Menú
Está libre
registrarse
el principal  /  POR / Tipo de conexión NAT. NAT - Configuración de la conversión de direcciones de red

Tipo de conexión NAT. NAT - Configuración de la conversión de direcciones de red

Esto es absolutamente diferentes tecnologías. No los confundas.

Que es nat

NAT - Término colectivo, denota tecnología de transmisión direcciones de red y / o protocolos. Los dispositivos NAT producen sobre los paquetes de transformación que pasan al reemplazo de direcciones, puertos, protocolos, etc.

Hay un concepto más estrecho de SNAT, DNAT, MASQUERADING, PAT, NAT-PT, etc.

¿Por qué necesitan NAT, cómo usarlo?

Para mostrar la red interna en línea

  • a través de la piscina de direcciones externas
  • a través de una dirección externa

Para la sustitución de la dirección IP externa a otros (redirección de tráfico)

Para el equilibrio de carga entre servidores idénticos con diferentes direcciones IP.

Para combinar dos redes locales con la intersección de direccionamiento interno.

cómo se organiza la NAT

s + D NAT (rama que se fusiona - ¡Evil!)

mapeo de puertos, ardor de puerto

Ventajas y desventajas

Incompatible con algunos protocolos. La implementación específica de NAT debe respaldar la inspección del protocolo requerido.

NAT tiene la red interna de "Pantalla" del mundo exterior, pero no se puede usar en lugar de un firewall.

Configuración de Cisco IOS

Los enrutadores y firewalls de Cisco admiten varios tipos de NAT, dependiendo del conjunto de opciones para software. El más utilizado es el método NAT con la unión de direcciones locales internas a varios puertos de una dirección externa (PAT en la terminología de Cisco).

Para configurar el NAT en el enrutador, se requiere: o Determine el tráfico que debe transmitirse (utilizando listas de acceso o mapa de ruta);

Lista de acceso IP Permiso local extendido IP 10.0.0.0 0.255.255.255

Mapa de ruta INT1 Match Dirección IP Interfaz de coincidencia local Fasternet0 / 1.1

AKSSS Leaf Local elige todo el tráfico desde 10 redes.

RUT-MAP INT1 selecciona el tráfico local de Hoja de ejes, dejando el Sabeneface FA 0 / 1.1

o Determine qué direcciones externas deben realizar transmisión. Seleccione las direcciones externas de la piscina. Para una sola dirección de Pat.

IP NAT Pool Global 212.192.64.74 212.192.64.74 Netmask 255.255.255.0

Configuración del grupo de direcciones externas con el nombre global. En la piscina de una sola dirección.

o Habilitar NAT para las direcciones internas y externas seleccionadas.

IP NAT Denty Fuente Ruta-Mapa Int1 Pool Global Sobrecarga

Habilitar NAT para transmitir direcciones de origen en la interfaz interna. Solo el tráfico se transmitirá bajo las condiciones de RUT-MAP INT1. La dirección externa se tomará de la PULA GLOBAL.

IP NAT Dentro de la fuente estática TCP 10.0.0.1 23 212.192.64.74 23 Extienda

"Puerto de Puerto" estático o "Publicación del Servicio". En el tráfico que va dentro de la dirección 212.192.64.74, la dirección de 10.0.0.1 y el puerto 23 se reemplazarán con el Puerto 23 TCP 23.

o Asignar interfaces internas y externas.

Interfaz FASTETHETET0 / 0 IP NAT INTERINIDA INTERNA FASTETHETET0 / 1.1 IP NAT ANTERIOR

La interfaz FA 0/0 se le asigna interna para NAT.

FA 0 / 1.1 Sabrider está asignado a externo para NAT.

O Depuración y diagnóstico:

SH IP NAT Translaciones - Visualización de la tabla de transmisiones actuales; Clear IP NAT Translations - Eliminar todas las transmisiones actuales; DEBUG IP NAT: habilite los mensajes de depuración (depuración del deshebug).

Ejemplos

Damos varios ejemplos de demostración para Cisco Packet Tracer Emulator.

Un diagrama simple de la salida de una pequeña red a Internet a través del grupo de direcciones externas.

Circuito de salida de red simple en Internet a través de una dirección externa

Esquema de montaje con la intersección de direccionamiento.

Operación de NAT.

El procedimiento para aplicar las reglas nat difiere de varios fabricantes y de varios equipos. Damos el procedimiento para aplicar políticas nat para enrutadores en Cisco IOS:

Dentro del exterior

Si IPSec, compruebe la descripción de la lista de acceso de entrada, para CET (Tecnología de cifrado Cisco) o IPSEC, verifique la lista de ingresos de la lista de ingresos Límites de la tasa de entrada Redirecto de la contribución a la política de caché web enrutamiento enrutamiento NAT en el exterior (traducción local a global) Crypto (verifique el mapa y Marca para el cifrado) Verifique la lista de acceso de salida Inspeccione (Control de acceso basado en contexto (CBAC)) TCP Intercepte la cola de cifrado

Fuera a interior

Si IPSec, compruebe la descripción de la lista de acceso de entrada, para CET o IPSEC Compruebe la entrada de la lista de ingresos Límites de la tasa de entrada Límites de la tasa de entrada Redireccionar a la memoria caché NAT exterior en el interior (traducción global a local) Política de enrutamiento enrutamiento Crypto (verifique el mapa y la marca para el cifrado) Cheque Lista de acceso de salida Inspeccione la cola de encriptación de intercepción TCP CBAC

Canal de Internet de un proveedor a través de NAT

Esquema de implementación simple de NAT con un proveedor

Reserva del canal de Internet de dos proveedores con NAT, IP SLA

Danar: Obtenemos por varias computadoras de Internet del proveedor de ISP1. Asignó la dirección 212.192.88.150. El acceso a Internet está organizado desde esta dirección IP a través de NAT.

Tarea: Conecte el proveedor de respaldo - ISP2. Asignará la dirección de Estados Unidos 212.192.90.150. Organice el equilibrio del tráfico: el tráfico web se puede permitir a través de ISP1, otro tráfico, a través de ISP2. En caso de fallo de uno de los proveedores, para iniciar todo el tráfico en el canal vivo.

¿Cuál es la complejidad de la tarea? Clear IP Nat Translations?

Esquema

Configurar

1 Clear IP NAT Translations *

Encontrado, tal pieza de EEM se prueba. No todo versiones de iOS. Se genera evento .. debemos aclarar.

! Event Manager Applet Nat-Track Event Syslog Pattern "Seguimiento-5-Estado" Acción 0.1 Comando CLI "Habilitar" Acción 0.2 Espera 3 Acción 0.3 CLI Comando "Clear IP Traducción *" Acción 0.4 Syslog MSG "TRADUCCIÓN NAT despejada después del cambio de estado "!

2 Cuando la interfaz cae en el proveedor, las posibilidades son que su puerta de entrada pateará el segundo.

! Nombre de usuario Nombre de la contraseña 0 Contraseña Habilitar secreto 0 parolconfiga! ! Control de entrada a la línea VTY Router 0 4 Iniciar sesión Local! ! DHCP IP DHCP Pool LAN Red Sieting Mask Predeterminado-View-Router Gate DNS-Server 10.11.12.13! DNS - Ficticitious inventado - no de nuestra red local ! ! ! Monitor de ping al proveedor-1 Gateway! ¡Espera una respuesta 100 ms! Pinging con una frecuencia de 1 segundo IP Monitor de SLA 1 Tipo ECHO Protocolo IPICMPECHO GATERS1 Interfaz de origen Interfaces1 Tiempo de tiempo 100 FRECUENCIA 1! ! Ping Monitor en el Proveedor-2 IP SLA Monitor 2 Tipo ECHO Protocolo IPICMPECHO GATERS2 Interfaz de origen Interfaces2 Tiempo de tiempo 50 FRECUENCIA 1! ! Inicio PingOvaKov 1 y 2, ahora y para siempre IP SLA Monitor Monitor 1 Life Forever Start-Hora ahora IP SLA Monitor Horario 2 Vida para siempre ¡Tiempo de inicio! ! Pistas 10 y 20 - Seguimiento del estado de Penny! Reacciona al estado de abajo o hacia arriba con un retraso de 1 seg. Seguimiento 10 RTR 1 RETRAYAJE DE RETRAZA ABAJO 1 UP 1 UP 1! Seguimiento 20 RTR 2 RETRAYA DE REACHABILIDAD ABAJO 1 UP 1! ! ! ¡Rutas para todas las redes externas en ambos proveedores! Las rutas están vinculadas a pistas! ¡Y se activará solo si la pista está en el estado UP! esos. Si la puerta de enlace en el proveedor correspondiente está disponible IP Route 0.0.0.0 0.0.0.0 Gaters1 Track 10 IP Route 0.0.0.0 0.0.0.0 Gaters2 ¡Pista 20! ! ! Int FA 0/0 ¡No cerrado! ! Sub-Interfaces hacia proveedores externos! Marcado como afuera para la interfaz NAT FETETERSNET0 / 0.1 Descripción ISP1 Encargos DOT1Q Número 1 Dirección IP IPNAPS1 IP NAT Otras máscara! Interfaz FASTETERNNET0 / 0.2 DESCRIPCIÓN ISP2 Encapsulación DOT1Q Number2 IPDAP IPNAPS2 IP NAT Máscara externa! ! Interfaz de red interna! Marcado como interior para NAT! Interfaz PRBR FASTERNET0 / 1 Dirección IP Política de enrutamiento Política de privacidad IP NAT INTERIOR POLÍTICA DE IP Ruta-Mapa PBR ¡Sin cerrado! ! ¡Aksess-share de la red afuera! En el tráfico web y en todo lo demás IP, la lista de acceso a IP PERMISO LOCAL ANTIMENTADO IP InsIT ¡Cualquiera! IP Access-LISTA Ampliado Permiso Web Permiso TCP Interior Cualquier EQ WWW permiso TCP Inde Cualquier EQ 443. Lista de acceso IP extendida todo el permiso IP. ! ! Sly Ruth Mapa PBR! Si el tráfico de LAN en la web! ¡Que lo designe hasta la puerta de entrada del primer proveedor! De lo contrario, otro tráfico de LAN! Asigne una segunda puerta de enlace del proveedor. ! Cuando asigna una puerta de enlace, las pistas se verifican por Mapa de ruta PEND PERMISO 10 MATCH ADVERTIDO IP SET WEB IP NEXT-HOP Verify-Disponibilidad Gaters1 1 Pista 10! Mapa de rutas PBR Permiso 20 Match IP Dirección IP Todos set IP IP Next-Hop Verify-Disponibilidad Gaters2 1 Pista 20! ! ! Sunny Root-Map ISP1! Funciona si el tráfico de LAN! Intentos de salir del FA0 / 0.1 Mapa de ruta-Mapa ISP1 Permiso 10 Match IP Dirección IP Interfaz de coincidencia local Fastethernet0 / 0.1! ! Sunny Root-MAPP ISP2! Funciona si el tráfico de LAN! Tratando de salir de la FA0 / 0.2 Ruta-Mapa ISP2 Permiso 10 Coincidir la dirección IP Interfaz de coincidencia local ¡Fastethernet0 / 0.2! ! ! Finalmente, nat ;-)! ! TRÁFICO DE LAN EN EL PRIMER PROVEEDOR RELOJ A TRAVÉS DE LA PRIMERA IP NAT INTERIOR FUENTE DE LA FUENTE DE LA RUTACIÓN DE LA RUTACIÓN DE LA RUTACIÓN ISP1 FASTETERNNET0 / 0.1 Overload! ! TRÁFICO DE LAN EN EL SEGUNDO PROVEEDOR A NAT A TRAVÉS DEL SEGUNDO IP NAT INTERIOR FUENTE DE LA FUENTE DE LA RUTACIÓN DE LA RUTACIÓN DE LA RUTACIÓN ISP2 FASTETERNNET0 / 0.2 SOBREAD! ! El tráfico en el DNS ficticio es dominar a Google DNS IP NAT fuera de la fuente estática 8.8.8.8 10.11.12.13 ¡No-alias! ! Puerto interno 3389 adelante en el puerto externo 1111 IP NAT INTERIOR INTERIOR STRICT STRICT TCP EXTROGOUS 3389 OTERE 1111 IP extensible NAT INTERIOR INTERIOR DE FUENTE ESTÁTICO TCP extrógus 3389 Outer 1111 ¡Extendible! !

