Nat. (Traduction de l'adresse réseau - Conversion adresses réseau) est une norme IETF (groupe de travail sur Internet d'ingénierie - le groupe de travail du développement des technologies Internet), avec lequel plusieurs ordinateurs de réseau privés (avec adresses privées de ces gammes, sous 10.0.xx, 192.168.xx, 172.xxx) peuvent Partagez une adresse IPv4, fournissant une sortie sur le réseau mondial. La principale raison de la popularité croissante de NAT est associée à un déficit croissant d'adresses IPv4. De plus, de nombreuses passerelles Internet utilisent activement NAT, en particulier pour la connexion à des réseaux à large bande, par exemple via DSL ou des modems de câble.

Installation de NAT.

Afin d'agir en tant que routeur, il doit y avoir 2 interfaces réseau sur le serveur. Internet et le réseau lui-même, que vous souhaitez laisser Internet. J'ai des connexions réseau appelées LAN_1 (Internet) et LAN_2 (réseau local).

Je vais vous dire que le service Firewall Windows / Partage Internet (ICS) Doit être désactivé.

Alors, passez à l'installation:

Mettre en place Nat.

Nous avons donc installé des interfaces réseau, nous les configurerons maintenant.

Tout d'abord, configurons Interface externe (LAN_1):

192.168.0.2 - L'adresse IP de l'utilisateur qui ira en ligne via notre serveur

10.7.40.154 - Adresse IP de serveur externe

Aller sur Internet par une telle technologie, vous aurez une adresse IP 10.7.40.154. Il existe différentes manières de configurer, vous pouvez sauvegarder les adresses chaque machine. Dans la réservation, vous pouvez spécifier non une plage d'adresses ni pour ne pas spécifier du tout, puis toute adresse IP sur le réseau local peut vous asseoir sur Internet via le serveur.

Configurer une machine cliente

Aller à B. Propriétés Local carte réseau, Plus loin Propriétés TCP / IP. Nous prescrivons le client IP, un masque, dans Passerelle principale (passerelle par défaut) Nous prescrivons l'adresse IP du serveur. Dans les champs DNS, vous devez enregistrer IP adresses DNS Fournisseur ou adresses IP du serveur DNS local installé.

Tout! Cette installation et cette configuration sont terminées.

De nombreux utilisateurs ayant un routeur pensent qu'il n'est nécessaire que de se connecter à Internet uniquement. En fait, il effectue également la fonction de connexion au serveur d'autres utilisateurs. Dans cet article, nous vous dirons ce qui est NAT dans le routeur, pour lequel il est nécessaire et comment le configurer.

Nat dans le routeur - Qu'est-ce que c'est?

Adresse réseau La traduction de l'anglais est traduite comme "Traduction de l'adresse réseau" - Il s'agit du processus de transfert d'adresses internes aux adresses externes. Si un cette fonctionnalité ne sera pas configuré, le routeur bloquera l'accès à des ports à toutes les connexions entrantes de réseau mondial Internet, avec les mêmes paramètres, sera autorisé.

Réglage

Pour configurer indépendamment NAT dans le routeur, vous devez effectuer la série d'actions suivante:

• Exécutez n'importe quel navigateur sur l'ordinateur et dans la barre de recherche pour taper l'adresse cet appareil 192.168.1.1 ou 192.168.0.1.
• Ensuite, entrez le nom d'utilisateur et le mot de passe admin / admin. Après, vous pouvez remplacer ce login et votre mot de passe avec votre propre.
• Dans la fenêtre Sélectionner des paramètres qui s'ouvre, le réseau est routage (itinéraires) et cliquez sur une nouvelle règle qui vous permet de définir les conditions de routage de quelque manière que ce soit. Cinq façons sont: via le nom DNS, via le port, via une diffusion sur un utilisateur spécifique, à travers interface réseau Soit la substitution d'adresse à l'adresse source.
• Ensuite, vous devez définir des conditions de circulation, l'une des quatre options proposées (auto, passerelle, coffre, interface) et cliquez sur "Suivant" et "Fermer".

Après avoir effectué cette série d'actions, le routeur est prêt à fonctionner.

Il y a des cas lorsque vous devez configurer NAT et sur votre ordinateur. Pour ce faire, à travers le "Démarrer", allez au "Panneau de configuration" et lancez-vous " Les connexions de réseau" Sélectionnez un nouveau périphérique réseau et cliquez sur le bouton droit de la souris droit, dans les "propriétés", sélectionnez "Advanced". Et installer les tiques ci-contre "Autoriser le Dr. Network utilisateurs utilise cette connexion" et cliquez sur OK.

Configuration de la boucle

La signification de la boucle de boucle inverse est que si le colis tombe du réseau interne à l'adresse IP externe du routeur, il est considéré comme étant de l'extérieur - et donc, les règles de pare-feu fonctionnent liées à des composés externes. Si le paquet passe avec succès dans le pare-feu, le NAT est déclenché, ce qui devient un intermédiaire entre deux ordinateurs situés dans le même réseau.

Attention! Sans la fonction de bouclage NAT, il serait impossible de connaître les paramètres. service réseau Ou aller sur le serveur. Pour chaque domaine, il serait nécessaire de configurer fichier hôte manuellement.

Types Nat.

Il existe plusieurs types de traduction d'adresses réseau. Considérez chacun d'entre eux en détail:

Important! Souvent, les ports doivent être configurés manuellement.

Comment changer de type

Afin de modifier le type de NAT de l'un à l'autre, vous devez vous rendre à votre routeur en entrant dans le navigateur de la ligne de recherche de la combinaison de navigateur 192.168.1.1 ou 192.168.0.1. Et entrez votre nom d'utilisateur et votre mot de passe. Découvrez ensuite votre adresse IP et vos paramètres réseau de votre appareil. Après cela, vous devez contacter le fournisseur de connexion Internet afin de reconfigurer votre routeur au type dont vous avez besoin. Pour ce faire, il devra communiquer toutes les données.

Sur les principes du protocole NAT (Traduction de l'adresse réseau) Et maintenant il est temps de prendre en compte son réglage sur l'équipement Cisco..

