2 opis Enkapsulacja ISP2 dot1Q NumerVlanProv2 adres IP ipNaProv2 Maska ip nat na zewnątrz ! ! Interfejs do sieci wewnętrznej! oznaczone jako wewnętrzne dla NAT ! Polityka routingu jest powiązana z interfejsem PBR FastEthernet0/1 adres IP ipOnInternalNet maska ip nat wewnątrz polityki ip mapa tras PBR nie zamykaj ! ! Listy dostępu z sieci wewnętrznej na zewnątrz! Dla ruchu sieciowego i wszystkiego innego, lista dostępu IP rozszerzona LOKALNA, zezwolenie na ip intranet dowolne! lista dostępu ip rozszerzona WEB zezwolenie tcp sieć wewnętrzna dowolne eq www zezwolenie tcp sieć wewnętrzna dowolne eq 443 ! rozszerzona lista dostępu ip WSZYSTKIE zezwolenie ip dowolne dowolne ! ! ! trudna mapa korzeni PBR! Jeśli ruch odbywa się z sieci LAN do Internetu! następnie przypisz pierwszego dostawcę jako jego bramę! W przeciwnym razie inny ruch z okolicy! przypisz drugiego dostawcę jako bramę. ! Podczas przypisywania bramy, mapa tras PBR pozwala na 10 dopasowań do adresu IP WEB ustawia ip następnego skoku weryfikuje dostępność GatewayProv1 1 ścieżka 10 ! mapa tras PBR zezwolenie 20 dopasowanie adresu IP WSZYSTKIE ustawienie ip następny skok weryfikacja dostępności GatewayProv2 1 ścieżka 20 ! ! ! trudna mapa root ISP1! działa, jeśli ruch pochodzi z sieci LAN! próba wyjścia poprzez interfejs Fa0/0.1 mapa tras ISP1 zezwolenie 10 dopasowanie adresu IP LOKALNY interfejs dopasowania FastEthernet0/0.1 ! ! trudna mapa root ISP2! działa, jeśli ruch pochodzi z sieci LAN! próba wyjścia poprzez interfejs Fa0/0.2 mapa tras ISP2 zezwolenie 10 dopasowanie adresu IP LOKALNY interfejs dopasowania FastEthernet0/0.2 ! ! ! Wreszcie NAT ;-) ! ! Ruch z sieci LAN do pierwszego dostawcy Przejdź przez pierwszy interfejs ip nat wewnątrz źródłowej mapy tras Interfejs ISP1 Przeciążenie FastEthernet0/0.1 ! ! Ruch z sieci LAN do drugiego dostawcy Nawigacja po drugim interfejsie ip nat wewnątrz źródłowej mapy tras Interfejs ISP2 Przeciążenie FastEthernet0/0.2 ! ! Przekieruj ruch do fikcyjnego DNS do Google DNS ip nat zewnętrzne źródło static 8.8.8.8 10.11.12.13 no-alias ! ! przekierowanie portu wewnętrznego 3389 na port zewnętrzny 1111 ip nat wewnątrz źródła statyczny tcp internalHost 3389 zewnętrzny 1111 rozszerzalny ip nat wewnątrz źródła statyczny tcp internalHost 3389 zewnętrzny 1111 rozszerzalny ! !

Różnorodny

CGN (carrier grade nat) ze specjalną pulą adresów prywatnych

NAT jako ALG (brama warstwy aplikacji), (protokoły zwykłego tekstu, np. SIP)

2 32 lub 4 294 967 296 IPv4 czy to dużo adresów? Wydaje się, że tak. Jednak wraz z rozprzestrzenianiem się komputerów osobistych, urządzeń mobilnych i szybkim rozwojem Internetu szybko stało się jasne, że 4,3 miliarda adresów IPv4 nie wystarczy. Rozwiązaniem długoterminowym było IPv6, ale aby zaradzić niedoborom adresów, potrzebne było szybsze rozwiązanie. I ta decyzja stała się NAT (tłumaczenie adresów sieciowych).

Co to jest NAT

Sieci są zwykle projektowane przy użyciu prywatnych adresów IP. To są adresy 10.0.0.0/8, 172.16.0.0/12 I 192.168.0.0/16 . Te adresy prywatne są używane w organizacji lub witrynie, aby umożliwić urządzeniom komunikację lokalną i nie są kierowane przez Internet. Aby umożliwić urządzeniu z prywatnym adresem IPv4 dostęp do urządzeń i zasobów poza siecią lokalną, adres prywatny musi najpierw zostać przetłumaczony na publiczny adres publiczny.

I to właśnie NAT konwertuje adresy prywatne na publiczne. Dzięki temu urządzenie z prywatnym adresem IPv4 może uzyskać dostęp do zasobów poza swoją siecią prywatną. Translacja NAT w połączeniu z prywatnymi adresami IPv4 okazała się przydatną metodą przechowywania publicznych adresów IPv4. Z jednego publicznego adresu IPv4 mogą korzystać setki, a nawet tysiące urządzeń, każde z prywatnym adresem IPv4. Translacja NAT ma dodatkową zaletę, zwiększając poziom prywatności i bezpieczeństwa sieci, ponieważ ukrywa wewnętrzne adresy IPv4 przed sieciami zewnętrznymi.

Routery z obsługą NAT można skonfigurować z jednym lub większą liczbą prawidłowych publicznych adresów IPv4. Te adresy publiczne nazywane są pulą NAT. Kiedy urządzenie w sieci wewnętrznej wysyła ruch z sieci na zewnątrz, router z obsługą NAT tłumaczy wewnętrzny adres IPv4 urządzenia na adres publiczny z puli NAT. W przypadku urządzeń zewnętrznych cały ruch przychodzący i wychodzący z sieci wydaje się mieć publiczny adres IPv4.

Router NAT zwykle działa na granicy Końcówka-sieci Sieć odgałęziona to sieć odgałęziona, która ma jedno połączenie z sąsiednią siecią, jedno wejście i jedno wyjście z sieci.

Kiedy urządzenie w sieci Stub chce komunikować się z urządzeniem poza jej siecią, pakiet jest przekazywany do routera granicznego, który przeprowadza proces NAT, tłumacząc wewnętrzny prywatny adres urządzenia na publiczny, zewnętrzny adres, który można routować.

Terminologia NAT

W terminologii NAT sieć wewnętrzna to zbiór sieci, które mają zostać przetłumaczone. Sieć zewnętrzna odnosi się do wszystkich innych sieci.

Podczas korzystania z NAT adresy IPv4 mają różne oznaczenia w zależności od tego, czy znajdują się w sieci prywatnej, czy publicznej (Internecie) i czy ruch jest przychodzący czy wychodzący.

NAT obejmuje cztery typy adresów:

Wewnątrz adresu lokalnego;
Wewnątrz adresu globalnego;
Poza adresem lokalnym;
Zewnętrzny adres globalny;

Przy ustalaniu, jaki typ adresu jest używany, należy pamiętać, że terminologia NAT jest zawsze stosowana w odniesieniu do urządzenia z przetłumaczonym adresem:

Adres wewnętrzny- adres urządzenia tłumaczony przez NAT;
Adres zewnętrzny- adres urządzenia docelowego;
Lokalny adres- jest to dowolny adres wyświetlany w wewnętrznej części sieci;
Adres globalny- jest to dowolny adres wyświetlany na zewnętrznej części sieci;

Przyjrzyjmy się temu na przykładowym diagramie.

Na rysunku komputer ma wewnętrzny lokalny ( Wewnątrz lokalnie) adres to 192.168.1.5 i z jego punktu widzenia serwer WWW posiada zewnętrzny ( poza) adres 208.141.17.4. Kiedy pakiety są wysyłane z komputera PC na globalny adres serwera WWW, wewnętrzny lokalny adres ( Wewnątrz lokalnie) Adres komputera jest tłumaczony na 208.141.16.5 ( wewnątrz globalnego). Adres urządzenia zewnętrznego zwykle nie jest tłumaczony, ponieważ jest to publiczny adres IPv4.

Warto zauważyć, że komputer PC ma różne adresy lokalne i globalne, podczas gdy serwer WWW ma ten sam publiczny adres IP. Z jego punktu widzenia ruch pochodzący z komputera PC pochodzi z wewnętrznego adresu globalnego 208.141.16.5. Router NAT to punkt rozgraniczenia pomiędzy sieciami wewnętrznymi i zewnętrznymi oraz pomiędzy adresami lokalnymi i globalnymi.

Warunki wewnątrz I poza, w połączeniu z terminami lokalny I światowy aby połączyć się z konkretnymi adresami. Na rysunku router jest skonfigurowany do zapewniania NAT i ma pulę adresów publicznych, które można przypisać hostom wewnętrznym.

Rysunek pokazuje, w jaki sposób ruch jest przesyłany z wewnętrznego komputera do zewnętrznego serwera WWW za pośrednictwem routera obsługującego NAT oraz jest przekazywany i przekazywany w przeciwnym kierunku.

Wewnętrzny adres lokalny ( Wewnątrz adresu lokalnego) - adres źródłowy widoczny z sieci wewnętrznej. Na rysunku komputerowi przypisano adres 192.168.1.5 - jest to jego wewnętrzny adres lokalny.

Wewnętrzny adres globalny ( Wewnątrz adresu globalnego) - adres źródłowy widoczny z sieci zewnętrznej. Na rysunku, gdy ruch z komputera PC jest wysyłany do serwera WWW pod adresem 208.141.17.4, router tłumaczy wewnętrzny adres lokalny ( Wewnątrz adresu lokalnego) na wewnętrzny adres globalny ( Wewnątrz adresu globalnego). W takim przypadku router zmienia adres źródłowy IPv4 z 192.168.1.5 na 208.141.16.5.

Zewnętrzny adres globalny ( Zewnętrzny adres globalny) - adres odbiorcy widoczny z sieci zewnętrznej. Jest to adres IPv4, który można routować globalnie, przypisany do hosta w Internecie. Na diagramie serwer WWW jest dostępny pod adresem 208.141.17.4. Najczęściej zewnętrzne adresy lokalne i zewnętrzne adresy globalne są takie same.