miscelánea

CGN (CARRERO GRADO NAT) con un grupo especial de direcciones privadas

NAT como ALG (Puerta de enlace de la capa de aplicación), (protocolos de texto liso por ejemplo, SIP)

Bueno, olvídate de esta letra por un tiempo.
En términos generales, las listas de acceso son diferentes:

Estándar
- extendido
- Dinámico
- Reflexivo
- atemporal

Detenden nuestra atención hoy en los dos primeros, y con más detalle sobre todo lo que pueda leer de Tsiski.

Tráfico entrante y saliente

Para Soten, entendamos una cosa. ¿Qué entender bajo el tráfico entrante y saliente? Esto será necesario en el futuro. El tráfico entrante es el que viene a la interfaz desde el exterior.

Saliente es el que se envía desde la interfaz exterior.

La lista de acceso que puede aplicar al tráfico entrante, entonces los paquetes incompletos ni siquiera llegarán al enrutador y, en consecuencia, en la red, o en el saliente, luego los paquetes vienen al enrutador, procesados \u200b\u200bpor ellos, alcanzan el Interfaz de destino y solo caerlo.

La lista de acceso estándar comprueba solo la dirección del remitente. Dirección avanzada del remitente, dirección del destinatario, así como puerto. Se recomienda la ACL estándar para ponerse lo más cerca posible del destinatario (para no cortar más de lo necesario), y se extiende, más cerca del remitente (para reducir el tráfico no deseado lo antes posible).

Práctica

Vamos a ir de inmediato a practicar. ¿Qué tendríamos un reembolso de este tipo en nuestra pequeña red "Lift MI AP"?

A) Servidor web. Permitir el acceso a todos por Puerto TCP 80 (protocolo HTTP). Para ese dispositivo desde el cual se realizará el control (también tenemos administrador), debe abrir Telnet y FTP, pero le daremos acceso completo. Todo el resto del resaltado.

B) Servidor de archivos. Deberíamos tener residentes del Lift MI AP por puertos para carpetas públicas, y todos los demás en FTP.

C) Servidor de correo. Aquí tenemos SMTP y POP3 en funcionamiento, es decir, TCP 25 y 110 puertos. También para el administrador de acceso abierto a la administración. Otro bloqueo.

D) Para el futuro servidor DNS, necesita abrir el puerto UDP 53

E) Permitir que los mensajes ICMP en la red de servidores

E) Debido a la otra red, tenemos para todos los no partidarios que no han ingresado a la FEO, PTO y Contabilidad, luego los limitaremos a todos, y algunos solo daremos acceso (entre ellos nosotros y admin)

E) En la red de control, debe comenzar de nuevo solo el administrador y, por supuesto, mi amado.

G) No construiremos obstáculos a las comunicaciones entre ellos.

a) Acceso al servidor web.

Aquí tenemos una política prohibida todo lo que no está permitido. Por lo tanto, necesitamos abrir algo ahora, pero todo lo demás para cerrar.
Dado que protegemos la red de servidores, entonces la hoja se colgará en la interfaz hacia ellos, que es, en FE0 / 0.3, la pregunta es solo en eN. o en fuera. ¿Necesitamos hacerlo? Si no queremos dejar que los paquetes en la dirección de los servidores que ya hayan estado en el enrutador, será el tráfico saliente. Es decir, las direcciones de destino (destino) tendrán en la red de servidores (de los cuales elegiremos a qué servidor está ocurriendo), y las direcciones de origen (fuente) pueden ser de todos modos, como de nuestra red corporativay de internet.
Otra nota: Dado que filtraremos, incluso en la dirección de destino (en el servidor web, una reglas, en el correo, otras), luego la lista de control de acceso necesitará avanzado (extendido), solo le permite hacerlo.

Las reglas en la lista de acceso se verifican en orden de arriba a abajo a la primera coincidencia. Tan pronto como funcionaron una de las reglas, independientemente de si el permiso es o denegar, el cheque se detiene y el procesamiento del tráfico se basa en la regla gobernada.
Es decir, si queremos proteger al servidor web, primero que todos debemos dar permiso, porque si estamos configurados en la primera línea deny IP cualquier - Siempre funcionará y el tráfico no caminará en general. Alguna. - Esta es una palabra especial que significa la dirección de la red y la máscara inversa 0.0.0.0 0.0.0.0 y significa que hay absolutamente todos los nodos de cualquier red. Otra palabra especial - anfitrión. - Significa una máscara 255.255.255.255 - es decir, una única dirección especificada.
Entonces, la primera regla: Permitir el acceso a todos por puerto 80


MSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # NOMBRE WEB
Cualquier host 172.16.0.2 EQ 80

Déjame ( permiso.) TCP tráfico desde cualquier nodo ( alguna.) en el host ( anfitrión. - Es una dirección) 172.16.0.2 dirigida al 80º puerto.
Intentamos colgar esta lista de acceso a la interfaz FE0 / 0:

MSK-ARBAT-GW1 (Config-Subif) # IP Access-Group Servers-Out fuera.

Compruebe desde cualquiera de nuestras computadoras conectadas:

Como puedes ver la página se abre, pero ¿qué pasa con nosotros con Ping?

¿Y así de cualquier otro nodo?

El hecho es que después de todas las reglas en el Ciskovsky ACL al final, implícito deny IP cualquier (implícito denegar). ¿Qué significa esto para nosotros? Cualquier paquete con derecho a la interfaz y no responde a ninguna regla de la ACL que cayó bajo implícito denegada y desechado. Es decir, al menos ping, a pesar de que FTP, al menos cualquier cosa aquí ya no será.

Vamos más allá: debe dar acceso completo a la computadora desde donde se realizará el control. Esta será la computadora de nuestro administrador con la dirección de 172.16.6.66 de la otra red.
Cada nueva regla se agrega automáticamente al final de la lista, si ya existe:

mSK-ARBAT-GW1 (config)
MSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # PERMISO TCP Host 172.16.6.66 Host 172.16.0.2 Rango 20 FTP
MSK-ARBAT-GW1 (Config-ext-NaCl) # permiso TCP Host 172.16.6.66 host 172.16.0.2 EQ Telnet

Eso es todo. Verificamos desde el nodo deseado (ya que los servidores de la RT no son compatibles con la persona que llama, verifique en FTP):

Es decir, el mensaje FTP llegó al enrutador y debería ir desde la interfaz FE0 / 0.3. El enrutador comprueba y ve que el paquete es adecuado para la regla agregada por nosotros y nos salta.

Y de un forastero

El paquete FTP no cae bajo una de las reglas, excepto la implícita de Deny IP, ninguna y descartada.

b) Acceso al servidor de archivos.

En primer lugar, sería necesario decidir quién será un "residente" que necesite estar disponible. Por supuesto, estos son aquellos que tienen una dirección de la red 172.16.0.0/16, solo ellos y dan acceso.
Ahora s. carpetas comunes. En la mayoría sistemas modernos El protocolo SMB ya se utiliza para esto que necesita un puerto TCP 445. En versiones anteriores, se utilizó NetBIOS, que se alimentó después de tres puertos: UDP 137 y 138 y TCP 139. Convenido con nuestro administrador, configuraremos el puerto 445 (Verdad para verificar dentro de la RT, por supuesto, no funcionará). Pero además de esto, necesitaremos puertos para FTP - 20, 21, y no solo para anfitriones internos, sino también para conexiones de Internet:
mSK-ARBAT-GW1 (CONFIG) # IP Access-Lista Extended Server-Out
MSK-ARBAT-GW1 (Config EXT-NACIL) # PERMISO TCP 172.16.0.0 0.0.255.255 Host 172.16.0.3 EQ 445
MSK-ARBAT-GW1 (Config EXT-NACIL) # PERMISO TCP alguna. Host 172.16.0.3 Gama 20 21

Aquí re-aplicamos el diseño. rango 20 21. - Para que los puertos múltiples en una línea. Para FTP, en general, no es suficiente del puerto 21. El hecho es que si lo abre solo, pasará la autorización y no hay transferencia de archivos.

0.0.255.255 - Mascarilla inversa (máscara de comodín). Sobre lo que es, hablemos un poco más tarde

c) Acceso al servidor de correo.

Continuamos trabajando en la práctica, ahora con el servidor de correo. Como parte de la misma lista de acceso, agregue nuevos registros que necesitamos.
En lugar de los números de puerto para los protocolos ampliamente solicitados, puede especificar sus nombres:
mSK-ARBAT-GW1 (CONFIG) # IP Access-Lista Extended Server-Out
MSK-ARBAT-GW1 (CONFIG-EXT-NACIL) #PERMIT TCP Cualquier host 172.16.0.4 EQ POP3
MSK-ARBAT-GW1 (CONFIG-EXT-NACIL) #PERMIT TCP Cualquier host 172.16.0.4 EQ SMTP

d) servidor DNS

mSK-ARBAT-GW1 (CONFIG) # IP Access-Lista Extended Server-Out
MSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # PERMISO uDP. 172.16.0.0 0.0.255.255 Host 172.16.0.5 EQ 53

d) ICMP.

