Meny
Är gratis
checka in
den huvudsakliga  /  FÖRBI / NAT-anslutningstyp. NAT - Ställa in nätverksadresser omvandling

Typ av NAT-anslutning. NAT - Ställa in nätverksadresser omvandling

Detta är absolut olika tekniker. Förvirra inte dem.

Vad är nat.

NAT - kollektivt löptid, betecknar sändningsteknik nätverksadresser och / eller protokoll. NAT-enheter producerar över passande transformationspaket med ersättning av adresser, portar, protokoll etc.

Det finns ett smalare koncept av snat, dnat, masquerading, pat, nat-pt, etc.

varför behöver NAT, hur man använder den

För att visa internt internt nätverk

  • genom pool av externa adresser
  • genom en extern adress

För substitution av extern IP-adress till andra (omdirigering av trafik)

För lastbalansering mellan identiska servrar med olika IP-adresser.

Att kombinera två lokala nätverk med skärande intern adressering.

hur NAT är ordnad

s + D Nat (Branch Sammanslagning - Evil!)

port-Mapping, Port Burning

Fördelar och nackdelar

Oförenlig med några protokoll. Det specifika genomförandet av NAT bör stödja inspektionen av det nödvändiga protokollet.

Nat har "skärm" internt nätverk från omvärlden, men det kan inte användas istället för en brandvägg.

Cisco iOS-inställning

Cisco-routrar och brandväggar stöder olika typer av NAT, beroende på uppsättningen alternativ för programvara. Den mest använda är NAT-metoden med bindning av interna lokala adresser till olika portar av en extern adress (Pat i Cisco Terminology).

För att konfigurera NAT på routern krävs det: o Bestäm trafik som måste överföras (med hjälp av åtkomstlistor eller rutt-karta);

IP-åtkomstlista förlängt lokalt tillstånd IP 10.0.0.0 0.255.255.255 någon

Rutt-karta int1 Match IP-adress Lokalt matchgränssnitt FasterNet0 / 1.1

AKSSS-blad Lokal väljer all trafik från 10 nätverk.

Rut-Map Int1 väljer den lokala axlarna, lämnar Sabeneface FA 0 / 1.1

o Bestäm vilka externa adresser för att bedriva sändning. Välj pool externa adresser. För klappar tillräckligt med en enda adress.

IP NAT Pool Global 212.192.64.74 212.192.64.74 Netmask 255.255.255.0

Ställa in poolen av externa adresser med namnet Global. I poolen av bara en adress.

o Aktivera NAT för utvalda interna och externa adresser.

IP NAT INSIDE SOURCE ROUTE-MAP INT1 POOL Global överbelastning

Gör det möjligt för NAT att sända källadresser på det interna gränssnittet. Endast trafik sänds under förutsättningarna för Rout-Map Int1. Den externa adressen kommer att tas från Pula Global.

IP NAT inuti källan statisk TCP 10.0.0.1 23 212.192.64.74 23 förlänga

Statisk port av porten "eller" publicering av tjänsten ". I den trafik som går in i adressen 212.192.64.74 kommer adressen till 10.0.0.1 och port 23 att ersättas med TCP 23-porten 23.

o Tilldela interna och externa gränssnitt.

Gränssnitt FasteThetNet0 / 0 IP Nat Inside Interface FastAthetNet0 / 1.1 IP Nat utanför

FA 0/0-gränssnittet är tilldelat internt för NAT.

FA 0 / 1.1 SABRIDER är tilldelad extern för NAT.

O Debugging och Diagnostics:

SH IP Nat Translations - Visarbord över aktuella sändningar; Rensa IP NAT-översättningar - Ta bort alla aktuella sändningar; Debug IP NAT - Aktivera felsökningsmeddelanden (Undebug All of Debugging).

Exemplar

Vi ger flera demonstrationsexemplar för Cisco Packet Tracer Emulator.

Ett enkelt diagram över utgången från ett litet nätverk till Internet genom poolen av externa adresser

Enkel nätverksutgångskrets på Internet via en extern adress

Monteringsschema med skärande adressering

Drift av nat.

Förfarandet för tillämpning av NAT-regler skiljer sig från olika tillverkare och på olika utrustning. Vi ger förfarandet för att tillämpa NAT-policyer för routrar på Cisco IOS:

In-till-utanför

Om IPsec sedan checka in Access List Decryptering - för CET (Cisco-krypteringsteknik) eller IPSec Kontrollera ingångsåtkomstlista Kontrollera ingångsfrekvensgränser Inmatningsredovisning Omdirigering till Web Cache Policy Routing Routing Nat inuti till utsidan (Lokal till Global Translation) Crypto (Kolla karta och Markera för kryptering) Kontrollera utgångslista Inspektera (Kontextbaserad åtkomstkontroll (CBAC)) TCP-avlyssningskrypteringskön

Utvändig

Om IPsec sedan checka in Access List Decryptering - för CET eller IPSEC Kontrollera ingångsåtkomstlista Kontrollera ingångsfrekvensgränser Inmatningsredovisning Omdirigera till webbcache Nat utanför till insidan (global till lokal översättning) Policy Routing Routing Crypto (Kolla karta och Mark för kryptering) Kontrollera Utgångsåtkomstlista Inspektera CBAC TCP-avlyssningskrypteringskön

Internet kanal från en leverantör via NAT

Enkelt NAT-implementeringsschema med en leverantör

Reservation av Internet-kanalen från två leverantörer med NAT, IP SLA

Danar: Vi får för flera internetdatorer från ISP1-leverantören. Han tilldelade US-adress 212.192.88.150. Internetåtkomst är organiserad från den här IP-adressen via NAT.

Uppgift: Anslut backup-leverantören - ISP2. Han kommer att tilldela oss adress 212.192.90.150. Ordna trafikbalansering: Webtrafik kan tillåtas via ISP1, annan trafik - via ISP2. Vid misslyckande av en av leverantörerna - att starta all trafik på den levande kanalen.

Vad är komplexiteten i uppgiften? Rensa IP NAT-översättningar?

Schema

Konfigurera

1 Clear IP Nat Translations *

Funnet, en sådan del av EEM testas. Inte alla versioner av iOS. Händelse genereras .. Vi måste klargöra.

! Event Manager Applet Nat-Track Event Syslog Pattern "Tracking-5-State" Action 0.1 CLI Command "Aktivera" Åtgärd 0.2 Vänta 3 Åtgärd 0.3 CLI Command "Clear IP Nat Translation *" Åtgärd 0,4 Syslog Msg "Nat Translation Cleared After Track State Change "!

2 När gränssnittet faller på leverantören är chansen att hans gateway kommer att sparka genom den andra

! Användarnamn Lösenord Namn 0 Lösenord Aktivera hemlighet 0 Parolconfiga! ! Styringång till linjen VTY Router 0 4 Logga in Lokal! ! DHCP IP DHCP Pool LAN Nätverk Vieting Mask Standard-Router Gate DNS-Server 10.11.12.13! DNS - FICTITIOUS INNED - INTE FRÅN VÅR lokalt nätverk ! ! ! Ping Monitor till Provider-1 Gateway! Vänta på ett svar 100 ms! Pinging med en frekvens av 1 sekunders IP SLA Monitor 1 Typ Echo Protokoll iPicmpecho Gaters1 Källa-Interface Interfaces1 Timeout 100 Frekvens 1! ! Ping Monitor on Provider-2 IP SLA Monitor 2 Typ Echo Protokoll iPicmpecho Gaters2 Källa-gränssnitt Gränssnitt2 Timeout 50 Frekvens 1! ! Börjar Pingovakov 1 och 2, nu och för alltid IP SLA Monitor Schedule 1 Livet för alltid Starttid nu IP SLA Monitor Schema 2 Livet för alltid Starttid nu! ! Spår 10 och 20 - Spårning av Penny State! Reagerar på tillståndet av eller upp med en fördröjning på 1 sek. Spåra 10 RTR 1 Tillgänglighetsfördröjning Ned 1 UP 1! Spår 20 RTR 2 Tillgänglighet Fördröjning ner 1 UP 1! ! ! Rutter för alla externa nätverk på båda leverantörerna! Rutter är knutna till spår! och kommer endast att aktiveras om spåret är i UP-tillståndet! de där. Om gatewayen på motsvarande leverantör är tillgänglig IP-rutt 0.0.0.0 0.0.0.0 GATERS1 TRACK 10 IP ROUTE 0.0.0.0 0.0.0.0 GATERS2 TRACK 20! ! ! Int FA 0/0 Nej Stäng! ! Sub-gränssnitt mot externa leverantörer! Markerad som utanför för NAT-gränssnittet FastetersNet0 / 0,1 Beskrivning ISP1 Encaps Dot1Q nummer 1 IP-adress IPNAPS1 IP Nat utanför mask! Gränssnitt FastetersNet0 / 0.2 Beskrivning ISP2 Incapsulation dot1q nummer2 IP-adress IPNAPS2 IP Nat utanför mask! ! Intern nätverksgränssnitt! Markerad som inuti för NAT! PRBR-gränssnitt FasterNet0 / 1 IP-adress Routing Policy Sekretesspolicy IP Nat Inside IP Policy Rutt-karta PBR Nej Stäng! ! Aksess-lakan från nätverket utanför! På webbtrafik och på allt annat IP-åtkomstlista förlängt lokaltillstånd IP insåga någon! IP-åtkomstlista Extended Web Permit TCP Interior Eventuella EQ WWW Permit TCP Innode Eventuella EQ 443! IP-åtkomstlista förlängde all tillåtelse IP någon som helst! ! ! SLY RUTH MAP PBR! Om trafik från LAN på webben! Det utser honom till den första leverantörens gateway! Annars, annan trafik från LAN! Tilldela en andra leverantörsgateway. ! När du tilldelar en gateway, är spåren kontrollerade av rutt-karta PBR-tillstånd 10 Match IP-adress Web Set IP Nästahop Verifiera-tillgänglighet Gaters1 1 Track 10! Rutt-karta PBR tillåter 20 Match IP-adress All Ange IP Nästahop Verifiera-tillgänglighet Gaters2 1 Spår 20! ! ! Sunny Root-Map ISP1! Fungerar om trafik från LAN! Försök att lämna FA0 / 0.1 Rutt-map ISP1 Tillåt 10 Match IP-adress Lokalt matchgränssnitt FasteThetNet0 / 0.1! ! Sunny Root-Mapp ISP2! Fungerar om trafik från LAN! Försöker avsluta FA0 / 0.2 Rutt-map ISP2 Tillåt 10 Match IP-adress Lokalt matchgränssnitt FasteThetNet0 / 0.2! ! ! Slutligen, Nat ;-)! ! Trafik från LAN i den första leverantören Klockan genom den första IP NAT inuti källvägs-kart ISP1-gränssnitt FastetersNet0 / 0,1 Överbelastning! ! Trafik från LAN i den andra leverantören till NAT via den andra IP Nat inuti källvägen-kartan ISP2-gränssnitt FastetersNet0 / 0.2 Överbelastning! ! Trafiken på den fiktiva DNS är att övermana till Google DNS IP NAT utanför källstatiska 8.8.8.8 10.11.12.13 No-alias! ! Intern port 3389 Framåt på den externa porten 1111 IP Nat inuti Källa Statisk TCP Extrogous 3389 Yttre 1111 Utdragbar IP Nat inuti Källa Statisk TCP Extrogous 3389 Yttre 1111 utdragbar! !

