الرئيسية / بواسطة / نوع اتصال NAT. NAT - إعداد عناوين الشبكة التحويل

نوع اتصال NAT. NAT - إعداد عناوين الشبكة التحويل

هذا بالتأكيد تقنيات مختلفةوبعد لا تخلط بينهم.

ما هو NAT.

NAT - المصطلح الجماعي، يدل على تكنولوجيا البث عناوين الشبكة و / أو البروتوكولات. تنتج أجهزة NAT عن حزم تحويل تمرير مع استبدال العناوين والموانئ والبروتوكولات، إلخ.

هناك مفهوم أضيق من Snat، DNAT، تنكر، بات، NAT-PT، إلخ.

لماذا تحتاج NAT، وكيفية استخدامها

لعرض الشبكة الداخلية عبر الإنترنت

من خلال مجموعة من العناوين الخارجية
من خلال عنوان خارجي واحد

لاستبدال عنوان IP الخارجي للآخرين (إعادة توجيه المرور)

لتحميل موازنة بين الخوادم متطابقة مع عناوين IP المختلفة.

للجمع بين شبكات محلية مع عنونة داخلية تقاطع.

كيف يتم ترتيب NAT

s + D NAT (دمج دمج - الشر!)

ميناء رسم الخرائط، حرق الميناء

المميزات والعيوب

غير متوافق مع بعض البروتوكولات. يجب أن يدعم التنفيذ المحدد لل NAT تفتيش البروتوكول المطلوب.

لدى NAT شبكة "الشاشة" الداخلية من العالم الخارجي، ولكن لا يمكن استخدامها بدلا من جدار الحماية.

سيسكو IOS الإعداد

دعم أجهزة توجيه Cisco وجدران الحماية أنواع مختلفة من NAT، اعتمادا على مجموعة خيارات البرامج. الأكثر استخداما هي طريقة NAT مع ربط العناوين المحلية الداخلية بمختلف منافذ عنوان خارجي واحد (بات في مصطلحات Cisco).

لتكوين NAT على جهاز التوجيه، يكون ذلك مطلوبا: o تحديد حركة المرور التي يجب أن تنتقل (باستخدام قوائم الوصول أو خريطة الطريق)؛

قائمة الوصول إلى IP الموسعة تصريح محلي IP 10.0.0.0 0.255.255.255 أي

الطريق - خريطة INT1 المباراة عنوان IP

يختار Aksss Leaf Local جميع حركة المرور من 10 شبكات.

Rut-Map Int1 يختار حركة المرور ورقة المحاور المحلية، وترك Sabeyface FA 0 / 1.1

س حدد ما هي العناوين الخارجية لإجراء البث. حدد بركة العناوين الخارجية. لباء عنوان واحد بما فيه الكفاية.

IP NAT Pool Global 212.192.64.74 212.192.64.74 NetMask 255.255.255.0

تحديد مجموعة العناوين الخارجية باسم Global. في حمام السباحة من عنوان واحد فقط.

o تمكين NAT عن عناوين داخلي وخارجية مختارة.

IP NAT داخل المصدر الطريق-Map-Map Int1 Pool Global Overload

تمكين NAT لبث عناوين المصدر على الواجهة الداخلية. سيتم بث حركة المرور فقط في ظل ظروف Rout-Map Int1. سيتم أخذ العنوان الخارجي من بولا العالمية.

IP NAT داخل المصدر ثابت TCP 10.0.0.1 23 212.192.64.74 23

"ميناء ميناء" ثابت أو "نشر الخدمة". في حركة المرور في الداخل إلى العنوان 212.192.64.74، سيتم استبدال عنوان 10.0.0.0.1 والمنفذ 23 بمنفذ TCP 23 23.

س تعيين واجهات داخلية وخارجية.

واجهة FastEthernet0 / 0 IP NAT داخل واجهة FastEthernet0 / 1.1 IP NAT خارج

تم تعيين واجهة FA 02S الداخلية من أجل NAT.

FA 0 / 1.1 SabRider مخصصة للخارجية من أجل NAT.

o تصحيح الأخطاء والتشخيص:

SH IP NAT ترجمات - عرض جدول البث الحالي؛ ترجمة IP NAT ترجمة - حذف جميع البث الحاليين؛ Debug IP NAT - تمكين رسائل تصحيح الأخطاء (Undebug All - Over Debugging).

أمثلة

نعطي عدة أمثلة مظاهرة لمحاكي سيسكو حزمة التراكب.

مخطط بسيط لإخراج شبكة صغيرة إلى الإنترنت من خلال مجموعة العناوين الخارجية

دائرة إخراج الشبكة البسيطة في الإنترنت من خلال عنوان خارجي واحد

مخطط التركيب مع مخاطب تقاطع

تشغيل NAT.

يختلف إجراءات تطبيق قواعد NAT عن العديد من الشركات المصنعة وعلى المعدات المختلفة. نعطي الإجراءات اللازمة لتطبيق سياسات NAT على أجهزة التوجيه على Cisco IOS:

من الداخل إلى الخارج

إذا تحققت IPSec، فقم بإجراء فك تشفير إدخال الإدخال - ل CET (تقنية تشفير CISCO) أو IPSec Check Input قائمة الوصول إلى حدود معدل الإدخال محاسبة الإدخال إعادة توجيه توجيه توجيه سياسة ذاكرة التخزين المؤقت على الويب في الخارج إلى خارج (ترجمة باللغة المحلية) Crypto (التحقق من الخريطة) علامة للتشفير) تحقق من فحص قائمة الوصول إلى الإخراج (عنصر تحكم الوصول المستندة إلى السياق (CBAC)) تقييد TCP في قائمة انتظار التشفير

خارج إلى الداخل

إذا تحققت IPSec، فقم بفك التشكيك فك التشفير - ل CET أو IPSec Check Input قائمة الوصول إلى حدود إدخال معدل الإدخال إعادة توجيه محاسبة الإدخال إلى ذاكرة التخزين المؤقت Web To Web Outside To Inside (Global To Local Translation) قائمة الوصول الإخراج تفقد CBAC TCP اعتراض تشفير في قائمة انتظار

قناة الإنترنت من مقدم واحد عبر NAT

مخطط تنفيذ بسيط NAT مع مزود واحد

حجز قناة الإنترنت من اثنين من مقدميي مع NAT، IP SLA

دانار: نحصل على العديد من أجهزة كمبيوتر الإنترنت من مزود ISP1. خصصنا عنوان الولايات المتحدة 212.192.88.150. يتم تنظيم الوصول إلى الإنترنت من عنوان IP هذا عبر NAT.

المهمة: قم بتوصيل موفر النسخ الاحتياطي - ISP2. سوف تخصصنا عنوان 212.192.90.150. ترتيب موازنة المرور: يمكن السماح بحركة المرور عبر الإنترنت من خلال ISP1، وحركة المرور الأخرى - عبر ISP2. في حالة فشل أحد مقدمي الخدمات - لبدء جميع حركة المرور على قناة المعيشة.

ما هو تعقيد المهمة؟ مسح ترجمات IP NAT؟

مخطط

التكوين

1 ترجمة IP NAT ترجمة *

وجدت، هذه قطعة من eem تم اختبارها. ليس كل شيء إصدارات IOS. يتم إنشاء الحدث .. يجب أن نوضح.

! Manager Every Manager Empliet Event Syslog "Tracking-5-State" الإجراء 0.1 CLI CLI "تمكين" الإجراء 0.2 الانتظار 3 Action 0.3 CLI CLI "Clear IP NAT Translation *" الإجراء 0.4 Syslog Msg "NAT Translation مسح بعد تغيير الحالة "!

2 عندما تنخفض الواجهة في المزود، فإن الفرص هي أن بوابته ستنطلق في الثانية

! اسم المستخدم كلمة المرور اسم 0 كلمة المرور تمكين سر 0 parolconfiga! ! إدخال التحكم إلى خط VTY Router 0 4 تسجيل الدخول المحلي! ! DHCP IP DHCP Pool شبكة LAN Network Vieting Mask Default-Router Gate DNS-Server 10.11.12.13! DNS - الاختيارية اخترع - وليس من لدينا شبكه محليه ! ! ! رصد Ping لمقدمي بوابة 1! انتظر الرد 100 MS! Pinging مع تواتر 1 ثاني IP SLA مراقب 1 نوع الصدى بروتوكول ECHO IPICMPECHO GTERS1 واجهة مصدر واجهة 16 مهلة 100 تردد 1! ! Ping Monitor On Provider-2 IP SLA Monitor 2 Type Echo بروتوكول IPICMPECHO GTERERS2 مصدر واجهة Interfaces 2 مهلة 50 تردد 1! ! ابتداء من Pingovakov 1 و 2، الآن و Forever IP SLA مراقب الجدول 1 الحياة إلى الأبد بداية الوقت الآن IP SLA مراقب الجدول 2 الحياة إلى الأبد بداية الوقت الآن! ! يتتبع 10 و 20 - تتبع الدولة بيني! يتفاعل مع حالة أسفل أو أعلى مع تأخير 1 ثانية. تتبع 10 RTR 1 توصيل الوصول إلى أسفل 1 أعلى 1! تتبع 20 RTR 2 رابط الوصول تأخير أسفل 1 أعلى 1! ! ! طرق لجميع الشبكات الخارجية على كلا المزودين! طرق مرتبطة بالمسارات! وسيتم تنشيطها فقط إذا كان المسار في حالة UP! أولئك. إذا كانت البوابة على مقدم الخدمة المقابلة متاحة IP Route 0.0.0.0 0.0.0.0 GTERS1 Track 10 IP Route 0.0.0.0 0.0.0.0 GTERS2 المسار 20! ! ! int fa 0/0 لا أغلق! ! واجهات فرعية تجاه مقدمي الخدمات الخارجية! تم وضع علامة خارج الواجهة NAT Fastetersnet0 / 0.1 الوصف ISP1 Enlibs DOT1Q رقم 1 عنوان IP IPNAPS1 IP NAT خارج قناع! واجهة Fastetersnet0 / 0.2 الوصف ISP2 تغليف DOT1Q Number2 عنوان IP IPNAPS2 IP NAT خارج قناع! ! واجهة الشبكة الداخلية! ملحوظ كما داخل NAT! PRBR واجهة FORTERNET0 / 1 عنوان IP سياسة سياسة التوجيه سياسة الخصوصية IP NAT داخل سياسة الملكية الفكرية الطريق خريطة PBR لا أغلق! ! ورقة aksess من الشبكة خارج! على حركة المرور على الويب وعلى كل شيء آخر قائمة الوصول إلى IP مدد تصريح محلي IP Insit أي! قائمة الوصول إلى بروتوكول الإنترنت مددت تصريح الويب TCP الداخلية أي EQ WWW تصريح TCP Innode أي EQ 443! مددت قائمة الوصول إلى IP كل تصريح IP أي أي أي! ! ! خريطة خليج روث PBR! إذا كانت حركة المرور من LAN على الويب! يعينه إلى بوابة المزود الأول! خلاف ذلك، حركة المرور الأخرى من LAN! تعيين بوابة مزود ثانية. ! عند تعيين بوابة، يتم التحقق من المسارات بواسطة Route-Map PBR تصاريح PBR 10 Match IP عنوان الويب تعيين IP Next-Hop التحقق من توفر GTERS1 1 1 المسار 10! الطريق-خريطة PBR تصاريح 20 مباراة IP عنوان ALL SET IP Next-Hop التحقق-توافر GTERINS2 1 المسار 20! ! ! مشمس الجذر خريطة ISP1! يعمل إذا كانت حركة المرور من LAN! محاولات الخروج من FA0 / 0.1 خريطة الطريق ISP1 تصريح 10 مباراة IP عنوان IP واجهة المطابقة المحلية FastEthernet0 / 0.1! ! Sunny Root-Mapp ISP2! يعمل إذا كانت حركة المرور من LAN! محاولة الخروج من FA0 / 0.2 Route-Map ISP2 تصريح ISP2 10 مباراة عنوان IP واجهة المطابقة المحلية FastEthernet0 / 0.2! ! ! أخيرا، NAT ؛-)! ! حركة المرور من الشبكة المحلية في أول مزود يراقب من خلال أول IP NAT داخل مصدر الطريق خريطة ISP1 واجهة FastetersNet0 / 0.1 الزائد! ! حركة المرور من الشبكة المحلية في المزود الثاني إلى NAT من خلال IP ثاني NAT داخل المصدر Route-Map واجهة ISP2 FasteTersNet0 / 0.2 الزائد! ! يتمثل حركة المرور على DNS الوهمية في التغلب على Google DNS IP NAT خارج المصدر الثابت 8.8.8.8 10.11.12.13 No-Alias! ! المنفذ الداخلي 3389 إلى الأمام على المنفذ الخارجي 1111 IP NAT داخل المصدر الثابت TCP اسلاك 3389 الخارجي 1111 قابلة للتمديد IP NAT داخل المصدر ثابت TCP اسخرق 3389 الخارجي 1111 قابل للتمديد! !

miscellanea.

