Menü
Ingyenes
becsekkolás
a fő  /  ÁLTAL / NAT kapcsolat típusa. NAT - A hálózati címek átalakítása

A NAT kapcsolat típusa. NAT - A hálózati címek átalakítása

Ez teljesen különböző technológiák. Ne zavarja őket.

Mi a NAT.

NAT - kollektív kifejezés, amely sugárzott technológiát jelez hálózati címek és / vagy protokollok. A NAT eszközök átadják az átalakítási csomagokat a címek, a portok, a protokollok stb.

A SNAT, a DNAT, MASQUERADING, PAT, NAT-PT stb.

miért kell a Nat Nat, hogyan kell használni

Az online belső hálózat megjelenítése

  • külső címek
  • egy külső címen keresztül

A külső IP-cím másokhoz való helyettesítéséhez (forgalomirányítás)

A különböző IP-címekkel rendelkező azonos szerverek közötti terheléshez.

Két helyi hálózatot összekapcsolva, metsző belső címzéssel.

hogyan rendezett a NAT

s + D NAT (Branch Assing - Evil!)

port-Mapping, Port égés

Előnyök és hátrányok

Nem kompatibilis néhány protokollokkal. A NAT konkrét végrehajtása támogatnia kell a szükséges jegyzőkönyv ellenőrzését.

A NAT a "képernyő" belső hálózattal rendelkezik a külvilágtól, de nem használható tűzfal helyett.

Cisco ios beállítás

A Cisco routerek és tűzfalak különböző típusú NAT-t támogatnak, attól függően, hogy a szoftverek beállításaitól függően. A leggyakrabban használt a NAT módszer, amelynek belső helyi címeinek kötődése az egyik külső cím (Pat a Cisco terminológiájában).

A NAT konfigurálása a routeren, szükség van: o Határozza meg a továbbítandó forgalmat (hozzáférési listák vagy útvonal-térkép);

IP Access-List Extended Local Engedély IP 10.0.0.0 0.255.255.255 Bármilyen

Útvonal-térkép Int1 Match IP cím Helyi Match Interface Fasternet0 / 1.1

Az AKSSS Leaf Local kiválasztja az összes forgalmat 10 hálózatból.

Rut-Map Int1 kiválasztja a helyi tengelyes forgalmat, így a SABENEFACE FA 0 / 1.1

o Határozza meg, hogy milyen külső címeket végeznek a közvetítéshez. Válassza ki a külső címeket. Elég egyetlen címre.

IP NAT Pool Global 212.192.64.74 212.192.64.74 Netmask 255.255.255.0

A külső címek medence beállítása a Global névvel. Csak egy címmel.

o A NAT engedélyezése a kiválasztott belső és külső címekhez.

IP NAT Inside forrás útvonal-térkép Int1 Pool Global Túlterhelés

A NAT engedélyezése a belső felületen lévő forráscímek sugározásához. Csak a forgalmat sugározzák a ROUR-MAP INT1 körülmények között. A külső címet a Pula globális.

IP NAT Inside Forrás Statikus TCP 10.0.0.1 23 212.192.64.74 23 kiterjesztve

Statikus "kikötő kikötője" vagy "a szolgáltatás közzététele". A 212.192.64.74 címre belépő forgalomban a 10.0.0.1 és a 23 port helyettesíti a 23-as 23 portot.

o Belső és külső interfészek hozzárendelése.

Interfész Fastethernet0 / 0 IP NAT Interface Fastethernet0 / 1.1 IP NAT kívül

Az FA 0/0 interfész a NAT belső részét hozzárendeli.

FA 0 / 1.1 A Sabrider a NAT külsőhöz van rendelve.

O hibakeresés és diagnosztika:

SH IP NAT fordítások - az aktuális műsorok megtekintése; Tiszta IP NAT fordítások - törölje az összes aktuális adást; Debug IP NAT - Engedélyezze a hibakeresési üzeneteket (Undebug all-off hibakeresés).

Példák

Számos demonstrációs példát adunk a Cisco Packet Tracer emulátorra.

Egy kis hálózat kimenetének egyszerű diagramja az interneten keresztül a külső címek medencéjén keresztül

Egyszerű hálózati kimeneti áramkör az interneten keresztül egy külső címen keresztül

Szerelési séma kereszteződéssel

NAT működése.

A NAT szabályok alkalmazására vonatkozó eljárás különbözik a különböző gyártóktól és a különböző berendezésektől. Adjuk meg az eljárást a Cisco IOS útválasztói rendelkezésére álló NAT-politikák alkalmazására:

Kívülről kívülről

Ha az IPSec majd ellenőrizze bemeneti hozzáférési listát dekódolás - a CET (Cisco titkosítási technológia) vagy az IPSec check bemeneti hozzáférési lista lekérdezése beviteli sebesség határa bemenet számviteli átirányítás web cache policy Routing NAT belülről kifelé (helyi és globális fordítás) crypto (check térképet és Jelölés a titkosításhoz) Ellenőrizze a kimeneti hozzáférési lista ellenőrzését (kontextusalapú hozzáférés-vezérlés (CBAC)) TCP Intercept Encryption Queuing

Kívülről belsejében

Ha az IPSec majd ellenőrizze bemeneti hozzáférési listát dekódolás - a CET vagy az IPSec check bemeneti hozzáférési lista lekérdezése beviteli sebesség határa bemenet számviteli átirányítás web cache NAT kívülről befelé (globális és lokális fordítás) politika Routing crypto (check térképet és védjegy titkosítás) ellenőrzés Kimeneti hozzáférési lista Ellenőrizze a CBAC TCP Intercept titkosítási sorban

Internetes csatorna egy szolgáltatóból a NAT-n keresztül

Egyszerű NAT végrehajtási rendszer egy szolgáltatóval

Az internetes csatorna foglalása két szolgáltatóval NAT, IP SLA

Danar: Több internetes számítógépet kapunk az ISP1 szolgáltatóból. Megosztott minket 212.192.88.150. Az internet-hozzáférés az IP-címből származik a NAT-n keresztül.

Feladat: Csatlakoztassa a Backup szolgáltatót - ISP2. Elosztja az USA 212.192.90.150-et. Traffic Balancing: Webforgalom engedélyezhető az ISP1-en keresztül, más forgalom - az isp2-en keresztül. Az egyik szolgáltató meghibásodása esetén - az élő csatornán lévő összes forgalom elindítása.

Mi a feladat összetettsége? Tiszta IP NAT fordítások?

Rendszer

Config

1 CLEAR IP NAT fordítások *

Megállapították, hogy egy ilyen darabot tesztelik. Nem mind az iOS verziói. Az esemény létrehozása. Meg kell tisztáznunk.

! Eseménykezelő applet Nat-Track Event Syslog Pattern "Tracking-5-State" Action 0.1 CLI parancs "Enable" Művelet 0.2 Várjon 3 művelet 0.3 CLI parancs "Clear IP NAT fordítás *" Művelet 0.4 Syslog Msg "Nat fordítás Törölje az államváltás után "!

2 Amikor az interfész a szolgáltatóra esik, az esélye az, hogy az átjárója a másodikon rúg

! Felhasználónév Jelszó neve 0 Jelszó Engedélyezze a titkot 0 ParolConfiga! ! Vezérlő bemenet a vonal VTY Router 0 4 Bejelentkezés Helyi! ! DHCP IP DHCP POOL LAN hálózati vieting maszk alapértelmezett-router kapu DNS-Server 10.11.12.13! DNS - fiktív feltalált - nem a miénkből helyi hálózat ! ! ! Ping monitor a szolgáltató-1 átjáróhoz! Várjon egy válasz 100 ms! Pinging 1 másodperces IP SLA monitor 1 Típus Echo protokoll IpicMpecho Gaters1 Source-Interface interfészek1 Timeout 100 frekvencia 1! ! Ping Monitor on Provider-2 IP SLA monitor 2 Típus Echo protokoll Ipiccmpecho Gaters2 Source-Interface Interfaces2 Timeout 50 frekvencia 1! ! Kezdve Pingovakov 1 és 2, most és Forever IP SLA monitor ütemezés 1 Life Forever Start-Time Most IP SLA Monitor ütemezése 2. élet örökké kezdési idő most! ! 10. és 20. számú nyomvonalak - A penny állapotának követése! Reagál az állapotra vagy akár az 1 másodperces késedelemre. Track 10 Rtr 1 Elérhetőség késleltetés 1 UP 1! Track 20 Rtr 2 Elérhetőség késleltetés 1 Up 1! ! ! Útvonalak mindkét külső hálózathoz mindkét szolgáltatónál! Az útvonalak kötődnek a nyomvonalakhoz! és csak akkor lesz aktiválva, ha a pálya felfelé fordul! azok. Ha az átjáró a megfelelő szolgáltató elérhető IP Route 0.0.0.0 0.0.0.0 Gaters1 Track 10 IP Route 0.0.0.0 0.0.0.0 Gaters2 Track 20! ! ! Int fa 0/0 nincs zárva! ! Al-interfészek a külső szolgáltatók felé! Jelölje meg a NAT interfész FASTETERSNET0 / 0.1 Leírás ISP1 Casp1 Dot1Q szám 1 IP-cím IP-cím IP-cím IP-N NAT külső maszk! INTERFACE FASTETERSNET0 / 0.2 Leírás ISP2 IPAPSULATION DOT1Q Number2 IP cím IPNAPS2 IP NAT külső maszk! ! Belső hálózati interfész! A NAT-n belül van! PRBR INTERFACE FASTERNET0 / 1 IP cím Routing Adatvédelmi IP Nat Külső IP POLITIKA MÓDJA-MAP PBR nem állt-e! ! Aksess-lapok a hálózaton kívül! Webforgalom és minden más IP hozzáférési jegyzék kiterjesztett helyi engedély IP Insit! IP Access-List Extended Webes engedély TCP Interior Bármely EQW www engedély TCP Innode bármely EQ 443! IP Access-List kiterjesztette az összes engedély IP-t! ! ! Sly Ruth térkép PBR! Ha a LAN-ról az interneten található forgalom! Amely kijelöli őt az első szolgáltató átjárójára! Ellenkező esetben a LAN egyéb forgalma! Hozzárendeljen egy második szolgáltató átjárót. ! Amikor átjárót rendelsz, a zeneszámokat az útvonal-térkép jelöli PBR engedélye 10 mérkőzés IP cím Web Set IP Next-Hop Verify-Részletek Gaters1 1 Track 10! Útvonal-térkép PBR engedély 20 Match IP-cím All Set IP Next-Hop Ellenőrizze elérhetőségét Gaters2 1 Track 20! ! ! Sunny Root-Map ISP1! Működik, ha a LAN-tól származó forgalom! Megpróbál kilépni az FA0 / 0.1 útvonal-térkép ISP1-es engedély 10 mérkőzés IP-cím Helyi Match Interface Fastethernet0 / 0.1! ! Sunny Root-MAPP ISP2! Működik, ha a LAN-tól származó forgalom! Megpróbál kilépni a FA0 / 0.2 útvonal-térkép ISP2-es engedély 10 mérkőzés IP-cím Helyi Match Interface Fastethernet0 / 0.2! ! ! Végül Nat ;-)! ! Forgalom a LAN-ból az első szolgáltató nézi az első IP NAT BELSŐ SOURCE SOURCE-MAP ISP1 INTERFACE FASTETERSNET0 / 0.1 Túlterhelés! ! Forgalom a LAN-ból a második szolgáltatónak a NAT-ba a második IP-n keresztül Nat Belső forrású útvonal-térkép ISP2 Interface Fastetersnet0 / 0.2 túlterhelés! ! A fiktív DNS forgalma a Google DNS IP NAT-n kívüli forráson kívüli STATIC 8.8.8.8 10.11.12.13 NO-ALIAS! ! Belső port 3389 előre a külső port 1111 IP Nat belső forrás statikus TCP Extrogous 3389 Outer 1111 Bővíthető IP Nat belső forrás statikus TCP Extrogous 3389 Outer 1111 EXTENDABLE! !

vegyes cikkek

CGN (Carrier Grade Nat) speciális magáncímekkel

Nat, mint az ALG (Alkalmazási réteg átjáró), (egyszerű szöveges protokollok, pl. SIP)

Nos, felejtsd el ezt a dalszöveget egy ideig.
Általánosságban elmondható, hogy a hozzáférési listák eltérőek:

Alapértelmezett
- Kiterjedt
- dinamikus
- fényvisszaverő
időtlen

Ma meg fogjuk állítani a figyelmünket az első kettőn, és részletesebben az összes, amit a Tsiski-től olvashat.