Zewnętrzny adres lokalny ( Poza adresem lokalnym) - adres odbiorcy widoczny z sieci wewnętrznej. W tym przykładzie komputer PC wysyła ruch do serwera WWW pod adresem 208.141.17.4

Rozważmy całą ścieżkę pakietu. Komputer o adresie 192.168.1.5 próbuje komunikować się z serwerem WWW 208.141.17.4. Gdy pakiet dociera do routera obsługującego NAT, odczytuje adres docelowy IPv4 pakietu, aby określić, czy pakiet spełnia kryteria określone dla translacji. W tym przykładzie adres źródłowy spełnia kryteria i jest tłumaczony z 192.168.1.5 ( Wewnątrz adresu lokalnego) pod adresem 208.141.16.5. ( Wewnątrz adresu globalnego). Router dodaje to mapowanie adresu lokalnego do globalnego do tablicy NAT i wysyła pakiet z przetłumaczonym adresem źródłowym do miejsca docelowego. Serwer WWW odpowiada pakietem adresowanym na wewnętrzny adres globalny komputera (208.141.16.5). Router odbiera pakiet o adresie docelowym 208.141.16.5 i sprawdza tabelę NAT, gdzie znajduje wpis dla tego mapowania. Wykorzystuje te informacje i tłumaczy wewnętrzny adres globalny (208.141.16.5) na wewnętrzny adres lokalny (192.168.1.5), po czym pakiet jest przekazywany dalej do komputera.

typy NAT-u

Istnieją trzy typy translacji NAT:

Statyczna translacja adresów (statyczny NAT)- mapowanie adresów jeden do jednego pomiędzy adresami lokalnymi i globalnymi;
Dynamiczna translacja adresów (dynamiczny NAT)- mapowanie adresów wiele do wielu pomiędzy adresami lokalnymi i globalnymi;
Tłumaczenie adresów portów (NAT)- mapowanie adresów multiemisji pomiędzy adresami lokalnymi i globalnymi przy użyciu portów. Metoda ta jest również znana jako Przeciążenie NAT-u;

Statyczny NAT wykorzystuje mapowanie jeden do jednego adresów lokalnych i globalnych. Te mapowania są konfigurowane przez administratora sieci i pozostają trwałe. Gdy urządzenia wysyłają ruch do Internetu, ich wewnętrzne adresy lokalne są tłumaczone na skonfigurowane wewnętrzne adresy globalne. W przypadku sieci zewnętrznych urządzenia te mają publiczne adresy IPv4. Statyczny NAT jest szczególnie przydatny w przypadku serwerów internetowych lub urządzeń, które muszą mieć spójny adres dostępny z Internetu, takich jak serwer WWW firmy. Statyczny NAT wymaga wystarczającej liczby adresów publicznych, aby zaspokoić całkowitą liczbę jednoczesnych sesji użytkowników.

Statyczna tabela NAT wygląda następująco:

Dynamiczny NAT wykorzystuje pulę adresów publicznych i przydziela je według kolejności zgłoszeń. Gdy urządzenie wewnętrzne żąda dostępu do sieci zewnętrznej, dynamiczny NAT przypisuje dostępny publiczny adres IPv4 z puli. Podobnie jak statyczny NAT, dynamiczny NAT wymaga wystarczającej liczby adresów publicznych, aby zaspokoić całkowitą liczbę jednoczesnych sesji użytkowników.

Dynamiczna tabela NAT wygląda następująco:

Translacja adresów portów (PAT)

POKLEPAĆ rozgłasza wiele adresów prywatnych do jednego lub większej liczby adresów publicznych. Tak robi większość routerów domowych. Dostawca usług internetowych przydziela routerowi jeden adres, ale wielu członków rodziny może uzyskać dostęp do Internetu w tym samym czasie. Jest to najczęstsza forma NAT.

Dzięki PAT wiele adresów można zmapować na jeden lub więcej adresów, ponieważ każdy adres prywatny jest również śledzony przez numer portu. Gdy urządzenie inicjuje sesję TCP/IP, generuje wartość portu źródłowego TCP Lub UDP aby jednoznacznie zidentyfikować sesję. Kiedy router NAT odbiera pakiet od klienta, używa numeru portu źródłowego do jednoznacznej identyfikacji konkretnej translacji NAT. PAT zapewnia, że urządzenia używają innego numeru portu TCP dla każdej sesji. Kiedy serwer zwraca odpowiedź, numer portu źródłowego, który staje się numerem portu docelowego w ścieżce zwrotnej, określa, do którego urządzenia router przekazuje pakiety.

Zdjęcie ilustruje proces PAT. PAT dodaje unikalne numery portów źródłowych do wewnętrznego adresu globalnego, aby rozróżnić tłumaczenia.

Gdy router przetwarza każdy pakiet, wykorzystuje numer portu (w tym przykładzie 1331 i 1555) do identyfikacji urządzenia, z którego pochodzi pakiet.

Adres źródłowy ( Adres źródłowy) to wewnętrzny adres lokalny z dołączonym numerem portu przypisanym przez protokół TCP/IP. Adres przeznaczenia ( Adres przeznaczenia) to zewnętrzny adres lokalny z dołączonym numerem portu usługi. W tym przykładzie port usługi to 80: HTTP.

W przypadku adresu źródłowego router tłumaczy wewnętrzny adres lokalny na wewnętrzny adres globalny z dołączonym numerem portu. Adres docelowy nie zmienia się, ale jest teraz nazywany zewnętrznym globalnym adresem IP. Gdy serwer WWW odpowie, ścieżka zostanie odwrócona.

W tym przykładzie numery portów klienta 1331 i 1555 na routerze NAT nie zostały zmienione. Nie jest to bardzo prawdopodobny scenariusz, ponieważ istnieje duża szansa, że te numery portów zostały już przypisane do innych aktywnych sesji. PAT próbuje zachować oryginalny port źródłowy. Jeśli jednak oryginalny port źródłowy jest już używany, PAT przypisuje pierwszy dostępny numer portu, zaczynając od początku odpowiedniej grupy portów 0-511, 512-1023 Lub 1024-65535 . Gdy nie ma już więcej portów, a w puli adresów znajduje się więcej niż jeden adres zewnętrzny, PAT przechodzi do następnego adresu, aby spróbować przydzielić oryginalny port źródłowy. Proces ten trwa do momentu, gdy nie będzie już dostępnych portów ani zewnętrznych adresów IP.

Oznacza to, że jeśli inny host może wybrać ten sam numer portu, to 1444. Jest to dopuszczalne w przypadku adresu wewnętrznego, ponieważ hosty mają unikalne prywatne adresy IP. Jednak na routerze NAT należy zmienić numery portów - w przeciwnym razie pakiety z dwóch różnych hostów opuszczą go z tym samym adresem źródłowym. Dlatego PAT przypisuje następny dostępny port (1445) do drugiego adresu hosta.

Podsumujmy porównanie NAT i PAT. Jak widać z tabel, NAT tłumaczy adresy IPv4 w stosunku 1:1 pomiędzy prywatnymi adresami IPv4 i publicznymi adresami IPv4. Jednak PAT zmienia zarówno sam adres, jak i numer portu. NAT przekazuje przychodzące pakiety na ich adres wewnętrzny w oparciu o przychodzący źródłowy adres IP podany przez hosta w sieci publicznej, a w przypadku PAT zwykle jest tylko jeden lub bardzo kilka publicznie dostępnych adresów IPv4, a przychodzące pakiety są przekazywane w oparciu o tabelę NAT routera .

A co z pakietami IPv4 zawierającymi dane inne niż TCP lub UDP? Pakiety te nie zawierają numeru portu warstwy 4. PAT tłumaczy najpopularniejsze protokoły obsługiwane przez IPv4, które nie wykorzystują TCP ani UDP jako protokołu warstwy transportowej. Najpopularniejsze z nich to ICMPv4. Każdy z tych typów protokołów jest obsługiwany inaczej przez PAT. Na przykład komunikaty żądań ICMPv4, żądania echa i odpowiedzi zawierają identyfikator żądania Identyfikator zapytania. ICMPv4 używa identyfikatora zapytania. aby zidentyfikować żądanie echa z odpowiednią odpowiedzią. Identyfikator żądania jest zwiększany z każdym wysłanym poleceniem ping. PAT używa identyfikatora żądania zamiast numeru portu warstwy 4.

Zalety i wady NAT

NAT zapewnia wiele korzyści, w tym:

NAT zachowuje zarejestrowany schemat adresowania, umożliwiając prywatyzację intranetów. Dzięki PAT hosty wewnętrzne mogą współużytkować jeden publiczny adres IPv4 dla całej komunikacji zewnętrznej. W tego typu konfiguracji do obsługi wielu hostów wewnętrznych wymaganych jest bardzo niewiele adresów zewnętrznych;
NAT zwiększa elastyczność połączeń z siecią publiczną. Można wdrożyć wiele pul, pul zapasowych i pul równoważących obciążenie, aby zapewnić niezawodne połączenia sieci publicznej;

NAT zapewnia spójność wewnętrznych schematów adresowania sieci. W sieci, która nie korzysta z prywatnych adresów IPv4 i NAT, zmiana ogólnego schematu adresów IPv4 wymaga przekierowania wszystkich hostów w istniejącej sieci. Koszt przekierowania hosta może być znaczny. Translacja NAT pozwala na zachowanie istniejącego prywatnego schematu adresowania IPv4, jednocześnie umożliwiając łatwą zmianę nowego schematu adresowania publicznego. Oznacza to, że organizacja może zmienić dostawców i nie musi zmieniać żadnego ze swoich klientów wewnętrznych;

NAT zapewnia bezpieczeństwo sieci. Ponieważ sieci prywatne nie reklamują swoich adresów ani topologii wewnętrznej, pozostają całkiem bezpieczne, gdy są używane w połączeniu z NAT w celu uzyskania kontrolowanego dostępu zewnętrznego. Musisz jednak zrozumieć, że NAT nie zastępuje zapór ogniowych;

Ale NAT ma pewne wady. Fakt, że hosty w Internecie wydają się komunikować bezpośrednio z urządzeniem obsługującym NAT, a nie z rzeczywistym hostem w sieci prywatnej, stwarza szereg problemów:

Jedna z wad stosowania NAT jest związana z wydajnością sieci, szczególnie w przypadku protokołów czasu rzeczywistego, takich jak VoIP. NAT zwiększa opóźnienia przełączania, ponieważ translacja każdego adresu IPv4 w nagłówkach pakietów zajmuje trochę czasu;
Kolejną wadą stosowania NAT jest utrata adresowania typu end-to-end. Wiele protokołów i aplikacji internetowych zależy od kompleksowego adresowania od źródła do miejsca docelowego. Niektóre aplikacje nie współpracują z NAT. Aplikacje korzystające z adresów fizycznych zamiast kwalifikowanej nazwy domeny nie docierają do miejsc docelowych, które są tłumaczone przez router NAT. Czasami można uniknąć tego problemu, wdrażając statyczne mapowania NAT;
Utracone zostaje także kompleksowe śledzenie protokołu IPv4. Trudniejsze jest śledzenie pakietów, które ulegają wielokrotnym zmianom adresów pakietów podczas wielu przeskoków NAT, co utrudnia rozwiązywanie problemów;
Korzystanie z NAT utrudnia również protokoły tunelowania, takie jak IPsec, ponieważ NAT zmienia wartości w nagłówkach, co zakłóca kontrolę integralności przeprowadzaną przez IPsec i inne protokoły tunelowania;
Usługi wymagające inicjowania połączeń TCP z sieci zewnętrznej lub protokołów bezstanowych, takich jak te korzystające z UDP, mogą zostać zakłócone. Jeśli router NAT nie jest skonfigurowany do obsługi takich protokołów, przychodzące pakiety nie mogą dotrzeć do miejsca docelowego;

Czy ten artykuł był dla Ciebie przydatny?

Proszę, powiedz mi dlaczego?