CGN (الصف الناقل NAT) مع مجموعة خاصة من عناوين خاصة

NAT مثل Alg (بوابة طبقة التطبيق)، (بروتوكولات نص عادي E.G. SIP)

حسنا، انسى هذه الأغاني لفترة من الوقت.
بشكل عام، تكون قوائم الوصول مختلفة:

اساسي
- ممتد
- متحرك
- عاكسة
- الخالدة

سنوقف اهتمامنا اليوم في الأولين، ومزيد من التفاصيل حول كل ما يمكنك قراءته من TSISKI.

حركة المرور الواردة والصادرة

بالنسبة لسوتو، دعونا نفهم شيء واحد. ما أفهمه تحت حركة المرور الواردة والصادرة؟ هذه ستكون ضرورية في المستقبل. حركة المرور الواردة هي تلك التي تأتي إلى الواجهة من الخارج.

المنتهية ولايته هو الذي يتم إرساله من واجهة خارج.

قائمة الوصول التي يمكنك تطبيقها إما على حركة المرور الواردة، ثم لن تصل الحزم غير المكتملة إلى جهاز التوجيه، وبالتالي، في الشبكة، أو على الحزم المنتهية ولايتها، تأتي الحزم إلى جهاز التوجيه، معالجتها واجهة الهدف وإسقاطها فقط.

يتحقق قائمة الوصول القياسية عنوان المرسل فقط. عنوان المرسل المتقدمة وعنوان المستلم وكذلك المنفذ. يوصى باستخدام ACLS القياسي لوضع أقرب ما يمكن للمستلم (حتى لا تقطع أكثر من اللازم)، وممتد - أقرب إلى المرسل (لإسقاط حركة المرور غير المرغوب فيها في أقرب وقت ممكن).

ممارسة

دعنا نذهب مباشرة إلى الممارسة. ما لدينا مثل هذا السداد في شبكتنا الصغيرة "رفع MI AP"؟

خادم الويب. السماح بالوصول إلى جميع بواسطة Port TCP 80 (بروتوكول HTTP). لذلك الجهاز الذي سيتم فيه إجراء التحكم (لدينا أيضا مشرف) تحتاج إلى فتح Telnet و FTP، لكننا سنقدمه الوصول الكاملوبعد كل ما تبقى من التجهيز.

ب) خادم الملفات. يجب أن يكون لدينا سكان LIFT MI AP بواسطة منافذ المجلدات العامة، وجميع الآخرين على FTP.

ج) خادم البريد. هنا لدينا SMTP و POP3 قيد التشغيل، وهذا هو، TCP 25 و 110 منافذ. أيضا للمسؤول المفتوح الوصول إلى الإدارة. حظر آخر.

د) لخادم DNS في المستقبل تحتاج إلى فتح منفذ UDP 53

ه) السماح برسائل ICMP إلى شبكة الخوادم

ه) لأن الشبكة الأخرى لدينا لجميع غير الحزبين الذين لم يدخلوا Feo و PTO والمحاسبة، ثم سنقصرهم جميعا، وبعضهم يمنحون فقط الوصول (من بينهم ونحن)

ه) في شبكة التحكم، تحتاج إلى البدء من جديد فقط المسؤول، وبالطبع حبيبة بلدي.

ز) لن نبني عقبات أمام الاتصالات فيما بينها.

أ) الوصول إلى خادم الويب

هنا لدينا سياسة ممنوعة كل شيء غير مسموح به. لذلك، نحتاج إلى فتح شيء الآن، ولكن كل شيء آخر لإغلاقه.
نظرا لأننا نحمي شبكة الخوادم، فسوف تتسكع الورقة على الواجهة تجاهها، في FE0 / 0.3 السؤال هو فقط في. او عند خارج. هل نحتاج إلى القيام بذلك؟ إذا كنا لا نريد السماح للحزم في اتجاه الخوادم التي كانت بالفعل على جهاز التوجيه، فستكون حركة المرور الصادرة. أي أن عناوين الوجهة (الوجهة) ستكون في شبكة الخوادم (التي سنختارها، والتي يجريها الخادم قيد التشغيل)، ويمكن أن يكون عناوين المصدر (المصدر) على أي حال - من شبكة الشركةومن الإنترنت.
ملاحظة أخرى: نظرا لأننا سنذفف، بما في ذلك في عنوان الوجهة (على خادم الويب، قواعد واحدة، على البريد - آخرين)، فإن قائمة مراقبة الوصول ستتحتاج إلى تقدير (تمتد)، فقط يسمح لك بذلك.

يتم فحص القواعد في قائمة الوصول بالترتيب من الأعلى إلى الأسفل إلى الصدفة الأولى. بمجرد أن يعمل أحد القواعد، بغض النظر عما إذا كان التصريح أو ينكر، يتم إيقاف الشيك ويعتمد معالجة حركة المرور على القاعدة المسطرة.
وهذا هو، إذا كنا نريد حماية خادم الويب، فلا نحتاج أولا إلى إعطاء إذن، لأنه إذا قمت بإعدادنا في السطر الأول رفض IP أي أي - سوف يعمل دائما وحركة المرور لن تمشي بشكل عام. أي. - هذه كلمة خاصة تعني عنوان الشبكة والقناع العكسي 0.0.0.0 0.0.0.0 ويعني أن هناك جميع العقد تماما من أي شبكات. كلمة خاصة أخرى - مضيف. - هذا يعني قناع 255.255.255.255 - أي عنوان واحد محدد فقط.
لذلك، القاعدة الأولى: السماح بالوصول إلى جميع المنفذ 80

MSK-ARBAT-GW1 (التكوين-ext-nacl) # ملاحظة
أي مضيف 172.16.0.2 EQ 80

دعني ( يسمح.) حركة مرور TCP من أي عقدة ( أي.) على المضيف ( مضيف. - إنه عنوان واحد) 172.16.0.2 موجهة إلى المنفذ الثمانين.
نحاول شنق هذه القائمة من الوصول إلى واجهة FE0 / 0:

MSK-ARBAT-GW1 (CONFIG-SUBIF) # خوادم مجموعة IP Access-Out خارج.

تحقق من أي من أجهزة الكمبيوتر المتصلة لدينا:

كما ترون صفحة تفتح، ولكن ماذا عنا مع بينغ؟

وهكذا من أي عقدة أخرى؟

الحقيقة هي أنه بعد كل القواعد في ACL Ciskovsky في النهاية، ضمنية رفض IP أي أي (إنكار ضمنيا). ماذا يعني هذا بالنسبة لنا؟ أي حزمة بعنوان من الواجهة ولا تستجيب لأي قاعدة من سقوط ACL تحت إنكار الضمنية والتخلص منها. وهذا هو، على الأقل بينغ، على الرغم من أن FTP، على الأقل أي شيء هنا لن يكون.

نذهب أبعد من ذلك: تحتاج إلى إمكانية الوصول الكامل إلى الكمبيوتر الذي سيتم إحراز عنصر التحكم فيه. سيكون هذا هو جهاز الكمبيوتر الخاص بنا المشرف بعنوان 172.16.6.66 من الشبكة الأخرى.
تتم إضافة كل قاعدة جديدة تلقائيا إلى نهاية القائمة، إذا كانت موجودة بالفعل:

mSK-ARBAT-GW1 (التكوين)
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # تصريح TCP Host 172.16.6.66 المضيف 172.16.0.2 المدى 20 FTP
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # تصريح TCP Host 172.16.6.66 المضيف 172.16.0.2 EQ Telnet

هذا كل شئ. نتحقق من العقدة المطلوبة (نظرا لأن الخوادم الموجودة في RT غير مدعومة من قبل المتصل، تحقق من FTP):

أي أن رسالة FTP جاءت إلى جهاز التوجيه ويجب أن تذهب من واجهة FE0 / 0.3. يتحقق جهاز التوجيه ويرى أن الحزمة مناسبة للقاعدة المضافة من قبلنا وتتخطيها.

ومن خارج نطاق

لا تندرج حزمة FTP تحت إحدى القواعد باستثناء رفض IP الضمني أي أي أي أي أي أي أي

ب) الوصول إلى خادم الملفات

سيكون من الضروري أولا أن تقرر من سيكون "مقيما" يحتاج إلى أن يكون متاحا. بالطبع، هذه هي أولئك الذين لديهم عنوان من الشبكة 172.16.0.0/16 - فقط لهم والوصول.
الآن س. مجلدات مشتركةوبعد على الأغلب الأنظمة الحديثة يستخدم بروتوكول SMB بالفعل لهذا المنفذ الخاص ب TCP 445. على الإصدارات الأقدم، تم استخدام NetBIOS، والتي تم تغذيتها بعد ثلاثة منافذ: UDP 137 و 138 و TCP 139. وافقت مع المشرف لدينا، وسنقوم بتكوين منفذ 445 (الحقيقة للتحقق داخل RT، بالطبع، لن تعمل). ولكن إلى جانب ذلك، سنحتاج إلى موانئ FTP - 20 و 21 وليس فقط للمضيفين الداخليين، ولكن أيضا للحصول على اتصالات من الإنترنت:

mSK-ARBAT-GW1 (CONFIG) # IP قائمة الوصول الموسعة Server-Out
MSK-ARBAT-GW1 (التكوين Ext-Nacl) # تصريح TCP 172.16.0.0 0.0.255.255 المضيف 172.16.0.3 EQ 445
MSK-ARBAT-GW1 (التكوين Ext-Nacl) # تصريح TCP أي. المضيف 172.16.0.3 المدى 20 21

هنا إعادة تطبيق التصميم تتراوح 20 21. - من أجل منافذ متعددة في سطر واحد. لبروتوكول نقل الملفات، بشكل عام، لا يكفي من المنفذ 21. الحقيقة هي أنه إذا قمت بفتحها فقط، فسوف تمر بإذن، ولا يوجد نقل الملفات.

0.0.255.255 - قناع عكسي (قناع البدل). حول ما هو عليه، دعونا نتحدث لاحقا

ج) الوصول إلى خادم البريد

نواصل العمل على الممارسة - الآن مع خادم البريد. كجزء من قائمة الوصول نفسه، أضف سجلات جديدة نحتاجها.
بدلا من أرقام المنفذ الخاصة بالبروتوكولات المطالب على نطاق واسع، يمكنك تحديد أسمائها:

mSK-ARBAT-GW1 (CONFIG) # IP قائمة الوصول الموسعة Server-Out
MSK-ARBAT-GW1 (التكوين-ext-nacl) #permit TCP أي مضيف 172.16.0.4 EQ POP3
MSK-ARBAT-GW1 (التكوين-ext-nacl) #permit TCP أي مضيف 172.16.0.4 EQ SMTP

د) خادم DNS

mSK-ARBAT-GW1 (CONFIG) # IP قائمة الوصول الموسعة Server-Out
PSK-ARBAT-GW1 (التكوين-ext-nacl) # تصريح uDP. 172.16.0.0 0.0.255.255 المضيف 172.16.0.5 EQ 53

د) ICMP.

يبقى لتصحيح الوضع مع بينغ. لا يوجد شيء فظيع في إضافة القواعد إلى نهاية القائمة، ولكن بطريقة أو بأخرى أكثر متعة لرؤيتها أولا.
نحن نستخدم غش بسيط لهذا. لهذا يمكنك استخدام محرر النص، على سبيل المثال. نسخ هناك من عرض قطعة عرض حول ACL وإضافة الأسطر التالية:
لا قائمة الوصول إلى IP قائمة الموسعة
قائمة الوصول إلى IP
السماح ICMP أي أي أي
ملاحظة على شبكة الإنترنت.

ملاحظة ملف

ملاحظة البريد.

ملاحظة DNS.

نقوم بإزالة القائمة الموجودة إلى السطر الأول، ثم قم بإنشائها مرة أخرى وقائمة جميع القواعد الجديدة بالترتيب الذي نحتاج إليه. يسمح الفريق في السطر الثالث بمرور جميع حزم ICMP من أي مضيفين لأي مضيفين.

بعد ذلك، قم ببساطة بنسخ كل شيء بنطاق وإدخال في وحدة التحكم. تفسر الواجهة كل سلسلة كأمر منفصل وأداءها. لذلك استبدلنا القائمة القديمة الجديدة.
تحقق من أن بينغ هو:

تماما.