Bejövő és kimenő forgalom

A Sotenért értsük meg egy dolgot. Mit kell értenie a bejövő és a kimenő forgalom alatt? Ez a jövőben lesz szükség. A bejövő forgalom az, amely a külső felülethez tartozik.

Kimenő az, amit az interfészről küldünk.

A hozzáférési listát a bejövő forgalomra alkalmazhatja, majd a hiányos csomagok nem fognak eljutni az útválasztóhoz, és ennek megfelelően tovább a hálózatba, vagy a kimenő, majd a csomagok jönnek az útválasztóhoz, A célfelület és csak csepp.

A szabványos hozzáférési lista csak a feladó címét ellenőrzi. Advanced Sender cím, címzett cím, valamint kikötő. A szabványos ACL-eket javasoljuk, hogy a lehető legközelebb álljanak a címzetthez (úgy, hogy ne vágjunk több mint szükségeset), és kiterjesszék - közelebb kerülnek a feladóhoz (a lehető leghamarabb lecsökkenhetnek).

Gyakorlat

Azonnal menjünk a gyakorlatba. Mi lenne ilyen visszatérítésünk a kis hálózatunkban "Lift MI AP"?

A) webszerver. Hagyja hozzáférést biztosít a Port TCP 80 (HTTP protokoll). Ehhez az eszköztől, amelyből a vezérlés (mi is van admin), akkor meg kell nyitnia a Telnet és az FTP-t, de megadjuk neki teljes hozzáférés. Az összes többi része.

B) Fájlkiszolgáló. A Lift MI AP lakosait a nyilvános mappákhoz tartozó kikötőkkel kell rendelkeznünk, és mások az FTP-en.

C) mail szerver. Itt van SMTP és POP3 futás, azaz a TCP 25 és 110 port. Az adminisztrátori hozzáféréshez is a menedzsmenthez. Egyéb blokkolás.

D) A jövőbeni DNS-kiszolgálónak meg kell nyitnia az UDP 53 portot

E) Az ICMP üzenetek engedélyezése a szerverek hálózatához

E) Mert a másik hálózat, amelyünk minden nem partizánra, aki nem lépett be a FEO-ba, a PTO-t és a számvitelt, akkor korlátozni fogjuk őket, és néhányan csak hozzáférést adnak (köztük vagyunk és admin)

E) A vezérlőhálózaton csak az adminisztrátort kell kezdenie, és természetesen szeretett.

G) Nem fogunk akadályozni a kommunikációt maguk között.

a) Hozzáférés a webszerverhez

Itt van egy olyan politika, amely tiltott mindent, ami nem megengedett. Ezért most meg kell nyitnunk valamit, de minden más bezárni.
Mivel megvédjük a szerverek hálózatát, akkor a lap le fogja lógni az egymás felé tartó felületen, amely a Fe0 / 0.3-on csak a kérdés csak bAN BEN. vagyon ki. Meg kell tennünk? Ha nem akarjuk hagyni a csomagokat az útválasztóban már bekövetkezett szerverek irányába, akkor kimenő forgalom lesz. Vagyis a rendeltetési címek (rendeltetési hely) a szerverek hálózatában lesznek (amelyek közül választjuk, hogy melyik a kiszolgáló folyik itt), és a forráscímek (Forrás) lehetnek - akárcsak a miénk vállalati hálózatés az interneten.
Egy másik megjegyzés: Mivel szűrjük, beleértve a célcímet (a webszerveren, egy szabály, a levélben - mások), akkor a hozzáférés-vezérlési lista előrehaladott (kiterjesztett), csak ez lehetővé teszi, hogy ezt megtegye.

A hozzáférési listán szereplő szabályokat a felülről lefelé az első véletlenszerűen ellenőrzik. Amint az egyik szabály működött, függetlenül attól, hogy az engedély vagy tagadja-e, az ellenőrzés leáll, és a forgalom feldolgozása az uralttan szabályokon alapul.
Vagyis, ha meg akarjuk védeni a webszervert, akkor először is engedélyt kell adnunk, mert ha az első sorban beállítanánk megtagadja az IP-t - Mindig működik, és a forgalom általában nem jár. Bármi. - Ez egy speciális szó, amely a hálózat címét és a Reverse Mask 0.0.0.0 0.0.0.0-t jelenti, és azt jelenti, hogy minden hálózatról van szó. Egy másik különleges szó - házigazda. - Ez azt jelenti, hogy a 255.255.255.255 maszk - azaz egyetlen meghatározott cím.
Tehát az első szabály: Engedélyezze a 80-as porthoz való hozzáférést


MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # Remark Web
Bármely gazda 172.16.0.2 EQ 80

Hadd ( engedély.) TCP forgalom bármely csomópontból ( bármi.) a fogadó ( házigazda. - ez egy cím) 172.16.0.2 a 80. porthoz.
Megpróbáljuk felvenni ezt a listát a FE0 / 0 interfészhez:

MSK-Arbat-GW1 (Config-Subif) # IP hozzáférési csoport szerverek ki.

Ellenőrizze a csatlakoztatott számítógépünk bármelyikét:

Ahogy láthatja, hogy az oldal megnyílik, de mi van velünk a ping?

És így más csomópontból?

Az a tény, hogy a Ciskovsky ACL-ben a végén, implicit megtagadja az IP-t (implicit deney). Mit jelent számunkra ez? Bármely, az interfészről jogosult csomag, és nem reagál az ACL-t az implicit tagadás alá tartozó és eldobott szabályokról. Vagyis legalább ping, bár az FTP, legalábbis itt nem lesz.

Tovább megyünk: teljes hozzáférést kell biztosítani a számítógéphez, amelyből az ellenőrzés lesz. Ez lesz az adminisztrátorunk számítógépe 172.16.6.66 címével a másik hálózatból.
Minden új szabály automatikusan hozzáadódik a lista végéhez, ha már létezik:

mSK-Arbat-GW1 (Config)
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # TCP Host 172.16.6.66 Host 172.16.0.2 Tartomány 20 FTP
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # TCP Host 172.16.6.66 Host 172.16.0.2 EQ Telnet

Ez minden. Ellenőrizze a kívánt csomópontot (mivel az RT szervereit a hívó nem támogatja, ellenőrizze az FTP-t):

Ez az, hogy az FTP üzenet az útválasztóba jött, és a FE0 / 0.3 felületről kell mennie. Az útválasztó ellenőrzi és látja, hogy a csomag alkalmas az általunk hozzáadott szabályra, és ugrik.

És egy kívülállóból

Az FTP-csomag nem tartozik az egyik szabály alá, kivéve az implicit megtagadási IP-t, és eldobja.

b) Hozzáférés a fájlkiszolgálóhoz

Először is kell dönteni arról, hogy ki lesz a "rezidens", aki rendelkezésre kell állnia. Természetesen ezek azok, akiknek van címe a hálózatról 172.16.0.0/16 - csak azok, és hozzáférést biztosítanak.
Most S. közös mappák. A legtöbben modern rendszerek Az SMB protokollt már használják erre, hogy szüksége van egy TCP 445 portra. A régebbi verzióknál a NetBIOS-t használták, amelyet három port után tápláltunk: UDP 137 és 138 és TCP 139. (Az igazság, hogy az RT-n belül ellenőrizze, természetesen nem fog működni). De emellett szükségünk van az FTP - 20, 21, és nem csak a belső gazdák számára, hanem az internetről való kapcsolatokra is:
mSK-Arbat-GW1 (CONFIG) # IP Access-List Extended kiszolgáló
MSK-Arbat-GW1 (CONFIG EXT-NACL) # engedélyezési TCP 172.16.0.0 0.0.255.255 Host 172.16.0.3 Eq 445
MSK-Arbat-GW1 (CONFIG EXT-NACL) # engedélyezési TCP bármi. Host 172.16.0.3 tartomány 20 21

Itt újra alkalmaztuk a designt 20 21. - Annak érdekében, hogy több portot egy sorban. Az FTP-hez általában a 21. kikötőben nem elegendő. Az a tény, hogy ha csak megnyitja, akkor átadja az engedélyt, és nincs fájl átadása.

0.0.255.255 - fordított maszk (Wildcard maszk). Arról, hogy mi az, beszéljünk egy kicsit később

c) Hozzáférés a levélkiszolgálóhoz

Továbbra is dolgozunk a gyakorlatban - most a levelezőszerverrel. Az azonos hozzáférési lista részeként új rekordokat kell hozzáadni.
A széles körben igényes protokollokhoz tartozó portszámok helyett megadhatja nevüket:
mSK-Arbat-GW1 (CONFIG) # IP Access-List Extended kiszolgáló
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) #PMIT TCP bármely gazda 172.16.0.4 EQ POP3
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) #PMIT TCP bármely gazda 172.16.0.4 EQ SMTP

d) DNS-kiszolgáló

mSK-Arbat-GW1 (CONFIG) # IP Access-List Extended kiszolgáló
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # Engedély uDP. 172.16.0.0 0.0.255.255 Host 172.16.0.5 Eq 53

d) ICMP.

Továbbra is kijavítja a helyzetet pingmel. Semmi szörnyű a szabályok hozzáadásában a lista végéhez, de valahogy esztétikailag kellemesebbé teszi őket először.
Ehhez egyszerű csalást használunk. Ehhez használhatja szöveg szerkesztő, például. Másolja az ACL-ről az ACL-ről, és adja hozzá a következő sorokat:
nincs IP hozzáférési lista kiterjesztett kiszolgálók
IP Access-List Extended szerverek-out
Engedélyezze az ICMP-t
Remark Web.



Megjegyzés fájl


Megjegyzések.


Megjegyzés DNS.

A meglévő listát az első sorba eltávolítjuk, majd hozzon létre újra, és sorolja fel az összes új szabályt a szükséges sorrendben. A harmadik sorban lévő csapat minden ICMP csomagot bármilyen házigazdákból megengedte bármely gazda számára.

Ezután egyszerűen másoljon mindent, és helyezze be a konzolba. Az interfész minden karakterláncot külön parancsként értelmez, és elvégzi. Tehát kicseréltük a régi listát.
Ellenőrizze, hogy a ping:

Tökéletesen.

