და თქვენ გადახედეთ ვებ საიტის გვერდებს. დიდი შანსია, რომ ახლავე იყენებთ ქსელის მისამართის თარგმანს (NAT).

ვერავინ წარმოიდგენდა ინტერნეტის ზრდას, რასაც დღეს ვხედავთ. მიუხედავად იმისა, რომ მისი ზუსტი ზომა უცნობია, შეფასებები მიუთითებს, რომ ინტერნეტში არის დაახლოებით 100 მილიონი აქტიური კვანძი და 350 მილიონზე მეტი მომხმარებელი. ინტერნეტის ზრდის ტემპი ისეთია, რომ მისი ზომა ყოველწლიურად ორმაგდება.

რა კავშირი აქვს ქსელის მისამართის თარგმნას ინტერნეტის ზომასთან? ყველაზე პირდაპირი! იმისათვის, რომ ამ კომპიუტერმა შეძლოს კომუნიკაცია სხვა კომპიუტერებთან და ვებ სერვერებთან ინტერნეტით, მას უნდა ჰქონდეს საკუთარი IP მისამართი. IP მისამართი (IP ნიშნავს ინტერნეტ პროტოკოლს) არის უნიკალური 32-ბიტიანი ნომერი, რომელიც განსაზღვრავს მოცემული კომპიუტერის მდებარეობას ქსელში. ძირითადად, ის თქვენი სახლის მისამართის მსგავსად ფუნქციონირებს - ეს არის თქვენი კომპიუტერის ზუსტი მდებარეობის პოვნისა და ინფორმაციის მიწოდების საშუალება.

IP მისამართი

როდესაც პირველად გამოჩნდა IP მისამართი, ყველას სჯეროდა, რომ საკმარისი მისამართები იყო ნებისმიერი საჭიროების დასაკმაყოფილებლად. თეორიულად, სულ შეიძლება იყოს 4,294,967,296 უნიკალური მისამართი (232). გამოსაყენებლად ხელმისაწვდომი მისამართების რეალური რაოდენობა გარკვეულწილად ნაკლებია (დაახლოებით 3.2-დან 3.3 მილიარდამდე), იმის გამო, რომ მისამართები კლასიფიცირდება კლასებად და ის ფაქტი, რომ გარკვეული მისამართები დაცულია მულტიკასტინგისთვის, ტესტირებისთვის და სხვა სპეციალური საჭიროებისთვის.

ინტერნეტის ფეთქებადი ზრდის, სახლის და კორპორატიული ქსელების ზრდის კონტექსტში, უბრალოდ არ არის საკმარისი ხელმისაწვდომი IP მისამართები. აშკარა გამოსავალი არის მისამართის ფორმატის შეცვლა ისე, რომ მეტი მისამართი იყოს ხელმისაწვდომი. ასეთი სისტემა შემოვიდა (ე.წ. IPv6), მაგრამ მის დანერგვას რამდენიმე წელი დასჭირდება, რადგან ის მოითხოვს ინტერნეტის მთელი სტრუქტურის განახლებას.

სამაშველოში მოდის NAT სისტემა (RFC 1631). ქსელის მისამართის თარგმნა საშუალებას აძლევს ერთ მოწყობილობას, როგორიცაა როუტერი, იმოქმედოს როგორც შუამავალი ინტერნეტს (ან „საჯარო ქსელს“) და ადგილობრივ (ან „პირად“) ქსელს შორის. ეს ნიშნავს, რომ მხოლოდ ერთი უნიკალური IP მისამართია საჭირო კომპიუტერების მთელი ჯგუფის წარმოსადგენად.

ამასთან, IP მისამართების ნაკლებობა მხოლოდ ერთ-ერთი მიზეზია, რის გამოც NAT გამოიყენება. ჩვენი სტატია ეძღვნება ამ სისტემის უპირატესობებსა და მახასიათებლებს. პირველ რიგში, მოდით უფრო ახლოს მივხედოთ რა არის NAT და როგორ მუშაობს ეს სისტემა...

როგორ მუშაობს NAT სისტემა

NAT სისტემა ჰგავს მდივანს დიდ ოფისში. დავუშვათ, რომ თქვენ მას აძლევთ მითითებებს, რომ არ დაგიკავშირდეთ ვინმესთან, ვინც ტელეფონზე დარეკავს, სანამ არ მისცემთ ნებართვას ასეთი ქმედებების შესახებ. მოგვიანებით, თქვენ ურეკავთ პოტენციურ კლიენტს და უტოვებთ შეტყობინებას, რომ დაგირეკოთ. თქვენ ეუბნებით მდივანს, რომ ელოდებით კლიენტისგან ზარს და უბრძანებთ, რომ უზრუნველყოს კავშირი, როდესაც ის დარეკავს.

კლიენტი აკრიფებს ოფისის მთავარ ტელეფონის ნომერს, რადგან ეს არის ერთადერთი ნომერი, რომელიც მან იცის. კლიენტი ეუბნება მდივანს, რომ მას სურს თქვენთან დაკავშირება, მდივანი ამოწმებს საძიებო ცხრილს, რომელშიც ნაჩვენებია თქვენი სახელი და თქვენი ტელეფონის გაფართოება. მიმღებმა იცის, რომ თქვენ კლიენტს აკრიფეთ ავტორიზაცია, ამიტომ ის ანაცვლებს აბონენტს თქვენს გაფართოებაზე.

ქსელის მისამართის მთარგმნელობითი სისტემა

ქსელის მისამართის თარგმნის სისტემა, რომელიც შემუშავებულია Cisco-ს მიერ, გამოიყენება მოწყობილობის (როუტერი ან კომპიუტერი) მიერ, რომელიც აკავშირებს შიდა ქსელს დანარჩენ მსოფლიოსთან. ქსელის მისამართის თარგმნას შეუძლია მრავალი ფორმა მიიღოს და შეიძლება იმუშაოს სხვადასხვა გზით:

• სტატიკური ქსელის მისამართების თარგმანი არის არარეგისტრირებული IP მისამართის რეგისტრირებულ IP მისამართად ერთი-ერთზე გადაყვანა. განსაკუთრებით სასარგებლოა, როდესაც გჭირდებათ მოწყობილობაზე წვდომა ადგილობრივი ქსელის გარედან.
• დინამიური ქსელის მისამართის თარგმანი - გარდაქმნის არარეგისტრირებულ IP მისამართს რეგისტრირებულ IP მისამართად რეგისტრირებული IP მისამართების ჯგუფიდან.
• გადატვირთვა არის დინამიური თარგმანის ფორმა, რომელიც გარდაქმნის ბევრ არარეგისტრირებულ IP მისამართს ერთ რეგისტრირებულ მისამართად სხვადასხვა პორტების გამოყენებით. ამ პროცედურას ასევე უწოდებენ PAT (პორტის მისამართის თარგმანი), unicast NAT ან მულტიპლექსირებული NAT პორტის დონეზე.
• შესატყვისი - როდესაც თქვენს ქსელში გამოყენებული მისამართები არის რეგისტრირებული IP მისამართები, რომლებიც გამოიყენება სხვა ქსელში, როუტერმა უნდა შეინახოს ამ მისამართების თარგმანის ცხრილი, ჩაჭრას ისინი და შეცვალოს ისინი რეგისტრირებული უნიკალური IP მისამართებით. მნიშვნელოვანია აღინიშნოს, რომ NAT როუტერმა უნდა თარგმნოს "შიდა" მისამართები რეგისტრირებულ უნიკალურ მისამართებად, ასევე "გარე" რეგისტრირებული მისამართები კერძო ქსელში უნიკალური მისამართებით. ეს ოპერაცია შეიძლება განხორციელდეს ქსელის მისამართების სტატიკური თარგმანის გამოყენებით, ან დომენის სახელების სისტემის (DNS) გამოყენებით და ქსელის მისამართების დინამიური თარგმანის დანერგვით.

შიდა ქსელი, როგორც წესი, არის ლოკალური ქსელი (LAN, ლოკალური ქსელი), რომელსაც ხანდახან უწოდებენ სტუბ დომენს. Stub დომენი არის ლოკალური ქსელი, რომლის ფარგლებშიც გამოიყენება IP მისამართები. ქსელის ტრაფიკის უმეტესი ნაწილი სტუბ დომენში ლოკალურია და არ სცილდება შიდა ქსელს. Stub დომენი შეიძლება შეიცავდეს როგორც რეგისტრირებულ, ისე არარეგისტრირებულ IP მისამართებს. რა თქმა უნდა, ყველა კომპიუტერმა, რომელსაც მინიჭებული აქვს არარეგისტრირებული IP მისამართები, უნდა გამოიყენოს ქსელის მისამართების თარგმანი დანარჩენ სამყაროსთან კომუნიკაციისთვის.

NAT შეიძლება კონფიგურირებული იყოს სხვადასხვა გზით. ქვემოთ მოყვანილ მაგალითში NAT როუტერი კონფიგურირებულია იმისათვის, რომ თარგმნოს კერძო (შიდა) ქსელში გამოყენებული არარეგისტრირებული (შიდა, ლოკალური) IP მისამართები რეგისტრირებულ IP მისამართებად. ეს პროცედურა ტარდება ყოველ ჯერზე, როცა შიდა ქსელში დაურეგისტრირებელი მისამართის მქონე მოწყობილობას სჭირდება კომუნიკაცია საჯარო ქსელთან (გარე).

• თქვენი ISP ანიჭებს IP მისამართებს თქვენს კომპანიას. დამაგრებულ ჯგუფში მისამართები არის რეგისტრირებული IP მისამართები და უწოდებენ შიდა გლობალურ მისამართებს. არარეგისტრირებული, პირადი IP მისამართები იყოფა ორ ჯგუფად. ერთი მცირე ჯგუფი (გარე ლოკალური მისამართები) გამოიყენება NAT მარშრუტიზატორებით. მეორე, ბევრად უფრო დიდი ჯგუფი, რომელსაც ეწოდება ლოკალური მისამართები, გამოიყენება stub დომენში. გარე ლოკალური მისამართები გამოიყენება მოწყობილობებისთვის უნიკალური IP მისამართების ფორმირებისთვის, რომელსაც ეწოდება გარე გლობალური მისამართები, საჯარო ქსელში წვდომისთვის.
• კომპიუტერების უმეტესობა stub domain-ში ურთიერთობს ერთმანეთთან შიდა ლოკალური მისამართების გამოყენებით.
• ზოგიერთი უცვლელი დომენის კომპიუტერი ხშირად ურთიერთობს მოწყობილობებთან ლოკალური ქსელის გარეთ. ამ კომპიუტერებს აქვთ შიდა გლობალური მისამართები, რომლებიც არ საჭიროებს თარგმნას.
• როდესაც სტუბ დომენის კომპიუტერს შიდა ლოკალური მისამართით სჭირდება კომუნიკაცია კომპიუტერთან ლოკალური ქსელის გარეთ, პაკეტი გადაეცემა ერთ-ერთ NAT მარშრუტიზატორს.
• NAT როუტერი ამოწმებს მარშრუტიზაციის ცხრილს, რათა ნახოს არის თუ არა ჩანაწერი დანიშნულების მისამართისთვის. თუ ასეთი ჩანაწერი არსებობს, NAT როუტერი თარგმნის პაკეტს და ქმნის მის ჩანაწერს მისამართების თარგმანის ცხრილში. თუ დანიშნულების მისამართი არ არის მარშრუტიზაციის ცხრილში, პაკეტი იგნორირებულია.
• შიდა გლობალური მისამართის გამოყენებით, როუტერი აგზავნის პაკეტს დანიშნულების ადგილზე.
• კომპიუტერი საჯარო ქსელში აგზავნის პაკეტს კერძო ქსელში. პაკეტის გამგზავნის მისამართი არის გარე გლობალური მისამართი. დანიშნულების მისამართი არის შიდა გლობალური მისამართი.
• NAT როუტერი ამოწმებს მისამართების თარგმნის ცხრილს და ადგენს, რომ არსებობს დანიშნულების მისამართი, რომელიც შეესაბამება კომპიუტერს სათაურ დომენში.
• NAT როუტერი თარგმნის პაკეტის შიდა გლობალურ მისამართს შიდა ლოკალურ მისამართად და გადასცემს პაკეტს შესაბამის კომპიუტერში.

