Menü
Bedava
giriş
ana  /  TARAFINDAN / NAT bağlantı türü. Nat - Ağın Dönüşümünü Kurma

NAT bağlantısının türü. Nat - Ağın Dönüşümünü Kurma

Bu kesinlikle farklı teknolojiler. Onları karıştırmayın.

Nat nedir.

Nat - Toplu Terim, yayın teknolojisini belirtir ağ adresleri ve / veya protokoller. NAT cihazları, adresleri, bağlantı noktalarını, protokolleri vb. Değiştirme ile geçen dönüşüm paketleri üzerinden üretir.

Daha dar bir snat, dnat, maskelenme, pat, nat-pt, vb.

nAT ihtiyacı neden kullanılır?

Çevrimiçi dahili ağı görüntülemek için

  • dış adreslerin havuzundan
  • bir harici adres aracılığıyla

Harici IP adresinin başkalarına takılması için (trafik yönlendirmesi)

Farklı IP adreslerine sahip aynı sunucular arasında yük dengeleme için.

İki yerel şebekeyi kesişen iç adresleme ile birleştirmek için.

nAT nasıl düzenlenir

s + D NAT (Şube Birleşmesi - Kötülük!)

port eşleme, bağlantı noktası yanma

Avantajlar ve dezavantajlar

Bazı protokollerle uyumlu değil. NAT'ın özel uygulaması, gerekli protokolün incelemesini desteklemelidir.

NAT dış dünyadan "ekran" dahili ağa sahiptir, ancak güvenlik duvarı yerine kullanılamaz.

Cisco ios kurulumu

Cisco yönlendiricileri ve güvenlik duvarları, yazılım için seçenek kümesine bağlı olarak çeşitli NAT türlerini destekler. En çok kullanılan, iç lokal adreslerin bir harici adresin çeşitli bağlantı noktalarına bağlanması olan NAT yöntemidir (Cisco Terminolojisinde Pat).

Yönlendiricinin üzerindeki NAT'ı yapılandırmak için gereklidir: o iletilmesi gereken trafiği belirlemek (erişim listeleri veya rota haritası kullanarak);

IP Erişim Listesi Genişletilmiş Yerel İzin IP 10.0.0.0 0.255.255.255

Route-map Int1 maç IP adresi Yerel maç arayüzü FASTERNET0 / 1.1

AKSSS yaprak yerel, tüm trafiği 10 ağdan seçer.

RUT-MAP INT1, Sabeneface FA'sını 0 / 1.1'den çıkan yerel eksen-levha trafiğini seçer.

o Hangi dış adreslerin yayın yapacağını belirleyin. Havuz dış adreslerini seçin. Yeterince tek adres için.

IP NAT Havuz Global 212.192.64.74 212.192.64.74 NETMASK 255.255.255.0

Dış adreslerin havuzunu Global adıyla ayarlamak. Sadece bir adres havuzunda.

o Seçilen iç ve dış adresler için NAT'ı etkinleştirin.

IP NAT içindeki IP NAT rota haritası Int1 Havuz Küresel Aşırı Yük

NAT'ın iç arayüzdeki kaynak adreslerini yayınlamasını sağlar. Yalnızca trafik, rut-map int1 koşulları altında yayınlanacaktır. Dış adres Pula Global'den alınacaktır.

IP NAT içindeki IP NAT Statik TCP 10.0.0.1 23 212.192.64.74 23 Uzatma

Statik "liman limanı" veya "hizmetin yayınlanması". 212.192.64.74 adresine giren trafikte, 10.0.0.1 ve bağlantı noktasının adresi, TCP 23 bağlantı noktası 23 ile değiştirilecektir.

o İç ve dış arayüzleri atayın.

Interface Fastethernet0 / 0 IP Nat Interface Interface Interface Fastethernet0 / 1.1 IP NAT dışında

FA 0/0 arayüzü NAT için dahili olarak atanır.

FA 0 / 1.1 SABRIDER, NAT için dışa atanır.

O hata ayıklama ve teşhis:

SH IP NAT çeviriler - Mevcut yayınların tablosunu görüntüleme; HOLD IP NAT çevirileri - tüm mevcut yayınları silin; IP Nat - Hata Ayıklama Mesajlarını Etkinleştir (Undebug Hepsi Kapalı Hata Ayıklama).

Örnek

Cisco Packet Tracer Emulator için birkaç gösteri örneği veriyoruz.

Dış adreslerin havuzundan küçük bir ağın internete çıktısının basit bir diyagramı

İnternetteki basit ağ çıkış devresi bir harici adres aracılığıyla

Kesişen adresleme ile montaj şeması

NAT'nın işletimi.

NAT kuralları uygulamak için prosedür, çeşitli üreticilerden ve çeşitli ekipmanlardan farklıdır. Cisco IOS'taki ROUTERS için NAT Politikaları uygulamak için prosedürü veriyoruz:

İçten içe

Eğer IPSEC sonra giriş erişim listesi şifrelemesini kontrol edin - CET (Cisco şifreleme teknolojisi) veya IPSEC giriş girişi listesi için giriş hızı sınırlarını kontrol edin Giriş Hızı Sınırları Web Önbelleğine Yönlendirme Yönlendirme Nat'ı dışa doğru (yerel olarak küresel çeviri) Crypto (haritayı kontrol edin) Şifreleme İşareti) Çıkış Erişim Listesi İnceleme (Bağlam tabanlı erişim kontrolü (CBAC)) TCP Intercept Encryption Queuing'i kontrol edin

İçten içi

Eğer IPSEC sonra giriş erişim listesi şifreleme kontrolü - CET veya IPSec için giriş erişim listesi girişi giriş hızı sınırlarını kontrol edin Giriş Hızı Sınırları Giriş Muhasebe Yönlendirme (Global ila Yerel Çeviri) Bağlantısı Yönlendirme Yönlendirme Şifreleme Çıkış Erişim Listesi CBAC TCP Intercept Encryption Queuing'i İnceleyin

NAT üzerinden bir sağlayıcıdan internet kanalı

Bir sağlayıcı ile basit NAT uygulama şeması

Nat, IP SLA ile iki sağlayıcıdan internet kanalının rezervasyonu

Danar: ISP1 sağlayıcısından birkaç internet bilgisayarını alıyoruz. ABD adresini 212.192.88.150 adresini tahsis etti. İnternet erişimi, NAT üzerinden bu IP adresinden düzenlenir.

Görev: Yedekleme sağlayıcısını bağlayın - ISP2. Bize 212.192.90.150 numaralı adresini tahsis edecek. Trafik dengelemesini düzenleyin: ISSP1, diğer trafik aracılığıyla web trafiğine izin verilebilir. Sağlayıcılardan birinin başarısızlığında - yaşam kanalındaki tüm trafiğe başlamak için.

Görevin karmaşıklığı nedir? IP NAn çevirilerini temizle?

Şema

Config

1 Şeffaf IP NAT çevirileri *

Bulundu, böyle bir EEM parçası test edildi. Hepsi değil iOS sürümleri. Etkinlik üretildi .. Netleştirmeliyiz.

K! Event Manager Applet Nat-Track Olay Syslog Desen "Tracking-5-State" Eylem 0.1 CLI komutu "Etkinleştir" eylemi 0.2 Bekle 3 Eylem 0.3 CLI komutu "Sil ip NAn Translation *" Action 0.4 Syslog MSG "NAT Translation State Değişiminin ardından Temizlendi "!

2 Arayüz sağlayıcıya düştüğünde, şansının ağ geçidinin ikinci boyunca tekme yapacağıdır.

K! Kullanıcı Adı Şifre Adı 0 Şifre Etkinleştir 0 Parolconfiga! K! VTY yönlendiricisine giriş girişini kontrol edin 0 4 Yerel giriş yapın! K! DHCP IP DHCP Havuz LAN Ağı Vieting Maskesi Varsayılan-Router Kapısı DNS-Server 10.11.12.13! DNS - hayali icat edildi - bizim değil yerel ağ K! K! K! Ping monitörü sağlayıcı-1 ağ geçidi! Cevap için bekleyin 100 ms! 1 saniyelik IP SLA Monitör Frekansı ile Pinging 1 Tip Echo Protokol IPICMPECHO GATERS1 Kaynak-Arayüz Arabirimleri1 Zaman Aşımı 100 Frekans 1! K! Provider-2 IP SLA Monitöründeki Ping Monitor 2 Tip ECHO Protokolü IPICMPECHO GATERS2 Kaynak-Arayüz Arabirimleri2 Zaman Aşımı 50 Frekans 1! K! Piningovakov 1 ve 2, Şimdi ve Sonsuza Kadar IP SLA Monitor Schedule 1 Life Forever Start-Time Now IP SLA Monitor Schedule 2 Hayat Sonsuza Sonsuza Kadar Çalışma Süresi! K! 10 ve 20 parçalar - Penny devletinin izlenmesi! 1 saniyelik bir gecikme ile aşağı veya yukarı durumuna tepki verir. Parça 10 RTR 1 ULAŞTIRARI GECİKE 1 YUKARI 1! Parça 20 RTR 2 ULAŞTIRARI GECİKE 1 YUKARI 1! K! K! Her iki sağlayıcılardaki tüm harici ağlar için rotalar! Rotalar izlere bağlanır! ve sadece parça yukarı durumdaysa etkinleştirilecektir! şunlar. İlgili sağlayıcı üzerindeki ağ geçidi mevcutsa IP rota 0.0.0.0 0.0.0.0 Gaters1 Track 10 IP Route 0.0.0.0 0.0.0.0 Gaters2 Track 20! K! K! İnt fa 0/0 kapalı! K! Harici sağlayıcılara doğru alt arayüzler! NAT arayüzü için dışarıda olarak işaretlenmiş FastetersNET0 / 0.1 Açıklama ISS1 Encaps DOT1Q Sayı 1 IP Adresi IPNAPS1 IP NAT dış maskesi! Arabirim FASTetersNET0 / 0.2 Açıklama ISS2 Kapsülleme DOT1Q Number2 IP Adresi IPNAPS2 IP NAT dış maske! K! Dahili ağ arayüzü! NAT için içeride olarak işaretlendi! PRBR Arabirimi FASTERNET0 / 1 IP Adresi Yönlendirme Politikası Gizlilik Politikası IP NAT Için IP Politikası Rota Haritası PBR Yok! K! Akses-Levhalar Dışarıdaki ağdan! Web trafiğinde ve diğer her şeyde IP erişim listesi Genişletilmiş Yerel İzin IP SHITIENT! IP Erişim Listesi Genişletilmiş Web İzin TCP İç Herhangi bir EQ WWW TCP Innode Innode Herhangi bir EQ 443! IP Erişim Listesi, herhangi birinin tüm izinlerini genişletti! K! K! Sly Ruth Harita PBR! Web'deki LAN'dan trafik varsa! Bu onu ilk sağlayıcının ağ geçidine atar! Aksi takdirde, LAN'dan gelen diğer trafik! İkinci bir sağlayıcı ağ geçidi atayın. K! Bir ağ geçidi atadığınızda, rotalar rota haritası ile kontrol edilir PBR izin 10 maç IP Adresi Web Seti IP Sonraki Hop Doğrulama - Kullanılabilirlik Gaters1 1 parça 10! Rota Haritası PBR İzin 20 Maç IP Adresi Tüm Set IP SONRA SONRAKİ-HOP Doğrulama - Kullanılabilirlik Gaters2 1 Parça 20! K! K! Güneşli Kök Haritası ISS1! LAN'dan trafik varsa çalışır! FA0 / 0.1 Rota Haritası ISS1 İzin 10 Maç IP Adresi Yerel Maç Arabirimi Fastethernet0 / 0.1! K! Güneşli Root-Mapp ISS2! LAN'dan trafik varsa çalışır! FA0 / 0.2 Rota Haritası ISS2 İzin 10 Maç IP Adresi Yerel Maç Arayüzü Fastethernet0 / 0.2! K! K! Sonunda Nat ;-)! K! İlk sağlayıcıdaki LAN'dan gelen trafik, kaynak rota haritası içindeki ilk IP Nat'ı izleyin. K! İkinci sağlayıcıdaki LAN'dan TRAFİK KURALLARINI İKİNCİ İP NAT üzerinden NAT için TRAFİKA KAYNAK NOT haritası ISS2 arayüzü FASTETERSNET0 / 0.2 Aşırı yük! K! Hayali DNS'deki trafik, Google DNS IP NAT dışında kaynak Statik 8.8.8.8 10.11.12.13 NO-Alias'a iade etmektir. K! Dahili bağlantı noktası 3389 Dış Port'ta 3389 İleri 1111 IP NAT Kaynak içinde statik TCP ekstrogous 3389 dış 1111 Uzatılabilir IP NAT Kaynak içinde statik TCP ekstrogous 3389 dış 1111 uzatılabilir! K!

miscellanea

CGN (Carrier Grade Nat) özel adreslerin özel bir havuzu ile

ALG gibi NAT (Uygulama Katmanı Ağ Geçidi), (Düz Metin Protokolleri E.G. SIP)

Bir süredir bu şarkı sözlerini unut.
Genel olarak konuşursak, erişim listeleri farklıdır:

Standart
- Genişletilmiş
- dinamik
- Yansıtıcı
- zamansız

Bugün dikkatimizi ilk ikisinde durduracağız ve Tsiski'den okuyabileceğiniz her şey hakkında daha ayrıntılı olarak.