هذا "الغش" جيد للتكوين الأولي أو إذا كنت تعرف بالضبط ما تفعله بالضبط. في شبكة العمل، عند تكوين ACL البعيد، فإنك تخاطر البقاء دون الوصول إلى قطعة قابلة للتعديل من الحديد.

لإدراج القاعدة في البداية أو في أي مكان آخر آخر، يمكنك اللجوء إلى هذا الاستقبال:
قائمة الوصول إلى IP
1 تصريح ICMP أي أي

يتم ترقيم كل قاعدة في القائمة بخطوة محددة وإذا قمت بوضع رقم قبل تصريح / رفض الكلمة، فسيتم إضافة القاعدة إلى النهاية، ولكن في المكان الذي تحتاجه. لسوء الحظ، فإن هذه الميزة لا تعمل في جمهورية طاجيكستان.
إذا كان من الضروري فجأة (مشغول جميع العقود التي تعمل بين القواعد)، فيمكنك دائما الرجوع إلى القواعد (في هذا المثال، يتم تعيين القاعدة الأولى رقم 10 (أولا) وزيادة 10):
قائمة الوصول إلى قائمة الوصول إلى IP

نتيجة لذلك، ستبدو قائمة الوصول في شبكة الخادم مثل هذا:
قائمة الوصول إلى IP
السماح ICMP أي أي أي
ملاحظة على شبكة الإنترنت.
تصريح TCP أي مضيف 172.16.0.2 EQ www
تسمح TCP Host 172.16.6.66 المضيف 172.16.0.2 المدى 20 FTP
تسمح TCP Host 172.16.6.66 المضيف 172.16.0.2 EQ Telnet
ملاحظة ملف
تصريح TCP 172.16.0.0 0.0.255.255 المضيف 172.16.0.3 EQ 445
تصريح TCP أي مضيف 172.16.0.3 المدى 20 21
ملاحظة البريد.
تصريح TCP أي مضيف 172.16.0.4 EQ POP3
تصريح TCP أي مضيف 172.16.0.4 EQ SMTP
ملاحظة DNS.
تصريح UDP 172.16.0.0 0.0.255.255 المضيف 172.16.0.5 EQ 53

الآن يتمكن المشرف لدينا من الوصول فقط إلى خادم الويب. اكتشفها الوصول الكامل إلى الشبكة بأكملها. هذا هو أول الواجبات المنزلية.

ه) حقوق المستخدم من الشبكة الأخرى

حتى الآن نحتاج لا تخلخل شخص ما في مكان ما، لذلك دفعنا اهتماما إلى عنوان الوجهة وقائمة الوصول معلقة على حركة المرور المنتهية ولايته من الواجهة.

الآن نحن بحاجة إلى لا تفرج: لا ينبغي لأي طلبات من أجهزة الكمبيوتر من الشبكة الأخرى لا تتجاوز. حسنا، بالطبع، ما عدا تلك التي نحلها على وجه التحديد.

mSK-ARBAT-GW1 (CONFIG) # IP قائمة الوصول الموسعة

MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # تصريح IP Host 172.16.6.61 أي

هنا لم نتمكن أولا من حظر كل شيء، ثم حل المنتخبة، لأن جميع الحزم على الإطلاق ستكون قاعدة رفض IP أي أي و يسمح. لن أكون قد أثارت على الإطلاق.
تنطبق على الواجهة. هذه المرة على المدخل:

mSK-ARBAT-GW1 (التكوين) # # بينت FA0 / 0.104
MSK-ARBAT-GW1 (CONFIG-SUDIF) #IP Access-Group Other-in في.

أي أن جميع حزم الملكية الفكرية من المضيف مع العنوان 172.16.6.61 أو 172.16.6.66 تسمح بإرسال أينما كان المقصود. لماذا نستخدم قائمة وصول ممتدة هنا أيضا؟ بعد كل شيء، يبدو أننا نتحقق من عنوان المرسل فقط. لأن Admins منحنا الوصول الكامل، ولكن ضيف الشركة "LIFT MI AP"، على سبيل المثال، والتي ستقع في نفس الشبكة على الإطلاق إلى أي شيء آخر، إلا على الإنترنت.

ه) إدارة الشبكة

لا شيء صعب. ستبدو القاعدة مثل هذا:

mSK-ARBAT-GW1 (CONFIG) # IP قائمة الوصول الموسعة
msk-arbat-gw1 (config-ext-nacl) # ملاحظة لام
MSK-ARBAT-GW1 (التكوين-ext-nacl) # تصريح IP Host 172.16.6.61 172.16.1.0 0.0.0.255
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # ملاحظة
MSK-ARBAT-GW1 (التكوين-ext-nacl) # تصريح IP Host 172.16.6.66 172.16.1.0 0.0.0.255

يتم تطبيق هذا ACL على واجهة FE 0 / 0.2:

mSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.2
MSK-ARBAT-GW1 (CONFIG-SUDIF) #IP إدارة مجموعة الوصول - خارج

ز) لم تعد القيود

مستعد

قناع القناع والعكس

حتى الآن، قدمنا \u200b\u200bمعلمة غريبة من النموذج 0.0.255.255، تشبه قناع الشبكة الفرعية.
من الصعب بعض الشيء على التفاهم، ولكن من ذلك أن قناع العودة يستخدم لتحديد المضيفين التي تسقط قاعدة.
لفهم ما هو قناع عكسي، يجب أن تعرف ما هو شائع.

دعنا نبدأ بأبسط مثال.

الشبكة العادية في 256 عناوين: 172.16.5.0/24، على سبيل المثال. ماذا يعني هذا الدخول؟
ولكن هذا يعني بالضبط ما يلي

عنوان IP. سجل عشري	172	16	5	0
عنوان IP. تسجيل ثنائي	10101100	00010000	00000101	00000000
	11111111	11111111	11111111	00000000
	255	255	255	0

عنوان IP هو معلمة من 32 بت طويلة، مقسمة إلى 4 أجزاء تستخدمها في النموذج العشري.
يحتوي قناع الشبكة الفرعية أيضا على طول 32 بت - إنه في الواقع قالب وإستنسل، وفقا لمعرفة عنوان الشبكة الفرعية المحددة. حيث يوجد في القناع هناك وحدات، لا يمكن أن يتغير المعنى، أي الجزء 172.16.5 غير متغير تماما وسيكون هو نفسه بالنسبة لجميع المضيفين من هذه الشبكة الفرعية، ولكن الشخص الذي يختلف فيه الأصفار.
هذا هو، في المثال، نأخذ 172.16.5.0/24 - هذا هو عنوان الشبكة، وسيكون المضيفين 172.16.5.1-172.16.5.25.254 (آخر 255 هو البث)، لأن 00000001 هو 1، و 11111110 - 254 (خطاب حول عنوان OSTET الأخير). / 24 يعني أن طول قناع 24 بت، وهذا هو، لدينا 24 وحدة - جزء ثابت و 8 أصفار.
حالة أخرى عندما يكون لدينا قناع، على سبيل المثال، 30 بت، وليس 24.
على سبيل المثال، 172.16.2.4/30. قطعها مثل هذا:

عنوان IP. سجل عشري	172	16	2	4
عنوان IP. تسجيل ثنائي	10101100	00010000	00000010	00000100
قناع الشبكة الفرعية. تسجيل ثنائي	11111111	11111111	11111111	11111100
قناع الشبكة الفرعية. سجل عشري	255	255	255	252

كما ترون، قد تختلف البتان الأخيران فقط لهذه الفرعية. يمكن أن يستغرق الثمرة الأخيرة القيم الأربعة التالية:
00000100 - عنوان الشبكة الفرعية (4 في النظام العشري)
00000101 - عنوان العقدة (5)
00000110 - عنوان العقدة (6)
00000111 - البث (7)
كل ذلك خارج هذا هو شبكة فرعية أخرى

وهذا هو، الآن يجب أن يكون لديك بوضوح بوضوح قليلا، أن قناع الشبكة الفرعية هو تسلسل 32 بت، حيث تعني الوحدات عنوان الشبكة الفرعية أولا، ثم تذهب الأصفار معنى العنوان المضيف. في الوقت نفسه، لا يمكن أن يتناوب الأصفار والوحدات البديلة في قناع. وهذا هو، قناع 11111111.11100000.11110111.00 مليار مستحيل

وما هو قناع العودة (البدل)؟
بالنسبة للغالبية الساحقة من المشرفين وبعض المهندسين، فمن السهل انقلاب القناع المعتاد. وهذا هو، حدد الأصفار أولا عنوان الجزء الذي يجب تزامنه، والوحدات الموجودة على العكس من ذلك مجانا.
وهذا هو، في المثال الأول الذي اتخذت من قبلنا، إذا كنت ترغب في تصفية جميع المضيفين من الشبكة الفرعية 172.16.5.0/24، فستحدد القاعدة في قائمة الوصول:
…. 172.16.5.0 0.0.0.255
لأن قناع العودة سيبدو هكذا:

00000000.00000000.00000000.11111111

في المثال الثاني للشبكة 172.16.2.4/30، سيبدو قناع العودة مثل هذا: 30 الأصفار ووحدتين:

قناع عكسي. تسجيل ثنائي	00000000	00000000	00000000	00000011
قناع عكسي. سجل عشري	0	0	0	3

وفقا لذلك، ستبدو المعلمة في قائمة الوصول هكذا:
…. 172.16.2.4 0.0.0.3
في وقت لاحق، عندما تأكل كلب على حسابات الأقنعة وأقنعة العودة، ستتذكر الأرقام الأكثر استخداما، ستفهم عدد المضيفين في قناع معين أنه في الموقف الموصوف، يتم الحصول على آخر ماونت من القناع العكسي من قبل طرح من أصل 255 رقما من الثمان الأخير من القناع المعتاد (255-252 \u003d 3)، إلخ. في غضون ذلك، تحتاج إلى العمل كثيرا وعدد)

ولكن في الواقع، فإن قناع العودة هو أغنى أداة أغنى قليلا، وهنا يمكنك الجمع بين العناوين داخل الشبكة الفرعية نفسها أو حتى الجمع بين الشبكات الفرعية، ولكن الفرق الأكثر أهمية، يمكنك تناول الأصفار والوحدات البديلة. هذا يسمح لك، على سبيل المثال، بتصفية عقدة محددة (أو مجموعة) في العديد من الشبكات الفرعية لسطر واحد.

مثال 1.

معطى: الشبكة 172.16.16.0/24.
انه ضروري: تصفية أول 64 العناوين (172.16.16.0-172.16.6.6)
قرار: 172.16.16.0 0.0.0.63

مثال 2.

معطى: الشبكة 172.16.16.0/24 و 172.16.17.0/24
انه ضروري: عناوين تصفية من كلا الشبكتين
قرار: 172.16.16.0 0.0.1.255

مثال 3.

معطى: الشبكة 172.16.0.0-172.16.255.0.
انه ضروري: تصفية المضيف مع عنوان 4 من جميع الشبكات الفرعية
قرار: 172.16.16.0 0.0.255.4

عمل ACL في الصور

شبكة افتراضية:

1) على جهاز التوجيه RT1 على واجهة FE0 / 1، يسمح كل شيء باستثناء ICMP بالدخول.

2) على جهاز توجيه RT2 على واجهة FE0 / 1، يحظر SSH و Telnet

اختبارات
clickable.
1) بينغ من الكمبيوتر PC1 1

2) Telnet من كمبيوتر PC1 إلى Server1

3) SSH من الكمبيوتر PC1 على Server2

4) بينغ من Server2 على PC1

المكملات

1) لن تقوم القواعد التي تعمل بالحركة الخارجية (خارجها) بتصفية حركة المرور في الجهاز نفسه. وهذا هو، إذا كنت بحاجة إلى حظر التعادل للوصول إلى مكان ما، فسيتعين عليك تصفية حركة المرور الواردة على هذه الواجهة (تستجيب من هناك، حيث من الضروري حظر الوصول).