Queda por corregir la situación con ping. No hay nada terrible para agregar las reglas al final de la lista, pero de alguna manera estéticamente más agradable para verlos primero.
Usamos un truco simple para esto. Para esto puedes usar editor de texto, p.ej. Copie allí desde la Pieza de Show RUN sobre ACL y agregue las siguientes líneas:
no hay servidores extendidos de Lista de acceso IP
Lista de acceso a IP servidores extendidos
Permitir a ICMP cualquier
Comentario web.



Comentario del archivo.


Palabra de correo.


Observación DNS.

Remitimos la lista existente a la primera línea, luego lo creamos nuevamente y enumere todas las reglas nuevas en el orden que necesitamos. El equipo en la tercera línea permitió el paso de todos los paquetes ICMP de cualquier anfitrión a cualquier anfitrión.

A continuación, simplemente copie todo con un alcance e inserte en la consola. La interfaz interpreta cada cadena como un comando separado y lo realiza. Así que reemplazamos la vieja lista de nuevos.
Compruebe que el ping es:

Perfectamente.

Este "trampa" es bueno para la configuración inicial o si sabe exactamente lo que está haciendo. En la red de trabajo, cuando configura la ACL remota, se arriesga a mantenerse sin acceso a la pieza ajustable de hierro.

Para insertar la regla al principio o en cualquier otro lugar correcto, puede recurrir a una recepción de este tipo:
lista de acceso a IP servidores extendidos
1 PERMISO ICMP CUALQUIER CUALQUIER

Cada regla en la lista está numerada con un paso definido y, si pone un número antes de la palabra PERMISO / DENY, la regla se agregará no al final, pero en el lugar que necesita. Desafortunadamente, tal característica no funciona en la República de Tayikistán.
Si de repente es necesario (ocupados todos los contratos que se ejecutan entre las reglas), siempre puede renumer las reglas (en este ejemplo, se asigna la primera regla 10, el número 10 (primero) y el incremento 10):
lista de acceso a IP Resejentce Servers-Out 10 10

Como resultado, la lista de acceso en la red del servidor se verá así:
lista de acceso a IP servidores extendidos
Permitir a ICMP cualquier
Comentario web.
Permitir TCP Cualquier host 172.16.0.2 EQ www
Permitir el host TCP 172.16.6.66 host 172.16.0.2 Gama 20 FTP
Permitir el host TCP 172.16.6.66 host 172.16.0.2 EQ Telnet
Comentario del archivo.
Permitir TCP 172.16.0.0 0.0.255.255 Host 172.16.0.3 EQ 445
Permitir TCP Cualquier host 172.16.0.3 Rango 20 21
Palabra de correo.
Permiso TCP Cualquier host 172.16.0.4 EQ POP3
Permitir TCP Cualquier host 172.16.0.4 EQ SMTP
Observación DNS.
Permitir el UDP 172.16.0.0 0.0.255.255 Host 172.16.0.5 EQ 53

Ahora nuestro administrador tiene acceso solo al servidor web. Descubre el acceso completo a toda la red. Esta es la primera tarea.

e) Derechos de usuario de la otra red.

Hasta ahora que necesitábamos no entren en la entrada Alguien en algún lugar, por lo que prestamos atención a la dirección de destino y la lista de acceso colgaba sobre el saliente del tráfico de la interfaz.

Ahora necesitamos no suelte: No hay solicitudes de computadoras de la otra red, no debe ir más allá. Bueno, por supuesto, excepto aquellos que resolvemos específicamente.

mSK-ARBAT-GW1 (CONFIG) # IP Access-List extendido Otro en

MSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # PERMISO HANT 172.16.6.61



Aquí no pudimos prohibirnos todo, y luego resolver los elegidos, porque absolutamente todos los paquetes serían una regla deny IP cualquier y permiso. No habría habido activado en absoluto.
Aplicar a la interfaz. Esta vez en la entrada:
mSK-ARBAT-GW1 (CONFIG) #int FA0 / 0.104
MSK-ARBAT-GW1 (CONFIG-Subif) #IP Otro grupo de acceso eN.

Es decir, todos los paquetes IP del host con la dirección 172.16.6.61 o 172.16.6.66 pueden transmitir donde se pretendan. ¿Por qué usamos una lista de acceso extendida aquí también? Después de todo, parecería, revisamos solo la dirección del remitente. Debido a que los administradores dimos acceso completo, pero el invitado de la compañía "Lift MI AP", por ejemplo, que caerá en la misma red en absoluto a cualquier otra cosa, excepto en Internet.

e) gestión de redes

Nada difícil La regla se verá así:
mSK-ARBAT-GW1 (CONFIG) # IP Access-Lista de administración extendida
MSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # DESCARCAR IAM
MSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # PERMISO IP HOT 172.16.6.61 172.16.1.0 0.0.0.255
MSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # NOMBRE DE ADMINISTRO
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # PERMISO HANT 172.16.6.66 172.16.1.0 0.0.0.255

Esta ACL se aplica a la interfaz Fe 0 / 0.2:
mSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.2
MSK-ARBAT-GW1 (Config-Subif) #IP Gestión del grupo de acceso a la salida

g) Ya no restricciones

Listo

Máscara y máscara inversa

Hasta ahora, hemos dado un parámetro extraño del Formulario 0.0.255.255, que se asemeja a una máscara de subred.
Un poco difícil para la comprensión, pero es que la máscara de retorno se usa para determinar los hosts que caen una regla.
Para entender qué es una máscara inversa, debe saber qué es común.

Vamos a empezar con el ejemplo más simple.

Red normal en 256 direcciones: 172.16.5.0/24, por ejemplo. ¿Qué significa esta entrada?
Pero significa exactamente lo siguiente.

Dirección IP. Registro decimal 172 16 5 0
Dirección IP. Grabación binaria 10101100 00010000 00000101 00000000
11111111 11111111 11111111 00000000
255 255 255 0

La dirección IP es un parámetro de 32 bits de largo, dividido en 4 partes que se usa para ver en forma decimal.
La máscara de subred también tiene una longitud de 32 bits: es en realidad una plantilla, plantillas, según la cual se identifica la dirección de subred. Donde en la máscara puede haber unidades, el significado no puede cambiar, es decir, la Parte 172.16.5 está completamente sin cambios y será la misma para todos los hosts de esta subred, pero la que varía los ceros.
Es decir, en el ejemplo, tomamos 172.16.5.0/24: esta es la dirección de la red, y los hosts serán 172.16.5.1-172.16.5.254 (los últimos 255 se transmiten), porque 00000001 es 1 y 11111110 - 254 (Discurso sobre la última dirección OSTET). / 24 significa que la longitud de una máscara de 24 bits, es decir, tenemos 24 unidades, una parte constante y 8 ceros.
Otro caso cuando tenemos una máscara, por ejemplo, 30 bits, y no 24.
Por ejemplo, 172.16.2.4/30. Cortarlo así:

Dirección IP. Registro decimal 172 16 2 4
Dirección IP. Grabación binaria 10101100 00010000 00000010 00000100
Máscara de subred. Grabación binaria 11111111 11111111 11111111 11111100
Máscara de subred. Registro decimal 255 255 255 252

Como puede ver, solo los últimos dos bits pueden variar para esta subred. El último octeto puede tomar los siguientes 4 valores:
00000100 - Dirección de subred (4 en el sistema decimal)
00000101 - Dirección del nodo (5)
00000110 - Dirección del nodo (6)
00000111 - Transmisión (7)
Todo lo que fuera de esto es otra subred.

Es decir, ahora debe tener un poco claramente, que la máscara de subred sea la secuencia de 32 bits, donde las unidades significan la dirección de la subred primero, vaya a Zeros, lo que significa que la dirección del host. Al mismo tiempo, los ceros alternos y las unidades en una máscara no pueden alternar. Es decir, máscara 11111111.11100000.11110111.00 mil millones imposible

¿Y qué es la máscara de devolución (comodín)?
Para la mayoría abrumadora de los administradores y algunos ingenieros, no es más que la inversión de la máscara habitual. Es decir, Zeros primero establece la dirección de la parte que debe coincidirse, y las unidades por el contrario son gratuitas.
Es decir, en el primer ejemplo tomado por nosotros, si desea filtrar todos los hosts de la subred 172.16.5.0/24, luego especificará la regla en la lista de acceso:
…. 172.16.5.0 0.0.0.255
Porque la máscara de regreso se verá así:

00000000.00000000.00000000.11111111

En el segundo ejemplo con la red 172.16.2.4/30, la máscara de retorno se verá así: 30 ceros y dos unidades:

Máscara inversa. Grabación binaria 00000000 00000000 00000000 00000011
Máscara inversa. Registro decimal 0 0 0 3

En consecuencia, el parámetro en la lista de acceso se verá así:
…. 172.16.2.4 0.0.0.3
Más tarde, cuando come un perro en los cálculos de máscaras y deleas máscaras, recordará los números más utilizados, el número de hosts en una máscara en particular entenderá que en la situación descrita, el último octeto de la máscara inversa se obtiene por restando de 255 dígitos del último octeto de la máscara habitual (255-252 \u003d 3), etc. Mientras tanto, necesitas trabajar mucho y contar)

Pero, de hecho, la máscara de retorno es una herramienta ligeramente más rica, aquí puede combinar las direcciones dentro de la misma subred o incluso combinar subredes, pero la diferencia más importante, puede alternar ceros y unidades. Esto le permite, por ejemplo, para filtrar un nodo específico (o grupo) en varias subredes de una línea.

Ejemplo 1.

Dado: Red 172.16.16.0/24
Es necesario: Filtra las primeras 64 direcciones (172.16.16.0-172.16.16.63)
Decisión: 172.16.16.0 0.0.0.63

Ejemplo 2.

Dado: Red 172.16.16.0/24 y 172.16.17.0/24
Es necesario: Filtrar direcciones de ambas redes
Decisión: 172.16.16.0 0.0.1.255

Ejemplo 3.

Dado: Red 172.16.0.0-172.16.255.0.
Es necesario: Filtrar al host con una dirección 4 de todas las subredes
Decisión: 172.16.16.0 0.0.255.4

ACL trabajo en imágenes

Red hipotética:

1) En el enrutador RT1 en la interfaz FE0 / 1, todo, excepto ICMP, se le permite ingresar.