Gelen ve Giden Trafik

Soten için bir şeyi anlayalım. Gelen ve giden trafik altında ne anlayacak? Bu gelecekte gerekli olacaktır. Gelen trafik dışındaki arayüze gelen olandır.

Giden, arayüzden dışardan gönderilen kişidir.

Erişim Listesi, gelen trafiğe uygulayabileceğiniz, sonra eksik paketler yönlendiriciye bile ulaşmaz ve buna göre, ağa veya giden yolda, ardından paketler yönlendiriciye gelir, ardından onlar tarafından işlenen yönlendiriciye gelir, Hedef arayüzü ve sadece damla.

Standart erişim listesi yalnızca gönderenin adresini kontrol eder. Gelişmiş Gönderen Adresi, Alıcı Adres, Port. Standart ACL'lerin alıcıya mümkün olduğunca yakın (bir gereğinden fazla kesilmemesi için) ve gönderene (mümkün olan en kısa sürede istenmeyen trafiği bırakmak için) daha yakın olmak üzere önerilir.

Uygulama

Hemen pratik yapalım. Küçük ağımızda "Asansör Mi AP" nde böyle bir geri ödeme yapacağız?

A) Web sunucusu. Tüm Port TCP 80 (HTTP protokolü) ile erişmesine izin verin. Bu cihazın hangi kontrolün yapılacağı için (biz de yönetici var) Telnet ve FTP'yi açmanız gerekir, ancak ona vereceğiz tam erişim. Sabitlerin geri kalanında.

B) Dosya sunucusu. Asansör MI AP sakinleri, ortak klasörler için limanlar ve FTP'teki diğerleri tarafından yapmalıyız.

C) posta sunucusu. Burada, SMTP ve POP3 çalıştırıyor, yani, TCP 25 ve 110 bağlantı noktası. Ayrıca Yönetici için yönetime açık erişim için. Diğer engelleme.

D) Gelecek DNS sunucusu için UDP 53 portunu açmanız gerekir.

E) ICMP mesajlarının sunucu ağına izin vermek

E) Feo, PTO ve muhasebe girmeyen tüm partizanlar için sahip olduğumuz diğer ağ, o zaman hepsini sınırlayacağız ve bazıları sadece erişim sağlar (aralarında biz ve yönetici)

E) Kontrol ağında, yalnızca yöneticiyi tekrar başlatmanız ve elbette sevdiklerim.

G) Biz kendi aralarında iletişim için engel oluşturmayacağız.

a) Web sunucusuna erişim

Burada, izin verilmeyen her şeyi yasaklayan bir politikamız var. Bu nedenle, şimdi bir şeyler açmamız gerekiyor, ama her şey kapatmak için.
Sunucu ağını koruduğumuzdan, o zaman levha, onlara doğru olan arayüze takılacak, Fe0 / 0.3'te soru şu ki. İÇİNDE. veya dışarı. Bunu yapmamız gerekiyor mu? Paketlerin yönlendiricinin üzerinde bulunan sunucuların yönünde izin vermek istemiyorsak, giden trafik olacaktır. Yani, hedef adresler (hedef) sunucuların ağında (sunucunun hangi sunucunun seçeceğini seçeceğimiz) ve kaynak adresleri (kaynak) herhangi bir şekilde olabilir - Şirket ağıve internetten.
Başka bir not: Hedef adresinde (web sunucusunda, bir kuralda, postalarda - diğerleri) de dahil olmak üzere filtreleyeceğimizden sonra, erişim kontrolü listesinin gelişmiş (uzatılmış) ihtiyacı olacak, sadece bunu yapmanızı sağlar.

Erişim listesindeki kurallar, yukarıdan aşağıya doğru ilk tesadüf işlemine göre kontrol edilir. Kurallardan biri çalıştığında, izinlerin olup olmadığına bakılmaksızın, kontrol durdurulup durdurulur ve trafiğin işlenmesi hüküm süren kurallara dayanmaktadır.
Yani, web sunucusunu korumak istiyorsak, önce her şeyden önce izin vermeliyiz, çünkü ilk satırda kurarsak herhangi bir IP'yi reddet - Her zaman işe yarayacak ve trafik genel olarak yürümeyecek. Hiç. - Bu, ağın adresi ve 0.0.0.0 0.0.0.0 numaralı adresi ve ters maskesi anlamına gelen özel bir kelimedir ve herhangi bir ağdan kesinlikle tüm düğümlerin olduğu anlamına gelir. Başka bir özel kelime - ev sahibi. - 255.255.255.255555.2555.255.255.
Öyleyse, ilk kural: 80 numaralı bağlantı noktasına kadar erişime izin ver


MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # RESMARK Web
Herhangi bir ev sahibi 172.16.0.2 EQ 80

Bana izin ver ( izin vermek.) Herhangi bir düğümden TCP trafiği ( hiç.) ana bilgisayarda ( ev sahibi. - bir adresdir) 172.16.0.2 80. limana hitap etti.
Fe0 / 0 arayüzüne bu erişim listesini asmaya çalışıyoruz:

MSK-ARBAT-GW1 (CONFIG-SUBIF) # IP erişim grubu sunucuları dışarı.

Bağlı bilgisayarlarımızdan herhangi birinden kontrol edin:

Gördüğünüz gibi, sayfa açılır, ama ping ile ilgili ne?

Ve böylece başka bir düğümden?

Gerçek şu ki, sonunda Ciskovsky ACL'deki tüm kurallardan sonra, örtük herhangi bir IP'yi reddet (örtük reddetme). Bu bizim için ne anlama geliyor? Arabirimden başlıklı herhangi bir paket ve yansıtılmış reddetmek ve atılan ACL'den herhangi bir kurala cevap vermez. Yani, en azından ping, FTP, burada en azından bir şey artık olmayacak.

Daha ileri gidiyoruz: kontrolün yapılacağı bilgisayara tam erişim sağlamanız gerekir. Bu, diğer ağdan 172.16.6.66 numaralı adresiyle yöneticimizin bilgisayarı olacaktır.
Her yeni kural, zaten varsa, listenin sonuna otomatik olarak eklenir:

mSK-ARBAT-GW1 (CONFIG)
MSK-ARBAT-GW1 (CONFID-EXT-NACL) # İzin TCP Host 172.16.6.66 Host 172.16.0.2 Aralık 20 FTP
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # İzin TCP Host 172.16.6.66 Host 172.16.0.2 EQ Telnet

Bu kadar. İstenilen düğümden kontrol ediyoruz (RT'deki sunucular arayan tarafından desteklenmiyor, FTP'yi kontrol edilmiyor):

Yani, FTP mesajı yönlendiriciye geldi ve FE0 / 0.3 arayüzünden geçmelidir. Yönlendirici kontrol eder ve paketin bizim tarafımızdan eklenen kural için uygun olup olmadığını kontrol eder ve atlar.

Ve bir yabancıdan

FTP paketi, herhangi birinin bulunduğu ve atıldığı ve atılan dışkı dışındaki kurallardan birinin altına düşmez.

b) Dosya sunucusuna erişim

Mevcut olması gereken "ikamet" ne olacağına karar vermek için her şeyden önce gerekli olacaktır. Tabii ki, bunlar 172.16.0.0/16 - yalnızca onlar ve erişim sağlayan bir adrese sahip olanlardır.
Şimdi S. ortak klasörler. Çoğunlukla modern sistemler SMB protokolü zaten bir TCP 445 bağlantı noktasına ihtiyacınız olan için zaten kullanılıyor. Eski sürümlerde, NetBIOS, üç bağlantı noktasından sonra beslenen: UDP 137 ve 138 ve TCP 139. Yönetici ile ilgili olarak, 445 portu yapılandıracağız. (Tabii ki, rt içinde kontrol etmek için gerçek, işe yaramaz). Ancak bunun yanında, FTP - 20, 21 için bağlantı noktalarına ihtiyacımız olacak, sadece iç ana bilgisayarlar için değil, aynı zamanda internetten bağlantılar için:
mSK-ARBAT-GW1 (CONFIG) # IP Erişim Listesi Genişletilmiş Sunucu Çıkışı
MSK-ARBAT-GW1 (CONFIG EXT-NACL) # İzin TCP 172.16.0.0 0.0.255.255 Host 172.16.0.3 EQ 445
MSK-ARBAT-GW1 (CONFIG EXT-NACL) # İzin TCP hiç. Host 172.16.0.3 Aralık 20 21

İşte tasarımı tekrar uyguladık aralık 20 21. - Bir satırda birden fazla bağlantı noktası için. FTP için, genellikle konuşursak, 21. limandan yeterli değil. Gerçek şu ki, eğer sadece açarsanız, yetkilendirmeyi geçersiniz ve dosya transferi yok.

0.0.255.255 - Ters Maske (Joker Kart Maskesi). Ne olduğu hakkında biraz sonra konuşalım

c) Posta sunucusuna erişim

Şimdi posta sunucusuyla birlikte çalışmaya devam ediyoruz. Aynı erişim listesinin bir parçası olarak, ihtiyacımız olan yeni kayıtlar ekleyin.
Yaygın olarak istenen protokoller için port numaraları yerine, isimlerini belirleyebilirsiniz:
mSK-ARBAT-GW1 (CONFIG) # IP Erişim Listesi Genişletilmiş Sunucu Çıkışı
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) #PERMIT TCP Herhangi bir Host 172.16.0.4 EQ POP3
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) #PERMIT TCP Herhangi bir Host 172.16.0.4 EQ SMTP

d) DNS sunucusu

mSK-ARBAT-GW1 (CONFIG) # IP Erişim Listesi Genişletilmiş Sunucu Çıkışı
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # İzni uDP. 172.16.0.0 0.0.255.255 Host 172.16.0.5 EQ 53

d) ICMP.

Durumu ping ile düzeltmek için kalır. Kuralların listenin sonuna eklenmesinde korkunç bir şey yoktur, ancak bir şekilde önce onları görmek için estetik olarak daha keyifli.
Bunun için basit bir hile kullanıyoruz. Bunun için kullanabilirsiniz metin düzeltici, Örneğin. Oraya oraya ACL hakkında Çalıştır parçasını göster ve aşağıdaki satırları ekleyin:
iP erişim listesi yok Genişletilmiş Sunucular
IP Erişim Listesi Genişletilmiş Sunucular
ICMP'nin herhangi birine izin ver
REMARK Web.



Açıklama dosyası


REMARK POSTA.


Not DNS.

Mevcut listeyi ilk satıra çıkarırız, sonra tekrar oluşturun ve ihtiyacımız olan sırayla tüm yeni kuralları listeleyiz. Üçüncü satırdaki ekip, tüm ICMP paketlerinin herhangi bir ana bilgisayardan herhangi bir ana bilgisayardan geçişine izin verdi.

