I pregledavate stranice WEB stranice. Postoji velika vjerojatnost da upravo sada koristite prijevod mrežne adrese (NAT).

Nitko nije mogao predvidjeti rast interneta kakav vidimo danas. Iako je točna veličina nepoznata, procjene pokazuju da postoji oko 100 milijuna aktivnih čvorova i više od 350 milijuna korisnika na Internetu. Stopa rasta Interneta je tolika da se njegova veličina svake godine udvostručuje.

Kakve veze prijevod mrežne adrese ima s veličinom interneta? Najizravniji! Kako bi ovo računalo moglo komunicirati s drugim računalima i WEB poslužiteljima preko Interneta, mora imati vlastitu IP adresu. IP adresa (IP je kratica za Internet Protocol) jedinstveni je 32-bitni broj koji identificira lokaciju određenog računala na mreži. U osnovi, funkcionira poput vaše kućne adrese - to je način da pronađete točnu lokaciju vašeg računala i da vam dostavi informacije.

IP adresiranje

Kada se IP adresiranje tek pojavilo, svi su vjerovali da ima dovoljno adresa da zadovolje sve potrebe. Teoretski, moglo bi postojati ukupno 4.294.967.296 jedinstvenih adresa (232). Stvarni broj adresa dostupnih za korištenje je nešto manji (otprilike između 3,2 i 3,3 milijarde), zbog načina na koji su adrese razvrstane u klase i činjenice da su određene adrese rezervirane za multicasting, testiranje i druge posebne potrebe.

U kontekstu eksplozivnog rasta Interneta, rasta kućnih i korporativnih mreža, jednostavno nema dovoljno dostupnih IP adresa. Očito rješenje je promijeniti format adrese tako da bude dostupno više adresa. Takav sustav je u fazi izvođenja (nazvan IPv6), ali za implementaciju će trebati nekoliko godina jer zahtijeva nadogradnju cjelokupne strukture interneta.

U pomoć priskače NAT sustav (RFC 1631). Prijevod mrežne adrese omogućuje jednom uređaju, poput usmjerivača, da djeluje kao posrednik između interneta (ili "javne mreže") i lokalne (ili "privatne") mreže. To znači da je samo jedna jedinstvena IP adresa potrebna za predstavljanje cijele grupe računala.

Međutim, nedostatak IP adresa samo je jedan od razloga zašto se koristi NAT. Naš članak posvećen je prednostima i značajkama ovog sustava. Prvo, pogledajmo pobliže što je NAT i kako ovaj sustav funkcionira...

Kako funkcionira NAT sustav

NAT sustav je poput tajnice u velikom uredu. Recimo da ste mu dali upute da vas ne spaja ni s kim tko zove na telefon dok ne date dopuštenje za takve radnje. Kasnije nazovete potencijalnog klijenta i ostavite poruku da vas nazove. Kažete tajnici da očekujete poziv od klijenta i naredite mu da vam omogući vezu kad vas nazove.

Klijent bira glavni broj telefona ureda jer je to jedini broj koji zna. Klijent kaže tajnici da vas želi kontaktirati, tajnica provjerava tablicu za pretraživanje, koja pokazuje vaše ime i vaš telefonski lokal. Recepcionar zna da ste ovlastili klijenta da bude pozvan, pa prebacuje pozivatelja na vaš lokal.

Sustav za prevođenje mrežnih adresa

Sustav prevođenja mrežnih adresa, koji je razvio Cisco, koristi uređaj (usmjerivač ili računalo) koji povezuje internu mrežu s ostatkom svijeta. Prijevod mrežne adrese može imati različite oblike i funkcionirati na različite načine:

• Prijevod statičke mrežne adrese pretvaranje je neregistrirane IP adrese u registriranu IP adresu na osnovi jedan-na-jedan. Osobito korisno kada trebate pristupiti uređaju izvan lokalne mreže.
• Dinamičko prevođenje mrežne adrese - pretvara neregistriranu IP adresu u registriranu IP adresu iz skupine registriranih IP adresa.
• Preopterećenje je oblik dinamičkog prevođenja koji pretvara mnoge neregistrirane IP adrese u jednu registriranu adresu korištenjem različitih portova. Ovaj se postupak također naziva PAT (Port Address Translation), unicast NAT ili multipleksirani NAT na razini priključka.
• Podudaranje - Kada su adrese koje se koriste na vašoj mreži registrirane IP adrese koje se koriste na drugoj mreži, usmjerivač mora održavati tablicu prijevoda tih adresa, presresti ih i zamijeniti registriranim jedinstvenim IP adresama. Važno je napomenuti da NAT usmjerivač mora prevesti "interne" adrese u registrirane jedinstvene adrese, kao i "vanjske" registrirane adrese u adrese koje su jedinstvene na privatnoj mreži. Ova se operacija može izvesti korištenjem statičkog prijevoda mrežne adrese ili korištenjem Domain Name System (DNS) i implementacijom dinamičkog prijevoda mrežne adrese.

Interna mreža je obično lokalna mreža (LAN, Local Area Network), koja se ponekad naziva stub domain. Stub domena je lokalna mreža unutar koje se koriste IP adrese. Većina mrežnog prometa u stub domeni je lokalna i ne ide izvan interne mreže. Stup domena može sadržavati registrirane i neregistrirane IP adrese. Naravno, sva računala kojima su dodijeljene neregistrirane IP adrese moraju koristiti prijevod mrežne adrese za komunikaciju s ostatkom svijeta.

NAT se može konfigurirati na različite načine. U donjem primjeru, NAT usmjerivač je konfiguriran za prevođenje neregistriranih (internih, lokalnih) IP adresa koje se koriste na privatnoj (internoj) mreži u registrirane IP adrese. Ovaj se postupak provodi svaki put kada uređaj s neregistriranom adresom na internoj mreži treba komunicirati s javnom mrežom (vanjskom).

• Vaš ISP dodjeljuje određeni broj IP adresa vašoj tvrtki. Adrese u prikvačenoj grupi registrirane su IP adrese i nazivaju se internim globalnim adresama. Neregistrirane, privatne IP adrese podijeljene su u dvije skupine. Jednu malu grupu (vanjske lokalne adrese) koriste NAT usmjerivači. Druga, mnogo veća grupa, koja se zove unutar lokalnih adresa, koristi se u stub domeni. Vanjske lokalne adrese koriste se za formiranje jedinstvenih IP adresa za uređaje, koje se nazivaju vanjske globalne adrese, za pristup javnoj mreži.
• Većina računala u stub domeni međusobno komunicira koristeći interne lokalne adrese.
• Neka računala stub domene često komuniciraju s uređajima izvan lokalne mreže. Ova računala imaju interne globalne adrese koje ne zahtijevaju prijevod.
• Kada računalo stub domene s unutarnjom lokalnom adresom treba komunicirati s računalom izvan lokalne mreže, paket se usmjerava na jedan od NAT usmjerivača.
• NAT usmjerivač provjerava tablicu usmjeravanja da vidi postoji li unos za odredišnu adresu. Ako postoji takav unos, NAT router prevodi paket i stvara unos za njega u tablici prijevoda adresa. Ako odredišna adresa nije u tablici usmjeravanja, paket se zanemaruje.
• Koristeći unutarnju globalnu adresu, usmjerivač šalje paket na odredište.
• Računalo na javnoj mreži šalje paket privatnoj mreži. Adresa pošiljatelja paketa je vanjska globalna adresa. Odredišna adresa je unutarnja globalna adresa.
• NAT usmjerivač provjerava tablicu prijevoda adresa i utvrđuje da postoji odredišna adresa koja odgovara računalu u stub domeni.
• NAT usmjerivač prevodi unutarnju globalnu adresu paketa u unutarnju lokalnu adresu i prosljeđuje paket odgovarajućem računalu.

NAT preopterećenje

Overload NAT koristi značajku skupa TCP/IP protokola, multipleksiranje, koja omogućuje računalu stvaranje višestrukih istovremenih veza s jednim ili više udaljenih računala koristeći različite TCP ili UDP priključke. IP paket sadrži zaglavlje koje sadrži sljedeće informacije:

• Izvorna adresa - IP adresa računala pošiljatelja, na primjer, 201.3.83.132
• Port pošiljatelja - broj TCP ili UDP porta koji je dodijelilo računalo pošiljatelj za ovaj paket, na primjer, port 1080
• Adresa primatelja - IP adresa računala primatelja, na primjer, 145.51.18.223
• Odredišni port je broj TCP ili UDP porta koji računalo pošiljatelj zahtijeva od računala primatelja da otvori, na primjer, port 3021.