Statique NAT Setup (NAT STATIQUE)

Rappeler que statique Nat. C'est une comparaison de l'adresse interne et externe une à une. Il permet aux périphériques externes d'initier des connexions à l'utilisation interne à l'aide de l'adresse commune attribuée de manière statique.

Par exemple, un serveur Web interne peut être comparé à une adresse globale interne spécifique de sorte qu'elle soit disponible à partir de réseaux externes.

Le diagramme montre un réseau interne contenant un serveur Web avec une adresse privée IPv4. Le routeur est configuré avec Static NAT pour permettre aux périphériques du réseau externe d'accéder au serveur Web. Le client du réseau externe fait référence à un serveur Web à l'aide d'une adresse IPv4 disponible publiquement. Static NAT traduit l'adresse IPv4 disponible publiquement en privé.

Lors de la configuration des émissions statiques NAT, deux tâches principales sont effectuées:

1. Créer une comparaison entre le local interne ( À l'intérieur local) Adresse et interne global ( intérieur mondial.) adresses. Par exemple, l'adresse locale interne 192.168.1.5 et l'adresse globale interne 208.165.100.5 dans le diagramme est configurée en tant que diffusion de NAT statique.
2. Une fois que le mappage est configuré, les interfaces participant à la diffusion doivent être configurées comme interne ( À l'intérieur) et en plein air ( dehors) En ce qui concerne NAT. Le diagramme d'interface série série 0/0/0 est interne et série 0/1/0 - externe.

Forfaits entrant dans l'interface interne de la série 0/0/0/0/0/0/0/0/0/03 de l'adresse locale interne configurée IPv4 (192.168.1.5) sont diffusées, puis redirigées vers un réseau externe. Les emballages entrant dans l'interface externe série 0/1/0 adressée à l'adresse globale globale interne IPv4 (208.165.100.5) sont transférées à l'adresse locale interne (192.168.1.5), puis redirigèrent à l'intérieur du réseau.

Le cadre prend quelques étapes:

1. Créez une diffusion statique entre les adresses globales locales et externes internes. Pour ce faire, utilisez l'équipe iP NAT Inside Source Statique [Local _ip Global_IP]. Pour supprimer la diffusion, vous devez entrer une commande pas de nat IP Nat Inside Source Statique. Si nous devons faire une diffusion non adressée à l'adresse, mais s'adresse à l'adresse de l'interface, la commande est utilisée. iP NAT Inside Source Statique [Local _ip Type_ Interface Number_ Interface].
2. Déterminer l'interface interne. D'abord aller au mode de configuration de l'interface à l'aide de la commande interface [Numéro de type] Et entrez la commande iP NAT à l'intérieur
3. De la même manière, déterminez l'interface externe à l'aide de la commande iP Nat à l'extérieur

Routeur (config) # IP NAT Inside Source Statique 192.168.1.5 208.165.100.5 Routeur # Interface série0 / 0/0 Router #IP NAT Inside Router (Config-if) #exit Router (config) Interface Serial0 / 1/0 routeur (configuration -Si) #ip nat dehors

En conséquence, les émissions passeront comme ceci:

1. Le client souhaite ouvrir une connexion avec un serveur Web. Le client envoie un paquet à un serveur Web à l'aide d'une destination IPv4 disponible publiquement 208.165.100.5. Ceci est l'adresse du serveur Web mondial interne.
2. Le premier paquet que le routeur reçoit du client sur l'interface externe de NAT, le permet de vérifier sa table NAT. L'adresse du destinataire IPv4 est située dans la table NAT, elle est traduite.
3. Le routeur remplace l'adresse de destination globale interne 208.165.100.5 local interne 192.168.1.5 et transfère le colis sur le serveur Web.
4. Le serveur Web reçoit un package et répond au client à l'aide de l'adresse locale interne de la source 192.168.1.5.
5. Le routeur reçoit un package d'un serveur Web à son interface NAT interne avec l'adresse de la source de l'adresse locale interne du serveur Web, 192.168.1.5. Il vérifie la table NAT pour traduire l'adresse locale interne dans le global interne, modifie l'adresse source du 192.168.1.5 au 208.165.100.5 et l'envoie à partir de l'interface série 0/1/0 au client.
6. Le client reçoit le paquet et l'échange de paquets continue. Le routeur effectue des étapes précédentes pour chaque colis.

Chèque de NAT statique

Équipe utile pour vérifier le travail NAT est une équipe afficher les traductions NAT NAT IP. Cette commande indique les émissions NAT actives. Les traductions statiques, contrairement aux traductions dynamiques, sont toujours dans la table NAT.

Routeur # Afficher IP NAT Traductions Pro INDIQUES INTÉRIEURES INDITIVE INDIQUÉE INDIQUÉE INDIQUÉE INDIQUÉE INDIQUÉE GLOBÉE EXTÉRIEURE EXTÉRIEUR LOCAL SUR LE GLOBAL --- 208.165.100.5 192.168.1.5 208.165.100.70 208.165.100.70

Une autre équipe utile est l'équipe afficher les statistiques IP NAT. Il affiche des informations sur le nombre total de traductions actives, les paramètres de configuration NAT, le nombre d'adresses dans le pool et le nombre d'adresses qui ont été mis en évidence.

Routeur # Afficher IP Statistiques NAT Total Traductions actives: 1 (1 statique, 0 dynamique; 0 étendu) Traductions de pointe: 2, eue survenue 00:00:29 Il y a des interfaces extérieures: SERIAL0 / 1/0 Interfaces: SERIAL0 / 0/0 HITS : 7 rats: 0

Pour vous assurer que la diffusion de NAT fonctionne, il est préférable de clarifier les statistiques de toutes les traductions antérieures à l'aide de la commande. statistiques nates nates transparentes Avant de tester.

Configuration de NAT Dynamic (NAT DYNAMIQUE)

Bien que le NAT statique soit une comparaison constante entre l'adresse interne locale locale et interne, le NAT dynamique vous permet de comparer automatiquement les adresses locales et globales internes (qui sont généralement des adresses IP publiques). Dynamic NAT utilise un groupe ou une piscine d'adresses publiques IPv4 pour la traduction. NAT dynamique, comme la NAT statique, nécessite de définir des interfaces internes et externes impliquées dans NAT.