Sonra, sadece bir kapsamla her şeyi kopyalayın ve konsola ekleyin. Arayüz, her dizeyi ayrı bir komut olarak yorumlar ve gerçekleştirir. Bu yüzden eski yeni listesini değiştirdik.
Ping'in şun olduğunu kontrol edin:

Mükemmel bir şekilde.

Bu "hile" ilk yapılandırma için iyidir veya tam olarak ne yaptığınızı biliyorsanız. Çalışma ağında, Uzak ACL'yi yapılandırdığınızda, ayarlanabilir demir parçasına erişim olmadan kalmayı riske atarsınız.

Kuralın başlangıcına veya başka bir doğru yerde eklemek için, böyle bir resepsiyona başvurabilirsiniz:
iP Erişim Listesi Genişletilmiş Sunucular
1 ICMP herhangi birine izin ver

Listedeki her kural, kesin bir adımla numaralandırılır ve izin / reddetmeden önce bir numara koyarsanız, kural sona ermeyin, ancak ihtiyacınız olan yerde eklenir. Ne yazık ki, böyle bir özellik Tacikistan Cumhuriyeti'nde çalışmaz.
Birdenbire gerekli ise (kurallar arasında çalışan tüm sözleşmeler) her zaman kuralları yeniden adlandırabilirsiniz (bu örnekte, 10 numaralı ilk kural (birinci) ve artış 10):
iP Erişim Listesi ResequenTCE Sunucuları-Out 10 10

Sonuç olarak, sunucu ağındaki erişim listesi şöyle görünecektir:
iP Erişim Listesi Genişletilmiş Sunucular
ICMP'nin herhangi birine izin ver
REMARK Web.
TCP'ye izin ver 172.16.0.2 EQ www
İzin TCP Host 172.16.6.66 Host 172.16.0.2 Aralık 20 FTP
İzin TCP Host 172.16.6.66 Host 172.16.0.2 EQ Telnet
Açıklama dosyası
İzin TCP 172.16.0.0 0.0.255.255 Host 172.16.0.3 EQ 445
İzin TCP herhangi bir ev sahibi 172.16.0.3 aralığı 20 21
REMARK POSTA.
TCP'ye izin verin 172.16.0.4 EQ POP3
TCP'ye izin verin 172.16.0.4 EQ SMTP
Not DNS.
İzin UDP 172.16.0.0 0.0.255.255 Host 172.16.0.5 EQ 53

Şimdi Yöneticimiz yalnızca Web sunucusuna erişebilir. Tüm ağa tam erişim keşfedin. Bu ilk ödev.

e) Diğer ağdaki kullanıcı hakları

Şimdiye kadar ihtiyacımız vardı giriş yapmayın Bir yerde biri, bu yüzden hedef adrese dikkat ettik ve arayüzden gelen trafiğe çıkan erişim listesi.

Şimdi ihtiyacımız var serbest bırakma: Bilgisayarlardan diğer ağdan gelen hiçbir istek ötesine geçmemelidir. Tabii ki, özellikle çözdüğümüzler dışında.

mSK-ARBAT-GW1 (CONFIG) # IP erişim listesi uzatılmış diğer

MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # İzni IP Host 172.16.6.61



Burada önce her şeyi yasaklayamadık ve seçilenleri çözemedik, çünkü kesinlikle tüm paketler bir kural olurdu herhangi bir IP'yi reddet ve izin vermek. Hiç tetiklemiş olmazdım.
Arayüze uygulayın. Bu sefer girişte:
mSK-ARBAT-GW1 (CONFIG) #INT FA0 / 0.104
MSK-ARBAT-GW1 (config-subif) #ip erişim grubu diğer İÇİNDE.

Yani, ana bilgisayardan gelen tüm IP paketleri, 172.16.6.61 veya 172.16.6.66 adresine sahip olan her yerde, nerede olursa olsun iletilmesine izin verilir. Burada neden genişletilmiş bir erişim listesi kullanıyoruz? Sonuçta, görünür, sadece gönderenin adresini kontrol ediyoruz. Çünkü hayminler tam erişim verdik, ancak şu ana şirketi "Asansör Mi AP" konuğu, örneğin, internet dışında, aynı ağa girecek.

e) Ağ Yönetimi

Hiçbir şey zor. Kural böyle görünecek:
mSK-ARBAT-GW1 (CONFIG) # IP Erişim Listesi Genişletilmiş Yönetim
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # RESMARK IAM
MSK-ARBAT-GW1 (Config-Ext-NaCl) # İzin IP Host 172.16.6.61 172.16.1.0 0.0.0.255
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # REMARK Admin
MSK-ARBAT-GW1 (Config-Ext-NaCl) # İzin IP Host 172.16.6.66 172.16.1.0 0.0.0.255

Bu ACL, FE 0 / 0.2 arayüzüne göre uygulanır:
mSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.2
MSK-ARBAT-GW1 (config-subif) #ip erişim grubu yönetimi

g) artık kısıtlamalar yok

hazır

Maske ve ters maske

Şimdiye kadar, şüpheli bir alt ağ maskesine benzeyen, 0.0.255.255 formunda garip bir parametre verdik.
Anlamak için biraz zor, ancak iade maskesinin, kuralı düşen ana bilgisayarları belirlemek için kullanıldığı budur.
Ters maskenin ne olduğunu anlamak için, ortak olanı bilmelisiniz.

En basit örneğiyle başlayalım.

256 adresinde normal ağ: 172.16.5.0/24, örneğin. Bu giriş ne anlama geliyor?
Ama tam olarak aşağıdakiler demektir.

IP adresi. Ondalık kaydı 172 16 5 0
IP adresi. İkili Kayıt 10101100 00010000 00000101 00000000
11111111 11111111 11111111 00000000
255 255 255 0

IP adresi, 32 bit uzunluğundaki bir parametredir, ondalık formda görülürken kullanıldığınız 4 bölüme ayrılmıştır.
Alt ağ maskesi ayrıca 32 bit uzunluğuna sahiptir - aslında alt ağ adresinin tanımlandığı gibi bir şablon, şablonlardır. Maskedeki birimler olabileceği yerlerde, anlam değişemez, yani, yani Bölüm 172.16.5 tamamen değişmez ve bu alt ağın tüm ev sahipleri için aynı olacaktır, ancak sıfırların değişken olduğu.
Yani, örnekte, 172.16.5.0/24 alırız - bu ağın adresidir ve ana bilgisayarlar 172.16.5.1-172.16.5.254 (son 255 yayın), çünkü 00000001 1 ve 111110 - 254 (son ostet adresiyle ilgili konuşma). / 24, 24 bitlik bir maskenin uzunluğunun, yani 24 birimimiz var - sabit bir parça ve 8 sıfırlardır.
Bir maskemiz olduğunda, örneğin, 30 bit ve 24 değil.
Örneğin, 172.16.2.4/30. Böyle kesin:

IP adresi. Ondalık kaydı 172 16 2 4
IP adresi. İkili Kayıt 10101100 00010000 00000010 00000100
Alt ağ maskesi. İkili Kayıt 11111111 11111111 11111111 11111100
Alt ağ maskesi. Ondalık kaydı 255 255 255 252

Gördüğünüz gibi, bu alt ağ için sadece son iki bit değişebilir. Son sekizli aşağıdaki 4 değerleri alabilir:
00000100 - Alt ağ adresi (ondalık sistemde 4)
00000101 - Düğüm adresi (5)
00000110 - Düğüm adresi (6)
00000111 - Yayın (7)
Bunların dışındaki bütün bunlar başka bir alt ağ

Yani, şimdi, alt ağ maskesinin 32-bit dizisi olduğuna, birimlerin alt ağın ilk GO'nun adresi anlamına geldiğini, ardından ana bilgisayar adresini ifade eden Zeros'a gidin. Aynı zamanda, maskedeki alternatif sıfırlar ve birimler değişemez. Yani, maske 11111111.11100000.11110111.00 milyar İmkansız

Ve dönüş maskesi (joker) nedir?
Yöneticilerin ve bazı mühendislerin ezici çoğunluğu için, her zamanki maskenin inversiyonundan başka bir şey değildir. Yani, sıfırlar ilk önce örtüşebilen parçanın adresini belirledi ve aksine birimler ücretsizdir.
Yani, bizim tarafımızdan alınan ilk örnekte, tüm ana bilgisayarları Subnet 172.16.5.0/24'ten filtrelemek istiyorsanız, erişim listesindeki kuralı belirleyeceksiniz:
…. 172.16.5.0 0.0.0.255
Çünkü dönüş maskesi şöyle görünecek:

00000000.00000000.00000000.11111111

Ağ 172.16.2.4/30 olan ikinci örnekte, iade maskesi şöyle görünecektir: 30 sıfır ve iki ünite:

Ters maske. İkili Kayıt 00000000 00000000 00000000 00000011
Ters maske. Ondalık kaydı 0 0 0 3

Buna göre, erişim listesindeki parametre şöyle görünecektir:
…. 172.16.2.4 0.0.0.3
Daha sonra, maskelerin ve geri dönüş maskelerinin hesaplanmasında bir köpek yedik, en çok kullanılan sayıları hatırlayacak, belirli bir maskedeki ana bilgisayarların sayısı, açıklanan durumda, ters maskenin son oktetinin elde edildiğini anlayacak. Her zamanki maskenin (255-252 \u003d 3), vb. 255 haneden çıkarılması. Bu arada, çok çalışmanız ve saymanız gerekir)

Ancak aslında, dönüş maskesi biraz en zengin bir araçtır, burada aynı alt ağın içindeki adresleri birleştirebilir veya hatta alt ağları birleştirebilir, ancak en önemli fark, sıfırları ve birimleri alternatif olabilir. Bu, örneğin, belirli bir düğümü (veya grubu) bir satırın birkaç alt ağlarında filtrelemesine izin verir.

Örnek 1.

Verilen: Ağ 172.16.16.0/24
Bu gerekli: İlk 64 adresleri filtreleyin (172.16.16.0-172.16.16.63)
Karar: 172.16.16.0 0.0.0.63

Örnek 2.

Verilen: Ağ 172.16.16.0/24 ve 172.16.17.0/24
Bu gerekli: Her iki ağdan adresleri filtreleyin
Karar: 172.16.16.0 0.0.1.255

Örnek 3.

Verilen: Ağ 172.16.0.0-172.16.255.0.
Bu gerekli: Ana bilgisayarı tüm alt ağların bir adresiyle filtreleyin
Karar: 172.16.16.0 0.0.255.4

ACL resimlerde çalışın

Hipotetik Ağ:

1) FE0 / 1 arayüzündeki RT1 yönlendiricisinde, ICMP dışındaki her şey girmesine izin verilir.

2) FE0 / 1 arayüzü üzerindeki RT2 yönlendiricisinde, SSH ve Telnet yasaktır

Testler
tıklanabilir
1) ping ping1 bilgisayar1

2) bir PC1 bilgisayardan sunucuya telnet

3) SSH'den PC1 bilgisayardan sunucu2

4) PC1'de sunucu2'den ping

Takviyeler

1) Giden trafiğe yönelik kurallar (dışarı), cihazın trafiğini filtreleyecektir. Yani, kravatın bir yerindeki erişime yasaklamanız gerekiyorsa, bu arayüzdeki gelen trafiği filtrelemeniz gerekir (oradan yanıt verilmesi gerektiği yer).