Przykro nam, że artykuł nie był dla Ciebie przydatny: (Proszę, jeśli nie jest to trudne, wskaż dlaczego? Będziemy bardzo wdzięczni za szczegółową odpowiedź. Dziękujemy, że pomogłeś nam stać się lepszymi!

Dobra, zapomnijmy na chwilę o tych tekstach.
Ogólnie rzecz biorąc, listy dostępu są różne:

Standard
- Zaawansowany
- Dynamiczny
- Odblaskowy
- Oparte na czasie

Naszą uwagę skupimy dziś na dwóch pierwszych, a więcej o nich wszystkich przeczytacie w ciska.

Ruch przychodzący i wychodzący

Na początek wyjaśnijmy sobie jedną rzecz. Co masz na myśli mówiąc ruch przychodzący i wychodzący? Będziemy tego potrzebować w przyszłości. Ruch przychodzący to ten, który przychodzi do interfejsu z zewnątrz.

Wychodzące to te, które są wysyłane z interfejsu na zewnątrz.

Listę dostępu możesz zastosować albo do ruchu przychodzącego, wtedy niechciane pakiety nie dotrą nawet do routera i odpowiednio dalej do sieci, albo do ruchu wychodzącego, wtedy pakiety dotrą do routera, zostaną przez niego przetworzone, dotrą do docelowym i są na niego upuszczane.

Standardowa lista dostępu sprawdza jedynie adres nadawcy. Rozszerzone — adres nadawcy, adres odbiorcy i port. Zaleca się umieszczanie standardowych list ACL jak najbliżej odbiorcy (aby nie ucinać więcej niż to konieczne), a rozszerzonych bliżej nadawcy (aby jak najwcześniej odrzucić niechciany ruch).

Ćwiczyć

Przejdźmy od razu do ćwiczeń. Co powinniśmy ograniczyć w naszej małej sieci „Lift mi Up”?

A) Serwer WWW. Zezwól na dostęp wszystkim na porcie TCP 80 (protokół HTTP). Dla urządzenia z którego będzie realizowane sterowanie (mamy administratora) trzeba otworzyć telnet i ftp, ale my zapewnimy mu pełny dostęp. Wszyscy inni się rozłączają.

B) Serwer plików. Powinniśmy umożliwić mieszkańcom Lift Mi Up dostęp do niego poprzez porty folderów współdzielonych, a wszystkim innym poprzez FTP.

B) Serwer pocztowy. Tutaj mamy uruchomione SMTP i POP3, czyli porty TCP 25 i 110. Udostępniamy także administratorowi dostęp do zarządzania. Blokujemy innych.

D) Dla przyszłego serwera DNS musisz otworzyć port UDP 53

E) Zezwól na przesyłanie komunikatów ICMP do sieci serwerów

E) Ponieważ mamy sieć Inne dla wszystkich osób niebędących partiami, które nie są uwzględnione w Dziale FEO, VET i Działu Księgowości, ograniczymy ich wszystkich i damy tylko pewien dostęp (łącznie z nami i administratorem)

f) Jeszcze raz powtórzę, tylko administrator i oczywiście Twoja bliska osoba powinna zostać wpuszczona do sieci kontrolnej.

G) Nie będziemy tworzyć barier w komunikacji pomiędzy pracownikami działu.

a) Dostęp do serwera WWW

Mamy tutaj politykę zabraniania wszystkiego, co jest niedozwolone. Dlatego teraz musimy coś otworzyć i zamknąć wszystko inne.
Ponieważ zabezpieczamy sieć serwerów to arkusz będziemy zawieszać na interfejsie idącym w ich kierunku czyli na FE0/0.3 Pytanie tylko o W lub o godz na zewnątrz czy musimy to zrobić? Jeśli nie chcemy wysyłać pakietów w stronę serwerów, które są już na routerze, to będzie to ruch wychodzący. Oznacza to, że w sieci serwerów będziemy mieli adresy docelowe (z których wybierzemy, do którego serwera trafia ruch), a adresami źródłowymi może być wszystko - zarówno z naszej sieci firmowej, jak i z Internetu.
Jeszcze jedna uwaga: ponieważ będziemy filtrować także według adresu docelowego (niektóre zasady obowiązują dla serwera WEBowego, a inne dla serwera pocztowego), będziemy potrzebować rozszerzonej listy kontroli dostępu, która jako jedyna nam na to pozwoli; .

Reguły na liście dostępu sprawdzane są w kolejności od góry do dołu, aż do pierwszego dopasowania. Gdy tylko jedna z reguł zostanie uruchomiona, niezależnie od tego, czy jest to zezwolenie, czy odmowa, sprawdzanie zostaje zatrzymane, a ruch jest przetwarzany w oparciu o uruchomioną regułę.
Oznacza to, że jeśli chcemy chronić serwer WWW, to przede wszystkim musimy dać pozwolenie, ponieważ jeśli skonfigurujemy w pierwszej linii odmów ip- wtedy zawsze będzie działać i ruch w ogóle nie będzie płynął. Każdy- jest to specjalne słowo, które oznacza adres sieci i odwrotną maskę 0.0.0.0 0.0.0.0 i oznacza, że absolutnie wszystkie węzły z dowolnej sieci podlegają tej regule. Kolejnym specjalnym słowem jest gospodarz- oznacza maskę 255.255.255.255 - czyli dokładnie jeden podany adres.
Zatem pierwsza zasada: zezwalaj na dostęp wszystkim na porcie 80

msk-arbat-gw1(config-ext-nacl)# uwaga WEB
dowolny host 172.16.0.2 równowartość 80

Umożliwić ( zezwolenie) Ruch TCP z dowolnego węzła ( każdy) gospodarzem ( gospodarz- dokładnie jeden adres) 172.16.0.2, adresowany na port 80.
Spróbujmy dołączyć tę listę dostępową do interfejsu FE0/0.3:

msk-arbat-gw1(config-subif)# ip grupa dostępu Serwery-wyjście na zewnątrz

Sprawdzamy na dowolnym z naszych podłączonych komputerów:

Jak widać, strona się otwiera, ale co z pingiem?

A tak z innego węzła?

Faktem jest, że po wszystkich regułach Cisco ACL jest to ukryte odmów ip(ukryta odmowa). Co to oznacza dla nas? Każdy pakiet opuszczający interfejs, który nie pasuje do żadnej reguły na liście ACL, podlega niejawnej odmowie i jest odrzucany. Oznacza to, że nawet ping, nawet ftp lub cokolwiek innego nie będzie tutaj działać.

Pójdźmy dalej: musimy przyznać pełny dostęp do komputera, z którego będzie realizowane sterowanie. Będzie to komputer naszego administratora o adresie 172.16.6.66 z sieci Inny.
Każda nowa reguła jest automatycznie dodawana na koniec listy, jeśli już istnieje:

msk-arbat-gw1(config)#
msk-arbat-gw1(config-ext-nacl)# zezwolenie na tcp host 172.16.6.66 host 172.16.0.2 zasięg 20 ftp
msk-arbat-gw1(config-ext-nacl)# zezwolenie na tcp host 172.16.6.66 host 172.16.0.2 eq telnet

To wszystko. Sprawdzamy z żądanego węzła (ponieważ serwery w Republice Tatarstanu nie obsługują protokołu telnet, sprawdzamy na FTP):

Oznacza to, że wiadomość FTP dotarła do routera i powinna opuścić interfejs FE0/0.3. Router sprawdza i widzi, że pakiet pasuje do dodanej przez nas reguły, i przepuszcza go.

I z obcego węzła

Pakiet FTP nie pasuje do żadnej reguły z wyjątkiem ukrytej reguły odmowy ip any any i jest odrzucany.

b) Dostęp do serwera plików

Tutaj przede wszystkim musimy zdecydować, kto będzie „rezydentem”, a komu należy zapewnić dostęp. Są to oczywiście ci, którzy posiadają adres z sieci 172.16.0.0/16 – tylko oni otrzymają dostęp.
Teraz z udostępnionymi folderami. Większość nowoczesnych systemów wykorzystuje już do tego protokół SMB, który wymaga portu TCP 445. W starszych wersjach wykorzystano NetBios, który był zasilany aż przez trzy porty: UDP 137 i 138 oraz TCP 139. Po uzgodnieniu z naszym administratorem, zdecydowaliśmy się na skonfiguruje port 445 (naprawdę sprawdź w ramach Republiki Tatarstanu, oczywiście, że nie będzie działać). Ale poza tym będziemy potrzebować portów dla FTP - 20, 21 i nie tylko dla hostów wewnętrznych, ale także dla połączeń z Internetu:

msk-arbat-gw1(config)# lista dostępu ip rozszerzona Wyjście serwerów
msk-arbat-gw1(config-ext-nacl)# zezwolenie na TCP 172.16.0.0 0.0.255.255 host 172.16.0.3 równa się 445
msk-arbat-gw1(config-ext-nacl)# zezwolenie na TCP każdy host 172.16.0.3 zakres 20 21

Tutaj ponownie zastosowaliśmy projekt zakres 20 21- w celu określenia kilku portów w jednej linii. Ogólnie rzecz biorąc, w przypadku FTP sam port 21 nie wystarczy. Faktem jest, że jeśli tylko go otworzysz, zostaniesz autoryzowany, ale transfer plików nie.

0.0.255.255 - maska wieloznaczna. O tym, co to jest, porozmawiamy nieco później.

c) Dostęp do serwera pocztowego

Wciąż zdobywamy praktykę - teraz z serwerem pocztowym. W ramach tej samej listy dostępowej dodajemy nowe potrzebne nam rekordy.
Zamiast numerów portów dla powszechnie używanych protokołów możesz podać ich nazwy:

msk-arbat-gw1(config)# lista dostępu ip rozszerzona Wyjście serwerów
msk-arbat-gw1(config-ext-nacl)#zezwól na tcp dowolny host 172.16.0.4 eq pop3
msk-arbat-gw1(config-ext-nacl)#zezwól na tcp dowolny host 172.16.0.4 eq smtp

d) Serwer DNS

msk-arbat-gw1(config)# lista dostępu ip rozszerzona Wyjście serwerów
msk-arbat-gw1(config-ext-nacl)# zezwolenie udp 172.16.0.0 0.0.255.255 host 172.16.0.5 równoważnik 53

e) ICMP

Pozostaje tylko naprawić sytuację z pingiem. Nie ma nic złego w dodawaniu reguł na końcu listy, ale jakoś bardziej estetycznie będzie zobaczyć je na początku.
Używamy do tego prostego cheata. Można w tym celu posłużyć się na przykład edytorem tekstu. Skopiuj tam fragment o ACL z pokazu i dodaj następujące wiersze:
nie rozszerzona lista dostępu IP. Wyjście serwerów
rozszerzona lista dostępu ip. Wyjście serwerów
zezwól na icmp dowolny dowolny
uwaga SIEĆ

uwaga PLIK

uwaga POCZTA

uwaga DNS

W pierwszej linii usuwamy istniejącą listę, następnie tworzymy ją na nowo i wypisujemy wszystkie nowe reguły w potrzebnej nam kolejności. Za pomocą polecenia w trzeciej linii zezwoliliśmy na przejście wszystkich pakietów ICMP z dowolnych hostów do dowolnych hostów.