NAT გადატვირთვა

გადატვირთვა NAT იყენებს TCP/IP პროტოკოლის კომპლექტის ფუნქციას, მულტიპლექსირებას, რომელიც კომპიუტერს საშუალებას აძლევს შექმნას რამდენიმე ერთდროული კავშირი ერთ ან მეტ დისტანციურ კომპიუტერთან სხვადასხვა TCP ან UDP პორტების გამოყენებით. IP პაკეტი შეიცავს სათაურს, რომელიც შეიცავს შემდეგ ინფორმაციას:

• წყაროს მისამართი - გამომგზავნი კომპიუტერის IP მისამართი, მაგალითად, 201.3.83.132
• გამგზავნის პორტი - TCP ან UDP პორტის ნომერი, რომელიც მინიჭებულია გამგზავნი კომპიუტერის მიერ ამ პაკეტისთვის, მაგალითად, პორტი 1080
• მიმღების მისამართი - მიმღების კომპიუტერის IP მისამართი, მაგალითად, 145.51.18.223
• დანიშნულების პორტი არის TCP ან UDP პორტის ნომერი, რომლის გახსნას კომპიუტერი მოითხოვს მიმღებ კომპიუტერს, მაგალითად, პორტი 3021.

მისამართები იდენტიფიცირებს ორ მანქანას თითოეულ ბოლოში, ხოლო პორტის ნომრები უზრუნველყოფს უნიკალურ იდენტიფიკატორს ორ კომპიუტერს შორის კავშირისთვის. ამ ოთხი ნომრის კომბინაცია განსაზღვრავს ერთ TCP/IP კავშირს. თითოეული პორტის ნომერი იყენებს 16 ბიტს, რაც ნიშნავს, რომ არსებობს 65,536 (216) შესაძლო მნიშვნელობა. პრაქტიკაში, იმის გათვალისწინებით, რომ სხვადასხვა მწარმოებლები პორტებს ოდნავ განსხვავებულად ასახავს, ​​შეგიძლიათ ველოდოთ, რომ დაახლოებით 4000 პორტი იქნება ხელმისაწვდომი.

NAT ან ქსელის მისამართის თარგმნა არის მეთოდი, რომლის საშუალებითაც შესაძლებელია ერთი მისამართის სივრცის მეორეზე გადანაწილება ქსელის მისამართის ინფორმაციის შეცვლით ინტერნეტ პროტოკოლში ან IP-ში. პაკეტების სათაურები იცვლება მარშრუტიზაციის მოწყობილობების მეშვეობით ტრანზიტის დროს. ეს მეთოდი თავდაპირველად გამოიყენებოდა IP ქსელებზე ტრაფიკის უფრო ადვილად გადამისამართებისთვის, თითოეული ჰოსტის დანომრვის საჭიროების გარეშე. ის გახდა მნიშვნელოვანი და პოპულარული ინსტრუმენტი გლობალური მისამართების სივრცის გამოყოფისა და შესანარჩუნებლად IPv4 მისამართების მწვავე დეფიციტის პირობებში.

რა არის NAT?

ქსელის მისამართების თარგმნის გამოყენება არის თითოეული მისამართის ერთ მისამართთა სივრცეში მისამართზე, რომელიც მდებარეობს სხვა მისამართების სივრცეში. ეს შეიძლება საჭირო გახდეს, თუ სერვისის პროვაიდერი შეიცვალა და მომხმარებელს არ აქვს შესაძლებლობა საჯაროდ განაცხადოს ახალი მარშრუტი ქსელში. NAT ტექნოლოგია სულ უფრო მეტად გამოიყენება 90-იანი წლების ბოლოდან მისამართების სივრცის გლობალური ამოწურვის კონტექსტში. როგორც წესი, ეს ტექნოლოგია გამოიყენება IP დაშიფვრასთან ერთად. IP დაშიფვრა არის მრავალი IP მისამართის ერთ სივრცეში გადატანის მეთოდი. ეს მექანიზმი დანერგილია მარშრუტიზაციის მოწყობილობაში, რომელიც იყენებს სტატუსიანი თარგმანის ცხრილებს ფარული მისამართების ერთ IP მისამართში გადასატანად. ის ასევე აგზავნის ყველა გამავალი IP პაკეტს გამოსავალზე. ამრიგად, ეს პაკეტები, როგორც ჩანს, ტოვებენ მარშრუტიზაციის მოწყობილობას. დაბრუნების ბმულზე პასუხები ასახულია წყაროს IP მისამართზე თარგმანის ცხრილებში შენახული წესების გამოყენებით. თავის მხრივ, თარგმანის ცხრილები იშლება მცირე ხნის შემდეგ, თუ ტრაფიკი არ განაახლებს თავის მდგომარეობას. ეს არის NAT-ის ძირითადი მექანიზმი. Რას ნიშნავს ეს? ეს ტექნოლოგია საშუალებას აძლევს როუტერის საშუალებით კომუნიკაციას მხოლოდ მაშინ, როდესაც კავშირი ხდება დაშიფრულ ქსელში, რადგან ეს ქმნის თარგმანის ცხრილებს. ასეთი ქსელის შიგნით, ვებ ბრაუზერს შეუძლია საიტის ნახვა მის გარეთ, მაგრამ როდესაც დაინსტალირდება მის გარეთ, მას არ შეუძლია გახსნას რესურსი, რომელიც მდებარეობს მასში. NAT მოწყობილობების უმეტესობა დღეს საშუალებას აძლევს ქსელის ადმინისტრატორს დააკონფიგურიროს თარგმანის ცხრილის ჩანაწერები მუდმივი გამოყენებისთვის. ეს ფუნქცია განსაკუთრებით ხშირად მოიხსენიება როგორც პორტის გადაგზავნა ან სტატიკური NAT. ის საშუალებას აძლევს "გარე" ქსელში წარმოშობილ ტრაფიკს მიაღწიოს დანიშნულ მასპინძლებს დაშიფრულ ქსელში. IPv4 მისამართის სივრცის შესანარჩუნებლად გამოყენებული მეთოდის პოპულარობის გამო, ტერმინი NAT პრაქტიკულად გახდა დაშიფვრის მეთოდის სინონიმი. იმის გამო, რომ ქსელის მისამართის თარგმანი ცვლის IP პაკეტების მისამართების ინფორმაციას, ამან შეიძლება სერიოზული შედეგები გამოიწვიოს კავშირის ხარისხზე. ამიტომ ის მოითხოვს დიდ ყურადღებას განხორციელების ყველა დეტალზე. NAT-ის გამოყენების გზები განსხვავდება ერთმანეთისგან მათი სპეციფიკური ქცევით სხვადასხვა სიტუაციებში, რაც დაკავშირებულია ქსელის ტრაფიკზე ზემოქმედებასთან.

ძირითადი NAT

NAT-ის უმარტივესი ტიპი IP მისამართების ერთი-ერთზე თარგმნის საშუალებას იძლევა. ამ თარგმანის ძირითადი ტიპია RFC-2663. ამ შემთხვევაში იცვლება მხოლოდ IP მისამართები, ასევე IP სათაურების საკონტროლო ჯამი. თქვენ შეგიძლიათ გამოიყენოთ თარგმანის ძირითადი ტიპები ორი IP ქსელის დასაკავშირებლად, რომლებსაც აქვთ შეუთავსებელი მისამართი.

NAT არომატების უმეტესობას შეუძლია მრავალი კერძო ჰოსტის დახატვა ერთ IP მისამართზე, რომელიც საჯაროდ არის დანიშნული. ტიპიური კონფიგურაციის LAN იყენებს ქვექსელის ერთ-ერთ „პირად“ IP მისამართს. ამ ქსელში როუტერს აქვს პირადი მისამართი სივრცეში. როუტერი ასევე აკავშირებს ინტერნეტს „საჯარო მისამართის“ გამოყენებით, რომელიც მინიჭებულია ინტერნეტ პროვაიდერის მიერ. ვინაიდან ტრაფიკი მომდინარეობს ადგილობრივი ინტერნეტიდან, წყაროს მისამართი თითოეულ პაკეტში ითარგმნება კერძოდან საჯაროზე. როუტერი ასევე აკონტროლებს ძირითად მონაცემებს თითოეული აქტიური კავშირის შესახებ. კერძოდ, ეს ეხება ისეთ ინფორმაციას, როგორიცაა დანიშნულების მისამართი და პორტი. როდესაც პასუხი მას უბრუნდება, ის იყენებს კავშირის მონაცემებს, რომლებიც ინახება გამავალი ფაზის დროს. ეს აუცილებელია იმისათვის, რომ განისაზღვროს კერძო შიდა ქსელის მისამართი, რომელზეც უნდა იყოს მიმართული პასუხი. ამ ფუნქციის მთავარი უპირატესობა ის არის, რომ ეს არის IPv4 მისამართის სივრცის ამოწურვის პრობლემის პრაქტიკული გადაწყვეტა. მსხვილ ქსელებსაც კი შეუძლიათ ინტერნეტთან დაკავშირება ერთი IP მისამართით. IP ქსელების ყველა დატაგრამის პაკეტს აქვს ორი IP მისამართი - წყაროს მისამართი და დანიშნულების მისამართი. პაკეტებს, რომლებიც მიემგზავრებიან კერძო ქსელიდან საჯარო ქსელში, ექნებათ პაკეტის წყაროს მისამართი, რომელიც იცვლება საჯარო ქსელიდან კერძო ქსელზე გადასვლისას. ასევე შესაძლებელია უფრო რთული კონფიგურაციები.

NAT კონფიგურაციის მახასიათებლები

NAT-ის დაყენებას შეიძლება ჰქონდეს გარკვეული ფუნქციები. დაბრუნებული პაკეტების თარგმნასთან დაკავშირებული სირთულეების თავიდან ასაცილებლად, შესაძლოა საჭირო გახდეს შემდგომი ცვლილებები. ინტერნეტ ტრაფიკის უმეტესობა გაივლის UDP და TCP პროტოკოლებს. მათი ნომრები ისე იცვლება, რომ IP მისამართების და პორტის ნომრების შედარება იწყება მონაცემთა უკან გაგზავნისას. პროტოკოლები, რომლებიც არ არის დაფუძნებული UDP ან TCP-ზე, საჭიროებს თარგმნის სხვა მეთოდებს. როგორც წესი, ICMP ან ინტერნეტის კონტროლის შეტყობინებების პროტოკოლი ემთხვევა არსებულ კავშირს გაგზავნილ ინფორმაციას. ეს ნიშნავს, რომ ისინი უნდა იყოს ნაჩვენები იმავე IP მისამართისა და ნომრის გამოყენებით, რომელიც თავდაპირველად იყო მითითებული. რა არის გასათვალისწინებელი? NAT-ის კონფიგურაცია როუტერზე არ უზრუნველყოფს მას ბოლომდე კავშირს. ამ მიზეზით, ასეთ მარშრუტიზატორებს არ შეუძლიათ მონაწილეობა მიიღონ ზოგიერთ ინტერნეტ პროტოკოლში. სერვისები, რომლებიც საჭიროებენ TCP კავშირების დაწყებას გარე ქსელიდან ან მომხმარებლები პროტოკოლების გარეშე, შეიძლება უბრალოდ არ იყოს ხელმისაწვდომი. თუ NAT როუტერი არ ახორციელებს განსაკუთრებულ ძალისხმევას ასეთი პროტოკოლების მხარდასაჭერად, მაშინ შემომავალი პაკეტები შეიძლება არასოდეს მიაღწიონ დანიშნულების ადგილს. ზოგიერთი პროტოკოლი შეიძლება განთავსდეს ერთ გადაცემაში მონაწილე ჰოსტებს შორის, ზოგჯერ აპლიკაციის ფენის კარიბჭის გამოყენებით. თუმცა, კავშირი არ დამყარდება, როდესაც ორივე სისტემა გამოეყოფა ინტერნეტს NAT-ით. ასევე, NAT-ის გამოყენება ართულებს გვირაბის პროტოკოლებს, როგორიცაა IPsec, რადგან ის ცვლის მნიშვნელობებს სათაურებში, რომლებიც ურთიერთქმედებენ მოთხოვნის მთლიანობის შემოწმებასთან.

NAT: არსებული პრობლემა

ინტერნეტის ძირითადი პრინციპია ბოლოდან ბოლომდე კავშირი. იგი არსებობდა მისი განვითარების დღიდან. ქსელის დღევანდელი მდგომარეობა მხოლოდ იმას ადასტურებს, რომ NAT ამ პრინციპის დარღვევაა. პროფესიულ საზოგადოებაში სერიოზული შეშფოთებაა IPv6-ში ქსელის მისამართების თარგმნის ფართოდ გამოყენებასთან დაკავშირებით. ამრიგად, დღეს ჩნდება კითხვა, თუ როგორ შეიძლება ამ პრობლემის აღმოფხვრა. იმის გამო, რომ თარგმანის მდგომარეობის ცხრილები NAT მარშრუტიზატორებში არსებითად არ არის მუდმივი, შიდა ქსელის მოწყობილობები კარგავენ IP კავშირს ძალიან მოკლე დროში. არ უნდა დავივიწყოთ ეს გარემოება, როდესაც ვსაუბრობთ იმაზე, თუ რა არის NAT როუტერში. ეს მნიშვნელოვნად ამცირებს კომპაქტური მოწყობილობების მუშაობის დროს, რომლებიც მუშაობენ ბატარეებზე.