diverse

CGN (bärarklass NAT) med en speciell pool av privata adresser

Nat som Alg (Application Layer Gateway), (vanlig textprotokoll, t.ex. SIP)

Tja, glöm det här texterna ett tag.
Generellt sett är åtkomstlistor annorlunda:

Standard
- förlängt
- Dynamisk
- Reflekterande
- Tidlös

Vi kommer att stoppa vår uppmärksamhet idag på de två första, och mer detaljerat om allt du kan läsa från Tsiski.

Inkommande och utgående trafik

För Soten, låt oss förstå en sak. Vad förstår under inkommande och utgående trafik? Detta kommer att behövas i framtiden. Inkommande trafik är den som kommer till gränssnittet från utsidan.

Utgående är den som skickas från gränssnittet utanför.

Tillgångslistan som du kan ansöka antingen till den inkommande trafiken, då de ofullständiga paketen kommer inte ens att komma till routern och, följaktligen, vidare in i nätverket, eller på de utgående, så kommer paketen till routern, bearbetat av dem, nå Målgränssnittet och släpp bara det.

Standardåtkomstlistan kontrollerar endast avsändarens adress. Avancerad avsändaradress, mottagaradress, samt hamn. Standard ACL rekommenderas att sätta så nära som möjligt till mottagaren (för att inte skära mer än nödvändigt) och förlängas - närmare avsändaren (för att släppa oönskade trafik så snart som möjligt).

Öva

Låt oss omedelbart gå till träning. Vad skulle vi ha en sådan ersättning i vårt lilla nätverk "Lyft MI AP"?

A) webbserver. Tillåt åtkomst till alla via port TCP 80 (HTTP-protokoll). För den enheten från vilken kontroll kommer att göras (vi har också administratör) behöver du öppna telnet och ftp, men vi kommer att ge honom full tillgång. Hela resten av utestående.

B) Filserver. Vi borde ha invånare i hissen MI AP av portar för offentliga mappar, och alla andra på FTP.

C) Mail Server. Här har vi SMTP och POP3-körning, det vill säga TCP 25 och 110 portar. Också för administratören öppen tillgång till ledningen. Annan blockering.

D) För den framtida DNS-servern måste du öppna UDP 53-porten

E) För att tillåta ICMP-meddelanden till nätverket av servrar

E) Eftersom det andra nätverket vi har för alla icke-partisaner som inte har gått in i Feo, PTO och redovisning, kommer vi att begränsa dem alla, och vissa ger bara tillgång (bland dem och admin)

E) På det kontrollnät du behöver bara börja med administratören, och naturligtvis min älskade.

G) Vi kommer inte att bygga hinder för kommunikation mellan sig själva.

a) Tillgång till webbservern

Här har vi en policy förbjuden allt som inte är tillåtet. Därför måste vi öppna något nu, men allt annat att stänga.
Eftersom vi skyddar nätverket av servrar, kommer arket att hänga på gränssnittet som går mot dem som är, på Fe0 / 0.3 är frågan bara på i. eller vid ut. Behöver vi göra det? Om vi \u200b\u200binte vill låta paket i riktning mot servrarna som redan har varit på routern, kommer det att vara utgående trafik. Det vill säga destinationsadresserna (destinationen) kommer att ha i nätverket av servrar (varav vi väljer som servern pågår), och källadresser (källa) kan vara i alla fall - från vår företagsnätverkoch från internet.
En annan anteckning: Eftersom vi kommer att filtrera, inklusive vid destinationsadressen (på webbservern, en regler, på posten - andra), kommer åtkomstkontrolllistan att behöva avancerad (förlängd), det gör det möjligt för dig att göra det.

Regler i åtkomstlistan kontrolleras i enlighet med topp till botten till den första tillfälligheten. Så snart en av reglerna fungerade, oavsett om tillstånd är eller nekas, stoppas kontrollen och behandlingen av trafiken är baserad på den styrda regeln.
Det vill säga, om vi vill skydda webbservern, först och främst måste vi ge tillstånd, för om vi sätter upp i första raden neka IP någon som helst - Det kommer alltid att fungera och trafiken kommer inte att gå i allmänhet. Några. - Detta är ett speciellt ord som betyder adressen till nätverket och den omvända masken 0.0.0.0.0.0.0 och innebär att det finns absolut alla noder från alla nätverk. Ett annat speciellt ord - värd. - Det betyder en mask 255.255.255.255 - det vill säga en enda angiven adress.
Så, den första regeln: Tillåt åtkomst till alla via port 80


Msk-arbat-gw1 (config-ext-nacl) # anmärkning webben
Alla värd 172.16.0.2 EQ 80

Låt mig ( tillåta.) TCP-trafik från vilken nod som helst ( några.) på värden ( värd. - Det är en adress) 172.16.0.2 adresserad till den 80: e porten.
Vi försöker hänga den här listan med tillgång till FE0 / 0-gränssnittet:

MSK-Arbat-GW1 (CONFIG-SUBIF) # IP Access-Group-servrar ut ut.

Kolla från någon av våra anslutna datorer:

Som du kan se sidan öppnas, men hur är det med oss \u200b\u200bmed ping?

Och så från någon annan nod?

Faktum är att efter alla regler i CISKOVSKY ACL i slutet, implicit neka IP någon som helst (implicit neka). Vad betyder det för oss? Varje förpackning som har rätt från gränssnittet och svarar inte på någon regel från ACL som faller under implicit nekad och kasseras. Det är åtminstone ping, även om FTP, åtminstone allt här, kommer inte längre att vara.

Vi går vidare: Du måste ge full tillgång till datorn från vilken kontroll kommer att göras. Detta kommer att vara datorns dator med adressen till 172.16.6.66 från det andra nätverket.
Varje ny regel läggs till automatiskt till slutet av listan, om den redan finns:

mSK-Arbat-GW1 (CONFIG)
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillåt TCP-värd 172.16.6.66 Värd 172.16.0.2 Område 20 FTP
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillåt TCP-värd 172.16.6.66 Värd 172.16.0.2 EQ Telnet

Det är allt. Vi kontrollerar från önskad nod (eftersom servrarna i RT inte stöds av den som ringer, kolla på FTP):

Det vill säga, FTP-meddelandet kom till routern och skulle gå från FE0 / 0,3-gränssnittet. Routern kontrollerar och ser att paketet är lämpligt för den regel som tillsätts av oss och hoppar över det.

Och från en outsider

FTP-paketet faller inte under ett av reglerna, förutom den implicita neka IP någon och kasserad.

b) Tillgång till filservern

Det skulle först och främst bestämma sig för vem som kommer att vara en "bosatt" som behöver vara tillgänglig. Naturligtvis är det de som har en adress från nätverket 172.16.0.0/16 - bara dem och ge åtkomst.
Nu S. vanliga mappar. I de flesta moderna system SMBP-protokollet används redan för detta som du behöver en TCP 445-port. På äldre versioner användes Netbios, som matades efter tre portar: UDP 137 och 138 och TCP 139. Samtyckt med vår administratör, kommer vi att konfigurera 445-porten (Sanningen att checka in i RT, det kommer naturligtvis inte att fungera). Men förutom detta behöver vi hamnar för FTP - 20, 21, och inte bara för interna värdar, men också för anslutningar från Internet:
mSK-Arbat-GW1 (CONFIG) # IP Access-lista Extended Server-Out
MSK-Arbat-GW1 (CONFIG EXT-NACL) # Tillåt TCP 172.16.0.0 0.0.255.255 Värd 172.16.0.3 EQ 445
MSK-Arbat-GW1 (CONFIG EXT-NACL) # Tillåt TCP några. Värd 172.16.0.3 Område 20 21

Här tillämpade vi designen intervall 20 21. - För att flera portar i en rad. För FTP, i allmänhet, inte tillräckligt med den 21: e hamnen. Faktum är att om du bara öppnar det, skickar du tillstånd, och det finns ingen överföring av filer.

0.0.255.255 - Reverse Mask (Wildcard Mask). Om vad det är, låt oss prata lite senare

c) Tillgång till postservern

Vi fortsätter att träna utövning - nu med e-postservern. Som en del av samma åtkomstlista, lägg till nya poster som vi behöver.
I stället för portnummer för allmänt uppmanade protokoll kan du ange deras namn:
mSK-Arbat-GW1 (CONFIG) # IP Access-lista Extended Server-Out
MSK-Arbat-GW1 (CONFIG-EXT-NACL) #PERMIT TCP Varje värd 172.16.0.4 EQ POP3
MSK-Arbat-GW1 (CONFIG-EXT-NACL) #PERMIT TCP En värd 172.16.0.4 EQ SMTP

d) DNS-server

mSK-Arbat-GW1 (CONFIG) # IP Access-lista Extended Server-Out
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillstånd uDP. 172.16.0.0 0.0.255.255 Värd 172.16.0.5 EQ 53

d) ICMP.