2) C ACL dikkatli olmalıdır. Kuralda küçük bir hata, yanlış sipariş ayarları veya genel olarak kötü düşünülmüş liste ile, cihaza erişmeden kalabilirsiniz.
Örneğin, 172.16.6.61 tarihleri \u200b\u200bhariç, 172.16.6.0/24 numaralı ağın herhangi bir yerinde erişimi kapatmak istiyorsunuz ve bu tür kurallara şöyle sordu:

İnkar eden IP 172.16.6.0 0.0.0.255
IP Host 172.16.6.61'e İzin Ver

ACL'yi arayüze uyguladığınızda, hemen yönlendiriciye erişimi kaybedersiniz, çünkü ilk kuralın altına girdiğiniz ve ikincisi bile kontrol edilmez.
Size olabilecek ikinci tatsız durum: Trafik, ACL altına düşer, bu da vurulmamalıdır.
Böyle bir durumu hayal edin: Sunucudaki pasif modda bir FTP sunucumuz var. Erişmek için, 21. limanı ACL'de açtınız. Sunucular.. Bağlantının ilk kuruluşundan sonra, FTP sunucusu, örneğin 1523 dosyaları iletmeye / almaya hazır olan portun istemcisini rapor eder. Müşteri bu bağlantı noktasına bir TCP bağlantısı kurmaya çalışıyor, ancak bu tür bir çözünürlük yoktu - başarılı bir transfer hakkında peri hikayesi bulunduğu ACL sunucularında kütükler. Örneğimize göre, dosya sunucusuna erişim kurduğumuzda, sadece 20 ve 21'e erişim açtık, çünkü örneğin yeterli. Gerçek hayatta tinker yapacak. Ortak durumlar için bazı ACL konfigürasyon örnekleri.

3) 2. noktadan çok benzer ve ilginç bir problemi takip eder.
Sizinle farklı, örneğin, internetteki arayüzü asmak gibi ACLS:

erişim Listesi Çıkış İzni TCP Host 1.1.1.1 Ana Bilgisayar 2.2.2.2 EQ 80
İzin içinde erişim listesi TCP Host 2.2.2.2 Herhangi bir EQ 80

Görünüyor: 1.1.1.1 adresiyle olan ana bilgisayar, 80. bağlantı noktasına sunucu 2.2.2.2'ye (ilk kural) erişmesine izin verilir. Ve sunucu 2.2.2.2 içindeki bileşiklerden geri döner.
Ancak buradaki nüans, bilgisayarın 1.1.1.1'in 80. bağlantı noktasına bir bağlantı kurmasıdır, ancak diğerlerinden, örneğin, 1054, yani sunucudan gelen yanıt paketi Soket 1.1.1.1:1054'e gelmez, içine girmez Herhangi biri herhangi birinin gizli inkar edilmesi nedeniyle içeri giren ve atılan bir kural.
Böyle bir durumdan kaçınmak için ve limanları tüm kirişe açmayın, ACL'de aşağıdaki püf noktalarına başvurabilirsiniz:
tCP Host 2.2.2.2'ye izin verilir.

Aşağıdaki makalelerden birinde böyle bir çözümün detayları.

4) hakkında konuşma modern dünyaNesne grupları (nesne grubu) olarak böyle bir aletin etrafını dolaşamazsınız.

Diyelim ki, internette, adres ve bağlantı noktalarının sayısını genişletme olasılığı olan üç özdeş bağlantı noktasında üç adet belirli bir bağlantı noktasında belirtilen bir ACL oluşturmanın gerekli olduğunu varsayalım. Nesne gruplarını bilmeden nasıl görünüyor:

iP Erişim Listesi Internet'e Genişletilmiş
İzin TCP Host 172.16.6.66 Herhangi bir EQ 80
İzin TCP Host 172.16.6.66 Herhangi bir EQ 8080
İzin TCP Host 172.16.6.66 Herhangi bir EQ 443

İzin TCP Host 172.16.6.67 Herhangi bir EQ 80
İzin TCP Host 172.16.6.67 Herhangi bir EQ 8080
İzin TCP Host 172.16.6.67 Herhangi bir EQ 443

İzin TCP Host 172.16.6.68 Herhangi bir EQ 80
İzin TCP Host 172.16.6.68 Herhangi bir EQ 8080
İzin TCP Host 172.16.6.68 Herhangi bir EQ 443


Parametre sayısında bir artışla, bu tür ACL'ye eşlik edin, kurulurken bir hata yapmak giderek daha zor ve daha zor hale geliyor.
Ancak nesne grupları ile iletişime geçerseniz, aşağıdaki formu satın alır:
nesne grubu hizmeti inet-bağlantı noktaları
Bazı ana bilgisayarlar için izin verilen bağlantı noktaları
TCP EQ www.
TCP EQ 8080.
TCP EQ 443.

Object-Group Network Hosts-Inet
Açıklama Net'e göz atmasına izin verilen ana bilgisayarlar
Host 172.16.6.66
Host 172.16.6.67
Host 172.16.6.68

IP erişim listesi uzatılmış inet-out
Nesne grubu inet-ports nesne grubu ana bilgisayarlar


İlk bakışta, biraz tehdit ediyor, ancak çözerseniz, çok uygun.

4) TRABLCHUTING bilgisi için çok yararlı bilgiler, komutun çıktısından elde edilebilir. iP erişim listelerini göster% ACL% ACL. Belirtilen ACL'nin kurallarının gerçek listesine ek olarak, bu komut her kural için eşleşme sayısını gösterir.

mSK-ARBAT-GW1 # SH IP Erişim Listeleri Nat-inet
Genişletilmiş IP Erişim Listesi Nat-inet





(4 eşleşme (es))



Ve herhangi bir kuralın sonunda eklemek günlüğü., Konsoldaki her tesadüfle ilgili mesajlar alabileceğiz. (İkincisi PT'de çalışmıyor)

Nat.

Ağ Adresi Tercüme - 1994 yılından beri tarım mekanizması kesinlikle gereklidir. Bununla ilgili birçok seans kırılır ve paketler kaybolur.
Yerel ağınızı internete bağlamak için en çok ihtiyaç duyulur. Gerçek şu ki, teorik olarak 255 * 255 x 255 x 255 \u003d 4228 250 625. 4 milyar adrestir. Gezegenin her sakini sadece bir bilgisayar olsa bile, adresler yeterli olmazdı. Ve sonra internete ütüler hariç, bağlı değil. Akıllı insanlar bunu 90'ların başında gerçekleştirdi ve geçici bir karar, adres alanını halka (beyaz) ve özel (özel, gri) bölmek için önerildi.
İkincisi üç çeşit içerir:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Onları özel ağınızda özgürce kullanabilirsiniz ve bu nedenle elbette tekrarlanacaklar. Özgünlükle Nasıl Olur? 192.168.1.1 iade adresinden gelen web sunucusuna kim cevap verecek? Rostelecom? Tatneft şirketleri? Ya da oda arkadaşın uzun? Büyük bir internette kimse, özel ağlar hakkında hiçbir şey bilmiyor - yönlendirmiyorlar.
İşte ve Sahneye Nat'a gidiyor. Ve büyük, bu bir aldatmaca, bir stand. Uygulama cihazında, özel adresiniz kabaca konuşurken, web sunucusuna seyahat ederken pakette daha fazla görünecek olan beyaz adresin yerini alır. Ancak beyaz adresler çok iyi yönlendirir ve paket kesinlikle yuvarlanma cihazına geri dönecektir.
Fakat sırayla onunla ne yapacağını nasıl anlayacak? İşte ve onunla uğraş.

Nat türleri.

Statik

Bu durumda, bir iç adres bir harere dönüştürülür. Aynı zamanda, harici adrese gelen tüm talepler dahili olarak yayınlanacaktır. Bu ev sahibi gibi ve bu beyaz IP adresinin sahibi olduğu gibi.

Aşağıdaki komutla yapılandırılmıştır:

Router (config) # IP NAT içindeki Kaynak Static 172.16.6.5 198.51.100.2

Ne oluyor:
1) düğüm 172.16.6.5 Web sunucusunu ele alır. 192.0.2.2 ve Gönderen 172.16.6.5'teki bir IP paketi gönderir.

2) Kurumsal Ağ tarafından, paket 172.16.6.1 Ağ Geçidi'ne teslim edilir, burada NAT'nın yapılandırıldığı

3) Yapılandırılmış komuta göre, yönlendirici geçerli IP başlığını giderir ve beyaz adresin 198.51.100.2'nin gönderenin adresi olarak göründüğü yeni birine değiştirir.


4) Bolshoi internette, güncellenmiş paket sunucu 192.0.2.2'ye ulaşır.

5) Cevabın 198.51.100.2 için gönderilmesi gerektiğini ve cevap IP paketini hazırladığını görüyor. Bir göndericinin adresi olarak, sunucunun adresi olarak 192.0.2.2.2.2, varış adresi - 198.51.100.2


6) Paket internet üzerinden geri uçuyor ve aynı şekilde değil.

7) Belirtilen cihazda, 198.51.100.2 adresindeki tüm taleplerin 172.16.6.5 tarafından yönlendirilmesi gerektiği belirtilir. Yöneltici tekrar TCP segmentinin içine gizlenmiş şeritler ve yeni bir IP başlığı ayarlar (gönderenin adresi değişmez, varış yerinin adresi 172.16.6.5).


8) Dahili ağda, paket başlangıçta bile, bu da mucizelerin sınırında devam ettiği başlangıçta iade edilir.
Ve her biri ile birlikte olacak.
Bu durumda, bağlantı internetten başlatılırsa, paketler otomatik olarak belirten aygıttan geçiyorsa, iç konakçıya düşer.

Böyle bir yaklaşım, ağınızın içinde tam erişimin gerekli olduğu bir sunucunuz olduğunda kullanışlıdır. Tabii ki, üç yüz ana bilgisayarın bir adres aracılığıyla çevrimiçi yayınlanmasını istiyorsanız, bu seçeneği kullanamazsınız. Bu NAT seçeneği, beyaz IP adreslerini kaydetmeye yardımcı olmaz, ancak yine de faydalıdır.

Dinamik

Örneğin, beyaz adreslerin bir havuzunuz var, örneğin sağlayıcı, 16 adresle 198.51.100.0 / 28'lik bir ağ tahsis etti. İkisi (birinci ve son) - Ağın ve yayının adresi, yönlendirme sağlamak için ekipmana iki adres daha atanır. 12 Kalan adresler NAT için kullanabileceğiniz ve kullanıcılarını kullanabilirsiniz.
Durum statik bir NAT'a benzer - bir özel adres bir harici olarak yayınlanmaktadır, ancak şimdi dış açıkça sabit değildir, ancak belirtilen aralıktan dinamik olarak seçilecektir.
Bu şekilde yapılandırılmıştır:
Yönlendirici (config) #ip nat havuz lol_pool 198.51.100.3 198.51.103.14

Adresin seçileceği açık adreslerin belirtilen havuz (aralık)
Yönlendirici (config) # erişim listesi 100 İzin IP 172.16.6.0 0.0.0.255

Tüm paketleri Kaynak Adresiyle 172.16.6.x ile atlayan erişimin listesini belirtiriz. h.Çeşitli 0-255.
Yönlendirici (config) #ip nat içinde kaynak listesi 100 havuz lol_pool

Bu komutla, oluşturulan ACL ve havuzu öldürürüz.

Bu seçenek de evrensel değildir, 300 harici adresiniz yoksa, 300 kullanıcısını da serbest bırakamazsınız. Beyaz adresler tükenmez bitmez, hiç kimse internete erişemez. Aynı zamanda, harici adreslerini kapmak için zamana sahip olan kullanıcılar çalışacaktır. Tüm mevcut yayınları atın ve dış adresi serbest bırakın size yardımcı olacak sil IP NAn çevirisi *
Dış adreslerin dinamik tahsisine ek olarak, bu dinamik olarak NAT, ayrı bir bağlantı noktası iletme ayarı olmadan, havuz adreslerinden birine harici bir bağlantı artık mümkün olmadığında, statikten farklıdır.