Considérer sur l'exemple de ce schéma. Nous avons ici un réseau interne avec deux sous-réseaux 192.168.1.0/24 et 192.168.2.0/24 et un routeur limite, sur lequel un NAT dynamique est configuré avec un pool d'adresses publiques 208.165.100.5 - 208.165.100.15.

Poole des adresses publiques ( piscine d'adresse mondiale à l'intérieur) Disponible pour tout appareil dans le réseau interne selon le principe "d'abord est venu - le premier à servir". Avec une NAT dynamique, une adresse interne est convertie en une adresse externe. Avec ce type de traduction, il doit y avoir suffisamment d'adresses dans la piscine pour une provision simultanée pour tous appareils internesqui ont besoin d'accès au réseau externe. Si toutes les adresses de la piscine ont été utilisées, l'appareil doit attendre une adresse accessible avant d'accéder au réseau externe.

Considérez la teinture par étapes:

1. Déterminez la piscine qui sera utilisée pour traduire en utilisant la commande iP NAT Pool [Nom primaire_ip End_ip]. Cette adresse piscine représente généralement un groupe d'adresses publiques publiques. Les adresses sont déterminées par l'indication de l'adresse IP initiale et de l'adresse IP finale du pool. Mots clés netmask. ou alors longueur de préfixe. Pointez le masque.
2. Vous devez configurer la norme liste d'accès (ACL)Déterminer uniquement les adresses qui seront diffusées. Nous introduisons la commande. Des listes d'accès standard peuvent être trouvées dans cette (et à propos de EXTENDUE B). ACL qui permet beaucoup d'adresses peut conduire à des résultats imprévisibles, il y a donc une équipe à la fin de la feuille. nIER TOUS.
3. Vous devez lier la liste de contrôle ACL à la piscine et pour cette commande est utilisée. iP NAT Inside Source Liste [Number_ACL] Number Pool [Title_Name]. Cette configuration est utilisée par le routeur pour déterminer quels périphériques (liste) reçoivent des adresses (piscine).
4. Déterminez quelles interfaces sont à l'intérieur, par rapport à NAT, c'est-à-dire une interface connectée au réseau interne.
5. Déterminez quelles interfaces sont à l'extérieur, en ce qui concerne NAT, c'est-à-dire une interface connectée au réseau externe.

Routeur (config) # IP Nat Pool MerionNetworksPool 208.165.100.5 208.165.100.15 Netmask 255.255.255.0 Routeur # Liste d'accès 1 Permis 192.168.0.0 0.0.255.255 Router #IP NAT Source Liste 1 Piscine MerionNetWorkSpool Router (config) # Interface Serial0 / 0/0 routeur #ip NAT Inside Router (config-if) #exit routeur (config) # Interface série0 / 1/0 routeur (config-si) #ip nat dehors

Comment cela fonctionnera sur notre schéma:

1. Ordinateurs avec adresses 192.168.1.10 et 192.168.2.10 Envoyez des paquets vers le serveur à l'adresse publique 208.165.100.70
2. Le routeur prend le premier colis de l'hôte 192.168.1.10. Étant donné que ce paquet a été obtenu sur l'interface configurée sous forme d'interface NAT interne, le routeur vérifie la configuration NAT afin de déterminer si ce package doit être traduit. ACL permet à ce paquet et le routeur vérifie sa table NAT. Comme il n'existe aucun enregistrement de diffusion pour cette adresse IP, le routeur détermine que l'adresse initiale 192.168.1.10 doit être traduite de manière dynamique. R2 Sélectionne l'adresse globale disponible dans le pool d'adresses dynamiques et crée un enregistrement de traduction, 208.165.200.5. L'adresse IPv4 source source (192.168.1.10) est une adresse locale interne et l'adresse traduite est une adresse globale interne (208.165.200.5) dans la table NAT. Pour le deuxième hôte 192.168.2.10, le routeur répète cette procédure en choisissant l'adresse globale disponible suivante à partir du pool d'adresses dynamiques, crée un deuxième record de traduction - 208.165.200.6.
3. Après avoir remplacé l'adresse locale interne de la source dans les packages, le routeur redirige l'emballage.
4. Le serveur reçoit un package du premier PC et répond à l'aide de l'adresse de la destination 208.165.200.5. Lorsque le serveur reçoit un package du deuxième PC, le 208.165.200.6 se tiendra dans l'adresse de destination.
5. Lorsque le routeur reçoit avec l'adresse de destination 208.165.200.5, il recherche la table NAT et traduit l'adresse de destination à l'adresse locale interne 192.168.1.10 et dirige vers le PC. La même chose se passe avec un paquet dirigé vers le deuxième PC.
6. Les deux PC reçoivent des packages et l'échange de paquets continue. Pour chaque package suivant, les étapes précédentes sont effectuées.

Vérifiez dynamique NAT.

Une commande est également utilisée pour vérifier afficher IP NAT. Affiche toutes les traductions statiques configurées et toutes les traductions dynamiques créées par la circulation. Ajouter un mot clé verbeux Affiche des informations supplémentaires sur chaque traduction, y compris combien de temps a été enregistrée et utilisée. Par défaut, les données sur les traductions expirent après 24 heures si les minuteries n'étaient pas reconfigurées à l'aide de la commande délai de traduction NAT IP [TIME_B_SECANDA] En mode de configuration globale.

Pour effacer les enregistrements dynamiques avant l'expiration du temps d'attente, vous pouvez utiliser la commande. traduction transparente IP Nat. Utile pour nettoyer les entrées dynamiques lors du test de la configuration NAT. Cette commande peut être utilisée avec des mots-clés et des variables pour contrôler quels enregistrements sont nettoyés. Des enregistrements spécifiques peuvent être nettoyés afin de ne pas interrompre les sessions actives. Seules les traductions dynamiques sont supprimées de la table. Les traductions statiques ne peuvent pas être supprimées de la table.

Vous pouvez également utiliser la commande afficher les statistiques IP NAT qui affiche des informations sur le nombre total de traductions actives, les paramètres de configuration NAT, le nombre d'adresses dans le pool et le nombre d'adresses traduites.