Det är fortfarande att korrigera situationen med ping. Det finns inget hemskt för att lägga till reglerna i slutet av listan, men på något sätt estetiskt mer trevligt att se dem först.
Vi använder en enkel fuska för detta. För det här kan du använda textredigerare, t.ex. Kopiera det från Visa kördel Om ACL och lägg till följande rader:
ingen IP-åtkomstlista Extended Servers-Out
IP-åtkomstlista Extended Servers-Out
Tillåta ICMP någon som helst
Anmärkning webben.



Kommentera fil


Anmärkning.


Anmärkning dns.

Vi tar bort den befintliga listan till den första raden, sedan skapa den igen och lista alla nya regler i den ordning vi behöver. Teamet i den tredje raden fick vi passage av alla ICMP-paket från alla värdar till alla värdar.

Därefter kopiera helt enkelt allt med ett räckvidd och sätt in i konsolen. Gränssnittet tolkar varje sträng som ett separat kommando och utför det. Så vi ersatte den gamla listan över nya.
Kontrollera att ping är:

Perfekt.

Denna "fusk" är bra för den ursprungliga konfigurationen eller om du vet exakt vad du gör. På arbetsnätverket, när du konfigurerar fjärrkontrollen, riskerar du att hålla dig utan tillgång till den justerbara stycket.

För att infoga regeln i början eller på någon annan rätt plats kan du tillgripa en sådan mottagning:
iP-åtkomstlista Extended Servers-Out
1 tillåta ICMP någon som helst

Varje regel i listan är numrerad med ett bestämt steg och om du lägger ett nummer före tillståndet / förneket ordet kommer regeln att läggas till för slut, men på den plats du behöver. Tyvärr fungerar en sådan egenskap inte i Republiken Tadzjikistan.
Om det plötsligt är nödvändigt (upptagen alla kontrakt som löper mellan regler) kan du alltid nöcka reglerna (i det här exemplet är det första regel nummer 10 tilldelat (först) och ökning 10):
iP-åtkomstlista resequentce-servrar-ut 10 10

Som ett resultat kommer åtkomstlistan på servernätet att se ut så här:
iP-åtkomstlista Extended Servers-Out
Tillåta ICMP någon som helst
Anmärkning webben.
Tillåt TCP någon värd 172.16.0.2 EQ www
Tillåt TCP-värd 172.16.6.66 Värd 172.16.0.2 Område 20 FTP
Tillåt TCP-värd 172.16.6.66 Värd 172.16.0.2 EQ Telnet
Kommentera fil
Tillåt TCP 172.16.0.0 0.0.255.255 Värd 172.16.0.3 EQ 445
Tillåt TCP någon värd 172.16.0.3 intervall 20 21
Anmärkning.
Tillåt TCP någon värd 172.16.0.4 EQ POP3
Tillåt TCP någon värd 172.16.0.4 EQ SMTP
Anmärkning dns.
Tillåt UDP 172.16.0.0 0.0.255.255 Värd 172.16.0.5 EQ 53

Nu har vår administratör endast tillgång till webbservern. Upptäck det full tillgång till hela nätverket. Detta är den första läxorna.

e) Användarrättigheter från det andra nätverket

Hittills behövde vi inte inlopp Någon någonstans, så vi uppmärksammade destinationsadressen och åtkomstlistan hängde på den trafikutgående från gränssnittet.

Nu behöver vi släpp inte: Inga förfrågningar från datorer från det andra nätverket ska inte gå utöver. Tja, naturligtvis, förutom de som vi specifikt löser.

mSK-Arbat-GW1 (CONFIG) # IP Access-lista förlängdes other-in

MSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillåt IP-värd 172.16.6.61 någon



Här kunde vi inte först förbjuda allt, och sedan lösa de valda, eftersom absolut alla paket skulle vara en regel neka IP någon som helst och tillåta. Jag skulle inte ha utlöst alls.
Applicera på gränssnittet. Den här gången på ingången:
mSK-Arbat-GW1 (config) #int FA0 / 0.104
MSK-Arbat-GW1 (CONFIG-SUBIF) #IP Access-Group other-in i.

Det vill säga, alla IP-paket från värden med adressen 172.16.6.61 eller 172.16.6.66 får överföra varhelst de är avsedda. Varför använder vi en utökad åtkomstlista här också? När allt kommer omkring verkar det, vi kontrollerar endast avsändarens adress. Eftersom administratörer vi gav full tillgång, men gästerna i företaget "Lyft MI AP", som till exempel kommer att falla i samma nätverk alls till något annat, utom på Internet.

e) Nätverkshantering

Inget svårt. Regeln kommer att se ut så här:
mSK-Arbat-GW1 (CONFIG) # IP Access-lista Extended Management-Out
MSK-Arbat-GW1 (config-ext-nacl) # anmärkning iam
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillåt IP-värd 172.16.6.61 172.16.1.0 0.0.0.255
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # Anmärkningadministratör
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillåt IP-värd 172.16.6.66 172.16.1.0 0.0.0.255

Denna ACL appliceras på FE 0 / 0,2-gränssnittet:
mSK-Arbat-GW1 (CONFIG) # INT FA0 / 0,2
MSK-Arbat-GW1 (CONFIG-SUBIF) #IP Access-Group Management-Out Out

g) inte längre begränsningar

Redo

Mask och omvänd mask

Hittills har vi gett en konstig parameter av formuläret 0,0,255,255, vilket motsvarar en subnätmask.
Lite svårt för förståelse, men det är det att returmaskan används för att bestämma de värdar som faller en regel.
För att förstå vad en omvänd mask är, borde du veta vad som är vanligt.

Låt oss börja med det enklaste exemplet.

Normalt nätverk på 256 adresser: 172.16.5.0/24, till exempel. Vad betyder denna post?
Men det betyder exakt följande

IP-adress. Decimalpost 172 16 5 0
IP-adress. Binär inspelning 10101100 00010000 00000101 00000000
11111111 11111111 11111111 00000000
255 255 255 0

IP-adressen är en parameter av 32 bitar lång, uppdelad i 4 delar som du är van vid att se i decimalform.
Subnätmasken har också en längd av 32 bitar - det är faktiskt en mall, stenciler, enligt vilka subnätadressen identifieras. Om i masken kan det vara enheter, meningen kan inte förändras, det vill säga del 172.16.5 är helt oförändrad och det kommer att vara detsamma för alla värdar av detta delnät, men den där nollor - varierar.
Det vill säga i exemplet tar vi 172.16.5.0/24 - det här är adressen till nätverket, och värdarna blir 172.16.5.1-172.16.5.254 (den sista 255 sänds), eftersom 00000001 är 1 och 11111110 - 254 (tal om den sista ostetadressen). / 24 innebär att längden på en 24-bitars mask, det vill säga har vi 24 enheter - en konstant del och 8 nollor.
Ett annat fall när vi har en mask, till exempel 30 bitar och inte 24.
Till exempel 172.16.2.4/30. Klipp det så här:

IP-adress. Decimalpost 172 16 2 4
IP-adress. Binär inspelning 10101100 00010000 00000010 00000100
Subnetmask. Binär inspelning 11111111 11111111 11111111 11111100
Subnetmask. Decimalpost 255 255 255 252

Som du kan se kan bara de två sista bitarna variera för detta delnät. Den sista oktetten kan ta följande 4-värden:
00000100 - Subnetadress (4 i decimalsystemet)
00000101 - Nodadress (5)
00000110 - Nodadress (6)
00000111 - Sändning (7)
Allt som utanför detta är ett annat undernät

Det är nu, nu borde du ha lite klart att subnätmasken är sekvensen av 32-bitars, där enheterna betyder adressen till subnätet först, sedan gå nollor som betyder värdadressen. Samtidigt kan alternativa nollor och enheter i en mask inte alternativt. Det vill säga Mask 11111111.11100000.11110111.00 miljarder omöjlig

Och vad är returmasken (jokertecken)?
För den överväldigande majoriteten av administratörerna och vissa ingenjörer är det inget annat än inversion av den vanliga masken. Det vill säga, sätter Zeros först adressen till den del som måste sammanfalla, och enheterna tvärtom är gratis.
Det vill säga, i det första exemplet som vi, om du vill filtrera alla värdar från delnätet 172.16.5.0/24, kommer du att ange regeln i åtkomstlistan:
…. 172.16.5.0 0.0.0.255
Eftersom returmasken kommer att se ut så här:

00000000.00000000.00000000.11111111

I det andra exemplet med nätverket 172.16.2.4/30, kommer returmasken att se ut så här: 30 nollor och två enheter:

Omvänd mask. Binär inspelning 00000000 00000000 00000000 00000011
Omvänd mask. Decimalpost 0 0 0 3

Följaktligen kommer parametern i åtkomstlistan att se ut så här:
…. 172.16.2.4 0.0.0.3
Senare, när du äter en hund på beräkningarna av masker och returmasker, kommer du att komma ihåg de mest använda siffrorna, antalet värdar i en viss mask förstår att i den beskrivna situationen erhålls den sista okteten av den omvända masken med subtrahera av 255 siffror i den sista okteten av den vanliga masken (255-252 \u003d 3) etc. Under tiden måste du arbeta mycket och räkna)

Men i själva verket är returmasken ett lite rikaste verktyg, här kan du kombinera adresserna i samma delnät eller ens kombinera subnät, men den viktigaste skillnaden kan du alternativa nollor och enheter. Detta gör det möjligt för dig att filtrera en specifik nod (eller grupp) i flera undernät av en rad.

Exempel 1.

Given: Nätverk 172.16.16.0/24
Det är nödvändigt: Filtrera de första 64 adresserna (172.16.16.0-172.16.16.63)
Beslut: 172.16.16.0 0.0.0.63

Exempel 2.

Given: Nätverk 172.16.16.0/24 och 172.16.17.0/24
Det är nödvändigt: Filteradresser från båda nätverken
Beslut: 172.16.16.0 0.0.1.255

Exempel 3.

Given: Nätverk 172.16.0.0-172.16.255.0.
Det är nödvändigt: Filtrera värden med en adress 4 i alla undernät
Beslut: 172.16.16.0 0.0.255.4

ACL fungerar i bilder

Hypotetiskt nätverk:

1) På RT1-routern på FE0 / 1-gränssnittet får allt utom ICMP komma in.