ÇOKTAN BİRE

Aşağıdaki türde birkaç isim vardır: NAT aşırı yük, liman adresi çevirisi (PAT), IP maskeliding, çoktan bir NAT.
İkinci isim kendisi için konuşuyor - bir harici adres aracılığıyla dünyaya çok fazla özel. Bu, sorunu dış adres eksikliği ile çözmenize ve dünyaya isteyen herkesi serbest bırakmanızı sağlar.
Çalıştığı gibi bir açıklama yapmak gerekir. İki özel adresin birine nasıl yayınlandığı, ancak yönlendirici, bu adrese internetten dönen bir paket göndermesi gereken bir paket göndermesi gerektiği gibi?
Her şey çok basit:
İki ana bilgisayardan dahili ağdan gelen bir dolum cihazında paketler geldiğini varsayalım. Her ikisi de web sunucusu 192.0.2.2 isteği ile.
Ana bilgisayarlardan gelen veriler şöyle görünür:

Yönlendirici, ilk ana bilgisayardan IP paketini keşfeder, bir TCP segmenti çıkarır, yazdırır ve bağlantının hangi bağlantı noktasından yüklendiğini öğrenir. Dahili ağdan gelen adresin değişeceği 198.51.100.2 dış adresine sahiptir.
Sonra, ücretsiz bir liman seçti, örneğin, 11874. ve sonra ne yapar? Tüm uygulama seviyesi verileri, yeni bir TCP segmentinde paketlenir, burada 80, hedef bağlantı noktası (bir Web sunucusu bağlantılarını bekliyor) olarak kalır ve gönderenin bağlantı noktası 23761'den 11874'e geçer. Bu TCP segmenti yeni bir IP'de kapsüllenir. 198.51.100.2 tarihinde, Gönderenin IP adresinin bir paket 172.16.6.5.
Aynı şey, ikinci ana bilgisayardan gelen paket için olur, sadece bir sonraki ücretsiz bağlantı noktası seçilir, örneğin 11875. "Ücretsiz", henüz diğer bileşiklerle meşgul olmadığı anlamına gelir.
İnternete gönderilen veriler şimdi böyle görünecek.

Nat-masasında, gönderenler ve alıcılardan veri getiriyor

Bir Web sunucusu için bunlar, her birini bireysel olarak işleme koyması gereken iki farklı istek. Ondan sonra, şöyle görünen cevabı ifade eder:

Bu paketlerden biri yönlendiricimize geldiğinde, NAT tablosundaki kayıtları ile bu paketteki verilerle eşleşir. Tesadüf bulunursa, ters prosedür var - paket ve TCP segmenti ilk parametrelerini yalnızca bir hedef olarak döndürür:

Ve şimdi paketler, bilgisayar başlatıcıları iç ağı boyunca, hatta bile, hatta hatta verileri sınırında bu kadar sertleşiyor.

Her temyiziniz ayrı bir bağlantıdır. Yani, web sayfasını açmaya çalıştınız - bu, 80 numaralı bağlantı noktasını kullanan bir HTTP protokolüdür. Bunu yapmak için, bilgisayarınız uzak bir sunucuyla bir TCP oturumu kurmalıdır. Böyle bir oturum (TCP veya UDP) iki soket ile belirlenir: Yerel IP Adresi: Yerel bağlantı noktası ve uzak IP Adresi: Uzak bağlantı noktası. Her zamanki durumlarda, bir bilgisayar sunucusu bağlantısı kurarsınız, NATA bağlantısı iki gibi olacaktır:, yönlendirici sunucusu ve bilgisayar bir bilgisayar sunucusu oturumu olduğunu düşünüyor.

Ayar oldukça önemsiz: bir uzatma sözcüğü aşırı yükleniyor:

Yönlendirici (config) # Access listesi 101 İzin 172.16.4.0 0.0.0.255
Yönlendirici (config) #ip Nat Kaynak listesi 101 Arabirim FA0 / 1 aşırı yükleme

Aynı zamanda, elbette, adres havuzunu yapılandırmak için kaydedilir:
Yönlendirici (config) #ip nat havuz lol_pool 198.51.100.2 198.51.103.14
Yönlendirici (config) # Erişim Listesi 100 İzin 172.16.6.0 0.0.0.255
Yönlendirici (config) #ip nat içinde kaynak listesi 100 havuz lol_pool aşırı yükleme

Yükleme limanları

Aksi takdirde, bağlantı noktaları veya haritalama limanları da söyler.
NAT hakkında konuşmaya başladığımızda, bir arada olan yayın ve dışarıdan gelen tüm talepler otomatik olarak dahili konakçıya yönlendirildi. Böylece, sunucuyu internetin dışına koymak mümkün olacaktır.
Ancak böyle bir fırsatınız yoksa - beyaz adreslerinizle sınırlıysanız veya tüm limanlara limanlara koymak istemiyorsanız, ne yapmalı?
Belirli bir beyaz adrese gelen tüm isteklerin ve yönlendiricinin belirli bir portunun yönlendirilmesi gerektiğini belirleyebilirsiniz. zorunlu bağlantı noktası İstenen evsel adres.
Router (config) #ip nat içinde kaynak statik tcp 172.16.0.2 80 198.51.100.2 80 Uzatılabilir

Bu komutun uygulanması, internetten 198.51.100.2 numaralı adrese olan TCP isteğinin, 80 numaralı bağlantı noktasına göre, aynı 80. bağlantı noktasında 172.16.0.2 iç adrese yönlendirileceği anlamına gelir. Tabii ki, hareket edebilir ve UDP yapabilir ve bir limandan diğerine yönlendirebilirsiniz. Bu, örneğin, dışarıdan RDP üzerinden erişmeniz gereken iki bilgisayarınız varsa yararlı olabilir. RDP, 3389 numaralı bağlantı noktasını kullanır. Aynı bağlantı noktasında farklı ana bilgisayarlara uyandıramayacağınız (bir harici adresi kullanırken). Bu nedenle bunu yapabilirsiniz:
Router (config) # IP NAT içindeki Kaynak Statik TCP 172.16.6.61 3389 198.51.100.2 3389
Router (config) # IP NAT içindeki Kaynak Statik TCP 172.16.6.66 3389 198.51.100.2 3398

Sonra bilgisayara ulaşmak için 172.16.6.61, RDP oturumunu 198.51.100.2:3389 numaralı bağlantı noktasına ve 172.16.6.66 - 198.51.100.2:3398'de başlatırsınız. Yönlendirici kendisi, gerekli olduğu her şeyi yayar.

Bu arada, bu takım, ilk olarak özel bir durumdur: IP NAT, Kaynak Static 172.16.6.66 198.51.100.2. Yalnızca bu durumda tüm trafiğin işlemi hakkında konuşuyoruz ve örneklerimizde - TCP protokolünün belirli bağlantı noktaları.

Bu Nat Nat Funciquet. Özellikleri hakkında, Artılar / Eksileri bir sürü makaleyi söylüyor, ancak onlardan bahsetmiyorum.

Zayıflık ve tuzlu nat

+

- Her şeyden önce NAT, genel IP adreslerini kaydeder. Aslında bunun için yaratıldı. Bir adresden sonra, teorik olarak, 65.000'den fazla gri adres bırakabilirsiniz (port sayısına göre).
- İkinci olarak, PAT ve Dynamic NAT, bir süredir güvenlik duvarıdır, dış bağlantıların son bilgisayarlarına ulaşmasını önleyen, yangın duvarı ve antivirüsü olmayabilir. Gerçek şu ki, paket dışarıdan gelirse, burada beklenmeyen ya da izin verilmeyen, basitçe atılır.
Paketin kaçırılması ve işlenmesi için aşağıdaki koşullar izlenmelidir:
1) NAT tablosu, paketteki göndericinin adresi olarak belirtilen bu dış adres için kaydedilmelidir.
VE
2) Paketteki Gönderenin Limanı, bu beyaz adres için kayıttaki bağlantı noktasını eşleştirmelidir.
VE
3) Paketteki hedef bağlantı noktası, kayıttaki bağlantı noktasına çakışır.
VEYA
Yapılandırılmış bağlantı noktaları.
Ancak NAT'ı bir güvenlik duvarı olarak görmeniz gerekmez. Ek bir çörekden daha fazla değil.

- üçüncü olarak, Nat meraklı gözlerden gizler İç yapı Ağınız - Güzergahı dışarıdan izlerken, doldurma cihazının daha fazla bir şey görmeyeceksiniz.

-

Nat ve eksileri var. Onların en somut, belki de aşağıdakiler:
- Bazı protokoller koltuk değneği olmadan NAT üzerinden çalışamaz. Örneğin, FTP veya tünel protokolleri (laboratuardaki FTP'yi basitçe yapılandırmaya rağmen, gerçek hayatta bir sürü problem yaratabilir)
- Bir başka problem bir adreste yatıyor, bir sunucu için birçok istek var. Birçoğu, bazı rapidshare'e gittiğinizde bu tanık oldu ve IP'nizin zaten bir bağlantı kurduğunu söylüyor, "yalan söylüyor, köpek" olduğunu düşünüyorsun ve bu senin komşun zaten berbat. Aynı sebepten dolayı, sunucular kaydolmayı reddettiğinde ICQ ile ilgili sorunlar vardı.
- Çok alakalı değil. Şimdi sorun: İşlemcinin üzerindeki yük ve veri deposu. İşin miktarı basit yönlendirmeye kıyasla oldukça büyük olduğundan (bu sadece IP başlığına bakmamalı, onu çıkarmanız, TCP başlığını almanız, tabloya koymak, yeni başlıkları takmak için, yeni başlıkları sabitleyin) küçük ofislerde Bununla ilgili sorunlar.
Böyle bir duruma rastladım.
Biri muhtemel çözümler - NAT işlevini ayrı bir PC'ye veya Cisco ASA gibi özel bir cihaza bırakın.
Yönlendiricileri olan büyük oyuncular için 3-4 BGP tam görünümünü açar, şimdi sorun değil.

Başka ne bilmen gerekiyor?
- NAT, esas olarak Internet Hostlarına özel adreslere erişim sağlamak için kullanılır. Ancak aynı zamanda farklı bir uygulama var - kesişen adres alanları olan iki özel ağ arasındaki ilişki.
Örneğin, şirketiniz Aktyubinsk'te bir şube satın alır. Bir adresleme 10.0.0.0.0-10.1.255.255'iniz var ve onlar 10.1.1.0-10.1.10.255. Aralıklar açıkça kesişir, yönlendirme yapılandırılamaz, çünkü aynı adres Aktyubinsk'te olabilir ve karargahınız var.
Bu durumda, NAT eklemin yerine yapılandırılmıştır. Gri adresleri ölçmediğimiz için, örneğin 10.2.1.0-10.2.10.255 aralığını vurgulamak mümkündür ve bir arada yayın:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2

10.1.10.255-10.2.10.255

Yetişkinler için büyük oyuncaklarda, NAT ayrı bir panoda (ve sıklıkla) uygulanabilir ve onsuz çalışmaz. Ve ofis bezlerinde, aksine, neredeyse her zaman var.

İPv6'nın yaygın tanıtımı ile Nate'e olan ihtiyaç no. Zaten, büyük müşteriler NAT64 işlevselliğiyle ilgilenmeye başlar - bu, IPv4 ile dünyaya bir yolunuz olduğunda ve iç ağ zaten IPv6'dadır.

Tabii ki, bu sadece NAT'a sadece yüzeysel bir görünümdür ve hala kendi kendine eğitimin size yardımcı olacağı boğulmayacak bir nüans denizi vardır.

Nat pratik.

Gerçeklik bizden ne gerekiyor?
1) Kontrol ağı hiç internet erişimi yoktur
2) PTO ağından ana bilgisayarlar, yalnızca profil sitelerine erişebilir, örneğin, LinkMeup.ru
3) Muhasebe gelen güzel bayanlar, istemci bankalarının dünyasına pencereyi kesmelidir.
4) FAO, Finans Direktörü hariç, herhangi bir yere bırakmayın.
5) Diğer ağda, bilgisayarımız ve yönetici yöneticisi - onlara internete tam erişim sağlayacaktır. Diğerleri yazılı bir istek üzerine açılabilir.
6) St. Petersburg ve Kemerovo'daki şubeleri unutmayın. Sadelik için, bu alt ağlardan gelen enicalers için tam erişim sağlayacağız.
7) Tek şarkı sunucuları. Onlar için bağlantı noktası yönlendirmesini yapılandıracağız. Tek ihtiyacımız olan:
a) Web sunucusu 80. limanda mevcut olmalıdır
b) 25. ve 110. için posta sunucusu
c) FTP'deki dünyadan dosya sunucusu mevcuttur.
8) Yönetici Bilgisayarlar ve bizim internetten RDP tarafından sunulmalıdır. Aslında, bu yanlış yol - için uzak bağlantı Bir VPN bağlantısı kullanmanız gerekir ve zaten RDP kullanmak için yerel ağda, ancak bu ayrı ayrı farklı bir makalenin konusudur.

