Nat. (Traducere a adreselor de rețea - Traducere a adreselor de rețea) este un standard IETF (Grupul de lucru pentru ingineria Internet - Grupul de lucru pentru dezvoltarea tehnologiei Internet), cu care mai multe computere de rețea privată (cu adrese private de la astfel de intervale de 10.0.xx, 192.168.xx, 172 .xxx) poate partaja cu o adresă IPv4 care oferă rețeaua globală. Principalul motiv pentru popularitatea în creștere a NAT este asociat cu un deficit din ce în ce mai mare al adreselor IPv4. De asemenea, multe gateway-uri de internet utilizează în mod activ NAT, în special pentru conectarea la rețelele de bandă largă, de exemplu, prin modemuri DSL sau prin cablu.

Instalarea NAT.

Pentru a acționa ca un router, trebuie să existe o interfață de rețea pe server. Internetul și rețeaua în sine, pe care doriți să o lăsați pe Internet. Am conexiuni de rețea numite LAN_1 (Internet) și LAN_2 (rețea locală).

Îți spun că serviciul Windows Firewall / Partajare Internet (ICS) Trebuie dezactivat.

Deci, procedați la instalare:

Înființarea NAT.

Deci, am instalat interfețe de rețea, acum le vom configura.

În primul rând, să configuram Interfață externă (LAN_1):

192.168.0.2 - adresa IP a utilizatorului care va merge online prin serverul nostru

10.7.40.154 - Adresa IP externă

Mergând la Internet prin tehnologia, veți avea o adresă IP 10.7.40.154. Există diferite modalități de configurare, puteți crea copii de rezervă pentru fiecare mașină. În rezervare, puteți specifica nici o gamă de adrese sau nu pentru a specifica deloc, apoi orice IP de pe rețeaua locală poate sta pe Internet prin intermediul serverului.

Configurați o mașină client

Du-te la B. Proprietăți Cardul local de rețea, atunci Proprietăți TCP / IP. Prescriem clientul IP, o masca, in Gateway-ul principal (gateway implicit) Prescriem adresa IP a serverului. În câmpurile DNS, trebuie să înregistrați adresele IP ale furnizorului DNS sau adresa IP a serverului DNS local instalat.

Tot! Această instalare și configurație sunt complete.

Mulți utilizatori care au un router cred că este necesar doar să se conecteze la internet numai ei înșiși. De fapt, aceasta efectuează, de asemenea, funcția de conectare la serverul altor utilizatori. În acest articol vă vom spune ce este NAT în router, pentru care este necesar și cum să îl configurați.

Nat în router - Ce este?

Adresa de rețea Traducerea de la limba engleză este tradusă ca "traducere de adrese de rețea" - acesta este procesul de transfer de adrese interne la adresele externe. Dacă această funcție nu este configurată, routerul va bloca accesul la orice porturi către toate conexiunile primite de la internetul global, cu aceiași parametri, vor fi permise.

Setare

Pentru a configura independent NAT în router, trebuie să efectuați următoarele serii de acțiuni:

• Rulați orice browser de pe computer și în bara de căutare pentru a introduce adresa acestui dispozitiv 192.168.1.1 sau 192.168.0.1.
• Apoi introduceți numele de utilizator și adresa de parolă / admin. După aceea, puteți înlocui această autentificare și parolă cu propria dvs.
• În fereastra Selectare setări care se deschide, rețeaua este rutată (rute) și faceți clic pe o nouă regulă care vă permite să setați condițiile de rutare în orice mod. Se întâmplă în cinci moduri: prin numele DNS, prin portul, prin intermediul unei emisiuni pe un anumit utilizator, prin intermediul interfeței de rețea sau prin înlocuirea adresei la adresa sursei.
• Apoi, trebuie să setați condițiile de trafic, una dintre cele patru opțiuni propuse (auto, gateway, trunchi, interfață) și faceți clic pe "Next" și "Închidere".

După efectuarea acestei serii de acțiuni, routerul este gata de funcționare.

Există cazuri când trebuie să configurați NAT și pe computer. Pentru a face acest lucru, prin "Start" ar trebui să meargă la "Panoul de control" și să ruleze "Conexiuni de rețea". Selectați un nou dispozitiv de rețea și faceți clic pe butonul din dreapta al mouse-ului, în "Proprietăți" selectați "Avansat". Și instalați căpușele opuse "Permiteți utilizatorilor de rețea Dr. să utilizeze această conexiune" și faceți clic pe OK.

Setarea buclei din spate

Semnificația buclei inverse Nat Loopback este că, dacă ambalajul scade din rețeaua internă la adresa IP externă a routerului, este considerată a fi din exterior - și, prin urmare, normele firewall lucrează în legătură cu compușii externi. Dacă pachetul trece cu succes prin firewall, NAT este declanșat, care devine intermediar între două computere situate în aceeași rețea.

Atenţie! Fără funcția Nat Loopback, ar fi imposibil să înveți despre setările serviciului de rețea sau să accesați serverul. Pentru fiecare domeniu ar fi necesar să configurați manual fișierul gazdelor.

Tipuri NAT.

Există mai multe tipuri de traduceri de adrese de rețea. Ia în considerare fiecare dintre ele în detaliu:

Important! Adesea, porturile trebuie să fie configurate manual.

Cum se schimbă tipul

Pentru a schimba tipul de NAT de la unul la altul, trebuie să mergeți la routerul introducând browser-ul în linia de căutare a combinației browserului 192.168.1.1 sau 192.168.0.1. Și introduceți numele de utilizator și parola. Apoi, consultați adresa IP și setările de rețea ale dispozitivului dvs. După aceea, trebuie să contactați furnizorul de conexiuni la Internet pentru a vă reconfigura routerul la tipul de care aveți nevoie. Pentru a face acest lucru, va trebui să comunice toate datele.

Despre principiile protocolului NAT (traducere de adrese de rețea) Și acum este timpul să luăm în considerare setarea acestuia pe echipament Cisco..