Ez a "csalás" jó a kezdeti konfigurációhoz, vagy ha pontosan tudja, mit csinálsz. A munkahálózaton, amikor a távoli ACL konfigurálja, akkor az állítható vasalóhoz való hozzáférés nélkül veszélybe telik.

Ahhoz, hogy a szabályt az elején vagy bármely más helyen helyezze el, akkor ilyen recepciót igényelhet:
iP Access-List Extended szerverek-out
1 engedélyezze az ICMP-t

A listán szereplő minden szabály határozott lépéssel számozott, és ha egy számot helyez az engedély / megtagadó szó előtt, a szabály nem kerül hozzáadásra, de a szükséges helyen. Sajnos az ilyen jellemző nem működik a Tádzsik Köztársaságban.
Ha hirtelen szükséges (foglalt a szabályok között futó szerződések), akkor mindig renumja a szabályokat (ebben a példában az első számú 10. szabályt hozzárendeljük (első) és növekmény 10):
iP Access-List Resequentce kiszolgálók-out 10 10

Ennek eredményeképpen a kiszolgálóhálózathoz tartozó hozzáférési lista így fog kinézni:
iP Access-List Extended szerverek-out
Engedélyezze az ICMP-t
Remark Web.
Engedélyezze a TCP bármely gazdáját 172.16.0.2 EQW www
Engedély TCP Host 172.16.6.66 Host 172.16.0.2 Tartomány 20 FTP
Engedély TCP Host 172.16.6.66 Host 172.16.0.2 EQ Telnet
Megjegyzés fájl
A TCP engedélyezése 172.16.0.0 0.0.255.255 Host 172.16.0.3 Eq 445
Lehetővé teszi a TCP bármely gazdáját 172.16.0.3 tartomány 20 21
Megjegyzések.
Lehetővé teszi a TCP bármely gazdáját 172.16.0.4 eq pop3
A TCP bármely gazda engedélyezése 172.16.0.4 EQ SMTP
Megjegyzés DNS.
Engedélyezési udp 172.16.0.0 0.0.255.255 Host 172.16.0.5 EQ 53

Most az adminisztrátor csak a webszerverhez fér hozzá. Fedezze fel, hogy teljes hozzáférést biztosítson az egész hálózathoz. Ez az első házi feladat.

e) Felhasználói jogok a másik hálózatból

Eddig szükségünk volt ne bemegy Valaki valahol, ezért figyelmet fordítottunk a célcímre, és a hozzáférési lista az interfészről kimenő forgalomra lógott.

Most van szükségünk ne engedje el: A többi hálózatból származó számítógépek nem tudnak túlmutatni. Nos, persze, kivéve azokat, amelyeket kifejezetten megoldunk.

mSK-ARBAT-GW1 (CONFIG) # IP hozzáférési listája kiterjesztve más-in

MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # Engedély IP Host 172.16.6.61 Bármilyen



Itt nem tudtuk először megtiltani mindent, majd megoldani a választott, mert abszolút minden csomag szabály lenne megtagadja az IP-t és engedély. Egyáltalán nem lett volna bekapcsolva.
Alkalmazza az interfészt. Ezúttal a bejáratnál:
mSK-Arbat-GW1 (CONFIG) #INT FA0 / 0.104
MSK-Arbat-GW1 (Config-Subif) #IP Access-Group Other-in bAN BEN.

Vagyis az összes IP-csomag a fogadóból a 172.16.6.61 vagy 172.16.6.66 címmel, bárhol is megadható. Miért is használunk egy kiterjesztett hozzáférési listát is? Végtére is, úgy tűnik, csak a feladó címét ellenőrizzük. Mivel az adminisztrátorok teljes hozzáférést adtunk, de a vendég a "Lift MI AP", amely ugyanabból a hálózatba esik, egyáltalán bármi másra, kivéve az internetet.

e) Hálózati menedzsment

Semmi nehéz. A szabály így fog kinézni:
mSK-Arbat-GW1 (CONFIG) # IP Access-List Extended Management-Out
MSK-Arbat-GW1 (config-ext-nacl) # megjegyzés iam
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # IP IP Host 172.16.6.61 172.16.1.0 0.0.0.255
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # megjegyzés admin
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # IP engedélyezése 172.16.6.66 172.16.1.0 0.0.0.155

Ezt az ACL-t a FE 0 / 0.2 interfészen kell alkalmazni:
mSK-Arbat-GW1 (CONFIG) # INT FA0 / 0.2
MSK-Arbat-GW1 (Config-Subif) #IP Access-Group menedzsment

g) már nem korlátozások

Kész

Maszk és fordított maszk

Eddig a 0,0,255,255 forma furcsa paramétert adtunk, gyanúsan hasonlítunk egy alhálózati maszkra.
Egy kicsit nehéz megérteni, de ez az, hogy a visszatérő maszkot használják annak meghatározására, hogy a szabályok szabályozzák.
Ahhoz, hogy megértsük, mi a fordított maszk, tudnia kell, mi a gyakori.

Kezdjük a legegyszerűbb példával.

Normál hálózat 256 címen: Például 172.16.5.0/24. Mit jelent ez a bejegyzés?
De ez pontosan a következőket jelenti

IP-cím. Tizedesjegy 172 16 5 0
IP-cím. Bináris felvétel 10101100 00010000 00000101 00000000
11111111 11111111 11111111 00000000
255 255 255 0

Az IP-cím egy 32 bites paraméter, amely 4 részre oszlik, amelyet decimális formában használnak.
Az alhálózati maszknak 32 bitje is van - valójában egy sablon, stencil, amely szerint az alhálózati cím azonosítása. Ahol a maszkban lehet egységek, a jelentés nem változtathat, vagyis a 172.16.5. Rész teljesen változatlan, és ugyanaz lesz az alhálózat minden gazdájához, de az, ahol nullák változnak.
Azaz, a példában vesszük 172.16.5.0/24 - ez a címe a hálózaton, és a házigazdák lesznek 172.16.5.1-172.16.5.254 (az utolsó 255 broadcast), mert a 00000001 1, és 11111110 - 254 (beszéd az utolsó OSTET-címről). / 24 azt jelenti, hogy a 24 bites maszk hossza, azaz 24 egységünk van - állandó rész és 8 nulla.
Egy másik esetben, ha maszkunk van, például 30 bit, és nem 24.
Például 172.16.2.4/30. Vágja ezt:

IP-cím. Tizedesjegy 172 16 2 4
IP-cím. Bináris felvétel 10101100 00010000 00000010 00000100
Alhálózati maszk. Bináris felvétel 11111111 11111111 11111111 11111100
Alhálózati maszk. Tizedesjegy 255 255 255 252

Amint láthatja, csak az utolsó két bit változhat ehhez az alhálózathoz. Az utolsó oktét a következő 4 értéket veheti:
00000100 - alhálózati cím (4 decimális rendszerben)
00000101 - csomópont címe (5)
00000110 - csomópont címe (6)
00000111 - Broadcast (7)
Mindaz, ami kívül van egy másik alhálózat

Azaz, most kell egy kicsit világosabban, hogy az alhálózati maszk szekvencia a 32-bites, ahol az egységek jelenti címét az alhálózati először megy, akkor megy nullák vagyis a számítógép címét. Ugyanakkor a maszkban lévő alternatív nullák és egységek nem változhatnak. Azaz, maszk 11111111.11100000.11110111.00 milliárd lehetetlen

És mi a visszatérő maszk (helyettesítő)?
Az adminisztrátorok és néhány mérnökök túlnyomó többségéhez ez nem más, mint a szokásos maszk inverziója. Vagyis a nullák először beállították a rész címét, amelyet meg kell egyezni, és az ellentétes egységek ingyenesek.
Azaz, az első példa tett minket, ha azt szeretnénk, hogy kiszűrje az összes állomása az alhálózati 172.16.5.0/24, akkor adja meg a szabály a hozzáférési lista:
…. 172.16.5.0 0.0.0.255
Mivel a visszatérő maszk így fog kinézni:

00000000.00000000.00000000.11111111

A második példában a hálózat 172.16.2.4/30, a visszatérő maszk így fog kinézni: 30 nulla és két egység:

Fordított maszk. Bináris felvétel 00000000 00000000 00000000 00000011
Fordított maszk. Tizedesjegy 0 0 0 3

Ennek megfelelően a hozzáférési listában szereplő paraméter így fog kinézni:
…. 172.16.2.4 0.0.0.3
Később, ha eszik egy kutya a számítások maszkok és visszatérő maszkok, akkor emlékezni fog a leggyakrabban használt számokat, a kiszolgálók száma egy adott maszkot fogja érteni, hogy a leírt helyzet, az utolsó bájtot a fordított maszk elő A szokásos maszk utolsó oktettjének 255 számjegyének kivonása (255-252 \u003d 3) stb. Időközben sokat kell dolgozni és számolni)

Valójában azonban a visszatérő maszk enyhén leggazdagabb eszköz, itt lehet kombinálni a címek belül azonos alhálózaton vagy akár kombinálni alhálózatok, de a legfontosabb különbség, akkor felváltva nullák és az egységek. Ez lehetővé teszi például egy adott csomópont (vagy csoport) szűrését egy sor több alhálózatában.

1. példa.

Adott: Hálózat 172.16.16.0/24
Szükséges: Szűrje meg az első 64 címet (172.16.16.0-172.16.16.63)
Döntés: 172.16.16.0 0.0.0.63

2. példa.

Adott: Hálózat 172.16.16.0/24 és 172.16.17.0/24
Szükséges: Szűrőcímek mindkét hálózatról
Döntés: 172.16.16.0 0.0.1.255

3. példa.

Adott: Hálózat 172.16.0.0-172.16.255.0.
Szükséges: Szűrje meg a gazdagépet az összes alhálózat 4 címével
Döntés: 172.16.16.0 0.0.255.4

ACL-ben működik a képeken

Hipotetikus hálózat:

1) Az RT1 routeren a FE0 / 1 interfészen minden, kivéve az ICMP-t, hogy belépjen.

2) Az RT2 router a Fe0 / 1 interfészen, az SSH és a Telnet tilos

Tesztek
kattintható
1) ping a PC1 számítógépről1

2) Telnet a PC1 számítógépről a kiszolgálóra1

3) SSH a PC1 számítógépről a Server2-en

4) Ping a Server2-től a PC1-en

Kiegészítők

1) A kimenő forgalomra vonatkozó szabályok (ki) nem szűrik a készülék forgalmát. Vagyis, ha valahol meg kell tiltania a hozzáférést a hozzáféréshez, akkor meg kell szűrnie a bejövő forgalmat ezen az interfészen (reagálna innen, ahol meg kell tiltani a hozzáférést).