Adrese identificiraju dva računala na svakom kraju, a brojevi portova daju jedinstveni identifikator za vezu između dva računala. Kombinacija ova četiri broja definira jednu TCP/IP vezu. Svaki broj priključka koristi 16 bita, što znači da postoji 65 536 (216) mogućih vrijednosti. U praksi, s obzirom na to da različiti proizvođači malo drugačije mapiraju priključke, možete očekivati ​​da će biti dostupno približno 4000 priključaka.

NAT ili prijevod mrežne adrese metoda je preraspodjele jednog adresnog prostora drugom promjenom informacija o mrežnoj adresi u internetskom protokolu ili IP-u. Zaglavlja paketa se mijenjaju dok su u tranzitu kroz uređaje za usmjeravanje. Ova se metoda izvorno koristila za lakše preusmjeravanje prometa na IP mrežama bez potrebe za numeriranjem svakog glavnog računala. Postao je važan i popularan alat za dodjelu i očuvanje globalnog adresnog prostora u uvjetima ozbiljnog nedostatka IPv4 adresa.

Što je NAT?

Upotreba prevođenja mrežne adrese je preslikavanje svake adrese u jednom adresnom prostoru na adresu koja je u drugom adresnom prostoru. Ovo može biti potrebno ako se davatelj usluge promijenio, a korisnik nema mogućnost javno oglašavati novu rutu do mreže. NAT tehnologija sve se više koristi od kasnih 90-ih u kontekstu globalnog pražnjenja adresnog prostora. Obično se ova tehnologija koristi u kombinaciji s IP enkripcijom. IP enkripcija je metoda premještanja više IP adresa u jedan prostor. Ovaj mehanizam implementiran je u uređaju za usmjeravanje koji koristi tablice prevođenja stanja za mapiranje skrivenih adresa u jednu IP adresu. Također prosljeđuje sve odlazne IP pakete na izlazu. Stoga se čini da ovi paketi napuštaju uređaj za usmjeravanje. Odgovori na povratnoj vezi preslikavaju se na izvornu IP adresu pomoću pravila pohranjenih u tablicama prevođenja. Zauzvrat, tablice prijevoda se brišu nakon kratkog vremena ako promet ne ažurira svoje stanje. Ovo je osnovni mehanizam NAT-a. Što to znači? Ova tehnologija omogućuje komunikaciju putem usmjerivača samo kada se veza odvija na šifriranoj mreži, jer se time stvaraju tablice prevođenja. Unutar takve mreže, web preglednik može pregledavati web mjesto izvan nje, ali kada je instaliran izvan nje, ne može otvoriti resurs koji se nalazi unutar nje. Većina današnjih NAT uređaja omogućuje mrežnom administratoru da konfigurira unose tablice prijevoda za trajnu upotrebu. Ova značajka se posebno često naziva prosljeđivanje porta ili statički NAT. Omogućuje prometu koji potječe iz "vanjske" mreže da dođe do određenih hostova na šifriranoj mreži. Zbog popularnosti metode koja se koristi za očuvanje IPv4 adresnog prostora, pojam NAT praktički je postao sinonim za metodu šifriranja. Budući da prijevod mrežne adrese mijenja informacije o adresi IP paketa, to može imati ozbiljne posljedice za kvalitetu veze. Stoga zahtijeva veliku pozornost na sve detalje implementacije. Načini korištenja NAT-a međusobno se razlikuju po specifičnom ponašanju u različitim situacijama, a koje se odnose na utjecaj na mrežni promet.

Osnovni NAT

Najjednostavniji tip NAT-a omogućuje prevođenje IP adresa jedan na jedan. Glavni tip ovog prijevoda je RFC-2663. U ovom slučaju mijenjaju se samo IP adrese, kao i kontrolni zbroj IP zaglavlja. Možete koristiti osnovne vrste prijevoda za povezivanje dviju IP mreža koje imaju nekompatibilno adresiranje.

Većina NAT verzija može preslikati više privatnih hostova na jednu IP adresu, koja je javno određena. LAN u tipičnoj konfiguraciji koristi jednu od "privatnih" IP adresa dodijeljenih podmreži. U ovoj mreži usmjerivač ima privatnu adresu u prostoru. Usmjerivač se također povezuje s internetom pomoću „javne adrese“ koju dodjeljuje pružatelj internetskih usluga. Budući da promet potječe s lokalnog interneta, izvorna adresa u svakom paketu se u hodu prevodi iz privatne u javnu. Usmjerivač također prati osnovne podatke o svakoj aktivnoj vezi. Ovo se posebno odnosi na podatke kao što su odredišna adresa i luka. Kada mu se odgovor vrati, on koristi podatke o vezi koji su pohranjeni tijekom odlazne faze. Ovo je neophodno kako bi se odredila privatna interna mrežna adresa na koju bi trebao biti usmjeren odgovor. Glavna prednost ove funkcionalnosti je što je praktično rješenje problema iscrpljenosti IPv4 adresnog prostora. S jednom IP adresom čak se i velike mreže mogu spojiti na Internet. Svi paketi datagrama na IP mrežama imaju dvije IP adrese - izvorišnu i odredišnu adresu. Paketi koji putuju iz privatne mreže u javnu mrežu imat će izvornu adresu paketa koja se mijenja tijekom prijelaza iz javne u privatnu mrežu. Moguće su i složenije konfiguracije.

Značajke NAT konfiguracije

Postavljanje NAT-a može imati određene značajke. Da biste izbjegli poteškoće povezane s prevođenjem vraćenih paketa, možda će biti potrebne dodatne izmjene. Većina internetskog prometa ići će kroz UDP i TCP protokole. Njihovi brojevi se mijenjaju na takav način da se IP adrese i brojevi portova počnu uspoređivati ​​prilikom povratnog slanja podataka. Protokoli koji se ne temelje na UDP ili TCP zahtijevaju druge metode prevođenja. Obično ICMP ili Internet Control Message Protocol odgovara informacijama koje se šalju na postojeću vezu. To znači da se moraju prikazati koristeći istu IP adresu i broj koji je izvorno postavljen. Što treba uzeti u obzir? Konfiguriranje NAT-a na usmjerivaču ne omogućuje povezivanje s kraja na kraj. Iz tog razloga takvi usmjerivači ne mogu sudjelovati u nekim internetskim protokolima. Usluge koje zahtijevaju pokretanje TCP veza s vanjske mreže ili korisnika bez protokola mogu jednostavno biti nedostupne. Ako se NAT usmjerivač ne trudi posebno podržavati takve protokole, tada dolazni paketi možda nikada neće stići do svog odredišta. Neki protokoli mogu biti hostirani u jednom emitiranju između sudjelujućih hostova, ponekad koristeći pristupnik aplikacijskog sloja. Međutim, veza se neće uspostaviti kada su oba sustava odvojena od interneta NAT-om. Također, korištenje NAT-a komplicira protokole tunela kao što je IPsec jer mijenja vrijednosti u zaglavljima koja su u interakciji s provjerama integriteta zahtjeva.

NAT: postojeći problem

Osnovno načelo interneta je veza s kraja na kraj. Postoji od svog razvoja. Trenutno stanje mreže samo dokazuje da je NAT kršenje ovog načela. U stručnoj zajednici postoji ozbiljna zabrinutost u vezi s širokom upotrebom prevođenja mrežnih adresa u IPv6. Stoga se danas postavlja pitanje kako se ovaj problem može eliminirati. Budući da su tablice stanja prijevoda u NAT usmjerivačima inherentno nepostojane, interni mrežni uređaji gube IP povezanost u vrlo kratkom vremenskom razdoblju. Ne smijemo zaboraviti ovu okolnost kada govorimo o tome što je NAT u usmjerivaču. Time se značajno smanjuje vrijeme rada kompaktnih uređaja koji rade na baterije.

Skalabilnost

Korištenje NAT-a također nadzire samo one priključke koji se mogu brzo iscrpiti internim aplikacijama koje koriste višestruke istodobne veze. To mogu biti HTTP zahtjevi za stranice s velikim brojem ugrađenih objekata. Ovaj se problem može ublažiti praćenjem IP adrese u odredištima uz priključak. Jedan lokalni port tako može dijeliti veliki broj udaljenih računala.

NAT: neke poteškoće

Budući da su sve interne adrese maskirane kao jedna javna adresa, vanjskim je hostovima nemoguće inicirati vezu s određenim internim hostom bez postavljanja posebne konfiguracije na vatrozidu. Ova konfiguracija bi trebala proslijediti veze na određeni port. Aplikacije za IP telefoniju, video konferencije i slične usluge moraju koristiti metode NAT traversal kako bi pravilno funkcionirale. Rapt i obrnuti priključak za prevođenje adresa omogućuje hostu čija se IP adresa s vremena na vrijeme mijenja da ostane dostupan kao poslužitelj koristeći fiksnu IP adresu na kućnoj mreži. To bi u načelu trebalo omogućiti da postavke poslužitelja ostanu povezane. Iako ovo rješenje problema nije idealno, može biti još jedan koristan alat u arsenalu mrežnog administratora pri rješavanju problema povezanih s konfiguracijom NAT-a na usmjerivaču.