Étant donné que nos contrôles d'accès ACL sont utilisés ici, vous pouvez utiliser la commande pour les vérifier. afficher les listes d'accès.

Traduction de l'adresse de configuration (PAT)

Pat (aussi appelé Surcharge NAT) Enregistre des adresses dans le pool d'adresses globales internes, permettant au routeur d'utiliser une adresse globale interne pour de nombreuses adresses locales internes. En d'autres termes, une adresse OPEN IPv4 peut être utilisée pour des centaines et même des milliers d'adresses IPv4 internes privées. Lorsque plusieurs adresses locales internes sont comparées à une adresse globale interne, des numéros de port TCP. ou alors Udp. Chaque nœud intérieur distingue les adresses locales.

Le nombre total d'adresses internes pouvant être traduits en une seule adresse externe, peut être théoriquement 65 536 par adresse IP. Toutefois, dans la pratique, le nombre d'adresses internes qu'une seule adresse IP peut être attribuée est d'environ 4 000 personnes.

Il existe deux façons de mettre en place la PAT, en fonction de la manière dont le fournisseur alloue des adresses publiques IPv4. Dans le premier cas, le fournisseur Internet attribue plus d'une adresse IPv4 publique de l'Organisation et, dans l'autre, elle alloue une adresse IPv4 disponible publiquement requise pour une organisation de se connecter à un fournisseur Internet.

Pat Setup pour les adresses IP publique Public

Si plus d'une adresse publique IPv4 est disponible pour nous, ces adresses peuvent faire partie d'un pool utilisé par PAT. Cela ressemble à un NAT dynamique, sauf que dans ce cas, il n'ya pas assez d'adresses communes pour la comparaison mutuelle des adresses internes. Un petit bassin d'adresses est réparti entre un grand nombre d'appareils.

La principale différence entre cette configuration et la configuration du NAT dynamique est que le mot clé est utilisé. surchargequi comprend PAT.

Considérez la teinture PAT pour le pool d'adresses en étapes:

1. Définissez un bassin d'adresses d'adresses globales à utiliser pour la rachat de diffusion utilisant la commande iP Pool NAT [Nom primaire_ip End_ip] Netmask [Masque] | Longueur de préfixe [longueur de pré-pieds].
2. Créez une liste d'accès standard permettant de traduire les adresses. Commande utilisée liste d'accès [Number_ACL] Permis Source.
3. Inclure la tape en utilisant un mot magique Surcharge. Nous entrons dans la commande iP NAT Inside Source List [Number_ACL] Number Pool [Titre] Surcharge.
4. Nous définissons quelles interfaces sont à l'intérieur, en ce qui concerne NAT et qui à l'extérieur. Nous utilisons l'équipe iP NAT à l'intérieur et iP Nat à l'extérieur

Un exemple de configuration pour le schéma, utilisé plus tôt, nous n'utiliserons que PAT:

Routeur (config) # IP Pool Nat MerionNetworksPool2 208.165.100.5 208.165.100.15 Netmask 255.255.100.15 Routeur (config) # Access-List 1 Permis 192.168.0.0 0.0.255.255 Routeur (config) #iP NAT Inside Source List 1 Pool MerionNetworksSpool2 Routeur de surcharge (Config) # interface série0 / 0/0 routeur #ip NAT Inside Router (config-if) #exit routeur (config) # interface série série0 / 1/0 routeur (config-if) #ip nat dehors

PAT Setup pour une adresse IPv4 publique

Le diagramme montre la topologie de la mise en œuvre PAT pour diffuser l'une des adresses du public. Dans cet exemple, tous les hôtes du réseau 192.168.0.0/16 (ACL appropriée) qui envoient le trafic via le routeur seront traduits à l'adresse IPv4 208.165.99.225 (adresse IPv4 de l'interface S0 / 1/0). Le trafic sera identifié par des numéros de port dans la table NAT.

Installer:

1. Créer une feuille de liste d'accès permettant des adresses à diffuser - liste d'accès [Number_ACL] Permis Source.
2. Configurez la conversion d'adresse source sur l'adresse de l'interface, via la commande iP NAT Inside Source List [Number_ACL] Interface [Type de numéro] Surcharge
3. Déterminez les interfaces externes et internes via des commandes iP NAT à l'intérieur et iP Nat à l'extérieur.

La configuration est similaire à une NAT dynamique, sauf qu'au lieu du pool d'adresses, nous utilisons l'adresse d'interface avec une adresse IP de surcharge. La piscine NAT n'est pas déterminée.

Exemple: routeur (config) # Access-List 1 Permis 192.168.0.0 0.0.255.255 Routeur (config) # IP NAT Source Liste 1 Interface série Serial0 / 1 / Overload Router # Interface série Serial0 / 0/0 Routeur (config SI) #ip Nat Routeur intérieur (config-if) #exit routeur (config) # interface série série0 / 1/0 (Config-if) #ip nat dehors

Le processus PAT ne changera pas lors de l'utilisation d'une adresse ou d'une piscine d'adresses.

Considérez le processus PAT en étapes:

1. Dans le diagramme, deux ordinateurs différents se lient à deux serveurs Web différents. Le premier PC a l'adresse source 192.168.1.10 et utilise le port TCP 1444, et le deuxième PC a l'adresse de la source 192.168.2.10 et coïncidence utilise le même port TCP 1444
2. Le colis du premier PC atteint d'abord le routeur et l'utilisation de la PAT, modifie l'adresse IPv4 source d'ici 208.165.99.225 ( intérieur Adresse globale). La table NAT n'a aucun autre appareil avec un port 1444, de sorte que PAT utilise le même numéro de port et le package est envoyé dans la direction du serveur de 208.165.101.20.
3. Ensuite, le colis du deuxième ordinateur entre dans le routeur où la PAT est configurée pour utiliser une adresse IPv4 globale pour toutes les traductions - 208.165.99.225. Comme le processus de traduction pour le premier PC, PAT modifie l'adresse sortante du deuxième PC à l'adresse globale interne 208.165.99.225. Toutefois, le deuxième PC a le même numéro de port source que l'enregistrement PAT actuel du premier PC, la PAT augmente le numéro de port de la source jusqu'à ce qu'il devienne unique dans sa table. Dans ce cas, l'enregistrement du port source de la table NAT et du package du deuxième PC reçoit 1445 ports. Bien que les deux PC utilisent la même adresse globale interne 208.165.99.225 et le même numéro de port source - 1444, le numéro de port modifié pour le second PC (1445) rend chaque entrée dans la table NAT unique. Cela deviendra apparent lors de l'envoi de paquets de serveurs à des clients.
4. Les serveurs répondent aux demandes d'ordinateurs et utilisent le port source de l'emballage reçu en tant que port de destination et l'adresse source comme adresse de destination. Il peut sembler qu'ils communiquent avec le même hôte au 208.165.99.225, cependant, ce n'est pas le cas - ils ont des ports différents.
5. Lorsque des paquets sont retournés sur le routeur, il trouve une entrée unique dans sa table NAT à l'aide de l'adresse de destination et du port de destination de chaque package. Dans le cas d'un colis du premier serveur, l'adresse de destination 208.165.99.255 comporte plusieurs enregistrements, mais un seul avec un port de destination 1444. Utilisation de cette entrée dans sa table, le routeur modifie l'adresse de l'adresse IPv4 du paquet au 192.168.1.10, sans changer le port de destination. Ensuite, le paquet est redirigé vers le premier PC
6. Lorsque le colis du deuxième serveur arrive au routeur, il effectue une traduction similaire. L'adresse de destination IPv4 208.165.99.225 présente plusieurs entrées, mais utilisant le port de destination 1445, le routeur peut identifier de manière unique l'enregistrement de diffusion. L'adresse IPv4 de destination sera modifiée en 192.168.2.10 et dans ce cas, le port de destination doit également être modifié à la valeur initiale 1444, qui est stockée dans la table NAT. Après cela, le colis est envoyé au deuxième PC

Vérifiez la traduction de l'adresse du port (PAT)

Pour vérifier le PAT, les mêmes commandes sont utilisées comme pour le NAT habituel. Équipe afficher les traductions NAT NAT IP Affiche les traductions d'adresse IP avec les ports et la commande afficher les statistiques IP NAT Affiche des informations sur le nombre et le type de traductions actives, paramètres de configuration NAT, le nombre d'adresses dans le pool et le nombre d'adresses dédiées.

Routeur # Afficher IP Statistiques NAT Total Traductions actives: 2 (0 statique, 2 Dynamic; 2 étendues) Traductions de pointe: 2, eue survenue 00:00:07 Il y a des interfaces extérieures: SERIAL0 / 1/0/0 HITS 4 MQRES: 0 CEF Paquets: 4, CEF Paquet de Punted: 0 Traductions expirées: 0 Mappages dynamiques: - Accès à la source intérieure - Liste 1 Piscine MerionNetworkSpool2 Réfcount MerionNetworkSpool2 Piscine 2: 255.255.100.5 Démarrer la fin 208.165.100.15 Type Générique, Addresseurs totaux 10, Alloué 1 (10%), manque 0 portes Totales: 0 portes d'appli: 0 portes normales: 0 paquets en file d'attente: 0

Aussi pour rechercher des problèmes peut être utilisé un débogage qui exécute la commande déboguer IP NAT.qui affiche des informations sur chaque paquet traduit par le routeur. Vous pouvez également utiliser la commande débogu IP NAT détailléqui génère une description de chaque paquet. Cette commande fournit également des informations sur diverses erreurs, par exemple, telles que l'incapacité de mettre en évidence l'adresse globale. Cependant, cette commande est plus exigeante pour les ressources de l'appareil.

Routeur # Débogou NAT IP NAT Débogage NAT est sur le routeur # * Août 24 16: 20: 331: 670: NAT *: S \u003d 192.168.1.10-\u003e 208.165.99.225 D \u003d 208.165.101.20 * Août 24 16: 20: 331: 682: NAT *: S \u003d 208.165.101.20 D \u003d 208.165.99.225 -\u003e 192.168.1.10 * Août 24 16: 20: 331: 698: NAT *: S \u003d 192.168.1.10-\u003e 208.165.99.225 D \u003d 208.165.101.20 * 24 août 16: 20: 331: 702: NAT *: S \u003d 192.168.1.10-\u003e 208.165.99.225 D \u003d 208.165.101.20 * Août 24 16: 20: 331: 710: NAT *: S \u003d 208.165.101.20 D \u003d 208.165 .99.225 -\u003e 192.168.1.10

Les caractères et valeurs suivants sont utilisés dans la sortie:

• * (Asterisk) - Un astérisque avec NAT indique que la traduction se produit sur le chemin à commutation rapide (chemin à commutation rapide). Le premier paquet de la conversation est toujours plus lent, le reste des emballages passez la voie avec une commutation rapide.
• s \u003d. - adresse source IP
• a B c d? W.x.y.z. - Cette valeur indique que l'adresse de la source A.B.C.D est traduite en w.x.y.z.
• d \u003d - Adresse de destination IP
• - La valeur entre crochets est le numéro d'identification IP.

Utilisez-vous cet article?

S'il vous plaît dites-nous pourquoi?

Il est dommage que l'article n'était pas utile pour vous: (s'il vous plaît, si cela ne le rend pas difficile, indiquez pour quelle raison? Nous serons très reconnaissants pour la réponse détaillée. Merci de nous avoir aidé devenez mieux!

Internet-marshrutizeur, serveur d'accès, pare-feu. Le plus populaire est Source nat. (SNAT), l'essence du mécanisme est de remplacer l'adresse source (source) lors du passage de l'emballage dans une direction et du remplacement de l'adresse de destination (destination) dans le package de réponse. Avec les adresses source / destination, les numéros de port source et de destination peuvent également être remplacés.

En plus de Snat, c'est-à-dire Fournir aux utilisateurs de réseau locaux avec des adresses d'accès internes à Internet, souvent appliquées Destination Nat.Lorsque les appels de l'extérieur sont diffusés par le pare-feu sur le serveur sur le réseau local, qui a une adresse interne et donc inaccessible directement du réseau externe (sans NAT).

Les chiffres ci-dessous montre un exemple du mécanisme NAT.

Figure. 7.1.