მასშტაბურობა

NAT-ის გამოყენება ასევე აკონტროლებს მხოლოდ იმ პორტებს, რომელთა სწრაფად ამოწურვა შესაძლებელია შიდა აპლიკაციებით, რომლებიც იყენებენ მრავალ ერთდროულ კავშირს. ეს შეიძლება იყოს HTTP მოთხოვნები გვერდებისთვის დიდი რაოდენობით ჩაშენებული ობიექტებით. ამ პრობლემის შერბილება შესაძლებელია პორტის გარდა დანიშნულების ადგილებზე IP მისამართის თვალყურის დევნით. ამრიგად, ერთი ადგილობრივი პორტი შეიძლება გაიზიაროს დისტანციური ჰოსტების დიდი რაოდენობით.

NAT: გარკვეული სირთულეები

იმის გამო, რომ ყველა შიდა მისამართი არის შენიღბული, როგორც ერთი საჯარო მისამართი, შეუძლებელია გარე ჰოსტებისთვის დაწყებულიყო კავშირი კონკრეტულ შიდა ჰოსტთან, ფაირვოლზე სპეციალური კონფიგურაციის დაყენების გარეშე. ამ კონფიგურაციამ უნდა გადააგზავნოს კავშირები კონკრეტულ პორტში. IP ტელეფონის, ვიდეო კონფერენციისა და მსგავსი სერვისების აპლიკაციებმა უნდა გამოიყენონ NAT ტრავერსიის მეთოდები, რათა სწორად იმუშაონ. Rapt და საპირისპირო მისამართების თარგმნის პორტი საშუალებას აძლევს მასპინძელს, რომლის IP მისამართი დროდადრო იცვლება, დარჩეს ხელმისაწვდომი სერვერის სახით სახლის ქსელში ფიქსირებული IP მისამართის გამოყენებით. ეს პრინციპში საშუალებას უნდა მისცემს სერვერების დაყენებას დარჩეს დაკავშირებული. მიუხედავად იმისა, რომ პრობლემის ეს გადაწყვეტა იდეალური არ არის, ის შეიძლება იყოს კიდევ ერთი სასარგებლო ინსტრუმენტი ქსელის ადმინისტრატორის არსენალში როუტერზე NAT-ის კონფიგურაციასთან დაკავშირებული პრობლემების გადაჭრისას.

PAT ან პორტის მისამართის თარგმანი

Port Address Translation არის Cisco Rapt-ის იმპლემენტაცია, რომელიც ასახავს მრავალ კერძო IP მისამართს ერთ საჯარო IP მისამართზე. ამდენად, მრავალი მისამართი შეიძლება დაინიშნოს მისამართად, რადგან თითოეული მათგანის თვალყურის დევნება ხდება პორტის ნომრის გამოყენებით. PAT იყენებს უნიკალურ წყაროს პორტის ნომრებს შიდა გლობალურ IP-ზე, რათა განასხვავოს მონაცემთა გადაცემის მიმართულება. ეს რიცხვები 16-ბიტიანი მთელი რიცხვებია. შიდა მისამართების ჯამური რაოდენობა, რომლებიც შეიძლება ითარგმნოს ერთ გარე მისამართზე, თეორიულად შეიძლება იყოს 65536-მდე. სინამდვილეში, პორტების რაოდენობა, რომლებზეც შესაძლებელია ერთი IP მისამართის მინიჭება არის დაახლოებით 4000. PAT, როგორც წესი, ცდილობს ორიგინალის შენარჩუნებას. ორიგინალი" პორტი.. იმ შემთხვევაში, თუ ის უკვე გამოიყენება, Port Address Translation ანიჭებს პირველ ხელმისაწვდომი პორტის ნომერს, შესაბამისი ჯგუფის დასაწყისიდან. როდესაც აღარ არის ხელმისაწვდომი პორტები და არის ერთზე მეტი გარე IP მისამართი, PAT გადადის შემდეგზე, რათა გამოყოს წყაროს პორტი. ეს პროცესი გაგრძელდება მანამ, სანამ აღარ იქნება ხელმისაწვდომი მონაცემები. Cisco სერვისი აჩვენებს მისამართს და პორტს. ის აერთიანებს თარგმანის პორტის მისამართს და გვირაბის მონაცემებს IPv4 პაკეტებისთვის შიდა IPv6 ქსელში. არსებითად, ეს არის Carrier Grade NAT-ისა და DS-Lite-ის ალტერნატივა, რომელიც მხარს უჭერს პორტებისა და მისამართების IP თარგმანს. ეს თავიდან აიცილებს პრობლემებს, რომლებიც დაკავშირებულია კავშირის დამყარებასა და შენარჩუნებასთან. ის ასევე უზრუნველყოფს IPv6-ის განლაგების გარდამავალ მექანიზმს.

თარგმანის მეთოდები

ქსელის მისამართისა და პორტის თარგმნის რამდენიმე ძირითადი გზა არსებობს. ზოგიერთი აპლიკაციის პროტოკოლი მოითხოვს, რომ დაადგინოთ გარე NAT მისამართი, რომელიც გამოიყენება კავშირის მეორე ბოლოში. ასევე ხშირად საჭიროა გადაცემის ტიპის შემოწმება და კლასიფიკაცია. როგორც წესი, ეს კეთდება იმის გამო, რომ სასურველია შეიქმნას პირდაპირი საკომუნიკაციო არხი ორ კლიენტს შორის, რომლებიც მდებარეობს ცალკეული NAT-ების უკან. ამ მიზნით შეიქმნა სპეციალური პროტოკოლი RFC 3489, რომელიც უზრუნველყოფს UPD-ის მარტივ შემოვლებას NATS-ზე. დღეს ის უკვე მოძველებულად ითვლება, რადგან ამ დღეებში ასეთი მეთოდები არასაკმარისად ითვლება მოწყობილობების მუშაობის სწორად შესაფასებლად. 2008 წელს შეიქმნა RFC 5389, რომელმაც ახალი მეთოდების სტანდარტიზება მოახდინა. ამ სპეციფიკაციას დღეს უწოდებენ Session Traversal. ეს არის სპეციალური პროგრამა, რომელიც შექმნილია NAT ოპერაციისთვის.

ორმხრივი კომუნიკაციის შექმნა

თითოეული UDP და TCP პაკეტი შეიცავს წყაროს IP მისამართს და მის პორტის ნომერს, ასევე დანიშნულების პორტის კოორდინატებს. პორტის ნომერი ძალიან მნიშვნელოვანია საჯარო სერვისების მისაღებად, როგორიცაა ფოსტის სერვერის ფუნქციონირება. მაგალითად, პორტი 25 უკავშირდება SMTP ფოსტის სერვერს, ხოლო 80 პორტი უერთდება ვებ სერვერის პროგრამულ უზრუნველყოფას. ასევე აუცილებელია საჯარო სერვერის IP მისამართი. ეს პარამეტრები საიმედოდ უნდა იყოს ცნობილი იმ კვანძებისთვის, რომლებიც აპირებენ კავშირის დამყარებას. პირადი IP მისამართები აქტუალურია მხოლოდ ადგილობრივ ქსელებში.

პროტოკოლის პრინციპების შესახებ NAT (ქსელის მისამართის თარგმანი)და ახლა დროა განიხილოთ მისი დაყენება მოწყობილობაზე Cisco.

Static NAT-ის დაყენება

გავიხსენოთ ეს სტატიკური NATარის შიდა და გარე მისამართების ერთი-ერთზე რუკება. ის საშუალებას აძლევს გარე მოწყობილობებს, დაიწყონ კავშირები შიდა მოწყობილობებთან სტატიკურად მინიჭებული საჯარო მისამართის გამოყენებით.

მაგალითად, შიდა ვებ სერვერი შეიძლება განთავსდეს კონკრეტულ შიდა გლობალურ მისამართზე ისე, რომ იგი ხელმისაწვდომი იყოს გარე ქსელებიდან.

დიაგრამა აჩვენებს შიდა ქსელს, რომელიც შეიცავს ვებ სერვერს პირადი IPv4 მისამართით. როუტერი კონფიგურირებულია სტატიკური NAT-ით, რათა გარე ქსელის მოწყობილობებს ვებ სერვერზე წვდომის საშუალება მისცეს. კლიენტი გარე ქსელში წვდება ვებ სერვერს საჯარო IPv4 მისამართის გამოყენებით. Static NAT გარდაქმნის საჯარო IPv4 მისამართს პირადად.

სტატიკური NAT თარგმანის დაყენებისას ორი ძირითადი ამოცანაა:

1. შექმენით რუქა შიდა ადგილობრივებს შორის ( ადგილობრივი შიგნით) მისამართი და შიდა გლობალური ( გლობალური შიგნით) მისამართები. მაგალითად, დიაგრამაში შიდა ლოკალური მისამართი 192.168.1.5 და შიდა გლობალური მისამართი 208.165.100.5 კონფიგურირებულია როგორც სტატიკური NAT თარგმანი.
2. რუკების კონფიგურაციის შემდეგ, თარგმანში მონაწილე ინტერფეისები უნდა იყოს კონფიგურირებული, როგორც შიდა ( შიგნით) და გარე ( გარეთ) NAT-თან შედარებით. დიაგრამაში როუტერის ინტერფეისი Serial 0/0/0 არის შიდა, ხოლო Serial 0/1/0 არის გარე.

როუტერის შიდა სერიულ 0/0/0 ინტერფეისზე შემოსული პაკეტები კონფიგურირებული შიდა ლოკალური IPv4 მისამართიდან (192.168.1.5) ითარგმნება და შემდეგ გადაგზავნილია გარე ქსელში. გარე სერიულ 0/1/0 ინტერფეისზე შემოსული პაკეტები, რომლებიც მიმართულია კონფიგურირებულ შიდა გლობალურ IPv4 მისამართზე (208.165.100.5) ითარგმნება შიდა ლოკალურ მისამართზე (192.168.1.5) და შემდეგ გადამისამართება შიდა.

დაყენება ხდება რამდენიმე ეტაპად:

1. შექმენით სტატიკური თარგმანი შიდა ლოკალურ და გარე გლობალურ მისამართებს შორის. ამისათვის ჩვენ ვიყენებთ ბრძანებას ip nat წყაროს შიგნით სტატიკური [local_IP global_IP]. გადაცემის წასაშლელად თქვენ უნდა შეიყვანოთ ბრძანება არ არის ip nat წყაროს შიგნით სტატიკური. თუ ჩვენ გვჭირდება არა მისამართის მისამართის, არამედ მისამართის ინტერფეისის მისამართის გადათარგმნა, მაშინ ვიყენებთ ბრძანებას ip nat წყაროს შიგნით სტატიკური [local_IP ინტერფეისის_ტიპი ინტერფეისის_ნომერი].
2. მოდით განვსაზღვროთ შიდა ინტერფეისი. ჯერ შედით ინტერფეისის კონფიგურაციის რეჟიმში ბრძანების გამოყენებით ინტერფეისი [ტიპის ნომერი]და შეიყვანეთ ბრძანება ip nat შიგნით
3. ანალოგიურად, განსაზღვრეთ გარე ინტერფეისი ბრძანების გამოყენებით ip nat გარეთ

როუტერი(კონფიგურაცია)# ip nat წყაროს შიგნით static 192.168.1.5 208.165.100.5 როუტერი(კონფიგურაცია)# ინტერფეისი სერია0/0/0 როუტერი(config-if)#ip nat როუტერში(config-if)#exit როუტერი(config)# ინტერფეისი serial0/1/0 როუტერი(config-if)#ip nat გარეთ

შედეგად, მაუწყებლობა ასე წარიმართება:

1. კლიენტს სურს გახსნას კავშირი ვებ სერვერთან. კლიენტი აგზავნის პაკეტს ვებ სერვერზე საჯარო IPv4 დანიშნულების მისამართის 208.165.100.5 გამოყენებით. ეს არის ვებ სერვერის შიდა გლობალური მისამართი.
2. პირველი პაკეტი, რომელსაც როუტერი იღებს კლიენტისგან NAT გარე ინტერფეისზე, იწვევს მას NAT ცხრილის შემოწმებას. დანიშნულების IPv4 მისამართი არის NAT ცხრილში და თარგმნილია.
3. როუტერი ცვლის შიდა გლობალურ დანიშნულების მისამართს 208.165.100.5 შიდა ლოკალური 192.168.1.5-ით და აგზავნის პაკეტს ვებ სერვერზე.
4. ვებ სერვერი იღებს პაკეტს და პასუხობს კლიენტს შიდა ლოკალური წყაროს მისამართის გამოყენებით 192.168.1.5.
5. როუტერი იღებს პაკეტს ვებ სერვერიდან მისი შიდა NAT ინტერფეისით ვებ სერვერის შიდა ლოკალური მისამართის წყაროს მისამართით, 192.168.1.5. ის ამოწმებს NAT ცხრილს შიდა ლოკალური მისამართის შიდა გლობალურზე გადასათარგმნად, ცვლის წყაროს მისამართს 192.168.1.5-დან 208.165.100.5-მდე და აგზავნის მას სერიული 0/1/0 ინტერფეისიდან კლიენტისკენ.
6. კლიენტი იღებს პაკეტს და პაკეტების გაცვლა გრძელდება. როუტერი ასრულებს წინა ნაბიჯებს თითოეული პაკეტისთვის.