2) På RT2-routern på FE0 / 1-gränssnittet är SSH och Telnet förbjudna

Tester
klickbar
1) ping från PC1 Computer1

2) Telnet från en PC1-dator till servern1

3) SSH från PC1-dator på server2

4) ping från server2 på PC1

Kosttillskott

1) Reglerna som agerar på utgående trafik (ut) kommer inte att filtrera trafiken i själva enheten. Det är, om du behöver förbjuda slipset till åtkomsten någonstans, måste du filtrera den inkommande trafiken på det här gränssnittet (svara därifrån, där det är nödvändigt att förbjuda åtkomst).

2) C ACL måste vara försiktig. Med ett litet fel i regeln, felaktigt beställningsinställning eller allmänt dåligt genomtänkt lista kan du stanna utan tillgång till enheten.
Till exempel vill du stänga tillgången var som helst för nätverket 172.16.6.0/24, med undantag för adressen 172.16.6.61 och frågade reglerna så här:

neka IP 172.16.6.0 0.0.0.255 någon
Tillåt IP-värd 172.16.6.61 någon

Så snart du tillämpar ACL till gränssnittet, kommer du omedelbart att förlora tillgången till routern, för att du kommer under den första regeln och den andra är inte ens kontrollerad.
Den andra obehagliga situationen som kan hända med dig: Trafiken kommer att falla under ACL, som inte borde ha slagit.
Föreställ dig en sådan situation: Vi har en FTP-server i passivt läge i servern. För att komma åt det öppnade du den 21: a porten i ACL Servrar-out.. Efter den första etableringen av anslutningen rapporterar FTP-servern klienten i den port där den är redo att sända / ta emot filer, till exempel 1523. Klienten försöker installera en TCP-anslutning till den här porten, men stubbar på ACL-servrarna, där det inte finns någon sådan upplösning - sagan om en framgångsrik överföring slutar. I vårt exempel ovan, där vi ställer in åtkomst till filservern, öppnade vi bara till 20 och 21: e, eftersom det till exempel är tillräckligt. I det verkliga livet måste tinker. Några exempel på ACL-konfiguration för vanliga fall.

3) Från 2: a punkten följer det ett mycket liknande och intressant problem.
Olika med dig, till exempel, hänga på gränssnittet på Internet sådana ACL:

tillgångslista Tillåt TCP-värd 1.1.1.1 Värd 2.2.2.2 EQ 80
Access-lista i tillstånd TCP-värd 2.2.2.2 Eventuella ekv 80

Det verkar: Värden med adressen 1.1.1.1 är tillåten åtkomst till den 80: e porten till server 2.2.2.2 (första regel). Och tillbaka från servern 2.2.2.2 Föreningar inuti.
Men nyansen här är att dator 1.1.1.1 etablerar en anslutning till den 80: e porten, men från någon annan, till exempel, 1054, det vill säga svarpaketet från servern kommer till socket 1.1.1.1:1054, faller inte i en regel ACL på och kasseras på grund av implicit neka IP någon.
För att undvika en sådan situation, och öppna inte hamnarna till hela strålen, kan du tillgripa sådana knep i ACL per I:
tillåt TCP-värd 2.2.2.2 Eventuellt etablerat.

Detaljer om en sådan lösning i en av följande artiklar.

4) talar om modern världDu kan inte komma runt ett sådant verktyg som objektgrupper (Objektgrupp).

Antag att det är nödvändigt att skapa en ACL, som utfärdar tre specifika adresser på Internet i tre identiska portar med utsikterna att expandera antalet adresser och portar. Hur det ser ut utan att känna till objektgrupper:

iP-åtkomstlista förlängd till-internet
Tillåt TCP-värd 172.16.6.66 Eventuella ekv 80
Tillåt TCP-värd 172.16.6.66 Eventuella EQ 8080
Tillåt TCP-värd 172.16.6.66 Eventuell EQ 443

Tillåt TCP-värd 172.16.6.67 Eventuella EQ 80
Tillåt TCP-värd 172.16.6.67 Eventuella EQ 8080
Tillåt TCP-värd 172.16.6.67 Eventuell EQ 443

Tillåt TCP-värd 172.16.6.68 Eventuella ekv 80
Tillåt TCP-värd 172.16.6.68 Eventuella EQ 8080
Tillåt TCP-värd 172.16.6.68 Eventuell EQ 443


Med en ökning av antalet parametrar blir det allt svårare och svårare att göra ett misstag när du installerar.
Men om du kontaktar objektgrupperna, förvärvar den följande formulär:
objektgruppstjänst Inet-portar
Beskrivning Portar tillåtna för vissa värdar
TCP EQ www.
TCP EQ 8080.
TCP EQ 443.

Objektgrupp Nätverks värdar-till-inet
Beskrivning Värdar tillåtet att bläddra på nätet
Värd 172.16.6.66
Värd 172.16.6.67
Värd 172.16.6.68

IP-åtkomstlista förlängde inet-out
Tillåt Objektgrupp Inet-Ports Objektgrupp värd-till-inet någon


Vid första anblicken ser det lite hot ut, men om du räknar ut det är det väldigt bekvämt.

4) Mycket användbar information för information om Trablchuting kan erhållas från kommandotillgången visa IP-åtkomstlistor% Namn ACL%. Förutom den faktiska listan med reglerna för den angivna ACL, visar det här kommandot antalet matchningar för varje regel.

mSK-Arbat-GW1 # SH IP Access-Lists Nat-Inet
Utökad IP-åtkomstlista NAT-INET





(4 match (er))



Och lägga till i slutet av någon regel logga.Vi kommer att kunna få meddelanden om varje tillfälle i konsolen. (den senare fungerar inte i PT)

Nat.

Nätverksadressöversättning - Jordbruksmekanismen är absolut nödvändig sedan 1994. Många sessioner om det är trasiga och paket är förlorade.
Det behövs oftast för att ansluta ditt lokala nätverk till Internet. Faktum är att teoretiskt är det 255 * 255 * 255 * 255 \u003d 4 228 250 625. 4 miljarder adresser. Även om varje bosatt i planeten hade bara en dator, skulle adresserna inte ha tillräckligt. Och sedan utom irons till Internet är inte anslutna. Smarta människor insåg detta i början av 90-talet och som ett tillfälligt beslut föreslogs att dela upp utrymme för adress till offentliga (vit) och privat (privat, grå).
Den senare innehåller tre intervall:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Du kan använda dem fritt i ditt privata nätverk, och därför kommer de naturligtvis att upprepas. Hur man är med unikhet? Vem kommer att svara på webbservern som begäran kom från returadressen 192.168.1.1? Rostelecom? Tatneft företag? Eller din rumskompis lång? På ett stort internet vet ingen någonting om privata nätverk - de är inte routing.
Här och går till scenen Nat. I stort sett är detta ett hoax, ett stativ. På appliceringsanordningen ersätter din privata adress, ungefär, helt enkelt den vita adressen, som kommer att visas längre i förpackningen medan den reser till webbservern. Men de vita adresserna är mycket bra routing, och paketet kommer definitivt tillbaka till rullande enheten.
Men hur kommer det i sin tur att förstå vad man ska göra med honom nästa? Här och hantera det.

Typer Nat.

Statisk

I det här fallet omvandlas en intern adress till en extern. Och samtidigt sänds alla förfrågningar som kommer till den externa adressen på det interna. Som om den här värden och är ägaren till den här vita IP-adressen.

Konfigurerad av följande kommando:

Router (config) # IP Nat Inside Source Static 172.16.6.5 198.51.100.2

Vad händer:
1) Nod 172.16.6.5 Adresserar webbservern. Han skickar ett IP-paket där 192.0.2.2, och avsändaren 172.16.6.5.

2) Av företagsnätverket levereras paketet till Gateway 172.16.6.1, där NAT är konfigurerad

3) Enligt det konfigurerade kommandot tar routern den aktuella IP-rubriken och ändrar den till en ny, där vitadress 198.51.100.2 redan visas som avsändarens adress.


4) På Bolshoi Internet når det uppdaterade paketet servern 192.0.2.2.

5) Han ser att svaret ska skickas för 198.51.100.2 och förbereder svaret IP-paketet. Som avsändarens adress, adressen till servern 192.0.2.2, destinationsadressen - 198.51.100.2


6) Paketet flyger tillbaka via Internet, och inte det faktum att på samma sätt.

7) På den angivna anordningen anges att alla begäran om adressen 198.51.100.2 måste omdirigeras senast 172.16.6.5. Routern igen remsor dolda inuti TCP-segmentet och sätter en ny IP-titel (avsändarens adress ändras inte, adressen till destinationen 172.16.6.5).


8) På det interna nätverket returneras paketet till initiativtagaren, vilket inte är bra, vilka mirakel har pågått på gränsen.
Och så kommer det att vara med var och en.
I det här fallet, om anslutningen initieras från Internet, faller paketet automatiskt genom den angivna enheten på den inre värden.

Ett sådant tillvägagångssätt är användbart när du har en server i ditt nätverk som fullständig åtkomst behövs. Naturligtvis kan du inte använda det här alternativet om du vill ha tre hundra värdar att släppa online via en adress. Detta NAT-alternativ hjälper inte att spara de vita IP-adresserna, men det är ändå användbart.

Dynamisk

Du har till exempel en pool av vita adresser, till exempel leverantören tilldelat ett nätverk av 198.51.100.0/28 med 16 adresser. Två av dem (första och sista) - adressen till nätverket och sändningen, två adresser tilldelas utrustningen för att tillhandahålla routing. 12 De återstående adresserna du kan använda för NAT och producera genom dem sina användare.
Situationen liknar en statisk NAT - en privat adress sänds till en extern, men nu är det inte klart fastsatt, men kommer att väljas dynamiskt från det angivna området.
Den är konfigurerad så:
Router (config) #ip nat pool lol_pool 198.51.100.3 198.51.103.14

Specificerad pool (intervall) av offentliga adresser, från vilka adressen kommer att väljas för
Router (config) # Access-lista 100 Tillåt IP 172.16.6.0 0.0.0.255 någon

Vi anger listan över åtkomst som hoppar över alla paket med källadressen 172.16.6.x, var h.olika 0-255.
Router (config) #ip nat inside källlista 100 pool lol_pool

Med det här kommandot dödar vi den skapade ACL och poolen.