2) A C ACL-nek óvatosnak kell lennie. A szabályban egy kis hiba, helytelenül rendeli a beállítást vagy általában rosszul gondolkodó listát, a készülékhez való hozzáférés nélkül maradhat.
Például a hálózaton belüli hozzáférést szeretne bezárni 172.16.6.0/24, kivéve a címét 172.16.6.61, és megkérdezte az ilyen szabályokat:

ip 172.16.6.0 0.0.0.255
Engedélyezi IP Host 172.16.6.61

Amint az ACL-t az interfészre alkalmazza, azonnal elveszíti az útválasztóhoz való hozzáférést, mert az első szabály alá kerül, és a második nem is ellenőrizhető.
A második kellemetlen helyzet, amely megtörténhet veled: A forgalom az ACL alá esik, ami nem ütközött.
Képzelje el az ilyen helyzetet: Van egy FTP-kiszolgáló Passzív üzemmódban a szerveren. Ahhoz, hogy hozzáférjen, megnyitotta a 21. portot az ACL-ben Kiszolgálók.. A kapcsolat kezdeti létrehozása után az FTP-kiszolgáló azt jelentette, hogy az Ügyfél a port, amely készen áll a fájlok továbbítására / fogadására, például 1523. Az ügyfél megpróbálja telepíteni a TCP-kapcsolatot ehhez a kikötőhöz, hanem az ACL kiszolgálókon lévő csonkok, ahol nincs ilyen megoldás - a tündérmes egy sikeres átviteli végeiről. A fenti példában, ahol hozzáférést állítottunk fel a fájlkiszolgálóhoz, csak 20 és 21-es hozzáférést nyitunk meg, mert például elég. A való életben meg kell tingadnia. Néhány példa az ACL konfigurációra a közös esetekben.

3) A 2. pontból nagyon hasonló és érdekes probléma következik.
Különböző veled, például az interneten lévő interfészen, ilyen ACL-ek:

hozzáférés-lista OUT engedély TCP Host 1.1.1.1 Host 2.2.2.2 EQ 80
Hozzáférés-lista az engedélyezési TCP Host 2.2.2.2 bármely EQ 80

Úgy tűnik, hogy az 1.1.1.1-es címmel rendelkező fogadó hozzáférést biztosít a 80. porthoz a szerverhez 2.2.2.2 (első szabály). És vissza a szerverről 2.2.2.2 vegyületek belül.
De itt az Nuance az, hogy a számítógép 1.1.1.1 kapcsolatot létesít a 80. porthoz, de másként, például 1054-től, azaz a kiszolgáló válaszcsomagja az 1.1.1.1: 1054-es aljzatba kerül, nem esik be A szabály az ACL-ben és eldobva az implicit megtagadás miatt.
Az ilyen helyzet elkerülése érdekében, és ne nyissa ki a kikötőket az egész gerenda felé, akkor ilyen trükköket igényelhet az ACL-ben:
lehetővé teszi a TCP host 2.2.2.2 bármely megállapított.

Az ilyen megoldás részletei az alábbi cikkek egyikében.

4) beszél modern világNem tud ilyen eszközzel rendelkezni objektumcsoportként (objektumcsoport).

Tegyük fel, hogy létrehozni kell egy ACL létrehozását, amely három konkrét címet ad az interneten három azonos kikötőben, azzal a kilátással, hogy bővíti a címek és a kikötők számát. Hogyan néz ki az objektumcsoportok ismerete nélkül:

iP hozzáférési jegyzék kiterjesztve az internetre
A TCP Host engedélye 172.16.6.66 Minden EQ 80
Engedély TCP Host 172.16.6.66 Minden EQ 8080
Engedélyezési TCP Host 172.16.6.66 Minden EQ 443

Engedélyezési TCP Host 172.16.6.67 Minden EQ 80
A TCP Host engedélye 172.16.6.67 Minden EQ 8080
Engedélyezési TCP Host 172.16.6.67 Minden EQ 443

A TCP Host engedélye 172.16.6.68 Minden EQ 80
Engedélyezési TCP Host 172.16.6.68 Minden EQ 8080
A TCP Host engedélye 172.16.6.68 Minden EQ 443


A növekedést a paraméterek számát, csatolni kell az ilyen ACL egyre nehezebb és nehezebb hibázni beállításakor.
De ha kapcsolatba lép az objektumcsoportokkal, megszerzi a következő űrlapot:
objektum-csoportos szolgáltatás inet-portok
Leírási kikötők megengedett néhány gazda számára
TCP EQW www.
TCP EQ 8080.
TCP EQ 443.

Objektumcsoport-hálózati hosts-to-inet
Leírás A házigazdák megengedettek a hálóba
Host 172.16.6.66
Host 172.16.6.67
Host 172.16.6.68

IP Access-List Extended Inet-out
Engedélyezze az objektumcsoport inet-ports objektum-csoportos hosts-to-inet


Első pillantásra kissé fenyegetőnek tűnik, de ha kitalálod, nagyon kényelmes.

4) A TRABABLUHUTING INFORMÁCIÓKRÓL SZÁRMAZÓ A parancs kimenetéből származhat az IP-hozzáférési listák megjelenítése% név ACL%. A megadott ACL szabályai tényleges listáján kívül ez a parancs mutatja az egyes szabályok mérkőzésének számát.

mSK-Arbat-GW1 # SH IP hozzáférési listák Nat-inet
Kiterjesztett IP-hozzáférési lista Nat-inet





(4 mérkőzés (ek))



És bármely szabály végén napló., Tudunk kapni az üzeneteket a konzolon minden egyes véletlen egybeesésről. (Az utóbbi nem működik pt-ben)

Nat.

Hálózati cím fordítás - A gazdálkodás mechanizmusa 1994 óta feltétlenül szükséges. Sok foglalkozás a törött és a csomagok elveszettek.
Leggyakrabban szükség van a helyi hálózat internetre történő csatlakoztatásához. Az a tény, hogy elméletileg 255 * 255 * 255 * 255 \u003d 4 228 250 625. 4 milliárd címet tartalmaz. Még akkor is, ha a bolygó minden lakója csak egy számítógép volt, a címek nem lenne elég. És akkor, kivéve a vasalókat az internetre nincs csatlakoztatva. Az intelligens emberek ezt a 90-es évek elején rájöttek, és mint átmeneti döntést javasoltak a címek nyilvános (fehér) és magán (privát, szürke) címének megosztására.
Az utóbbi három tartományt tartalmaz:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Használhatja őket szabadon a magánhálózatban, ezért természetesen megismétlik őket. Hogyan lehet egyedülállósággal lenni? Ki fog válaszolni a webszerverre, amelyhez a kérés a 192.168.1.1 visszatérési címből származik? Rostelecom? Tatneft cégek? Vagy a szobatársaid hosszú? Egy nagy interneten senki sem ismer semmit a magánhálózatokról - nem az útválasztás.
Itt és a nat jelenetre megy. A nagy, ez egy hoax, egy állvány. Az alkalmazási eszközön, a privát címét, amely nagyjából beszél, egyszerűen helyettesíti a fehér címet, amely a csomagban tovább jelenik meg, miközben a webszerverre utazik. De a fehér címek nagyon jól routing, és a csomag határozottan visszatér a gördülőeszközhöz.
De hogyan fogja megérteni, mit tegyen vele a következő? Itt és foglalkozz vele.

Típusok NAT.

Statikus

Ebben az esetben egy belső cím átalakul egy külsőre. És ugyanakkor a külső címre érkező kérelmeket a belső téren adják sugározni. Mintha ez a gazdagép, és ez a fehér IP-cím tulajdonosa.

A következő parancs segítségével konfigurálva van:

Router (config) # IP NAT INSINGEN SOURCE STATIC 172.16.6.5 198.51.100.2

Mi történik:
1) Csomópont 172.16.6.5 A webszerver címével foglalkozik. IP-csomagot küld, ahol 192.0.2.2 és a feladó 172.16.6.5.

2) A vállalati hálózaton a csomagot a 172.16.6.1 átjáróba szállítják, ahol a NAT konfigurálva van

3) A konfigurált parancs szerint az útválasztó eltávolítja az aktuális IP-fejlécet, és egy új, ahol a fehér cím 198.51.100.2 már megjelenik a feladó címe.


4) A Bolshoi interneten a frissített csomag eléri a kiszolgálót 192.0.2.2.

5) látja, hogy a választ 198.51.100.2-re kell elküldeni, és felkészíti a válasz IP csomagot. Mint küldő címe, a kiszolgáló címe 192.0.2.2, a célcím - 198.51.100.2


6) A csomag az interneten keresztül repül, és nem az a tény, hogy ugyanúgy.

7) A kijelző eszközön azt jelzi, hogy az 198.51.100.2 címre vonatkozó összes kérés átirányítaná 172.16.6.5. A router ismét a TCP szegmensen belül rejtve van, és új IP-címet állít be (a feladó címe nem változik, a címe a cél 172.16.6.5).


8) A belső hálózaton a csomagot visszaküldi az iniciátorba, ami még nem jó, mely csodák zajlanak a határon.
És így lesz mindegyik.
Ebben az esetben, ha a kapcsolat az internetről indul, a csomagok automatikusan áthaladnak a kijelző eszközön a belső gazdaszervezeten.

Az ilyen megközelítés akkor hasznos, ha van egy kiszolgáló a hálózaton belül, amelyre teljes hozzáférés szükséges. Természetesen nem használhatja ezt az opciót, ha háromszáz gazda szeretne online kiadni egy címen keresztül. Ez a NAT opció nem fogja segíteni a fehér IP-címek mentését, de mindazonáltal hasznos.

Dinamikus

Például egy fehér című medence van, például a Szolgáltató 198.51.100.0/28 hálózatot osztott meg 16 címmel. Két közülük (első és utolsó) - a hálózat és a sugárzás címe, két további cím tartozik a berendezéshez, hogy útválasztást biztosítson. 12 A fennmaradó címek, amelyeket a NAT-hez használhat, és átalakíthatja őket a felhasználók.
A helyzet hasonló a statikus NAT-hoz - egy privát címet sugároznak egy külsőnek, de most a külső nem egyértelműen rögzített, de dinamikusan kiválasztódik a megadott tartományból.
Úgy van konfigurálva:
Router (CONFIG) #IP NAT POOL LOL_POOL 198.51.100.3 198.51.103.14

A nyilvános címek megadott medencéje (tartománya), amelyből a címet kiválasztják
Router (config) # Hozzáférés-lista 100 Engély IP 172.16.6.0 0.0.0.255 Bármilyen

Megadjuk a hozzáférés listáját, amely kihagyja az összes csomagot a 172.16.6.x forráscímmel, ahol h.különböző 0-255.
Router (CONFIG) #IP NAT IN SOURCE LIST 100 POOL LOL_POOL

Ezzel a paranccsal megöljük a létrehozott ACL-t és a medencét.

Ez az opció nem univerzális, akkor sem lehet kiadni 300 felhasználónkat, ha nincs 300 külső címe. Amint a fehér címek kimerültek, senki más nem férhet hozzá az internethez. Ugyanakkor azoknak a felhasználóknak, akiknek már ideje, hogy megragadják a külső címüket. Dobja ki az aktuális műsorokat, és engedje el a külső címet tiszta IP NAT fordítás *
A külső címek dinamikus elosztása mellett ez a dinamikusan NAT különbözik a static-tól, hogy külön portirányítási beállítás nélkül külső csatlakozás már nem lehetséges.