PAT ili prijevod adrese porta

Port Address Translation je implementacija Cisco Rapt-a koja preslikava više privatnih IP adresa u jednu javnu IP adresu. Stoga se više adresa može mapirati kao adresa jer se svaka prati pomoću broja priključka. PAT koristi jedinstvene izvorne brojeve portova na internom globalnom IP-u kako bi razlikovao smjer prijenosa podataka. Ovi brojevi su 16-bitni cijeli brojevi. Ukupan broj internih adresa koje se mogu prevesti na jednu vanjsku adresu teoretski može biti do 65536. U stvarnosti, broj portova kojima se može dodijeliti jedna IP adresa je približno 4000. PAT obično pokušava sačuvati izvornu " izvorni" priključak.. U slučaju da se već koristi, Port Address Translation dodjeljuje prvi dostupni broj porta, počevši od početka odgovarajuće grupe. Kada više nema dostupnih priključaka i postoji više od jedne vanjske IP adrese, PAT prelazi na sljedeću kako bi dodijelio izvorni priključak. Ovaj proces će se nastaviti sve dok više ne budu dostupni podaci. Cisco usluga prikazuje adresu i port. Kombinira adresu priključka prijevoda i podatke o tuneliranju za IPv4 pakete preko unutarnje IPv6 mreže. U biti, ovo je alternativa Carrier Grade NAT-u i DS-Liteu, koji podržavaju IP prijevode portova i adresa. Time se izbjegavaju problemi povezani s uspostavljanjem i održavanjem veze. Također pruža prijelazni mehanizam za implementaciju IPv6.

Metode prevođenja

Postoji nekoliko osnovnih načina implementacije mrežne adrese i prevođenja porta. Određeni aplikacijski protokoli zahtijevaju da odredite vanjsku NAT adresu koja se koristi na drugom kraju veze. Također je često potrebno ispitati i klasificirati vrstu prijenosa. Obično se to radi jer je poželjno stvoriti izravan komunikacijski kanal između dva klijenta smještena iza zasebnih NAT-ova. U tu svrhu razvijen je poseban protokol, RFC 3489, koji omogućuje jednostavno UPD zaobilaženje preko NATS-a. Danas se već smatra zastarjelim, jer se danas takve metode smatraju nedostatnima za ispravnu procjenu rada uređaja. Godine 2008. razvijen je RFC 5389 koji je standardizirao nove metode. Ova se specifikacija danas naziva Session Traversal. To je poseban uslužni program dizajniran za NAT rad.

Stvaranje dvosmjerne komunikacije

Svaki UDP i TCP paket sadrži izvornu IP adresu i broj porta, kao i koordinate odredišnog porta. Broj priključka vrlo je važan za primanje javnih usluga kao što je funkcija poslužitelja pošte. Tako se, na primjer, priključak 25 povezuje s SMTP poslužiteljem e-pošte, a priključak 80 povezuje se sa softverom web poslužitelja. IP adresa javnog poslužitelja također je bitna. Ovi parametri moraju biti pouzdano poznati onim čvorovima koji namjeravaju uspostaviti vezu. Privatne IP adrese relevantne su samo na lokalnim mrežama.

O načelima protokola NAT (prijevod mrežne adrese) a sada je vrijeme da razmislite o postavljanju na opremu Cisco.

Postavljanje statičkog NAT-a

Prisjetite se te statičnosti NAT je mapiranje internih i eksternih adresa jedan na jedan. Omogućuje vanjskim uređajima da započnu veze s unutarnjim pomoću statički dodijeljene javne adrese.

Na primjer, interni web poslužitelj može se preslikati na određenu internu globalnu adresu tako da mu se može pristupiti s vanjskih mreža.

Dijagram prikazuje internu mrežu koja sadrži web poslužitelj s privatnom IPv4 adresom. Usmjerivač je konfiguriran sa statičkim NAT-om kako bi se uređajima na vanjskoj mreži omogućio pristup web poslužitelju. Klijent na vanjskoj mreži pristupa web poslužitelju koristeći javnu IPv4 adresu. Statički NAT pretvara javnu IPv4 adresu u privatnu.

Prilikom postavljanja statičkih NAT prijevoda postoje dva glavna zadatka:

1. Stvorite mapiranje između internih lokalnih ( unutar lokalnog) adresa i interni global ( unutar globalnog) adrese. Na primjer, interna lokalna adresa 192.168.1.5 i interna globalna adresa 208.165.100.5 u dijagramu su konfigurirane kao statički NAT prijevod.
2. Nakon što je mapiranje konfigurirano, sučelja koja sudjeluju u prijevodu moraju biti konfigurirana kao interna ( iznutra) i vanjski ( vani) u odnosu na NAT. U dijagramu, sučelje usmjerivača Serial 0/0/0 je unutarnje, a Serial 0/1/0 je vanjsko.

Paketi koji stižu na interno serijsko 0/0/0 sučelje usmjerivača s konfigurirane interne lokalne IPv4 adrese (192.168.1.5) prevode se i potom prosljeđuju vanjskoj mreži. Paketi koji stižu na vanjsko serijsko 0/1/0 sučelje adresirani na konfiguriranu internu globalnu IPv4 adresu (208.165.100.5) prevode se na internu lokalnu adresu (192.168.1.5) i potom prosljeđuju interno.

Postavljanje se odvija u nekoliko koraka:

1. Stvorite statički prijevod između internih lokalnih i eksternih globalnih adresa. Za to koristimo naredbu ip nat unutar izvora statički [local_IP global_IP]. Za brisanje emitiranja potrebno je unijeti naredbu nema ip nat unutar statike izvora. Ako ne trebamo prevesti adresu u adresu, već adresu u adresu sučelja, tada koristimo naredbu ip nat unutar statike izvora [local_IP interface_type interface_number].
2. Definirajmo interno sučelje. Prvo uđite u način konfiguracije sučelja pomoću naredbe sučelje [vrsta broja] i unesite naredbu ip nat unutra
3. Na isti način definirajte vanjsko sučelje pomoću naredbe ip nat izvana

Router(config)# ip nat unutar izvora statički 192.168.1.5 208.165.100.5 Router(config)# sučelje serial0/0/0 Router(config-if)#ip nat unutar Router(config-if)#exit Router(config)# sučelje serial0/1/0 Router(config-if)#ip nat external

Kao rezultat toga, emisije će ići ovako:

1. Klijent želi otvoriti vezu s web poslužiteljem. Klijent šalje paket web poslužitelju koristeći javnu IPv4 odredišnu adresu 208.165.100.5. Ovo je interna globalna adresa web poslužitelja.
2. Prvi paket koji usmjerivač primi od klijenta na vanjskom NAT sučelju uzrokuje provjeru svoje NAT tablice. IPv4 adresa odredišta nalazi se u NAT tablici i prevodi se.
3. Usmjerivač zamjenjuje internu globalnu odredišnu adresu 208.165.100.5 internom lokalnom 192.168.1.5 i prosljeđuje paket web poslužitelju.
4. Web poslužitelj prima paket i odgovara klijentu koristeći internu lokalnu adresu izvora 192.168.1.5.
5. Usmjerivač prima paket od web poslužitelja na svom internom NAT sučelju s izvornom adresom interne lokalne adrese web poslužitelja, 192.168.1.5. Provjerava NAT tablicu za prevođenje interne lokalne adrese u internu globalnu, mijenja izvornu adresu iz 192.168.1.5 u 208.165.100.5 i šalje je sa serijskog 0/1/0 sučelja prema klijentu
6. Klijent prima paket i razmjena paketa se nastavlja. Usmjerivač izvodi prethodne korake za svaki paket.

Statička NAT provjera

Korisna naredba za provjeru radi li NAT je naredba prikaži ip nat prijevode. Ova naredba prikazuje aktivne NAT prijevode. Statički prijevodi, za razliku od dinamičkih prijevoda, uvijek se nalaze u NAT tablici.

Router#show ip nat prijevodi Pro Inside global Inside local Izvan lokalno Izvan globalno --- 208.165.100.5 192.168.1.5 208.165.100.70 208.165.100.70

Još jedna korisna naredba je naredba prikaži ip nat statistiku. Prikazuje informacije o ukupnom broju aktivnih prijenosa, NAT konfiguracijskim parametrima, broju adresa u skupu i broju adresa koje su dodijeljene.