Następnie po prostu kopiujemy wszystko masowo i wklejamy do konsoli. Interfejs interpretuje każdą linię jako osobne polecenie i wykonuje je. Dlatego zastąpiliśmy starą listę nową.
Sprawdzamy, czy jest ping:

Wspaniały.

Ten „oszustwo” jest dobre przy początkowej konfiguracji lub jeśli dokładnie rozumiesz, co robisz. Podczas zdalnej konfiguracji list ACL w sieci roboczej istnieje ryzyko, że pozostaniesz bez dostępu do konfigurowanego sprzętu.

Aby wstawić regułę na początku lub w innym wybranym miejscu, możesz skorzystać z tej techniki:
rozszerzona lista dostępu ip. Wyjście serwerów
1 zezwolenie icmp dowolne dowolne

Każda reguła na liście jest ponumerowana określonym krokiem i jeśli umieścisz liczbę przed słowem zezwolenie/odmowa, reguła zostanie dodana nie na końcu, ale w odpowiednim miejscu. Niestety ta funkcja nie działa w RT.
Jeśli nagle zajdzie taka potrzeba (wszystkie kolejne numery pomiędzy regułami są zajęte), zawsze możesz przenumerować reguły (w tym przykładzie numer pierwszej reguły jest przypisany do 10 (pierwsza liczba) i przyrost wynosi 10):
ip lista dostępu resequence Serwery-wyjście 10 10

W rezultacie lista dostępu dla sieci serwerów będzie wyglądać następująco:
rozszerzona lista dostępu ip. Wyjście serwerów
zezwól na icmp dowolny dowolny
uwaga SIEĆ
zezwól na tcp na dowolny host 172.16.0.2 eq www
zezwól na host tcp 172.16.6.66 host 172.16.0.2 zasięg 20 ftp
zezwól na host tcp 172.16.6.66 host 172.16.0.2 eq telnet
uwaga PLIK
zezwól na TCP 172.16.0.0 0.0.255.255 Host 172.16.0.3 eq 445
zezwól na tcp dowolnego hosta 172.16.0.3 zakres 20 21
uwaga POCZTA
zezwól na tcp dowolnego hosta 172.16.0.4 eq pop3
zezwól na tcp dowolnego hosta 172.16.0.4 eq smtp
uwaga DNS
zezwolenie udp 172.16.0.0 0.0.255.255 host 172.16.0.5 eq 53

Obecnie nasz administrator ma dostęp jedynie do serwera WWW. Daj mu pełny dostęp do całej sieci. To jest pierwsze zadanie domowe.

f) Prawa użytkowników z sieci Innej

Do tej pory potrzebowaliśmy nie wpuszczaj ktoś gdzieś, więc zwróciliśmy uwagę na adres docelowy i do ruchu wychodzącego z interfejsu dołączyliśmy listę dostępową.

Teraz potrzebujemy nie zwalniaj: Żadne żądania z komputerów w Innej sieci nie powinny wykraczać poza dopuszczalne granice. Cóż, oczywiście, z wyjątkiem tych, na które specjalnie zezwalamy.

msk-arbat-gw1(config)# lista dostępu ip rozszerzona Inne wejście

msk-arbat-gw1(config-ext-nacl)# zezwól na hosta IP 172.16.6.61 dowolny

W tym przypadku nie mogliśmy najpierw odmówić wszystkim, a następnie pozwolić wybranym, ponieważ absolutnie wszystkie pakiety podlegałyby tej regule odmów ip I zezwolenie w ogóle by nie zadziałało.
Stosujemy go do interfejsu. Tym razem przy wejściu:

msk-arbat-gw1(config)#int fa0/0.104
msk-arbat-gw1(config-subif)#ip access-group Inne wejście W

oznacza to, że wszystkie pakiety IP od hosta o adresie 172.16.6.61 lub 172.16.6.66 mogą być przekazywane tam, gdzie są przeznaczone. Dlaczego tutaj również używamy rozszerzonej listy dostępu? Wydawać by się mogło, że sprawdzamy jedynie adres nadawcy. Bo daliśmy administratorowi pełny dostęp, ale np. gość firmy „Lift mi Up”, który dostanie się do tej samej sieci, nie ma absolutnie żadnego dostępu do niczego poza Internetem.

g) Sieć sterująca

Nic skomplikowanego. Reguła będzie wyglądać następująco:

msk-arbat-gw1(config)# lista dostępu ip rozszerzona Wyjście zarządzania
msk-arbat-gw1(config-ext-nacl)# uwaga IAM
msk-arbat-gw1(config-ext-nacl)# zezwolenie na hosta ip 172.16.6.61 172.16.1.0 0.0.0.255
msk-arbat-gw1(config-ext-nacl)# uwaga ADMIN
msk-arbat-gw1(config-ext-nacl)# zezwolenie na hosta IP 172.16.6.66 172.16.1.0 0.0.0.255

Stosujemy tę listę ACL na wyjściu do interfejsu FE 0/0.2:

msk-arbat-gw1(config)# int fa0/0.2
msk-arbat-gw1(config-subif)#ip access-group Wyjście zarządzania

g) Żadnych więcej ograniczeń

Gotowy

Maska i maska odwrotna

Do tej pory bez wyjaśnienia podawaliśmy dziwny parametr typu 0.0.255.255, który podejrzanie przypomina maskę podsieci.
Trochę trudne do zrozumienia, ale właśnie w tym celu używana jest odwrotna maska do określenia, którzy hosty będą podlegać regule.
Aby zrozumieć, czym jest maska odwrócona, musisz wiedzieć, czym jest zwykła maska.

Zacznijmy od najprostszego przykładu.

Zwykła sieć z 256 adresami: na przykład 172.16.5.0/24. Co oznacza ten wpis?
A to oznacza dokładnie co następuje

Adres IP. Notacja dziesiętna	172	16	5	0
Adres IP. Notacja binarna	10101100	00010000	00000101	00000000
	11111111	11111111	11111111	00000000
	255	255	255	0

Adres IP to 32-bitowy parametr podzielony na 4 części, który zwykle wyświetla się w postaci dziesiętnej.
Maska podsieci również ma długość 32 bitów - w rzeczywistości jest to szablon, szablon określający adres podsieci danego adresu. Tam, gdzie w masce są jedynki, wartość nie może się zmienić, czyli część 172.16.5 pozostaje całkowicie niezmieniona i będzie taka sama dla wszystkich hostów w tej podsieci, ale część, w której znajdują się zera, jest zmienna.
Oznacza to, że w naszym przykładzie 172.16.5.0/24 to adres sieciowy, a hosty będą miały adres 172.16.5.1-172.16.5.254 (ostatnie 255 jest rozgłaszanych), ponieważ 00000001 to 1, a 11111110 to 254 (mówimy o ostatnim oktecie adresu). /24 oznacza, że długość maski wynosi 24 bity, czyli mamy 24 jedyneki – część niezmienioną i 8 zer.
Inny przypadek ma miejsce wtedy, gdy nasza maska ma na przykład 30 bitów, a nie 24.
Na przykład 172.16.2.4/30. Zapiszmy to w ten sposób:

Adres IP. Notacja dziesiętna	172	16	2	4
Adres IP. Notacja binarna	10101100	00010000	00000010	00000100
Maska podsieci. Notacja binarna	11111111	11111111	11111111	11111100
Maska podsieci. Notacja dziesiętna	255	255	255	252

Jak widać, dla tej podsieci można zmienić tylko dwa ostatnie bity. Ostatni oktet może przyjmować 4 wartości:
00000100 - adres podsieci (4 w systemie dziesiętnym)
00000101 - adres węzła (5)
00000110 - adres węzła (6)
00000111 - transmisja (7)
Wszystko poza tą siecią to inna podsieć

Oznacza to, że teraz powinno być dla ciebie trochę jasne, że maska podsieci to ciąg 32 bitów, gdzie najpierw są jedynki, co oznacza adres podsieci, a następnie są zera, co oznacza adres hosta. W takim przypadku zera i jedynki w masce nie mogą się zmieniać. Oznacza to, że maska to 11111111.11100000.11110111.00000000 niemożliwe

Co to jest maska odwrotna (znak wieloznaczny)?
Dla zdecydowanej większości administratorów i części inżynierów jest to nic innego jak odwrócenie zwykłej maski. Oznacza to, że zera najpierw ustawiają adres części, która musi koniecznie pasować, a jedynki, wręcz przeciwnie, część wolną.
Oznacza to, że w pierwszym przykładzie, który wzięliśmy, jeśli chcesz odfiltrować wszystkie hosty z podsieci 172.16.5.0/24, to ustawisz regułę w arkuszu Dostępu:
…. 172.16.5.0 0.0.0.255
Ponieważ odwrotna maska będzie wyglądać następująco:

00000000.00000000.00000000.11111111

W drugim przykładzie z siecią 172.16.2.4/30 odwrotna maska będzie wyglądać następująco: 30 zer i dwie jedyneki:

Odwrócona maska. Notacja binarna	00000000	00000000	00000000	00000011
Odwrócona maska. Notacja dziesiętna	0	0	0	3

Odpowiednio parametr na liście dostępu będzie wyglądał następująco:
…. 172.16.2.4 0.0.0.3
Później, gdy zjesz psa przy obliczaniu masek i masek odwrotnych, przypomnisz sobie najczęściej używane liczby, liczbę gospodarzy w danej masce i zrozumiesz, że w opisanych sytuacjach uzyskuje się ostatni oktet maski odwrotnej odejmując ostatni oktet zwykłej maski od 255 (255-252 = 3) itd. W międzyczasie musisz ciężko pracować i liczyć)

Ale tak naprawdę odwrócona maska jest nieco bogatszym narzędziem, tutaj możesz łączyć adresy w tej samej podsieci, a nawet łączyć podsieci, ale najważniejszą różnicą jest to, że możesz zamieniać zera i jedynki. Umożliwia to na przykład filtrowanie określonego hosta (lub grupy) w wielu podsieciach za pomocą jednej linii.

Przykład 1

Dany: sieć 172.16.16.0/24
Niezbędny: filtruj pierwsze 64 adresy (172.16.16.0-172.16.16.63)
Rozwiązanie: 172.16.16.0 0.0.0.63

Przykład 2

Dany: sieci 172.16.16.0/24 i 172.16.17.0/24
Niezbędny: filtruj adresy z obu sieci
Rozwiązanie: 172.16.16.0 0.0.1.255

Przykład 3

Dany: Sieci 172.16.0.0-172.16.255.0
Niezbędny: filtruj hosta o adresie 4 ze wszystkich podsieci
Rozwiązanie: 172.16.16.0 0.0.255.4

Działanie ACL na zdjęciach

Sieć hipotetyczna:

1) Na routerze RT1 na interfejsie FE0/1 wszystko jest dozwolone z wyjątkiem protokołu ICMP.