Sok-egy

A következő típus több névvel rendelkezik: NAT túlterhelés, port címfordítás (PAT), IP Masquerading, sok-egy NAT.
Az utóbbi név önmagáért beszél - egy külső címen keresztül sok magán a világba megy. Ez lehetővé teszi, hogy megoldja a problémát a külső címek hiánya, és engedje el a világot kívánó összeset.
Szükséges lenne magyarázatot adni, ahogy működik. Hogyan jelennek meg két privát címet az egyikre, de ahogy az útválasztó megérti, hogy ki kell küldenie egy csomagot, amely az internetről visszaküldte ezt a címet?
Minden nagyon egyszerű:
Tegyük fel, hogy a belső hálózatból származó két gazdaból készül egy töltőeszközön. Mindkettő a Web Servernek a 192.0.2.2.
A házigazdák adatai így néznek:

Az útválasztó felfedezi az IP-csomagot az első fogadóból, kivonja a TCP szegmenst, kinyomtatja, és kideríti, hogy a kapcsolat melyik portból van telepítve. 198.51.100.2 külső címe van, amelyhez a belső hálózat címe megváltozik.
Ezután egy szabad portot választ, például 11874-ben. És mit csinál a következő? Minden alkalmazásszintű adat egy új TCP szegmensben van csomagolva, ahol 80 marad a célport (várakozó webszerver csatlakozások), és a feladó portja 23761-ről 11874-re változik. Ez a TCP szegmens egy új IP-ben van beágyazva A feladó IP-címének csomagja 172.16.6.5-től 198.51.100.2.
Ugyanez történik a csomagoláshoz a második gazda, csak a következő szabad port van kiválasztva, például 11875. "szabad" azt jelenti, hogy még nem foglalkozik más vegyületekkel.
Az internetre küldött adatok most úgy néz ki, mint ez.

Nat-asztalában ad adatokat a küldőktől és a címzettektől

A webszerver esetében ezek két teljesen más kérés, amelyet minden egyes egyedileg kell feldolgozni. Ezt követően a válaszra utal, amely így néz ki:

Ha az egyik ilyen csomag az útválasztóba kerül, akkor megegyezik a csomagban szereplő adatokkal a NAT asztali rekordokkal. Ha a véletlen egybeesés megtalálható, van egy fordított eljárás - a csomag és a TCP szegmens csak célállomásként adja meg a kezdeti paramétereit:

És most a csomagok a számítógép-iniciátorok belső hálózata mentén kerülnek szállításra, amelyek még a tisztátalanok is, hogy valahol az adatokkal olyan nehéz a határon.

Minden fellebbezés külön kapcsolat. Vagyis megpróbálta megnyitni a weboldalt - ez egy HTTP protokoll, amely a 80-as portot használja. Ehhez a számítógépnek TCP-munkamenetet kell telepítenie egy távoli kiszolgálóval. Az ilyen munkamenetet (TCP vagy UDP) két aljzat határozza meg: Helyi IP-cím: Helyi port és távoli IP-cím: távoli port. A szokásos helyzetben egy számítógép-kiszolgálói kapcsolatot telepít, a NATA kapcsolat esetében olyan lesz, mint két:, az útválasztó kiszolgáló és a számítógép úgy gondolja, hogy van egy számítógépes szerver munkamenete.

A beállítás meglehetősen jelentéktelen: hosszabbító szó túlterhelés:

Router (config) # Hozzáférési lista 101 engedély 172.16.4.0 0.0.0.255
Router (CONFIG) #IP NAT IN SOURCE SOURCE LIST 101 INTERFACE FA0 / 1 túlterhelés

Ugyanakkor, természetesen megmentésre kerül a címek pooljának konfigurálásához:
Router (CONFIG) #IP NAT POOL LOL_POOL 198.51.100.2 198.51.103.14
Router (config) # Hozzáférés-lista 100 engedély 172.16.6.0 0.0.0.255
Router (CONFIG) #IP NAT IN SOURCE LIST 100 POOL LOL_POOL túlterhelés

Portok betöltése

Ellenkező esetben a kikötők vagy a feltérképezés is azt is mondják.
Amikor most kezdtünk beszélni a NAT-ről, a műsorunkat egy-egy-egy-egy-egy-egy-egy-egy-egy-egy-egy-egy-egy-egy-egy, és a külsõre érkező kérések automatikusan átkerültek a belső gazdagépre. Így lehetséges lenne a kiszolgálót az interneten kívül helyezni.
De ha nincs ilyen lehetőséged - fehér címeken korlátozott, vagy nem akarod, hogy ki a kikötőkhöz a kikötőkhöz, mit kell tennie?
Megadhatja, hogy minden egyes kérés egy speciális fehér címre, és az útválasztó konkrét kikötőjét át kell irányítani kötelező kikötő A kívánt hazai címet.
Router (CONFIG) #IP NAT INSURINE SOURCE STATIC TCP 172.16.0.2 80 198.51.100.2 80 Értékesíthető

Ennek a parancsnak a alkalmazása azt jelenti, hogy az internetről érkező TCP kérelmet a 88.51.100.2. A 88.51.100.2. Címre a 88.51.100.2. A 80.16.0.2 belső címre átirányítják. Természetesen mozoghat és UDP, és átirányítja az átirányítást egy portról a másikra. Ez például hasznos lehet, ha két számítógépe van, amelyekre szükséged van az RDP-n keresztül kívülről. Az RDP a 3389-es portot használja. Ugyanaz a port, amelyet nem lehet különböző gazdagépekre (egy külső cím használata). Ezért megteheti ezt:
Router (config) # IP NAT INSICINE SOURCE STATIC TCP 172.16.6.61 3389 198.51.100.2 3389
Router (config) # IP NAT INSURINE SOURCE STATIC TCP 172.16.6.66 3389 198.51.100.2 3398

Ezután eljutni a számítógéphez 172.16.6.61, elindítja az RDP munkamenetet 198.51.100.2:3389 portra, és 172.16.6.66 - 198.51.100.2:3398. A router maga terjed mindent, ahol szükséges.

By the way, ez a csapat egy különleges eset a nagyon első: IP NAT belső forrás statikus 172.16.6.66 198.51.100.2. Csak ebben az esetben beszélünk az összes forgalom tranzakciójáról, példáinkról - a TCP protokoll konkrét kikötőire.

Ez az, hogy a Nat Funciquet. A tulajdonságairól, a pluszok / hátrányok egy csomó cikket mondtak, de nem is beszélve őket.

Gyengeség és sós nat

+

- Először is A NAT nyilvános IP-címeket takarít meg. Valójában ez így jött létre. Egy cím után elméletileg több mint 65 000 szürke címet adhat meg (a portok számával).
- Másodszor, Pat és Dynamic Nat bizonyos mértékig tűzfal, amely megakadályozza a külső kapcsolatok elérését a végső számítógépek eléréséhez, amelyek nem lehetnek tűzfal és víruskereső. Az a tény, hogy ha a csomag kívülről származik, ami itt nem várható, vagy nem megengedett, egyszerűen eldobható.
A hiányzó és feldolgozandó csomag esetében a következő feltételeket kell követni:
1) A NAT táblázatot rögzíteni kell a csomag címének címét tartalmazó külső címre
ÉS
2) A csomagban lévő feladó kikötőjének meg kell egyeznie a rekordot a rekordhoz
ÉS
3) A csomag céltartománya, egybeesik a rekord portjával.
VAGY
Konfigurált portok portjai.
De nem kell figyelembe venni a NAT-t, mivel tűzfal nem több, mint egy további zsemle.

- Harmadszor, Nat elrejti a szemét belső struktúra A hálózat - ha az útvonalat a külső útvonalon nyomon követi, akkor nem fog semmit sem látni a töltőberendezést.

-

Nat és hátránya. A leginkább kézzelfogható, talán a következők:
- Néhány protokoll nem tud dolgozni a NAT-n keresztül mankók nélkül. Például az FTP vagy az alagút protokollok (annak ellenére, hogyan konfiguráltam az FTP-t a laboratóriumban, a való életben létrehozhat egy csomó problémát)
- Egy másik probléma egy címben rejlik, sok kérés van egy kiszolgálóra. Sokan tudtad ezt, amikor valami rapidshare-re mennek, és azt mondja, hogy az IP-vel már van kapcsolat, úgy gondolja, hogy "hazudik, kutya", és ez a szomszédod már szar. Ugyanezen okból problémák voltak az ICQ-vel, amikor a szerverek megtagadták a regisztrációt.
- Nem nagyon fontos. Most a probléma: a feldolgozó terhelése és ram. Mivel a munka mennyisége meglehetősen nagy az egyszerű útválasztáshoz képest (ez nem csak nézze meg az IP fejlécet, akkor el kell távolítania, vegye be a TCP fejlécet, hogy tegye az asztalra, rögzítse az új fejléceket) a kis irodákban Problémák ezzel.
Egy ilyen helyzetre jöttem.
Az egyik lehetséges megoldások - Engedje el a NAT funkciót egy külön PC-re vagy egy speciális eszközre, például a Cisco ASA-ra.
Azok számára, akik routerrel rendelkeznek, 3-4 bgp teljes nézetre fordulnak, most nem problémák.

Mit kell még tudnod?
- A NAT-t főként magáncímekkel való hozzáférés biztosítása. De van egy másik alkalmazás - a két magánhálózat közötti kapcsolat, metsző címterületekkel.
Például a vállalat az aktyubinsk fióktelepet vásárol. A címzett 10.0.0.0-10.1.255.255, és vannak 10.1.1.0-10.1.10.255. A tartományok egyértelműen metszenek, az útválasztás nem konfigurálható, mert ugyanaz a cím lehet Aktyubinsk, és a központban van.
Ebben az esetben a NAT konfigurálva van az ízület helyén. Mivel nem mérjük a szürke címeket, kiemelhető például a 10.2.1.0-10.2.10.255 tartomány és egy-egy-egy adás:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2

10.1.10.255-10.2.10.255

A felnőttek nagy játékaiban a NAT egy különálló fedélzeten (és gyakran), és ez nem működik nélkül. És az irodai mirigyek ellenkezőleg, szinte mindig is.

Az IPv6 széles körben elterjedt bevezetésével a Nate szükségessége nem megy. Már, a nagy ügyfelek érdeklődnek a NAT64 funkcionalitás iránt - ez az, amikor van egy út a világon az IPv4-en keresztül, és a belső hálózat már IPv6-on van

Természetesen ez csak egy felületi pillantás Nat, és még mindig van egy tenger árnyalat, nem pedig arra, hogy az önkifejtés segítsen.

Gyakorlat Nat.

Mit igényel tőlünk a valóság?
1) A vezérlőhálózatnak egyáltalán nem rendelkezik internet-hozzáféréssel
2) A PTO hálózatból származó házigazdák hozzáférhetnek csak a profil webhelyekhez, például a Linkmeup.ru
3) A számvitelből származó szép hölgyeknek meg kell vágniuk az ablakot az ügyfél bankok világába.
4) A FEO nem szabadul fel bárhol, a pénzügyi igazgató kivételével
5) A másik hálózaton, számítógépünkön és az adminisztrátor adminisztrátora - teljes hozzáférést biztosít az internethez. Minden más megnyitható írásban.
6) Ne felejtsük el a St. Petersburg és a Kemerovo fióktelepeit. Az egyszerűség érdekében teljes hozzáférést biztosítunk ezekből az alhálózatokból származó eniolók számára.
7) egyetlen dalszerverek. Számukra konfiguráljuk a port átirányítását. Amire szükségünk van:
a) A webszervernek elérhetőnek kell lennie a 80. porton
b) Mail Server a 25. és 110.
c) A fájlkiszolgáló elérhető a világból az FTP-ben.
8) Az adminisztrátori számítógépek és az RDP által az internetről elérhetőnek kell lenniük. Valójában ez a rossz út - mert távoli kapcsolat VPN-kapcsolatot kell használnia, és már a helyi hálózaton van az RDP használatához, de ez egy külön különböző cikk témája.