2) En el enrutador RT2 en la interfaz FE0 / 1, SSH y TELNET están prohibidos

Pruebas
clickable
1) Ping de la computadora PC11

2) Telnet de una computadora PC1 al servidor1

3) SSH de la computadora PC1 en el servidor2

4) Ping desde Server2 en PC1

Suplementos

1) Las reglas que actúan sobre el tráfico saliente (OUT) no filtrarán el tráfico del propio dispositivo. Es decir, si necesita prohibir el empate al acceso en algún lugar, entonces tendrá que filtrar el tráfico entrante en esta interfaz (responda desde allí, donde sea necesario prohibir el acceso).

2) C ACL debe tener cuidado. Con un pequeño error en la regla, la configuración de pedido incorrectamente o en la lista generalmente deficiente, puede permanecer sin acceso al dispositivo.
Por ejemplo, desea cerrar acceso a cualquier lugar para la red 172.16.6.0/24, excepto su dirección 172.16.6.61 y preguntó las reglas como esta:

deny IP 172.16.6.0 0.0.0.255 cualquier
Permiso IP Host 172.16.6.61

Tan pronto como solicite ACL en la interfaz, perderá inmediatamente el acceso al enrutador, ya que se obtiene debajo de la primera regla y el segundo ni siquiera está marcado.
La segunda situación desagradable que le puede suceder: el tráfico caerá bajo la ACL, lo que no debería haber golpeado.
Imagine una situación de este tipo: tenemos un servidor FTP en modo pasivo en el servidor. Para acceder a ella, abrió el puerto 21 en ACL. Servidores de salida.. Después del establecimiento inicial de la conexión, el servidor FTP informa del cliente del puerto en el que está listo para transmitir / recibir archivos, por ejemplo, 1523. El cliente está tratando de instalar una conexión TCP a este puerto, pero los tontones en los servidores de ACL, donde no existe tal resolución: el cuento de hadas sobre un final de transferencia exitoso. En nuestro ejemplo anterior, donde configuramos el acceso al servidor de archivos, abrimos el acceso solo a 20 y 21s, porque, por ejemplo, es suficiente. En la vida real tendrá que jugar. Algunos ejemplos de configuración de ACL para casos comunes.

3) Desde el segundo punto, sigue un problema muy similar e interesante.
Diferente con usted, por ejemplo, colgar la interfaz en Internet, tales ACLS:

permiso de lista de acceso TCP Host 1.1.1.1 Host 2.2.2.2 EQ 80
Lista de acceso en el permiso TCP Host 2.2.2.2 Cualquier EQ 80

Parecería: el host con la dirección 1.1.1.1 se le permite el acceso al 80º puerto al servidor 2.2.2.2 (Primera regla). Y de vuelta del servidor 2.2.2.2 compuestos en el interior.
Pero el matiz aquí es que la computadora 1.1.1.1 establece una conexión con el puerto 80, pero de alguna otra, por ejemplo, 1054, es decir, el paquete de respuesta del servidor llega a Socket 1.1.1.1:1054, no cae en Una regla de ACL encendida y descartada debido a la IP implícita de la IP.
Para evitar tal situación, y no abra los puertos a toda la viga, puede recurrir a tales trucos en ACL por en:
permitir el host TCP 2.2.2.2 Cualquiera establecido.

Detalles de tal solución en uno de los siguientes artículos.

4) Hablando de mundo modernoNo puede obtener una herramienta de este tipo como grupos de objetos (grupo de objetos).

Supongamos que es necesario crear una ACL, lo que emite tres direcciones específicas en Internet en tres puertos idénticos con la posibilidad de ampliar el número de direcciones y puertos. Cómo se ve sin saber grupos de objetos:

lista de acceso IP extendida a Internet
Permitir el host TCP 172.16.6.66 Cualquier EQ 80
Permitir el host TCP 172.16.6.66 Cualquier EQ 8080
Permitir el host TCP 172.16.6.66 Cualquier EQ 443

Permitir el host TCP 172.16.6.67 Cualquier EQ 80
Permitir el host TCP 172.16.6.67 Cualquier EQ 8080
Permitir el host TCP 172.16.6.67 Cualquier EQ 443

Permitir el host TCP 172.16.6.68 Cualquier EQ 80
Permitir el host TCP 172.16.6.68 Cualquier EQ 8080
Permitir el host TCP 172.16.6.68 Cualquier EQ 443


Con un aumento en el número de parámetros, acompañe a dicha ACL es cada vez más difícil y más difícil de cometer un error al configurar.
Pero si se pone en contacto con los grupos de objetos, adquiere el siguiente formulario:
servicio de grupo de objetos Innet-Ports
Descripción Puertos permitidos para algunos anfitriones
TCP EQ www.
TCP EQ 8080.
TCP EQ 443.

Red de grupos de objetos Hosts-to-inet
Descripción Se permite navegar por la red.
Host 172.16.6.66
Host 172.16.6.67
Host 172.16.6.68

Lista de acceso IP Extended Innet-Out
PERMISO DE OBJETOS DE OBJETIVOS INET-PORTS OBJETIVOS DEL GRUPO HOSTS-TO-INET CUALQUIER


A primera vista, se ve algo amenazante, pero si lo descubras, es muy conveniente.

4) La información muy útil para la información de TrableCHUTING se puede obtener de la salida del comando mostrar listas de acceso IP% Nombre ACL%. Además de la lista real de las reglas de la ACL especificada, este comando muestra el número de coincidencias para cada regla.

mSK-ARBAT-GW1 # SH IP ACCESS-LISTAS NAT-INET
Lista de acceso IP extendido NAT-INET





(4 partidos))



Y agregando al final de cualquier regla tronco., Podremos recibir mensajes sobre cada coincidencia en la consola. (Este último no funciona en PT)

Nat.

Traducción de la dirección de la red: el mecanismo de la agricultura es absolutamente necesario desde 1994. Muchas sesiones al respecto están rotas y se pierden los paquetes.
A menudo es necesario conectar su red local a Internet. El hecho es que teóricamente hay 255 * 255 * 255 * 255 \u003d 4 228 250 625. 4 mil millones de direcciones. Incluso si cada residente del planeta tenía una sola computadora, las direcciones no tendrían suficiente. Y luego, excepto que los hierros a Internet no están conectados. Las personas inteligentes se dieron cuenta de esto a principios de los años 90 y, como se propuso una decisión temporal para dividir el espacio de las direcciones al público (blanco) y privado (privado, gris).
Este último incluye tres rangos:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Puede usarlos libremente en su red privada, y por lo tanto, por supuesto, se repetirán. ¿Cómo estar con singularidad? ¿Quién contestará al servidor web a la que provino la solicitud de la dirección de retorno 192.168.1.1? Rostelecom? ¿Empresas de Tatneft? ¿O tu compañero de cuarto largo? En una gran Internet, nadie sabe nada sobre las redes privadas, no están enrutando.
Aquí y va a la escena nat. Por y grande, este es un engaño, un soporte. En el dispositivo de aplicación, su dirección privada, aproximadamente hablando, simplemente reemplaza la dirección blanca, que aparecerá más en el paquete mientras viaja al servidor web. Pero las direcciones blancas son muy bien enrutadas, y el paquete definitivamente regresará al dispositivo de balanceo.
Pero, ¿cómo, a su vez, entenderá qué hacer con él a continuación? Aquí y lidiar con eso.

TIPOS NAT.

Estático

En este caso, una dirección interna se convierte a uno externo. Y al mismo tiempo, todas las solicitudes que llegan a la dirección externa se transmitirán en lo interno. Como si este huésped y el propietario de esta dirección IP blanca.

Configurado por el siguiente comando:

Enrutador (Configuración) # IP NAT INTERIOR FUENTE ESTÁTICA 172.16.6.5 198.51.100.2

Lo que está sucediendo:
1) El nodo 172.16.6.5 aborda el servidor web. Él envía un paquete IP donde 192.0.2.2 y el remitente 172.16.6.5.

2) Por red corporativa, el paquete se entrega a la puerta de enlace 172.16.6.1, donde se configura la NAT

3) Según el comando configurado, el enrutador elimina el encabezado IP actual y lo cambia a uno nuevo, donde la dirección blanca 198.51.100.2 ya aparece como la dirección del remitente.


4) En el Internet Bolshoi, el paquete actualizado llega al servidor 192.0.2.2.

5) Él ve que la respuesta debe enviarse para 198.51.100.2 y prepara el paquete de respuesta IP. Como dirección de un remitente, la dirección del servidor 192.0.2.2, la dirección de destino - 198.51.100.2


6) El paquete está volando a través de Internet, y no el hecho de que de la misma manera.

7) En el dispositivo indicador, se indica que todas las solicitudes a la dirección 198.51.100.2 deben ser redirigidas por 172.16.6.5. El enrutador nuevamente se tira oculto dentro del segmento TCP y establece un nuevo título IP (la dirección del remitente no cambia, la dirección del destino 172.16.6.5).


8) En la red interna, el paquete se devuelve al iniciador, que incluso no es bueno, lo que los milagros han estado ocurriendo en la frontera.
Y así será con cada uno.
En este caso, si la conexión se inicia desde Internet, los paquetes que pasan automáticamente a través del dispositivo indicador caen en el host interno.

Dicho enfoque es útil cuando tiene un servidor dentro de su red a la que se necesita acceso completo. Por supuesto, no puede usar esta opción si desea que doscientos hosts se liberen en línea a través de una dirección. Esta opción NAT no ayudará a guardar las direcciones IP blancas, pero sin embargo, es útil.

Dinámica

Tienes un grupo de direcciones blancas, por ejemplo, el proveedor le asignó una red de 198.51.100.0/28 con 16 direcciones. Dos de ellos (primero y último): la dirección de la red y la transmisión, se asignan dos direcciones más al equipo para proporcionar enrutamiento. 12 Las direcciones restantes que puede usar para NAT y producirlas a través de ellos sus usuarios.
La situación es similar a un NAT estático: una dirección privada se transmite a uno externo, pero ahora el externo no está claramente fijo, pero se elegirá dinámicamente del rango especificado.
Está configurado de modo que:
Router (Config) #ip Nat Pool lol_pool 198.51.100.3 198.51.103.14

Piscina especificada (rango) de direcciones públicas, desde las cuales se seleccionará la dirección para
Router (Config) # Access-List Permit 100 Permit ip 172.16.6.0 0.0.0.255 cualquier

Especificamos la lista de acceso que salta todos los paquetes con la dirección de origen 172.16.6.x, donde h.varios 0-255.
Enrutador (config) #IP NAT INTERIOR Lista de origen 100 Piscina LOL_POOL

Con este comando matamos a la ACL y la piscina creados.