Router#show ip nat statistika Ukupno aktivnih prijevoda: 1 (1 statički, 0 dinamički; 0 proširenih) Najveći broj prijevoda: 2, dogodio se prije 00:00:21 Vanjska sučelja: Serial0/1/0 Unutarnja sučelja: Serial0/0/0 Hits :7 Promašaja:0

Kako biste bili sigurni da NAT prijevod radi, najbolje je izbrisati statistiku svih prošlih prijevoda pomoću naredbe očisti ip nat statistiku prije testiranja.

Postavljanje dinamičkog NAT-a

Dok je statički NAT konstantno preslikavanje između unutarnje lokalne adrese i unutarnje globalne adrese, dinamički NAT omogućuje automatsko preslikavanje između unutarnje lokalne i globalne adrese (koje su obično javne IP adrese). Dinamički NAT koristi grupu ili skup javnih IPv4 adresa za prijevod. Dinamički NAT, kao i statički NAT, zahtijeva konfiguraciju unutarnjih i vanjskih sučelja koja sudjeluju u NAT-u.

Pogledajmo ovaj dijagram kao primjer. Ovdje imamo internu mrežu s dvije podmreže 192.168.1.0/24 i 192.168.2.0/24 i granični usmjerivač na kojem je konfiguriran dinamički NAT sa skupom javnih adresa 208.165.100.5 - 208.165.100.15.

Skup javnih adresa ( unutar skupa globalnih adresa) dostupan je svakom uređaju na internoj mreži po načelu tko prvi dođe, prvi poslužen. S dinamičkim NAT-om, jedna interna adresa se prevodi u jednu vanjsku adresu. S ovom vrstom prijenosa, mora postojati dovoljno adresa u skupu kako bi se omogućio istovremeni pristup svim internim uređajima koji trebaju pristup vanjskoj mreži. Ako su sve adrese u skupu iskorištene, tada uređaj mora čekati dostupnu adresu prije nego što može pristupiti vanjskoj mreži.

Pogledajmo tinkturu korak po korak:

1. Definirajte skup koji će se koristiti za prijevod pomoću naredbe ip nat pool [name start_ip end_ip]. Ovaj skup adresa obično je grupa javno dostupnih adresa. Adrese se definiraju određivanjem početne IP adrese i završne IP adrese skupa. Ključne riječi mrežna maska ili prefiks-duljina označite masku.
2. Potrebno je postaviti zadanu vrijednost pristupna lista (ACL) za definiranje samo onih adresa koje će se emitirati. Upišimo naredbu. Ovdje možete pročitati o standardnim pristupnim listama (a o proširenim u). ACL koji dopušta previše adresa može dovesti do nepredvidivih rezultata, stoga postoji naredba na kraju lista poreći sve.
3. Potrebno je vezati ACL na spremište i za to se koristi naredba ip nat unutar popisa izvora [ACL_number] broj skupa [pool_name]. Ovu konfiguraciju usmjerivač koristi za određivanje koji uređaji (popis) primaju adrese (pool).
4. Odredite koja su sučelja unutra, u odnosu na NAT, odnosno bilo koje sučelje koje je spojeno na internu mrežu.
5. Odredite koja su sučelja vanjska, u odnosu na NAT, odnosno bilo koje sučelje koje je spojeno na vanjsku mrežu.

Router(config)# ip nat pool MerionNetworksPool 208.165.100.5 208.165.100.15 netmask 255.255.255.0 Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255 Router(config)#ip nat inside popis izvora 1 bazen MerionNetworksPool Router( config)# sučelje serial0/0/0 Router(config-if)#ip nat unutar Router(config-if)#exit Router(config)# sučelje serial0/1/0 Router(config-if)#ip nat external

Kako će to funkcionirati u našem dijagramu:

1. Računala s adresama 192.168.1.10 i 192.168.2.10 šalju pakete prema poslužitelju na javnoj adresi 208.165.100.70
2. Usmjerivač prima prvi paket od hosta 192.168.1.10. Budući da je ovaj paket primljen na sučelju konfiguriranom kao interno NAT sučelje, usmjerivač provjerava NAT konfiguraciju kako bi odredio treba li ovaj paket prevesti. ACL dopušta paket i usmjerivač provjerava svoju NAT tablicu. Budući da ne postoji zapis prijevoda za ovu IP adresu, usmjerivač utvrđuje da se izvorna adresa 192.168.1.10 mora dinamički prevoditi. R2 odabire dostupnu globalnu adresu iz skupa dinamičkih adresa i stvara unos prijevoda, 208.165.200.5. Izvorna izvorna IPv4 adresa (192.168.1.10) je unutarnja lokalna adresa, a prevedena adresa je unutarnja globalna adresa (208.165.200.5) u NAT tablici. Za drugi host 192.168.2.10, usmjerivač ponavlja ovaj postupak, odabirući sljedeću dostupnu globalnu adresu iz skupa dinamičkih adresa, stvarajući drugi unos prijevoda - 208.165.200.6.
3. Nakon zamjene interne lokalne izvorne adrese u paketima, usmjerivač prosljeđuje paket.
4. Poslužitelj prima paket od prvog računala i odgovara koristeći odredišnu adresu 208.165.200.5. Kada poslužitelj primi paket od drugog računala, odredišna adresa u odgovoru sadržavat će 208.165.200.6.
5. Kada usmjerivač primi odredišnu adresu 208.165.200.5, vrši pretraživanje u NAT tablici i prevodi odredišnu adresu u internu lokalnu adresu 192.168.1.10 i usmjerava prema računalu. Ista stvar se događa s paketom koji se šalje na drugo računalo.
6. Oba računala primaju pakete i razmjena paketa se nastavlja. Za svaki sljedeći paket izvode se prethodni koraci.

Dinamička NAT provjera

Naredba se također koristi za provjeru prikaži ip nat prikazuje sve statičke prijevode koji su konfigurirani i sve dinamičke prijevode koje je generirao promet. Dodavanje ključne riječi opširno prikazuje dodatne informacije o svakom prijenosu, uključujući prije koliko je vremena unos kreiran i korišten. Prema zadanim postavkama, podaci o prijenosu istječu nakon 24 sata osim ako mjerači vremena nisu ponovno konfigurirani pomoću naredbe ip nat istek vremena prijevoda [vrijeme_u_sekundama] u načinu globalne konfiguracije.

Za brisanje dinamičkih unosa prije isteka vremena možete koristiti naredbu jasni ip nat prijevod. Korisno je izbrisati dinamičke unose prilikom testiranja NAT konfiguracije. Ova se naredba može koristiti s ključnim riječima i varijablama za kontrolu koji se zapisi brišu. Određeni unosi mogu se izbrisati kako bi se izbjeglo prekidanje aktivnih sesija. Iz tablice se uklanjaju samo dinamički prijevodi. Statički prijevodi ne mogu se ukloniti iz tablice.

Također možete koristiti naredbu prikaži ip nat statistiku koji prikazuje informacije o ukupnom broju aktivnih prijevoda, NAT konfiguracijskim parametrima, broju adresa u skupu i broju prevedenih adresa.

Budući da ovdje koristimo ACL-ove, možemo koristiti naredbu za njihovu provjeru prikaži popise pristupa.

Postavljanje prijevoda adrese porta (PAT)

PAT (također se naziva NAT preopterećenje) pohranjuje adrese u interni skup globalnih adresa, dopuštajući usmjerivaču da koristi jednu internu globalnu adresu za mnoge interne lokalne adrese. Drugim riječima, jedna javna IPv4 adresa može se koristiti za stotine ili čak tisuće internih privatnih IPv4 adresa. Kada se više unutarnjih lokalnih adresa preslikava na jednu unutarnju globalnu adresu, brojevi portova TCP ili UDP Svaki interni čvor razlikuje se po lokalnim adresama.

Ukupan broj internih adresa koje se mogu prevesti na jednu vanjsku adresu teoretski može biti 65.536 po IP adresi. Međutim, u praksi je broj internih adresa koje se mogu dodijeliti jednoj IP adresi oko 4000.

Postoje dva načina za konfiguriranje PAT-a, ovisno o tome kako vaš ISP dodjeljuje javne IPv4 adrese. U prvom slučaju, ISP dodjeljuje više od jedne javne IPv4 adrese organizaciji, au drugom, dodjeljuje jednu javnu IPv4 adresu koja je organizaciji potrebna za povezivanje s ISP-om.