2) يجب أن تكون C ACL حذرا. مع وجود خطأ صغير في القاعدة، قم بتحديد الطلب بشكل غير صحيح أو قائمة فكرية بشكل عام، يمكنك البقاء دون الوصول إلى الجهاز.
على سبيل المثال، تريد إغلاق الوصول إلى أي مكان للشبكة 172.16.6.0/24، باستثناء عنوانها 172.16.6.61 وطلب من القواعد مثل هذا:

deny IP 172.16.6.0 0.0.0.255 أي
تسمح IP Host 172.16.6.61 أي

بمجرد تطبيق ACL إلى الواجهة، سوف تفقد فورا الوصول إلى جهاز التوجيه، لأنك تحظى بموجب القاعدة الأولى ولم يتم التحقق من الثانية.
الوضع الثاني غير سارة يمكن أن يحدث لك: ستنخفض حركة المرور تحت ACL، والتي لا ينبغي أن تضرب.
تخيل مثل هذا الموقف: لدينا خادم FTP في الوضع السلبي في الخادم. للوصول إليها، فتحت المنفذ 21 في ACL الخوادم خارج.وبعد بعد الإنشاء الأولي للاتصال، يبلغ خادم FTP عن عميل المنفذ الذي يكون عليه جاهزا لنقل / تلقي الملفات، على سبيل المثال، 1523. يحاول العميل تثبيت اتصال TCP بهذا المنفذ، ولكن جذوعه على خوادم ACL، حيث لا يوجد مثل هذا الدقة - حكاية خرافية حول نهايات نقل ناجحة. في مثالنا أعلاه، حيث أنشأنا الوصول إلى خادم الملفات، فتحنا الوصول إلى 20 و 21 فقط، لأنه على سبيل المثال، يكفي. في الحياة الحقيقية يجب أن العبث. بعض الأمثلة على تكوين ACL للحالات الشائعة.

3) من النقطة الثانية، يتبع مشكلة مشابهة جدا ومثيرة للغاية.
يختلف معك، على سبيل المثال، تعليق على الواجهة على الإنترنت مثل ACLS:

access- قائمة تصاريح TCP المضيف 1.1.1.1 المضيف 2.2.2.2 EQ 80
قائمة الوصول في تصاريح TCP المضيف 2.2.2.2 أي EQ 80

يبدو أن المضيف مع العنوان 1.1.1.1 يسمح بالوصول إلى المنفذ الثمانين إلى الخادم 2.2.2.2 (القاعدة الأولى). والعودة من المركبات 2.2.2.2 في الداخل.
لكن NUANCE هنا هو أن الكمبيوتر 1.1.1.1 يحدد اتصالا بالمنفذ الثمانين، ولكن من بعض الآخر، على سبيل المثال، 1054، أي حزمة الاستجابة من الخادم يأتي إلى المقبس 1.1.1.1:1054، لا يسقط في قاعدة ACL قيد التشغيل والتجاهل بسبب رفض IP ضمني أي أي أي.
لتجنب مثل هذا الموقف، ولا تفتح المنافذ على الحزمة بأكملها، يمكنك اللجوء إلى هذه الحيل في ACL في:

السماحات TCP المضيف 2.2.2.2 أي تأسيس.

تفاصيل محلول هذا الحل في واحدة من المقالات التالية.

4) تحدث عن العالم الحديثلا يمكنك التجول بسهولة مثل مجموعات كائنات (مجموعة كائنات).

لنفترض أنه من الضروري إنشاء ACL، والتي تصدر ثلاثة عناوين محددة على الإنترنت في ثلاثة منافذ متطابقة باحتمال توسيع عدد العناوين والموانئ. كيف تبدو دون معرفة مجموعات الكائنات:

قائمة الوصول إلى IP تمتد إلى الإنترنت
تسمح TCP Host 172.16.6.66 أي EQ 80
تسمح TCP Host 172.16.6.66 أي EQ 8080
تسمح TCP Host 172.16.6.66 أي EQ 443
تسمح TCP Host 172.16.6.67 أي EQ 80
تسمح TCP Host 172.16.6.67 أي EQ 8080
تسمح TCP Host 172.16.6.67 أي EQ 443
تسمح TCP Host 172.16.6.68 أي EQ 80
تسمح TCP Host 172.16.6.68 أي EQ 8080
تسمح TCP Host 172.16.6.68 أي EQ 443

مع زيادة عدد المعلمات، أصبحت مرافقة هذا ACL أصعبا بشكل متزايد وأكثر صعوبة ارتكاب خطأ عند الإعداد.
ولكن إذا اتصلت بمجموعات الكائنات، فإنه يكتسب النموذج التالي:

خدمة Offer-Group INET
وصف الموانئ المسموح بها لبعض المضيفين
TCP EQ www.
TCP EQ 8080.
TCP EQ 443.
شبكة مجموعة العينات المضيفين إلى INET
وصف المضيفين المسموح لهم بتصفح الشبكة
المضيف 172.16.6.66.
المضيف 172.16.6.67.
المضيف 172.16.6.68.
قائمة الوصول إلى IP موسعة INET
تسمح مجموعة كائن INET-Object-Group-Profit-Ports-Onet

للوهلة الأولى، يبدو أنه يهدد إلى حد ما، ولكن إذا كنت تعرف ذلك، فهي مريحة للغاية.

4) يمكن الحصول على معلومات مفيدة للغاية لمعلومات trablchuting من إخراج الأمر إظهار IP Access-Lists٪ اسم٪ ACL٪وبعد بالإضافة إلى القائمة الفعلية لقواعد ACL المحددة، يوضح هذا الأمر عدد التطابقات لكل قاعدة.

mSK-ARBAT-GW1 # SH Access Access- قوائم NAT-INET
قائمة الوصول IP الموسعة NAT-INET

(4 مباراة (تطابق))

وإضافة في نهاية أي قاعدة سجل.، سنكون قادرين على تلقي الرسائل حول كل صدفة في وحدة التحكم. (الأخير لا يعمل في PT)

NAT.

ترجمة عنوان الشبكة - آلية الزراعة ضرورية للغاية منذ عام 1994. العديد من الدورات حول أنها مكسورة وحزم ضائعة.
غالبا ما تكون هناك حاجة لتوصيل شبكتك المحلية بالإنترنت. الحقيقة هي أن هناك من الناحية النظرية هناك 255 * 255 * 255 * 255 \u003d 4 228 250 625. 4 مليارات عناوين. حتى لو كان لكل مقيم في الكوكب جهاز كمبيوتر واحد فقط، فلن يكون للعناوين كافية. ثم ما عدا الحديد إلى الإنترنت غير متصلين. أدرك الناس الأذكياء هذا في أوائل التسعينيات وكقرص مؤقت يقترح تقسيم مساحة العناوين إلى الجمهور (الأبيض) والخاصة (خاصة، رمادي).
هذا الأخير يشمل ثلاثة نطاقات:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

يمكنك استخدامها بحرية في شبكتك الخاصة، وبالتالي، بالطبع، سيتم تكرارها. كيف تكون مع التفرد؟ الذي سيجيب على خادم الويب الذي جاء الطلب من عنوان المرسل 192.168.1.1؟ Rostelecom؟ شركات Tatneft؟ أو زميلك في الغرفة لفترة طويلة؟ في الإنترنت الكبير، لا أحد يعرف أي شيء عن الشبكات الخاصة - فهي ليست توجيه.
هنا ويذهب إلى المشهد NAT. بواسطة وكبيرة، هذا هو خدعة، موقف. في الجهاز "تطبيق"، عنوانك الخاص، يتحدث تقريبا، يستبدل ببساطة العنوان الأبيض، والذي سيظهر مزيدا من الحزمة أثناء سفره إلى خادم الويب. ولكن العناوين البيضاء هي توجيه جيد جدا، وسوف تعود الحزمة بالتأكيد إلى الجهاز المتداول.
ولكن كيف ستفهم بدوره ماذا تفعل معه بعد ذلك؟ هنا والتعامل معها.

أنواع NAT.

ثابتة

في هذه الحالة، يتم تحويل عنوان داخلي واحد إلى خارجي واحد. وفي الوقت نفسه، سيتم بث جميع الطلبات التي تأتي إلى العنوان الخارجي على الداخلية. كما لو كان هذا المضيف وهو صاحب عنوان IP الأبيض هذا.

تكوينه من قبل الأمر التالي:

جهاز التوجيه (التكوين) # IP NAT داخل المصدر ثابت ثابت 172.16.6.5 198.100.2

ماذا يحدث:
1) عقدة 172.16.6.5 تعالج خادم الويب. يرسل حزمة IP حيث 192.0.2.2، والمرسل 172.16.6.5.

2) بواسطة شبكة الشركات، يتم تسليم الحزمة إلى البوابة 172.16.6.1، حيث تم تكوين NAT

3) وفقا لأمر تكوينه، يزيل جهاز التوجيه رأس IP الحالي وتغييره إلى واحد جديد، حيث يظهر العنوان الأبيض 198.51.100.2 بالفعل كعنوان المرسل.

4) على الإنترنت Bolshoi، تصل الحزمة المحدثة إلى الخادم 192.0.2.2.

5) يرى أن الإجابة يجب إرسالها مقابل 198.51.100.2 وإعداد حزمة IP الاستجابة. كعنوان مرسل، عنوان الخادم 192.0.2.2، عنوان الوجهة - 198.51.100.2

6) تحلق الحزمة مرة أخرى عبر الإنترنت، وليس حقيقة أن الطريقة نفسها.

7) في الجهاز القائم هو الإشارة إلى أن جميع طلبات العنوان 198.51.100.2 تحتاج إلى إعادة توجيهها بمقدار 172.16.6.5. يتقاضى جهاز التوجيه مرة أخرى داخل قطاع TCP ويضع عنوان IP جديد (لا يتغير عنوان المرسل، وعنوان الوجهة 172.16.6.5).

8) على الشبكة الداخلية، يتم إرجاع الحزمة إلى البادئ، والتي ليست جيدة، والتي كانت المعجزات التي كانت تسير على الحدود.
وهكذا سيكون مع كل.
في هذه الحالة، إذا بدأ الاتصال من الإنترنت، فإن الحزم التي تمر تلقائيا عبر الجهاز القائم سقط على المضيف الداخلي.

مثل هذا النهج مفيد عندما يكون لديك خادم داخل شبكتك مطلوبة الوصول الكامل. بالطبع، لا يمكنك استخدام هذا الخيار إذا كنت تريد ثلاثمائة مضيفين للإصدار عبر الإنترنت من خلال عنوان واحد. لن يساعد خيار NAT هذا في حفظ عناوين IP الأبيض، ولكن مع ذلك فمن المفيد.

متحرك

لديك مجموعة من العناوين البيضاء، على سبيل المثال، خصص مزود لك شبكة من 198.51.100.0/28 مع 16 عناوين. اثنان منهم (الأول والأخير) - عنوان الشبكة والبث، يتم تعيين عناوين أكثر من المعدات لتوفير التوجيه. 12 العناوين المتبقية التي يمكنك استخدامها للنات وتنتج من خلالهم مستخدموها.
يشبه الموقف إلى NAT ثابت - يتم بث عنوان خاص واحد إلى خارجي واحد، ولكن الآن غير ثابت خارجي، ولكن سيتم اختياره بشكل ديناميكي من النطاق المحدد.
تم تكوينه

جهاز التوجيه (التكوين) #IP Pool Pool Lol_Pool 198.51.100.3 198.51.103.14

تجمع محدد (نطاق) للعناوين العامة، سيتم تحديد عنوان العنوان

جهاز التوجيه (التكوين) # الوصول إلى قائمة الوصول 100 IP 172.16.6.0 0.0.0.255

نحدد قائمة الوصول الذي يتخطى جميع الحزم مع العنوان المصدر 172.16.6.x، حيث حاءمختلف 0-255.

جهاز التوجيه (التكوين) #IP NAT داخل مصدر القائمة 100 حمام السباحة LOL_POOL

مع هذا الأمر، نقتل ACL المنشأ وحمام السباحة.

هذا الخيار ليس أيضا عالميا، ولا يمكنك أيضا أن تكون قادرا على إصدار 300 مستخدمين إذا لم يكن لديك 300 عنوان خارجي. بمجرد استنفاد العناوين البيضاء، لا يمكن لأي شخص آخر الوصول إلى الإنترنت. في الوقت نفسه، سيعمل هؤلاء المستخدمون الذين لديهم وقت للاستيلاء على عنوانهم الخارجي. إلقاء جميع البث الحاليين والإفراج عن العنوان الخارجي سوف يساعدك توضيح ترجمة IP NAT *
بالإضافة إلى تخصيص ديناميكي للعناوين الخارجية، يختلف هذا NAT ديناميكيا عن ثابت في ذلك دون إعداد إعادة توجيه منفذ منفصل، لم يعد هناك اتصال خارجي بأحد عناوين التجمع ممكنا.