სტატიკური NAT შემოწმება

სასარგებლო ბრძანება იმის შესამოწმებლად, მუშაობს თუ არა NAT არის ბრძანება აჩვენე ip nat თარგმანები. ეს ბრძანება აჩვენებს აქტიურ NAT თარგმანებს. სტატიკური თარგმანები, დინამიური თარგმანისგან განსხვავებით, ყოველთვის გვხვდება NAT ცხრილში.

Router#show ip nat translations Pro Inside global შიგნით ადგილობრივი გარეთ ადგილობრივი გარეთ გლობალური --- 208.165.100.5 192.168.1.5 208.165.100.70 208.165.100.70

კიდევ ერთი სასარგებლო ბრძანება არის ბრძანება აჩვენე ip nat სტატისტიკა. ის აჩვენებს ინფორმაციას აქტიური გადარიცხვების საერთო რაოდენობის, NAT-ის კონფიგურაციის პარამეტრების, აუზში მისამართების რაოდენობისა და გამოყოფილი მისამართების რაოდენობის შესახებ.

Router#show ip nat statistics სულ აქტიური თარგმანი: 1 (1 სტატიკური, 0 დინამიური; 0 გაფართოებული) თარგმანის პიკი: 2, მოხდა 00:00:21 წინ გარე ინტერფეისები: Serial0/1/0 შიდა ინტერფეისები: Serial0/0/0 ნახვები :7 გამოტოვებს:0

იმის უზრუნველსაყოფად, რომ NAT თარგმანი მუშაობს, უმჯობესია სტატისტიკის გასუფთავება წარსული თარგმანიდან ბრძანების გამოყენებით ip nat სტატისტიკის გასუფთავებატესტირებამდე.

Dynamic NAT-ის დაყენება

მიუხედავად იმისა, რომ სტატიკური NAT არის მუდმივი რუქა შიდა ლოკალურ მისამართსა და შიდა გლობალურ მისამართს შორის, დინამიური NAT საშუალებას იძლევა ავტომატური რუკების გაკეთება ადგილობრივ და გლობალურ მისამართებს შორის (რომლებიც ჩვეულებრივ საჯარო IP მისამართებია). Dynamic NAT იყენებს საჯარო IPv4 მისამართების ჯგუფს ან აუზს თარგმნისთვის. დინამიური NAT, ისევე როგორც სტატიკური NAT, მოითხოვს NAT-ში მონაწილე შიდა და გარე ინტერფეისების კონფიგურაციას.

მოდით შევხედოთ ამ დიაგრამას, როგორც მაგალითი. აქ გვაქვს შიდა ქსელი ორი ქვექსელებით 192.168.1.0/24 და 192.168.2.0/24 და სასაზღვრო როუტერი, რომელზედაც კონფიგურირებულია დინამიური NAT საჯარო მისამართების აუზით 208.165.100.5 - 208.165.100.15.

საჯარო მისამართების აუზი ( გლობალური მისამართების აუზში) ხელმისაწვდომია შიდა ქსელში არსებული ნებისმიერი მოწყობილობისთვის, პირველი მობრძანების პრინციპით. დინამიური NAT-ით ერთი შიდა მისამართი ითარგმნება ერთ გარე მისამართად. ამ ტიპის გადაცემისას აუზში უნდა იყოს საკმარისი მისამართები, რათა უზრუნველყოს ერთდროული წვდომა ყველა შიდა მოწყობილობაზე, რომლებსაც სჭირდებათ წვდომა გარე ქსელში. თუ აუზში არსებული ყველა მისამართი გამოყენებულია, მაშინ მოწყობილობა უნდა დაელოდოს მისაწვდომ მისამართს გარე ქსელზე წვდომამდე.

მოდით შევხედოთ ნაყენს ეტაპობრივად:

1. განსაზღვრეთ აუზი, რომელიც გამოყენებული იქნება თარგმნისთვის ბრძანების გამოყენებით ip nat pool [სახელი start_ip end_ip]. ეს მისამართების ფონდი, როგორც წესი, არის საჯაროდ ხელმისაწვდომი მისამართების ჯგუფი. მისამართები განისაზღვრება აუზის საწყისი IP მისამართის და ბოლო IP მისამართის მითითებით. საკვანძო სიტყვები ქსელის ნიღაბიან პრეფიქსი-სიგრძემიუთითეთ ნიღაბი.
2. საჭიროა ნაგულისხმევის დაყენება წვდომის სია (ACL)განისაზღვროს მხოლოდ ის მისამართები, რომლებიც გადაიცემა. მოდით შევიტანოთ ბრძანება. თქვენ შეგიძლიათ წაიკითხოთ სტანდარტული წვდომის სიების შესახებ (და გაფართოებული სიების შესახებ). ACL, რომელიც საშუალებას აძლევს ძალიან ბევრ მისამართს, შეიძლება გამოიწვიოს არაპროგნოზირებადი შედეგები, ამიტომ არის ბრძანება ფურცლის ბოლოს უარყოს ყველა.
3. აუცილებელია ACL-ის მიბმა აუზზე და ამისათვის გამოიყენება ბრძანება ip nat წყაროს სიაში [ACL_number] ნომრების ფონდი [pool_name]. ამ კონფიგურაციას როუტერი იყენებს იმის დასადგენად, თუ რომელი მოწყობილობები (სიები) იღებენ მისამართებს (აუზი).
4. განსაზღვრეთ რომელი ინტერფეისებია შიგნით, NAT-თან მიმართებაში, ანუ ნებისმიერი ინტერფეისი, რომელიც დაკავშირებულია შიდა ქსელთან.
5. განსაზღვრეთ რომელი ინტერფეისებია გარეთ, NAT-თან მიმართებაში, ანუ ნებისმიერი ინტერფეისი, რომელიც დაკავშირებულია გარე ქსელთან.

Router(config)# ip nat pool MerionNetworksPool 208.165.100.5 208.165.100.15 netmask 255.255.255.0 როუტერი(config)# access-list 1 ნებართვა 192.168.0.0.0.05 inside. 1 აუზი MerionNetworksPool როუტერი ( config)# ინტერფეისი serial0/0/0 როუტერი(config-if)#ip nat შიგნით როუტერი(config-if)#exit როუტერი(config)# ინტერფეისი სერია0/1/0 როუტერი(config-if)#ip nat გარეთ

როგორ იმუშავებს ეს ჩვენს დიაგრამაში:

1. კომპიუტერები 192.168.1.10 და 192.168.2.10 მისამართებით აგზავნიან პაკეტებს სერვერზე საჯარო მისამართზე 208.165.100.70
2. როუტერი იღებს პირველ პაკეტს მასპინძლისგან 192.168.1.10. იმის გამო, რომ ეს პაკეტი მიღებულ იქნა ინტერფეისზე, რომელიც კონფიგურირებულია როგორც შიდა NAT ინტერფეისი, როუტერი ამოწმებს NAT კონფიგურაციას, რათა დადგინდეს, უნდა იყოს თუ არა ეს პაკეტი თარგმნილი. ACL საშუალებას აძლევს პაკეტს და როუტერი ამოწმებს მის NAT ცხრილს. ვინაიდან არ არსებობს ამ IP მისამართის თარგმანის ჩანაწერი, როუტერი განსაზღვრავს, რომ წყაროს მისამართი 192.168.1.10 უნდა ითარგმნოს დინამიურად. R2 ირჩევს ხელმისაწვდომ გლობალურ მისამართს დინამიური მისამართების ფონდიდან და ქმნის თარგმანის ჩანაწერს, 208.165.200.5. ორიგინალური წყარო IPv4 მისამართი (192.168.1.10) არის შიდა ლოკალური მისამართი, ხოლო ნათარგმნი მისამართი არის შიდა გლობალური მისამართი (208.165.200.5) NAT ცხრილში. მეორე ჰოსტისთვის 192.168.2.10, როუტერი იმეორებს ამ პროცედურას, ირჩევს შემდეგ ხელმისაწვდომ გლობალურ მისამართს დინამიური მისამართების ფონდიდან, ქმნის მეორე თარგმანის ჩანაწერს - 208.165.200.6.
3. პაკეტებში შიდა ადგილობრივი წყაროს მისამართის შეცვლის შემდეგ, როუტერი აგზავნის პაკეტს.
4. სერვერი იღებს პაკეტს პირველი კომპიუტერიდან და პასუხობს დანიშნულების მისამართის 208.165.200.5 გამოყენებით. როდესაც სერვერი მიიღებს პაკეტს მეორე კომპიუტერიდან, პასუხის დანიშნულების მისამართი შეიცავს 208.165.200.6.
5. როდესაც როუტერი იღებს დანიშნულების მისამართს 208.165.200.5, ის ასრულებს ძიებას NAT ცხრილში და თარგმნის დანიშნულების მისამართს შიდა ლოკალურ მისამართზე 192.168.1.10 და მარშრუტებს კომპიუტერისკენ. იგივე ხდება მეორე კომპიუტერზე გაგზავნილ პაკეტთან დაკავშირებით.
6. ორივე კომპიუტერი იღებს პაკეტებს და პაკეტების გაცვლა გრძელდება. ყოველი მომდევნო პაკეტისთვის, წინა ნაბიჯები შესრულებულია.

დინამიური NAT შემოწმება

ბრძანება ასევე გამოიყენება შესამოწმებლად აჩვენე ip natაჩვენებს ყველა სტატიკური თარგმანის კონფიგურაციას და ნებისმიერ დინამიურ თარგმანს, რომელიც გენერირებულია ტრაფიკის მიერ. საკვანძო სიტყვის დამატება სიტყვიერიაჩვენებს დამატებით ინფორმაციას თითოეული გადაცემის შესახებ, მათ შორის, რამდენი ხნის წინ შეიქმნა და გამოიყენებოდა ჩანაწერი. ნაგულისხმევად, მონაცემთა გადაცემის ვადა იწურება 24 საათის შემდეგ, გარდა იმ შემთხვევისა, როდესაც ტაიმერები ხელახლა კონფიგურირებულია ბრძანების გამოყენებით ip nat თარგმანის დროის ამოწურვა [time_in_seconds]გლობალური კონფიგურაციის რეჟიმში.

დინამიური ჩანაწერების გასასუფთავებლად, სანამ დრო ამოიწურება, შეგიძლიათ გამოიყენოთ ბრძანება წმინდა ip nat თარგმანი. სასარგებლოა დინამიური ჩანაწერების გასუფთავება NAT კონფიგურაციის ტესტირებისას. ეს ბრძანება შეიძლება გამოყენებულ იქნას საკვანძო სიტყვებთან და ცვლადებთან ერთად, რათა აკონტროლოთ რომელი ჩანაწერები გასუფთავდება. კონკრეტული ჩანაწერების გასუფთავება შესაძლებელია აქტიური სესიების შეწყვეტის თავიდან ასაცილებლად. ცხრილიდან ამოღებულია მხოლოდ დინამიური თარგმანი. სტატიკური თარგმანის ამოღება ცხრილიდან შეუძლებელია.

თქვენ ასევე შეგიძლიათ გამოიყენოთ ბრძანება აჩვენე ip nat სტატისტიკარომელიც აჩვენებს ინფორმაციას აქტიური თარგმანების საერთო რაოდენობის, NAT-ის კონფიგურაციის პარამეტრების, აუზში მისამართების და თარგმნილი მისამართების რაოდენობის შესახებ.

ვინაიდან აქ ვიყენებთ ACL-ებს, შეგვიძლია გამოვიყენოთ ბრძანება მათი შესამოწმებლად წვდომის სიების ჩვენება.

პორტის მისამართის თარგმანის დაყენება (PAT)

PAT (ასევე ე.წ NAT გადატვირთვა) ინახავს მისამართებს შიდა გლობალურ მისამართების აუზში, რაც საშუალებას აძლევს როუტერს გამოიყენოს ერთი შიდა გლობალური მისამართი მრავალი შიდა ლოკალური მისამართისთვის. სხვა სიტყვებით რომ ვთქვათ, ერთი საჯარო IPv4 მისამართი შეიძლება გამოყენებულ იქნას ასობით ან თუნდაც ათასობით შიდა კერძო IPv4 მისამართისთვის. როდესაც მრავალი შიდა ლოკალური მისამართი მიმაგრებულია ერთ შიდა გლობალურ მისამართზე, პორტის ნომრები TCPან UDPთითოეული შიდა კვანძი გამოირჩევა ლოკალური მისამართებით.