Static NAT setup (static NAT)

Reamintește acel static Nat. Este o comparație a adresei interne și externe una la una. Acesta permite dispozitivelor externe să inițieze conexiuni la utilizarea internă utilizând adresa comună atribuită static.

De exemplu, un server web intern poate fi comparat cu o adresă globală internă specifică, astfel încât să fie disponibilă din rețelele externe.

Diagrama prezintă o rețea internă care conține un server web cu o adresă privată IPv4. Routerul este configurat cu NAT static pentru a permite dispozitivelor din rețeaua externă să acceseze serverul Web. Clientul din rețeaua externă se referă la un server web utilizând o adresă IPv4 disponibilă public. Static NAT traduce adresa IPv4 disponibilă publică în privat.

La configurarea emisiunilor statice NAT, se efectuează două sarcini principale:

1. Crearea unei comparații între localul intern ( În interiorul local) Adresa și internă globală ( În interiorul global.) Adrese. De exemplu, adresa locală internă 192.168.1.5 și adresa globală internă 208.165.100.5 din diagramă sunt configurate ca difuzare statică NAT.
2. După configurarea cartografiei, interfețele care participă la difuzare trebuie să fie configurate ca interne ( interior) și în aer liber ( in afara) În ceea ce privește NAT. Diagrama interfeței routerului serial 0/0/0 este internă și serial 0/1/0 - extern.

Pachetele care intră în interfața internă a serialului 0/0/0/0/0/0/03 de la adresa locală internă configurată IPv4 (192.168.1.5) sunt difuzate și apoi redirecționate către o rețea externă. Pachetele care intră în interfața externă serială 0/1/0 adresată adresei globale IPv4 interne (208.165.100.5)) sunt transferate la adresa locală internă (192.168.1.5) și apoi redirecționată în interiorul rețelei.

Setarea durează câțiva pași:

1. Creați o emisiune statică între adresele globale interne locale și externe. Pentru a face acest lucru, utilizați echipa iP NAT INSIDER SOURCE STATIC [LOCAL _IP GLOBAL_IP]. Pentru a elimina difuzarea trebuie să introduceți o comandă nici un IP NAT INSOURS SOURCE STATIC. Dacă trebuie să facem o difuzare nu adrese la adresa, dar se adresează adresei interfeței, atunci comanda este utilizată iP NAT INSIDE SOURCE STATIC [Local _IP Type_ Interfață Interfață_].
2. Determinați interfața internă. Mai întâi mergeți la modul de configurare a interfeței utilizând comanda interfață [Număr de tip] Și introduceți comanda iP Nat în interiorul
3. În același mod, determinați interfața externă utilizând comanda iP NAT în afara

Router (config) # IP NAT INSOURS SOURCE STATIC 192.168.1.5 208.165.100.5 Router # Interfață serial0 / 0/0 Router #IP NAT în interiorul routerului (config-IF) #Exit Router (Config) Interfață Serial0 / 1/0 Router (config -În cazul în care)

Ca rezultat, emisiunile vor trece astfel:

1. Clientul dorește să deschidă o conexiune cu un server web. Clientul trimite un pachet pe un server web folosind o destinație IPv4 disponibilă publicului 208.165.100.5. Aceasta este adresa internă globală de server web.
2. Primul pachet pe care router-ul primește de la client pe interfața externă a NAT, îl face să verifice tabelul NAT. Adresa destinatarului IPv4 este situată în tabelul NAT, este tradus.
3. Routerul înlocuiește adresa de destinație globală internă 208.165.100.5 locală internă 192.168.1.5 și transmite pachetul pe serverul web.
4. Serverul Web primește un pachet și întâlnește clientul utilizând adresa locală internă a sursei 192.168.1.5.
5. Router-ul primește un pachet de pe un server web la interfața internă NAT cu adresa sursei de adresă locală internă a serverului web, 192.168.1.5. Verifică tabelul NAT pentru a traduce adresa locală internă în globul intern, modifică adresa sursei din 192.168.1.5 la 208.165.100.5 și îl trimite de la interfața serială 0/1/0 la client
6. Clientul primește pachetul și schimbul de pachete continuă. Routerul efectuează pașii anteriori pentru fiecare pachet.

Verificarea statică NAT.

Echipa utilă pentru a verifica munca NAT este o echipă afișați traducerile IP Nat. Această comandă arată emisiunile Active NAT. Traducerile statice, spre deosebire de traducerile dinamice, sunt întotdeauna în tabelul NAT.

Router # Afișează IP NAT Traduceri pro la nivel mondial în interiorul local în afara locale în afara Global --- 208.165.100.5 192.168.1.5 208.165.100.70 208.165.100.70

O altă echipă utilă este echipa afișați statisticile IP NAT. Afișează informații despre numărul total de traduceri active, parametrii de configurare NAT, numărul de adrese în piscină și numărul de adrese care au fost evidențiate.

Router # Afișare IP NAT Statistici Total Traduceri active: 1 (1 static, 0 dinamic; 0 Extended) Traduceri de vârf: 2, a avut loc în urmă 00:00:21 în afara interfețelor: serial0 / 1/0 interfețe interioare: serial0 / 0/0 Hits : 7 Misses: 0

Pentru a vă asigura că difuzarea NAT funcționează, este mai bine să clarificați statisticile din orice traduceri anterioare utilizând comanda. Ștergerea statisticilor IP NAT Înainte de testare.

Configurarea dinamică NAT (Dynamic NAT)

În timp ce NAT static este o comparație constantă între adresa globală internă locală și internă, Dynamic NAT vă permite să comparați automat adresele locale și globale interne (care sunt de obicei adrese IP publice). Dinamic NAT utilizează un grup sau un grup de adrese publice IPv4 pentru traducere. Nat dinamic, cum ar fi staticul NAT, necesită stabilirea interfețelor interne și externe implicate în NAT.

Ia în considerare în exemplul acestei scheme. Suntem aici o rețea internă cu două subrețe 192.168.1.0 / 24 și 192.168.2.0 / 24 și un router limită, pe care este configurat un NAT dinamic cu un grup de adrese publice 208.165.100.5 - 208.165.100.15.