İlk önce test alanını hazırlayın:

İnternet bağlantısı, sağlayıcıya sağlayan mevcut link aracılığıyla düzenlenecektir.
Sağlayıcının ağına gider. Bu bulutteki her şeyin aslında düzinelerce yönlendiricinin ve yüzlerce anahtardan oluşabilecek soyut bir ağ olduğunu hatırlatıyoruz. Ancak yönetilen ve öngörülebilir bir şeye ihtiyacımız var, bu yüzden yönlendiriciyi burada alacağız. Bir yandan, Internet'teki diğer sunucuda, anahtardan bir bağlantıdır.

Sunucular aşağıdakilere ihtiyacımız var:
1. Muhasebeciler için iki müşteri bankası (Sperbank.ru, mmm-bank.ru)
2. petshnikov için linkmeup.ru
3. Yandex (Yandex.ru)

Böyle bir bağlantı için, MSK-Arbat-GW1'de başka bir VLAN'ı artıracağız. Tabii ki, sağlayıcı ile tutarlıdır. VLAN 6 olsun
Sağlayıcının bize sağladığını varsayalım. subnet 198.51.100.0/28.. İlk iki adres, bir bağlantı (198.51.100.1 ve 198.51.100.2) düzenlemek için kullanılır ve kullandığımız kalan NAT'A için bir havuz olarak kullanıyoruz. Bununla birlikte, hiç kimse bize 198.51.100.2 adresini havuz için kullanmamızı önlemez. Ve yap: havuz: 198.51.100.2-198.51.100.14
Sadelik için, kamu sunucularının aynı alt ağda bulunduğunu varsayalım:
192.0.2.0/24 .
Bir bağlantı ve adresler nasıl güncellenirsiniz?
Sağlayıcının ağında sadece bir yönlendiricimiz olduğundan ve tüm ağlar doğrudan buna bağlı olduğundan, yönlendirmeyi ayarlamanıza gerek yoktur.
Ancak MSK-Arbat-GW1'imiz internette paketleri nereye göndereceğinizi bilmelidir, bu yüzden varsayılan rotaya ihtiyacımız var:

mSK-ARBAT-GW1 (config) # ip rota 0.0.0.0 0.0.0.0 198.51.100.1

Şimdi sırayla

İlk önce adres havuzunu yapılandırıyoruz

mSK-ARBAT-GW1 (config) # IP NAT Pool Main_Pool 198.51.100.2 198.51.100.14 NetMask 255.255.255.240

Şimdi ACL topla:
mSK-ARBAT-GW1 (CONFIG) # IP Erişim Listesi Genişletilmiş Nat-inet

1) Kontrol ağı

İnternete genel olarak erişimi yok
hazır

2) PTO ağından ana bilgisayarlar

Sadece profil sitelerine erişin, örneğin, LinkMeup.ru
mSK-ARBAT-GW1 (CONFIG-EXT-NACL) # İzin TCP 172.16.3.0 0.0.0.255 Host 192.0.2.2 EQ 80

3) Muhasebe

Her iki sunucudaki tüm ana bilgisayarlara erişim sağlıyoruz.
mSK-ARBAT-GW1 (CONFIG-EXT-NACL) # İzin IP 172.16.5.0 0.0.0.255 Host 192.0.2.3
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # İzin IP 172.16.5.0 0.0.0.255 Host 192.0.2.4

4) FEO

Yalnızca Finansal Yönetmen için izin verelim.
mSK-ARBAT-GW1 (CONFIG-EXT-NACL) # İzni IP Host 172.16.4.123

5) diğer

Tam erişimli bilgisayarlarımız
mSK-ARBAT-GW1 (CONFIG-EXT-NACL) # İzni IP Host 172.16.6.61
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # İzni IP Host 172.16.6.66

6) St. Petersburg ve Kemerovo'nun şubeleri

Eicin'in adreslerinin aynı olması olsun: 172.16.x.222
mSK-ARBAT-GW1 (CONFIG-EXT-NACL) # İzin IP Host 172.16.16.222
MSK-ARBAT-GW1 (CONFIG-EXT-NACL) # İzin IP Host 172.16.17.222
MSK-ARBAT-GW1 (CONFIG EXT-NACL) # İzin IP Host 172.16.24.222

ACL şimdi nasıl görünüyor:
iP Erişim Listesi Genişletilmiş Nat-inet
REMARK PTO.
İzin TCP 172.16.3.0 0.0.0.255 Host 192.0.2.2 EQ WWW
Başa çıkan açıklama.
İzin İzni IP 172.16.5.0 0.0.0.255 Host 192.0.2.3
İzin İzni IP 172.16.5.0 0.0.0.255 Host 192.0.2.4
REMARK FEO.
IP Host 172.16.4.123'e İzin Ver
Remark iam
IP Host 172.16.6.61'e İzin Ver
REMARK Admin.
IP Host 172.16.6.66'ya İzin Ver
REMARK SPB_VSL_ISLAND.
IP Host İzin 172.16.16.222 Herhangi biri
REMARK SPB_OZERKI.
IP Host İzin 172.16.17.222 Herhangi biri
REMARK KMR.
IP Host 172.16.24.222'ye İzin Ver

Çalıştırmak:

mSK-ARBAT-GW1 (CONFIG) # IP NAT İç Kaynak Listesi Nat-inet Havuzu Main_Pool Aşırı Yük

Ancak, arayüzleri yapılandırmadan mutluluk dolu olmayacak:
Harici arayüzde bir komut vermeniz gerekir dışarıda ip nat
Dahili: İçeride IP Nat
mSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.101
MSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.102
MSK-ARBAT-GW1 (config-subif) # IP Nat içindeki
MSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.103
MSK-ARBAT-GW1 (config-subif) # IP Nat içindeki
MSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.104
MSK-ARBAT-GW1 (config-subif) # IP Nat içindeki

MSK-ARBAT-GW1 (CONFIG) # INT FA0 / 1.6
MSK-ARBAT-GW1 (CONFIG-SUBIF) # IP NAT dışında

Bu, yönlendiricinin, paketlerin işlenmesini ve nerede gönderileceğini nereden bekleyeceğinizi anlamasına izin verecektir.

İnternetteki sunuculara mevcuttur alan adıAğımızda kötü bir DNS sunucusu alamadık:


Doğal olarak, erişimi kontrol edeceğimiz cihazlara reçete edilmelidir:

Gösteri devam etmeli!

Her şey yönetici bilgisayardan temin edilebilir:

PTO ağından, yalnızca Site LinkMeup.ru sitesine 80. bağlantı noktasına (HTTP) erişimi vardır:



FEO ağında, sadece 4.123 (Fonde-Director) dünyaya geliyor



Sadece müşteri bankacılığı siteleri muhasebede çalışır. Ancak, çözünürlük tamamen IP protokolüne verildiğinden, onları ping yapabilirsiniz:


7) Sunucular

Burada, bağlantı noktalarının bağlantı noktalarını yapılandırmamız gerekiyor, böylece onlarla iletişim kurabilmeniz için:

a) Web sunucusu

mSK-ARBAT-GW1 (config) # IP NAT içindeki Kaynak Statik TCP 172.16.0.2 80 198.51.100.2 80

Hemen kontrol edin, örneğin, Ares 192.0.2.7 ile bir test PC'den yapabiliriz.
Şimdi hiçbir şey çalışmayacak, çünkü ağ sunucuları için MSK-Arbat-GW1'de yapılandırılmış bir arayüzümüz yok:
mSK-ARBAT-GW1 (CONFIG) # INT FA0 / 0.3
MSK-ARBAT-GW1 (config-subif) # IP Nat içindeki

Ve şimdi:

b) Dosya sunucusu

mSK-ARBAT-GW1 (CONFIG) # IP NAT içindeki Kaynak Statik TCP 172.16.0.3 20 198.51.100.3 20
MSK-ARBAT-GW1 (CONFIG) # IP NAT içindeki Kaynak Statik TCP 172.16.0.3 21 198.51.100.3 21

Burada bunun için ACL sunucularında, 20-21. limanları herkes için açtık.

c) Posta Sunucusu

mSK-ARBAT-GW1 (config) # IP NAT içindeki Kaynak Statik TCP 172.16.0.4 25 198.51.100.4 25
MSK-ARBAT-GW1 (CONFIG) # IP NAT içindeki Kaynak Statik TCP 172.16.0.4 110 198.51.100.4 110

Kontrol de zor değil. Talimatları takip et:
İlk kurulum posta sunucusu. Etki alanını belirtir ve iki kullanıcı oluştururuz.

Ağımızdan bir bilgisayarı yapılandırın:

Dışdan:

Mektup hazırlama:

Yerel ana bilgisayarda, Al'ı tıklayın:

8) Yönetici Bilgisayarlarına ve bizim RDP erişimi

MSK-ARBAT-GW1 (config) # IP NAT içindeki Kaynak Statik TCP 172.16.6.61 3389 198.51.100.10 3389
MSK-ARBAT-GW1 (CONFIG) # IP NAT iç kaynak statik TCP 172.16.666 3389 198.51.100.10 3398

Emniyet

Sonuncusu için yorum. Büyük olasılıkla doldurma cihazı, IP NAT dış arayüzünüze - internet üzerinden bakıyorsunuz. Bu nedenle, bu arayüz, yasakladığınız, size ihtiyacınız olana izin verdiğiniz ACL'yi engellemez. Bu konuda, bu makalede zaten durmayacağız.

Bu konuda, NAT teknolojisiyle olan ilk tanışma tamamlanmış sayılabilir.
Başka bir DZ olarak, ST. Petersburg'daki ve Kemerovo'daki Enicaev'in bilgisayarlarından internete neden internete erişimin olmadığını sorusuna cevap verin. Sonuçta, onları zaten erişim listesine ekledik.

IP adresleri az bir kaynaktır. Sağlayıcı, / 16 adresine (eski sınıf B) olabilir, bu da size 65.534 ana bilgisayar bağlama yeteneği sunar. Müşteriler daha fazla hale gelirse, sorunlar ortaya çıkmaya başlar. HOODS İnternete zaman zaman olağan telefon hattı boyunca zaman zaman, IP adreslerini yalnızca bağlantı süresi için dinamik olarak vurgulayabilirsiniz. Sonra bir / 16 adresi 65.534'e kadar aktif kullanıcıya hizmet edecek ve bu, birkaç yüz bin müşteriye sahip bir sağlayıcı için yeterli olabilir. İletişim oturumu tamamlandığında, IP adresi yeni bir bileşiğe atanır. Böyle bir strateji, telefon hattına bağlayan çok sayıda özel müşteri olmayan sağlayıcıların sorunlarını çözebilir, ancak müşterileri kuruluşların çoğu olan sağlayıcılara yardımcı olmayacak.

Gerçek şu ki, kurumsal müşterilerin en azından iş günü boyunca internetle kalıcı bir bağlantı kurmayı tercih etmeleridir. Ve turist ajansları gibi küçük ofislerde, üç çalışandan oluşan ve büyük şirketlerde, belirli sayıda bilgisayardan oluşan yerel ağlar vardır. Bazı bilgisayarlar çalışan iş istasyonlarıdır, bazı web sunucuları servis edilir. Genel durumda, kalıcı bir bağlantı sağlamak için özel bir çizgi sağlayıcısına bağlı bir LAN yönlendiricisi vardır. Böyle bir çözüm, bir IP adresinin her bilgisayarla ilişkili olduğu anlamına gelir. Aslında, hep birlikte, kurumsal müşterileri olan kombine bilgisayarlar IP adres sağlayıcısını engelleyemez. Uzunluğu / 16'nın uzunluğu için, bu sınır, zaten belirttiğimiz gibi, 65 534. Ancak, İnternet Servis Sağlayıcısının sağlayıcısı kurumsal müşteri sayısı on binlerce kişi hesaplanırsa, bu sınır elde edilecektir. çok çabuk.