შიდა მისამართების მთლიანი რაოდენობა, რომელთა გადათარგმნა შესაძლებელია ერთ გარე მისამართზე, თეორიულად შეიძლება იყოს 65,536 IP მისამართზე. თუმცა, პრაქტიკაში, შიდა მისამართების რაოდენობა, რომლებიც შეიძლება მიენიჭოს ერთ IP მისამართს, არის დაახლოებით 4000.

PAT-ის კონფიგურაციის ორი გზა არსებობს, იმისდა მიხედვით, თუ როგორ გამოყოფს თქვენი ISP საჯარო IPv4 მისამართებს. პირველ შემთხვევაში, ISP ანიჭებს ერთზე მეტ საჯარო IPv4 მისამართს ორგანიზაციას, ხოლო მეორეში, ის ანიჭებს ერთ საჯარო IPv4 მისამართს, რომელსაც ორგანიზაცია მოითხოვს ISP-თან დასაკავშირებლად.

PAT-ის კონფიგურაცია საჯარო IP მისამართების ჯგუფისთვის

თუ ჩვენთვის ხელმისაწვდომია ერთზე მეტი საჯარო IPv4 მისამართი, მაშინ ეს მისამართები შეიძლება იყოს იმ ჯგუფის ნაწილი, რომელსაც იყენებს PAT. ეს დინამიური NAT-ის მსგავსია, გარდა იმისა, რომ არ არის საკმარისი საერთო მისამართები შიდა მისამართების ერთმანეთთან შესამოწმებლად. მისამართების მცირე ჯგუფი ნაწილდება მოწყობილობებს შორის.

მთავარი განსხვავება ამ კონფიგურაციასა და დინამიური NAT-ის კონფიგურაციას შორის არის ის, რომ გამოიყენება საკვანძო სიტყვა გადატვირთვა, რომელშიც შედის PAT.

მოდით შევხედოთ PAT-ის დაყენებას მისამართების კრებულისთვის ეტაპობრივად:

1. განსაზღვრეთ გლობალური მისამართების ფონდი, რომელიც გამოყენებული იქნება PAT თარგმნისთვის ბრძანების გამოყენებით ip nat pool [სახელი start_ip end_ip] netmask [ნიღაბი] | პრეფიქსი-სიგრძე [prefix_length].
2. შექმენით სტანდარტული წვდომის სია, რომელიც საშუალებას გაძლევთ ითარგმნოთ მისამართები. გამოყენებული ბრძანება არის წვდომის სია [ACL_number] ნებართვის წყარო.
3. მოდით გავააქტიუროთ PAT ჯადოსნური სიტყვის გამოყენებით გადატვირთვა. შეიყვანეთ ბრძანება ip nat წყაროს სიის შიგნით [ACL_number] ნომრების აუზი [pool_name] გადატვირთვა.
4. ჩვენ განვსაზღვრავთ რომელი ინტერფეისებია შიგნით, NAT-თან მიმართებაში და რომელი გარეთ. ჩვენ ვიყენებთ ბრძანებას ip nat შიგნითდა ip nat გარეთ

სქემის პარამეტრების მაგალითი, რომელიც ადრე იყო გამოყენებული, მხოლოდ ახლა გამოვიყენებთ PAT:

როუტერი(კონფიგურაცია)# ip nat pool MerionNetworksPool2 208.165.100.5 208.165.100.15 ქსელის ნიღაბი 255.255.255.0 როუტერი (კონფიგურაცია)# წვდომა-სიტი 1 ნებართვა 192.168.05.025 ნებართვა. 1 აუზი MerionNetworksPo ol2 გადატვირთვა როუტერი (კონფიგურაცია)# ინტერფეისი სერიული0/0/0 როუტერი(config-if)#ip nat შიგნით როუტერი(config-if)#exit როუტერი(config)# ინტერფეისი სერია0/1/0 როუტერი(config-if)#ip nat გარეთ

PAT-ის კონფიგურაცია ერთი საჯარო IPv4 მისამართისთვის

დიაგრამაზე ნაჩვენებია PAT განხორციელების ტოპოლოგია ერთი საჯარო IP მისამართის მაუწყებლობისთვის. ამ მაგალითში, 192.168.0.0/16 ქსელის ყველა ჰოსტი (შესაბამისი ACL), რომელიც აგზავნის ტრაფიკს როუტერის მეშვეობით, გადამისამართდება IPv4 მისამართზე 208.165.99.225 (ინტერფეისის S0 /1/0 IPv4 მისამართი). ტრაფიკი გამოვლინდება პორტების ნომრებით NAT ცხრილში.

პარამეტრი:

1. შექმენით წვდომის სია, რომლის საშუალებითაც შესაძლებელია მისამართები, რომლებიც უნდა ითარგმნოს - წვდომის სია [ACL_number] ნებართვის წყარო.
2. დააკონფიგურირეთ წყაროს მისამართის ინტერფეისის მისამართად კონვერტაცია ბრძანების გამოყენებით ip nat წყაროს სიაში [ACL_number] ინტერფეისის [type number] გადატვირთვა
3. განსაზღვრეთ გარე და შიდა ინტერფეისები ბრძანებების საშუალებით ip nat შიგნითდა ip nat გარეთ.

კონფიგურაცია დინამიური NAT-ის მსგავსია, გარდა იმისა, რომ მისამართების ჯგუფის ნაცვლად ვიყენებთ ინტერფეისის მისამართს გარე IP მისამართით. NAT აუზი არ არის გამოვლენილი.

მაგალითი: როუტერი(კონფიგურაცია)# წვდომის სია 1 ნებართვა 192.168.0.0 0.0.255.255 როუტერი(კონფიგურაცია)# ip nat წყაროს სია 1 ინტერფეისი სერია0/1/0 გადატვირთვა როუტერი(კონფიგურაცია)# ინტერფეისი სერია0/0/0 როუტერი(კონფიგურა- if)#ip nat როუტერის შიგნით(config-if)#exit როუტერი(config)# ინტერფეისი სერიალი0/1/0 როუტერი(config-if)#ip nat გარეთ

PAT პროცესი არ შეიცვლება ერთი მისამართის ან მისამართების ჯგუფის გამოყენებისას.

მოდით გავიაროთ PAT პროცესი ეტაპობრივად:

1. დიაგრამაში ორი განსხვავებული კომპიუტერი ურთიერთობს ორ განსხვავებულ ვებ სერვერთან. პირველ კომპიუტერს აქვს წყაროს მისამართი 192.168.1.10 და იყენებს TCP პორტს 1444, ხოლო მეორე კომპიუტერს აქვს წყაროს მისამართი 192.168.2.10 და შემთხვევით იყენებს იგივე TCP პორტს 1444.
2. პაკეტი პირველი კომპიუტერიდან ჯერ აღწევს როუტერს და ის PAT-ის გამოყენებით ცვლის წყაროს IPv4 მისამართს 208.165.99.225-მდე ( გლობალური მისამართის შიგნით). NAT ცხრილში სხვა მოწყობილობები არ არის პორტით 1444, ამიტომ PAT იყენებს იმავე პორტის ნომერს და პაკეტი იგზავნება სერვერზე 208.165.101.20.
3. შემდეგი, პაკეტი მეორე კომპიუტერიდან შედის როუტერში, სადაც PAT არის კონფიგურირებული, რომ გამოიყენოს ერთი გლობალური IPv4 მისამართი ყველა გადარიცხვისთვის - 208.165.99.225. პირველი კომპიუტერის თარგმნის პროცესის მსგავსად, PAT ცვლის მეორე კომპიუტერის საწყისი მისამართს შიდა გლობალურ მისამართზე 208.165.99.225. თუმცა, მეორე კომპიუტერს აქვს იგივე წყაროს პორტის ნომერი, როგორც პირველი კომპიუტერის ამჟამინდელი PAT ჩანაწერი, ამიტომ PAT ზრდის წყაროს პორტის ნომერს მანამ, სანამ ის უნიკალური იქნება თავის ცხრილში. ამ შემთხვევაში, NAT ცხრილში წყაროს პორტის ჩანაწერი და მეორე კომპიუტერის პაკეტი იღებს პორტს 1445. მიუხედავად იმისა, რომ ორივე კომპიუტერი იყენებს ერთსა და იმავე შიდა გლობალურ მისამართს, 208.165.99.225 და იმავე წყაროს პორტის ნომერს, 1444, მეორე კომპიუტერის შეცვლილი პორტის ნომერი (1445) ხდის თითოეულ ჩანაწერს NAT ცხრილში უნიკალური. ეს აშკარა გახდება სერვერებიდან კლიენტებისთვის პაკეტების გაგზავნისას.
4. სერვერები პასუხობენ კომპიუტერების მოთხოვნებს და იყენებენ წყაროს პორტს მიღებული პაკეტიდან, როგორც დანიშნულების პორტი და წყაროს მისამართს, როგორც დანიშნულების მისამართს. შეიძლება ჩანდეს, რომ ისინი ერთსა და იმავე ჰოსტთან ურთიერთობენ 208.165.99.225-ზე, თუმცა ეს ასე არ არის - მათ აქვთ სხვადასხვა პორტები.
5. როდესაც პაკეტები ბრუნდებიან როუტერში, ის აღმოაჩენს უნიკალურ ჩანაწერს თავის NAT ცხრილში, თითოეული პაკეტის დანიშნულების მისამართისა და დანიშნულების პორტის გამოყენებით. პირველი სერვერის პაკეტის შემთხვევაში, დანიშნულების მისამართს 208.165.99.255 აქვს რამდენიმე ჩანაწერი, მაგრამ მხოლოდ ერთს აქვს დანიშნულების პორტი 1444. ამ ჩანაწერის გამოყენებით თავის ცხრილში, როუტერი ცვლის პაკეტის დანიშნულების IPv4 მისამართს 192.168.1.10. დანიშნულების პორტის შეცვლის გარეშე. შემდეგ პაკეტი გადაეგზავნება პირველ კომპიუტერს
6. როდესაც პაკეტი მეორე სერვერიდან მოდის როუტერზე, ის ასრულებს მსგავს თარგმანს. დანიშნულების IPv4 მისამართს 208.165.99.225 აქვს მრავალი ჩანაწერი, მაგრამ დანიშნულების პორტის 1445 გამოყენებით, როუტერს შეუძლია ცალსახად ამოიცნოს სამაუწყებლო ჩანაწერი. დანიშნულების IPv4 მისამართი შეიცვლება 192.168.2.10-ით და ამ შემთხვევაში დანიშნულების პორტი ასევე უნდა შეიცვალოს თავდაპირველი მნიშვნელობით 1444, რომელიც ინახება NAT ცხრილში. ამის შემდეგ, პაკეტი იგზავნება მეორე კომპიუტერზე

პორტის მისამართის თარგმანის შემოწმება (PAT)

PAT-ის შესამოწმებლად, იგივე ბრძანებები გამოიყენება როგორც ჩვეულებრივი NAT-ისთვის. გუნდი აჩვენე ip nat თარგმანებიაჩვენებს IP მისამართების თარგმანს პორტებთან და ბრძანებებთან ერთად აჩვენე ip nat სტატისტიკააჩვენებს ინფორმაციას აქტიური გადარიცხვების რაოდენობისა და ტიპის შესახებ, NAT-ის კონფიგურაციის პარამეტრებს, აუზში მისამართების რაოდენობას და გამოყოფილი მისამართების რაოდენობას.

Router#show ip nat statistics სულ აქტიური თარგმანი: 2 (0 სტატიკური, 2 დინამიური; 2 გაფართოებული) თარგმანის პიკი: 2, მოხდა 00:00:07 წინ გარე ინტერფეისები: Serial0/1/0 შიდა ინტერფეისები: Serial0/0/0 ნახვები :4 Misses:0 CEF Translated packets: 4, CEF Punted packets:0 ვადაგასული თარგმანები: 0 დინამიური ასახვა: -- Inside Source access-list 1 pool MerionNetworksPool2 refcount 2 pool MerionNetworksPool2: netmask 255.251.5.2505. .100.15 ტიპი generic, სულ მისამართები 10, გამოყოფილი 1(10%), გამოტოვებული 0 სულ კარები: 0 აპლი კარები: 0 ჩვეულებრივი კარები: 0 რიგში პაკეტები: 0

თქვენ ასევე შეგიძლიათ გამოიყენოთ გამართვა პრობლემების მოსაძებნად, რომელიც გაშვებულია ბრძანებით გამართვა ip nat, რომელიც აჩვენებს ინფორმაციას თითოეული პაკეტის შესახებ, რომელიც მაუწყებლობს როუტერის მიერ. თქვენ ასევე შეგიძლიათ გამოიყენოთ ბრძანება გამართვის ip nat დეტალურად, რომელიც ქმნის თითოეული პაკეტის აღწერას. ეს ბრძანება ასევე გვაწვდის ინფორმაციას სხვადასხვა შეცდომის შესახებ, როგორიცაა გლობალური მისამართის გამოყოფის წარუმატებლობა. თუმცა, ეს ბრძანება უფრო მოთხოვნადია მოწყობილობის რესურსებზე.