كثير إلى واحد

يحتوي النوع التالي على العديد من الأسماء: الحمل الزائد NAT، ترجمة عنوان المنفذ (PAT)، IP Casquerading، العديد من NAT.
يتحدث الاسم الأخير عن نفسه - من خلال عنوان خارجي واحد يذهب إلى العالم الكثير من القطاع الخاص. هذا يسمح لك بحل المشكلة بنقص عناوين خارجية وإصدار جميع أولئك الذين يرغبون في العالم.
سيكون من الضروري إعطاء تفسير لأنه يعمل. كيف يمكن تمثيل عناوين خاصة إلى واحد يمكن تمثيلها، ولكن كما يفهم جهاز التوجيه من يحتاج إلى إرسال حزمة عاد من الإنترنت إلى هذا العنوان؟
كل شيء بسيط للغاية:
لنفترض أنه من اثنين من المضيفين من الشبكة الداخلية تأتي حزم على جهاز التعبئة. سواء مع طلب إلى خادم الويب 192.0.2.2.
البيانات من المضيفين تبدو وكأنها هذه:

يكتشف جهاز التوجيه حزمة IP من المضيف الأول، ويقوم باستخراج شريحة TCP منه، وطباعته واكتشف أن الاتصال مثبتا منه من المنفذ. لديه عنوان خارجي 198.51.100.2، والتي سيتغير العنوان من الشبكة الداخلية.
بعد ذلك، يختار منفذ مجاني، على سبيل المثال، 11874. وماذا يفعل بعد ذلك؟ يتم تعبئتها جميع بيانات مستوى التطبيق في شريحة TCP جديدة، حيث لا يزال 80 كمنفذ الوجهة (ينتظر اتصالات خادم الويب)، ويتم تغيير منفذ المرسل من 23761 إلى 11874. يتم تغليف هذا الجزء TCP في IP جديد حزمة من عنوان IP المرسل من 172.16.6.5 بتاريخ 198.51.100.2.
يحدث نفس الشيء بالنسبة للحزمة من المضيف الثاني، يتم تحديد منفذ مجاني فقط، على سبيل المثال، 11875. "مجاني" يعني أنه لم يشارك بعد في مركبات أخرى.
البيانات التي يتم إرسالها إلى الإنترنت ستبدو الآن مثل هذا.

في طاولة NAT، يجلب البيانات من المرسلين والمستلمين

بالنسبة لخادم الويب، هذه هي طلبان مختلفان تماما يجب عليه معالجة كل منها بشكل فردي. بعد ذلك، يشير إلى الإجابة، والتي تبدو وكأنها:

عندما يتعلق أحد هذه الحزم الموجودة بجهاز توجيهنا، فإنه يطابق البيانات الموجودة في هذه الحزمة بسجلاتها في جدول NAT. إذا تم العثور على الصدفة، فهناك إجراء عكسي - حزمة وشركة TCP بإرجاع المعلمات الأولية فقط كوجهة:

ويتم تسليم الحزم الآن على طول الشبكة الداخلية من براعم الكمبيوتر، والتي حتى غير نظيفة حتى، في مكان ما مع بياناتها بجد على الحدود.

كل استئناف الخاص بك هو اتصال منفصل. هذا هو، لقد حاولت فتح صفحة الويب - هذا هو بروتوكول HTTP يستخدم المنفذ 80. للقيام بذلك، يجب على جهاز الكمبيوتر الخاص بك تثبيت جلسة TCP مع خادم بعيد. يتم تحديد مثل هذه الجلسة (TCP أو UDP) من قبل مآخذين: عنوان IP المحلي: المنفذ المحلي وعنوان IP البعيد: المنفذ البعيد. في الحالة المعتادة، تقوم بتثبيت اتصال خادم كمبيوتر واحد، في حالة اتصال NATA سيكون مثل اثنين:، خادم التوجيه والجهاز يعتقد الكمبيوتر أنه لديه جلسة خادم الكمبيوتر.

الإعداد غير ضئيل تماما: تحميل كلمة امتداد:

جهاز التوجيه (التكوين) # Access-List 101 Permit 172.16.4.0 0.0.0.255
جهاز التوجيه (التكوين) #IP NAT داخل مصدر القائمة 101 واجهة FA0 / 1 الزائد

في الوقت نفسه، بالطبع، يتم حفظه لتكوين مجموعة العناوين:

جهاز التوجيه (التكوين) #IP Pool Pool Lol_Pool 198.51.100.1 198.51.103.14
جهاز التوجيه (التكوين) # Access-List 100 Permit 172.16.6.0 0.0.0.255
جهاز التوجيه (التكوين) #IP NAT داخل مصدر القائمة 100 حمام السباحة LOL_POOL الزائد

تحميل المنافذ

خلاف ذلك، يقول موانئ الموانئ أو رسم الخرائط أيضا.
عندما بدأنا نتحدث عن NAT، تم توجيه البث الذي كان لدينا واحد في واحد وجميع الطلبات القادمة من الخارج تلقائيا إلى المضيف الداخلي. وبالتالي، سيكون من الممكن وضع الخادم خارج الإنترنت.
ولكن إذا لم يكن لديك فرصة مثل هذه الفرصة - فأنت محدود في عناوين بيضاء، أو لا ترغب في وضعها لجميع المنافذ إلى المنافذ، فماذا تفعل؟
يمكنك تحديد أن جميع الطلبات تأتي إلى عنوان أبيض معين ومنفذ معين من جهاز التوجيه يجب إعادة توجيهها إلى المنفذ المطلوب العنوان المحلي المطلوب.

راوتر (التكوين) #IP NAT داخل المصدر ثابت TCP 172.16.0.2 80 198.51.100.2 80

يعني تطبيق هذا الأمر أن طلب TCP يأتي من الإنترنت إلى العنوان 198.51.100.2 من قبل المنفذ 80 سيتم إعادة توجيه إلى العنوان الداخلي 172.16.0.2 في نفس المنفذ الثمانين. بالطبع، يمكنك التحرك و UDP وجعل إعادة توجيه من منفذ إلى آخر. هذا، على سبيل المثال، قد تكون مفيدة إذا كان لديك جهازي كمبيوتر تحتاج إلى الوصول عبر RDP من الخارج. يستخدم RDP المنفذ 3389. نفس المنفذ الذي لا يمكنك إثباته على مضيفين مختلفين (عند استخدام عنوان خارجي واحد). لذلك يمكنك القيام بذلك:

Router (Config) # IP NAT داخل المصدر ثابت TCP 172.16.6.61 3389 198.51.100.2 3389
جهاز التوجيه (التكوين) # IP NAT داخل المصدر ثابت TCP 172.16.6.66 3389 198.51.100.2 3398

ثم للوصول إلى الكمبيوتر 172.16.6.61، يمكنك إطلاق جلسة RDP إلى ميناء 198.51.100.2:3389، عند 172.16.6.66 - 198.51000.2:3398. جهاز التوجيه نفسه ينتشر كل شيء حيث من الضروري.

بالمناسبة، هذا الفريق حالة خاصة من الأول جدا: IP NAT داخل المصدر ثابت 172.16.6.66 198.51.100.2. فقط في هذه الحالة نتحدث عن معاملة جميع حركة المرور، وفي أمثلةنا - المنافذ المحددة لبروتوكول TCP.

هذه هي الطريقة nat funciquet. حول ميزاته، والإيجابيات / السلبيات سيد مجموعة من المقالات، ولكن لا نذكرها.

الضعف ومالحة NAT

+

- أولا NAT يوفر عناوين IP العامة. في الواقع لهذا، تم إنشاؤه. بعد عنوان واحد، من الناحية النظرية، يمكنك الافراج عن أكثر من 65000 عنوان رمادي (حسب عدد المنافذ).
- ثانيا، بات و Dynamic NAT هو حد ما جدار حماية، مما يمنع الاتصالات الخارجية للوصول إلى أجهزة الكمبيوتر النهائية، والتي قد لا تكون جدار الحماية ومضادات الفيروسات. والحقيقة هي أنه إذا كانت الحزمة تأتي من الخارج، فلا يتوقع منك ذلك أو غير مسموح بها، فهي تجاهل ببساطة.
بالنسبة للحزمة التي يجب تفويتها ومعالجتها، يجب اتباع الشروط التالية:
1) يجب تسجيل جدول NAT لهذا العنوان الخارجي المحدد كعنوان المرسل في الحزمة
و
2) يجب أن يتطابق ميناء المرسل في الحزمة من منفذ هذا العنوان الأبيض في السجل
و
3) المنفذ الوجهة في الحزمة، يتزامن مع المنفذ في السجل.
أو
منافذ المنافذ المكونة.
لكنك لا تحتاج إلى النظر في NAT كجدار حماية ليس أكثر من كعكة إضافية.

- ثالثا، نات يختبئ من عيون القماشية الهيكل الداخلي شبكتك - عند البحث عن المسار من الخارج لن ترى أي شيء آخر من جهاز الحشو.

-

NAT لديه وسلبيات. الأكثر ملائما، ربما ما يلي:
- لا يمكن لبعض البروتوكولات أن تعمل من خلال NAT بدون عكازات. على سبيل المثال، بروتوكولات FTP أو نفق (على الرغم من كيفية تكوين بروتوكول نقل الملفات ببساطة في المختبر، في الحياة الحقيقية، يمكن أن تخلق مجموعة من المشاكل)
- هناك مشكلة أخرى تكمن في عنوان واحد، وهناك العديد من الطلبات لخادم واحد. شهد الكثيرون هذا عندما تذهب إلى بعض Rapidshare، ويقول إنه مع بروتوكول الإنترنت الخاص بك قد كان لديه بالفعل اتصال، تعتقد أن "الكذب والكلب"، وهذا هو جارك بالفعل تمتص بالفعل. لنفس الأسباب، كانت هناك مشاكل مع ICQ عندما رفضت الخوادم التسجيل.
- ليست ذات صلة جدا. الآن المشكلة: الحمل على المعالج و الرامات "الذاكرة العشوائية في الهواتف والحواسيبوبعد نظرا لأن مقدار العمل كبير جدا بالمقارنة مع التوجيه البسيط (لا ينبغي أن ينظر هذا فقط إلى رأس IP، فأنت بحاجة إلى إزالته، خذ رأس TCP، لوضعه في الجدول، ربط رؤوس جديدة) في مكاتب صغيرة هناك مشاكل مع هذا.
جئت عبر مثل هذا الموقف.
واحد من الحلول الممكنة - حرر وظيفة NAT إلى جهاز كمبيوتر منفصل أو جهاز متخصص، مثل Cisco ASA.
بالنسبة للاعبين الكبار الذين لديهم أجهزة توجيه تشغيل 3-4 BGP عرض كامل، فإنه الآن ليس مشاكل.

ماذا تحتاج إلى معرفة؟
- يستخدم NAT بشكل أساسي لتوفير الوصول إلى المضيفين عبر الإنترنت مع عناوين خاصة. ولكن هناك أيضا تطبيق مختلف - العلاقة بين شبكتين خاصتين مع مساحات عنوان متقاطع.
على سبيل المثال، تشتري شركتك فرعا في Aktyubinsk. لديك عنوان 10.0.0.0-10.1.255.1.255.255، ولديهم 10.1.1.0 إلى 10.1.10.255. تتقاطع النطاقات بوضوح، لا يمكن تكوين التوجيه، لأن العنوان نفسه قد يكون في Aktyubinsk ولديك في المقر الرئيسي.
في هذه الحالة، تم تكوين NAT في مكان المفصل. نظرا لأننا لا نقوم بقياس العناوين الرمادية، فمن الممكن إبرازها، على سبيل المثال، المدى 10.2.2.0-10.2.10.255 وتنفيذ بث واحد في واحد:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2
…
10.1.10.255-10.2.10.255

في ألعاب كبيرة للبالغين، يمكن تنفيذ NAT في لوحة منفصلة (وغالبا ما يكون) ولا يعمل بدونها. وعلى الغدد المكتبية، على العكس من ذلك، هناك دائما تقريبا.

مع إدخال واسع النطاق من IPv6، ستذهب الحاجة إلى NATE إلى NO. بالفعل، يبدأ العملاء الكبار في أن يهتموا بوظائف NAT64 - وهذا عندما يكون لديك طريقة إلى العالم من خلال IPv4، والشبكة الداخلية موجودة بالفعل في IPv6

بالطبع، هذا مجرد نظرة سطحية على NAT، ولا يزال هناك بحر من الفروق الدقيقة، وليس أن يغرق في التعليم الذاتي الذي سيساعدك فيه.

ممارسة NAT.