2) Na routerze RT2 na interfejsie FE0/1, SSH i TELNET nie mogą wychodzić

Testy
możliwe do kliknięcia
1) Pinguj z PC1 do Serwera1

2) TELNET z komputera PC1 do serwera 1

3) SSH z komputera PC1 do serwera 2

4) Pinguj z Serwera 2 na PC1

Dodatki

1) Reguły dotyczące ruchu wychodzącego nie będą filtrować ruchu samego urządzenia. Oznacza to, że jeśli chcesz gdzieś odmówić dostępu do samego Cisco, będziesz musiał filtrować ruch przychodzący na tym interfejsie (ruch odpowiedzi, z którego musisz odmówić dostępu).

2) Należy zachować ostrożność w przypadku list ACL. Drobny błąd w regule, niewłaściwa kolejność konfiguracji lub ogólnie źle przemyślana lista mogą sprawić, że nie będziesz mieć dostępu do urządzenia.
Przykładowo chcesz zablokować dostęp w dowolnym miejscu dla sieci 172.16.6.0/24, z wyjątkiem Twojego adresu 172.16.6.61 i ustawić takie reguły:

odmów IP 172.16.6.0 0.0.0.255 dowolny
zezwól na hosta ip 172.16.6.61 dowolny

Gdy tylko zastosujesz listę ACL do interfejsu, natychmiast utracisz dostęp do routera, ponieważ podlegasz pierwszej regule, a druga nawet nie jest sprawdzana.
Druga nieprzyjemna sytuacja, która może Ci się przytrafić: ruch, który nie powinien dostać się pod listę ACL.
Wyobraźmy sobie taką sytuację: w serwerowni mamy serwer FTP w trybie pasywnym. Aby uzyskać do niego dostęp, otworzyłeś 21. port na liście ACL Serwery wyłączone. Po nawiązaniu początkowego połączenia serwer FTP informuje klienta o porcie, na którym jest gotowy do przesyłania/odbioru plików, np. 1523. Klient próbuje nawiązać połączenie TCP na tym porcie, ale napotyka ACL Servers-out, gdzie nie ma takiego pozwolenia - i tak kończy się opowieść o udanym transferze. W naszym przykładzie powyżej, gdzie ustawiliśmy dostęp do serwera plików, dostęp otworzyliśmy dopiero 20 i 21, bo to wystarczy dla przykładu. W prawdziwym życiu będziesz musiał majstrować. Kilka przykładów konfiguracji ACL dla typowych przypadków.

3) Bardzo podobny i ciekawy problem wynika z punktu 2.
Czy chcesz na przykład umieścić następujące listy ACL w interfejsie internetowym:

lista dostępu na zewnątrz zezwolenie tcp host 1.1.1.1 host 2.2.2.2 eq 80
lista dostępu w zezwoleniach hosta tcp 2.2.2.2 dowolne równanie 80

Wygląda na to, że host o adresie 1.1.1.1 ma dostęp przez port 80 do serwera 2.2.2.2 (pierwsza reguła). Wracając z serwera 2.2.2.2, dozwolone są połączenia wewnętrzne.
Ale niuans polega na tym, że komputer 1.1.1.1 ustanawia połączenie DO portu 80, ale z innego portu, na przykład 1054, czyli pakiet odpowiedzi z serwera dociera do gniazda 1.1.1.1:1054, nie podlega reguła na liście ACL jest na IN i jest odrzucana z powodu ukrytej blokady ip any any.
Aby uniknąć tej sytuacji i nie otwierać całej gamy portów, możesz skorzystać z tej sztuczki na liście ACL w:

zezwolenie na hosta TCP 2.2.2.2 dowolne ustanowione.

Szczegóły tego rozwiązania znajdziecie w jednym z kolejnych artykułów.

4) Mówiąc o współczesnym świecie, nie można pominąć takiego narzędzia, jak grupy obiektów (grupa obiektów).

Załóżmy, że musisz utworzyć listę ACL, która zwolni trzy określone adresy w Internecie na trzech identycznych portach z perspektywą rozszerzenia liczby adresów i portów. Jak to wygląda bez znajomości grup obiektów:

lista dostępu ip rozszerzona DO INTERNETU
zezwól na hosta TCP 172.16.6.66 dowolne równanie 80
zezwól na hosta TCP 172.16.6.66 dowolny równoważnik 8080
zezwól na hosta TCP 172.16.6.66 dowolne równanie 443
Zezwól hostowi TCP 172.16.6.67 na dowolne równanie 80
zezwól na hosta TCP 172.16.6.67 dowolny odpowiednik 8080
zezwól na hosta TCP 172.16.6.67 dowolne równanie 443
Zezwól hostowi TCP 172.16.6.68 na dowolne równanie 80
zezwól na hosta TCP 172.16.6.68 dowolny równoważnik 8080
zezwól na hosta TCP 172.16.6.68 dowolne równanie 443

Wraz ze wzrostem liczby parametrów utrzymanie takiej listy ACL staje się coraz trudniejsze, a podczas konfiguracji łatwo jest popełnić błąd.
Ale jeśli przejdziemy do grup obiektów, przybierze to następującą formę:

usługa grup obiektów INET-PORTS
opis Porty dozwolone dla niektórych hostów
tcp eq www
protokół TCP równoważny 8080
TCP równowartość 443
Sieć grup obiektów HOSTS-TO-INET
opis Hosty mogą przeglądać sieć
host 172.16.6.66
host 172.16.6.67
host 172.16.6.68
Rozszerzona lista dostępu IP INET-OUT
zezwolenie na grupę obiektów INET-PORTS grupa obiektów HOSTS-TO-INET dowolna

Na pierwszy rzut oka wygląda to trochę groźnie, ale jeśli się przyjrzeć, jest to bardzo wygodne.

4) Bardzo przydatne informacje dotyczące rozwiązywania problemów można uzyskać z wyniku polecenia pokaż listy dostępu IP %Nazwa ACL%. Oprócz rzeczywistej listy reguł dla określonej listy ACL, to polecenie pokazuje liczbę dopasowań dla każdej reguły.

msk-arbat-gw1#sh listy dostępu ip nat-inet
Rozszerzona lista dostępu IP nat-inet

(4 mecze)

I dodając na końcu dowolnej reguły dziennik, będziemy mogli otrzymywać w konsoli wiadomości o każdym meczu. (to drugie nie działa w PT)

NAT

Translacja adresów sieciowych jest mechanizmem absolutnie niezbędnym w gospodarce od 1994 roku. Wiele sesji na ten temat zostaje zerwanych, a pakiety utracone.
Najczęściej jest potrzebny do połączenia sieci lokalnej z Internetem. Faktem jest, że teoretycznie jest 255*255*255*255=4 228 250 625 adresów. Nawet gdyby każdy mieszkaniec planety miał tylko jeden komputer, adresów byłoby już za mało. Ale tutaj żelazka nie łączą się z Internetem. Mądrzy ludzie zdali sobie z tego sprawę już na początku lat 90. i jako rozwiązanie tymczasowe zaproponowali podział przestrzeni adresowej na publiczną (białą) i prywatną (prywatną, szarą).
Ten ostatni obejmuje trzy zakresy:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Są one bezpłatne i możesz z nich korzystać w swojej sieci prywatnej, więc oczywiście będą powtarzane. A co z wyjątkowością? Komu odpowie serwer WWW, gdy otrzyma żądanie z adresem zwrotnym 192.168.1.1? Rostelecom? Firma Tatnieft? Albo Twój kryty Long? W dużym Internecie nikt nie wie nic o sieciach prywatnych - nie są one routowane.
Tutaj do akcji wkracza NAT. Ogólnie rzecz biorąc, jest to oszustwo i ustawienie. Na urządzeniu pocierającym Twój prywatny adres, z grubsza mówiąc, jest po prostu zastępowany białym adresem, który będzie pojawiał się w dalszej części pakietu podczas jego podróży do serwera WWW. Ale białe adresy są routowane bardzo dobrze i pakiet na pewno wróci do urządzenia wcierającego.
Ale jak z kolei zrozumie, co z tym dalej zrobić? Rozwiążmy to.

typy NAT-u

Statyczny

W tym przypadku jeden adres wewnętrzny jest konwertowany na jeden adres zewnętrzny. Jednocześnie wszystkie żądania przychodzące na adres zewnętrzny zostaną przetłumaczone na adres wewnętrzny. Tak jakby ten host był właścicielem tego białego adresu IP.

Skonfigurowano za pomocą następującego polecenia:

Router (config)# ip nat wewnątrz źródła statyczny 172.16.6.5 198.51.100.2

Co się dzieje:
1) Węzeł 172.16.6.5 uzyskuje dostęp do serwera WWW. Wysyła pakiet IP, którego adres docelowy to 192.0.2.2, a adres nadawcy to 172.16.6.5.

2) Pakiet jest dostarczany poprzez sieć firmową do bramki 172.16.6.1, gdzie skonfigurowany jest NAT

3) Zgodnie ze skonfigurowanym poleceniem router usuwa bieżący nagłówek IP i zmienia go na nowy, gdzie biały adres 198.51.100.2 pojawia się już jako adres nadawcy.

4) Przez Internet zaktualizowany pakiet dociera do serwera 192.0.2.2.

5) Widzi, że odpowiedź musi zostać wysłana na adres 198.51.100.2 i przygotowuje pakiet IP odpowiedzi. Jako adres nadawcy rzeczywisty adres serwera to 192.0.2.2, adres docelowy to 198.51.100.2

6) Pakiet leci z powrotem przez Internet i niekoniecznie tą samą trasą.

7) Urządzenie pocierające wskazuje, że wszystkie żądania kierowane na adres 198.51.100.2 powinny być przekierowywane na 172.16.6.5. Router ponownie usuwa ukryty w środku segment TCP i ustawia nowy nagłówek IP (adres źródłowy się nie zmienia, adres docelowy to 172.16.6.5).

8) Pakiet wraca siecią wewnętrzną do inicjatora, który nawet nie wie, jakie cuda przydarzyły mu się na granicy.
I tak będzie ze wszystkimi.
Co więcej, jeśli połączenie jest inicjowane z Internetu, pakiety automatycznie przechodząc przez urządzenie ścierające docierają do hosta wewnętrznego.

Takie podejście jest przydatne, gdy w sieci znajduje się serwer, który wymaga pełnego dostępu z zewnątrz. Oczywiście nie możesz skorzystać z tej opcji, jeśli chcesz udostępnić trzystu hostom Internet za pośrednictwem jednego adresu. Ta opcja NAT w żaden sposób nie pomoże w zachowaniu białych adresów IP, ale mimo to może być przydatna.