Router#debug ip nat IP NAT გამართვა არის როუტერზე# *24 აგვისტო 16:20:331:670: NAT*: s=192.168.1.10->208.165.99.225 d=208.165.101:02:3. 682: NAT*: s=208.165.101.20 d=208.165.99.225 ->192.168.1.10 *აგვისტო 24 16:20:331:698: NAT*: s=192.168->20.1.1.1. 5. 101.20 * აგვისტო 24 16:20:331:702: NAT*: s=192.168.1.10->208.165.99.225 d=208.165.101.20 *აგვისტოს 24 16:20:331:710: NAT*0:710 6 = 192.168.1.10. 65 .99.225 ->192.168.1.10

გამომავალში გამოიყენება შემდეგი სიმბოლოები და მნიშვნელობები:

• * (ვარსკვლავი) - ვარსკვლავი NAT-ით მიუთითებს, რომ გადაცემა ხდება სწრაფად გადართვის გზაზე. საუბარში პირველი პაკეტი ყოველთვის უფრო ნელია, დარჩენილი პაკეტები გზას გადის სწრაფი გადართვის გზით.
• s=- წყაროს IP მისამართი
• ა ბ გ დ ? w.x.y.z- ეს მნიშვნელობა მიუთითებს, რომ წყაროს მისამართი a.b.c.d ითარგმნება w.x.y.z.
• d=- დანიშნულების IP მისამართი
• - ფრჩხილებში მოცემული მნიშვნელობა არის IP საიდენტიფიკაციო ნომერი.

ეს სტატია თქვენთვის სასარგებლო იყო?

Გთხოვ მითხარი რატომ?

ვწუხვართ, რომ სტატია არ გამოგადგათ: (გთხოვთ, თუ არ არის რთული, მიუთითეთ რატომ? დეტალური პასუხისთვის დიდი მადლობელი ვიქნებით. გმადლობთ, რომ გვეხმარებით უკეთ გავხდეთ!

2 32 ან 4 294 967 296 IPv4ეს ბევრი მისამართია? როგორც ჩანს, ასეა. თუმცა, პერსონალური გამოთვლების, მობილური მოწყობილობების და ინტერნეტის სწრაფი ზრდის გამო, მალევე გაირკვა, რომ 4,3 მილიარდი IPv4 მისამართი საკმარისი არ იქნებოდა. გრძელვადიანი გამოსავალი იყო IPv6, მაგრამ უფრო სწრაფი გამოსავალი იყო საჭირო მისამართის დეფიციტის მოსაგვარებლად. და ეს გადაწყვეტილება გახდა NAT (ქსელის მისამართის თარგმანი).

რა არის NAT

ქსელები, როგორც წესი, შექმნილია პირადი IP მისამართების გამოყენებით. ეს არის მისამართები 10.0.0.0/8, 172.16.0.0/12 და 192.168.0.0/16 . ეს პირადი მისამართები გამოიყენება ორგანიზაციის ან საიტის შიგნით, რათა მოწყობილობებმა შეძლონ ლოკალური კომუნიკაცია და არ არის გადაცემული ინტერნეტით. კერძო IPv4 მისამართის მქონე მოწყობილობას ლოკალური ქსელის მიღმა მოწყობილობებზე და რესურსებზე წვდომის დასაშვებად, პირადი მისამართი ჯერ საჯარო საჯარო მისამართზე უნდა ითარგმნოს.

და ეს არის მხოლოდ NAT, რომელიც გარდაქმნის პირად მისამართებს საჯაროდ. ეს საშუალებას აძლევს მოწყობილობას პირადი IPv4 მისამართის წვდომის რესურსებზე მისი პირადი ქსელის გარეთ. NAT, კომბინირებული კერძო IPv4 მისამართებთან, დადასტურდა, რომ არის სასარგებლო მეთოდი საჯარო IPv4 მისამართების შესანახად. ერთი საჯარო IPv4 მისამართის გამოყენება შესაძლებელია ასობით, თუნდაც ათასობით მოწყობილობით, თითოეულს აქვს პირადი IPv4 მისამართი. NAT-ს აქვს დამატებითი სარგებელი, რომ დაამატოს კონფიდენციალურობის და უსაფრთხოების ხარისხი ქსელში, რადგან ის მალავს შიდა IPv4 მისამართებს გარე ქსელებიდან.

NAT ჩართული მარშრუტიზატორების კონფიგურაცია შესაძლებელია ერთი ან მეტი მოქმედი საჯარო IPv4 მისამართით. ამ საჯარო მისამართებს NAT pool ეწოდება. როდესაც შიდა ქსელში მყოფი მოწყობილობა აგზავნის ტრაფიკს ქსელიდან გარედან, NAT ჩართული როუტერი თარგმნის მოწყობილობის შიდა IPv4 მისამართს საჯარო მისამართად NAT აუზიდან. გარე მოწყობილობებზე, ქსელში შესვლისა და გასვლის ყველა ტრაფიკს აქვს საჯარო IPv4 მისამართი.

NAT როუტერი ჩვეულებრივ მუშაობს საზღვარზე Stub- ქსელები ნაკერი ქსელი არის სტუბ ქსელი, რომელსაც აქვს ერთი კავშირი მეზობელ ქსელთან, ერთი შესვლა და გასვლა ქსელიდან.

როდესაც Stub ქსელში მყოფ მოწყობილობას სურს დაუკავშირდეს მოწყობილობას მისი ქსელის გარეთ, პაკეტი გადაეგზავნება სასაზღვრო როუტერს და ის ასრულებს NAT პროცესს, თარგმნის მოწყობილობის შიდა კერძო მისამართს საჯარო, გარე, მარშრუტირებად მისამართად.

NAT ტერმინოლოგია

NAT ტერმინოლოგიაში შიდა ქსელი არის ქსელების ნაკრები, რომელიც უნდა ითარგმნოს. გარე ქსელი ეხება ყველა სხვა ქსელს.

NAT-ის გამოყენებისას, IPv4 მისამართებს აქვთ სხვადასხვა აღნიშვნა იმის მიხედვით, არის თუ არა ისინი კერძო ქსელში თუ საჯარო ქსელში (ინტერნეტი), და არის თუ არა ტრაფიკი შემომავალი ან გამავალი.

NAT მოიცავს მისამართების ოთხ ტიპს:

• ადგილობრივი მისამართის შიგნით;
• შიდა გლობალური მისამართი;
• ადგილობრივი მისამართის გარეთ;
• გლობალური მისამართის გარეთ;

როდესაც განვსაზღვრავთ, თუ რა ტიპის მისამართია გამოყენებული, მნიშვნელოვანია გვახსოვდეს, რომ NAT ტერმინოლოგია ყოველთვის გამოიყენება თარგმნილი მისამართის მქონე მოწყობილობის თვალსაზრისით:

• Შიდა მისამართი- მოწყობილობის მისამართი, რომელიც თარგმნილია NAT-ის მიერ;
• გარე მისამართი- დანიშნულების მოწყობილობის მისამართი;
• ადგილობრივი მისამართი- ეს არის ნებისმიერი მისამართი, რომელიც ნაჩვენებია ქსელის შიდა ნაწილზე;
• გლობალური მისამართი- ეს არის ნებისმიერი მისამართი, რომელიც ნაჩვენებია ქსელის გარე ნაწილზე;

მოდით შევხედოთ ამას მაგალითის დიაგრამის გამოყენებით.

ფიგურაში კომპიუტერს აქვს შიდა ლოკალური ( ადგილობრივი შიგნით) მისამართი არის 192.168.1.5 და მისი გადმოსახედიდან ვებ სერვერს აქვს გარე ( გარეთ) მისამართი 208.141.17.4. როდესაც პაკეტები იგზავნება კომპიუტერიდან ვებ სერვერის გლობალურ მისამართზე, შიდა ლოკალური ( ადგილობრივი შიგნით) კომპიუტერის მისამართი ითარგმნა 208.141.16.5-ზე ( გლობალური შიგნით). გარე მოწყობილობის მისამართი ჩვეულებრივ არ ითარგმნება, რადგან ეს არის საჯარო IPv4 მისამართი.

აღსანიშნავია, რომ კომპიუტერს აქვს სხვადასხვა ლოკალური და გლობალური მისამართი, ხოლო ვებ სერვერს აქვს იგივე საჯარო IP მისამართი. მისი აზრით, კომპიუტერიდან წარმოშობილი ტრაფიკი მოდის შიდა გლობალური მისამართიდან 208.141.16.5. NAT როუტერი არის სადემარკაციო წერტილი შიდა და გარე ქსელებს შორის და ადგილობრივ და გლობალურ მისამართებს შორის.

Ვადები შიგნითდა გარეთტერმინებთან ერთად ადგილობრივიდა გლობალურიკონკრეტული მისამართების დასაკავშირებლად. ფიგურაში, როუტერი კონფიგურირებულია NAT-ის უზრუნველსაყოფად და აქვს საჯარო მისამართების აუზი შიდა ჰოსტებისთვის მინიჭებისთვის.

ნახატი გვიჩვენებს, თუ როგორ იგზავნება ტრაფიკი შიდა კომპიუტერიდან გარე ვებ სერვერზე, NAT-ზე ჩართული როუტერის მეშვეობით და გადამისამართება და გადამისამართება საპირისპირო მიმართულებით.

შიდა ლოკალური მისამართი ( ადგილობრივი მისამართის შიგნით) - წყაროს მისამართი, რომელიც ჩანს შიდა ქსელიდან. ფიგურაში, მისამართი 192.168.1.5 ენიჭება კომპიუტერს - ეს არის მისი შიდა ლოკალური მისამართი.

შიდა გლობალური მისამართი ( შიდა გლობალური მისამართი) - წყაროს მისამართი, რომელიც ჩანს გარე ქსელიდან. სურათზე, როდესაც კომპიუტერიდან ტრაფიკი იგზავნება ვებ სერვერზე 208.141.17.4, როუტერი თარგმნის შიდა ლოკალურ მისამართს ( ადგილობრივი მისამართის შიგნით) შიდა გლობალურ მისამართზე ( შიდა გლობალური მისამართი). ამ შემთხვევაში, როუტერი ცვლის IPv4 წყაროს მისამართს 192.168.1.5-დან 208.141.16.5-მდე.

გარე გლობალური მისამართი ( გლობალური მისამართის გარეთ) - მიმღების მისამართი, ხილული გარე ქსელიდან. ეს არის გლობალურად მარშრუტირებადი IPv4 მისამართი, რომელიც მინიჭებულია ჰოსტს ინტერნეტში. დიაგრამაში ვებ სერვერი ხელმისაწვდომია 208.141.17.4. ყველაზე ხშირად, გარე ლოკალური და გარე გლობალური მისამართები ერთნაირია.

გარე ლოკალური მისამართი ( ადგილობრივი მისამართის გარეთ) - მიმღების მისამართი, რომელიც ჩანს შიდა ქსელიდან. ამ მაგალითში კომპიუტერი აგზავნის ტრაფიკს ვებ სერვერზე 208.141.17.4

მოდით განვიხილოთ პაკეტის მთელი გზა. კომპიუტერი მისამართით 192.168.1.5 ცდილობს დაუკავშირდეს ვებ სერვერს 208.141.17.4. როდესაც პაკეტი მიაღწევს NAT ჩართულ როუტერს, ის კითხულობს პაკეტის IPv4 დანიშნულების მისამართს, რათა დაადგინოს, აკმაყოფილებს თუ არა პაკეტი თარგმნისთვის მითითებულ კრიტერიუმებს. ამ მაგალითში, წყაროს მისამართი აკმაყოფილებს კრიტერიუმებს და ითარგმნება 192.168.1.5-დან ( ადგილობრივი მისამართის შიგნით) 208.141.16.5-ზე. ( შიდა გლობალური მისამართი). როუტერი ამატებს ამ ლოკალური მისამართის გლობალურ რუკს NAT ცხრილში და აგზავნის პაკეტს ნათარგმნი წყაროს მისამართით დანიშნულების ადგილზე. ვებ სერვერი პასუხობს პაკეტის მისამართით კომპიუტერის შიდა გლობალურ მისამართს (208.141.16.5). როუტერი იღებს პაკეტს დანიშნულების მისამართით 208.141.16.5 და ამოწმებს NAT ცხრილს, სადაც პოულობს ჩანაწერს ამ რუკისთვის. ის იყენებს ამ ინფორმაციას და თარგმნის შიდა გლობალურ მისამართს (208.141.16.5) შიდა ლოკალურ მისამართზე (192.168.1.5) და პაკეტი გადაგზავნილია კომპიუტერისკენ.