Esta opción tampoco es universal, también puede no poder lanzar a nuestros 300 usuarios si no tiene 300 direcciones externas. Tan pronto como las direcciones blancas se agoten, nadie más puede acceder a Internet. Al mismo tiempo, aquellos usuarios que ya tienen tiempo para agarrar su dirección externa funcionarán. Reduzca todas las transmisiones actuales y suelte la dirección externa lo ayudará traducción Clear IP NAT *
Además de la asignación dinámica de direcciones externas, esta nata dinámica difiere de la estática en que sin una configuración de reenvío por puerto separado, ya no es posible una conexión externa a una de las direcciones de la piscina.

De muchos a uno

El siguiente tipo tiene varios nombres: sobrecarga de NAT, traducción de direcciones de puerto (PAT), IP Masquerading, muchos a uno nat.
El último nombre habla por sí mismo, a través de una dirección externa, va al mundo mucho privado. Esto le permite resolver el problema con la falta de direcciones externas y liberar a todos aquellos que deseen al mundo.
Sería necesario dar una explicación a medida que funciona. Cómo se pueden representar dos direcciones privadas a uno, pero como el enrutador entiende quién necesita enviar un paquete que regresó de Internet a esta dirección?
Todo es muy simple:
Supongamos que de dos hosts de la red interna vienen los paquetes en un dispositivo de llenado. Ambos con una solicitud al servidor web 192.0.2.2.
Los datos de los hosts se ven así:

El enrutador descubre el paquete IP del primer host, extrae un segmento TCP de él, lo imprime y descubre que la conexión se instala desde qué puerto. Él tiene una dirección externa 198.51.100.2, a la que cambiará la dirección de la red interna.
A continuación, elige un puerto libre, por ejemplo, 11874. ¿Y qué hace él a continuación? Todos los datos de nivel de aplicación se envasan en un nuevo segmento TCP, donde 80 permanece como el puerto de destino (está esperando las conexiones del servidor web), y el puerto del remitente está cambiando de 23761 a 11874. Este segmento TCP está encapsulado en una nueva IP Un paquete de la dirección IP del remitente desde 172.16.6.5 en 198.51.100.2.
Lo mismo ocurre para el paquete desde el segundo host, solo se selecciona el siguiente puerto gratuito, por ejemplo, 11875. "Gratis" significa que aún no está comprometido en otros compuestos.
Los datos que se envían a Internet ahora se verán así.

En su mesa nat, trae datos de remitentes y destinatarios.

Para un servidor web, estas son dos solicitudes completamente diferentes que debe procesar cada una individualmente. Después de eso, se refiere a la respuesta, que se parece a esto:

Cuando uno de estos paquetes llega a nuestro enrutador, coincide con los datos en este paquete con sus registros en la tabla NAT. Si se encuentra la coincidencia, hay un procedimiento inverso: el paquete y el segmento TCP devuelve sus parámetros iniciales solo como un destino:

Y ahora los paquetes se entregan a lo largo de la red interna de los iniciadores informáticos, que incluso los impuros incluso, que en algún lugar con sus datos son tan difíciles en la frontera.

Cada su apelación es una conexión separada. Es decir, intentó abrir la página web: este es un protocolo HTTP que utiliza Puerto 80. Para hacer esto, su computadora debe instalar una sesión de TCP con un servidor remoto. Dicha sesión (TCP o UDP) está determinada por dos tomas: Dirección IP local: puerto local y dirección IP remota: Puerto remoto. En la situación habitual, se instala una conexión de la computadora-servidor, en el caso de la conexión de la NATA será como dos:, el servidor de enrutadores y la computadora piensa que tiene una sesión de servidor de computadora.

El ajuste es bastante insignificante: una sobrecarga de la palabra de extensión:

Enrutador (config) # Access-List 101 Permit 172.16.4.0 0.0.0.255
Enrutador (config) #IP NAT INTERIOR Lista de origen 101 Interfaz FA0 / 1 sobrecarga

Al mismo tiempo, por supuesto, se guarda configurar el grupo de direcciones:
Router (Config) #ip Nat Pool lol_pool 198.51.100.2 198.51.103.14
Router (Config) # Access-List 100 Permit 172.16.6.0 0.0.0.255
Enrutador (config) #IP NAT INTERIOR Lista de origen 100 Piscina LOL_POOL sobrecarga

Puertos de carga

De lo contrario, también dicen los puertos de puertos o mapeo.
Cuando acabamos de empezar a hablar de NAT, la transmisión que tuvimos una en uno y todas las solicitudes procedentes del exterior se redirigen automáticamente al host interno. Por lo tanto, sería posible poner el servidor fuera de Internet.
Pero si no tiene tal oportunidad, se limita a las direcciones blancas, o no quiere exponerlo a todos los puertos a los puertos, qué hacer?
Puede especificar que todas las solicitudes que lleguen a una dirección blanca específica y un puerto específico del enrutador deben ser redirigidos a puerto requerido La dirección doméstica deseada.
Router (Config) #IP NAT INTERIOR FUENTE ESTÁTICO TCP 172.16.0.2 80 198.51.100.2 80 PROPENDIBLE

La aplicación de este comando significa que la solicitud de TCP proveniente de Internet a la dirección 198.51.100.2 por Puerto 80 será redirigida a la dirección interna 172.16.0.2 en el mismo 80º puerto. Por supuesto, puede moverse y UDP y hacer redirigir de un puerto a otro. Esto, por ejemplo, puede ser útil si tiene dos computadoras a las que necesita acceso a través de RDP desde el exterior. RDP utiliza el puerto 3389. El mismo puerto que no puede despertar en diferentes hosts (cuando se usa una dirección externa). Por eso puedes hacer esto:
Enrutador (CONFIG) # IP NAT INTERIOR FUENTE ESTÁTICO TCP 172.16.6.61 3389 198.51.100.2 3389
Enrutador (CONFIG) # IP NAT INTERIOR FUENTE ESTÁTICO TCP 172.16.6.66 3389 198.5100.2 3398

Luego, para llegar a la computadora 172.16.6.61, lanza la sesión de RDP a Puerto 198.51.100.2:3389, y al 172.16.6.66 - 198.51.100.2:3398. El enrutador mismo extiende todo lo que es necesario.

Por cierto, este equipo es un caso especial de la primera: IP NAT dentro de la fuente estática 172.16.6.66 198.51.100.2. Solo en este caso estamos hablando de la transacción de todo el tráfico, y en nuestros ejemplos, los puertos específicos del protocolo TCP.

Así es como Nat Funciquet. Sobre sus características, las ventajas / contras dicen un montón de artículos, pero sin mencionarlos.

Debilidad y salado nat

+

- En primer lugar NAT guarda direcciones IP públicas. En realidad para esto, fue creado. Después de una dirección, teóricamente, puede liberar más de 65,000 direcciones grises (por número de puertos).
- En segundo lugar, Pat y Dynamic NAT se encuentra en cierta medida, un firewall, lo que evita que las conexiones externas lleguen a las computadoras finales, que pueden no ser su firewall y antivirus. El hecho es que si el paquete proviene del exterior, que no se espera aquí o no está permitido, simplemente se desecha.
Para que el paquete se haya perdido y procesado, se deben seguir las siguientes condiciones:
1) La tabla NAT debe registrarse para esta dirección externa especificada como la dirección del remitente en el paquete
Y
2) El puerto del remitente en el paquete debe coincidir con el puerto para esta dirección blanca en el registro
Y
3) El puerto de destino en el paquete, coincide con el puerto en el registro.
O
Puertos configurados de puertos.
Pero usted no necesita considerar NAT ya que un firewall no es más que un bollo adicional.

- En tercer lugar, NAT se esconde de los ojos incitar estructura interna Su red: al rastrear la ruta desde el exterior, no verá nada más del dispositivo de relleno.

-

Nat tiene y contras. Los más tangibles de ellos, quizás los siguientes:
- Algunos protocolos no pueden trabajar a través de NAT sin muletas. Por ejemplo, los protocolos FTP o TUNNELING (a pesar de cómo simplemente configuré el FTP en el laboratorio, en la vida real, puede crear un montón de problemas)
- Otro problema se encuentra en una dirección, hay muchas solicitudes de un servidor. Muchos fueron testigos de esto cuando vayas a un poco de Rapidshare, y él dice que con tu IP ya ha tenido una conexión, crees que "Mentir, perro", y este es tu vecino ya chupa. Por la misma razón, hubo problemas con la ICQ cuando los servidores se negaron a registrarse.
- No muy relevante. Ahora el problema: la carga en el procesador y rAM. Dado que la cantidad de trabajo es bastante grande en comparación con el enrutamiento simple (esto no debe simplemente mirar el encabezado IP, debe eliminarlo, tomar el encabezado TCP, para ponerlo en la tabla, sujetar nuevos encabezados) en pequeñas oficinas hay Problemas con esto.
Me encontré con tal situación.
Uno de soluciones posibles - Suelte la función NAT a una PC separada o un dispositivo especializado, como Cisco ASA.
Para los jugadores grandes que tienen enrutadores encienden 3-4 BGP Full-View, ahora no son problemas.

¿Qué más necesitas saber?
- NAT se utiliza principalmente para proporcionar acceso a los hosts de Internet con direcciones privadas. Pero también hay una aplicación diferente: la relación entre dos redes privadas con espacios de dirección de intersección.
Por ejemplo, su empresa compra una sucursal en Aktyubinsk. Tiene un dirección 10.0.0.0-10.1.255.255, y tienen 10.1.1.0-10.1.10.255. Los rangos están claramente intersectados, el enrutamiento no se puede configurar, porque la misma dirección puede estar en Aktyubinsk y usted tiene en la sede.
En este caso, NAT está configurado en el lugar de la articulación. Dado que no medimos las direcciones grises, es posible resaltar, por ejemplo, el rango 10.2.1.0-10.2.10.255 y para realizar una transmisión única:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2

10.1.10.255-10.2.10.255

En grandes juguetes para adultos, NAT se puede implementar en una tabla separada (y, a menudo, es) y no funciona sin él. Y en las glándulas de la oficina, por el contrario, casi siempre.

Con la introducción generalizada de IPv6, la necesidad de que Nate irá a NO. Ya, los grandes clientes comienzan a interesarse en la funcionalidad NAT64, esto es cuando tiene una manera en el mundo a través de IPv4, y la red interna ya está en IPv6

Por supuesto, esto es solo una mirada superficial en NAT y todavía hay un mar de matices, que no se ahogue en qué auto-educación lo ayudará.