Először készítse el a vizsgálati területet:

Az internetkapcsolat a meglévő kapcsolaton keresztül szerveződik, amely biztosítja a szolgáltatót.
A szolgáltató hálózatához megy. Emlékeztetünk arra, hogy mindez ebben a felhőben egy absztrakt hálózat, amely valójában több tucat útválasztó és több száz kapcsoló állhat. De szükségünk van valami kezelésére és kiszámíthatóra, ezért itt kapjuk az útválasztót. Egyrészt egy kapcsolat a kapcsolóval, a másik szerveren az interneten.

Szerverek A következőkre van szükség:
1. Két kliens bank a könyvelőknek (sperbank.ru, mmm-bank.ru)
2. Linkmeup.ru a PetShnikov számára
3. Yandex (yandex.ru)

Ilyen kapcsolat esetén újabb VLAN-t fogunk emelni az MSK-Arbat-GW1-en. Természetesen az ő száma összhangban van a szolgáltatóval. Legyen VLAN 6
Tegyük fel, hogy a szolgáltató biztosít minket alhálózat 198.51.100.0/28.. Az első két címet egy link megszervezésére használják (198.51.100.1 és 198.51.100.2), valamint a fennmaradó maradékot, mint a Nat'a medencéjét. Azonban senki sem akadályozza meg, hogy a címet 198.51.100.2 a medencéhez használja. És csináld: medence: 198.51.100.2-198.51.100.14
Az egyszerűség érdekében tegyük fel, hogy a nyilvános kiszolgálók ugyanazon alhálózaton találhatók:
192.0.2.0/24 .
Hogyan állíthatunk be egy linket és címeket, amelyek már naprakészek.
Mivel csak egy router van a szolgáltató hálózatában, és minden hálózat közvetlenül csatlakozik hozzá, akkor nincs szükség az útválasztás beállítására.
De az MSK-Arbat-GW1-nek tudnia kell, hogy hol küldjön csomagokat az interneten, így szükségünk van az alapértelmezett útvonalra:

mSK-ARBAT-GW1 (CONFIG) # IP útvonal 0.0.0.0 0.0.0.0 198.0.0.100.1

Most rendben

Először konfiguráljuk a címek medencéjét

mSK-ARBAT-GW1 (CONFIG) # IP NAT Pool Main_Pool 198.51.100.2 198.51.100.2 198.51.100.14 Netmask 255.255.255.240

Most gyűjtsük össze az ACL-t:
mSK-Arbat-GW1 (CONFIG) # IP hozzáférési lista kiterjesztett Nat-inet

1) Ellenőrző hálózat

általában nem fér hozzá az internethez általában
Kész

2) Hostok a kardántengely hálózatból

Csak a profil webhelyekhez való hozzáférés, például a linkmeup.ru
mSK-ARBAT-GW1 (CONFIG-EXT-NACL) # TCP engedélyezése 172.16.3.0 0.0.0.255 Host 192.0.2.2 EQ 80

3) Számvitel

Mindkét szerveren hozzáférhetünk az összes gazdagéphez.
mSK-ARBAT-GW1 (CONFIG-EXT-NACL) # IP 172.16.5.0 0.0.0.255 Host 192.0.2.3
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # IP 172.16.5.0 0.0.0.255 Host 192.0.2.4

4) feo

Engedjünk engedélyt csak a pénzügyi igazgatónak csak egy házigazda.
mSK-Arbat-GW1 (CONFIG-EXT-NACL) # Engedély IP Host 172.16.4.123 Bármilyen

5) Egyéb

Számítógépeink teljes hozzáféréssel rendelkeznek
mSK-ARBAT-GW1 (CONFIG-EXT-NACL) # Engedély IP Host 172.16.6.61 Bármilyen
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # Engedély IP Host 172.16.6.66 Bármilyen

6) Szentpétervár és Kemerovo fióktelepei

Legyen Eicin címei megegyeznek: 172.16.x.222
mSK-ARBAT-GW1 (CONFIG-EXT-NACL) # Engedély IP Host 172.16.16.222 Bármilyen
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # IP IP Host 172.16.17.222 Bármilyen
MSK-Arbat-GW1 (CONFIG EXT-NACL) # IP IP Host 172.16.24.222 Bármilyen

Így néz ki most az ACL:
iP Access-List Extended Nat-inet
Megjegyzés.
A TCP engedélyezése 172.16.3.0 0.0.0.255 Host 192.0.2.2 EQW www
Megjegyzések.
Engedély IP 172.16.5.0 0.0.0.255 Host 192.0.2.3
Engedély IP 172.16.5.0 0.0.0.255 Host 192.0.2.4
Remark Feo.
Engedély IP Host 172.16.4.123 Bármilyen
Megjegyzés iam
Engedélyezi IP Host 172.16.6.61
Remark Admin.
Engedélyezi IP Host 172.16.6.66 bármely
Megjegyzés SPB_VSL_ISLAND.
Engedélyezi IP Host 172.16.16.222
Remark SPB_OZERKI.
Engedély IP Host 172.16.17.222
Remark KMR.
Engedély IP Host 172.16.24.222 Bármilyen

Fuss:

mSK-Arbat-GW1 (CONFIG) # IP NAT INSING SOURCE LIST NAT-inet medence Main_pool túlterhelés

De a boldogság nem lesz teljes az interfészek konfigurálása nélkül:
A külső felületen parancsot kell megadnia iP NAT kívül
A belső: iP NAT belsejében
mSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.101
MSK-Arbat-GW1 (CONFIG) # INT FA0 / 0.102
MSK-Arbat-GW1 (Config-Subif) # IP NAT belsejében
MSK-Arbat-GW1 (CONFIG) # INT FA0 / 0.103
MSK-Arbat-GW1 (Config-Subif) # IP NAT belsejében
MSK-Arbat-GW1 (CONFIG) # INT FA0 / 0.104
MSK-Arbat-GW1 (Config-Subif) # IP NAT belsejében

MSK-Arbat-GW1 (CONFIG) # INT FA0 / 1.6
MSK-Arbat-GW1 (Config-Subif) # IP NAT kívül

Ez lehetővé teszi, hogy az útválasztó megértse, hol várhat a feldolgozandó csomagok és hol küldje el őket.

Az interneten lévő kiszolgálókhoz rendelkezésre állnak domain névNem adnánk rosszul DNS-kiszolgálót a hálózatunkban:


Természetesen azt kell előírni azoknak az eszközöknek, amelyekről a hozzáférést ellenőrizzük:

A shownak folytatódnia kell!

Minden elérhető az adminisztrátori számítógépen:

A PTO hálózatából csak a Site Linkmeup.ru webhelyre érhető el a 80. porthoz (http):



A FEO hálózatán csak 4.123 (Phonde-rendező) jön a világhoz



Csak az ügyfél banki területek működnek a számvitelben. De mivel a felbontás teljesen az IP-protokollra adható, meg tudod adni őket:


7) Szerverek

Itt be kell állítanunk a portok portjait, hogy kapcsolatba léphessen velük az internetről:

a) webszerver

mSK-ARBAT-GW1 (CONFIG) # IP NAT Inside forrás statikus TCP 172.16.0.2 80 198.51.100.2 80

Azonnal ellenőrizze, például meg tudjuk csinálni egy teszt PC-t Ares 192.0.2.7.
Most semmi sem fog működni, mert a hálózati szervereknél nincs konfigurált interfész az MSK-Arbat-GW1-en:
mSK-Arbat-GW1 (CONFIG) # INT FA0 / 0.3
MSK-Arbat-GW1 (Config-Subif) # IP NAT belsejében

És most:

b) File Server

mSK-Arbat-GW1 (CONFIG) # IP NAT INSURINE SOURCE STATIC TCP 172.16.0.3 20 198.51.100.3 20
MSK-Arbat-GW1 (CONFIG) # IP NAT BEGYEN Forrás Statikus TCP 172.16.0.3 21 198.51.100.3 21

Itt erre az ACL kiszolgálókra is megnyitottuk a 20-21. Portot is

c) mail szerver

mSK-ARBAT-GW1 (CONFIG) # IP NAT Inside forrás Statikus TCP 172.16.0.4 25 198.51.100.4 25
MSK-ARBAT-GW1 (CONFIG) # IP NAT Inside forrás Statikus TCP 172.16.0.4 110 198.51.100.4 110

Az ellenőrzés is nem nehéz. Kövesse az utasításokat:
Először beállított levélkiszolgáló. Meghatározzuk a tartományt, és hozzon létre két felhasználót.

Konfigurálja a számítógépet a hálózatunkból:

Külső:

Levél készítése:

A helyi gazda kattintási fogadása:

8) RDP hozzáférés az adminisztrátori számítógépekhez és a miénkhez

MSK-ARBAT-GW1 (CONFIG) # IP NAT BEGYEN Forrás Statikus TCP 172.16.6.61 3389 198.51.100.10 3389
MSK-ARBAT-GW1 (CONFIG) # IP NAT INSINGLY SOURCE STATIC TCP 172.16.666 3389 198.51.100.10 3398

Biztonság

Az utolsó megjegyzéshez. Valószínűleg a töltőberendezés, akkor nézed az IP NAT külső felületén kívül - az interneten. Ezért ez az interfész nem akadályozná az ACL-t, ahol megtiltja, engedje meg, amire szüksége van. Ebben a kérdésben már nem fogunk megállítani ebben a cikkben.

Ezen a NAT technológiával végzett első ismeretesség teljesülhetett.
Mint egy másik DZ, válaszoljon arra a kérdésre, hogy miért nincs hozzáférése az internethez az Enionev számítógépéhez St. Petersburgban és Kemerovo-ban. Végtére is hozzáadtuk őket a hozzáférési listához.

Az IP-címek szűkös erőforrás. A Szolgáltató lehet / 16-cím (korábbi B osztály), amely lehetővé teszi a 65.534 gazdagép csatlakoztatását. Ha az ügyfelek egyre inkább, problémák merülnek fel. Az internethez való csatlakozás időről időre a szokásos telefonvonal mentén az IP-címek dinamikusan kiemelheti az IP-címeket csak a csatlakozási időre. Ezután az egyik / 16-cím akár 65.534 aktív felhasználót is szolgál, és ez elég lehet egy olyan szolgáltató számára, aki több százezer ügyféllel rendelkezik. A kommunikációs munkamenet befejezése után az IP-cím egy új vegyülethez van hozzárendelve. Az ilyen stratégia megoldhatja a szolgáltatók problémáit, amelyek nem túl nagy számú magán ügyfelek kapcsolódnak a telefonvonalon, de nem segítenek a szolgáltatóknak, akiknek a legtöbb olyan ügyfelei szervezetek.