Sorun, hepsi olduğu gerçeğiyle ağırlaştırılmıştır. daha Özel kullanıcılar internet ile bir ADSL veya kablo bağlantısı yapmak istiyor. Bu yöntemlerin özellikleri aşağıdaki gibidir:

a) Kullanıcılar kalıcı bir IP adresi alır;

b) Zamansız ödeme yoktur (sadece aylık abonelik ücreti alınır).

Bu tür bir hizmetin kullanıcıları internetle kalıcı bir bağlantıya sahiptir. Bu yöndeki gelişme, IP adresleri açığındaki artışa yol açar. Ne zaman yapıldığı gibi "sinek üzerine" IP adreslerini atayın telefon bağlantısı, işe yaramaz, çünkü her zaman aktif adreslerin sayısı, sağlayıcıdan birçok kez daha fazla olabilir.

Genellikle durum, birçok ADSL kullanıcısının olduğu için daha da karmaşıktır. kablo internet İki veya daha fazla bilgisayara ev sahipler (örneğin, her aile üyesi için bir tane) ve tüm arabaların internete erişmesini istiyor. Ne yapmalı - sonuçta, sağlayıcı tarafından verilen yalnızca bir IP adresi var! Bu çözüm: Yönlendiriciyi kurmalı ve tüm bilgisayarları yerel ağa birleştirmelisiniz. Sağlayıcının bakış açısına göre, bu durumda aile birkaç bilgisayarla küçük bir şirketin analogu olarak hareket edecektir. Pupkin Corporation'a Hoşgeldiniz!

IP adresleri açığının sorunu teorik değildir ve uzak gelecek için geçerli değildir. Zaten alakalı ve burada savaşmaya geliyor. Uzun vadeli proje, 128 bitlik bir adresleme ile tüm İnternetin IPv6 protokolüne toplam çevirisini içerir. Bu geçiş gerçekten yavaş yavaş gerçekleşiyor, ancak süreç çok yavaş, bu yıllarca geciktirilir. Bunu görmek, çoğu, en azından yakın gelecek için bir miktar karar bulmanın acil olduğunu fark etti. Böyle bir çözüm, bir ağ adresi yayın yöntemi formunda bulundu, NAT (Ağ Adresi Çevirisi)RFC 3022'de açıklanmıştır. Bunun özü daha sonra bakacağız ve daha ayrıntılı bilgi bulunabilir (Kasap, 2001).

Ağ adresinin yayınının ana fikri, her bir şirketin bir IP adresini (veya en az az sayıda adres) internet trafiği için atamaktır. Şirketin içinde, her bilgisayar, dahili trafiği yönlendirmek için kullanılan benzersiz bir IP adresi alır. Ancak, paket şirketin binasının sınırlarını terk eder ve sağlayıcıya gönderilir, adres yayınlanmaktadır. Bu şemanın uygulanması için, özel IP adresinin üç aralığı oluşturuldu. Şirket içinde kendi takdirine bağlı olarak kullanılabilirler. Tek kısıtlama, hiçbir durumda bu adreslere sahip paketlerin internette görünmemesidir. Bunlar bu üç ayrılmış aralıktır:

10.0.0.0 - 10.255.255.255/8 (16,777,126 ana bilgisayarlar)

172.16.0.0 - 172.31.255.255/12 (1.048,576 Hosts)

192.168.0.0 -192.168.255.255 / 16 (65,536 ana bilgisayarlar)

Ağ adreslerini yayınlama yönteminin çalışması, uzun süreli şemada gösterilmektedir. Şirketin toprakları dahilinde, her bir makine 10.x.y.z.z. Bununla birlikte, paket Şirket'in mülkiyetinin ötesine geçtiğinde, kaynağın (10.0.0.1 Şekil), şirket tarafından sağlayıcıdan elde edilen gerçek IP adresine (198.60.42.12) çeviren NAT bloğundan geçer. Örneğimiz için). NAT bloğu genellikle tek cihaz Gelen ve giden şirketi kesinlikle takip ederek güvenlik sağlayan bir güvenlik duvarı ile. NAT bloğu, şirket yönlendiricisi ile bütünleşebilir.

Hala küçük bir detay yönetti: bir talep söz konusu olduğunda (örneğin, bir web sunucusundan), 198.60.42.12'ye yöneliktir. NAT Bloğu, yerel adresin şirketin genel adresini değiştirmek olduğunu nasıl bulur? Bu, Broadcast'ı ağ adreslerini kullanmanın temel sorunudur. IP paketinin başlığı ücretsiz bir alandaysa, bir istek gönderen kişinin adresini ezberlemek için kullanılabilir. Ancak başlıkta sadece bir parti kullanılmamış kalır. Prensip olarak, kaynağın gerçek adresi için böyle bir alan oluşturmak mümkün olacaktır, ancak tüm makinelerdeki IP kodunda değişiklik gerektirecektir. Bu, özellikle IP adreslerinin eksikliği sorunu için hızlı bir çözüm bulmak istiyorsak, en iyi yol değildir.

Aslında ne oldu. NAT geliştiriciler, IP paketlerinin faydalı yükünün çoğunun TCP veya UDP olduğuna dikkat çekti. Her iki formatta da kaynak ve alıcı bağlantı noktalarını içeren başlıklara sahiptir. Port numaraları, TCP bağlantısının neyin bittiğini ve nerede bittiğini gösteren 16 bit tamsayılardır. Port numaralarının depolama yeri, NAT çalışması için gereken bir alan olarak kullanılır.

İşlem bir uzak işlemle bir TCP bağlantısı kurmak istediğinde, kendi bilgisayarındaki ücretsiz bir TCP bağlantı noktasına bağlanır. Bu bağlantı noktası, TCP kodu bilgilerine bu bağlantının paketlerini nerede yönlendireceğinizi söyleyen bir kaynak bağlantı noktası haline gelir. İşlem aynı zamanda hedef bağlantı noktasını da tanımlar. Hedef bağlantı noktasından, pakete uzak tarafta kimin verileceği bildirilmektedir. Tanınmış hizmetler için 0 ila 1023 arasında bağlantı noktaları ayrılmıştır. Örneğin, 80. bağlantı noktası, sırasıyla web sunucuları tarafından kullanılır, gezinebilirler uzak istemciler. Her giden TCP mesajı, kaynak bağlantı noktası ve varış noktası bağlantı noktası hakkında bilgi içerir. Birlikte, bir bileşik kullanarak her iki ucundaki işlemleri tanımlamaya hizmet ederler.

Bağlantı noktalarını kullanma ilkesini biraz netleştirecek bir analoji çizeceğiz. Şirketin bir ortak olduğunu varsayalım telefon numarası. İnsanlar kazandığında, kimin birbirlerini kimin bağlamak istediklerini soran ve bunları uygun e-posta telefon numarasına bağlamaları isteyen operatörün sesini duyarlar. Ana telefon numarası, şirketin IP adresinin bir benzetmesidir ve her iki uçtaki ilave bağlantı noktalarına benzerdir. Bağlantı noktalarını ele almak için, gelen paketi alan işlemi tanımlayan 16 bitlik bir alan kullanılır.

Kaynak bağlantı noktası alanını kullanarak, adres haritalama problemini çözebiliriz. Giden paket NAT bloğuna geldiğinde, form kaynağının kaynak adresi 192.168.c.c.d bu IP adresi ile değiştirilir. Ek olarak, TCP kaynak portu, 65.536 giriş içeren NAT-BLOCK çeviri tablosu indeksi ile değiştirilir. Her giriş orijinal IP adresini ve kaynak port numarasını içerir. Son olarak, TCP ve IP başlıklarının sağlama toplamı toplamı yeniden hesaplanır ve pakete yerleştirilir. Kaynak bağlantı noktası alanını değiştirmek gereklidir, çünkü yerel adresleri 10.0.0.1 ve 10.0.0.2 olan makineler yanlışlıkla aynı bağlantı noktasını (örneğin 5000 dakika) kullanmak isteyebilir. Öyleyse, bir alanın gönderen sürecinin belirsiz bir şekilde tanımlanması için, kaynak portu yeterli değildir.

Paket, sağlayıcıdan NAT bloğuna ulaştığında, TCP başlık kaynağının alan değeri alınır. NAT BLOCK ekran masa endeksi olarak kullanılır. Bu tabloda bulunan kayıtlara göre, dahili IP adresi ve TCP kaynağının bu bağlantı noktası belirlenir. Bu iki değer pakete yerleştirilir. Sonra TCP ve IP sağlama toplamı yeniden sayılır. Paket, 192.168.y.z görünümünün adresi ile normal teslimat için şirketin ana yoluna iletilir.

Bir ADSL veya kablo İnternet uygulanırsa, adreslerin sıkıntısına karşı mücadeleyi kolaylaştırmak için Ağ Adresi İletimi kullanılabilir. Kullanıcılara atanan adresler 10.x.y.z. Paket, sağlayıcının mülklerinin sınırlarını terk eder ve çevrimiçi olarak gider çıkmaz, iç adresi sağlayıcının gerçek IP adresine dönüştüren NAT bloğuna düşer. Geri dönüş yolunda ters işlem gerçekleştirilir. Bu anlamda, internetin geri kalanında, sağlayıcı, ADSL ve Kabloyu kullanarak müşterileri ile sağlayıcı: Röportaj, büyük bir şirket biçiminde sunulmaktadır.

Yukarıda açıklanan şema, IP adreslerinin eksikliği sorununu kısmen çözebilse de, birçok IP bağdaştırması NAT'ı yere yayılan bir tür enfeksiyon olarak görür. Ve anlaşılabilirler.

Birincisi, yayın adresleri ilkesi IP mimarisine uymuyor, bu, her IP adresini dünyadaki yalnızca bir makineyi benzersiz bir şekilde tanımladığını ima ediyor. Herşey yazılım yapısı İnternet, bu gerçeğin kullanımına dayanmaktadır. Ağ adreslerini yayınlarken, binlerce makinenin 10.0.0.1'e sahip olması için binlerce makinenin (ve gerçekte gerçekleşmesi) olduğu ortaya çıktı.

İkincisi, NAT, benzer ağ odaklı bir ağa bir bağlantı kurmadan, NAT, ağdan ağdan döner. Sorun, NAT bloğunun, geçen tüm bağlantıların ekran tablosunu desteklemesi gerektiğidir. Bağlantı durumunu depolamak, bağlantı odaklı bir ağlardır, ancak bağlantı kurmadan ağlar değildir. NAT BLOCK BREAKLARI ve ekran tabloları kaybederse, sonra geçen tüm TCP bağlantıları hakkında unutulabilir. Ağ adreslerinin yayın yoksa, yönlendiricinin arızası TCP işlemi üzerinde herhangi bir etkisi yoktur. Gönderme işlemi birkaç saniye mühürler ve tüm onaylanmamış paketleri gönderir. NAT kullanırken, internet, ağ düğmesi kanalları olarak başarısızlıklara duyarlı hale gelir.

Üçüncüsü, NAT, çok seviyeli protokoller inşa etmek için temel kurallardan birini bozar: K seviyesi, K + 1 seviyesinin yük alanına yerleştirildiği hakkında herhangi bir varsayım yapmamalıdır. Bu ilke, seviyelerin birbirinden bağımsızlığını belirler. Bir TCR-2, farklı bir başlık formatına sahip olacak olan TCP'yi değiştirirse (örneğin, 32 bit bağlantı noktası adresleme), daha sonra ağ adreslerinin yayınlanması FIASCO'da olacaktır. Çok seviyeli protokollerin tüm fikri, seviyelerden birindeki değişikliklerin kalan seviyeleri etkilemediğidir. Nat bu bağımsızlığı yok eder.