Practica NAT.

¿Qué requiere la realidad de nosotros?
1) La red de control no tiene acceso a Internet en absoluto
2) Los hosts de la red de PTO tienen acceso a solo sitios de perfil, por ejemplo, linkmeup.ru
3) Las mujeres bonitas de la contabilidad deben reducirse a la ventana al mundo de los bancos de clientes.
4) FEO no se libere en ningún lugar, con la excepción del director financiero.
5) En la otra red, nuestra computadora y el administrador del administrador, les darán acceso completo a Internet. Todos los demás se pueden abrir en una solicitud por escrito.
6) No se olvide de las ramas en San Petersburgo y en Kemerovo. Para la simplicidad, estableceremos acceso completo a Enaers de estas subredes.
7) Servidores de canciones únicas. Para ellos, configuraremos la redirección de puertos. Todo lo que necesitamos:
a) El servidor web debe estar disponible en el puerto 80
b) Servidor de correo para los 25 y 110
c) El servidor de archivos está disponible en el mundo en FTP.
8) Las computadoras de administración y nuestra deben estar disponibles en Internet por RDP. En realidad, esta es la forma equivocada, por conección remota Debe usar una conexión VPN y ya está en la red local para usar RDP, pero este es el tema de un artículo diferente diferente.

Primero prepare el área de prueba:

La conexión a Internet se organizará a través del enlace existente, que proporciona al proveedor.
Él va a la red del proveedor. Le recordamos que todo en esta nube es una red abstracta que realmente puede consistir en docenas de enrutadores y cientos de interruptores. Pero necesitamos algo administrado y predecible, así que obtendremos el enrutador aquí. Por un lado, es un enlace del conmutador, en el otro servidor en Internet.

Servidores necesitamos lo siguiente:
1. Dos bancos de clientes para contadores (Sperbank.RU, mmm-bank.ru)
2. linkmeup.ru para Petshnikov
3. yandex (yandex.ru)

Para tal conexión, elevaremos otra VLAN en MSK-ARBAT-GW1. Su número, por supuesto, es consistente con el proveedor. Deja que sea vlan 6
Supongamos que el proveedor nos proporciona sUBNET 198.51.100.0/28.. Las dos primeras direcciones se utilizan para organizar un enlace (198.51.100.1 y 198.51.100.2), y lo restantes que usamos, como piscina para Nat'a. Sin embargo, nadie nos impide completamente usar la dirección 198.51.100.2 para la piscina. Y hazlo: piscina: 198.51.100.2-198.51.100.14
Para simplificar, supongamos que los servidores públicos están ubicados en la misma subred:
192.0.2.0/24 .
Cómo configurar un enlace y direcciones que ya está al día.
Dado que solo tenemos un enrutador en la red del proveedor, y todas las redes están conectadas directamente a ella, entonces no es necesario ajustar el enrutamiento.
Pero nuestro MSK-ARBAT-GW1 debe saber dónde enviar paquetes en Internet, por lo que necesitamos la ruta predeterminada:

mSK-ARBAT-GW1 (config) # IP Route 0.0.0.0 0.0.0.0 198.51.100.1

Ahora en orden

Primero configuramos el grupo de direcciones.

mSK-ARBAT-GW1 (CONFIG) # IP NAT Pool Main_Pool 198.51.100.2 198.51.100.14 Netmask 255.255.255.240

Ahora recoge ACL:
mSK-ARBAT-GW1 (CONFIG) # IP Access-Lista extendida NAT-INET

1) Red de control

No tiene acceso a Internet en absoluto.
Listo

2) anfitriones de la red de PTO

Tener acceso solo a sitios de perfil, por ejemplo, linkmeup.ru
mSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # PERMISO TCP 172.16.3.0 0.0.0.255 Host 192.0.2.2 EQ 80

3) contabilidad

Damos acceso a todos los anfitriones en ambos servidores.
mSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # PERMISO IP 172.16.5.0 0.0.0.255 Host 192.0.2.3
MSK-ARBAT-GW1 (Config-ext-NaCl) # permiso IP 172.16.5.0 0.0.0.255 Host 192.0.2.4

4) feo

Damos permiso solo al director financiero es solo un anfitrión.
mSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # PERMISO IP HOT 172.16.4.123

5) Otro

Nuestras computadoras con acceso completo.
mSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # PERMISO HANT 172.16.6.61
MSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # PERMISO HANT 172.16.6.66

6) Ramas en San Petersburgo y Kemerovo

Deja que las direcciones de Eicin sean las mismas: 172.16.x.222
mSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # PERMISO IP HOT 172.16.16.222
MSK-ARBAT-GW1 (CONFIG-EXT-NACIL) # PERMISO IP HANT 172.16.17.222 Cualquiera
MSK-ARBAT-GW1 (Config EXT-NACIL) # PERMISO IP HOT 172.16.24.222

Así es como se ve ACL ahora:
lista de acceso IP Ampliada NAT-INET
Observar PTO.
Permitir TCP 172.16.3.0 0.0.0.255 Host 192.0.2.2 EQ www
Observación de la observación.
Permiso IP 172.16.5.0 0.0.0.255 Host 192.0.2.3
Permiso IP 172.16.5.0 0.0.0.255 Host 192.0.2.4
Comentario feo.
Permiso IP Host 172.16.4.123
Comentario iam
Permiso IP Host 172.16.6.61
Comentario admin.
Permiso IP Host 172.16.6.66
Comentario spb_vsl_island.
Permiso IP Host 172.16.16.222
Comentario spb_ozerki.
Permiso IP Host 172.16.17.222 Cualquiera
Comentarios del kmr.
Permiso IP Host 172.16.24.222

Correr:

mSK-ARBAT-GW1 (CONFIG) # IP NAT INTERIOR Lista de origen NAT-INET Piscina Main_pool Sobrecarga

Pero la felicidad no estará llena sin configurar las interfaces:
En la interfaz externa necesitas dar un comando. ip nat afuera
En el interno: iP NAT ENTRE
mSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.101
MSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.102
MSK-ARBAT-GW1 (Config-Subif) # IP NAT interior
MSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.103
MSK-ARBAT-GW1 (Config-Subif) # IP NAT interior
MSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.104
MSK-ARBAT-GW1 (Config-Subif) # IP NAT interior

MSK-ARBAT-GW1 (CONFIG) # INT FA0 / 1.6
MSK-ARBAT-GW1 (Config-Subif) # IP NAT Outside

Esto permitirá al enrutador entender dónde esperar los paquetes que se procesen y dónde enviarlos.

A los servidores en internet están disponibles por nombre de dominioNo obtendríamos mal un servidor DNS en nuestra red:


Naturalmente, debe prescribirse en aquellos dispositivos de los que verificaremos el acceso:

¡El show debe continuar!

Todo está disponible en la computadora de administración:

Desde la red de PTO, solo se accede al sitio LinkMeUP.RU al puerto 80 (HTTP):



En la red de FEO, solo 4.123 (Phonde-Director) llega al mundo



Solo los sitios de banca de clientes funcionan en contabilidad. Pero, dado que la resolución se da completamente al protocolo IP, puede hacer un ping:


7) servidores

Aquí necesitamos configurar los puertos de los puertos para que pueda contactarlos desde Internet:

a) servidor web

mSK-ARBAT-GW1 (CONFIG) # IP NAT INTERIOR FUENTE ESTÁTICO TCP 172.16.0.2 80 198.51.100.2 80

Revise de inmediato, por ejemplo, podemos hacerlo desde una PC de prueba con Ares 192.0.2.7.
Ahora nada funcionará, porque para los servidores de red no tenemos una interfaz configurada en MSK-ARBAT-GW1:
mSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.3
MSK-ARBAT-GW1 (Config-Subif) # IP NAT interior

Y ahora:

b) servidor de archivos

mSK-ARBAT-GW1 (CONFIG) # IP NAT INTERIOR FUENTE ESTÁTICO TCP 172.16.0.3 20 198.51.100.3 20
MSK-ARBAT-GW1 (CONFIG) # IP NAT INTERIOR FUENTE ESTÁTICO TCP 172.16.0.3 21 198.51.100.3 21

Aquí para esto en los servidores ACL, también abrimos los puertos 20-21 para todos

c) servidor de correo

mSK-ARBAT-GW1 (CONFIG) # IP NAT INTERIOR FUENTE ESTÁTICO TCP 172.16.0.4 25 198.51.100.4 25 25
MSK-ARBAT-GW1 (CONFIG) # IP NAT INTERIOR FUENTE ESTÁTICO TCP 172.16.0.4 110 198.51.100.4 110

El cheque tampoco es difícil. Sigue las instrucciones:
Primera configuración servidor de correo. Especificamos el dominio y creamos dos usuarios.

Configure una computadora de nuestra red:

De externos:

Preparando una letra:

En el host local, haga clic en Recibir:

8) RDP Acceso a las computadoras de administración y nuestra

MSK-ARBAT-GW1 (CONFIG) # IP NAT INTERIOR FUENTE ESTÁTICA TCP 172.16.6.61 3389 198.51.100.10 3389
MSK-ARBAT-GW1 (CONFIG) # IP NAT INTERIOR DE FUENTE ESTÁTICO TCP 172.16.666 3389 198.51.100.10 3398

Seguridad

Para el último comentario. Lo más probable es que el dispositivo de relleno, mira su interfaz exterior de IP NAT exterior, en Internet. Por lo tanto, esta interfaz no obstaculizaría la ACL, donde lo prohíba, le permite lo que necesita. En este número, no nos detendremos ya en este artículo.

En esto, el primer conocimiento de la tecnología NAT se puede considerar completados.
Como otra DZ, responda la pregunta por qué no hay acceso a Internet de las computadoras de Enaev en San Petersburgo y en Kemerovo. Después de todo, los agregamos ya a la lista de acceso.

Las direcciones IP son un recurso escaso. El proveedor puede tener / 16-dirección (ex Clase B), que le brinda la posibilidad de conectar 65,534 hosts. Si los clientes se están volviendo más, los problemas comienzan a surgir. Hosts que se conectan a Internet de vez en cuando a lo largo de la línea telefónica habitual, puede resaltar las direcciones IP dinámicamente solo para el tiempo de conexión. Luego, una dirección de una / 16 servirá de hasta 65,534 usuarios activos, y esto puede ser suficiente para un proveedor que tiene varios cientos de miles de clientes. Cuando se completa la sesión de comunicación, la dirección IP se asigna a un nuevo compuesto. Dicha estrategia puede resolver los problemas de los proveedores que tienen un número no muy grande de clientes privados que se conectan en la línea telefónica, pero no ayudarán a los proveedores, la mayoría de cuya clientela es de las organizaciones.