NAT ტიპები

NAT თარგმანის სამი ტიპი არსებობს:

• სტატიკური მისამართის თარგმანი (სტატიკური NAT)- ლოკალურ და გლობალურ მისამართებს შორის ერთი-ერთზე მისამართების რუკა;
• დინამიური მისამართის თარგმანი (დინამიური NAT)- ლოკალურ და გლობალურ მისამართებს შორის მრავალი-მრავალამდე მისამართების რუკა;
• პორტის მისამართის თარგმანი (NAT)- პორტების გამოყენებით ლოკალურ და გლობალურ მისამართებს შორის მულტიკასტის მისამართების რუქა. ეს მეთოდი ასევე ცნობილია როგორც NAT გადატვირთვა;

Static NAT იყენებს ლოკალური და გლობალური მისამართების ერთ-ერთ რუკს. ეს რუკების კონფიგურაცია ხდება ქსელის ადმინისტრატორის მიერ და რჩება მუდმივი. როდესაც მოწყობილობები აგზავნიან ტრაფიკს ინტერნეტში, მათი შიდა ლოკალური მისამართები ითარგმნება კონფიგურირებულ შიდა გლობალურ მისამართებზე. გარე ქსელებისთვის ამ მოწყობილობებს აქვთ საჯარო IPv4 მისამართები. Static NAT განსაკუთრებით სასარგებლოა ვებ სერვერებისთვის ან მოწყობილობებისთვის, რომლებსაც უნდა ჰქონდეთ თანმიმდევრული მისამართი ინტერნეტიდან, როგორიცაა კომპანიის ვებ სერვერი. Static NAT მოითხოვს საჯარო მისამართების საკმარის რაოდენობას მომხმარებლის ერთდროული სესიების საერთო რაოდენობის დასაკმაყოფილებლად.

სტატიკური NAT ცხრილი ასე გამოიყურება:

Dynamic NAT იყენებს საჯარო მისამართების ერთობლიობას და ანიჭებს მათ პირველი მოსვლის, პირველი სერვისის საფუძველზე. როდესაც შიდა მოწყობილობა ითხოვს წვდომას გარე ქსელში, დინამიური NAT ანიჭებს ხელმისაწვდომი საჯარო IPv4 მისამართს აუზიდან. სტატიკური NAT-ის მსგავსად, დინამიური NAT მოითხოვს საკმარის რაოდენობას საჯარო მისამართების დასაკმაყოფილებლად მომხმარებლის ერთდროული სესიების საერთო რაოდენობის დასაკმაყოფილებლად.

დინამიური NAT ცხრილი ასე გამოიყურება:

პორტის მისამართის თარგმანი (PAT)

PATავრცელებს რამდენიმე კერძო მისამართს ერთ ან რამდენიმე საჯარო მისამართზე. ეს არის ის, რასაც აკეთებს სახლის მარშრუტიზატორების უმეტესობა. ISP ანიჭებს როუტერს ერთ მისამართს, მაგრამ ოჯახის რამდენიმე წევრს შეუძლია ერთდროულად წვდომა ინტერნეტში. ეს არის NAT-ის ყველაზე გავრცელებული ფორმა.

PAT-ით, მრავალი მისამართი შეიძლება განთავსდეს ერთ ან მეტ მისამართზე, რადგან თითოეულ კერძო მისამართს ასევე აკონტროლებს პორტის ნომერი. როდესაც მოწყობილობა იწყებს სესიას TCP/IP, ის წარმოქმნის წყაროს პორტის მნიშვნელობას TCPან UDPსესიის ცალსახად იდენტიფიცირება. როდესაც NAT როუტერი იღებს პაკეტს კლიენტისგან, ის იყენებს მის წყაროს პორტის ნომერს კონკრეტული NAT თარგმანის ცალსახად იდენტიფიცირებისთვის. PAT უზრუნველყოფს, რომ მოწყობილობები გამოიყენებენ სხვადასხვა TCP პორტის ნომერს თითოეული სესიისთვის. როდესაც პასუხი დაბრუნდება სერვერიდან, წყაროს პორტის ნომერი, რომელიც ხდება დანიშნულების პორტის ნომერი დაბრუნების გზაზე, განსაზღვრავს, რომელ მოწყობილობაზე გადასცემს როუტერი პაკეტებს.

სურათი ასახავს PAT პროცესს. PAT ამატებს უნიკალურ წყაროს პორტის ნომრებს შიდა გლობალურ მისამართს, რათა განასხვავოს თარგმანები.

როდესაც როუტერი ამუშავებს თითოეულ პაკეტს, ის იყენებს პორტის ნომერს (1331 და 1555, ამ მაგალითში) მოწყობილობის იდენტიფიცირებისთვის, საიდანაც ეს პაკეტი წარმოიშვა.

წყაროს მისამართი ( წყაროს მისამართი) არის შიდა ლოკალური მისამართი დართული პორტის ნომრით, რომელიც მინიჭებულია TCP/IP-ით. Დანიშნულების მისამართი ( Დანიშნულების მისამართი) არის გარე ლოკალური მისამართი, რომელსაც დართული აქვს სერვისის პორტის ნომერი. ამ მაგალითში სერვისის პორტი არის 80: HTTP.

წყაროს მისამართისთვის, როუტერი თარგმნის შიდა ლოკალურ მისამართს შიდა გლობალურ მისამართზე პორტის ნომრით დართული. დანიშნულების მისამართი არ იცვლება, მაგრამ ახლა მას უწოდებენ გარე გლობალურ IP მისამართს. როდესაც ვებ სერვერი პასუხობს, გზა იცვლება.

ამ მაგალითში, კლიენტის პორტის ნომრები 1331 და 1555 არ შეცვლილა NAT როუტერზე. ეს არ არის ძალიან სავარაუდო სცენარი, რადგან დიდი შანსია, რომ ეს პორტის ნომრები უკვე მიმაგრებული იყო სხვა აქტიურ სესიებზე. PAT ცდილობს შეინარჩუნოს ორიგინალური წყაროს პორტი. თუმცა, თუ ორიგინალური წყაროს პორტი უკვე გამოიყენება, PAT ანიჭებს პირველ ხელმისაწვდომი პორტის ნომერს, შესაბამისი პორტის ჯგუფის დასაწყისიდან. 0-511, 512-1023 ან 1024-65535 . როდესაც მეტი პორტი არ არის და მისამართების აუზში არის ერთზე მეტი გარე მისამართი, PAT გადადის შემდეგ მისამართზე, რათა შეეცადოს გამოყოს ორიგინალური წყაროს პორტი. ეს პროცესი გრძელდება მანამ, სანამ აღარ იქნება ხელმისაწვდომი პორტები ან გარე IP მისამართები.

ანუ, თუ სხვა ჰოსტს შეუძლია აირჩიოს იგივე პორტის ნომერი 1444. ეს მისაღებია შიდა მისამართისთვის, რადგან ჰოსტებს აქვთ უნიკალური პირადი IP მისამართები. თუმცა, NAT როუტერზე, პორტის ნომრები უნდა შეიცვალოს - წინააღმდეგ შემთხვევაში, პაკეტები ორი განსხვავებული ჰოსტიდან დატოვებს მას იმავე წყაროს მისამართს. ამიტომ, PAT ანიჭებს შემდეგ ხელმისაწვდომ პორტს (1445) მეორე ჰოსტის მისამართს.

მოდით შევაჯამოთ შედარება NAT-სა და PAT-ს შორის. როგორც ცხრილებიდან ხედავთ, NAT თარგმნის IPv4 მისამართებს 1:1 საფუძველზე კერძო IPv4 მისამართებსა და საჯარო IPv4 მისამართებს შორის. თუმცა, PAT ცვლის როგორც მისამართს, ასევე პორტის ნომერს. NAT აგზავნის შემომავალ პაკეტებს მათ შიდა მისამართზე, ჰოსტის მიერ საჯარო ქსელში მიცემული შემომავალი წყაროს IP მისამართის საფუძველზე, ხოლო PAT-ში ჩვეულებრივ არის მხოლოდ ერთი ან ძალიან ცოტა საჯაროდ გამოვლენილი IPv4 მისამართი და შემომავალი პაკეტები გადაგზავნილია როუტერის NAT ცხრილის საფუძველზე. .

რაც შეეხება IPv4 პაკეტებს, რომლებიც შეიცავს სხვა მონაცემებს TCP ან UDP-ის გარდა? ეს პაკეტები არ შეიცავს 4 ფენის პორტის ნომერს. PAT თარგმნის ყველაზე გავრცელებულ პროტოკოლებს, რომლებსაც აქვთ IPv4, რომლებიც არ იყენებენ TCP ან UDP-ს, როგორც სატრანსპორტო ფენის პროტოკოლს. მათგან ყველაზე გავრცელებულია ICMPv4. თითოეული ამ ტიპის პროტოკოლი განსხვავებულად მუშავდება PAT-ის მიერ. მაგალითად, ICMPv4 მოთხოვნის შეტყობინებები, ექო მოთხოვნები და პასუხები შეიცავს მოთხოვნის ID-ს მოთხოვნის ID. ICMPv4 იყენებს შეკითხვის ID-ს. ექო მოთხოვნის იდენტიფიცირება შესაბამის პასუხთან. მოთხოვნის ID იზრდება ყოველი გაგზავნილი პინგით. PAT იყენებს მოთხოვნის ID-ს ფენის 4 პორტის ნომრის ნაცვლად.

NAT-ის უპირატესობები და უარყოფითი მხარეები

NAT გთავაზობთ ბევრ სარგებელს, მათ შორის:

• NAT ინახავს რეგისტრირებულ მისამართების სქემას, რაც საშუალებას აძლევს ინტრანეტების პრივატიზაციას. PAT-ით, შიდა ჰოსტებს შეუძლიათ გაზიარონ ერთი საჯარო IPv4 მისამართი ყველა გარე კომუნიკაციისთვის. ამ ტიპის კონფიგურაციაში, ძალიან ცოტა გარე მისამართია საჭირო მრავალი შიდა ჰოსტის მხარდასაჭერად;
• NAT ზრდის საჯარო ქსელთან კავშირების მოქნილობას. მრავალი აუზი, სარეზერვო აუზი და დატვირთვის დაბალანსების აუზი შეიძლება განხორციელდეს სანდო საზოგადოებრივი ქსელის კავშირების უზრუნველსაყოფად;

NAT უზრუნველყოფს ქსელის შიდა მისამართების სქემების თანმიმდევრულობას. ქსელში, რომელიც არ იყენებს პირად IPv4 მისამართებს და NAT-ს, საერთო IPv4 მისამართების სქემის შეცვლა მოითხოვს არსებულ ქსელში არსებული ყველა ჰოსტის გადამისამართებას. მასპინძლის გადაგზავნის ღირებულება შეიძლება იყოს მნიშვნელოვანი. NAT საშუალებას იძლევა დარჩეს არსებული კერძო IPv4 მისამართის სქემა, ხოლო ახალი საჯარო მისამართების სქემა ადვილად შეიცვალოს. ეს ნიშნავს, რომ ორგანიზაციას შეუძლია შეცვალოს პროვაიდერები და არ უნდა შეცვალოს რომელიმე მისი შიდა მომხმარებელი;

• NAT უზრუნველყოფს ქსელის უსაფრთხოებას. იმის გამო, რომ კერძო ქსელები არ აქვეყნებენ თავიანთ მისამართებს ან შიდა ტოპოლოგიას, ისინი საკმაოდ უსაფრთხოდ რჩებიან NAT-თან ერთად გამოყენებისას კონტროლირებადი გარე წვდომის მისაღწევად. თუმცა, თქვენ უნდა გესმოდეთ, რომ NAT არ ცვლის ბუხარებს;

მაგრამ NAT-ს აქვს გარკვეული უარყოფითი მხარეები. ის ფაქტი, რომ მასპინძლები ინტერნეტში, როგორც ჩანს, პირდაპირ კომუნიკაციას უწევენ NAT ჩართულ მოწყობილობას და არა კერძო ქსელში არსებულ რეალურ ჰოსტთან, ქმნის უამრავ პრობლემას:

• NAT-ის გამოყენების ერთ-ერთი მინუსი დაკავშირებულია ქსელის მუშაობასთან, განსაკუთრებით რეალურ დროში პროტოკოლებისთვის, როგორიცაა VoIP. NAT ზრდის გადართვის შეფერხებებს, რადგან დრო სჭირდება თითოეული IPv4 მისამართის თარგმნას პაკეტის სათაურებში;
• NAT-ის გამოყენების კიდევ ერთი მინუსი არის ის, რომ ბოლოდან ბოლომდე მიმართვის დაკარგვა იკარგება. ბევრი ინტერნეტ პროტოკოლი და აპლიკაცია დამოკიდებულია წყაროდან დანიშნულებამდე ბოლომდე მისამართებაზე. ზოგიერთი აპლიკაცია არ მუშაობს NAT-თან. აპლიკაციები, რომლებიც იყენებენ ფიზიკურ მისამართებს და არა კვალიფიციურ დომენის სახელს, არ მიაღწევენ მიზნებს, რომლებიც ითარგმნება NAT როუტერის საშუალებით. ზოგჯერ ამ პრობლემის თავიდან აცილება შესაძლებელია სტატიკური NAT რუკების განხორციელებით;
• ასევე დაკარგულია ბოლომდე IPv4 მიკვლევა. უფრო რთულია პაკეტების თვალყურის დევნება, რომლებიც განიცდიან მრავალჯერადი პაკეტის მისამართის ცვლილებას რამდენიმე NAT hops-ზე, რაც ართულებს პრობლემების მოგვარებას;
• NAT-ის გამოყენება ასევე აფერხებს გვირაბის პროტოკოლებს, როგორიცაა IPsec, რადგან NAT ცვლის მნიშვნელობებს სათაურებში, რაც ხელს უშლის IPsec და სხვა გვირაბის პროტოკოლების მიერ შესრულებულ მთლიანობის შემოწმებას;
• სერვისები, რომლებიც მოითხოვს TCP კავშირების ინიცირებას გარე ქსელიდან, ან მოქალაქეობის არმქონე პროტოკოლებს, როგორიცაა UDP-ის გამოყენებით, შეიძლება შეფერხდეს. თუ NAT როუტერი არ არის კონფიგურირებული ასეთი პროტოკოლების მხარდასაჭერად, შემომავალი პაკეტები ვერ მიაღწევენ დანიშნულების ადგილს;

ეს სტატია თქვენთვის სასარგებლო იყო?