Det här alternativet är inte universellt, du kan inte heller kunna släppa våra 300 användare om du inte har 300 externa adresser. Så snart de vita adresserna är uttömda kan ingen annan komma åt Internet. Samtidigt kommer de användare som redan har tid att fånga sin externa adress att fungera. Kasta bort alla aktuella sändningar och släpp den externa adressen hjälper dig rensa IP Nat Translation *
Förutom den dynamiska fördelningen av externa adresser skiljer sig denna dynamiskt NAT från statisk, eftersom en extern anslutning till en av pooladresserna är inte längre möjligt.

Många-till-ett

Följande typ har flera namn: NAT-överbelastning, portadressöversättning (PAT), IP-masquerading, många-till-en nat.
Det sistnämnda namnet talar för sig själv - genom en extern adress går det in i världen mycket privat. Detta gör att du kan lösa problemet med brist på externa adresser och släppa alla som önskar världen.
Det skulle vara nödvändigt att ge en förklaring som den fungerar. Hur två privata adresser sänds till en kan representeras, men när routern förstår vem som behöver skicka ett paket som återvände från Internet till den här adressen?
Allt är väldigt enkelt:
Antag att från två värdar från det interna nätverket kommer paket på en fyllningsanordning. Båda med en begäran till webbservern 192.0.2.2.
Data från värdar ser ut så här:

Routern upptäcker IP-paketet från den första värden, extraherar ett TCP-segment från det, skriver ut det och finner ut att anslutningen är installerad från vilken port. Han har en extern adress 198.51.100.2, till vilken adressen från det interna nätverket kommer att förändras.
Därefter väljer han en fri port, till exempel 11874. Och vad gör han nästa? Alla applikationsnivådata är förpackade i ett nytt TCP-segment, där 80 förblir som destinationsporten (den väntar på en webbserveranslutningar), och avsändarens hamn ändras från 23761 till 11874. Detta TCP-segment är inkapslat i en ny IP Ett paket med avsändarens IP-adress från 172.16.6.5 198.51.100.2.
Samma sak händer för paketet från den andra värden, bara nästa fria port är vald, till exempel 11875. "Gratis" betyder att den ännu inte är förlovad i andra föreningar.
De data som skickas till Internet kommer nu att se ut så här.

I hans NAT-tabell tar han data från avsändare och mottagare

För en webbserver är det två helt olika förfrågningar som det måste behandla varje individuellt. Därefter hänvisar han till svaret, vilket ser ut så här:

När ett av dessa paket kommer till vår router, matchar den data i det här paketet med sina poster i NAT-tabellen. Om tillfället hittas finns det ett omvänd procedur - paket och TCP-segmentet returnerar sina ursprungliga parametrar som en destination:

Och nu levereras paket längs det interna nätverket av datorinitiatorer, som även de orena, det, som någonstans med sina data så hårt på gränsen.

Varje överklagande är en separat anslutning. Det vill säga att du försökte öppna webbsidan - det här är ett HTTP-protokoll som använder Port 80. För att göra detta måste din dator installera en TCP-session med en fjärrserver. En sådan session (TCP eller UDP) bestäms av två uttag: Lokal IP-adress: Lokal Port och Remote IP-adress: Fjärrport. I den vanliga situationen är du installerad en dator-serveranslutning, i fallet med NATA-anslutningen kommer att vara som två :, Router-servern och datorn tycker att han har en dataserver.

Inställningen är ganska obetydlig: en förlängningsord överbelastning:

Router (config) # Access-list 101 tillstånd 172.16.4.0 0.0.0.255
Router (config) #ip nat inside källlista 101 gränssnitt FA0 / 1 Överbelastning

Samtidigt är det självklart sparat att konfigurera adresspoolen:
Router (config) #ip nat pool lol_pool 198.51.100.2 198.51.103.14
Router (config) # Access-lista 100 tillstånd 172.16.6.0 0.0.0.255
Router (config) #ip nat inside källlista 100 pool lol_pool Överbelastning

Laddar portar

Annars säger hamnarna i portar eller kartläggning också.
När vi just börjat prata om Nat, omdirigerades sändningen en-i-ett och alla förfrågningar från utsidan automatiskt till den inre värden. Således skulle det vara möjligt att sätta servern utanför Internet.
Men om du inte har ett sådant tillfälle - är du begränsad i vita adresser, eller vill inte lägga ut det till alla hamnar till hamnarna, vad man ska göra?
Du kan ange att alla önskemål som kommer till en viss vit adress och en specifik hamn på routern måste omdirigeras till obligatorisk port Den önskade inhemska adressen.
Router (CONFIG) #IP NAT Inside Source Static TCP 172.16.0.2 80 198.51.100.2 80 Utdragbar

Tillämpningen av detta kommando innebär att TCP-förfrågan som kommer från Internet till adressen 198.51.100.2 av Port 80 att omdirigeras till den interna adressen 172.16.0.2 på samma 80: e porten. Naturligtvis kan du flytta och UDP och göra omdirigering från en hamn till en annan. Detta kan till exempel vara användbart om du har två datorer som du behöver tillgång via RDP från utsidan. RDP använder port 3389. Samma port kan du inte väcka på olika värdar (när du använder en extern adress). Därför kan du göra det här:
Router (config) # IP Nat Inside Source Static TCP 172.16.6.61 3389 198.51.100.2 3389
Router (config) # IP Nat Inside Source Static TCP 172.16.6.66 3389 198.51.100.2 3398

Sedan att komma till datorn 172.16.6.61 startar du RDP-sessionen till Port 198.51.100.2:3389, och 172.16.6.66 - 198.51.100.2:3398. Routern själv sprider allt där det är nödvändigt.

Förresten är det här laget ett speciellt fall av den första: IP Nat inuti källstatist 172.16.6.66 198.51.100.2. Endast i det här fallet talar vi om transaktionen av all trafik, och i våra exempel - de specifika hamnarna i TCP-protokollet.

Så här är NAT Funciquet. Om hans egenskaper, plusser / nackdelar en massa artiklar, men för att inte tala om dem.

Svaghet och salt nat

+

- För det första Nat sparar offentliga IP-adresser. Egentligen för detta skapades han. Efter en adress kan du teoretiskt släppa mer än 65 000 grå adresser (med antal portar).
- för det andra, Pat och Dynamic Nat är till viss del en brandvägg, förhindrar externa anslutningar för att nå slutdatorer, vilket kanske inte är deras brandvägg och antivirus. Faktum är att om paketet kommer från utsidan, som inte förväntas här eller inte tillåtet, kasseras det helt enkelt.
För att paketet ska missas och bearbetas måste följande villkor följas:
1) NAT-tabellen ska registreras för den här externa adress som anges som avsändarens adress i paketet
OCH
2) Avsändarens port i paketet måste matcha porten för den här vita adressen i posten
OCH
3) Destinationsporten i paketet, sammanfaller med porten i posten.
ELLER
Konfigurerade portar av portar.
Men du behöver inte överväga NAT som en brandvägg är inte mer än en extra bulle.

- För det tredje, Nat gömmer sig från nyfikna ögon inre struktur Ditt nätverk - När du spårar rutten från utsidan ser du inte längre av fyllningsanordningen.

-

Nat har och nackdelar. Den mest konkreta av dem, kanske följande:
- Vissa protokoll kan inte fungera via NAT utan kryckor. Till exempel, FTP eller Tunneling Protocols (trots hur jag helt enkelt konfigurerade FTP i laboratoriet, i det verkliga livet kan det skapa en massa problem)
- Ett annat problem ligger i en adress, det finns många förfrågningar om en server. Många bevittnade detta när du går till några rapidshare, och han säger att med din IP redan haft en anslutning, tror du att "ljuga, hund", och det här är din granne redan suger. Av samma anledning fanns det problem med ICQ när servrarna vägrade att registrera sig.
- inte särskilt relevant. Nu problemet: belastningen på processorn och bagge. Eftersom mängden arbete är ganska stort jämfört med enkel routing (det ska inte bara titta på IP-rubriken, måste du ta bort det, ta TCP-rubriken, för att lägga den i tabellen, fästa nya rubriker) i små kontor finns det problem med detta.
Jag kom över en sådan situation.
En av möjliga lösningar - Släpp NAT-funktionen till en separat dator eller en specialiserad enhet, till exempel Cisco ASA.
För stora spelare som har routrar sätter på 3-4 bgp full-view, nu är det inte problem.

Vad behöver du mer?
- NAT används främst för att ge tillgång till internetvärdar med privata adresser. Men det finns också en annan applikation - förhållandet mellan två privata nätverk med skärande adressutrymmen.
Till exempel köper ditt företag en gren i AKTYubinsk. Du har en adressering 10.0.0.0-10.1.255.255, och de har 10.1.1.0-10.1.10.255. Områdena är tydligt korsningar, rutningen kan inte konfigureras, eftersom samma adress kan vara i AKTYUBINSK och du har i huvudkontoret.
I det här fallet är NAT konfigurerad på ledplatsen. Eftersom vi inte mäter gråadresser är det möjligt att framhäva, till exempel intervallet 10.2.1.0-10.2.10.255 och att göra en-i-ett-sändning:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2

10.1.10.255-10.2.10.255

I stora leksaker för vuxna kan NAT implementeras på en separat styrelse (och det är ofta) och det fungerar inte utan det. Och på kontoret körtlar, tvärtom är det nästan alltid.

Med den utbredda introduktionen av IPv6 kommer behovet av Nate att gå till nej. Redan börjar stora kunder vara intresserade av NAT64-funktionaliteten - det här är när du har ett sätt in i världen via IPv4, och det interna nätverket finns redan på IPv6

Naturligtvis är det bara ett ytligt utseende på Nat och det finns fortfarande ett hav av nyanser, att inte drunkna där självutbildning hjälper dig.

Träna nat.