El hecho es que los clientes corporativos prefieren tener una conexión permanente con Internet, al menos durante el día laborable. Y en pequeñas oficinas, como las agencias turísticas, que consta de tres empleados, y en grandes corporaciones hay redes locales que consisten en un cierto número de computadoras. Algunas computadoras son estaciones de trabajo de los empleados, algunos servidores web. En el caso general, hay un enrutador LAN conectado a un proveedor de línea dedicado para proporcionar una conexión permanente. Dicha solución significa que una dirección IP está asociada con cada computadora. De hecho, incluso todas las computadoras combinadas combinadas que tienen clientes corporativos no pueden bloquear el proveedor de direcciones IP. Durante la longitud / 16, este límite es igual a, como ya hemos señalado, 65 534. Sin embargo, si el proveedor de proveedores de servicios de Internet, el número de clientes corporativos se calcula decenas de miles, se logrará este límite muy rápidamente.

El problema se ve agravado por el hecho de que todos más Los usuarios privados quieren tener una conexión ADSL o por cable con Internet. Las características de estos métodos son las siguientes:

a) los usuarios obtienen una dirección IP permanente;

b) No hay un pago atemporal (solo se cobra la tarifa de suscripción mensual).

Los usuarios de este tipo de servicio tienen una conexión permanente a Internet. El desarrollo en esta dirección conduce a un aumento en el déficit de direcciones IP. Asignar direcciones IP "en la marcha", como se hace cuando conexión telefónica, es inútil, porque el número de direcciones activas en cada momento puede ser muchas veces más que el proveedor.

A menudo, la situación es aún más complicada debido al hecho de que muchos usuarios de ADSL y internet por cable Haga que las casas hay dos o más computadoras (por ejemplo, una para cada miembro de la familia) y desean que todos los automóviles tengan acceso a Internet. Qué hacer, después de todo, ¡solo hay una dirección IP emitida por el proveedor! Esta solución: debe instalar el enrutador y combinar todas las computadoras en la red local. Desde el punto de vista del proveedor, en este caso, la familia actuará como un análogo de una pequeña empresa con varias computadoras. ¡Bienvenido a Pupkin Corporation!

El problema del déficit de direcciones IP no es teórico y no se aplica al futuro remoto. Ella ya es relevante, y se trata de pelear aquí y ahora. El proyecto a largo plazo implica la traducción total de toda la Internet al protocolo IPv6 con un direccionamiento de 128 bits. Esta transición está sucediendo gradualmente, pero el proceso es tan lento, lo que se retrasa durante años. Al ver esto, muchos se dieron cuenta de que es urgente encontrar alguna decisión al menos por un futuro próximo. Dicha solución se encontró en la forma de un método de transmisión de direcciones de red, NAT (traducción de direcciones de red)Descrito en RFC 3022. La esencia de ella veremos más tarde, y se puede encontrar información más detallada en (Butcher, 2001).

La idea principal de la transmisión de la dirección de la red es asignar a cada compañía de una dirección IP (o al menos un pequeño número de direcciones) para el tráfico de Internet. Dentro de la empresa, cada computadora recibe una dirección IP única utilizada para enrutar el tráfico interno. Sin embargo, tan pronto como el paquete deja los límites del edificio de la compañía y se envía al proveedor, la dirección se está transmitiendo. Para la implementación de este esquema, se crearon tres rangos de las llamadas direcciones IP privadas. Se pueden utilizar dentro de la empresa a su discreción. La única restricción es que los paquetes con tales direcciones en ningún caso deben aparecer en Internet. Estos son estos tres rango reservado:

10.0.0.0 - 10.255.255.255/8 (16,777,126 hosts)

172.16.0.0 - 172.31.255.255/12 (1,048,576 hosts)

192.168.0.0 -192.168.255.255 / 16 (65,536 hosts)

El trabajo del método de transmisión de direcciones de red se muestra en el esquema prolongado. Dentro del territorio de la empresa, cada máquina tiene su propia dirección única del Formulario 10.X.Y.Z. Sin embargo, cuando el paquete va más allá de la propiedad de la compañía, pasa a través del bloque NAT que traduce la dirección IP interna de la fuente (10.0.0.1 en la Figura) a la dirección IP real obtenida por la Compañía del proveedor (198.60.42.12 por nuestro ejemplo). El bloque NAT suele ser un solo dispositivo Con un firewall que brinda seguridad al rastrear estrictamente la compañía entrante y sensible a la sensibilidad. El bloque NAT se puede integrar con el enrutador de la empresa.

Seguimos gestionamos un pequeño detalle: cuando se trata de una solicitud (por ejemplo, desde un servidor web), se dirige a 198.60.42.12. ¿Cómo descubre el bloque NAT qué dirección doméstica es reemplazar la dirección general de la compañía? Este es el principal problema de usar la transmisión de direcciones de red. Si el encabezado del paquete IP fue un campo libre, podría usarse para memorizar la dirección de la que envió una solicitud. Pero en el título permanece sin usar un solo lote. En principio, sería posible crear un campo de este tipo para la verdadera dirección de la fuente, pero requeriría cambios en el código IP en todas las máquinas a lo largo de Internet. Esta no es la mejor salida, especialmente si queremos encontrar una solución rápida al problema de la falta de direcciones IP.

En realidad sucedió eso es lo que. Los desarrolladores de NAT señalaron que la mayor parte de la carga útil de los paquetes IP es TCP o UDP. Ambos formatos tienen titulares que contienen puertos de origen y receptor. Los números de puerto son enteros de 16 bits que muestran dónde finaliza la conexión TCP y dónde termina. La ubicación de almacenamiento de los números de puerto se utiliza como un campo necesario para trabajar NAT.

Cuando el proceso quiera instalar una conexión TCP con un proceso remoto, se une a un puerto TCP gratuito en su propia computadora. Este puerto se convierte en un puerto de origen que le informa a la información del código TCP sobre dónde dirigir los paquetes de esta conexión. El proceso también define el puerto de destino. A través del puerto de destino, se informa a quién dar el paquete en el lado remoto. Puertos de 0 a 1023 reservados para servicios bien conocidos. Por ejemplo, el puerto 80 es utilizado por servidores web, respectivamente, pueden navegar clientes remotos. Cada mensaje TCP saliente contiene información sobre el puerto de origen y el puerto del destino. Juntos sirven para identificar procesos en ambos extremos utilizando un compuesto.

Dibujaremos una analogía que aclarará un poco el principio de usar puertos. Supongamos que la empresa tiene una común. número de teléfono. Cuando la gente lo está ganando, escuchan la voz del operador, quien pregunta a quién le gustaría conectarse exactamente y conectarlos al número de teléfono de correo electrónico correspondiente. El número de teléfono principal es una analogía de la dirección IP de la compañía, y la adición en ambos extremos es similar a los puertos. Para abordar los puertos, se utiliza un campo de 16 bits, que identifica el proceso que recibe el paquete entrante.

Usando el campo Puerto de origen, podemos resolver el problema de mapeo de direcciones. Cuando el paquete saliente llega al bloque NAT, la dirección de origen de la fuente del formulario es 192.168.C.C.D se reemplaza por esta dirección IP. Además, el puerto de origen TCP se reemplaza por el índice de la Tabla de traducción del bloque NAT que contiene 65,536 entradas. Cada entrada contiene la dirección IP original y el número de puerto de origen. Finalmente, las sumas de suma de comprobación de los encabezados TCP y IP se recalculan e insertan en el paquete. Es necesario reemplazar el campo Puerto de origen, ya que las máquinas con direcciones locales 10.0.0.1 y 10.0.0.2 pueden desear accidentalmente usar el mismo puerto (5000 minutos, por ejemplo). Entonces, para la identificación inequívoca del proceso del remitente de un campo, el puerto de la fuente no es suficiente.

Cuando el paquete llega al bloque NAT del proveedor, se recupera el valor de campo de la fuente de encabezado TCP. Se utiliza como el índice de la tabla de visualización del bloque NAT. Según el registro encontrado en esta tabla, se determina la dirección IP interna y este puerto de la fuente TCP. Estos dos valores se insertan en el paquete. Luego, las comprobaciones de TCP y IP se reactivas. El paquete se transmite a la ruta principal de la empresa para la entrega normal con la dirección de la vista de 192.168.y.z.

Si se aplica un Internet ADSL o por cable, la transmisión de la dirección de red se puede usar para facilitar la lucha contra la escasez de direcciones. Asignados a las direcciones de los usuarios tienen una vista de 10.x.y.z.z. Tan pronto como el paquete deje los límites de las posesiones del proveedor y se conecta en línea, cae en el bloque NAT que convierte la dirección interna a la dirección IP real del proveedor. En el camino de vuelta se realiza la operación inversa. En este sentido, para el resto de Internet, el proveedor con sus clientes utiliza ADSL y Cable: la entrevista se presenta en forma de una empresa grande.

Aunque el esquema descrito anteriormente resuelve parcialmente el problema de la falta de direcciones IP, muchos adherentes de IP consideran NAT como una especie de infección que se extiende en el suelo. Y pueden ser entendidos.

Primero, el principio de las direcciones de transmisión no encaja en la arquitectura IP, lo que implica que cada dirección IP identifica de forma única solo una máquina en el mundo. Todas estructura de software Internet se basa en el uso de este hecho. Al transmitir las direcciones de la red, resulta que miles de máquinas pueden (y así sucede en la realidad) tener la dirección 10.0.0.1.

En segundo lugar, NAT convierte a Internet desde la red sin establecer una conexión en algo similar a una red orientada a la red. El problema es que el bloque NAT debe admitir la tabla de visualización para todas las conexiones que pasan a través de ella. Almacenamiento del estado de conexión es una red orientada a la conexión, pero no las redes sin establecer conexiones. Si el bloque NAT se rompe y sus tablas de pantalla pierden, entonces se pueden olvidar todas las conexiones TCP que pasan. Si no hay transmisión de direcciones de red, la falla del enrutador no tiene ningún efecto en la operación TCP. El proceso de envío simplemente sella unos segundos y envía todos los paquetes no confirmados. Cuando se utiliza NAT, Internet se vuelve tan susceptible a las fallas como canales conmutados en la red.