Utilisateur réseau d'entreprise Envoie une demande à Internet, qui entre dans l'interface interne du routeur, le serveur d'accès ou le pare-feu (périphérique NAT).

Le périphérique NAT reçoit un package et enregistre les connexions dans la table de suivi qui contrôle la conversion d'adresse.

Remplace ensuite l'adresse de la source de package sa propre adresse IP externe disponible au public et envoie un paquet à la destination à Internet.

Le nœud de destination reçoit un package et transmet la réponse au périphérique NAT.

Le périphérique NAT, à son tour, ayant reçu ce package, découvre l'expéditeur du package source dans la table de suivi composé, remplace adresse IP affectations à l'adresse IP privée appropriée et transmet un package à ordinateur source . Puisque le périphérique NAT envoie des paquets au nom de tous intérieur des ordinateursIl change la source port de réseau et cette information Stocké dans la table de suivi composé.

Il y a 3 concepts de diffusion d'adresse de base:

• statique (SAT, Traduction de l'adresse du réseau statique),
• dynamique (DAT, Traduction de l'adresse dynamique),
• masquerade (NAPT, surcharge NAT, PAT).

Nat statique. Affiche les adresses IP locales à des adresses publiques spécifiques sur la base d'une à une. Il est utilisé lorsque l'hôte local doit être disponible à partir de l'extérieur en utilisant des adresses fixes.

Nat dynamique. Affiche un ensemble d'adresses privées à certaines adresses IP publiques multiples. Si le nombre d'hôtes locaux ne dépasse pas le nombre d'adresses publiques disponibles, chaque adresse locale sera garantie de la conformité avec l'adresse publique. Sinon, le nombre d'hôtes pouvant accéder simultanément aux réseaux externes sera limité par le nombre d'adresses publiques.

Masque Nat. (NAPT, surcharge NAT, PAT, Maskarading) - une forme de NAT dynamique, qui affiche plusieurs adresses privées à une seule adresse IP publique utilisant des ports différents. Connu aussi bien que PAT (Traduction de l'adresse de port).

Les mécanismes d'interaction du réseau local interne avec un réseau public externe peuvent être quelque peu dépend de la tâche spécifique permettant d'accéder au réseau externe et à la rédaction de certaines règles. 4 types d'adresse réseau diffusés sont définis:

• Cône complet (cône complet)
• Cône restreint (cône limité)
• Cône de port restreint (port de cône limité)
• Symétrique (symétrique)

Dans les trois premiers types de NAT d'interagir différentes adresses IP d'un réseau externe avec des adresses d'un réseau local, le même port externe est utilisé. Le quatrième type est symétrique - pour chaque adresse et port utilise un port externe distinct.

Connerie, le port externe de l'appareil (routeur, serveur d'accès, pare-feu) est ouvert à provenance de toutes les adresses. Si l'utilisateur de l'Internet doit envoyer le package au client situé derrière l'OHM NAT ', il n'a pas besoin de connaître uniquement le port externe de l'appareil par lequel la connexion est établie. Par exemple, un ordinateur de l'OHM NAT 'avec une adresse IP 192.168.0.4 envoie et reçoit des paquets via le port 8000, qui sont affichés sur une adresse IP externe et un port, comme 10.1.1.12345. Les emballages du réseau externe sont livrés à l'appareil avec une adresse IP: Port 10.1.1.1:12345, puis accédez à l'ordinateur client 192.168.0.4:8000.

Dans les forfaits entrants, seul le protocole de transport est vérifié; L'adresse et le port de destination, l'adresse et le port de la source n'ont pas.

Lorsque vous utilisez NAT, en cours d'exécution par type Cône restreintLe port externe de l'appareil (routeur, serveur d'accès, pare-feu) est ouvert à tout package envoyé à partir de l'ordinateur client, dans notre exemple: 192.168.0.4:8000. Un package provenant du réseau externe (par exemple, de l'ordinateur 172.16.0.5:4000) à l'appareil avec l'adresse: le port 10.1.1.1:12345, sera envoyé à l'ordinateur 192.168.0.4:8000 uniquement si 192.168.0.4 : 8000 Pré-envoyé une demande à l'adresse IP d'un hôte externe (dans notre cas - sur un ordinateur 172.16.0.5:4000). C'est-à-dire que le routeur diffusera des paquets entrants d'une adresse source spécifique (dans notre cas, un ordinateur 172.16.0.5:4000), mais le numéro du port source peut être n'importe qui. Sinon, Blocks NAT bloque les paquets provenant d'hôtes, qui 192.168.0.4:8000 n'ont pas envoyé de demande.

Mécanisme NAT Cône de port restreint Presque similaire au mécanisme des cônes restreints NAT. Ce n'est que dans ce cas, NAT bloque tous les packages provenant des hôtes auxquels l'ordinateur client 192.168.0.4:8000 n'a pas envoyé de demande d'adresse IP et de port. Le montage attire l'attention sur la conformité du numéro de port source et ne fait pas attention à l'adresse source. Dans notre exemple, le routeur diffusera des paquets entrants avec n'importe quelle adresse source, mais le port source doit être de 4 000. Si le client a envoyé des demandes au réseau externe à plusieurs adresses IP et ports, ils pourront envoyer des paquets au client à L'adresse IP: Port 10.1 .1.1: 12345.

NAT symétrique. Il diffère de manière significative des trois premiers mécanismes par la méthode d'affichage d'une adresse IP interne: port à l'adresse externe: port. Cet affichage dépend de l'adresse IP: le port de l'ordinateur auquel la demande envoyée est destinée. Par exemple, si l'ordinateur client 192.168.0.4:8000 envoie une demande à l'ordinateur n ° 1 (172.16.0.5:4000), il peut alors être affiché comme 10.1.1.12345, en même temps s'il envoie du même port (192.168. 0,4: 8000) sur une autre adresse IP, il est affiché différemment (10.1.1.1:12346).

Vous permet de prévenir ou de limiter l'appel de l'extérieur à l'hôte interne, laissant la possibilité de circulation du réseau interne en externe. Lors de l'initiative d'une connexion de l'intérieur du réseau, une émission est créée. Les packages de réponse entrant dans l'extérieur correspondent à la traduction créée et sont donc ignorés. Si pour les emballages provenant du réseau externe, il n'y a pas de diffusion correspondante (et elle peut être créée lors de l'initiation d'une connexion ou d'une statique), elles ne sont pas ignorées.