Poole de adrese publice ( În interiorul adresei globale) Disponibil pentru orice dispozitiv din rețeaua internă în conformitate cu principiul "a venit prima dată - primul care a servit". Cu un NAT dinamic, o adresă internă este transformată într-o singură adresă externă. Cu acest tip de traducere, trebuie să existe suficiente adrese în piscină pentru a asigura simultan toate dispozitivele interne care au nevoie de acces la rețeaua externă. Dacă au fost utilizate toate adresele din bazin, dispozitivul trebuie să aștepte o adresă accesibilă înainte de a putea accesa rețeaua externă.

Luați în considerare tinctura prin pași:

1. Determinați piscina care va fi utilizată pentru a traduce folosind comanda piscina IP Nat [Nume Primar_IP End_IP]. Acest bazin de adrese reprezintă de obicei un grup de adrese publice publice. Adresele sunt determinate prin indicarea adresei IP inițiale și a adresei IP a bazinei. Cuvinte cheie netmask. sau prefix-lungime. Punct masca.
2. Trebuie să configurați standardul lista de acces (ACL)Pentru a determina numai adresele care vor fi difuzate. Introducem comanda. Despre listele de acces standard pot fi găsite în acest (și despre Extended B). ACL care permite o mulțime de adrese pot duce la rezultate imprevizibile, deci există o echipă la capătul foii negați toate.
3. Trebuie să legați ACL la piscină, iar pentru această comandă este utilizată. iP NAT INSIDE Lista sursă [număr_acl] Număr Pool [Title_name]. Această configurație este utilizată de router pentru a determina ce dispozitive (listă) primesc adrese (piscină).
4. Determinați care interfețe sunt în interior, în ceea ce privește NAT, adică orice interfață care este conectată la rețeaua internă.
5. Determinați care interfețe sunt în afara, în ceea ce privește NAT, adică orice interfață care este conectată la rețeaua externă.

Router (Config) # IP NAT Pool PoolnetWorksPool 208.165.100.5 208.165.100.15 Netmask 255.25.255.0 Router # Listă de acces 1 Permis 192.168.0.0 0.0.255.255 Router #Ip NAT În interiorul listei sursă 1 Piscină MerionnetWorksPool Router (config) # Interfață serial0 / 0/0 Router #IP NAT în interiorul routerului (config-IF) #EXIT Router # Interfață Serial0 / 1/0 Router (config-IF) #Ip Nat în afara

Cum va funcționa în schema noastră:

1. Calculatoare cu adrese 192.168.1.10 și 192.168.2.10 Trimite pachete către server la adresa publicului 208.165.100.70
2. Routerul are primul pachet din gazda 192.168.1.10. Deoarece acest pachet a fost obținut pe interfața configurată ca o interfață NAT internă, routerul verifică configurația NAT pentru a determina dacă acest pachet trebuie tradus. ACL permite acest pachet, iar routerul verifică tabelul NAT. Deoarece nu există înregistrare de difuzare pentru această adresă IP, routerul determină că adresa inițială 192.168.1.10 trebuie tradus dinamic. R2 selectează adresa globală disponibilă din grupul de adrese dinamice și creează o înregistrare de traducere, 208.165.200.5. Sursa sursă IPv4 Adresa (192.168.1.10) este o adresă locală internă, iar adresa tradusă este o adresă globală internă (208.165.200.5) în tabelul NAT. Pentru a doua gazdă 192.168.10, routerul repetă această procedură prin alegerea următoarei adrese globale disponibile din grupul de adrese dinamice, creează o secundă înregistrare de traducere - 208.165.200.6.
3. După înlocuirea adresei locale interne a sursei din pachete, routerul redirecționează pachetul.
4. Serverul primește un pachet de la primul PC și răspunde utilizând adresa destinației 208.165.200.5. Când serverul primește un pachet de la al doilea PC, atunci 208.165.200.6 va sta în adresa de destinație.
5. Când routerul primește cu adresa destinației 208.165.200.5, acesta caută tabelul NAT și traduce adresa de destinație la adresa locală internă 192.168.10 și direcționează către PC. Același lucru se întâmplă cu un pachet îndreptat spre al doilea PC.
6. Ambele PC-uri primesc pachete, iar schimbul de pachete continuă. Pentru fiecare pachet următor, sunt efectuate pașii anteriori.

Verificați NAT dinamică.

O comandă este de asemenea folosită pentru a verifica afișați IP Nat. Afișează toate traducerile statice care au fost configurate și orice traduceri dinamice care au fost create de trafic. Adăugând un cuvânt cheie verbose. Afișează informații suplimentare despre fiecare traducere, inclusiv cât de mult timp a fost creat și utilizat. În mod implicit, datele privind traducerile expiră după 24 de ore dacă cronometrele nu au fost reconfigurate utilizând comanda iP NAT Traducere Timeout [time_b_secanda] În modul Global Configurare.

Pentru a elimina înregistrările dinamice Înainte de expirarea timpului de așteptare, puteți utiliza comanda traducere Clear IP Nat. Utile pentru a curăța intrările dinamice la testarea configurației NAT. Această comandă poate fi utilizată cu cuvinte cheie și variabile pentru a controla înregistrările care sunt curățate. Înregistrările specifice pot fi curățate astfel încât să nu întrerupă sesiunile active. Numai traducerile dinamice sunt eliminate din tabel. Traducerile statice nu pot fi eliminate din tabel.

De asemenea, puteți utiliza comanda afișați statisticile IP NAT care afișează informații despre numărul total de traduceri active, parametrii de configurare NAT, numărul de adrese în bazin și numărul de adrese traduse.

Deoarece comenzile noastre de acces ACL sunt folosite aici, puteți utiliza comanda pentru a le verifica. afișați listele de acces.