Dördüncüsü, internetteki süreçler sadece TCP veya UDP kullanmak zorunlu değildir. Makinenin kullanıcısı yeni bir protokolle gelmeye karar verirse taşıma seviyesi Makinenin kullanıcısı ile iletişim kurmak için (örneğin, bazı multimedya uygulaması için yapılabilir), daha sonra NAT bloğunun TCP kaynak portunu doğru şekilde doğru şekilde işleyemeyeceği gerçeğiyle bir şekilde anlaşılması gerekecektir. .

Beşinci, bazı uygulamalar IP adreslerini mesaj metnine ekler. Alıcı onları oradan çıkarır ve işlemler. NAT, böyle bir adresleme yoluyla ilgili hiçbir şey bilmediğinden, paketleri doğru şekilde işleyemeyecek ve bu adresleri uzak bir tarafla kullanma girişimleri başarısızlığa yol açacaktır. Dosya Aktarım Protokolü, FTP (Dosya Aktarım Protokolü), özel önlemler alınmadıkça, ağ adreslerini yayınlarken çalışmayı da reddedilebilecek bu yöntemi kullanır. İnternet telefon protokolü H.323 de benzer bir mülke sahiptir. NAT yöntemini iyileştirebilir ve H.323 ile doğru çalışmasını sağlayabilirsiniz, ancak yeni bir uygulama göründüğünde onu daraltmak imkansızdır.

Sixth, kaynak port alanı 16 bit olduğundan, bir IP adresinde yaklaşık 65.536 yerel makine görüntülenebilir. Aslında, bu sayı biraz daha azdır: İlk 4096 liman hizmet ihtiyaçları için ayrılmıştır. Genel olarak, birkaç IP adresi varsa, her biri 61.440 yerel adrese kadar destek olabilir.

Bunlar ve yayın ağı adresleri ile ilgili diğer problemler RFC 2993'te tartışılmaktadır. Genellikle NAT kullanmanın rakipleri, geçici bir yama oluşturarak IP adreslerinin eksikliği sorununa ilişkin çözümün, yalnızca gerçek evrim sürecine müdahale etmeyi engeller. IPv6'ya. Fakat gerçeğe dönerseniz, çoğu durumda NAT'ın, özellikle birkaç parçadan birkaç düzine kadar bilgisayar sayısındaki küçük ofisler için sadece vazgeçilmez bir şey olduğunu göreceğiz. Nat uygulanabilir kendi kuvvetleri OS Linux'unda

Dairelerimiz gittikçe daha farklı dijital cihazlar - dizüstü bilgisayarlar, tabletler ve akıllı telefonlardır. Dairedeki bilgisayar yalnız ve doğrudan sağlayıcının ağına bağlanırken - ortaya çıkmadı. Ve şimdi, bir probleminiz olduğunda - yeni bir dizüstü bilgisayar veya tabletin internete nasıl bağlanır. Yardım ve geliyor nat teknolojisi. NAT teknolojisinin özü nedir?
Nat.Ağ Adresi Çevirisi - Rusça'ya tercüme ederken, şöyle geliyor: "Ağ adreslerini dönüştür." Nat. - Bu, Transit paketlerinin IP adreslerini dönüştürmenize izin veren TCP / IP ağlarında bir mekanizmadır.
Basit bir dille ifade edilirse - o zaman yerel ağda birkaç bilgisayar var, ardından teknoloji sayesinde Nat. Hepsi gider harici ağ İnternet bir harici kullanarak iP adresi (İp.).

IP adresi nedir?

Yönlendiriciyönlendirici - Üçüncü seviyede çalışır oSI Sistemleri, sırasıyla, kullanılmış iP protokolü - TCP / IP Ağ Katmanı Yönlendirici Protokolü. Protokolün ayrılmaz bir parçası, ağa değinmektir. Mevcut kurallara uygun olarak - Ağdaki tüm cihazlar atanır IP adresleri (AI-PI adresleri) - Düğüm adresinin benzersiz ağ tanımlayıcıları. 2 tip IP adresi kullanılır - gri ve beyaz. Gri adresleri - Bu, yerel bir ağ için ayrılan adres alanının bir parçasıdır - alt ağ IP adresleri 10.0.0.0/8, 172.16.0.0/12 veya 192.168.0.0/16 . Diğer tüm alt ağlar internette kullanılır ve beyaz IP adresleridir.

Ağdaki cihazlar için paylaşılan internet erişimi nasıl sağlanır.

İnternete bağlanmak için ihtiyacınız olan yerel ağdaki tüm cihazlar yönlendirici. Yönlendirici - Bu, sağlayıcının ağını internete bağlayabilen ve en azından sahip olduğu gerçeğinden dolayı bağlı cihazlara dağıtabilecek bir cihazdır. 4 LAN liman ve Wi-Fi modülü. Bir yönlendiriciyi basit bir Ethernet anahtarı ile karıştırmayın, bu da ağın aptalca bir "ayırıcı" olandır. Yönlendiricinin çalıştırılması nedeniyle UNIX benzeri sistem, cihazı kaldırabilirsin Çeşitli hizmetler, dahil olmak üzere nat servis.. Bunu yapmak için bir yönlendiriciyi yapılandırırken bir kene koyun Nat'ı etkinleştir. .

Peki bir sonraki ne yönlendirici Bundan geçen her istek için, yerel ağdaki gönderendeki verileri içeren belirli bir etiket koyar. Cevap bu talebe geldiğinde, yönlendirici Bir etiketle, yerel ağdaki hangi IP adresini paketi göndermek için belirler. İşte aslında hepsi nAT teknolojisinin özetle çalışma prensibi.

  • 01.02.2010

Bugün İnternete genel erişim organizasyonunun organizasyonunu düşüneceğiz ve otomatik ayar Windows platformundaki ağlar. Bunun daha pahalı bir çözüm olduğuna rağmen, uygulama, ağ altyapısı ile yakın entegrasyonun temelinde konuşlandırıldığında haklı gösterilecektir. Windows Server.

Çalışma platformu olarak, Windows Server 2008 R2'yi bugün en alakalı platform olarak kullandık, ancak yukarıda belirtilen değişikliklerin tümü önceki için geçerlidir. windows sürümleri Server 2003/2008.

Başlangıçta, ağ arayüzlerini yapılandırmanız gerekir. Bizim olgumuzda, sağlayıcının ağına bakan arayüz DHCP için ayarları alır, biz onu Ext olarak değiştirildi. Dahili arabirim (LAN) statik bir IP adresine 10.0.0.1 ve 255.255.255.0 maskesi vardır.

Nat'ı ayarlama.

Organize etmenin en basit yolu genel erişim İnternet, ağ bağlantısı ayarlarında uygun seçeneği içerecektir. Bununla birlikte, tüm basitlik ile, bu yöntem yalnızca sunucudan önce başka bir yönlendirme görevi olmayacaksa son derece esnek ve kabul edilebilir. Daha zorlanmak, ilk bakışta, yoldan, ancak kendi elinizde çok daha karmaşık ağ görevlerini çözmenize izin veren, kendi elinizde çok güçlü ve esnek bir araç elde etmek daha iyidir.
Yeni sunucu rolünün eklenmesi ile olması gerektiği gibi başlayalım: Ağ İlkesi Hizmetleri ve Erişim.

Rollerin rolünde Yönlendirme Hizmeti I. uzaktan erişim , her şey şimdi bizimle ilgilenmiyor. Başarılı bir kurulum rolünden sonra, yönlendirme ayarlarına gidebilirsiniz.

İÇİNDE Aramalar Yönlendirme servisini ve menüden buluruz Hareketler Seç Yönlendirme ve uzaktan erişimi yapılandırın ve etkinleştirin. Ayar, adım adım tüm ayarlar boyunca bizi alacak bir sihirbaz kullanılarak yapılır. Yapılandırma olarak seçin Ağ Adresi Dönüşümü (NAT)Diğer özellikler daha sonra manuel olarak yapılandırılabilir.

Burada, sunucumuzun internete bağlı olduğu, gerekirse, bunu oluşturabilirsiniz (örneğin, PPPoE veya VPN bağlantıları kullanılırken) oluşturabilirsiniz.

Kalan ayarlar varsayılan olarak bırakılır ve düğmeye tıklandıktan sonra Yönlendirme ve Uzaktan Erişim Hizmeti'ni başlatmaya hazırdır, sunucumuz müşterileri iç ağdan korumaya hazırdır. Performansı, istemci makinesi IP adresini iç ağ bandından kontrol edebilir ve bir ağ geçidi olarak belirleyebilirsiniz. Dns sunucusu Sunucumuzun adresi.

DHCP'yi ayarlama

Ağ ayarlarını istemci makinelerinde otomatik olarak yapılandırmak için, iyi, IP adreslerini manuel olarak reçete etmek için yerden çalıştırmamak için, DHCP sunucusunun rolünü eklemelisiniz.

Bunu yapmak için Rol ekle içinde Sunucu Yöneticisi Ve ihtiyacınız olan seçeneği kutlayın.

Şimdi birkaç basit soruyu cevaplamalıyız. Özellikle, hangi iç ağların DHCP'yi kullanması gerektiğini seçmek için, gerekirse farklı ağlar için çeşitli parametreleri yapılandırabilirsiniz. Sonra sırayla DNS ve WINS sunucularının parametrelerini belirleyin. İkincisi, yokluğu ile, belirtemezsiniz. Ağınızda, Windows NT 5 ve üstü dışında (2000 / XP / Vista / Yedi) OS kullanan eski iş istasyonlarına sahip değilse, WINS sunucusuna gerek yoktur.

DHCP bölgesinin eklenmesi, daha fazla dikkatlilik ile tedavi edilmesi gerekiyor, buradaki hata tüm ağın tümünün yetersizliğine yol açabilir. Burada zor bir şey yoktur, sadece tüm gerekli ağ parametrelerini dikkatlice girin, diğer cihazlar için önceden seçilenler için ayrılan IP serisinin ardından ve maskeyi ve ağ geçidini doğru şekilde belirlemeyi unutmayın.

Ayrı ayrı, kira süresi olarak böyle bir parametreye dikkat edilmelidir. Kiralama süresinin yarısından sonra, müşteri, sunucuya kiralamayı uzatmak için bir istek gönderir. Sunucu mevcut değilse, talep kalan sürenin yarısından sonra tekrarlanacaktır. Bilgisayarların ağ içinde hareket etmediği kablolu ağlarda, pek çok şey varsa, yeterince büyük bir kira süresi belirleyebilirsiniz. mobil kullanıcılar (örneğin, halka açık Wi-fi nokta Kafede) Kira süresi birkaç saat ile sınırlandırılabilir, aksi takdirde kiralanan adreslerin zamanında serbest bırakılması gerçekleşmeyecek ve havuzda ücretsiz adreslenmeyebilir.

Bir sonraki adım, IPv6'yı desteklemeyi reddediyor ve DHCP rolünü yükledikten sonra, sunucu herhangi bir işe yaramadı. ek ayarlar. İstemci makinelerinin çalışmasını kontrol edebilirsiniz.

Verilen IP adresleri görüntülenebilir Kiralanan adreslerilgilendiğiniz alanla ilgili. Burada, belirli bir adresin belirli bir istemcisinin yedeklenmesini (ad veya MAC adresi ile bağlanmış), gerekirse, alanın parametrelerini ekleyebilir veya değiştirebilirsiniz. Filtreler Müşteri MAC adreslerine göre izin veren veya yasaklayan kurallar oluşturmanıza izin verin. Windows Server 2008 R2 DHCP sunucusunun tüm özelliklerinin daha tam olarak değerlendirilmesi, bu makalenin kapsamının ötesindedir ve büyük olasılıkla onlara ayrı bir malzemeden ayrılacağız.

  • Etiketler:

Lütfen Disquus tarafından desteklenen yorumları görüntülemek için JavaScript'i etkinleştirin.

Trekbek

Geçmişteki malzememizde, NAT ayarını gözden geçirdik. windows platformları Sunucu. Okuyucu yanıtı gösterildiği gibi, anahtarlanmış İnternet bağlantıları kullanılırken bazı zorluklar ortaya çıkar: VPN veya PPPOE. Bugün siparişe bakacağız ...