En tercer lugar, NAT interrumpe una de las reglas fundamentales para la construcción de protocolos de múltiples niveles: el nivel K no debe construir ninguna suposición sobre lo que se coloca el nivel K + 1 en el campo de carga útil. Este principio determina la independencia de los niveles entre sí. Si un TCR-2 ha llegado a reemplazar TCP, lo que tendrá un formato de encabezado diferente (por ejemplo, dirección de puerto de 32 bits), la transmisión de direcciones de red estará en fiasco. Toda la idea de los protocolos de varios niveles es que los cambios en uno de los niveles no pudo afectar los niveles restantes. Nat destruye esta independencia.

Cuarto, los procesos en Internet no están obligados a usar solo TCP o UDP. Si el usuario de la máquina se decide idear un nuevo protocolo nivel de transporte Para comunicarse con el usuario de la máquina en (esto se puede hacer, por ejemplo, para alguna aplicación multimedia), entonces tendrá que tratar de alguna manera el hecho de que el bloque NAT no podrá procesar correctamente el puerto de origen TCP correctamente .

Quinto, algunas aplicaciones insertan direcciones IP al texto del mensaje. El destinatario los extrae desde allí y luego procesa. Dado que NAT no sabe nada acerca de tal manera de abordar, no podrá procesar correctamente los paquetes, y cualquier intento de usar estas direcciones con una parte remota conducirá al fracaso. El protocolo de transferencia de archivos, FTP (Protocolo de transferencia de archivos) utiliza este método que también se puede negar a trabajar cuando se transmiten direcciones de red, a menos que se tomen medidas especiales. El protocolo de telefonía por Internet H.323 también tiene una propiedad similar. Puede mejorar el método NAT y hacer que funcione correctamente con H.323, pero es imposible refinarlo cada vez que aparezca una nueva aplicación.

Sexto, ya que el campo del puerto de origen es de 16 bits, luego se pueden mostrar aproximadamente 65,536 máquinas locales en una dirección IP. De hecho, este número es algo menos: los primeros 4096 puertos están reservados para las necesidades de servicio. En general, si hay varias direcciones IP, cada una de ellas puede respaldar hasta 61,440 direcciones locales.

Estos y otros problemas asociados con las direcciones de la red de transmisión se discuten en RFC 2993. Por lo general, los oponentes del uso de NAT dicen que la solución al problema de la falta de direcciones IP al crear un parche temporal solo interfiere con el proceso de evolución real, que consiste en ir a IPv6. Pero si regresa a la realidad, veremos que, en la mayoría de los casos, NAT es solo una cosa indispensable, especialmente para pequeñas oficinas con el número de computadoras de varias piezas a varias docenas. Nat se puede implementar fuerzas propias en OS Linux usando

Nuestros apartamentos son más y más diferentes dispositivos digitales: computadoras portátiles, tabletas y teléfonos inteligentes. Mientras que la computadora en el apartamento estaba sola y conectada directamente a la red del proveedor, no surgió. Y ahora, cuando recibió un problema, cómo conectar una nueva computadora portátil o tableta a Internet. Aquí para ayudar y viene tecnología NAT. ¿Cuál es la esencia de la tecnología NAT?
Nat.Traducción de Direcciones de Red - Al traducir al ruso, suena así: "Convertir direcciones de red". Nat. - Este es un mecanismo en las redes TCP / IP que le permite convertir las direcciones IP de los paquetes de tránsito.
Si se expresa por un idioma simple, entonces hay varias computadoras en la red local, gracias a la tecnología Nat. todos pueden ir a red externa Internet usando uno externo dirección IP (IP).

¿Cuál es la dirección IP?

Enrutadorenrutador - Funciona en el tercer nivel. sistemas OSI, respectivamente, usado protocolo IP - El protocolo de enrutador de capa de red TCP / IP. Una parte integral del protocolo es abordar la red. De acuerdo con las reglas existentes: se asignan todos los dispositivos de la red. Direcciones IP (Ai-Pi direcciones) - Identificadores de red únicos de la dirección del nodo. Utiliza 2 tipos de direcciones IP - gris y blanco. Direcciones grises - Esto es parte del espacio de direcciones asignado para una red local - Direcciones IP de subred 10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16 . Todas las demás SUBNETS se utilizan en Internet y son direcciones IP blancas.

Cómo proporcionar acceso a Internet compartido para dispositivos en la red.

Para conectarse a Internet todos los dispositivos en la red local que necesita enrutador. Enrutador - Este es un dispositivo que puede conectarse a través de la red del proveedor a Internet y distribuirlo a los dispositivos conectados debido al hecho de que tiene al menos 4 puertos LAN y módulo Wi-Fi. No confunda un enrutador con un simple interruptor Ethernet, que es esencialmente un "divisor" estúpido de la red. Debido al hecho de que el enrutador está instalado operando Sistema similar a unix, puedes levantar el dispositivo varios servicios, incluyendo servicio NAT.. Para hacer esto, al configurar un enrutador pon una garrapata Habilitar NAT. .

Entonces, que sigue enrutador Para cada solicitud, lo que pasa a través de él, pone una etiqueta específica que contiene los datos en el remitente en la red local. Cuando la respuesta llega a esta solicitud, enrutador Por una etiqueta determina qué dirección IP en la red local envía el paquete. Aquí hay en realidad todos el principio de operación de la tecnología NAT en pocas palabras..

  • 01.02.2010

Hoy consideraremos la organización de la organización del acceso general a Internet y ajuste automático Redes en la plataforma Windows. A pesar del hecho de que esta es una solución más costosa, su aplicación se justificará cuando se despliega la integración cercana con la infraestructura de red sobre la base Servidor de windows.

Como plataforma de trabajo, utilizamos Windows Server 2008 R2, como la plataforma más relevante de hoy, pero todas las enmiendas mencionadas anteriormente se aplican a la anterior versiones de Windows Servidor 2003 / 200TE.

Inicialmente, debe configurar las interfaces de red. En nuestro caso, la interfaz que mira a la red del proveedor recibe la configuración de DHCP, lo cambiamos de nombre a EXT. La interfaz interna (LAN) tiene una dirección IP estática 10.0.0.1 y una máscara 255.255.255.0.

Configurando nat.

La forma más sencilla de organizar acceso general Internet incluirá la opción apropiada en la configuración de la conexión de red. Sin embargo, con toda la simplicidad, este método es extremadamente inflexible y aceptable solo si no habrá otras tareas de enrutamiento antes del servidor. Es mejor ir más difícil, a primera vista, el camino, pero para obtener una herramienta muy poderosa y flexible en sus propias manos, lo que le permite resolver tareas de red mucho más complejas.
Comencemos, como debería ser, con la adición de la nueva función del servidor: Servicios de política de red y acceso..

En los roles de los roles. Servicio de enrutamiento I. acceso remoto , Todo lo demás no está interesado en nosotros ahora. Después de un rol de instalación exitoso, puede ir a la configuración de enrutamiento.

EN Llamadas Encontramos el servicio de enrutamiento y a través del menú. Comportamiento Escoger Configurar y habilitar el enrutamiento y el acceso remoto.. La configuración se realiza con un asistente que paso a paso nos llevará a través de todas las configuraciones. Elija como una configuración Transformación de dirección de red (NAT)Cualquier otra característica se puede configurar más tarde manualmente.

Aquí debe especificar la interfaz que nuestro servidor está conectado a Internet, si es necesario, puede crearlo (por ejemplo, cuando use las conexiones PPPoE o VPN).

Los ajustes restantes se dejan de forma predeterminada y, después de hacer clic en el botón, está listo para iniciar el servicio de enrutamiento y acceso remoto, nuestro servidor está listo para mantener a los clientes de la red interna. Puede verificar el rendimiento por la dirección IP de la máquina cliente de la banda de red interna y especificando como una puerta de enlace y Servidor DNS Dirección de nuestro servidor.

Configurando DHCP

Para configurar automáticamente la configuración de red en las máquinas cliente, bueno, no para ejecutarse de un lugar para colocar las direcciones IP que prescriben manualmente, debe agregar la función del servidor DHCP.

Para hacer esto, elige Agregar un papel en Administrador del servidor Y celebra la opción que necesitas.

Ahora tenemos que responder a una serie de preguntas simples. En particular, para elegir lo que las redes internas deben usar DHCP, si es necesario, puede configurar varios parámetros para diferentes redes. Luego, especifique secuencialmente los parámetros de los servidores DNS y WINS. Este último, con su ausencia, no puedes especificar. Si su red no tiene estaciones de trabajo antiguas que ejecutan OS que no sean Windows NT 5 y superior (2000 / XP / VISTA / SIETE), no hay necesidad de WINS Server.

La adición de la región DHCP debe tratarse con un mayor atención, el error aquí puede llevar a la incapacidad a toda la red. No hay nada difícil aquí, simplemente ingrese cuidadosamente todos los parámetros de la red necesarios con cuidado, siguiendo el rango de IP asignado para superponerse al ya seleccionado para otros dispositivos y no olvide especificar correctamente la máscara y la puerta de enlace.

Por separado, se debe prestar atención a un parámetro de este tipo como el plazo de arrendamiento. Después de la mitad del período de alquiler, el cliente envía una solicitud al servidor para extender el contrato de arrendamiento. Si el servidor no está disponible, la solicitud se repetirá después de la mitad del tiempo restante. En las redes cableadas, donde las computadoras no se mueven dentro de la red, puede establecer un período de arrendamiento suficientemente grande, si hay muchos usuarios móviles (por ejemplo, público Punto de wi-fi En el CAFE), el período de arrendamiento puede limitarse a varias horas, de lo contrario, la liberación oportuna de las direcciones arrendadas no sucederá y en la piscina no puede ser direcciones gratuitas.

El siguiente paso se niega a apoyar IPv6 y después de instalar la función DHCP, el servidor está listo para trabajar sin ningún ajustes adicionales. Puede verificar la operación de las máquinas cliente.

Las direcciones IP emitidas se pueden ver en Direcciones arrendadasRelacionado con el área que le interesa. Aquí puede configurar la copia de seguridad de un cliente específico de una dirección específica (atada por nombre o dirección MAC), si es necesario, puede agregar o cambiar los parámetros del área. Filtros Le permite crear reglas permisivas o prohibitivas basadas en las direcciones MAC del cliente. Una consideración más completa de todas las características del servidor de Windows Server 2008 R2 DHCP está más allá del alcance de este artículo y lo más probable es que le dedicemos un material separado.

  • Etiquetas:

Por favor, active JavaScript para ver los comentarios alimentados por Disquus.

Trekbek

En nuestro material pasado, revisamos el establecimiento de NAT para plataformas de Windows Servidor. A medida que se muestra la respuesta del lector, se producen ciertas dificultades al usar conexiones de Internet conmutadas: VPN o PPPOE. Hoy veremos el pedido ...