ماذا تتطلب الواقع منا؟
1) لا تملك شبكة التحكم الوصول إلى الإنترنت على الإطلاق
2) يستوعب المضيفون من شبكة PTO الوصول إلى مواقع الملف الشخصي فقط، على سبيل المثال، linkmeup.ru
3) يجب خفض السيدات الجميلات من المحاسبة النافذة إلى عالم البنوك العميلة.
4) فو لا تصدر في أي مكان، باستثناء المدير المالي
5) على الشبكة الأخرى، جهاز الكمبيوتر الخاص بنا ومدير المسؤول - سوف يمنحهم الوصول الكامل إلى الإنترنت. يمكن فتح كل شيء آخر على طلب مكتوب.
6) لا تنسى الفروع في سانت بطرسبرغ وفي كيميروفو. للبساطة، سنقوم بإنشاء وصولا كاملا للماء من هذه الشبكات الفرعية.
7) خوادم أغنية واحدة. بالنسبة لهم، سنقوم بتكوين إعادة توجيه المنفذ. كل مانحتاجه:
أ) يجب أن يكون خادم الويب متاحا في المنفذ الثمانين
ب) خادم البريد ل 25 و 110
ج) خادم الملفات متاح من العالم في بروتوكول نقل الملفات.
8) يجب أن تكون أجهزة الكمبيوتر المشرف ونا متاحة من الإنترنت بواسطة RDP. في الواقع، هذه هي الطريقة الخطأ - ل الاتصال عن بعد تحتاج إلى استخدام اتصال VPN وهو بالفعل على الشبكة المحلية لاستخدام RDP، ولكن هذا هو موضوع مقالة مختلفة بشكل منفصل.

أولا إعداد منطقة الاختبار:

سيتم تنظيم اتصال الإنترنت من خلال الرابط الموجود، والذي يوفر المزود.
يذهب إلى شبكة المزود. نذكرك أن كل شيء في هذه السحابة هو شبكة مجردة يمكن أن تتكون فعلا من العشرات من أجهزة التوجيه ومئات المفاتيح. لكننا نحتاج إلى شيء يدير ويمكن التنبؤ به، لذلك سنحصل على جهاز التوجيه هنا. من ناحية، فهو رابط من الجلاد، على الخادم الآخر على الإنترنت.

الخوادم التي نحتاجها ما يلي:
1. اثنين من بنك العميل للمحاسبين (Sperbank.ru، mmm-bank.ru)
2. linkmeup.ru ل Petshnikov
3. ياندكس (yandex.ru)

لمثل هذا الاتصال، سنرفع شبكة محلية ظاهرية أخرى على MSK-Arbat-GW1. رقمه، بالطبع، يتفق مع المزود. فليكن VLAN 6
لنفترض أن المزود يوفر لنا الشبكة الفرعية 198.51.100.0/28.وبعد يتم استخدام أول عنوانين لتنظيم رابط (198.51.100.1 و 198.51.100.2)، والباقي نستخدمه، كبركة سباحة للناتمة. ومع ذلك، لا أحد يمنعنا تماما من استخدام العنوان 198.51.100.2 للبركة. و افعلها: حمام السباحة: 198.51.100.2-198.51.100.14.
بالنسبة للبساطة، لنفترض أن الخوادم العامة موجودة على نفس الشبكة الفرعية:
192.0.2.0/24 .
كيفية إعداد رابط وعناوين كنت بالفعل محدثة.
نظرا لأن لدينا جهاز توجيه واحد فقط في شبكة المزود، ويتم توصيل جميع الشبكات مباشرة به، فلا حاجة لضبط التوجيه.
لكن MSK-ARBAT-GW1 يجب أن يعرف مكان إرسال حزم على الإنترنت، لذلك نحتاج إلى الطريق الافتراضي:

mSK-ARBAT-GW1 (التكوين) # IP Route 0.0.0.0 0.0.0.0 198.51.100.1

الآن في النظام

أولا نقوم بتكوين مجموعة العناوين

mSK-ARBAT-GW1 (التكوين) # IP NAT Pool Main_Pool 198.51.100.2 198.51.100.14 Netmask 255.255.240

الآن جمع ACL:

mSK-ARBAT-GW1 (CONFIG) # IP قائمة الوصول الموسعة NAT-INET

1) شبكة التحكم

ليس لديه حق الوصول إلى الإنترنت بشكل عام
مستعد

2) المضيفين من شبكة PTO

يمكنك الوصول فقط إلى مواقع الملف الشخصي، على سبيل المثال، linkmeup.ru

mSK-ARBAT-GW1 (CONFIG-EXT-NACL) # تصريح TCP 172.16.3.0 0.0.0.255 Host 192.0.2.2 EQ 80

3) المحاسبة

نحن نقدم الوصول إلى جميع المضيفين على كلا الخادمين.

mSK-ARBAT-GW1 (CONFIG-EXT-NACL) # تصريح IP 172.16.5.0 0.0.0.255 المضيف 192.0.2.3
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # تصريح IP 172.16.5.0 0.0.0.255 Host 192.0.2.4

4) فيو

دعونا نعطي إذن فقط للمخرج المالي هو مضيف واحد فقط.

mSK-ARBAT-GW1 (CONFIG-EXT-NACL) # تصريح IP Host 172.16.4.123 أي

5) أخرى

أجهزة الكمبيوتر لدينا مع الوصول الكامل

mSK-ARBAT-GW1 (CONFIG-EXT-NACL) # تصريح IP Host 172.16.6.61 أي
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # تصريح IP Host 172.16.6.66 أي

6) فروع في سانت بطرسبرغ وكيميروفو

اسمحوا عناوين Eicin هي هي نفسها: 172.16.x.222

mSK-ARBAT-GW1 (التكوين-ext-nacl) # تصريح IP Host 172.16.16.222 أي
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # تصريح IP Host 172.16.17.222 أي
MSK-ARBAT-GW1 (التكوين Ext-Nacl) التصريح IP Host 172.16.24.222

هذه هي الطريقة التي يبدو فيها ACL الآن:
قائمة الوصول IP موسعة NAT-INET
ملاحظة PTO.
تصريح TCP 172.16.3.0 0.0.0.255 Host 192.0.2.2 EQ www
ملاحظة الإجازة.
تصريح IP 172.16.5.0 0.0.0.255 المضيف 192.0.2.3
تصريح IP 172.16.5.0 0.0.0.255 المضيف 192.0.2.4
ملاحظة فيو.
تسمح IP Host 172.16.4.123 أي
ملاحظة أنا
تسمح IP Host 172.16.6.61 أي
ملاحظة المشرف.
تسمح IP Host 172.16.6.66 أي
ملاحظة spb_vsl_island.
تسمح IP Host 172.16.16.222
ملاحظة spb_ozerki.
تسمح IP Host 172.16.17.222
ملاحظة KMR.
تسمح IP Host 172.16.24.222 أي

يركض:

mSK-ARBAT-GW1 (CONFIG) # IP NAT داخل مصدر القائمة EAT-INET Pool Main_Pool Overload

لكن السعادة لن تكون ممتلئة دون تكوين واجهات:
على الواجهة الخارجية تحتاج إلى إعطاء أمر iP NAT خارج
على الداخلية: iP NAT في الداخل

mSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.101
MSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.102
MSK-ARBAT-GW1 (config-subif) # IP NAT في الداخل
MSK-ARBAT-GW1 (التكوين) # Int FA0 / 0.103
MSK-ARBAT-GW1 (config-subif) # IP NAT في الداخل
MSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.104
MSK-ARBAT-GW1 (config-subif) # IP NAT في الداخل
MSK-ARBAT-GW1 (CONFIG) # INT FA0 / 1.6
MSK-ARBAT-GW1 (config-subif) # IP NAT خارج

سيسمح ذلك إلى فهم جهاز التوجيه إلى أين تنتظر معالجة الحزم وأين ترسلها.

للخوادم على الإنترنت متوفرة اسم النطاقلن نحصل بشدة على خادم DNS في شبكتنا:

بطبيعة الحال، يجب وصفه على تلك الأجهزة التي ستحقق منها الوصول إليها:

يجب ان يستمر العرض!

كل شيء متاح من الكمبيوتر المسؤول:

من شبكة PTO، هناك الوصول فقط إلى الموقع LinkMeup.ru إلى المنفذ الثمانين (HTTP):

على شبكة Feo، فقط 4.123 (Phong-Director) يأتي إلى العالم

مواقع البنوك العميل فقط تعمل في المحاسبة. ولكن، نظرا لأن القرار يعطى تماما بروتوكول الملكية الفكرية، فيمكنك بينجها:

7) الخادم

نحتاج هنا إلى تكوين منافذ المنافذ حتى تتمكن من الاتصال بهم من الإنترنت:

خادم الويب

mSK-ARBAT-GW1 (التكوين) # IP NAT داخل المصدر ثابت TCP 172.16.0.2 80 198.51.100.2 80

تحقق على الفور، على سبيل المثال، يمكننا أن نفعل ذلك من جهاز كمبيوتر اختبار مع آريس 192.0.2.7.
الآن لن يعمل شيء، لأنه بالنسبة لخوادم الشبكة ليس لدينا واجهة تكوينها على MSK-ARBAT-GW1:

mSK-ARBAT-GW1 (CONFIG) # INT INT FA0 / 0.3
MSK-ARBAT-GW1 (config-subif) # IP NAT في الداخل

و الأن:

ب) خادم الملف

mSK-ARBAT-GW1 (التكوين) # IP NAT داخل المصدر ثابت TCP 172.16.0.3 20 198.51.100.3 20
MSK-ARBAT-GW1 (التكوين) # IP NAT داخل المصدر ثابت TCP 172.16.0.3 21 198.51.100.3 21

هنا لهذا في خوادم ACL، فتحنا أيضا المنافذ 20-21 للجميع

ج) خادم البريد

mSK-ARBAT-GW1 (التكوين) # IP NAT داخل المصدر ثابت TCP 172.16.0.4 25 198.51.100.4 25
MSK-ARBAT-GW1 (التكوين) # IP NAT داخل المصدر ثابت TCP 172.16.0.4 110 198.51.100.4 110

الشيك هو أيضا ليست صعبة. اتبع التعليمات:
الإعداد الأول خادم البريدوبعد نحدد المجال وإنشاء مستخدمين.

تكوين جهاز كمبيوتر من شبكتنا:

من الخارجي:

إعداد خطاب:

على المضيف المحلي انقر فوق تلقي:

8) الوصول إلى RDP لأجهزة الكمبيوتر المسؤول

MSK-ARBAT-GW1 (التكوين) # IP NAT داخل المصدر ثابت TCP 172.16.6.61 3389 198.51.100.10 3389
MSK-ARBAT-GW1 (التكوين) # IP NAT داخل المصدر ثابت TCP 172.16.666 3389 198.51.100.10 3398

أمان

لآخر تعليق واحد. على الأرجح جهاز الحشو، تنظر إلى IP NAT خارج الواجهة خارج الإنترنت - على الإنترنت. لذلك، فإن هذه الواجهة لن تعيق ACL، حيث تحظر، تتيح لك ما تحتاجه. في هذه المسألة، لن نتوقف بالفعل في هذه المقالة.

في هذا، يمكن اعتبار أول أحد معارف تكنولوجيا NAT.
كما DZ آخر، أجب عن السؤال لماذا لا يوجد إمكانية الوصول إلى الإنترنت من أجهزة كمبيوتر Enicaev في سانت بطرسبرغ وفي كيميروفو. بعد كل شيء، أضفناها بالفعل إلى قائمة الوصول.

عناوين IP هي مورد نادر. قد يكون للمزود / 16 عنوانا (الفئة السابقة ب)، مما يمنحك القدرة على توصيل 65،534 مضيفين. إذا أصبح العملاء أكثر، تبدأ المشاكل في التنشأ. يستضيف متصل بالإنترنت من وقت لآخر على طول خط الهاتف المعتاد، يمكنك تسليط الضوء على عناوين IP بشكل حيوي فقط لوقت الاتصال. ثم سيقوم عنوان واحد / 16 بخدمة ما يصل إلى 65534 من المستخدمين النشطين، وقد يكون هذا كافيا لمزود لديه عدة مئات من العملاء. عند اكتمال جلسة الاتصال، يتم تعيين عنوان IP إلى مركب جديد. مثل هذه الاستراتيجية يمكن أن تحل مشاكل مقدمي الخدمات التي ليس لديها عدد كبير جدا من العملاء الخاصين المتصلين بخط الهاتف، ولكن لن يساعد مقدمي الخدمات، معظمهم منهم منظمات منظمات.

والحقيقة هي أن عملاء الشركات يفضلون الحصول على اتصال دائم مع الإنترنت، على الأقل خلال يوم العمل. وفي المكاتب الصغيرة، مثل الوكالات السياحية، التي تتكون من ثلاثة موظفين، وفي الشركات الكبيرة هناك شبكات محلية تتكون من عدد معين من أجهزة الكمبيوتر. بعض أجهزة الكمبيوتر هي محطات عمل الموظفين، وبعض خوادم الويب. في الحالة العامة، يوجد جهاز توجيه LAN متصل بمزود خط مخصص لتوفير اتصال دائم. مثل هذا الحل يعني أن عنوان IP واحد مرتبط بكل كمبيوتر. في الواقع، حتى جميع أجهزة الكمبيوتر معا مجتمعة لديها عملاء الشركات لا يمكنهم حظر مزود عنوان IP. بالنسبة إلى طول الطول / 16، فإن هذا الحد مساويا، كما لاحظنا بالفعل، 65 534. ومع ذلك، إذا كان مزود مزود خدمة الإنترنت يتم احتساب عدد عملاء الشركات عشرات الآلاف، فسيتم تحقيق هذا الحد سريع جدا.