Vous permet de masquer certains services internes d'hôtes / serveurs internes. En fait, la même transmission du port de courant est effectuée, mais il est possible de remplacer le port interne du service officiellement enregistré (par exemple, le 80ème. port TCP. (Serveur http) sur le 54055ème externe). Ainsi, à l'extérieur, sur une adresse IP externe, après la diffusion des adresses sur le site (ou du forum), il sera possible d'obtenir à l'adresse http://dlink.ru:4055, mais sur le serveur domestique derrière NAT, cela fonctionnera sur Le 80ème port habituel.

Cependant, il convient de mentionner les inconvénients de cette technologie:

1. Tous les protocoles ne peuvent pas "surmonter" NAT. Certains ne sont pas en mesure de travailler si l'adresse est diffusée sur le chemin entre les hôtes interagissants. Équipe Écrans de pare-feuEn diffusant des adresses IP peut corriger cet inconvénient, remplacer les adresses IP en conséquence non seulement dans les en-têtes IP, mais également à des niveaux plus élevés (par exemple, dans les commandes de protocole FTP).
2. En raison de la diffusion des adresses, «Beaucoup d'en une» apparaissent des difficultés supplémentaires avec l'identification de l'utilisateur et la nécessité de stocker des journaux de diffusion complètes.
3. DO Attack sur le côté du nœud exerçant NAT - Si NAT est utilisé pour connecter de nombreux utilisateurs au même service, cela peut entraîner l'illusion d'attaque DOS sur le service (beaucoup de tentatives réussies et infructueuses). Par exemple, des quantités excessives utilisateurs ICQ NAT conduit à un problème de connexion de certains utilisateurs connectés au serveur en raison de la vitesse de connexion admissible.

NAT (Traduction de l'adresse réseau) - Adresses de réseau de diffusion technologique. La technologie NAT a permis de résoudre le problème le plus élevé du protocole IPv4: au milieu des années 90, l'espace des adresses IPv4 pourrait être complètement épuisé. Si la technologie NAT n'a pas été inventée, la croissance de l'Internet ralentit considérablement. Bien sûr, aujourd'hui créé une nouvelle version Protocole IP-IPv6. Cette version prend en charge une énorme quantité d'adresses IP que l'existence de NAT n'a pas de sens. Cependant, toujours assez de nombreuses organisations utilisent le protocole IPv4 dans leur travail et la transition complète vers IPv6 ne sera pas détenue bientôt. Par conséquent, il est logique d'apprendre la technologie NAT.

La diffusion d'adresses réseau NAT permet à l'hôte qui n'a pas de "IP WHITE", communiquant avec d'autres hôtes via Internet. L'adresse IP WHIe est une adresse IP globale enregistrée, unique et unique sur Internet. Il existe également des "adresses IP grises", qui sont utilisées sur un réseau privé et ne sont pas routiers sur Internet. Par conséquent, la technologie NAT est nécessaire, qui remplacera l'adresse IP grise sur blanc. La gamme des "adresses IP grises" est présentée dans la table.

La diffusion NAT remplace les adresses IP privées avec des adresses IP ouvertes enregistrées dans chaque package de protocole IP.

En diffusant NAT, le routeur modifie l'adresse IP de l'expéditeur au moment où le colis quitte le réseau privé. Le routeur modifie également l'adresse du destinataire de chaque paquet, qui retourne au réseau privé. Logiciel Cisco IOS soutient plusieurs variantes de la diffusion de NAT:

1. Diffusion statique NAT - Une IP publique correspond à chaque adresse IP privée. Lorsque vous utilisez une émission statique, le routeur NAT établit simplement un match mutuellement sans ambiguïté entre une adresse IP privée et enregistrée, au nom de laquelle elle agit.
2. Dynamic Broadcast NAT - Conversion des adresses IP internes en externe se produit de manière dynamique. Un bassin d'adresses IP publiques possibles est créée et à partir de ce pool sont sélectionnées dynamiquement des adresses IP sélectionnées pour la conversion.
3. Traduction des adresses PAT Port - vous permet d'éviter de prendre en charge de nombreux clients en utilisant uniquement plusieurs adresses IP ouvertes. PAT diffuse l'adresse réseau en fonction du port TCP / UDP du destinataire.

Considérez plus en détail chacun des types de diffusion.

Diffusion statique NAT. Donne une conformité exacte entre l'adresse IP privée et publique. Considérer sur l'exemple.

Le fournisseur ISP ISP attribue un numéro de réseau enregistré 200.1.1.0. En conséquence, le routeur NAT doit faire que cette adresse particulière se ressemble de manière à ce que c'était situé sur le réseau 200.1.1.0. Pour ce faire, le routeur modifie l'adresse IP de l'expéditeur dans les packages, qui sur la figure sont envoyées de gauche à droite. DANS cet exemple Le routeur modifie l'adresse IP privée 10.1.1.1 à la version ouverte 200.1.1.1. Une autre adresse privée 10.1.1.2 correspond au public 200.1.1.2. Ensuite, envisagez de définir le NAT statique à Cisco.

Configuration de la diffusion de NAT statique sur l'équipement Ciscopar rapport à ses autres options, il faut les moindres actions. Il est nécessaire d'établir une correspondance entre les adresses IP locales (privées) et globales (ouvertes). De plus, vous devez spécifier le routeur sur lequel des interfaces doivent être utilisées par la diffusion NAT, car elle ne peut pas être activée sur toutes les interfaces. En particulier, le routeur doit spécifier chaque interface et s'il est interne ou externe.

Le schéma montre que l'utilisateur reçu de l'adresse du fournisseur 100.0.0.0 Classe de réseau C. Tout ce réseau avec un masque 255.255.255.0 est configuré sur le canal série entre l'utilisateur et Internet. Comme il s'agit d'un canal à deux points, seules 2 de 254 adresses IP valides (possibles) sont utilisées dans ce réseau.