Vad kräver verkligheten från oss?
1) Kontrollnätverket har inte alls tillgång till internet
2) Värdar från PTO-nätverket har tillgång till endast profiler, till exempel LinkMeup.ru
3) Ganska damer från bokföringen måste klippas ner i fönstret till klientbankernas värld.
4) Feo släpp inte någonstans, med undantag för finansdirektören
5) På det andra nätverket kommer vår dator och administratören av administratören - de ger dem full tillgång till Internet. Alla andra kan öppnas på en skriftlig förfrågan.
6) Glöm inte filialer i St Petersburg och i Kemerovo. För enkelhet kommer vi att ställa in full tillgång för enicaers från dessa undernät.
7) Single Song-servrar. För dem kommer vi att konfigurera port omdirigering. Allt vi behöver:
a) Webbserver måste vara tillgänglig på den 80: e porten
b) postserver för 25 och 110: e
c) Filserver är tillgänglig från världen i FTP.
8) Admin datorer och vårt måste vara tillgängliga från Internet av RDP. Det är faktiskt det felaktiga sättet - för fjärranslutning Du måste använda en VPN-anslutning och är redan på det lokala nätverket för att använda RDP, men det här är ämnet för en separat annorlunda artikel.

Förbered först testområdet:

Internetanslutning kommer att organiseras via den befintliga länken, som ger leverantören.
Han går till leverantörens nätverk. Vi påminner dig om att allt i det här molnet är ett abstrakt nätverk som faktiskt kan bestå av dussintals routrar och hundratals switchar. Men vi behöver något hanterat och förutsägbart, så vi får routern här. Å ena sidan är det en länk från omkopplaren, på den andra servern på Internet.

Servrar Vi behöver följande:
1. Två klientbank för revisorer (Sperbank.ru, mmm-bank.ru)
2. LinkMeup.ru för Petshnikov
3. Yandex (yandex.ru)

För en sådan anslutning kommer vi att höja en annan VLAN på MSK-Arbat-GW1. Hans nummer är naturligtvis konsekvent med leverantören. Låt det vara VLAN 6
Antag att leverantören ger oss subnet 198.51.100.0/28.. De två första adresserna används för att organisera en länk (198.51.100.1 och 198.51.100.2) och de återstående vi använder som en pool för Nat'a. Men ingen hindrar oss helt från att använda adressen 198.51.100.2 för poolen. Och gör det: pool: 198.51.100.2-198.51.100.14
För enkelhet, anta att offentliga servrar ligger på samma delnät:
192.0.2.0/24 .
Så här ställer du in en länk och adresser du är redan uppdaterad.
Eftersom vi bara har en router i leverantörens nätverk, och alla nätverk är anslutna direkt till det, är det inte nödvändigt att justera routningen.
Men vår MSK-Arbat-GW1 borde veta var du ska skicka paket på Internet, så vi behöver standardvägen:

mSK-Arbat-GW1 (CONFIG) # IP ROUTE 0.0.0.0 0.0.0.0 198.51.100.1

Nu i ordning

Först konfigurerar vi adresspoolen

mSK-Arbat-GW1 (CONFIG) # IP Nat Pool Main_Pool 198.51.100.2 198.51.100.14 Netmask 255.255.255.240

Samla nu ACL:
mSK-Arbat-GW1 (CONFIG) # IP Access-lista Extended Nat-Inet

1) Kontrollnätverk

har inte tillgång till Internet i allmänhet
Redo

2) Värdar från PTO-nätverket

Har endast tillgång till profiler, till exempel LinkMeup.ru
mSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillåt TCP 172.16.3.0 0.0.0.255 Värd 192.0.2.2 EQ 80

3) Redovisning

Vi ger tillgång till alla värdar på båda servrarna.
mSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillåt IP 172.16.5.0 0.0.0.255 Värd 192.0.2.3
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillåt IP 172.16.5.0 0.0.0.255 Värd 192.0.2.4

4) Feo

Låt oss bara ge tillstånd till den finansiella direktören är bara en värd.
mSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillåt IP-värd 172.16.4.123 någon

5) Övrigt

Våra datorer med full tillgång
mSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillåt IP-värd 172.16.6.61 någon
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillåt IP-värd 172.16.6.66 någon

6) Grenar i St Petersburg och Kemerovo

Låt EICIN: s adresser vara densamma: 172.16.x.222
mSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillåt IP-värd 172.16.16.222
MSK-Arbat-GW1 (CONFIG-EXT-NACL) # Tillåt IP-värd 172.16.17.222 någon
MSK-Arbat-GW1 (CONFIG EXT-NACL) # Tillåt IP-värd 172.16.24.222 någon

Så här ser ACL ut nu:
iP-åtkomstlista förlängd NAT-INET
Anmärkning pto.
Tillåt TCP 172.16.3.0 0.0.0.255 Värd 192.0.2.2 EQ WWW
Anmärkning som berör.
Tillåt IP 172.16.5.0 0.0.0.255 Värd 192.0.2.3
Tillåt IP 172.16.5.0 0.0.0.255 Värd 192.0.2.4
Anmärkning feo.
Tillåt IP-värd 172.16.4.123 någon
Anmärkning iam
Tillåt IP-värd 172.16.6.61 någon
Anmärkningadministratör.
Tillåt IP-värd 172.16.6.66 någon
Remärka SPB_VSL_ISLAND.
Tillåt IP-värd 172.16.16.222 någon
Anmärkning SPB_OZERKI.
Tillåt IP-värd 172.16.17.222 någon
Anmärkning KMR.
Tillåt IP-värd 172.16.24.222

Springa:

mSK-Arbat-GW1 (CONFIG) # IP Nat Inside Source List Nat-Inet Pool Main_Pool Överbelastning

Men lycka kommer inte att vara full utan att konfigurera gränssnitt:
På det externa gränssnittet måste du ge ett kommando iP NAT utanför
På det interna: ip Nat inuti
mSK-Arbat-GW1 (CONFIG) # INT FA0 / 0.101
MSK-Arbat-GW1 (CONFIG) # INT FA0 / 0.102
MSK-Arbat-GW1 (CONFIG-SUBIF) # IP NAT INSIDE
MSK-Arbat-GW1 (CONFIG) # INT FA0 / 0.103
MSK-Arbat-GW1 (CONFIG-SUBIF) # IP NAT INSIDE
MSK-Arbat-GW1 (CONFIG) # INT FA0 / 0.104
MSK-Arbat-GW1 (CONFIG-SUBIF) # IP NAT INSIDE

MSK-Arbat-GW1 (CONFIG) # INT FA0 / 1,6
MSK-Arbat-GW1 (config-subif) # IP Nat utanför

Detta gör att routern förstår var du ska vänta på att paketen ska bearbetas och var du ska skicka dem.

Till servrar på Internet är tillgängliga av domän namnVi skulle inte illa få en DNS-server i vårt nätverk:


Naturligtvis måste det ordineras på de enheter som vi ska kontrollera åtkomst:

Showen måste fortsätta!

Allt är tillgängligt från administratörsdatorn:

Från nätverket av PTO finns det bara tillgång till webbplatsen LinkMeup.RU till 80: e porten (HTTP):



På nätverket av Feo, kommer endast 4,123 (Phonde-regissör) till världen



Endast kundbankplatser arbetar i redovisning. Men, eftersom resolutionen ges helt till IP-protokollet, kan du pinga dem:


7) servrar

Här måste vi konfigurera portarna i portarna så att du kan kontakta dem från Internet:

a) webbserver

mSK-Arbat-GW1 (CONFIG) # IP Nat Inside Source Static TCP 172.16.0.2 80 198.51.100.2 80

Omedelbart kontrollera, till exempel kan vi göra det från en testdator med Ares 192.0.2.7.
Nu kommer ingenting att fungera, för för nätverksservrarna har vi inte ett konfigurerat gränssnitt på MSK-Arbat-GW1:
mSK-Arbat-GW1 (CONFIG) # INT FA0 / 0,3
MSK-Arbat-GW1 (CONFIG-SUBIF) # IP NAT INSIDE

Och nu:

b) Filserver

mSK-Arbat-GW1 (CONFIG) # IP NAT Inside Source Static TCP 172.16.0.3 20 198.51.100.3 20
MSK-Arbat-GW1 (CONFIG) # IP Nat Inside Source Static TCP 172.16.0.3 21 198.51.100.3 21

Här för detta i ACL-servrarna, öppnade vi också 20-21: e portarna för alla

c) Mail Server

mSK-Arbat-GW1 (CONFIG) # IP NAT Inside Source Static TCP 172.16.0.4 25 198.51.100.4 25
MSK-Arbat-GW1 (CONFIG) # IP Nat Inside Source Static TCP 172.16.0.4 110 198.51.100.4 110

Kontrollen är inte heller svårt. Följ instruktionerna:
Först uppställningen mejl server. Vi anger domänen och skapar två användare.

Konfigurera en dator från vårt nätverk:

Från externt:

Förberedelse av ett brev:

På den lokala värdklickningen får du:

8) RDP-åtkomst till administratörsdatorer och vår

MSK-Arbat-GW1 (CONFIG) # IP NAT Inside Source Static TCP 172.16.6.61 3389 198.51.100.10 3389
MSK-Arbat-GW1 (CONFIG) # IP NAT Inside Source Static TCP 172.16.666 3389 198.51.100.10 3398

Säkerhet

För den sista kommentaren. Mest sannolikt fyllningsanordningen, tittar du på ditt IP NAT-yttre gränssnitt utanför - på Internet. Därför skulle detta gränssnitt inte hindra ACL, där du förbjuder, tillåter dig vad du behöver. I den här frågan kommer vi inte att sluta redan i den här artikeln.

På detta kan den första bekanta med NAT-tekniken övervägas.
Som en annan DZ, svara på frågan varför det inte finns någon tillgång till Internet från Enicaevs datorer i St Petersburg och i Kemerovo. När allt kommer omkring lade vi dem redan till åtkomstlistan.

IP-adresser är en knappa resurs. Leverantören kan ha / 16-adress (tidigare klass B), vilket ger dig möjlighet att ansluta 65.534 värdar. Om kunder blir mer, börjar problem uppstå. Värdar Ansluta till Internet Från tid till annan längs den vanliga telefonlinjen kan du markera IP-adresserna dynamiskt endast för anslutningstiden. Därefter kommer en / 16-adressen att tjäna upp till 65 534 aktiva användare, och det kan vara tillräckligt för en leverantör som har flera hundra tusen kunder. När kommunikationssessionen är klar är IP-adressen tilldelad till en ny förening. En sådan strategi kan lösa problemen med leverantörer som inte har ett mycket stort antal privata kunder som ansluter till telefonlinjen, men kommer inte att hjälpa leverantörer, de flesta vars kundkretsar är organisationer.