تتفاقم المشكلة من خلال حقيقة أن كل شيء أكثر يريد المستخدمون الخاصون الحصول على اتصال ADSL أو كابل مع الإنترنت. ميزات هذه الطرق هي كما يلي:

أ) يحصل المستخدمون على عنوان IP دائم؛

ب) لا توجد دفعة خالدة (فقط رسوم الاشتراك الشهري).

يوجد مستخدمي هذا النوع من الخدمة اتصال دائم بالإنترنت. يؤدي التنمية في هذا الاتجاه إلى زيادة في عجز عناوين IP. تعيين عناوين IP "على الطاير"، كما هو الحال اتصال الهاتف، من غير المجدي، لأن عدد العناوين النشطة في كل لحظة يمكن أن يكون عدة مرات أكثر من مزود.

في كثير من الأحيان الوضع أكثر تعقيدا بسبب حقيقة أن العديد من مستخدمي ADSL و كابل الإنترنت قم بتضمين جهاز كمبيوترين أو أكثر (على سبيل المثال، واحد لكل فرد من أفراد الأسرة) ويريدون جميع السيارات الوصول إلى الإنترنت. ما يجب القيام به - بعد كل شيء، هناك عنوان واحد فقط صادر عن المزود! هذا الحل: يجب تثبيت جهاز التوجيه والجمع بين جميع أجهزة الكمبيوتر على الشبكة المحلية. من وجهة نظر المزود، في هذه الحالة ستكون الأسرة تعمل كناظرية لشركة صغيرة مع العديد من أجهزة الكمبيوتر. مرحبا بكم في شركة Pupkin!

مشكلة عجز عناوين IP ليست نظرية ولا تنطبق على المستقبل البعيد. إنها ذات صلة بالفعل، ويأتي للقتال هنا والآن. يتضمن المشروع طويل الأجل الترجمة الإجمالية للإنترنت بأكملها بروتوكول IPv6 مع عنوان 128 بت. يحدث هذا الانتقال بالفعل تدريجيا، لكن العملية بطيئة للغاية، والتي تتأخر لسنوات. رؤية هذا، أدرك الكثيرون أنه من الملح أن يجد بعض القرار على الأقل في المستقبل القريب. تم العثور على مثل هذا الحل في شكل طريقة بث عنوان الشبكة، NAT (ترجمة عنوان الشبكة)الموصوفة في RFC 3022. جوهرها سوف ننظر لاحقا، يمكن العثور على معلومات أكثر تفصيلا في (جزار، 2001).

تتمثل الفكرة الرئيسية في بث عنوان الشبكة في تعيين كل شركة عنوان IP واحد (أو عددا صغيرا على الأقل من العناوين) لحركة المرور على الإنترنت. داخل الشركة، يتلقى كل كمبيوتر عنوان IP فريد يستخدم لتوجيه حركة المرور الداخلية. ومع ذلك، بمجرد أن تغادر الحزمة حدود بناء الشركة وإرسالها إلى المزود، يتم بث العنوان. لتنفيذ هذا المخطط، تم إنشاء ثلاثة نطاقات من ما يسمى عناوين IP الخاصة. يمكن استخدامها داخل الشركة وفقا لتقديرها. التقييد الوحيد هو أن الحزم مع مثل هذه العناوين في أي حال يجب أن تظهر على الإنترنت. هذه هي هذه المدى المحجوزات الثلاثة:

10.0.0.0.0.0.0.0.0.0.255.25.255/8 (16،777،126 مضيفين)

172.16.0.0 - 172.31.255.255/12 (1048،576 مضيفين)

192.168.0.0.0.192.168.255.255/16 (65،536 مضيفين)

يظهر عمل طريقة العناوين الشبكة البث في المخطط المطول. داخل إقليم الشركة، كل آلة لها عنوانها الفريد الخاص به للنموذج 10.x.y.z. ومع ذلك، عندما تتجاوز الحزمة ملكية الشركة، فإنه يمر عبر كتلة NAT ترجمة عنوان IP الداخلي للمصدر (10.0.0.1 في الشكل) عنوان IP الحقيقي الذي تم الحصول عليه من قبل الشركة من المزود (198.60.42.12 مثالنا). كتلة NAT عادة جهاز واحد مع وجود جدار حماية يوفر الأمن عن طريق تتبع الشركة الواردة والصادرة بشكل صارم. يمكن دمج كتلة NAT مع جهاز توجيه الشركة.

ما زلنا ندير تفاصيل صغيرة واحدة: عندما يتعلق الأمر بالطلب (على سبيل المثال، من خادم ويب)، يتم تناوله إلى 198.60.42.12. كيف اكتشف كتلة NAT عن العنوان المحلي ليحل محل العنوان العام للشركة؟ هذه هي المشكلة الرئيسية في استخدام بث عناوين الشبكة. إذا كان رأس حزمة IP حقلا مجانيا، فيمكن استخدامه لحفظ عنوان الشخص الذي أرسل طلبا. ولكن في العنوان لا يزال غير مستخدم دفعة واحدة فقط. من حيث المبدأ، سيكون من الممكن إنشاء مثل هذا المجال العنوان الحقيقي للمصدر، لكنه سيتطلب تغييرات على رمز IP الخاص بجميع الأجهزة عبر الإنترنت. هذه ليست أفضل طريقة للخروج، خاصة إذا كنا نريد إيجاد حل سريع لمشكلة عدم وجود عناوين IP.

حدث فعلا هذا ما. أشار مطورو NAT إلى أن معظم الحمل المفيد من حزم IP هو إما TCP أو UDP. كلا الشكلين له عناوين تحتوي على موانئ المصدر والمستقبل. أرقام المنفذ هي أعداد صحيحة 16 بت تظهر حيث ينتهي اتصال TCP وأين ينتهي. يستخدم موقع تخزين أرقام المنفذ كحقل مطلوب للعمل NAT.

عندما تريد العملية تثبيت اتصال TCP مع عملية عن بعد، فإنها تربط بمنفذ TCP مجاني على جهاز الكمبيوتر الخاص به. يصبح هذا المنفذ منفذا مصدر يحكي معلومات رمز TCP حول مكان توجيه حزم هذا الاتصال. تحدد العملية أيضا منفذ الوجهة. من خلال منفذ الوجهة، يتم الإبلاغ عن من إعطاء الحزمة على الجانب البعيد. منافذ من 0 إلى 1023 محجوز للخدمات المعروفة. على سبيل المثال، يتم استخدام منفذ 80 من قبل خوادم الويب، على التوالي، يمكنهم التنقل عملاء عن بعدوبعد تحتوي كل رسالة TCP الصادرة على معلومات حول منفذ المصدر ومنفذ الوجهة. معا أنها تعمل على تحديد العمليات في كلا الطرفين باستخدام مركب.

سنقوم بإجراء تشبيه سيشضر إلى حد ما مبدأ استخدام المنافذ. لنفترض أن الشركة لديها واحدة مشتركة رقم هاتفوبعد عندما يكتسبها الناس، يسمعون صوت المشغل، الذين يسألون من الذين يرغبون بالضبط في الاتصال، وتوصيلهم برقم هاتف البريد الإلكتروني المناسب. رقم الهاتف الرئيسي هو تشبيه عنوان IP للشركة، وإضافة كلا الطرفين مشابه للموانئ. لمعالجة المنافذ، يتم استخدام حقل 16 بت، والذي يحدد العملية التي تتلقى الحزمة الواردة.

باستخدام حقل منفذ المصدر، يمكننا حل مشكلة تعيين العناوين. عندما تأتي الحزمة المنتهية ولايته إلى كتلة NAT، فإن عنوان مصدر مصدر النموذج هو 192.168.c.c.c.d يتم استبداله به عنوان IP هذا. بالإضافة إلى ذلك، يتم استبدال منفذ TCP المصدر بمفهرس جدول ترجمة كتلة NAT التي تحتوي على 65،536 إدخالا. يحتوي كل إدخال على عنوان IP الأصلي ورقم منفذ المصدر. أخيرا، يتم إعادة حساب مبالغ المجموع الاختباري لرؤوس TCP و IP وإدخالها في الحزمة. من الضروري استبدال حقل ميناء المصدر، لأن الأجهزة ذات العناوين المحلية 10.0.0.0.1 و 10.0.0.2 قد ترغب بطريق الخطأ في استخدام نفس المنفذ (5000 دقيقة، على سبيل المثال). لذلك، لتحديد غير مبالغة لعملية المرسل من حقل واحد، فإن منفذ المصدر لا يكفي.

عندما تصل الحزمة إلى كتلة NAT من المزود، يتم استرجاع القيمة الحقلية لمصدر رأس TCP. يتم استخدامه كمؤشر جدول شاشة NAT Block. وفقا للسجل الموجود في هذا الجدول، يتم تحديد عنوان IP الداخلي ومنفذ مصدر TCP هذا. يتم إدراج هاتين القيمتين في الحزمة. ثم يتم إعادة حساب TCP و IP Checksums. تنتقل الحزمة إلى المسار الرئيسي للشركة للتسليم العادي مع عنوان رأي 192.168.y.z.

إذا تم تطبيق ADSL أو كبل الإنترنت، فيمكن استخدام ناقل حركة عنوان الشبكة لتسهيل القتال ضد النقص في العناوين. تعيين عناوين المستخدمين لديهم عرض 10.x.y.z. بمجرد أن تغادر الحزمة حدود ممتلكات المزود وتذهب عبر الإنترنت، فإنها تقع في كتلة NAT التي تحول العنوان الداخلي إلى عنوان IP الحقيقي للموفر. في طريق العودة يتم تنفيذ العملية العكسية. وبهذا المعنى، لبقية الإنترنت، فإن المزود مع عملائها باستخدام ADSL و Cable: يتم تقديم مقابلة في شكل شركة واحدة كبيرة.

على الرغم من أن المخطط الموصوف أعلاه يحل جزئيا مشكلة عدم وجود عناوين IP، يعتبر العديد من أتباع الملكية الفكرية في NAT لأن نوعا ما من الانتشار على الأرض. ويمكن فهمها.

أولا، لا يلائم مبدأ العناوين البث في بنية الملكية الفكرية، مما يعني أن عنوان IP يحدد بشكل فريد جهاز واحد فقط في العالم. الجميع هيكل البرمجيات تم بناء الإنترنت على استخدام هذه الحقيقة. عند إذاعة العناوين الشبكة، اتضح أن الآلاف من الآلات (وهكذا يحدث في الواقع) أن يكون لديك عنوان 10.0.0.1.

ثانيا، يتحول NAT إلى الإنترنت من الشبكة دون إنشاء اتصال في شيء مشابه في شبكة الشبكة. المشكلة هي أن كتلة NAT يجب أن تدعم جدول العرض لجميع الاتصالات التي تمر عبرها. تخزين حالة الاتصال عبارة عن شبكات اتصال ذات اتصال، ولكن ليس الشبكات دون إنشاء اتصالات. إذا كانت فواصل كتلة NAT وجداول العرض التي تخسرها، فيمكن نسيان جميع اتصالات TCP عبرها. إذا لم يكن هناك إذاع عن عناوين الشبكة، فلن يكون فشل جهاز التوجيه أي تأثير على عملية TCP. عملية الإرسال ببساطة أختتم بضع ثوان وترسل جميع الحزم غير المؤكدة. عند استخدام NAT، تصبح الإنترنت عرضة للإخفاقات كقنوات تبديل الشبكة.

ثالثا، يتعطل NAT أحد القواعد الأساسية لبناء بروتوكولات متعددة المستويات: يجب على المستوى K لا يبني أي افتراضات حول ما وضعته مستوى K + 1 في حقل الحمولة. يحدد هذا المبدأ استقلال المستويات من بعضها البعض. إذا كان TCR-2 يأتي من أي وقت مضى لاستبدال TCP، فسيكون له تنسيق رأس مختلف (على سبيل المثال، عنوان المنفذ 32 بت)، ثم سيكون بث عناوين الشبكة في FIASCO. الفكرة الكاملة للبروتوكولات متعددة المستويات هي أن التغييرات في أحد المستويات لا يمكن أن تؤثر على المستويات المتبقية. نات يدمر هذا الاستقلال.