Გთხოვ მითხარი რატომ?

ვწუხვართ, რომ სტატია არ გამოგადგათ: (გთხოვთ, თუ არ არის რთული, მიუთითეთ რატომ? დეტალური პასუხისთვის დიდი მადლობელი ვიქნებით. გმადლობთ, რომ გვეხმარებით უკეთ გავხდეთ!

მოგესალმებით ყველას, დღეს ვისაუბრებთ იმაზე, თუ როგორ უნდა დააკონფიგურიროთ Cisco NAT. რა არის NAT და რატომ არის ის ზოგადად საჭირო, რადგან ეს ფუნქციონირება დიდი ხანია მტკიცედ არის დამკვიდრებული ჩვენს ყოველდღიურ ცხოვრებაში და ახლა ძნელი წარმოსადგენია მინიმუმ ერთი საწარმო, რომელიც არ იყენებს ამ ტექნოლოგიას. ერთ დროს მან გადაარჩინა ინტერნეტი და მნიშვნელოვნად შეაფერხა ipv4-დან ipv6-ზე გადასვლა, მაგრამ პირველ რიგში.

რა არის NAT

NAT (ქსელის მისამართის თარგმნა) არის ქსელის მისამართების კონვერტაციის მექანიზმი; მარტივად რომ ვთქვათ, ეს არის ტექნოლოგია, რომელიც საშუალებას აძლევს კერძო ან ნაცრისფერ IP-ების ჯგუფს დაჯდეს ერთი თეთრი IP-ს უკან. ამის მაგალითი იქნება საოფისე ინტერნეტი, სადაც ყველა მომხმარებელი იყენებს საერთო კარიბჭეს, რომელიც კონფიგურირებულია IP მისამართით, რომელიც უერთდება ინტერნეტს, ასე რომ მომხმარებლებს აქვთ ადგილობრივი IP მისამართების კონფიგურაცია.

ეს რაღაც ასე გამოიყურება

NAT-ის ტიპები

• Static NAT - ნაცრისფერი IP-ს თეთრად გადაქცევა, ლოკალურ ქსელში პორტის გადამისამართების მაგალითი, მაგალითად RDP
• Dynamic NAT - ნაცრისფერი IP-ის გადაქცევა თეთრი IP მისამართების ჯგუფის ერთ-ერთ IP მისამართად
• გადატვირთული NAT ან, როგორც მას ასევე უწოდებენ PAT (პორტის მისამართის თარგმანი), რამდენიმე ნაცრისფერი IP-ის გარდაქმნას თეთრად, რაც მათ აძლევს სხვადასხვა პორტებს.

დღეს ჩვენ გადავხედავთ სტატიკურ NAT-სა და PAT-ს.

Cisco NAT დაყენება

ასე გამოიყურება პატარა ოფისის განლაგება. ჩვენ გვაქვს 3 კომპიუტერი vlan 2-ში, არის სერვერი ცალკე vlan 3-ში. ეს ყველაფერი დაკავშირებულია Cisco 2660 მეორე დონის გადამრთველთან, რომელიც თავის მხრივ ჩართულია Cisco 1841 როუტერში, რომელიც მარშრუტებს ადგილობრივ ტრაფიკს vlan 2-ს შორის. და 3.

Cisco 2960 დაყენება

შევქმნათ vlan 2 და vlan3, მივცეთ სახელები და დავაკონფიგურიროთ საჭირო პორტები ამ vlan-ებზე.

ჩართვა
კონფ ტ
შექმენით vlan 2
vlan 2
სახელი VLAN2
გასასვლელი
შექმენით vlan 3
vlan 3
სახელი VLAN3
გასასვლელი
ჩვენ ვაყენებთ პორტებს vlan2-ში
int დიაპაზონი fa0/1-3
გადამრთველი რეჟიმის წვდომა
გადამრთველის წვდომა vlan 2
გასასვლელი
მოათავსეთ პორტი vlan3-ში
int fa 0/4
გადამრთველი რეჟიმის წვდომა
გადამრთველის წვდომა vlan 3
გასასვლელი

int fa 0/5
გადამრთველი რეჟიმის საბარგული
switchport trunk დაშვებული vlan 2,3
გააკეთე wr mem

Cisco 1841 დაყენება

უპირველეს ყოვლისა, მოდით შევქმნათ ქვე ინტერფეისები და ავწიოთ პორტი.

ჩართვა
კონფ ტ
int fa0/0
არ გამორთვა
გასასვლელი

int fa0/0.2
ინკაფსულაცია dot1Q 2
IP მისამართი 192.168.2.251 255.255.255.0
არ გამორთვა
გასასვლელი

int fa0/0.3
ინკაფსულაცია dot1Q 3
IP მისამართი 192.168.3.251 255.255.255.0
არ გამორთვა
გასასვლელი

შედეგად, პორტი მწვანე გახდა

PAT დაყენება

ჩემს ვირტუალურ ინფრასტრუქტურაში, სამწუხაროდ, ჩვენი სქემის ინტერნეტში გამოშვება შეუძლებელია, ჩვენ ვაბაძავთ მას, გვექნება როუტერი თეთრი IP მისამართით და სერვერი ასევე თეთრი IP მისამართით. სქემატურად ასე გამოიყურება. პროვაიდერის როუტერზე კონკრეტულ პორტს ენიჭება თეთრი IP მისამართი 213.235.1.1 და ქსელის ნიღაბი 255.255.255.252

მოდით დავაკონფიგურიროთ ეს IP ჩვენი სატესტო პროვაიდერის როუტერზე.

en
კონფ ტ
int fa0/0
IP მისამართი 213.235.1.1 255.255.255.252
არ გამორთვა
გასასვლელი

მოდით დავაკონფიგურიროთ პორტი fa0/1, რომელსაც ვუყურებთ სერვერს და მივცეთ კიდევ ერთი თეთრი IP 213.235.1.25 255.255.255.252

int fa0/1
IP მისამართი 213.235.1.25 255.255.255.252
არ გამორთვა
გასასვლელი

ჩემს სერვერს ექნება IP მისამართი 213.235.1.26 და კარიბჭე იქნება 213.235.1.25, პროვაიდერის როუტერის ინტერფეისი, რომელიც სერვერს უყურებს.

ახლა მოდით დავაკონფიგურიროთ ჩვენი ადგილობრივი როუტერი Router0, დავაკონფიგურიროთ ის თეთრი IP მისამართით, რომელიც ჩვენთვის გამოყოფილია ჩვენი პროვაიდერის მიერ 213.235.1.2 255.255.255.252, კარიბჭე იქნება 213.235.1.1.

ჩართვა
კონფ ტ
int fa0/1
IP მისამართი 213.235.1.2 255.255.255.252
არ გამორთვა
გასასვლელი
IP მარშრუტი 0.0.0.0 0.0.0.0 213.235.1.1
გასასვლელი
wr mem

ჩვენ ვცდილობთ პროვაიდერის და სერვერის IP მისამართების პინგს ოფისის როუტერიდან და ვხედავთ, რომ ყველაფერი კარგად მუშაობს.

როუტერი # ping 213.235.1.1

წარმატების მაჩვენებელია 80 პროცენტი (4/5), ორმხრივი მინ/საშ/მაქს = 0/0/0 ms

როუტერი # ping 213.235.1.1

ჩაწერეთ გაქცევის თანმიმდევრობა აბორტამდე.

5, 100-ბაიტიანი ICMP Echo-ის გაგზავნა 213.235.1.1-ზე, ვადაა 2 წამი:

წარმატების მაჩვენებელია 100 პროცენტი (5/5), ორმხრივი მინ/საშ/მაქს = 0/0/1 ms

როუტერი # ping 213.235.1.2

ჩაწერეთ გაქცევის თანმიმდევრობა აბორტამდე.

5, 100-ბაიტიანი ICMP Echo-ის გაგზავნა 213.235.1.2-ზე, ვადაა 2 წამი:

წარმატების მაჩვენებელია 100 პროცენტი (5/5), ორმხრივი მინ/საშ/მაქს = 0/9/17 ms

როუტერი # ping 213.235.1.25

ჩაწერეთ გაქცევის თანმიმდევრობა აბორტამდე.

5, 100-ბაიტიანი ICMP Echo-ის გაგზავნა 213.235.1.25-ზე, ვადაა 2 წამი:

როუტერი # ping 213.235.1.26

ჩაწერეთ გაქცევის თანმიმდევრობა აბორტამდე.

5, 100-ბაიტიანი ICMP Echo-ის გაგზავნა 213.235.1.26-ზე, ვადაა 2 წამი:

წარმატების მაჩვენებელი არის 100 პროცენტი (5/5), ორმხრივი მინ/საშ/მაქს = 0/0/0 ms

ისე, თავად ნაირსახეობა. ადგილობრივ როუტერზე ჩვენ ვაკეთებთ შემდეგს. ახლა ჩვენ უნდა დავაყენოთ რომელი nat ინტერფეისი ჩაითვლება გარე და რომელი შიდა, აქ ყველაფერი უბრალოდ გარე იქნება, სადაც პროვაიდერის თეთრი IP მისამართია კონფიგურირებული, შიდა იქნება ის, რაც დაკავშირებულია მეორე დონის გადამრთველთან. fa0/1 იქნება გარე, ხოლო ორი ქვე ინტერფეისი შიდა.

ჩართვა
კონფ ტ
int fa0/1
ip nat გარეთ
გასასვლელი
int fa0/0.2
ip nat შიგნით
int fa0/0.3
ip nat შიგნით
გასასვლელი

წვდომის სიის დაყენება

წვდომის სია არის სია, რომლის ტრაფიკი უნდა იყოს NAT და რომელიც უნდა მუშაობდეს NAT-ის გარეშე.

წვდომის სიის შექმნა NAT სახელით

ip Access-list სტანდარტული NAT
დაუშვით ორი აუზი
ნებართვა 192.168.2.0 0.0.0.255
ნებართვა 192.168.3.0 0.0.0.255

0.0.0.255 არის Wildcard ბიტი

როგორც ხედავთ, ჩვენ გვაქვს წვდომის სია ჩვენს კონფიგურაციაში და პორტები მონიშნულია, რომელია გარეთ და რომელი შიგნით.

და ჩვენ შევიყვანთ სხვა ჯადოსნურ ბრძანებას, რომელიც ამბობს, რომ ტრაფიკი, რომელიც მოდის fa0/1-ზე, უნდა იყოს მარშრუტირებული NAT წესით. ჩვენ დავასრულეთ PAT-ის დაყენება.

ip nat წყაროს სიაში NAT ინტერფეისი fa0/1 გადატვირთვა

შეინახეთ ყველაფერი, რაც გააკეთეთ მემ

მოდით შევამოწმოთ გარე რესურსების ხელმისაწვდომობა ადგილობრივი ქსელის კომპიუტერიდან. მოდით შევხედოთ მიმდინარე კონფიგურაციებს ipconfig ბრძანების გამოყენებით, ჩვენ ვხედავთ IP მისამართს 192.168.2.1, ping 213.235.1.26, როგორც ხედავთ, ყველაფერი წესრიგშია და NAT cisco მუშაობს.