Configurarea adresei portului (PAT)

Pat (de asemenea, numit NAT Suprasarcină) Salvează adrese în grupul intern de adrese globale, permițând routerului să utilizeze o adresă globală internă pentru multe adrese locale interne. Cu alte cuvinte, o adresă deschisă IPv4 poate fi utilizată pentru sute și chiar mii de adrese interne de IPv4 private. Când mai multe adrese locale interne sunt comparate cu o adresă globală internă, numerele de porturi TCP. sau UDP. Fiecare nod interior distinge adresele locale.

Numărul total de adrese interne care pot fi traduse într-o singură adresă externă, teoretic poate fi de 65.536 pe adresă IP. Cu toate acestea, în practică numărul de adrese interne pe care o adresă IP poate fi atribuită este de aproximativ 4.000.

Există două modalități de configurare a PAT, în funcție de modul în care furnizorul alocă adresele publice IPv4. În primul caz, furnizorul de Internet alocă mai mult de o adresă publică IPv4 a organizației și, în cealaltă, alocă o adresă IPv4 disponibilă public, care este necesară pentru ca o organizație să se conecteze la un furnizor de Internet.

PAT Setup pentru adresele publice publice PUB

Dacă este disponibilă mai mult de o adresă publică IPv4, atunci aceste adrese pot face parte dintr-o piscină care este utilizată de PAT. Arată ca un NAT dinamic, cu excepția faptului că, în acest caz, nu există suficiente adrese comune pentru compararea reciprocă a adreselor interne. O mică piscină de adrese este distribuită între un număr mare de dispozitive.

Diferența principală dintre această configurație și configurația pentru NAT dinamică este aceea că este utilizat cuvântul cheie. supraîncărcarecare include pat.

Luați în considerare tinctura PAT pentru grupul de adrese în pași:

1. Definiți un grup de adrese de adrese globale care vor fi utilizate pentru Broadcast Pat folosind comanda iP Nat Pool [Nume Primar_IP End_IP] Netmask [Mask] | Prefix-lungime [Preefix Lungime].
2. Creați o listă standard de acces care permite traducerea adreselor. Comanda utilizată lista de acces [număr_acl] Sursa permisului.
3. Include pat folosind un cuvânt magic Supraîncărcare. Introducem comanda iP NAT INSIDE Lista sursă [număr_acl] Număr Pool [Titlu] Suprasolicitare.
4. Definim care interfețe sunt înăuntru, în ceea ce privește NAT și care afară. Folosim echipa iP Nat în interiorul și iP NAT în afara

Un exemplu de configurație pentru schemă, care a fost utilizat mai devreme, numai acum vom folosi PAT:

Router (config) # IP NAT Pool PoolnetWorksPool2 208.165.100.5 208.165.100.15 Netmask 255.25.255.0 Router (config) # Lista de acces 1 Permis 192.168.0.0 0.0.255.255 Router (config) #Ip NAT În interiorul listei sursă 1 Piscină MerionnetWorksPool2 Router de supraîncărcare (Config) # interfață serial0 / 0/0 router #IP NAT în interiorul router (config-if) #exit router (config) # interfață serial0 / 1/0 router (config-if) # #Ip nat în afara

PAT SETUP pentru o adresă publică IPv4

Diagrama prezintă topologia PAT de implementare pentru a difuza una dintre adresele publice. În acest exemplu, toate gazdele din rețeaua 192.168.0.0/16 (ACL corespunzătoare) care trimit traficul prin router vor fi traduse la adresa IPv4 208.165.99.225 (adresa IPv4 a interfeței S0 / 1/0). Traficul va fi identificat prin numere de porturi din tabelul NAT.

Înființat:

1. Creați o foaie de listă de acces, permițând difuzarea adreselor - lista de acces [număr_acl] Sursa permisului.
2. Configurați conversia adresei sursei la adresa de interfață, prin comandă iP NAT INSIDE Lista sursă [Număr_Acl] Interfață [Număr de tip] Suprasolicitare
3. Determinați interfețele externe și interne prin comenzi iP Nat în interiorul și iP NAT în afara.

Configurația este similară cu un Nat dinamic, cu excepția faptului că, în loc de piscina de adrese, folosim adresa de interfață cu o adresă IP supraîncărcată. Piscina NAT nu este determinată.

Exemplu: Router (config) # Lista de acces 1 Permis 192.168.0.0 0.0.255.255 Router (config) # Listă sursă IP NAT 1 interfață serial0 / 1 / router de supraîncărcare # interfață serial0 / 0/0 router (config dacă) #Ip Nat În interiorul routerului (config-IF) #EXIT Router (config) # interfață serial0 / 1/0 router (config-if) #Ip nat în afara

Procesul PAT nu se va schimba atunci când se utilizează o singură adresă sau o piscină de adrese.

Luați în considerare procesul PAT în pași:

1. În diagramă, două PC-uri diferite se leagă la două servere web diferite. Primul PC are adresa sursei 192.168.1.10 și utilizează portul TCP 1444, iar al doilea PC are adresa sursei 192.168.10 și coincidența utilizează același port TCP 1444
2. Pachetul de la primul PC atinge mai întâi routerul și utilizând PAT, modifică adresa IPv4 sursă până în 208.165.99.225 ( În cadrul adresei globale). Tabelul NAT nu are alte dispozitive cu un port 1444, astfel încât PAT utilizează același număr de port și pachetul este trimis în direcția serverului de 208.165.101.20.
3. Apoi, pachetul de la al doilea computer intră în routerul în care PAT este configurat să utilizeze o adresă globală IPv4 pentru toate traducerile - 208.165.99.225. Ca și procesul de traducere pentru primul PC, PAT schimbă adresa de ieșire a celui de-al doilea PC la adresa globală internă 208.165.99.225. Cu toate acestea, al doilea PC are același număr de port sursă ca și înregistrarea actuală a PAT a primului PC, deci PAT crește numărul portului sursei până când devine unic în tabelul său. În acest caz, înregistrarea portului sursă în tabelul NAT și pachetul pentru cel de-al doilea PC primește un port 1445. Deși ambele PC-uri utilizează aceeași adresă globală internă 208.165.99.225 și același număr de port sursă - 1444, numărul portului modificat pentru al doilea PC (1445) face ca fiecare intrare în tabelul NAT unic. Acest lucru va deveni evident atunci când trimiteți pachete de la servere înapoi la clienți.
4. Serverele reacționează la cererile de la computere și să utilizeze portul sursă din pachetul primit ca port de destinație și adresa sursă ca adresă de destinație. Se pare că comunică cu aceeași gazdă la 208.165.99.225, totuși, acest lucru nu este cazul - au porturi diferite.
5. Când pachetele sunt returnate la router, acesta găsește o intrare unică în tabelul său NAT utilizând adresa de destinație și portul de destinație al fiecărui pachet. În cazul unui pachet de la primul server, adresa de destinație 208.165.99.255 are mai multe înregistrări, dar numai una cu un port de destinație 1444. Folosind această intrare în tabelul său, routerul modifică adresa adresei IPv4 a pachetului la 192.168.1.10, fără a schimba portul de destinație. Apoi, pachetul este redirecționat la primul PC
6. Când pachetul de la al doilea server ajunge la router, acesta efectuează o traducere similară. Adresa de destinație IPv4 208.165.99.225 are mai multe intrări, dar utilizând portul de destinație 1445, routerul poate identifica în mod unic înregistrarea de difuzare. Adresa de destinație IPv4 va fi modificată la 192.168.2.10 și, în acest caz, portul de destinație trebuie să fie, de asemenea, schimbat la valoarea inițială 1444, care este stocată în tabelul NAT. După aceasta, pachetul este trimis la al doilea PC

Verificați traducerea adresei portului (PAT)

Pentru a verifica PAT, aceleași comenzi sunt folosite ca și pentru NAT obișnuit. Echipă afișați traducerile IP Nat Afișează traducerile adreselor IP împreună cu porturile și comanda afișați statisticile IP NAT Afișează informații despre numărul și tipul traducerilor active, parametrii de configurare NAT, numărul de adrese în bazin și numărul de adrese dedicate.

Router # Afișare IP NAT Statistici Total Traduceri active active: 2 (0 static, 2 dinamic, 2 extins) Traduceri de vârf: 2, a avut loc 00:00:07 în urmă Interfețe: serial0 / 1/0/0 Hits 4 Misses: 0 CEF tradus Pachete: 4, Pachete cefted: 0 Translatiile expirat: 0 Mappings dinamic: - Lista de acces la sursa interioara 1 Piscina MerionNetworksPool2 Refcount MERIONNETWORKSPOOL2 Piscina 2: 255.255.255.0 Netmask 208.165.100.5 Start End 208.165.100.15 Tip Generic, Adresele totale 10, Alocat 1 (10%), ratează 0 uși totale: 0 Uși Appl: 0 Uși normale: 0 Pachete de așteptare: 0

De asemenea, la căutarea unor probleme poate fi folosit un depanare care rulează comanda debug IP Nat.care afișează informații despre fiecare pachet care este tradus de router. De asemenea, puteți utiliza comanda debug IP NAT detaliatcare generează o descriere a fiecărui pachet. Această comandă oferă, de asemenea, informații despre diferite erori, de exemplu, cum ar fi incapacitatea de a evidenția adresa globală. Cu toate acestea, această comandă este mai solicitantă pe resursele dispozitivului.

Router # Debug IP NAT Nat Debugging este pe router # * Aug 24 16: 20: 331: 670: NAT *: S \u003d 192.168.1.10-\u003e 208.165.99.101.20 * 208.165.101.20 * Aug 24 16: 20: 331: 682: NAT *: S \u003d 208.165.101.20 D \u003d 208.165.99.10 * Aug 24: 20: 331: 698: NAT *: S \u003d 192.168.1.10-\u003e 208.165.99.225 D \u003d 208.165.101.20 * Aug *: S \u003d 192.168.1.10-\u003e 208.165.99.225 D \u003d 208.165.101.20 * Aug 24: 20: 331: 710: NAT *: S \u003d 208.165.101.20 D \u003d 208,165 .99.225 -\u003e 192.168.1.10

Următoarele caractere și valori sunt utilizate în ieșire:

• * (Asterisk) - un asterisc cu NAT indică faptul că traducerea apare pe calea comutată rapidă (traseu rapid). Primul pachet din conversație este întotdeauna mai lent, restul pachetelor trece calea cu o comutare rapidă.
• s \u003d. - Adresa sursă IP
• a.B.C.D? W X Y Z. - Această valoare indică faptul că adresa sursei A.B.C.D este tradusă în W.X.Y.Z.
• d \u003d. - Adresa de destinație IP
• - valoarea în paranteze este numărul de identificare IP.

Utilizați acest articol?

Spune-ne de ce?

Este o păcat că articolul nu a fost util pentru dvs.: (vă rog, dacă nu face dificilă, indicați din ce motiv, vom fi foarte recunoscători pentru răspunsul detaliat. Vă mulțumim că ne-ați ajutat să devenim mai bine!

Internet-marshrutizator, server de acces, firewall. Cel mai popular este Sursă NAT. (SNAT), esența mecanismului care este de a înlocui adresa sursă (sursa) atunci când treceți pachetul într-o singură direcție și înlocuirea adresei de destinație (destinație) în pachetul de răspuns. Împreună cu adresele sursei / destinațiilor, numerele de port și destinație pot fi, de asemenea, înlocuite.

În plus față de Snat, adică Furnizarea de utilizatori locali de rețea cu adrese de acces interne către Internet, adesea aplicate Destinație NAT.Când apelurile din exterior sunt difuzate de firewall-ul către serverul de pe rețeaua locală, care are o adresă internă și, prin urmare, inaccesibil din rețeaua externă (fără NAT).

Cifrele de mai jos prezintă un exemplu al mecanismului NAT.

Smochin. 7.1.

Utilizatorul de rețea corporativă trimite o cerere către Internet care intră în interfața internă a routerului, un server de acces sau un firewall (dispozitiv NAT).

Dispozitivul NAT primește un pachet și înregistrează conexiunile din tabelul de urmărire care controlează conversia adresei.