Konfiguriranje PAT-a za skup javnih IP adresa

Ako nam je dostupno više od jedne javne IPv4 adrese, te adrese mogu biti dio skupa koji koristi PAT. Ovo je slično dinamičkom NAT-u, osim što nema dovoljno zajedničkih adresa za međusobno preslikavanje internih adresa. Mali skup adresa raspoređen je među velikim brojem uređaja.

Glavna razlika između ove konfiguracije i konfiguracije za dinamički NAT je u tome što se koristi ključna riječ preopterećenje, koji uključuje PAT.

Pogledajmo korak po korak postavljanje PAT-a za skup adresa:

1. Definirajte skup globalnih adresa koji će se koristiti za PAT prijevod pomoću naredbe ip nat pool [name start_ip end_ip] mrežna maska ​​[maska] | duljina-prefiksa [duljina_prefiksa].
2. Napravite standardni popis pristupa koji dopušta adrese koje je potrebno prevesti. Naredba koja se koristi je access-list [ACL_number] izvor dozvole.
3. Omogućimo PAT pomoću čarobne riječi Preopterećenje. Unesite naredbu ip nat unutar popisa izvora [ACL_number] broj spremišta [pool_name] preopterećenje.
4. Određujemo koja su sučelja unutra, u odnosu na NAT, a koja su izvana. Koristimo naredbu ip nat unutra I ip nat izvana

Primjer postavki za shemu koja se ranije koristila, samo sada ćemo koristiti PAT:

Router(config)# ip nat pool MerionNetworksPool2 208.165.100.5 208.165.100.15 netmask 255.255.255.0 Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255 Router(config)#ip nat unutar popisa izvora 1 bazen MerionNetworksPo ol2 preopterećenje router (config)# sučelje serial0/0/0 Router(config-if)#ip nat inside Router(config-if)#exit Router(config)# interface serial0/1/0 Router(config-if)#ip nat external

Konfiguriranje PAT-a za jednu javnu IPv4 adresu

Dijagram prikazuje topologiju implementacije PAT-a za emitiranje jedne javne IP adrese. U ovom primjeru, svi hostovi iz mreže 192.168.0.0/16 (podudarni ACL-ovi) koji šalju promet kroz usmjerivač bit će preusmjereni na IPv4 adresu 208.165.99.225 (IPv4 adresa sučelja S0 /1/0). Promet će se identificirati brojevima portova u NAT tablici.

Postavka:

1. Napravite popis pristupa koji dopušta adrese koje je potrebno prevesti - access-list [ACL_number] izvor dozvole.
2. Konfigurirajte pretvorbu izvorne adrese u adresu sučelja pomoću naredbe ip nat unutar popisa izvora [ACL_number] sučelje [type number] preopterećenje
3. Definirajte vanjska i unutarnja sučelja putem naredbi ip nat unutra I ip nat izvana.

Konfiguracija je slična dinamičkom NAT-u, osim što umjesto skupa adresa koristimo adresu sučelja s vanjskom IP adresom. NAT skup nije otkriven.

Primjer: Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255 Router(config)# ip nat source list 1 sučelje serial0/1/0 overload Router(config)# sučelje serial0/0/0 Router(config- if)#ip nat unutar Router(config-if)#exit Router(config)# sučelje serial0/1/0 Router(config-if)#ip nat external

PAT proces se neće promijeniti kada se koristi jedna adresa ili skup adresa.

Prođimo kroz PAT proces korak po korak:

1. Na dijagramu dva različita računala komuniciraju s dva različita web poslužitelja. Prvo računalo ima izvornu adresu 192.168.1.10 i koristi TCP port 1444, a drugo računalo ima izvornu adresu 192.168.2.10 i slučajno koristi isti TCP port 1444
2. Paket s prvog računala prvo dolazi do usmjerivača i on pomoću PAT-a mijenja izvornu IPv4 adresu u 208.165.99.225 ( unutar globalne adrese). Nema drugih uređaja u NAT tablici s portom 1444, tako da PAT koristi isti broj porta i paket se šalje prema poslužitelju na 208.165.101.20.
3. Zatim, paket s drugog računala ulazi u usmjerivač, gdje je PAT konfiguriran da koristi jednu globalnu IPv4 adresu za sve prijenose - 208.165.99.225. Slično procesu prevođenja za prvo računalo, PAT mijenja izvornu adresu drugog računala u internu globalnu adresu 208.165.99.225. Međutim, drugo računalo ima isti broj izvornog priključka kao i trenutni PAT unos prvog računala, tako da PAT povećava broj izvornog priključka dok ne postane jedinstven u svojoj tablici. U ovom slučaju, unos izvorišnog porta u NAT tablici i paket za drugo računalo prima port 1445. Iako oba računala koriste istu internu globalnu adresu, 208.165.99.225, i isti izvorni broj porta, 1444, promijenjeni broj porta za drugo računalo (1445) čini svaki unos u NAT tablici jedinstvenim. To će postati očito prilikom slanja paketa s poslužitelja natrag klijentima.
4. Poslužitelji odgovaraju na zahtjeve računala i koriste izvorni port iz primljenog paketa kao odredišni port, a izvorišnu adresu kao odredišnu adresu. Može se činiti da komuniciraju s istim hostom na 208.165.99.225, međutim, to nije slučaj - imaju različite portove.
5. Kada se paketi vrate usmjerivaču, on pronalazi jedinstveni unos u svojoj NAT tablici koristeći odredišnu adresu i odredišni port svakog paketa. U slučaju paketa s prvog poslužitelja, odredišna adresa 208.165.99.255 ima nekoliko unosa, ali samo jedan s odredišnim portom 1444. Koristeći ovaj unos u svojoj tablici, usmjerivač mijenja odredišnu IPv4 adresu paketa u 192.168.1.10 bez promjene odredišne ​​luke. Paket se zatim prosljeđuje prvom računalu
6. Kada paket s drugog poslužitelja stigne na usmjerivač, on izvodi sličan prijevod. Odredišna IPv4 adresa 208.165.99.225 ima više unosa, ali korištenjem odredišnog priključka 1445, usmjerivač može jedinstveno identificirati unos emitiranja. Odredišna IPv4 adresa bit će promijenjena u 192.168.2.10 i u ovom slučaju bi odredišni port također trebao biti promijenjen u izvornu vrijednost 1444 koja je pohranjena u NAT tablici. Nakon toga, paket se šalje na drugo računalo

Provjera prijevoda adrese priključka (PAT)

Za provjeru PAT-a koriste se iste naredbe kao i za uobičajeni NAT. Tim prikaži ip nat prijevode prikazuje prijevode IP adresa zajedno s portovima i naredbama prikaži ip nat statistiku prikazuje informacije o broju i vrsti aktivnih prijenosa, NAT konfiguracijskim parametrima, broju adresa u skupu i broju dodijeljenih adresa.

Router#show ip nat statistika Ukupno aktivnih prijevoda: 2 (0 statična, 2 dinamička; 2 proširena) Najveći broj prijevoda: 2, dogodio se prije 00:00:07 Vanjska sučelja: Serial0/1/0 Unutarnja sučelja: Serial0/0/0 Hits :4 Promašeni:0 CEF prevedeni paketi: 4, CEF puntirani paketi:0 Istekli prijevodi: 0 Dinamička mapiranja: -- Inside Source access-list 1 pool MerionNetworksPool2 refcount 2 pool MerionNetworksPool2: mrežna maska ​​255.255.255.0 početak 208.165.100.5 kraj 208.165 .100.15 generički tip, ukupno adresara 10, dodijeljeno 1 (10%), promašaja 0 Ukupno vrata: 0 Appl vrata: 0 Normalna vrata: 0 Paketi u čekanju: 0

Također možete koristiti debug za pronalaženje problema, koji se pokreće naredbom debug ip nat, koji prikazuje informacije o svakom paketu koji emitira usmjerivač. Također možete koristiti naredbu debug ip nat detaljno, koji generira opis svakog paketa. Ova naredba također pruža informacije o raznim pogreškama, kao što je neuspjeh dodjele globalne adrese. Međutim, ova naredba je zahtjevnija za resurse uređaja.

Router#debug ip nat IP NAT debugging je na Router# *24. kolovoza 16:20:331:670: NAT*: s=192.168.1.10->208.165.99.225 d=208.165.101.20 *24. kolovoza 16:20:331: 682: NAT*: s=208.165.101.20 d=208.165.99.225 ->192.168.1.10 *24. kolovoza 16:20:331:698: NAT*: s=192.168.1.10->208.165.99.225 d=208.165. 101,20 * 24. kolovoza 16:20:331:702: NAT*: s=192.168.1.10->208.165.99.225 d=208.165.101.20 *24. kolovoza 16:20:331:710: NAT*: s=208.165.101.20 d=208.165 .99.225 ->192.168.1.10

U izlazu se koriste sljedeći simboli i vrijednosti:

• * (zvjezdica) – zvjezdica s NAT-om označava da se prijenos odvija duž putanje s brzim prebacivanjem. Prvi paket u razgovoru uvijek je sporiji, ostali paketi putuju kroz stazu s brzim prebacivanjem.
• s=- izvorna IP adresa
• a.b.c.d ? w.x.y.z- ova vrijednost označava da je izvorna adresa a.b.c.d prevedena u w.x.y.z.
• d=- Odredišna IP adresa
• - vrijednost u zagradama je IP identifikacijski broj.