Faktum är att företagskunder föredrar att ha en permanent anslutning till Internet, åtminstone under arbetsdagen. Och i små kontor, som turistbyråer, bestående av tre anställda, och i stora företag finns det lokala nätverk som består av ett visst antal datorer. Vissa datorer är anställda arbetsstationer, vissa serverar webbservrar. I det allmänna fallet finns en LAN-router ansluten till en dedikerad linjeleverantör för att ge en permanent anslutning. En sådan lösning innebär att en IP-adress är associerad med varje dator. Faktum är att även alla tillsammans kombinerade datorer som har företagskunder inte kan blockera IP-adressleverantören. För längden på längden / 16 är denna gräns lika med, som vi redan har noterat, 65 534. Om leverantören av Internetleverantören är antalet företagsklienter beräknade tiotusentals, kommer denna gräns att uppnås väldigt snabbt.

Problemet förvärras av det faktum att alla mer Privata användare vill ha en ADSL eller kabelanslutning med Internet. Funktionerna i dessa metoder är som följer:

a) Användare får en permanent IP-adress

b) Det finns ingen tidlös betalning (endast den månatliga teckningsavgiften debiteras).

Användare av denna typ av tjänst har en permanent anslutning till Internet. Utvecklingen i denna riktning leder till en ökning av underskottet för IP-adresser. Tilldela IP-adresser "på flugan", som görs när telefonanslutning, det är värdelöst, eftersom antalet aktiva adresser vid varje ögonblick kan vara många gånger mer än leverantören.

Ofta är situationen ännu mer komplicerad på grund av det faktum att många ADSL-användare och kabelinternet Ha hus två eller flera datorer (till exempel en för varje familjemedlem) och vill att alla bilar ska ha tillgång till Internet. Vad gör det - trots allt finns det bara en IP-adress som utfärdats av leverantören! Denna lösning: Du måste installera routern och kombinera alla datorer i det lokala nätverket. Från leverantörens synvinkel kommer familjen i det här fallet att fungera som en analog av ett litet företag med flera datorer. Välkommen till Pupin Corporation!

Problemet med underskottet för IP-adresser är inte teoretiskt och gäller inte den avlägsna framtiden. Hon är redan relevant, och det kommer att kämpa här och nu. Det långsiktiga projektet involverar den totala översättningen av hela Internet till IPv6-protokollet med en 128-bitars adressering. Denna övergång är verkligen gradvis att hända, men processen är så långsam, vilket är försenat i åratal. Att se detta, många insåg att det är brådskande att hitta ett beslut åtminstone under en snar framtid. En sådan lösning hittades i form av en nätverksadresssändningsmetod, NAT (nätverksadressöversättning)Beskriven i RFC 3022. Kärnan i det vi kommer att se senare, och mer detaljerad information finns i (Butcher, 2001).

Huvudidén om sändningen av nätverksadressen är att tilldela varje företag med en IP-adress (eller åtminstone ett litet antal adresser) för internettrafik. Inne i företaget får varje dator en unik IP-adress som används för att rosta intern trafik. Men så snart paketet lämnar gränserna för bolagets byggnad och skickas till leverantören, sänds adressen. För genomförandet av detta system skapades tre intervall av så kallade privata IP-adresser. De kan användas inom företaget efter eget gottfinnande. Den enda begränsningen är att paket med sådana adresser under inga omständigheter ska visas på Internet. Det här är dessa tre reserverade sortiment:

10.0.0.0 - 10.255.255.255/8 (16,777,126 värd)

172.16.0.0 - 172.31.255.255/12 (1,048,576 värd)

192.168.0.0 -192.168.255.255 / 16 (65.536 värd)

Arbetet med metoden för sändning av nätverksadresser visas på det långvariga systemet. Inom företagets territorium har varje maskin sin egen unika adress till formuläret 10.x.Y.Z. Men när paketet går utöver det ägande av företaget, passerar det genom NAT-blocket som översätter den interna IP-adressen till källan (10.0.0.1 i figuren) till den verkliga IP-adressen som företaget har fått från leverantören (198.60.42.12 för vårt exempel). Nat Block är vanligtvis enda enhet Med en brandvägg som ger säkerhet genom att strängt spåra det inkommande och utgående känsliga företaget. NAT-blocket kan integreras med företagets router.

Vi lyckades fortfarande en liten detalj: när det gäller en förfrågan (till exempel från en webbserver), adresseras den till 198.60.42.12. Hur hittar NAT-blocket ut vad inhemsk adress är att ersätta företagets allmänna adress? Detta är det största problemet med att använda nätverksadresser sändning. Om rubriken för IP-paketet var ett fritt fält kan det användas för att memorera adressen till den som skickade en förfrågan. Men i titeln förblir oanvänd endast en bit. I princip skulle det vara möjligt att skapa ett sådant fält för källans sanna adress, men det skulle kräva ändringar i IP-koden på alla maskiner över hela Internet. Det här är inte det bästa sättet, speciellt om vi vill hitta en snabb lösning på problemet med brist på IP-adresser.

Faktiskt hände det är vad. Nat-utvecklarna noterade att det mesta av den användbara belastningen av IP-paket är antingen TCP eller UDP. Båda formaten har rubriker som innehåller käll- och mottagarportar. Portnummer är 16-bitars heltal som visar var TCP-anslutningen slutar och var den slutar. Lagringsplatsen för portnummer används som ett fält som behövs för att arbeta NAT.

När processen vill installera en TCP-anslutning med en fjärrprocess binds den till en gratis TCP-port på sin egen dator. Den här porten blir en källport som berättar TCP-kodinformationen om var du ska styra paketen i den här anslutningen. Processen definierar också destinationsporten. Genom destinationsporten rapporteras den till vem för att ge paketet på fjärrsidan. Hamnar från 0 till 1023 reserverade för kända tjänster. Till exempel används den 80: e porten av webbservrar, de kan navigera fjärrklienter. Varje utgående TCP-meddelande innehåller information om källporten och porten på destinationen. Tillsammans tjänar de för att identifiera processer i båda ändarna med hjälp av en förening.

Vi kommer att dra en analogi som kommer att klargöra principen att använda portar. Antag att företaget har en gemensam telefonnummer. När människor får det, hör de operatörens röst, som frågar vem som helst de vill ansluta och ansluta dem till det lämpliga e-postnummer. Det viktigaste telefonnumret är en analogi av företagets IP-adress, och tillägget i båda ändarna liknar portarna. För att adressera portar används ett 16-bitars fält, vilket identifierar processen som mottar det inkommande paketet.

Med hjälp av källportfältet kan vi lösa problemet för adresskartläggning. När det utgående paketet kommer till NAT-blocket är källadressen till källan till formuläret 192.168.c.c.d ersätts med den här IP-adressen. Dessutom ersätts TCP-källporten med indexet för NAT-Block-translationstabellen som innehåller 65.536 poster. Varje post innehåller den ursprungliga IP-adressen och källportnumret. Slutligen beräknas kontrollsumman av TCP och IP-rubriker och sättas in i förpackningen. Det är nödvändigt att ersätta källportfältet, eftersom maskiner med lokala adresser 10.0.0.1 och 10.0.0.2 kan oavsiktligt vilja använda samma port (till exempel 5000 minuter). Så, för entydig identifiering av avsändarprocessen av ett fält, är källans hamn inte tillräckligt.

När paketet kommer till NAT-blocket från leverantören hämtas fältvärdet för TCP-huvudkällan. Den används som NAT Block Display tabellindex. Enligt den post som finns i den här tabellen bestäms den interna IP-adressen och den här porten i TCP-källan. Dessa två värden sätts in i förpackningen. Då räknas TCP och IP-kontrollsummorna. Paketet sänds till huvudvägen för företaget för normal leverans med adressen till 192.168.Y.Z.

Om ett ADSL eller kabelinternet tillämpas kan nätverksadressöverföring användas för att underlätta kampen mot brist på adresser. Tilldelat användarnas adresser har utsikt över 10.X.Y.Z. Så snart paketet lämnar gränserna för leverantörens ägodelar och går online faller det i NAT-blocket som omvandlar den interna adressen till leverantörens riktiga IP-adress. På vägen tillbaka utförs den omvända operationen. I den meningen, för resten av Internet, leverantören med sina kunder som använder ADSL och kabel: intervju presenteras i form av ett stort företag.

Även om det ovan beskrivna schemat som delvis löser problemet med brist på IP-adresser, anser många IP-anhängt NAT som en slags infektion som sprider sig på marken. Och de kan förstås.

För det första passar principen om sändningsadresser inte in i IP-arkitekturen, vilket innebär att varje IP-adress unikt identifierar en maskin i världen. Allt mjukvarustruktur Internet är byggt på användningen av detta faktum. Vid sändning av nätverksadresser visar det sig att tusentals maskiner kan (och så händer i verkligheten) ha adress 10.0.0.1.

För det andra vänder NAT till Internet från nätverket utan att upprätta en anslutning till något liknande nätverksorienterat nätverk. Problemet är att NAT-blocket måste stödja bildskärmens tabell för alla anslutningar som passerar det. Förvaring av anslutningsstatus är ett anslutningsorienterat nätverk, men inte nätverk utan att etablera anslutningar. Om NAT-blocket bryts och dess displaytbord förlorar, kan sedan om alla TCP-anslutningar som passerar det glömmas bort. Om det inte finns någon sändning av nätverksadresser har routerns misslyckande ingen effekt på TCP-operationen. Sändningsprocessen förseglar helt enkelt några sekunder och skickar alla obekräftade paket. När du använder NAT blir Internet så mottagligt för misslyckanden som ett nätverksomkopplade kanaler.

För det tredje stör NAT en av de grundläggande reglerna för konstruktion av protokoll på flera nivåer: Nivån K bör inte bygga några antaganden om vad nivån K + 1 placeras i nyttolastfältet. Denna princip bestämmer nivåns oberoende från varandra. Om en TCR-2 någonsin kommer att ersätta TCP, som kommer att ha ett annat rubrikformat (till exempel 32-bitars portadress), kommer sändningen av nätverksadresser att vara i fiasko. Hela idén om protokoll på flera nivåer är att förändringar i en av nivåerna inte kunde påverka de återstående nivåerna. Nat förstör detta självständighet.