Apoi înlocuiește adresa sursei pachetului propria adresă IP disponibilă publicului și trimite un pachet la destinație la Internet.

Nodul de destinație primește un pachet și transmite răspunsul la dispozitivul NAT.

Dispozitivul NAT, la rândul său, primind acest pachet, constată expeditorul pachetului sursă în tabelul de urmărire a conexiunii, înlocuiește adresa IP de atribuire la adresa IP privată corespunzătoare și transmite pachetul la computerul sursă. Deoarece dispozitivul NAT trimite pachete în numele tuturor computerelor interne, acesta modifică portul de rețea sursă și aceste informații sunt stocate în tabelul de urmărire a conexiunilor.

Există 3 concepte de difuzare a adresei de bază:

• static (SAT, traducere de adrese de rețea statică),
• dinamic (DAT, traducere de adrese dinamice),
• masquerade (NAPT, supraîncărcare NAT, PAT).

Nat static. Afișează adresele IP locale la adresele publice specifice pe baza unuia cu una. Se utilizează atunci când gazda locală trebuie să fie disponibilă din exterior folosind adrese fixe.

Nat dinamic. Afișează un set de adrese private la unele adrese de IP multiple. Dacă numărul de gazde locale nu depășește numărul de adrese publice disponibile, fiecare adresă locală va fi garantată conformitatea cu adresa publică. În caz contrar, numărul de gazde care pot accesa simultan rețelele externe va fi limitat de numărul de adrese publice.

Masca Nat. (NAPT, NAT Suprasarcină, Pat, Maskarading) - O formă de NAT dinamică, care afișează mai multe adrese private la o singură adresă IP publică utilizând diferite porturi. Cunoscută și PAT (traducere de adrese portuară).

Mecanismele de interacțiune a rețelei locale interne cu o rețea publică externă pot fi oarecum depingă de sarcina specifică de a accesa rețeaua externă și înapoi și scrisă de anumite reguli. 4 tipuri de difuzare a adreselor de rețea sunt definite:

• Conul complet (conul plin)
• Conul restricționat (conuri limitate)
• Conerul restricționat port (port cu conul limitat)
• Simetrică (simetrică)

În primele trei tipuri de NAT pentru a interacționa diferite adrese IP ale unei rețele externe cu adrese dintr-o rețea locală, este utilizat același port extern. Al patrulea tip este simetric - pentru fiecare adresă și port utilizează un port extern separat.

Conul complet, portul extern al dispozitivului (router, server de acces, firewall) este deschis pentru a proveni de la orice adrese. Dacă utilizatorul de pe Internet trebuie să trimită pachetul clientului situat în spatele OHM NAT, atunci trebuie să știe numai portul extern al dispozitivului prin care se stabilește conexiunea. De exemplu, un computer pentru NAT 'OHM cu o adresă IP 192.168.0.4 trimite și primește pachete prin Port 8000, care sunt afișate pe o adresă IP externă și un port, ca 10.1.1.1.12345. Pachetele din rețeaua externă vin la dispozitiv cu o adresă IP: Portul 10.1.1.1:12345 și apoi mergeți la computerul client 192.168.0.4:8000.

În pachetele primite, este verificată numai protocolul de transport; Adresa și portul de destinație, adresa și portul sursei nu au.

Când utilizați NAT, rulează după tip Conul restricționatPortul extern al dispozitivului (router, server de acces, firewall) este deschis pentru orice pachet trimis de la computerul client, în exemplul nostru: 192.168.0.4:8000. Un pachet care a venit din rețeaua externă (de exemplu, de la computerul 172.16.0.5:4000) la dispozitivul cu adresa: Portul 10.1.1.1 :12345, va fi trimis la computer 192.168.0.4:8000 numai dacă 192.168.0.4 : 8000 a trimis o cerere la adresa IP a unei gazde externe (în cazul nostru - pe un computer 172.16.0.5:4000). Adică, routerul va difuza pachetele primite de la o anumită adresă sursă (în cazul nostru, calculatorul 172.16.0.5:4000), dar numărul portului sursă poate fi oricine. În caz contrar, NAT blochează pachete care au venit de la gazde, care 192.168.0.4:8000 nu au trimis o cerere.

Mecanismul NAT. Port restricționat Cone. Aproape similar cu mecanismul conului restricționat NAT. Numai în acest caz, NAT blochează toate pachetele care au venit de la gazde la care computerul client 192.168.0.4:8000 nu a trimis o cerere de adresă IP și port. Mountizorul atrage atenția asupra conformității numărului portului sursă și nu acordă atenție adresei sursei. În exemplul nostru, routerul va difuza pachetele primite cu orice adresă sursă, dar portul sursă trebuie să fie de 4000. Dacă clientul a trimis cereri către rețeaua externă la mai multe adrese și porturi IP, vor putea să trimită pachete clientului Adresa IP: Portul 10.1 .1.1: 12345.

Simetric Nat. Acesta diferă semnificativ de primele trei mecanisme prin metoda de afișare a unei adrese IP interne: portul la adresa externă: portul. Acest afișaj depinde de adresa IP: portul de calculator la care este destinat solicitarea trimisă. De exemplu, dacă computerul client 192.168.0.4:8000 trimite o cerere la computerul nr. 1 (172.16.0.5.5000), atunci poate fi afișat ca 10.1.1.1.112345, în același timp, dacă trimite de la același port (192.168. 0.4: 8000) pe o altă adresă IP, este afișat diferit (10.1.1.1.1.12346).

Vă permite să preveniți sau să limitați apelul de la exterior la gazda internă, lăsând posibilitatea circulației din rețeaua internă în exterior. La inițierea unei conexiuni din cadrul rețelei, se creează o difuzare. Pachetele de răspuns care intră în exterior corespund traducerii create și, prin urmare, sunt omite. Dacă pentru pachetele provenite din rețeaua externă, nu există difuzare corespunzătoare (și poate fi creată la inițierea unei conexiuni sau statice), acestea nu sunt omorizate.