Je li vam ovaj članak bio koristan?

Molim te reci mi zašto?

Žao nam je što vam članak nije bio od koristi: (Molimo, ako nije teško, navedite zašto? Bit ćemo vam vrlo zahvalni za detaljan odgovor. Hvala vam što ste nam pomogli da postanemo bolji!

2 32 ili 4 294 967 296 IPv4 jel to puno adresa? Izgleda tako. Međutim, s proliferacijom osobnih računala, mobilnih uređaja i brzim rastom Interneta, ubrzo je postalo očito da 4,3 milijarde IPv4 adresa neće biti dovoljno. Dugoročno rješenje bilo je IPv6, ali bilo je potrebno brže rješenje za rješavanje problema s nedostatkom adresa. I ova odluka je postala NAT (prijevod mrežne adrese).

Što je NAT

Mreže su obično dizajnirane korištenjem privatnih IP adresa. Ovo su adrese 10.0.0.0/8, 172.16.0.0/12 I 192.168.0.0/16 . Te se privatne adrese koriste unutar organizacije ili stranice kako bi se uređajima omogućila lokalna komunikacija i ne usmjeravaju se preko interneta. Da biste uređaju s privatnom IPv4 adresom omogućili pristup uređajima i resursima izvan lokalne mreže, privatna adresa mora prvo biti prevedena u javnu javnu adresu.

A upravo NAT pretvara privatne adrese u javne. To omogućuje uređaju s privatnom IPv4 adresom pristup resursima izvan njegove privatne mreže. NAT, u kombinaciji s privatnim IPv4 adresama, pokazao se kao korisna metoda za pohranu javnih IPv4 adresa. Jednu javnu IPv4 adresu mogu koristiti stotine, čak tisuće uređaja, svaki s privatnom IPv4 adresom. NAT ima dodatnu prednost dodavanja određenog stupnja privatnosti i sigurnosti mreži jer skriva interne IPv4 adrese od vanjskih mreža.

Usmjerivači koji podržavaju NAT mogu se konfigurirati s jednom ili više valjanih javnih IPv4 adresa. Ove javne adrese nazivaju se NAT skup. Kada uređaj na internoj mreži šalje promet s mreže prema van, NAT-omogućeni usmjerivač prevodi internu IPv4 adresu uređaja u javnu adresu iz NAT skupa. Vanjskim uređajima se čini da sav promet koji ulazi i izlazi iz mreže ima javnu IPv4 adresu.

NAT router obično radi na granici Stub- mreže Stup mreža je stub mreža koja ima jednu vezu sa susjednom mrežom, jedan ulaz i izlaz iz mreže.

Kada uređaj unutar Stub mreže želi komunicirati s uređajem izvan svoje mreže, paket se prosljeđuje graničnom usmjerivaču i on izvodi NAT proces, prevodeći internu privatnu adresu uređaja u javnu, vanjsku adresu koja se može usmjeravati.

NAT terminologija

U NAT terminologiji, interna mreža je skup mreža koje treba prevesti. Vanjska mreža se odnosi na sve ostale mreže.

Kada koristite NAT, IPv4 adrese imaju različite oznake ovisno o tome jesu li na privatnoj mreži ili javnoj mreži (Internet) i je li promet dolazni ili odlazni.

NAT uključuje četiri vrste adresa:

• Unutar lokalne adrese;
• Unutar globalne adrese;
• Izvan lokalne adrese;
• Vanjska globalna adresa;

Prilikom određivanja koja se vrsta adrese koristi, važno je zapamtiti da se NAT terminologija uvijek primjenjuje u smislu uređaja s prevedenom adresom:

• Unutarnja adresa- adresu uređaja koju NAT prevodi;
• Vanjska adresa- adresu odredišnog uređaja;
• Lokalna adresa- ovo je bilo koja adresa koja se prikazuje na internom dijelu mreže;
• Globalna adresa- ovo je bilo koja adresa koja se prikazuje na vanjskom dijelu mreže;

Pogledajmo ovo pomoću primjera dijagrama.

Na slici PC ima unutarnju lokalnu ( Unutar lokalnog) adresa je 192.168.1.5 i sa svoje točke gledišta web poslužitelj ima vanjski ( vani) adresa 208.141.17.4. Kada se paketi šalju s računala na globalnu adresu web poslužitelja, interni lokalni ( Unutar lokalnog) PC adresa je prevedena u 208.141.16.5 ( unutar globalnog). Adresa vanjskog uređaja obično se ne prevodi jer je to javna IPv4 adresa.

Vrijedno je napomenuti da računalo ima različite lokalne i globalne adrese, dok web poslužitelj ima istu javnu IP adresu. S njegove točke gledišta, promet koji potječe s osobnog računala dolazi s interne globalne adrese 208.141.16.5. NAT usmjerivač je točka razgraničenja između internih i vanjskih mreža te između lokalnih i globalnih adresa.

Pojmovi iznutra I vani, u kombinaciji s pojmovima lokalni I globalno za povezivanje na određene adrese. Na slici je usmjerivač konfiguriran za pružanje NAT-a i ima skup javnih adresa za dodjelu internim hostovima.

Na slici je prikazano kako se promet šalje s internog računala na vanjski web poslužitelj, preko usmjerivača omogućenog za NAT, te se prosljeđuje i prosljeđuje u suprotnom smjeru.

Interna lokalna adresa ( Unutar lokalne adrese) - adresa izvora vidljiva iz interne mreže. Na slici je PC-u dodijeljena adresa 192.168.1.5 - to je njegova interna lokalna adresa.

Interna globalna adresa ( Unutar globalne adrese) - adresa izvora vidljiva iz vanjske mreže. Na slici, kada se promet s računala šalje na web poslužitelj na 208.141.17.4, usmjerivač prevodi internu lokalnu adresu ( Unutar lokalne adrese) na unutarnju globalnu adresu ( Unutar globalne adrese). U ovom slučaju usmjerivač mijenja IPv4 izvornu adresu s 192.168.1.5 na 208.141.16.5.

Vanjska globalna adresa ( Vanjska globalna adresa) - adresa primatelja, vidljiva iz vanjske mreže. Ovo je globalno usmjeriva IPv4 adresa dodijeljena hostu na Internetu. U dijagramu je web poslužitelj dostupan na adresi 208.141.17.4. Najčešće su vanjske lokalne i vanjske globalne adrese iste.

Vanjska lokalna adresa ( Izvan lokalne adrese) - adresa primatelja vidljiva iz interne mreže. U ovom primjeru računalo šalje promet na web poslužitelj na 208.141.17.4

Razmotrimo cijeli put paketa. Računalo s adresom 192.168.1.5 pokušava komunicirati s web poslužiteljem 208.141.17.4. Kada paket stigne na usmjerivač s omogućenom NAT-om, on čita IPv4 odredišnu adresu paketa kako bi utvrdio ispunjava li paket kriterije navedene za prijevod. U ovom primjeru izvorna adresa zadovoljava kriterije i prevedena je s 192.168.1.5 ( Unutar lokalne adrese) na 208.141.16.5. ( Unutar globalne adrese). Usmjerivač dodaje ovo preslikavanje lokalne u globalnu adresu u NAT tablicu i šalje paket s prevedenom izvornom adresom na odredište. Web poslužitelj odgovara paketom adresiranim na internu globalnu adresu osobnog računala (208.141.16.5). Usmjerivač prima paket s odredišnom adresom 208.141.16.5 i provjerava NAT tablicu, gdje pronalazi unos za ovo mapiranje. Koristi ove informacije i prevodi natrag unutarnju globalnu adresu (208.141.16.5) u unutarnju lokalnu adresu (192.168.1.5) i paket se prosljeđuje prema računalu.