Az a tény, hogy a vállalati ügyfelek előnyben részesítik az interneten, legalábbis a munkanap során. És a kis irodákban, mint például a három alkalmazottból álló turisztikai ügynökségek, és a nagyvállalatokban vannak helyi hálózatok, amelyek bizonyos számú számítógépből állnak. Néhány számítógép munkavállalói munkaállomások, néhány webkiszolgálók. Az általános esetben van egy LAN-útválasztó, amely egy dedikált vonalszolgáltatóhoz csatlakozik, hogy állandó kapcsolatot biztosítson. Az ilyen megoldás azt jelenti, hogy az egyes számítógépekhez egy IP-cím tartozik. Tény, hogy mindegyik együtt olyan kombinált számítógépek, amelyek vállalati ügyfelekkel rendelkeznek, nem blokkolhatják az IP-cím szolgáltatóját. A hossza hossza / 16, ez a határérték megegyezik, amint azt már megjegyeztük, 65 534. Ha azonban az internetszolgáltató szolgáltatója a vállalati ügyfelek számát több tízezer számították ki, akkor ez a határérték érhető el nagyon gyorsan.

A problémát súlyosbítja az a tény, hogy minden több Egyéni felhasználók szeretnék, hogy van egy ADSL vagy kábel csatlakozik az internethez. Ezeknek a módszereknek a jellemzői a következők:

a) a felhasználók állandó IP-címet kapnak;

b) Nincs időtlen fizetés (csak a havi előfizetési díj kerül felszámolásra).

Az ilyen jellegű szolgáltatás felhasználóinak állandó kapcsolata van az internethez. Ebben az irányba történő fejlesztés az IP-címek hiányának növekedéséhez vezet. IP-címek hozzárendelése "a repülésen", amint azt, amikor megtörtént telefon kapcsolat, ez haszontalan, mert az aktív címek száma minden idő pillanatában sokszor több, mint a szolgáltató.

Gyakran a helyzet még bonyolultabb, mivel sok ADSL-felhasználó és kábel internet Van két vagy több számítógép (például minden családtag számára), és szeretné, hogy minden autó hozzáférjen az internethez. Mi a teendő - végül is, csak egy IP-cím van kiadva a szolgáltató! Ez a megoldás: Meg kell telepítenie az útválasztót, és ötvözi az összes számítógépet a helyi hálózatban. A szolgáltató szempontjából, ebben az esetben a család több számítógépes vállalat analógként fog működni. Üdvözöljük a Pupkin Corporation-ban!

Az IP-címek hiányának problémája nem elméleti, és nem vonatkozik a távoli jövőre. Ő már releváns, és itt és most harcol. A hosszú távú projekt magában foglalja az egész internet teljes fordítását az IPv6 protokollhoz egy 128 bites címzéssel. Ez az átmenet valóban fokozatosan történik, de a folyamat olyan lassú, ami évek óta késik. Ezt látva, sokan rájöttek, hogy sürgősen meg kell találni néhány döntést legalább a közeljövőben. Egy ilyen oldatot hálózati cím sugárzási módszer formájában találtunk, NAT (hálózati címfordítás)Az RFC 3022-ben leírtak. A lényege később megnézzük, és részletesebb információ található (Butcher, 2001).

A hálózati cím sugárzásának fő elképzelése az, hogy minden egyes IP-címet (vagy legalább egy kis számú címet) hozzárendelje az internetes forgalomhoz. A vállalat belsejében minden számítógép egyedi IP-címet kap a belső forgalom irányításához. Azonban, amint a csomag elhagyja a vállalat épületének korlátait, és elküldi a szolgáltatót, a cím sugárzott. E rendszer megvalósításához az úgynevezett magán IP-címek három tartományát hozták létre. A vállalaton belül a saját belátása szerint használhatók. Az egyetlen korlátozás az, hogy az ilyen címekkel ellátott csomagok semmilyen esetben nem jelennek meg az interneten. Ezek a három fenntartott tartomány:

10.0.0.0 - 10.255.2555.255/8 (16,777,126 házigazdák)

172.16.0.0 - 172.31.255.255/12 (1,048,576 házigazdák)

192.168.0.0 -192.168.255.255/16 (65.536 Hosts)

A műsorszórási hálózati címek módjának munkája a hosszan tartó rendszeren látható. A Társaság területén minden gépnek saját egyedi címe van a 10.x.y.z formanyomtatványról. Mindazonáltal, amikor a csomag meghaladja a vállalat tulajdonjogát, áthalad a NAT blokkon, amely a forrás belső IP-címét (10.0.0.1 ábrát) fordítja a vállalat által a szolgáltatóból származó valódi IP-címre (198.60.42.12) példánkra). A NAT blokk általában egyetlen eszköz A bejövő és kimenő-érzékeny vállalat szigorú nyomon követésével biztonságos tűzfalat biztosít. A NAT blokk integrálható a vállalati routerrel.

Még egy kis részletet is sikerült: amikor egy kérésre (például egy webszerverről) van, 198.60.42.12-hez szólt. Hogyan tudja megismerni a NAT blokk, hogy milyen hazai cím a vállalat általános címének cseréje? Ez a hálózati címek közvetítésének fő problémája. Ha az IP-csomag fejlécje egy szabad mező volt, akkor felhasználható, hogy emlékezzen a kérésre küldött címét. De a címben csak egy kötegelt marad. Elvileg lehet létrehozni egy ilyen mezőt a forrás valódi címére, de az Interneten az összes gépen az IP-kód módosítása szükséges lenne. Ez nem a legjobb megoldás, különösen, ha gyors megoldást szeretne találni az IP-címek hiánya problémájára.

Valójában ez történt. A NAT fejlesztői megjegyezték, hogy az IP-csomagok hasznos terhelése TCP vagy UDP. Mindkét formátum tartalmazza a forrás- és vevő portokat tartalmazó címeket. A portszámok 16 bites egész számok, amelyek azt mutatják, hogy a TCP-kapcsolat véget ér, és ahol véget ér. A portszámok tárolási helyét a NAT munkához szükséges mezőként használják.

Ha a folyamat TCP-kapcsolatot szeretne telepíteni egy távoli folyamathoz, akkor egy ingyenes TCP portra kötődik saját számítógépén. Ez a port olyan forráskort lesz, amely megmutatja a TCP kódinformációit, hogy hol irányítsa a kapcsolat csomagolását. A folyamat meghatározza a célportot is. A célporton keresztül azt jelentik, hogy kinek adja meg a csomagot a távoli oldalon. A kikötők 0 és 1023 között vannak fenntartva a jól ismert szolgáltatások számára. Például a 80. portot a webszerverek használják, és navigálhatnak távoli ügyfelek. Minden kimenő TCP üzenet tartalmaz információkat a rendeltetési helyre és portról. Együtt szolgálnak azon feldolgozások azonosítására mindkét végén egy vegyület alkalmazásával.

Egy analógiát fogunk felhívni, amely némileg tisztázza a kikötők használatának elvét. Tegyük fel, hogy a vállalatnak van egy közössége telefonszám. Amikor az emberek szereznek, hallják az üzemeltető hangját, aki azt kéri, hogy ki pontosan szeretné csatlakozni, és összekapcsolja azokat a megfelelő e-mail telefonszámhoz. A fő telefonszám a vállalat IP-címének analógiája, és a mindkét végén lévő kiegészítés hasonló a kikötőkhöz. A portok kezeléséhez 16 bites mezőt használnak, amely azonosítja a bejövő csomag fogadását.

A forrásport mező használatával megoldhatjuk a cím leképezési problémáját. Ha a kimenő csomag a NAT blokkba kerül, az űrlap forrásának forráscíme 192.168.c.d helyébe az IP-cím váltja fel. Ezenkívül a TCP forráskort helyettesíti a 65.536 bejegyzést tartalmazó NAT-blokk fordítási táblázat indexét. Minden bejegyzés tartalmazza az eredeti IP-címet és a forrásportszámot. Végül a TCP és az IP fejlécek ellenőrzőösszegét újraszámítják és beillesztik a csomagba. Szükséges a forrásport mező helyettesítésére, mivel a 10.0.0.1 és 10.0.0.2 helyi című gépek véletlenül ugyanazt a portot szeretné használni (például 5000 perc). Tehát az egyik mező feladói folyamatának egyértelmű azonosításához a forrás kikötője nem elég.

Amikor a csomag érkezik a NAT blokkba a szolgáltatótól, akkor a TCP fejlécforrás mezőértékét letölti. A NAT blokk megjelenítési táblázat indexként használják. Az ebben a táblázatban található rekord szerint meghatározzák a belső IP-címet és a TCP forrásának ezt a portját. Ez a két érték a csomagba kerül. Ezután a TCP és az IP-ellenőrzőösszegeket újra számolják. A csomagot a vállalat fő útjára továbbítják a normál szállításhoz az 192.168.Z.Z.Z.Z.Z.Z.Z.Z.Z.Z.Z.Z.Z.N.

Ha egy ADSL-t vagy kábelintézetet alkalmaznak, a hálózati cím átvitele felhasználható a címek hiánya elleni küzdelem megkönnyítésére. A felhasználók címeihez rendeltek a 10.x.y.z. Amint a csomag elhagyja a szolgáltató birtokának korlátait, és online megy, a NAT blokkba esik, amely átalakítja a belső címet a szolgáltató valódi IP-címéhez. Visszatérve a fordított művelet végrehajtása. Ebben az értelemben az internet hátralévő részében a szolgáltató ügyfeleivel az ADSL-t és a kábelt használja: az interjú egy nagyvállalat formájában jelenik meg.

Bár a fent leírt séma részben megoldja az IP-címek hiánya problémáját, sok IP-adherentnek számít a NAT-et, mint a földön terjedő fertőzést. És megérthetők.

Először is, a műsorszórási címek elve nem illeszkedik az IP-architektúrába, amely azt jelenti, hogy az egyes IP-cím egyedülállóan azonosítja a világ egyik gépét. Minden szoftverszerkezet Az internet e tény használatára épül. A hálózati címek közvetítésénél kiderül, hogy több ezer gép lehet (és így történik a valóságban), hogy a cím 10.0.0.1.

Másodszor, NAT az internetet a hálózatról kapcsolja be anélkül, hogy kapcsolatba lépne valami hasonló hálózati orientált hálózatba. A probléma az, hogy a NAT blokknak támogatnia kell a kijelző táblázatot az összes összeköttetéshez. A kapcsolat állapotának tárolása egy kapcsolatorientált hálózatok, de nem hálózatok a kapcsolatok kialakítása nélkül. Ha a NAT blokk szünetei és a kijelzőasztalok elveszítik, akkor az összes TCP-kapcsolaton keresztül elfelejthető. Ha nincs hálózati címek közvetítése, az útválasztó meghibásodása nem befolyásolja a TCP működését. A küldő folyamat egyszerűen néhány másodpercet tömíti, és minden nem megerősített csomagot küld. A NAT használata esetén az internet olyan érzékeny lesz, mint a hibák, mint hálózati kapcsolócsatornák.

Harmadszor, a NAT megszakítja a többszintű protokollok megépítésének egyik alapvető szabályát: a K szintet nem szabad olyan feltevést építeni, hogy a K + 1 szint a hasznos terhelés mezőbe kerüljön. Ez az elv határozza meg a szintek függetlenségét egymástól. Ha egy TCR-2 valaha is felveszi a TCP-t, amely más fejléc formátumban (például 32 bites portcímzés) lesz, akkor a hálózati címek sugárzása a Fiasco-ban lesz. A többszintű protokollok teljes ötlete az, hogy az egyik szint változása nem befolyásolhatja a fennmaradó szinteket. Nat elpusztítja ezt a függetlenséget.