Vă permite să ascundeți anumite servicii interne ale gazdelor interne / serverelor. În esență, aceeași transmisie este efectuată deasupra portului curent pe un port specific, dar este posibilă înlocuirea portului intern al serviciului înregistrat oficial (de exemplu, portul TCP al 80-lea (server HTTP) la 54055th extern). Astfel, în afara, pe o adresă IP externă, după difuzarea adreselor către site (sau forumului), va fi posibilă la adresa http://dlink.ru:4055, dar pe serverul intern din spatele NAT, va lucra la Portul 80 de ani.

Cu toate acestea, trebuie menționat despre dezavantajele acestei tehnologii:

1. Nu toate protocoalele pot "depăși" NAT. Unii nu sunt capabili să lucreze dacă există difuzarea adresei pe calea dintre gazdele interacționale. Firewall-urile rezultate care au difuzat adresele IP pot corecta acest dezavantaj, înlocuind adresele IP în consecință nu numai în antetele IP, ci și la niveluri mai mari (de exemplu, în comenzile protocolului FTP).
2. Datorită emisiunii de adrese, "multe într-una" apar dificultăți suplimentare cu identificarea utilizatorului și necesitatea de a stoca jurnale complete de difuzare.
3. Atacul DOS pe partea laterală a nodului Exercitarea NAT - Dacă NAT este folosit pentru a conecta mulți utilizatori la același serviciu, poate provoca iluzia atacului DOS asupra serviciului (multe încercări de succes și nereușite). De exemplu, un număr excesiv de utilizatori ICQ pentru NAT duce la o problemă cu conectarea la serverul unor utilizatori datorită depășirii vitezei admise de conexiuni.

NAT (traducere de adrese de rețea) - adrese de rețea de difuzare a tehnologiei. Tehnologia NAT a făcut posibilă rezolvarea cea mai mare problemă a protocolului IPv4: până la mijlocul anilor 1990, spațiul adreselor IPv4 ar putea fi complet epuizat. Dacă tehnologia NAT nu a fost inventată, creșterea internetului ar încetini semnificativ. Desigur, a fost creată astăzi o nouă versiune a protocolului IPv6. Această versiune acceptă o cantitate imensă de adrese IP că existența NAT nu are sens. Cu toate acestea, încă câteva organizații utilizează protocolul IPv4 în activitatea lor, iar tranziția completă la IPv6 nu va avea loc în curând. Prin urmare, este logic să înveți tehnologia NAT.

Transmisia adreselor NAT de rețea permite gazdei care nu are o "IP alb", să comunice cu alte gazde prin Internet. Adresa IP albă este o adresă IP globală înregistrată, unică, pe Internet. Există, de asemenea, "adrese IP gri", care sunt utilizate într-o rețea privată și nu sunt rutate pe Internet. Prin urmare, este necesară tehnologia NAT, care va înlocui adresa IP gri pe alb. Gama de "adrese IP gri" este prezentată în tabel.

NAT Broadcast înlocuiește adresele IP private cu adrese IP deschise înregistrate în fiecare pachet de protocol IP.

Prin difuzarea NAT, routerul modifică adresa IP a expeditorului în momentul în care pachetul părăsește rețeaua privată. Routerul modifică, de asemenea, adresa destinatarului fiecărui pachet, care revine la rețeaua privată. Software-ul Cisco IOS acceptă mai multe variante ale difuzării NAT:

1. Broadcast static NAT - o IP publică corespunde fiecărei adrese IP private. Atunci când se utilizează o emisiune statică, Routerul NAT stabilește pur și simplu o potrivire reciprocă între o adresă IP privată și înregistrată, în numele căreia acționează.
2. Dynamic Broadcast NAT - Conversia adreselor IP interne la externe are loc dinamic dinamic. Se creează un bazin de posibile adrese IP publice și din această piscină sunt adrese IP selectate dinamic pentru conversie.
3. Traducerea adreselor PAT Port - vă permite să scoase pentru a sprijini mulți clienți utilizând numai mai multe adrese IP deschise. PAT difuzează adresa de rețea în funcție de portul TCP / UDP al destinatarului.

Luați în considerare în detaliu fiecare dintre tipurile de difuzare.

Difuzat static NAT. Face respectarea exactă între adresa IP privată și publică. Ia în considerare pe exemplu.

Furnizorul ISP ISP atribuie un număr de rețea înregistrat 200.1.1.0. În consecință, routerul NAT trebuie să facă ca această adresă particulară să aibă o astfel de modă ca și cum ar fi localizată în rețeaua 200.1.1.0. Pentru a face acest lucru, routerul modifică adresa IP a expeditorului în pachete, care din figură sunt trimise de la stânga la dreapta. În acest exemplu, routerul modifică adresa IP privată 10.1.1.1 la Open 200.1.1.1. O altă adresă privată 10.1.1.2 corespunde publicului 200.1.1.2. Apoi, luați în considerare stabilirea staticului NAT în Cisco.

Configurarea emisiunii statice NAT pe echipamentul Ciscocomparativ cu celelalte opțiuni, necesită cele mai mici acțiuni. Este necesar să se stabilească o corespondență între adresele IP (private) și globale (deschise). În plus, trebuie să specificați routerul, pe care interfețele trebuie să fie utilizate de către NAT de difuzare, deoarece este posibil ca acesta să nu fie activat pe toate interfețele. În special, routerul trebuie să specifice fiecare interfață și dacă este internă sau externă.

Schema arată că utilizatorul primit de la adresa furnizorului 100.0.0.0 Clasa de rețea C. Toate aceste rețele cu o mască 255.255.255.0 este configurată pe canalul serial între utilizator și Internet. Deoarece acesta este un canal cu două puncte, în această rețea este utilizată numai 2 din 254 de adrese IP valide (posibile).