För det fjärde är processerna på Internet inte alls skyldiga att endast använda TCP eller UDP. Om användaren av maskinen en bestämmer sig för att komma fram till ett nytt protokoll transportnivå Att kommunicera med användaren av maskinen i (det här kan göras, till exempel för någon multimediaapplikation), måste det på något sätt hantera det faktum att NAT-blocket inte kommer att kunna bearbeta TCP-källporten korrekt .

För det femte sätter några applikationer IP-adresser till meddelandekontexten. Mottagaren extraherar dem därifrån och sedan processer. Eftersom NAT inte vet någonting om ett sådant sätt att ta itu med, kommer han inte att kunna bearbeta paket, och eventuella försök att använda dessa adresser med en avlägsen fest kommer att leda till misslyckande. Filöverföringsprotokoll, FTP (File Transfer Protocol) använder den här metoden som också kan vägras att fungera vid sändning av nätverksadresser, såvida inte särskilda åtgärder vidtas. Internet-telefoni-protokollet H.323 har också en liknande egendom. Du kan förbättra NAT-metoden och få det att fungera korrekt med H.323, men det är omöjligt att förfina det när en ny applikation visas.

Sjätte, eftersom källportfältet är 16-bitars, kan cirka 65 536 lokala maskiner visas på en IP-adress. Faktum är att detta nummer är något mindre: De första 4096-portarna är reserverade för servicebehov. I allmänhet, om det finns flera IP-adresser, kan var och en av dem stödja upp till 61,440 lokala adresser.

Dessa och andra problem som är förknippade med sändningsnätdresser diskuteras i RFC 2993. Vanligtvis säger motståndare att använda NAT att lösningen på problemet med brist på IP-adresser genom att skapa en temporär lapp påverkar bara processen med verklig utveckling, som består i att gå till IPv6. Men om du återvänder till verkligheten ser vi att i de flesta fall är NAT bara en oumbärlig sak, särskilt för små kontor med antalet datorer från flera bitar till flera dussin. Nat kan implementeras egna styrkor i OS Linux med

Våra lägenheter är fler och fler olika digitala enheter - bärbara datorer, tabletter och smartphones. Medan datorn i lägenheten var ensam och ansluten direkt till leverantörens nätverk - uppstod inte. Och nu, när du har problem - hur man ansluter en ny bärbar dator eller surfplatta till Internet. Här för att hjälpa och kommer nAT-teknik. Vad är kärnan i NAT-tekniken?
Nat.Nätverksadressöversättning - För att översätta till ryska låter det så här: "Konvertera nätverksadresser." Nat. - Det här är en mekanism i TCP / IP-nätverk som låter dig konvertera IP-adresser till transitpaket.
Om du uttrycks av ett enkelt språk - så finns det flera datorer på det lokala nätverket, tack vare tekniken Nat. De kan alla gå till externt nätverk Internet med hjälp av en extern iP-adress (Ip).

Vad är IP-adressen?

Routerrouter - arbetar på tredje nivån oSI-systemrespektive används iP-protokoll - TCP / IP Network Layer Router-protokollet. En integrerad del av protokollet är att adressera nätverket. I enlighet med befintliga regler tilldelas alla enheter på nätverket IP-adresser (AI-PI-adresser) - unika nätverksidentifierare av nodadressen. Används 2 typer av IP-adresser - grå och vit. Grå adresser - Det här är en del av det adressutrymme som tilldelats för ett lokalt nätverk - Subnet IP-adresser 10.0.0.0/8, 172.16.0.0/12 eller 192.168.0.0/16 . Alla andra undernät används på Internet och är vita IP-adresser.

Så här tillhandahåller du delad Internetåtkomst för enheter i nätverket.

För att ansluta till Internet behöver alla enheter på det lokala nätverket router. Router - Det här är en enhet som kan ansluta via leverantörens nätverk till Internet och distribuera det till de anslutna enheterna på grund av det faktum att det åtminstone har 4 LAN-port och Wi-Fi-modul. Förvirra inte en router med en enkel Ethernet-switch, vilket är väsentligen en dum "splitter" i nätverket. På grund av det faktum att routern är installerad Unix-liknande system, du kan höja enheten olika tjänster, Inklusive service Nat.. För att göra detta, när du konfigurerar en router sätta ett fält Aktivera NAT. .

Så vad är nästa router För varje förfrågan, som passerar genom det, sätter en specifik etikett som innehåller data på avsändaren på det lokala nätverket. När svaret kommer till denna begäran, router Med en etikett bestämmer vilken IP-adress på det lokala nätverket för att skicka paketet. Här är faktiskt allt principen om drift av NAT-teknik i ett nötskal.

  • 01.02.2010

Idag kommer vi att överväga organisationen av organisationen av allmän tillgång till Internet och automatisk inställning Nätverk på Windows-plattformen. Trots det faktum att detta är en dyrare lösning kommer dess tillämpning att vara motiverad när nära integration med nätverksinfrastrukturen utplaceras på grundval av Windows Server.

Som arbetsplattform använde vi Windows Server 2008 R2, som den mest relevanta plattformen idag, men alla ovannämnda ändringar gäller för det föregående windows-versioner Server 2003/2008.

Ursprungligen måste du konfigurera nätverksgränssnitt. I vårt fall mottar gränssnittet som ser till leverantörens nätverk inställningar för DHCP, vi bytte om det för Ext. Det interna gränssnittet (LAN) har en statisk IP-adress 10.0.0.1 och en mask 255.255.255.0.

Ställa in NAT.

Det enklaste sättet att organisera allmän åtkomst Internet kommer att innehålla lämpligt alternativ i inställningarna för nätverksanslutning. Men med all enkelhet är denna metod extremt oflexibel och acceptabel endast om det inte finns några andra routningsuppgifter före servern. Det är bättre att gå svårare, vid första anblicken, vägen, men för att få ett mycket kraftfullt och flexibelt verktyg i dina egna händer, så att du kan lösa mycket mer komplexa nätverksuppgifter.
Låt oss börja, eftersom det borde vara, med tillägg av den nya serverrollen: Nätverkspolitikstjänster och åtkomst.

I rollerna av roller Routing Service I. fjärranslutning , allt annat är inte intresserat i oss nu. Efter en lyckad installationsroll kan du gå till rutningsinställningarna.

I Samtal Vi hittar routingstjänsten och genom menyn Insatser Välja Konfigurera och aktivera routing och fjärråtkomst. Inställningen görs med en trollkarl som steg för steg tar oss igenom alla inställningar. Välj som en konfiguration Nätverksadressomvandling (NAT)Alla andra funktioner kan konfigureras senare manuellt.

Här måste du ange gränssnittet som vår server är ansluten till Internet, om det behövs kan du skapa det (till exempel när du använder PPPoE- eller VPN-anslutningar).

De återstående inställningarna lämnas som standard och efter att ha klickat på knappen är den redo att starta rutnings- och fjärråtkomsttjänsten, är vår server redo att behålla kunder från det interna nätverket. Du kan kontrollera prestanda med klientmaskinens IP-adress från det interna nätverksbandet och specificera som en gateway och DNS-server Adress på vår server.

Ställa in DHCP.

För att automatiskt konfigurera nätverksinställningar på klientmaskiner, väl, inte att köra från plats för att placera manuellt förskrivna IP-adresser, bör du lägga till DHCP-serverns roll.

För att göra detta, välj Lägg till en roll i Serverhanterare Och fira det alternativ du behöver.

Nu måste vi svara på ett antal enkla frågor. I synnerhet, att välja för vilka interna nätverk som ska använda DHCP, om det behövs, kan du konfigurera olika parametrar för olika nätverk. Sedan specifikt ange parametrarna för DNS och vinner servrar. Den senare, med sin frånvaro, kan du inte ange. Om ditt nätverk inte har gamla arbetsstationer som kör OS annat än Windows NT 5 och över (2000 / XP / Vista / Seven), är det inte nödvändigt att vinna server.

Tillägget av DHCP-regionen måste behandlas med ökad uppmärksamhet, felet här kan leda till oförmåga att hela nätverket. Det finns ingen svår sak här, bara försiktigt ange alla nödvändiga nätverksparametrar noggrant, efter det iP-serie som är allokerat för att överlappa den redan valda för andra enheter och glöm inte att korrekt ange masken och gatewayen.

Separat bör uppmärksamhet ägnas åt en sådan parameter som leasingperioden. Efter hälften av hyresperioden skickar klienten en begäran till servern för att förlänga hyresavtalet. Om servern inte är tillgänglig kommer begäran att upprepas efter en halv återstående tid. I trådbundna nätverk, där datorer inte flyttar i nätverket, kan du ställa in en tillräckligt stor leasingperiod, om det finns många mobila användare (Till exempel offentligt Wi-fi dot På kaféet) kan leasingperioden vara begränsad till flera timmar, annars kommer det inte att det hända att tidsutsläpp av hyrda adresser inte kommer att hända och i poolen kanske inte gratis adresser.

Nästa steg vägrar att stödja IPv6 och efter installationen av DHCP-rollen är servern redo för arbete utan någon ytterligare inställningar. Du kan kontrollera driften av klientmaskiner.

IP-adresser utfärdade kan ses i Hyrda adresserrelaterade till det område du är intresserad av. Här kan du konfigurera säkerhetskopieringen av en specifik klient av en specifik adress (bunden med namn eller MAC-adress), om det behövs, kan du lägga till eller ändra parametrarna i området. Filter Låt dig skapa permissiva eller förbjuda regler baserat på kund MAC-adresser. En mer fullständig övervägning av alla funktioner i Windows Server 2008 R2 DHCP-servern är bortom omfattningen av den här artikeln och sannolikt kommer vi att ägna åt dem ett separat material.

  • Taggar:

Vänligen aktivera JavaScript för att visa de kommentarer som drivs av Disquus.

Trekbek

I vårt tidigare material granskade vi NAT-inställningen för windows-plattformar Server. När läsarens svar har visat uppstår vissa svårigheter vid användning av omkopplade Internetanslutningar: VPN eller PPPOE. Idag ser vi på beställningen ...