NAT vrste

Postoje tri vrste NAT prijevoda:

• Prijevod statičke adrese (statički NAT)- mapiranje adresa jedan na jedan između lokalnih i globalnih adresa;
• Dinamički prijevod adresa (Dynamic NAT)- mapiranje više-na-više adresa između lokalnih i globalnih adresa;
• Prijevod adrese priključka (NAT)- multicast mapiranje adresa između lokalnih i globalnih adresa pomoću portova. Ova metoda je također poznata kao NAT preopterećenje;

Statički NAT koristi mapiranje jedan na jedan lokalnih i globalnih adresa. Ova mapiranja konfigurira mrežni administrator i ostaju trajna. Kada uređaji šalju promet na Internet, njihove interne lokalne adrese prevode se u konfigurirane interne globalne adrese. Za vanjske mreže ovi uređaji imaju javne IPv4 adrese. Statički NAT posebno je koristan za web poslužitelje ili uređaje koji moraju imati dosljednu adresu dostupnu s interneta, kao što je web poslužitelj tvrtke. Statički NAT zahtijeva dovoljan broj javnih adresa kako bi se zadovoljio ukupni broj istodobnih korisničkih sesija.

Statička NAT tablica izgleda ovako:

Dinamički NAT koristi skup javnih adresa i dodjeljuje ih po načelu tko prvi dođe, prvi poslužen. Kada interni uređaj zatraži pristup vanjskoj mreži, dinamički NAT dodjeljuje dostupnu javnu IPv4 adresu iz skupa. Kao i statički NAT, dinamički NAT zahtijeva dovoljan broj javnih adresa kako bi se zadovoljio ukupni broj istodobnih korisničkih sesija.

Dinamička NAT tablica izgleda ovako:

Prijevod adrese priključka (PAT)

POGLADITI emitira više privatnih adresa na jednu ili više javnih adresa. To radi većina kućnih usmjerivača. ISP dodjeljuje jednu adresu usmjerivaču, ali više članova obitelji može pristupiti internetu istovremeno. Ovo je najčešći oblik NAT-a.

S PAT-om se više adresa može preslikati na jednu ili više adresa jer se svaka privatna adresa također prati brojem priključka. Kada uređaj započne sesiju TCP/IP, generira vrijednost izvornog porta TCP ili UDP za jedinstvenu identifikaciju sesije. Kada NAT usmjerivač primi paket od klijenta, koristi svoj izvorni broj porta za jedinstvenu identifikaciju specifičnog NAT prijevoda. PAT osigurava da uređaji koriste različit broj TCP priključka za svaku sesiju. Kada se odgovor vrati s poslužitelja, izvorni broj porta, koji postaje odredišni broj porta na povratnoj stazi, određuje kojem uređaju usmjerivač prosljeđuje pakete.

Slika ilustrira PAT proces. PAT dodaje jedinstvene izvorne brojeve portova unutarnjoj globalnoj adresi kako bi razlikovao prijevode.

Dok usmjerivač obrađuje svaki paket, koristi broj porta (1331 i 1555, u ovom primjeru) za identifikaciju uređaja s kojeg je paket potekao.

Izvorna adresa ( Izvorna adresa) je interna lokalna adresa s dodanim brojem porta koji dodjeljuje TCP/IP. Adresa odredišta ( Adresa odredišta) je vanjska lokalna adresa s dodanim brojem servisnog priključka. U ovom primjeru port usluge je 80: HTTP.

Za izvorišnu adresu, usmjerivač prevodi unutarnju lokalnu adresu u unutarnju globalnu adresu s dodanim brojem priključka. Odredišna adresa se ne mijenja, ali se sada naziva vanjska globalna IP adresa. Kada web poslužitelj odgovori, put se obrće.

U ovom primjeru, brojevi portova klijenta 1331 i 1555 nisu promijenjeni na NAT usmjerivaču. Ovo nije vrlo vjerojatan scenarij jer postoji dobra šansa da su ovi brojevi priključaka već bili pridruženi drugim aktivnim sesijama. PAT pokušava sačuvati izvorni port izvora. Međutim, ako je originalni izvorni port već u upotrebi, PAT dodjeljuje prvi dostupni broj porta, počevši od početka odgovarajuće grupe portova 0-511, 512-1023 ili 1024-65535 . Kada više nema priključaka i postoji više od jedne vanjske adrese u skupu adresa, PAT se pomiče na sljedeću adresu kako bi pokušao dodijeliti originalni izvorni priključak. Ovaj proces se nastavlja sve dok više ne budu dostupni portovi ili vanjske IP adrese.

To jest, ako drugi host može odabrati isti broj porta 1444. To je prihvatljivo za internu adresu jer hostovi imaju jedinstvene privatne IP adrese. Međutim, na NAT usmjerivaču, brojevi priključaka moraju se promijeniti - inače će paketi s dva različita računala napustiti njega s istom izvornom adresom. Stoga PAT dodjeljuje sljedeći dostupni port (1445) drugoj adresi glavnog računala.

Rezimirajmo usporedbu između NAT-a i PAT-a. Kao što možete vidjeti iz tablica, NAT prevodi IPv4 adrese u omjeru 1:1 između privatnih IPv4 adresa i javnih IPv4 adresa. Međutim, PAT mijenja i samu adresu i broj porta. NAT prosljeđuje dolazne pakete na njihovu internu adresu na temelju dolazne izvorne IP adrese koju daje host na javnoj mreži, a s PAT-om obično postoji samo jedna ili vrlo malo javno izloženih IPv4 adresa i dolazni paketi se prosljeđuju na temelju NAT tablice usmjerivača. .

Što je s IPv4 paketima koji sadrže podatke koji nisu TCP ili UDP? Ovi paketi ne sadrže broj porta razine 4. PAT prevodi najčešće protokole koje prenosi IPv4, a koji ne koriste TCP ili UDP kao protokol prijenosnog sloja. Najčešći od njih su ICMPv4. Svakim od ovih tipova protokola PAT upravlja drugačije. Na primjer, ICMPv4 poruke zahtjeva, echo zahtjevi i odgovori uključuju ID zahtjeva ID upita. ICMPv4 koristi ID upita. za identifikaciju echo zahtjeva s odgovarajućim odgovorom. ID zahtjeva se povećava sa svakim poslanim pingom. PAT koristi ID zahtjeva umjesto broja porta razine 4.

Prednosti i nedostaci NAT-a

NAT pruža mnoge prednosti, uključujući:

• NAT čuva registriranu shemu adresiranja, dopuštajući privatizaciju intraneta. Uz PAT, interni hostovi mogu dijeliti jednu javnu IPv4 adresu za sve vanjske komunikacije. U ovoj vrsti konfiguracije, potrebno je vrlo malo vanjskih adresa za podršku mnogim internim hostovima;
• NAT povećava fleksibilnost povezivanja s javnom mrežom. Više skupova, rezervnih skupova i skupova za balansiranje opterećenja mogu se implementirati kako bi se osigurale pouzdane javne mrežne veze;

NAT osigurava dosljednost za sheme internog adresiranja mreže. Na mreži koja ne koristi privatne IPv4 adrese i NAT, promjena cjelokupne sheme IPv4 adresa zahtijeva preusmjeravanje svih hostova na postojećoj mreži. Trošak prosljeđivanja hosta može biti značajan. NAT dopušta da postojeća privatna IPv4 shema adresiranja ostane dok omogućuje jednostavnu promjenu nove javne sheme adresiranja. To znači da organizacija može promijeniti pružatelje usluga i ne mora mijenjati nijednog svog internog korisnika;

• NAT pruža mrežnu sigurnost. Budući da privatne mreže ne reklamiraju svoje adrese ili internu topologiju, one ostaju prilično sigurne kada se koriste u kombinaciji s NAT-om za postizanje kontroliranog vanjskog pristupa. Međutim, morate razumjeti da NAT ne zamjenjuje vatrozid;

Ali NAT ima neke nedostatke. Činjenica da se čini da hostovi na Internetu komuniciraju izravno s uređajem s omogućenim NAT-om, a ne sa stvarnim hostom unutar privatne mreže, stvara niz problema:

• Jedan od nedostataka korištenja NAT-a povezan je s performansama mreže, posebno za protokole u stvarnom vremenu kao što su VoIP. NAT povećava kašnjenje prebacivanja jer je potrebno vrijeme za prevođenje svake IPv4 adrese u zaglavlja paketa;
• Još jedan nedostatak korištenja NAT-a je taj što se gubi end-to-end adresiranje. Mnogi internetski protokoli i aplikacije ovise o adresiranju s kraja na kraj od izvora do odredišta. Neke aplikacije ne rade s NAT-om. Aplikacije koje koriste fizičke adrese umjesto kvalificiranog naziva domene ne dosežu odredišta koja su prevedena kroz NAT usmjerivač. Ponekad se ovaj problem može izbjeći implementacijom statičkih NAT mapiranja;
• End-to-end IPv4 praćenje također se gubi. Teže je pratiti pakete koji su podvrgnuti višestrukim promjenama adresa paketa tijekom više NAT skokova, što otežava rješavanje problema;
• Upotreba NAT-a također otežava protokole tuneliranja kao što je IPsec jer NAT mijenja vrijednosti u zaglavljima koja ometaju provjere integriteta koje provode IPsec i drugi protokoli tuneliranja;
• Usluge koje zahtijevaju da se TCP veze pokrenu s vanjske mreže ili protokoli bez statusa poput onih koji koriste UDP mogu biti prekinuti. Ako NAT usmjerivač nije konfiguriran da podržava takve protokole, dolazni paketi ne mogu doći do svog odredišta;

Je li vam ovaj članak bio koristan?