Configurație pentru routerul NAT_GW:

NAT_GW\u003e Activează terminalul NAT_GW # Configurare - descrierea interfeței - Specificați gateway-ul implicit - descrierea interfeței - Specificați IP și MASKNAT_GW (config-IF) # Nu se închide - Porniți interfața fizică NAT_GW (config-IF) #EXIT NAT_GW (config) #Ip NAT INSOURS SOURCE STATIC 192.168.1.2 100.0.0.1 NAT_GW (config) #Ip NAT INSOURS SOURCE STATIC 192.168.1.3 100.0.0.2 - Maparea statică a adreselor NAT_GW (config) #IP NAT INSOURS SOURCE STATIC 192.168.1.4 100.0.0.3 - Maparea statică a adreselor

Conformațiile statice sunt create utilizând comanda iP NAT în interiorul sursei Static. Cuvânt cheie. interioraceasta înseamnă că adresele NAT de difuzare pentru gazdele situate în interiorul rețelei. Cuvânt cheie. sursă. Aceasta înseamnă că NAT difuzează adresele IP în pachete care intră în interfețele sale interne. Cuvânt cheie. static. Aceasta înseamnă că acești parametri definesc o înregistrare statică care nu va fi niciodată ștearsă din tabelul NAT datorită expirării perioadei de timp. La crearea de înregistrări statice de difuzare, routerul NAT trebuie să știe care interfețe sunt interfețe (în interior) și care externă (în exterior). Interfața subcomstanilor IP Nat în interiorul și iP NAT în afara O identificare corespunzătoare a fiecărei interfață.

Pentru a vedea informații importante despre NAT, există două echipe. afișați traduceri IP NAT, arată statistici IP NAT.

Prima comandă afișează trei emisiuni statice ale NAT create în configurație. A doua comandă afișează informații statistice, cum ar fi numărul de înregistrări active în prezent în tabelul de difuzare. Această statistică include, de asemenea, numărul de re-lovire (hit), care crește cu unul cu fiecare pachet pentru care NAT ar trebui să difuzeze adrese.

Să ne întoarcem mai departe la K. difuzarea dinamică a adreselor NAT de rețea.Dispozitivul dinamic creează un bazin de posibile adrese interne globale și determină criteriul de conformitate pentru a determina care adresele IP interne globale ar trebui să fie difuzate utilizând NAT. De exemplu, a fost instalată o piscină de cinci adrese IP globale în următoarea schemă cuprinsă între 200.1.1.1 - 200.1.1.5. Transmisia NAT este, de asemenea, configurată pentru a transforma toate adresele locale interne care încep cu OCETOV 10.1.1.

Pentru Configurarea emisiunii dinamice NAT pe echipamentul Cisco Este necesar să se identifice fiecare interfață atât internă, cât și externă, dar nu mai trebuie să se stabilească conformitatea statică. Pentru a specifica adresele IP private care vor fi difuzate, traducerea dinamică a NAT utilizează listele de control de acces (am scris mai devreme despre ele), precum și determină grupul de adrese IP deschise înregistrate pentru a ieși din acest lucru. Deci, algoritmul pentru stabilirea difuzării dinamice:

1. Configurați interfețele care vor fi în subrețeaua internă utilizând comanda iP Nat în interior.
2. Configurați interfețele care vor fi în subrețeaua externă utilizând comanda iP NAT în afara.
3. Configurați lista ACL care se aplică pachetelor care introduc interfețe interne pentru care trebuie aplicată traducerea NAT.
4. Configurați bazinul de adrese IP înregistrate deschise utilizând comanda Global Configuration Mode IP NAT Pool Denumit Prima adresă a subrețea Mască de Netmask.
5. Activați difuzarea dinamică NAT prin specificarea unei comenzi globale de configurare iP NAT INSIDE LISTA SOURCE NUMĂR-NORE-ACL Pool Pool Name

Schema va fi folosită la fel ca ultima dată. Configurație nouă pentru Router NAT_GW:

NAT_GW\u003e Activare - Mergeți la modul avansatNAT_GW # Configurare Terminal - Mergeți la modul de configurareNAT_GW (config) #interface FA0 / 0 - Configurarea interfeței spre rețeaua privatăNAT_GW (config-IF) #Decription LAN - descrierea interfețeiNAT_GW (config-IF) #IP Adresa 192.168.1.1 255.255.255.0 - Specificați gateway-ul implicitNAT_GW (config-IF) # Nu se închide - Porniți interfața fizicăNAT_GW (config-IF) #IP NAT INSIDE - Configurați interfața ca interioarăNAT_GW (config-IF) #EXIT NAT_GW (config) #interface FA0 / 1 - Setări de interfață față de furnizorNAT_GW (config-IF) #Decription ISP - descrierea interfețeiNAT_GW (config-IF) # #IP Adresa 100.0.0.253 255.255.255.0 - Specificați IP și MASKNAT_GW (config-IF) # Nu se închide - Porniți interfața fizicăNAT_GW (config-IF) #IP NAT în afara - Configurați interfața ca o externăNAT_GW (Config-IF) #EXIT NAT_GW (config) #Ip NAT Pool TestPool 100.0.0.1 100.0.0.252 Netmask 255.255.255.0 - Creați o piscină dinamicăNAT_GW (config) # Lista de acces 1 Permisul 192.168.1.1 0.0.0.255 - Creați o listă de acces 1 în care vă permiteți să difuzați adresele IP de la subrețea 192.168.1.1 / 24NAT_GW (config) #Ip NAT în interiorul listei sursă 1 TestPool Pool - Activați difuzarea dinamicăNAT_GW (config) # rută 0.0.0.0 0.0.0.0 100.0.0.254 - traseul static către furnizor

Următorul tip de transmisie este difuzarea adreselor PAT (traducerea adresei portului). Voi spune despre acest tip de NAT în următorul articol când conectăm sub denumirea locală la Internet. Tema este destul de mare și importantă. Pat este cea mai populară viziune a Nat'a.

Susțineți proiectul

Prieteni, site-ul NetCloud se dezvoltă în fiecare zi datorită sprijinului dvs. Planificăm să lansăm noi titluri de articole, precum și câteva servicii utile.

Aveți posibilitatea de a sprijini proiectul și de a face orice sumă pe care o considerați necesar.