Dynamiczny

Masz pulę białych adresów, na przykład Twój dostawca przydzielił Ci sieć 198.51.100.0/28 z 16 adresami. Dwa z nich (pierwszy i ostatni) to adres sieciowy i adres rozgłoszeniowy, dwa kolejne adresy są przypisane do sprzętu w celu zapewnienia routingu. Możesz użyć pozostałych 12 adresów do NAT i uwolnić za ich pośrednictwem swoich użytkowników.
Sytuacja jest podobna jak przy statycznym NAT - jeden adres prywatny jest tłumaczony na jeden zewnętrzny - tyle że teraz zewnętrzny nie jest jednoznacznie ustalony, ale będzie wybierany dynamicznie z danego zakresu.
Jest skonfigurowany w ten sposób:

Router(config)#ip nat pula lol_pool 198.51.100.3 198.51.103.14

Określono pulę (zakres) adresów publicznych, z których zostanie wybrany adres do natowania

Router(config)#access-list 100 zezwolenie ip 172.16.6.0 0.0.0.255 dowolne

Ustawiamy listę dostępową, która dopuszcza wszystkie pakiety o adresie źródłowym 172.16.6.x, gdzie X zmienia się w zakresie 0-255.

Router(config)#ip nat na liście źródeł 100 puli lol_pool

Za pomocą tego polecenia łączymy utworzoną listę ACL i pulę.

Ta opcja również nie jest uniwersalna; nie będziesz także mógł udostępnić wszystkich z 300 użytkowników w Internecie, jeśli nie będziesz mieć 300 adresów zewnętrznych. Po wyczerpaniu się białych adresów nikt nowy nie będzie mógł uzyskać dostępu do Internetu. Jednocześnie będą działać ci użytkownicy, którym udało się już zdobyć dla siebie adres zewnętrzny. Zespół pomoże Ci porzucić wszystkie bieżące transmisje i zwolnić adresy zewnętrzne wyczyść tłumaczenie ip nat *
Oprócz dynamicznej alokacji adresów zewnętrznych, ten dynamiczny NAT różni się od statycznego NAT tym, że bez osobnej konfiguracji przekierowania portów, zewnętrzne połączenie z jednym z pul adresów nie jest już możliwe.

Wiele do jednego

Następujący typ ma kilka nazw: przeciążenie NAT, translacja adresów portów (PAT), maskowanie IP, NAT typu wiele do jednego.
Nazwisko mówi samo za siebie – poprzez jeden adres zewnętrzny wiele prywatnych wychodzi w świat. Pozwala to rozwiązać problem braku adresów zewnętrznych i wypuścić wszystkich na świat.
W tym miejscu powinniśmy wyjaśnić, jak to działa. Możesz sobie wyobrazić, jak dwa adresy prywatne są tłumaczone na jeden, ale jak router rozumie, kto ma przekazać pakiet zwrócony z Internetu na ten adres?
Wszystko jest bardzo proste:
Załóżmy, że pakiety przychodzą z dwóch hostów w sieci wewnętrznej do urządzenia przesyłającego. Obydwa z żądaniem do serwera WEB 192.0.2.2.
Dane z hostów wyglądają następująco:

Router odkrywa pakiet IP od pierwszego hosta, wyodrębnia z niego segment TCP, drukuje go i dowiaduje się, z którego portu nawiązywane jest połączenie. Posiada adres zewnętrzny 198.51.100.2, na który zmieni się adres z sieci wewnętrznej.
Następnie wybiera wolny port, np. 11874. I co dalej robi? Pakuje wszystkie dane na poziomie aplikacji do nowego segmentu TCP, gdzie port docelowy nadal pozostaje 80 (w tym miejscu serwer WWW czeka na połączenia), a port nadawcy zmienia się z 23761 na 11874. Ten segment TCP jest hermetyzowany w nowym adresie IP pakiet, w którym adres IP nadawcy zmienia się z 172.16.6.5 na 198.51.100.2.
To samo dzieje się z pakietem od drugiego hosta, wybierany jest tylko kolejny wolny port, np. 11875. „Wolny” oznacza, że nie jest on już zajęty przez inne tego typu połączenia.
Dane wysyłane do Internetu będą teraz wyglądać następująco.

Wprowadza dane nadawców i odbiorców do swojej tabeli NAT

Dla serwera WEB są to dwa zupełnie różne żądania, które musi obsłużyć każde z osobna. Następnie wysyła odpowiedź wyglądającą tak:

Kiedy jeden z tych pakietów dociera do naszego routera, dopasowuje dane w tym pakiecie do wpisów w tabeli NAT. W przypadku znalezienia dopasowania następuje procedura odwrotna – pakiet i segment TCP wracają do swoich pierwotnych parametrów jedynie jako miejsce docelowe:

I teraz pakiety są dostarczane siecią wewnętrzną do komputerów inicjujących, które nawet nie zdają sobie sprawy, że gdzieś na granicy ich dane zostały tak surowo potraktowane.

Każde wykonane połączenie stanowi osobne połączenie. Oznacza to, że próbowałeś otworzyć stronę internetową - jest to protokół HTTP korzystający z portu 80. Aby to zrobić, Twój komputer musi nawiązać sesję TCP ze zdalnym serwerem. Taka sesja (TCP lub UDP) jest definiowana przez dwa gniazda: lokalny adres IP: port lokalny i zdalny adres IP: port zdalny. W normalnej sytuacji masz jedno połączenie komputer-serwer, ale w przypadku NAT będą dwa połączenia: router-serwer i komputer będzie myślał, że ma sesję komputer-serwer.

Ustawienie różni się nieco: z dodatkowym przeciążeniem słów:

Router(config)#lista-dostępu 101 zezwolenie 172.16.4.0 0.0.0.255
Router(config)#ip nat wewnątrz listy źródeł 101 interfejs fa0/1 przeciążać

W tym przypadku oczywiście nadal istnieje możliwość skonfigurowania puli adresów:

Router(config)#ip nat pula lol_pool 198.51.100.2 198.51.103.14
Router(config)#lista-dostępu 100 zezwolenie 172.16.6.0 0.0.0.255
Router(config)#ip nat na liście źródeł 100 puli lol_pool przeciążać

Przekierowanie portów

W przeciwnym razie mówią również o przekierowaniu portów lub mapowaniu.
Kiedy po raz pierwszy zaczęliśmy rozmawiać o NAT, mieliśmy transmisję jeden na jednego i wszystkie żądania przychodzące z zewnątrz były automatycznie przekierowywane do hosta wewnętrznego. W ten sposób możliwe byłoby udostępnienie serwera do Internetu.
Jeśli jednak nie masz takiej możliwości – ograniczają Cię białe adresy lub nie chcesz wystawiać całej masy portów na zewnątrz, co powinieneś zrobić?
Możesz określić, że wszystkie żądania przychodzące na określony biały adres i konkretny port routera powinny być przekazywane do żądanego portu o żądanym adresie wewnętrznym.

Router(config)#ip nat wewnątrz źródła statyczny tcp 172.16.0.2 80 198.51.100.2 80 z możliwością rozszerzenia

Użycie tego polecenia oznacza, że żądanie TCP przychodzące z Internetu na adres 198.51.100.2 na porcie 80 zostanie przekierowane na wewnętrzny adres 172.16.0.2 na tym samym porcie 80. Oczywiście możesz także przekazywać dalej UDP i przekierowywać z jednego portu na drugi. Może to być na przykład przydatne, jeśli masz dwa komputery, które wymagają dostępu z zewnątrz za pośrednictwem protokołu RDP. Protokół RDP wykorzystuje port 3389. Nie można przekazywać tego samego portu do różnych hostów (w przypadku korzystania z tego samego adresu zewnętrznego). Możesz więc to zrobić:

Router(config)# ip nat wewnątrz źródła statyczny tcp 172.16.6.61 3389 198.51.100.2 3389
Router(config)# ip nat wewnątrz źródła statyczny tcp 172.16.6.66 3389 198.51.100.2 3398

Następnie, aby dostać się do komputera 172.16.6.61 należy uruchomić sesję RDP na porcie 198.51.100.2:3389, a na 172.16.6.66 - 198.51.100.2:3398. Sam router rozprowadzi wszystko tam, gdzie jest potrzebne.

Nawiasem mówiąc, to polecenie jest szczególnym przypadkiem pierwszego: ip nat inside source static 172.16.6.66 198.51.100.2. Tylko w tym przypadku mówimy o przekazywaniu całego ruchu, a w naszych przykładach - określonych portach protokołu TCP.

Tak ogólnie działa NAT. Na temat jego cech oraz zalet i wad napisano wiele artykułów, ale nie można ich zignorować.

Słabe i mocne strony NAT

+

- Przede wszystkim NAT umożliwia zapisywanie publicznych adresów IP. Właśnie do tego został stworzony. Poprzez jeden adres teoretycznie możliwe jest wydanie ponad 65 000 szarych adresów (w oparciu o liczbę portów).
- Po drugie, PAT i dynamiczny NAT są w pewnym stopniu zaporą sieciową, uniemożliwiającą dotarcie połączeń zewnętrznych do komputerów końcowych, które mogą nie mieć własnej zapory ogniowej i programu antywirusowego. Faktem jest, że jeśli do urządzenia wcierającego przyjdzie pakiet z zewnątrz, którego się tutaj nie spodziewano lub nie jest dozwolony, jest on po prostu odrzucany.
Aby pakiet został dopuszczony i przetworzony, muszą zostać spełnione następujące warunki:
1) W tabeli NAT musi znajdować się wpis dla tego adresu zewnętrznego, określonego jako adres źródłowy w pakiecie
I
2) Port źródłowy w pakiecie musi odpowiadać portowi dla tego białego adresu we wpisie
I
3) Port docelowy w pakiecie odpowiada portowi we wpisie.
LUB
Przekierowanie portów jest skonfigurowane.
Ale nie musisz uważać NAT dokładnie za zaporę ogniową - to nic innego jak dodatkowa korzyść.

- Trzeci NAT ukrywa wewnętrzną strukturę Twojej sieci przed ciekawskimi oczami - śledząc trasę z zewnątrz, nie zobaczysz niczego poza urządzeniem natacyjnym.

-

NAT ma też wady. Najbardziej znaczące z nich są być może następujące:
- Niektóre protokoły nie mogą działać poprzez NAT bez kul. Na przykład protokoły FTP lub tunelowanie (pomimo tego, jak łatwo skonfigurowałem FTP w laboratorium, w prawdziwym życiu może to powodować wiele problemów)
- Kolejnym problemem jest to, że z jednego adresu do jednego serwera przychodzi wiele żądań. Wielu było tego świadkami, kiedy wchodzisz na jakiś Rapidshare i tam jest napisane, że było już połączenie z twojego IP, myślisz, że „kłamiesz, psie”, a to twój sąsiad już ssie. Z tego samego powodu wystąpiły problemy z ICQ, gdy serwery odmówiły rejestracji.
- Teraz niezbyt palący problem: obciążenie procesora i pamięci RAM. Ponieważ ilość pracy jest dość duża w porównaniu do prostego routingu (nie trzeba tylko patrzeć na nagłówek IP, trzeba go usunąć, usunąć nagłówek TCP, wpisać go do tabeli, dodać nowe nagłówki) w małych biurach są z tym problemy.
Spotkałem się z taką sytuacją.
Jednym z możliwych rozwiązań jest przeniesienie funkcji NAT na osobny komputer lub na specjalistyczne urządzenie, takie jak Cisco ASA.
Dla dużych graczy, których routery obsługują 3-4 BGP z pełnym widokiem, nie stanowi to teraz problemu.