رابعا، فإن العمليات على الإنترنت ليست ملزمة على الإطلاق باستخدام TCP أو UDP فقط. إذا كان مستخدم الجهاز تقرر التوصل إلى بروتوكول جديد مستوى النقل للتواصل مع مستخدم الجهاز في (يمكن القيام بذلك، على سبيل المثال، لبعض تطبيق الوسائط المتعددة)، عندها سيتعين عليه التعامل بطريقة ما بحقيقة أن كتلة NAT لن تكون قادرة على معالجة منفذ مصدر TCP بشكل صحيح بشكل صحيح وبعد

خامسا، تقوم بعض التطبيقات بإدراج عناوين IP إلى نص الرسالة. المستلم يستخرج من هناك ثم العمليات. نظرا لأن NAT لا يعرف شيئا عن طريقة معالجة هذه الطريقة، فلن يتمكن من معالجة الحزم بشكل صحيح، وأي محاولات لاستخدام هذه العناوين مع طرف بعيد سيؤدي إلى الفشل. يستخدم بروتوكول نقل الملفات، بروتوكول نقل الملفات (بروتوكول نقل الملفات) هذه الطريقة التي يمكن أيضا رفضها للعمل عند بث عناوين الشبكة، ما لم يتم اتخاذ تدابير خاصة. يحتوي بروتوكول الاتصال الهاتفي على الإنترنت H.323 أيضا على ممتلكات مماثلة. يمكنك تحسين طريقة NAT وجعلها تعمل بشكل صحيح مع H.323، ولكن من المستحيل تحسينه كلما ظهر تطبيق جديد.

سادسا، نظرا لأن حقل الميناء المصدر هو 16 بت، فسيتم عرض حوالي 65،536 آلة محلية على عنوان IP واحد. في الواقع، هذا الرقم أقل إلى حد ما: يتم حجز منافذ 4096 الأولى لاحتياجات الخدمة. بشكل عام، إذا كان هناك العديد من عناوين IP، فيمكن لكل منهم دعم ما يصل إلى 61،440 عنوانا محليا.

تتم مناقشة هذه المشكلات وغيرها من المشكلات المرتبطة بعناوين شبكة البث في RFC 2993. وعادة ما تقول المعارضون باستخدام NAT أن الحل لمشكلة عدم وجود عناوين IP من خلال إنشاء تصحيح مؤقت يتداخل فقط مع عملية التطور الحقيقي، الذي يتكون في الذهاب إلى IPv6. ولكن إذا عدت إلى الواقع، فسوف نرى أنه في معظم الحالات NAT هو مجرد شيء لا غنى عنه، خاصة بالنسبة للمكاتب الصغيرة ذات عدد أجهزة الكمبيوتر من عدة قطع إلى عدة عشرات. يمكن تنفيذ NAT القوات الخاصة في نظام التشغيل Linux باستخدام

شققنا هي أكثر وأكثر أجهزة رقمية مختلفة - أجهزة الكمبيوتر المحمولة والأجهزة اللوحية والهواتف الذكية. في حين أن الكمبيوتر في الشقة كان بمفرده ويتصل مباشرة إلى شبكة المزود - لم تنشأ. والآن، عندما حصلت على مشكلة - كيفية توصيل جهاز كمبيوتر محمول جديد أو جهاز لوحي على الإنترنت. هنا للمساعدة ويأتي nAT Technology.. ما هو جوهر تكنولوجيا نات؟
NAT. — ترجمة عنوان الشبكة - في الترجمة إلى الروسية، يبدو الأمر وكأنه "تحويل عناوين الشبكة". NAT. - هذه آلية في شبكات TCP / IP التي تتيح لك تحويل عناوين IP لحزم العبور.
إذا تم التعبير عنك بلغة بسيطة - فهناك العديد من أجهزة الكمبيوتر على الشبكة المحلية، بفضل التكنولوجيا NAT. يمكنهم جميعا الذهاب إلى الشبكة الخارجية الإنترنت باستخدام واحد خارجي عنوان IP (IP.).

ما هو عنوان IP؟

راوتر — راوتر - يعمل في المستوى الثالث أنظمة OSI، على التوالي، المستخدمة بروتوكول الملكية الفكرية - بروتوكول راوتر لطبقة شبكة TCP / IP. جزء لا يتجزأ من البروتوكول هو معالجة الشبكة. وفقا للقواعد الحالية - يتم تعيين جميع الأجهزة الموجودة على الشبكة عناوين الانترنت بروتوكول (عناوين AI-PI) - معرفات شبكة فريدة من نوعها لعنوان العقدة. تستخدم 2 أنواع عناوين IP - رمادي و أبيض. عناوين رمادية - هذا جزء من مساحة العنوان المخصصة لشبكة محلية - عناوين IP الشبكية 10.0.0.0/8, 172.16.0.0/12 أو 192.168.0.0/16 وبعد يتم استخدام جميع الشبكات الفرعية الأخرى على الإنترنت وهي عناوين IP بيضاء.

كيفية توفير الوصول إلى الإنترنت المشترك للأجهزة على الشبكة.

من أجل الاتصال بجميع الأجهزة على الإنترنت على الشبكة المحلية التي تحتاجها راوتر. راوتر - هذا هو جهاز يمكنه الاتصال عبر شبكة الموفر على الإنترنت وتوزيعه على الأجهزة المتصلة بسبب حقيقة أنه يحتوي على على الأقل 4 ميناء LAN و Wi-Fi وحدةوبعد لا تخلط بين جهاز توجيه مع مفتاح إيثرنت بسيط، وهو أساسا "الخائن" غبي للشبكة. بسبب حقيقة أن جهاز التوجيه مثبت تشغيل نظام مثل UNIX، يمكنك رفع الجهاز خدمات مختلفة، بما فيها خدمة NAT.وبعد للقيام بذلك، عند تكوين جهاز التوجيه وضع علامة تمكين NAT. .

إذن ما هو التالي راوتر لكل طلب، الذي يمر عبره، يضع تسمية محددة تحتوي على البيانات الموجودة على المرسل على الشبكة المحلية. عندما تأتي الإجابة إلى هذا الطلب، راوتر بملصق يحدد عنوان IP على الشبكة المحلية لإرسال الحزمة. هنا في الواقع كل شيء مبدأ تشغيل تكنولوجيا NAT باختصار.

01.02.2010

سننظر اليوم في تنظيم منظمة الوصول العام إلى الإنترنت و الإعداد التلقائي الشبكات على منصة ويندوز. على الرغم من حقيقة أن هذا حل أكثر تكلفة، سيتم تبرير تطبيقه عند نشر التكامل الوثيق مع البنية التحتية للشبكة على أساس مشغل برامج وندوز.

كمنصة عمل، استخدمنا Windows Server 2008 R2، كمنصة ذات صلة اليوم، ولكن كل التعديلات المذكورة أعلاه تنطبق على السابق إصدارات ويندوز خادم 2003/2008.

في البداية، تحتاج إلى تكوين واجهات الشبكة. في حالتنا، تتلقى الواجهة التي تتطلع إلى شبكة المزود الإعدادات ل DHCP، لقد قمت بإعادة تسميته إلى تحويلة. يحتوي الواجهة الداخلية (LAN) على عنوان IP ثابت 10.0.0.1 وقناع 255.255.255.0.

إعداد NAT.

أبسط طريقة لتنظيم الوصول العام سيتضمن الإنترنت الخيار المناسب في إعدادات اتصال الشبكة. ومع ذلك، مع كل البساطة، هذه الطريقة غير مرنة للغاية ومقبولة فقط إذا لم تكن هناك مهام توجيه أخرى قبل الخادم. من الأفضل أن تذهب أكثر صعوبة، للوهلة الأولى، الطريقة، ولكن للحصول على أداة قوية ومرنة للغاية بيديك، مما يتيح لك حل مهام الشبكة أكثر تعقيدا بكثير.
لنبدأ، كما ينبغي أن يكون، مع إضافة دور الخادم الجديد: خدمات سياسة الشبكة والوصول إليها.

في أدوار الأدوار خدمة التوجيه I. الوصول عن بعد ، كل شيء آخر غير مهتم بنا الآن. بعد دور التثبيت الناجح، يمكنك الذهاب إلى إعدادات التوجيه.

في المكالمات نجد خدمة التوجيه ومن خلال القائمة أجراءات إختر تكوين وتمكين التوجيه والوصول عن بعدوبعد يتم إعداد الإعداد باستخدام معالج خطوة بخطوة ستأخذنا من خلال جميع الإعدادات. اختيار كتكوين تحويل عنوان الشبكة (NAT)يمكن تكوين أي ميزات أخرى لاحقا يدويا.

هنا تحتاج إلى تحديد واجهة أن خادمنا متصل بالإنترنت، إذا لزم الأمر، يمكنك إنشاءه (على سبيل المثال، عند استخدام اتصالات PPPOE أو VPN).

يتم ترك الإعدادات المتبقية افتراضيا وبعد النقر فوق الزر جاهز لإطلاق خدمة الوصول إلى التوجيه والوصول عن بعد، خادمنا جاهز للحفاظ على العملاء من الشبكة الداخلية. يمكنك التحقق من الأداء عن طريق عنوان IP لآلة العميل من نطاق الشبكة الداخلية وتحديد كعبارة و خادم DNS. عنوان خادمنا.

إعداد DHCP.

لتكوين إعدادات الشبكة تلقائيا على أجهزة العميل، حسنا، لا يتم تشغيلها من مكان لوضع عناوين IP يدويا، يجب عليك إضافة دور خادم DHCP.

للقيام بذلك، اختر أضف دورا في مدير الخادم والاحتفال بالخيار الذي تحتاجه.

الآن يتعين علينا الإجابة على عدد من الأسئلة البسيطة. على وجه الخصوص، لا ينبغي أن تستخدم الشبكات الداخلية التي يجب استخدامها DHCP، إذا لزم الأمر، يمكنك تكوين معلمات مختلفة لشبكات مختلفة. ثم حدد التسلسل معلمات خوادم DNS و WINS. هذا الأخير، مع غيابه، لا يمكنك تحديد. إذا لم يكن لدى شبكتك محطات عمل قديمة تعمل بنظام التشغيل بخلاف Windows NT 5 وما فوق (2000 / XP / Vista / Seven)، فلا حاجة لخادم WINS.

يجب معاملة إضافة إقليم DHCP مع زيادة الاهتمام، يمكن أن يؤدي الخطأ هنا إلى عدم القدرة على الشبكة بأكملها. لا يوجد شيء صعب هنا، فقط أدخل بعناية معلمات الشبكة اللازمة بعناية، بعد نطاق IP المخصص للتداخل بالفعل المحدد بالفعل للأجهزة الأخرى ولا تنس تحديد القناع بشكل صحيح والبوابة.

بشكل منفصل، يجب إيلاء الاهتمام لهذه المعلمة مثل مدة الإيجار. بعد نصف فترة الإيجار، يرسل العميل طلبا إلى الخادم لتوسيع الإيجار. إذا كان الخادم غير متوفر، فسيتم تكرار الطلب بعد نصف الوقت المتبقي. في الشبكات السلكية، حيث لا تتحرك أجهزة الكمبيوتر داخل الشبكة، يمكنك تعيين فترة تأجير كبيرة بما فيه الكفاية، إذا كان هناك الكثير مستخدمي الأجهزة المحمولة (على سبيل المثال، العامة دوت واي فاي في المقهى) يمكن أن تقتصر فترة الإيجار على عدة ساعات، وإلا فإن الإفراج في الوقت المناسب عن العناوين المستأجرة لن يحدث وفي المسبح قد لا يكون عناوين حرة.

ترفض الخطوة التالية دعم IPv6 وبعد تثبيت دور DHCP، فإن الخادم جاهز للعمل دون أي إعدادات إضافيةوبعد يمكنك التحقق من تشغيل آلات العميل.

يمكن عرض عناوين IP الصادرة العناوين المستأجرةالمتعلقة بالمنطقة التي تهتم بها. هنا يمكنك تكوين النسخ الاحتياطي لعميل معين لعنوان محدد (مرتبط بالاسم أو عنوان MAC)، إذا لزم الأمر، يمكنك إضافة أو تغيير معلمات المنطقة. مرشحات اسمح لك بإنشاء قواعد متساهلة أو محظورة بناء على عناوين MAC العميل. يعد النظر الكامل في جميع ميزات خادم Windows Server 2008 R2 DHCP خارج نطاق هذه المقالة وعلى الأرجح، سنكرس لهم مواد منفصلة.

العلامات:

يرجى تمكين JavaScript لعرض التعليقات بدعم من Disquus.

Trekbek

في موادنا الماضية، قمنا بمراجعة إعداد NAT منصات ويندوز الخادم. كما أظهر استجابة القارئ، تحدث بعض الصعوبات عند استخدام اتصالات الإنترنت البديل: VPN أو PPPOE. اليوم سننظر إلى الترتيب ...