Negyedszer, az interneten végzett folyamatok egyáltalán nem kötelesek csak TCP-t vagy UDP-t használni. Ha a gép felhasználója úgy dönt, hogy jön létre egy új protokoll közlekedési szint A gép felhasználójával való kommunikációhoz (ez például néhány multimédiás alkalmazás esetén), akkor valamilyen módon foglalkoznia kell azzal a ténnyel, hogy a NAT blokk nem tudja megfelelően feldolgozni a TCP forrás port helyesen .

Ötödik, egyes alkalmazások IP-címeket helyeznek be az üzenet szövegéhez. A címzett ott kivonja őket, majd folyamatokat. Mivel a NAT nem tud semmit a címzés módjáról, nem tudja megfelelően feldolgozni a csomagokat, és minden olyan kísérletet használni, hogy ezeket a címeket egy távoli párthoz vezethessen. File Transfer Protocol, FTP (File Transfer Protocol) használja ezt a módszert, amely szintén nem volt hajlandó munkát, ha műsorszóró hálózat címét, kivéve, ha speciális intézkedéseket. Az internetes telefonos protokoll H.323 is hasonló tulajdonsággal rendelkezik. Javíthatja a NAT módszert, és helyesen működik a H.323-mal, de lehetetlen finomítani, ha új alkalmazás jelenik meg.

Hatodik, mivel a forrásport mező 16 bites, akkor körülbelül 65.536 helyi gép jeleníthető meg egy IP-címen. Valójában ez a szám kissé kevesebb: az első 4096-as port a szolgáltatási igények számára fenntartott. Általában, ha több IP-cím van, mindegyikük akár 61 440 helyi címet is támogathat.

Ezek és más kapcsolódó problémák műsorszóró hálózati címek tárgyalja RFC 2993. Általában ellenfelei NAT mondjuk, hogy a megoldást a problémáját, az IP-címek létrehozásával egy ideiglenes javítást csak zavarja a folyamat valódi fejlődés, ami abból áll, hogy megy Ipv6-hoz. De ha visszatérsz a valósághoz, akkor látni fogjuk, hogy a legtöbb esetben a NAT csak egy nélkülözhetetlen dolog, különösen a kis irodák számára, amelyek több darabszámú számítógépek számát több tucatig terjednek. NAT megvalósítható saját erők Az OS Linux használatával

Apartmanaink egyre több digitális eszköz - laptopok, tabletták és okostelefonok. Míg a lakásban lévő számítógép egyedül volt, és közvetlenül a szolgáltató hálózatához kapcsolódott - nem merült fel. És most, ha van egy probléma - hogyan kell csatlakoztatni egy új laptopot vagy tablettát az internethez. Itt, hogy segítsen és jönjön nAT technológia. Mi a NAT technológia lényege?
Nat.hálózati cím fordítása - Az orosz fordításánál ez így hangzik: "A hálózati címek konvertálása". Nat. - Ez egy mechanizmus a TCP / IP hálózatokban, amelyek lehetővé teszik az árutovábbítási csomagok IP-címét.
Ha egy egyszerű nyelvvel van kifejezve - akkor számos számítógép van a helyi hálózaton, majd a technológia köszönhetően Nat. Mindannyian mennek külső hálózat Internet egy külső használatával iP-cím (Ip).

Mi az IP-cím?

Routerrouter - a harmadik szinten dolgozik oSI rendszerek, használt, használt iP protokoll - A TCP / IP hálózati réteg router protokoll. A protokoll szerves része a hálózat kezelése. A meglévő szabályoknak megfelelően - a hálózat összes eszköze van hozzárendelve IP-címek (AI-PI címek) - A csomópont címének egyedi hálózati azonosítói. Használt 2 típusú IP-cím - szürke és fehér. Szürke címek - Ez része a helyi hálózathoz rendelt címterületnek - alhálózati IP-címek 10.0.0.0/8, 172.16.0.0/12 vagy 192.168.0.0/16 . Minden más alhálózat az interneten használatos és fehér IP-címek.

A hálózaton lévő eszközök megosztott internet-hozzáférésének biztosítása.

Annak érdekében, hogy csatlakozzon az internethez az összes eszközhöz a szükséges helyi hálózaton router. Router - Ez olyan eszköz, amely összekapcsolhatja a szolgáltató hálózatát az internetre, és eloszthatja azt a csatlakoztatott eszközöknek, mivel legalábbis 4 LAN-port és Wi-Fi modul. Ne keverje össze egy routert egy egyszerű Ethernet kapcsolóval, amely lényegében a hálózat hülye "osztója". Annak a ténynek köszönhetően, hogy az útválasztó telepítve van UNIX-szerű rendszer, felemelheti az eszközt különböző szolgáltatások, beleértve szolgáltatás nat.. Ehhez egy router konfigurálásakor tegyen kullancsot Engedélyezze a NAT-t. .

Tehát mi a következő router Minden egyes kéréshez, amely áthalad, egy adott címkét tartalmazza, amely tartalmazza a küldőre vonatkozó adatokat a helyi hálózaton. Amikor a válasz erre a kérésre jön, router A címkével meghatározza, hogy melyik IP-cím a helyi hálózaton küldje el a csomagot. Itt van minden a NAT technológia működésének elvét dióhéjban.

  • 01.02.2010

Ma tekintjük meg az internethez való általános hozzáférés megszervezését és automatikus beállítás Hálózatok a Windows platformon. Annak ellenére, hogy ez egy drágább megoldás, kérelme indokolt lesz, ha a hálózati infrastruktúrával való szoros integrációt alapul szolgálnak Windows szerver.

Munkacsoportként a Windows Server 2008 R2-t használtuk, mint ma a legjelentősebb platformot, de a fent említett módosítások mindegyike az előzőre vonatkozik windows verziók 2003/2008 szerver.

Kezdetben be kell állítania a hálózati interfészeket. A mi esetünkben az interfész, amely a szolgáltató hálózatához néz, megkapja a DHCP beállításait, átneveztük az Ext. A belső interfész (LAN) statikus IP-címe 10.0.0.1 és egy maszk 255.255.255.0.

NAT létrehozása.

A szervezésének legegyszerűbb módja általános hozzáférés Az internet tartalmazza a megfelelő opciót a hálózati kapcsolat beállításaiban. Azonban az összes egyszerűséggel ez a módszer rendkívül rugalmatlan és elfogadható, ha a szerver előtt nincs más útválasztási feladat. Jobb, ha nehezebb, első pillantásra, az utat, hanem egy nagyon erős és rugalmas eszközt kap a saját kezedben, lehetővé téve, hogy sokkal összetettebb hálózati feladatok megoldásához.
Kezdjük, mivel az új kiszolgáló szerepének hozzáadásával: Hálózati házirend-szolgáltatások és hozzáférés.

A szerepek szerepében Útválasztási szolgáltatás I. távoli hozzáférés , minden mást nem érdekli számunkra most. Sikeres telepítési szerepkör után eljuthat az Útválasztási beállításokhoz.

BAN BEN Hívás Megtaláljuk az útválasztó szolgáltatást és a menüt Cselekvések Választ Az útválasztás és a távoli hozzáférés beállítása és engedélyezése. A beállítás egy varázsló segítségével történik, amely lépésről lépésre az összes beállítást végzi. Konfigurációként válassza ki Hálózati cím átalakítása (NAT)Bármely más funkció manuálisan konfigurálható.

Itt meg kell adnia az interfészt, hogy a szerverünk az internethez csatlakozik, szükség esetén létrehozhatja (például PPPoE vagy VPN-kapcsolatok használatakor).

A fennmaradó beállítások alapértelmezés szerint maradnak, és a gombra kattintva készen áll az útválasztás és a távoli hozzáférési szolgáltatás elindítására, szerverünk készen áll a belső hálózaton lévő ügyfelek fenntartására. Ellenőrizheti az ügyfélgép IP-címét a belső hálózati sávból, és megadhatja az átjáró és a DNS-kiszolgáló Szerverünk címe.

A DHCP beállítása

A hálózati beállítások automatikus konfigurálása az ügyfélgépeken, Nos, hogy ne futtassa a helyről, hogy manuálisan írja be az IP-címeket, akkor hozzá kell adnia a DHCP-kiszolgáló szerepét.

Ehhez válasszon Adjon hozzá szerepet ban ben Szerverkezelő És ünnepeljük a szükséges opciót.

Most számos egyszerű kérdésre kell válaszolnunk. Különösen kiválaszthatja, hogy mely belső hálózatoknak kell használniuk a DHCP-t, szükség esetén különböző paramétereket konfigurálhat különböző hálózatokhoz. Ezután egymás után adja meg a DNS és a nyeremények paramétereit. Ez utóbbi, hiányában nem adhatja meg. Ha a hálózat nem rendelkezik régi munkaállomásokkal, amelyek a Windows NT 5-ös és a fenti (2000 / XP / VISTA / SEVEN) működnek, akkor nincs szükség a WINS-kiszolgálóra.

A DHCP-régió hozzáadását fokozott figyelmet kell fordítani, a hiba itt vezethet az egész hálózathoz való képességhez. Itt nincs nehéz dolog, csak óvatosan adja meg óvatosan az összes szükséges hálózati paramétert, miután az IP-tartományt, hogy átfedje a már kiválasztott más eszközöket, és ne felejtse el helyesen megadni a maszkot és az átjárót.

Különös figyelmet kell fordítani egy ilyen paraméterre, mint a bérleti idő. A bérleti időszak fele után az ügyfél kérést küld a kiszolgálónak, hogy meghosszabbítsa a lízinget. Ha a kiszolgáló nem áll rendelkezésre, a kérés megismétlődik a hátralévő idő fele után. A vezetékes hálózatokban, ahol a számítógépek nem mozognak a hálózaton belül, akkor elegendően nagy bérleti időt állíthat be, ha sok van mobil felhasználók (Például nyilvános Wi-fi pont A kávézóban a bérleti időszak több órára korlátozható, különben a bérelt címek időben történő kiadása nem fog megtörténni, és a medencében nem lehet ingyenes címek.

A következő lépés megtagadja az IPv6 támogatását, és a DHCP szerepének telepítése után a kiszolgáló készen áll a munkára további beállítások. Ellenőrizheti az ügyfélgépek működését.

A kiadott IP-címek megtekinthetők Bérelt címekaz érdekelt területhez kapcsolódik. Itt konfigurálhatja az adott cím egy adott címének biztonsági mentését (Név vagy MAC-cím), ha szükséges, hozzáadhatja vagy módosíthatja a terület paramétereit. Szűrőkészülékek Engedje meg, hogy engedélyt vagy tiltó szabályokat hozzon létre az ügyfél MAC-címei alapján. A Windows Server 2008 R2 DHCP-kiszolgáló összes jellemzőjének teljes körű megfontolása túlmutat ebben a cikkben, és valószínűleg különálló anyagot fordítunk nekik.

  • Címkék:

Kérjük, engedélyezze a JavaScriptet a Disquus által szolgáltatott megjegyzések megtekintéséhez.

Trekbek

A múltbeli anyagunkban áttekintettük a NAT-beállítást windows platformok Szerver. Mivel az olvasó válaszának megmutatta, bizonyos nehézségek fordulnak elő a kapcsolódó internetkapcsolatok: VPN vagy PPPOE. Ma megnézzük a megrendelést ...