Co jeszcze musisz wiedzieć?
- NAT służy głównie do zapewnienia dostępu do Internetu hostom z adresami prywatnymi. Ale jest jeszcze jedno zastosowanie - komunikacja pomiędzy dwiema sieciami prywatnymi z przecinającymi się przestrzeniami adresowymi.
Na przykład Twoja firma kupuje oddział w Aktobe. Twój adres to 10.0.0.0-10.1.255.255, a ich adres to 10.1.1.0-10.1.10.255. Zakresy wyraźnie się pokrywają; nie ma możliwości skonfigurowania routingu, ponieważ ten sam adres może znajdować się w Aktobe i w Twojej siedzibie.
W tym przypadku NAT jest skonfigurowany na skrzyżowaniu. Ponieważ nie mamy wystarczającej liczby szarych adresów, możemy wybrać np. zakres 10.2.1.0-10.2.10.255 i wykonać transmisję jeden do jednego:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2
…
10.1.10.255-10.2.10.255

W dużych zabawkach dla dorosłych NAT można zaimplementować na osobnej płycie (i często jest) i bez niej nie będzie działać. Przeciwnie, na sprzęcie biurowym prawie zawsze jest jeden.

Wraz z powszechnym przyjęciem protokołu IPv6, potrzeba NAT zniknie. Już teraz duzi klienci zaczynają interesować się funkcjonalnością NAT64 – wtedy mamy dostęp do świata poprzez IPv4, a sieć wewnętrzna jest już na IPv6

Oczywiście jest to tylko powierzchowne spojrzenie na NAT i wciąż istnieje morze niuansów, w których samokształcenie pomoże Ci nie utonąć.

Praktyka NAT

Czego wymaga od nas rzeczywistość?
1) Sieć sterująca nie ma w ogóle dostępu do Internetu
2) Gospodarze z sieci VET mają dostęp tylko do wyspecjalizowanych stron, na przykład Linkmeup.ru
3) Kochane Panie z księgowości trzeba otworzyć okno na świat banków klientów.
4) FEO nie powinien być udostępniany nigdzie poza dyrektorem finansowym
5) W sieci Inny, nasz komputer i komputer administratora - zapewnimy im pełny dostęp do Internetu. Pozostali mogą je otworzyć na pisemną prośbę.
6) Nie zapominajmy o oddziałach w Petersburgu i Kemerowie. Dla uproszczenia skonfigurujmy pełny dostęp dla użytkowników z tych podsieci.
7) Serwery to inna sprawa. Skonfigurujemy dla nich przekierowanie portów. Wszystko czego potrzebujemy:
a) Serwer WWW musi być dostępny na porcie 80
b) Serwer pocztowy na 25 i 110
c) Serwer plików jest dostępny ze świata poprzez FTP.
8) Komputery administratora i nasz muszą być dostępne z Internetu poprzez RDP. Właściwie jest to błędny sposób - do połączenia zdalnego trzeba skorzystać z połączenia VPN i już w sieci lokalnej skorzystać z protokołu RDP, ale to temat na osobny, zupełnie inny artykuł.

Najpierw przygotujmy stronę testową:

Połączenie internetowe zostanie zorganizowane za pośrednictwem istniejącego łącza udostępnionego przez dostawcę.
Trafia do sieci dostawcy. Przypominamy, że wszystko w tej chmurze to abstrakcyjna sieć, która w rzeczywistości może składać się z kilkudziesięciu routerów i setek przełączników. Potrzebujemy jednak czegoś zarządzalnego i przewidywalnego, dlatego instalujemy również tutaj router. Z jednej strony łącze ze switcha, z drugiej serwer w internecie.

Będziemy potrzebować następujących serwerów:
1. Dwa banki klienckie dla księgowych (sperbank.ru, mmm-bank.ru)
2. Linkmeup.ru dla studentów kształcenia zawodowego
3. Yandex (yandex.ru)

Dla takiego połączenia podniesiemy kolejny vlan na msk-arbat-gw1. Jego numer jest oczywiście uzgadniany z dostawcą. Niech to będzie VLAN 6
Załóżmy, że dostawca nam to zapewnia podsieć 198.51.100.0/28. Pierwsze dwa adresy służą do organizacji łącza (198.51.100.1 i 198.51.100.2), a pozostałe wykorzystujemy jako pulę dla NAT. Nikt jednak nie zabrania nam używać dla puli adresu 198.51.100.2. Zróbmy to: pula: 198.51.100.2-198.51.100.14
Dla uproszczenia załóżmy, że nasze serwery publiczne znajdują się w tej samej podsieci:
192.0.2.0/24 .
Wiesz już jak skonfigurować link i adresy.
Ponieważ w sieci dostawcy mamy tylko jeden router, a wszystkie sieci są do niego podłączone bezpośrednio, nie ma potrzeby konfigurowania routingu.
Ale nasz msk-arbat-gw1 musi wiedzieć, gdzie wysłać pakiety do Internetu, dlatego potrzebujemy trasy domyślnej:

msk-arbat-gw1(config)# trasa ip 0.0.0.0 0.0.0.0 198.51.100.1

Teraz porządek

Najpierw skonfigurujmy pulę adresów

msk-arbat-gw1(config)# ip nat pula main_pool 198.51.100.2 198.51.100.14 maska sieci 255.255.255.240

Teraz zbieramy listę ACL:

msk-arbat-gw1(config)# lista dostępu ip rozszerzona nat-inet

1) Sieć sterująca

nie ma w ogóle dostępu do Internetu
Gotowy

2) Hosty z sieci VET

Mają dostęp tylko do wyspecjalizowanych stron, na przykład Linkmeup.ru

msk-arbat-gw1(config-ext-nacl)# zezwolenie na tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq 80

3) Rachunkowość

Dajemy dostęp do wszystkich hostów na obu serwerach

msk-arbat-gw1(config-ext-nacl)# zezwolenie ip 172.16.5.0 0.0.0.255 host 192.0.2.3
msk-arbat-gw1(config-ext-nacl)# zezwolenie ip 172.16.5.0 0.0.0.255 host 192.0.2.4

4) FEO

Zezwolenie dajemy tylko dyrektorowi finansowemu – jest to tylko jeden gospodarz.

msk-arbat-gw1(config-ext-nacl)# zezwól na host ip 172.16.4.123 dowolny

5)Inne

Nasze komputery z pełnym dostępem

msk-arbat-gw1(config-ext-nacl)# zezwól na hosta IP 172.16.6.61 dowolny
msk-arbat-gw1(config-ext-nacl)# zezwól na hosta IP 172.16.6.66 dowolny

6) Oddziały w Petersburgu i Kemerowie

Niech adresy Eniki będą takie same: 172.16.x.222

msk-arbat-gw1(config-ext-nacl)# zezwól na host ip 172.16.16.222 dowolny
msk-arbat-gw1(config-ext-nacl)# zezwól na host ip 172.16.17.222 dowolny
msk-arbat-gw1(config-ext-nacl)# zezwól na host ip 172.16.24.222 dowolny

Tak wygląda teraz cała lista ACL:
rozszerzona lista dostępu ip nat-inet
uwaga PTO
zezwól na tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq www
uwaga KSIĘGOWOŚĆ
zezwól na ip 172.16.5.0 0.0.0.255 host 192.0.2.3
zezwól na ip 172.16.5.0 0.0.0.255 host 192.0.2.4
uwaga FEO
zezwól na hosta ip 172.16.4.123 dowolny
uwaga JA
zezwól na hosta ip 172.16.6.61 dowolny
uwaga ADMIN
zezwól na hosta ip 172.16.6.66 dowolny
uwaga SPB_VSL_ISLAND
zezwól na hosta ip 172.16.16.222 dowolny
uwaga SPB_OZERKI
zezwól na hosta ip 172.16.17.222 dowolny
uwaga KMR
zezwól na hosta ip 172.16.24.222 dowolny

Uruchommy:

msk-arbat-gw1(config)# ip nat wewnątrz listy źródeł nat-inet basen przeciążenie main_pool

Ale szczęście nie będzie kompletne bez dostosowywania interfejsów:
Na zewnętrznym interfejsie musisz wydać polecenie ip na zewnątrz
W środku: ip nat w środku

msk-arbat-gw1(config)# int fa0/0.101
msk-arbat-gw1(config)# int fa0/0.102
msk-arbat-gw1(config-subif)# ip nat wewnątrz
msk-arbat-gw1(config)# int fa0/0.103
msk-arbat-gw1(config-subif)# ip nat wewnątrz
msk-arbat-gw1(config)# int fa0/0.104
msk-arbat-gw1(config-subif)# ip nat wewnątrz
Msk-arbat-gw1(config)# int fa0/1.6
msk-arbat-gw1(config-subif)# ip nat na zewnątrz

Dzięki temu router będzie wiedział, gdzie się spodziewać pakietów wymagających przetworzenia i gdzie je później wysłać.

Aby serwery w Internecie były dostępne według nazwy domeny, byłoby miło, gdybyśmy mieli serwer DNS w naszej sieci:

Oczywiście należy go zarejestrować na tych urządzeniach, z których będziemy sprawdzać dostęp:

Przedstawienie musi trwać!

Wszystko jest dostępne z komputera administratora:

Z sieci VET dostęp można uzyskać wyłącznie do strony linkmeup.ru poprzez port 80 (HTTP):

W sieci FEO w świat wychodzi tylko 4,123 (finirector)

W dziale księgowości działają tylko witryny klienta-banku. Ponieważ jednak zezwolenie zostało udzielone całkowicie protokołowi IP, możesz je pingować:

7) Serwery

Tutaj musimy skonfigurować przekierowanie portów, aby można było uzyskać do nich dostęp z Internetu:

a) Serwer WWW

msk-arbat-gw1(config)# ip nat wewnątrz źródła statyczny tcp 172.16.0.2 80 198.51.100.2 80

Sprawdźmy od razu, czy możemy to zrobić np. z komputera testowego o adresie 192.0.2.7.
Teraz już nic nie będzie działać, gdyż dla sieci serwerów nie mamy skonfigurowanego interfejsu dla msk-arbat-gw1:

msk-arbat-gw1(config)# int fa0/0.3
msk-arbat-gw1(config-subif)# ip nat wewnątrz

I teraz:

b) Serwer plików

msk-arbat-gw1(config)# ip nat wewnątrz źródła statyczny tcp 172.16.0.3 20 198.51.100.3 20
msk-arbat-gw1(config)# ip nat wewnątrz źródła statyczny tcp 172.16.0.3 21 198.51.100.3 21

W tym celu w ACL Servers-out otworzyliśmy także dla wszystkich porty 20-21

c) Serwer pocztowy

msk-arbat-gw1(config)# ip nat wewnątrz źródła statyczny tcp 172.16.0.4 25 198.51.100.4 25
msk-arbat-gw1(config)# ip nat wewnątrz źródła statyczny tcp 172.16.0.4 110 198.51.100.4 110

To też nie jest trudne do sprawdzenia. Postępuj zgodnie z instrukcją:
Najpierw konfigurujemy serwer pocztowy. Określamy domenę i tworzymy dwóch użytkowników.