Configuration pour le routeur NAT_GW:

NAT_GW\u003e Activer NAT_GW # Configurer le terminal - Description de l'interface - Spécifiez la passerelle par défaut - Description de l'interface - spécifier IP et masqueNAT_GW (config-si) #no arrêt - Allumez l'interface physiquement NAT_GW (config-si) #exit NAT_GW (config) #IP NAT Source Source STATIQUE 192.168.1.2 100.0.0.1 NAT_GW (config) #IP NAT Source Source Statique 192.168.1.3 100.0.0.2 - Cartographie statique des adresses NAT_GW (config) #IP NAT Inside Source Statique 192.168.1.4 100.0.0.3 - Cartographie statique des adresses

Les conformations statiques sont créées à l'aide de la commande iP NAT Inside Source Statique. Mot-clé À l'intérieurcela signifie que les adresses de diffusion NAT pour les hôtes situées à l'intérieur du réseau. Mot-clé la source. Cela signifie que NAT diffuse des adresses IP dans des paquets entrant dans ses interfaces internes. Mot-clé statique. Cela signifie que ces paramètres définissent un enregistrement statique qui ne sera jamais supprimé de la table NAT en raison de l'expiration de la période. Lors de la création d'enregistrements de diffusion statiques, le routeur NAT doit savoir quelles interfaces sont internes (à l'intérieur) et qui externe (à l'extérieur). Interface SubcomStanues IP NAT à l'intérieur et iP Nat à l'extérieur Une identification de manière appropriée chaque interface.

Regarder une information important À propos de NAT Il y a deux équipes afficher les traductions NAT IP, affichez les statistiques IP NAT.

La première commande affiche trois émissions statiques du NAT créé dans la configuration. La deuxième équipe affiche des informations statistiques, telles que le nombre d'actifs dans ce moment Enregistrements dans la table de diffusion. Cette statistique inclut également le nombre de re-frappants (HIT), qui augmente par une avec chaque paquet pour lequel NAT devrait diffuser des adresses.

Voyons plus loin à K. diffusion dynamique d'adresses réseau NAT.La diffusion dynamique crée un pool d'adresses internes globales possibles et détermine le critère de conformité pour déterminer quelles adresses IP globales internes doivent être diffusées à l'aide de NAT. Par exemple, un pool de cinq adresses IP globales a été installé dans le schéma ci-dessous de la gamme de 200,1.1.1 - 200.1.5. La diffusion de NAT est également configurée pour convertir toutes les adresses locales internes commençant par OCETOV 10.1.1.

Pour Configuration de l'émission dynamique NAT sur l'équipement Cisco Il est toujours nécessaire d'identifier chaque interface interne et externe, mais il n'est plus nécessaire de définir la conformité statique. Pour spécifier des adresses IP privées à diffuser, la traduction dynamique de NAT utilise les listes de contrôle d'accès (j'ai écrit précédemment à leur sujet) et détermine le pool d'adresses IP ouvertes enregistrées pour se démarquer. Ainsi, l'algorithme de réglage de la diffusion dynamique:

1. Configurez les interfaces qui seront dans le sous-réseau interne à l'aide de la commande iP NAT à l'intérieur.
2. Configurez les interfaces qui seront dans le sous-réseau externe à l'aide de la commande iP Nat à l'extérieur.
3. Configurer la liste ACL qui s'applique aux packages entrant des interfaces internes pour lesquelles la traduction de NAT doit être appliquée.
4. Configurez le pool d'adresses IP ouvertes enregistrées à l'aide de la commande globale de mode de configuration Nom de la piscine NAT IP La première adresse du sous-réseau Masque Netmask.
5. Activer la diffusion dynamique NAT en spécifiant une commande de configuration globale iP NAT Inside Source List Numéro-ACL Pool Pool Nom de la piscine

Le schéma sera utilisé comme le même que la dernière fois. Nouvelle configuration Pour le routeur NAT_GW:

NAT_GW\u003e Activer - Aller au mode avancéNAT_GW # Configurer le terminal - Aller au mode de configurationNAT_GW (config) #interface FA0 / 0 - Configuration de l'interface vers le réseau privéNAT_GW (CONFIG-IF) #Description LAN - Description de l'interfaceNAT_GW (config-si) #IP Adresse 192.168.1.1 255.255.255.0 - Spécifiez la passerelle par défautNAT_GW (config-si) #no arrêt - Allumez l'interface physiquementNAT_GW (config-if) #ip NAT Inside - Configurez l'interface comme interneNAT_GW (config-if) #exit nat_gw (config) #interface FA0 / 1 - Paramètres d'interface vers le fournisseurNAT_GW (config-if) #Description isp - Description de l'interfaceNAT_GW (config-if) #IP Adresse 100.0.0.253 255.255.255.0 - spécifier IP et masqueNAT_GW (config-si) #no arrêt - Allumez l'interface physiquementNAT_GW (config-if) #ip nat dehors - Configurez l'interface en tant que externeNAT_GW (config-if) #exit NAT_GW (config) #IP NAT Pool Testpool 100.0.0.1 100.0.0.0.252 Netmask 255.255.255.0 - Créer une piscine dynamiqueNAT_GW (config) # Permis d'accès à la liste 1 192.168.1.1 0.0.0.255 - Créez une liste d'accès 1 dans laquelle vous vous permettez de diffuser des adresses IP à partir du sous-réseau 192.168.1.1/24NAT_GW (config) #ip NAT Inside Source List 1 Pool TestPool - Allumez la diffusion dynamiqueNAT_GW (config) #IP route 0.0.0.0 0.0.0.0 100.0.0.0.0.0.0.254 - route statique vers le fournisseur

Le type de transmission suivant est la diffusion des adresses PAT Port (Traduction de l'adresse de port). Je vais raconter ce genre de NAT dans le prochain article lorsque nous connectons le sous-réseau local à Internet. Le thème est assez grand et important. Pat est la vue la plus populaire de Nat'a.

Soutenir le projet

Amis, NetCloud Site Web se développe chaque jour grâce à votre soutien. Nous prévoyons de lancer de nouveaux rubriques d'articles ainsi que des services utiles.

Vous avez la possibilité de soutenir le projet et de faire n'importe quel montant que vous jugez nécessaire.