Molim te reci mi zašto?

Žao nam je što vam članak nije bio od koristi: (Molimo, ako nije teško, navedite zašto? Bit ćemo vam vrlo zahvalni za detaljan odgovor. Hvala vam što ste nam pomogli da postanemo bolji!

Pozdrav svima, danas ćemo govoriti o tome kako konfigurirati Cisco NAT. Što je NAT i zašto je općenito potreban, budući da je ova funkcionalnost odavno čvrsto uspostavljena u našem svakodnevnom životu i sada je vrlo teško zamisliti barem jedno poduzeće koje ne koristi ovu tehnologiju. Svojedobno je to spasilo internet i uvelike odgodilo prijelaz s ipv4 na ipv6, ali po redu.

Što je NAT

NAT (Network Address Translation) je mehanizam za pretvorbu mrežnih adresa; pojednostavljeno rečeno, to je tehnologija koja omogućuje gomili privatnih ili sivih IP adresa da sjednu iza jedne bijele IP adrese. Primjer bi bio uredski internet, gdje svi korisnici koriste zajednički pristupnik, koji je konfiguriran s IP adresom koja se povezuje na internet, tako da korisnici imaju konfigurirane lokalne IP adrese.

Izgleda otprilike ovako

Vrste NAT-a

• Statički NAT - pretvaranje sive IP adrese u bijelu, primjer prosljeđivanja porta na lokalnu mrežu, na primjer RDP
• Dinamički NAT - pretvaranje sive IP adrese u jednu od IP adresa grupe bijelih IP adresa
• Preopterećeni NAT ili kako se još naziva PAT (port Address translation), pretvara nekoliko sivih IP adresa u bijele, dajući im različite priključke.

Danas ćemo pogledati statički NAT i PAT.

Postavljanje Cisco NAT-a

Ovako izgleda raspored malog ureda. Imamo 3 računala u vlanu 2, postoji poslužitelj u zasebnom vlanu 3. Sve te stvari povezane su s Cisco 2660 preklopnikom druge razine, koji je pak priključen na usmjerivač Cisco 1841, koji usmjerava lokalni promet između vlana 2 i 3.

Postavljanje Cisco 2960

Kreirajmo vlan 2 i vlan3, dajmo im imena i konfigurirajmo potrebne portove na tim vlanovima.

omogućiti
konf t
stvoriti vlan 2
vlan 2
ime VLAN2
Izlaz
stvoriti vlan 3
vlan 3
ime VLAN3
Izlaz
Stavili smo portove u vlan2
unutarnje područje fa0/1-3
pristup načinu switchport
switchport pristup vlan 2
Izlaz
Postavite port u vlan3
int fa 0/4
pristup načinu switchport
switchport pristup vlan 3
Izlaz

int fa 0/5
switchport mode trunk
switchport trunk dozvoljen vlan 2,3
do wr mem

Postavljanje Cisco 1841

Prije svega, stvorimo podsučelja i podignimo port.

omogućiti
konf t
int fa0/0
nema gašenja
Izlaz

int fa0/0.2
inkapsulacija dot1Q 2
ip adresa 192.168.2.251 255.255.255.0
nema gašenja
Izlaz

int fa0/0.3
inkapsulacija dot1Q 3
ip adresa 192.168.3.251 255.255.255.0
nema gašenja
Izlaz

Zbog toga je luka postala zelena

PAT postavljanje

U mojoj virtualnoj infrastrukturi, nažalost, naša shema se ne može objaviti na Internetu, emuliramo je, imat ćemo usmjerivač s bijelom IP adresom i poslužitelj također s bijelom IP adresom. Shematski to izgleda ovako. Na usmjerivaču pružatelja usluga određenom priključku dodijeljena je bijela IP adresa 213.235.1.1 i mrežna maska ​​255.255.255.252

Konfigurirajmo ovu IP adresu na usmjerivaču našeg testnog davatelja usluga.

hr
konf t
int fa0/0
ip adresa 213.235.1.1 255.255.255.252
nema gašenja
Izlaz

Konfigurirajmo port fa0/1 koji gledamo na poslužitelju i dajmo mu još jedan bijeli ip 213.235.1.25 255.255.255.252

int fa0/1
ip adresa 213.235.1.25 255.255.255.252
nema gašenja
Izlaz

Moj poslužitelj će imati IP adresu 213.235.1.26, a pristupnik će biti 213.235.1.25, sučelje usmjerivača pružatelja koji gleda na poslužitelj.

Sada konfigurirajmo naš lokalni usmjerivač Router0, konfigurirajmo ga s bijelom IP adresom koju nam je dodijelio naš pružatelj usluga 213.235.1.2 255.255.255.252, pristupnik će biti 213.235.1.1

omogućiti
konf t
int fa0/1
ip adresa 213.235.1.2 255.255.255.252
nema gašenja
Izlaz
ip ruta 0.0.0.0 0.0.0.0 213.235.1.1
Izlaz
wr mem

Pokušavamo pingati IP adrese davatelja i poslužitelja s uredskog usmjerivača i vidimo da sve radi dobro.

Usmjerivač#ping 213.235.1.1

Stopa uspješnosti je 80 posto (4/5), povratni put min/prosjek/maks = 0/0/0 ms

Usmjerivač#ping 213.235.1.1

Upišite escape sekvencu za pobačaj.

Slanje 5, 100-bajtnih ICMP odjeka na 213.235.1.1, vrijeme čekanja je 2 sekunde:

Stopa uspjeha je 100 posto (5/5), min./pros./maks. = 0/0/1 ms

Usmjerivač#ping 213.235.1.2

Upišite escape sekvencu za pobačaj.

Slanje 5, 100-bajtnih ICMP odjeka na 213.235.1.2, vrijeme čekanja je 2 sekunde:

Stopa uspješnosti je 100 posto (5/5), povratni min/prosjek/maks = 0/9/17 ms

Usmjerivač#ping 213.235.1.25

Upišite escape sekvencu za pobačaj.

Slanje 5, 100-bajtnih ICMP odjeka na 213.235.1.25, vrijeme čekanja je 2 sekunde:

Usmjerivač#ping 213.235.1.26

Upišite escape sekvencu za pobačaj.

Slanje 5, 100-bajtnih ICMP odjeka na 213.235.1.26, vrijeme čekanja je 2 sekunde:

Stopa uspjeha je 100 posto (5/5), min./pros./maks. = 0/0/0 ms

Pa i sam nating. Na lokalnom usmjerivaču radimo sljedeće. Sada treba postaviti koje će se nat sučelje smatrati vanjskim, a koje internim, ovdje će jednostavno sve biti eksterno gdje je konfigurirana bijela IP adresa provajdera, interno će biti ono što je spojeno na switch druge razine. fa0/1 bit će vanjski, a dva podsučelja bit će interna.

omogućiti
konf t
int fa0/1
ip nat izvana
Izlaz
int fa0/0.2
ip nat unutra
int fa0/0.3
ip nat unutra
Izlaz

Postavljanje popisa pristupa

Pristupna lista je popis koji promet treba NAT-ovati, a koji bi trebao raditi bez NAT-a.

Stvaranje pristupne liste prema NAT imenu

ip pristupna lista standardni NAT
Dozvolite dva bazena
dozvola 192.168.2.0 0.0.0.255
dozvola 192.168.3.0 0.0.0.255

0.0.0.255 su zamjenski znakovi

Kao što vidite, imamo popis pristupa u našoj konfiguraciji i portovi su označeni koji su vanjski, a koji su unutra.

I unosimo još jednu čarobnu naredbu, koja kaže da se promet koji dolazi na fa0/1 mora usmjeravati prema NAT pravilu. Na kraju smo postavili PAT.

ip nat unutar popisa izvora NAT sučelje fa0/1 preopterećenje

Spremi sve što radiš me

Provjerimo dostupnost vanjskih resursa s računala lokalne mreže. Pogledajmo trenutne konfiguracije pomoću naredbe ipconfig, vidimo IP adresu 192.168.2.1, ping 213.235.1.26, kao što vidite sve je u redu i NAT cisco radi.