Konfigurowanie komputera z naszej sieci:

Z zewnętrznego:

Przygotowujemy list:

Na hoście lokalnym kliknij Odbierz:

8) Dostęp poprzez RDP do komputerów administratora i naszych

msk-arbat-gw1(config)# ip nat wewnątrz źródła statyczny tcp 172.16.6.61 3389 198.51.100.10 3389
msk-arbat-gw1(config)# ip nat wewnątrz źródła statyczny tcp 172.16.6.66 3389 198.51.100.10 3398

Bezpieczeństwo

Ostatnia uwaga. Najprawdopodobniej Twoje urządzenie masujące patrzy na zewnątrz za pomocą interfejsu IP Nat Outside - na Internet. Dlatego nie zaszkodzi zawiesić listę ACL na tym interfejsie, gdzie odmawiasz, zezwalasz na to, czego potrzebujesz. W tym artykule nie będziemy rozwodzić się nad tym zagadnieniem.

W tym momencie pierwszą znajomość technologii NAT można uznać za zakończoną.
Jako kolejny DZ odpowiedz na pytanie dlaczego nie ma dostępu do Internetu z komputerów Eniki w Petersburgu i Kemerowie. Przecież dodaliśmy je już do listy dostępu.

To, że nie ma wystarczającej liczby adresów sieciowych IP dla wszystkich urządzeń, które chcą być w Internecie, nie jest już nowością. Obecnie wyjściem z tej sytuacji jest opracowanie protokołu IPv6, w którym długość adresu wynosi 128 bitów, podczas gdy obecny IPv4 ma tylko 32 bity. Ale na początku XXI wieku znaleźli inne rozwiązanie - użyć translacji adresów sieciowych, w skrócie nat. W dalszej części artykułu skonfigurujemy nat w routerze.

Wejście do menu ustawień routera

Jako przykład weźmy router ZyXEL z serii ZyWALL USG i NXC5200.

Przede wszystkim przejdź do ustawień routera. Aby to zrobić, w dowolnej przeglądarce internetowej wpisz w pasku adresu 192.168.1.1. (standardowy adres routera), pojawi się okno z prośbą o podanie loginu i hasła.

W polu „Nazwa użytkownika” wpisz admin, w polu „Hasło” wpisz 1234. Kliknij „OK”.

Konfiguracja NAT w routerze

W oknie menu, które się otworzy, przejdź do zakładki „Konfiguracja” (ikona z dwoma zębatkami), następnie „Sieć”, a następnie „Routing”. W wybranym oknie przejdź do zakładki „Policy Routing”.

Menu ustawień routera ZyXEL

W tym menu konfigurowana jest polityka routingu. W obszarze „Kryteria” ustalamy kryteria wyboru ruchu – który ruch ma być transmitowany (właściwie skonfiguruj nat), a który po prostu powinien być trasowany. Ruch można wybierać według kilku kryteriów:

Użytkownik (Użytkownik);
Według interfejsu (przychodzące);
Według źródłowego adresu IP;
Według adresu IP odbiorcy (adresu docelowego);
Według portu docelowego (usługa).

W obszarze „Next-Hop” przypisujemy obiekt do przekierowania ruchu:

Wybieranie obiektu przekierowania routera ZyXEL

Gdzie „Auto” – ruch zostanie przekierowany do domyślnego interfejsu globalnego; Bramka – na adres podany w ustawieniach bramki; Tunel VPN – wirtualny prywatny tunel IPSec; Trunk – trasa do „trunk”, gdzie „trunk” to kilka interfejsów skonfigurowanych do współpracy lub w trybie redundancji; Interfejs – przekierowanie do określonego interfejsu:

Należy pamiętać, że za każdym razem, gdy dokonujesz zmian w ustawieniach routera, kliknij przycisk „OK”, aby zapisać ustawienia, a nie tylko zamknąć przeglądarkę internetową.

Konfigurowanie NAT na komputerze

Jak wiadomo, sam komputer osobisty może służyć jako router. Często zdarza się, że w sieci komputerowej znajduje się kilka komputerów, z których jeden ma dostęp do Internetu. W tej sytuacji nie można w ogóle kupować routerów, tylko ustawić komputer z dostępem do Internetu jako router i skonfigurować na nim NAT. Rozważmy ten przypadek bardziej szczegółowo.

Pamiętaj, aby zainstalować 2 karty sieciowe na głównym komputerze uzyskującym dostęp do Internetu (nazwijmy to SERWER) - pierwsza do łączenia się z siecią lokalną, druga do dostawcy. W przykładzie zostanie użyty system operacyjny Windows Server 2012.

Aby skonfigurować, najpierw uruchom „Menedżer serwera” (Start -> Narzędzia administracyjne -> Menedżer serwera). Pojawi się okno ustawień:

Stąd będziemy zarządzać naszym serwerem. Aby kontynuować konfigurację, kliknij „Dodaj role i funkcje”, co spowoduje otwarcie okna Kreatora dodawania ról. Pierwszy krok — typ instalacji:

W następnym oknie musimy wybrać rolę, którą instalujemy na serwerze. Zaznacz pole obok „Dostęp zdalny”.

Pojawi się poniższe okno, w którym zostanie wyświetlona lista komponentów wymaganych do działania. Kliknij „Dodaj komponenty”, to okno zniknie. Kliknij Następny".

W następnym oknie kreator poprosi o dodanie komponentów serwera. Nie ma potrzeby niczego zmieniać, kliknij „Dalej”.

Na kolejnej stronie kreator po prostu informuje nas o działaniu roli Remote Access. Kliknij Następny".

W następnym kroku musisz wybrać „Usługi ról”. Zaznacz pole obok „Routing” i kliknij „Dalej”.

Kolejne okno ma ponownie charakter informacyjny, nie musisz niczego wybierać, ale możesz zaznaczyć pole obok „Automatyczny restart na wybranym serwerze…”, w wyniku czego serwer automatycznie uruchomi się ponownie po instalacji. Ale możesz to również zrobić ręcznie. Kliknij Następny".

Ostatnim krokiem jest faktyczna instalacja serwera. Po zakończeniu kliknij przycisk „Zamknij”.

Instalacja serwera

Skonfigurowaliśmy więc komputer podłączony do Internetu w trybie serwera. Teraz musisz skonfigurować na nim nat.

Przejdź do Start / Administracja / Routing i dostęp zdalny. W oknie, które się pojawi, po lewej stronie znajdujemy pozycję „SERWER (lokalny)”, kliknij go prawym przyciskiem myszy i w menu rozwijanym kliknij „Konfiguruj i włącz routing oraz dostęp zdalny”.

Pojawi się kreator konfiguracji serwera routingu i dostępu zdalnego, w którym skonfigurujemy nat.

Na pierwszej stronie jesteśmy krótko zapoznani z kreatorem - kliknij „Dalej”. Następnym krokiem jest wybranie jednej z usług, która będzie działać na tym serwerze. Wybierz „Tłumaczenie adresów sieciowych (NAT)” i kliknij „Dalej”.

Następnie kreator poprosi Cię o wybranie połączenia sieciowego przeglądającego Internet. Obie karty sieciowe będą obecne na liście (przynajmniej w zależności od tego, ile z nich jest zainstalowanych na serwerze). Wybieramy ten, do którego podłączony jest kabel sieciowy dostawcy. Kliknij Następny".

W następnym oknie kreator zacznie narzekać, że nie może wykryć usług DHCP lub DNS w sieci lokalnej. Istnieją dwie możliwości kontynuowania — włączenie usług podstawowych lub zainstalowanie usług później.

Wybierz pierwszy element i kliknij „Dalej”. Na kolejnej stronie poinformuję w jakim zakresie nat będzie działać. Kreator konfiguracji wybiera ten zakres automatycznie na podstawie konfiguracji połączenia sieciowego podłączonego do sieci lokalnej. Kliknij Następny".

zasięg nat

To wszystko, kreator instalacji kończy konfigurację NAT. Kliknij „Dalej”, a w kolejnym oknie „Gotowe”.

Ostatnią rzeczą, jaka pozostała, jest konfiguracja komputerów klienckich, czyli wszystkich pozostałych komputerów w sieci lokalnej. Aby to zrobić, na komputerze klienckim (należy to zrobić na każdym komputerze w sieci) przejdź do Start / Panel sterowania / Centrum sieci i udostępniania / zmień ustawienia adaptera. Przejdź do „Połączenia sieciowe”. Kliknij ikonę prawym przyciskiem myszy i z menu rozwijanego wybierz „Właściwości”. W wyświetlonym oknie wybierz „Protokół internetowy w wersji 4 (TCP/IPv4)” i kliknij „Właściwości”.

W polu „Brama domyślna” wpisujemy adres IP komputera serwera (który został skonfigurowany w poprzednim kroku), w polu „Preferowany serwer DNS” wpisujemy adres IP serwera DNS dostawcy podanego w informacji o połączeniu internetowym na serwerze. Kliknij „OK” i ponownie „OK”. To wszystko, komputer kliencki jest podłączony do Internetu.

NAT na palcach: co to jest? NAT – co to jest? Instrukcje dotyczące konfiguracji NAT

Wstęp

Przebranie

Przykłady dynamicznego NAT i NAT z przeciążeniem

Bezpieczeństwo i Administracja

Co to jest NAT

dlaczego potrzebny jest NAT i jak się go używa

jak działa NAT

Zalety i wady

Konfiguracja w systemie Cisco IOS

Przykłady

Jak działa NAT

Kanał internetowy od jednego dostawcy poprzez NAT

Rezerwacja kanału internetowego od dwóch dostawców korzystających z NAT, ip sla

Schemat

Konfig

Różnorodny

Co to jest NAT

Terminologia NAT

typy NAT-u

Translacja adresów portów (PAT)

Zalety i wady NAT

Czy ten artykuł był dla Ciebie przydatny?

Proszę, powiedz mi dlaczego?

Ruch przychodzący i wychodzący

Ćwiczyć

a) Dostęp do serwera WWW

b) Dostęp do serwera plików

c) Dostęp do serwera pocztowego

d) Serwer DNS

e) ICMP

f) Prawa użytkowników z sieci Innej

g) Sieć sterująca

g) Żadnych więcej ograniczeń

Maska i maska ​​odwrotna

Przykład 1

Przykład 2

Przykład 3

Działanie ACL na zdjęciach

Dodatki

NAT

typy NAT-u

Statyczny

Dynamiczny

Wiele do jednego

Przekierowanie portów

Słabe i mocne strony NAT

+

-

Praktyka NAT

1) Sieć sterująca

2) Hosty z sieci VET

3) Rachunkowość

4) FEO

5)Inne

6) Oddziały w Petersburgu i Kemerowie

7) Serwery

a) Serwer WWW

b) Serwer plików

c) Serwer pocztowy

8) Dostęp poprzez RDP do komputerów administratora i naszych

Bezpieczeństwo

Wejście do menu ustawień routera

Konfiguracja NAT w routerze

Wybieranie obiektu przekierowania routera ZyXEL

Konfigurowanie NAT na komputerze

Maska i maska odwrotna