V našich bytech se objevuje stále více různých digitálních zařízení – notebooků, tabletů a chytrých telefonů. Dokud byl v bytě pouze jeden počítač a byl připojen přímo do sítě poskytovatele, nebyly žádné otázky. A teď, když stojíte před problémem - jak připojit svůj nový notebook nebo tablet k internetu. Tady jde o záchranu Technologie NAT. Co je podstatou technologie NAT?
NAT — Překlad síťových adres
— přeloženo do ruštiny to zní asi takto: „konverze síťové adresy“. NAT je mechanismus v sítích TCP/IP, který umožňuje převádět IP adresy tranzitních paketů.
Zjednodušeně řečeno, pokud je v lokální síti více počítačů, pak díky technologii NAT všechny mohou přistupovat k externí internetové síti pomocí jedné externí IP adresa (IP).
Co je to IP adresa?
Směrovač — router— funguje na třetí úrovni systému OSI, podle toho se používá IP protokol— protokol směrované síťové vrstvy zásobníku TCP/IP. Nedílnou součástí protokolu je síťové adresování. V souladu se stávajícími pravidly jsou přiřazena všechna zařízení v síti IP adresy (IP adresy) - jedinečné síťové identifikátory adresy uzlu. Používají se 2 typy IP adres − šedá A bílý. Šedé adresy- jedná se o část adresního prostoru přiděleného pro lokální síť - podsítě IP adres 10.0.0.0/8, 172.16.0.0/12 nebo 192.168.0.0/16 . Všechny ostatní podsítě se používají na internetu a mají bílé IP adresy.
Jak sdílet přístup k internetu se zařízeními ve vaší síti.
K připojení všech zařízení v místní síti k internetu budete potřebovat router. Směrovač je zařízení, které se může připojit k internetu prostřednictvím sítě poskytovatele a distribuovat jej do připojených zařízení díky tomu, že má min. 4 LAN porty a Wi-Fi modul. Nezaměňujte router s jednoduchým ethernetovým přepínačem, což je v podstatě hloupý síťový „rozdělovač“. Vzhledem k tomu, že je na routeru nainstalován operační systém podobný UNIXu, lze do zařízení nainstalovat různé služby, včetně Služba NAT. Chcete-li to provést, při nastavování routeru zaškrtněte políčko Povolit NAT .
Tak router Pro každý požadavek, který jím prochází, umístí specifický štítek s údaji o odesílateli v lokální síti. Když tato žádost obdrží odpověď, router podle štítku určuje, na kterou IP adresu v lokální síti má být paket odeslán. To je vše jak technologie NAT ve zkratce funguje.
Network Address Translation (NAT) je metoda přeřazení jednoho adresního prostoru druhému změnou informace, to znamená, že záhlaví paketů se mění, když jsou přenášeny zařízením pro směrování provozu. Tato metoda se původně používala ke snadnému přesměrování provozu v sítích IP bez přečíslování každého hostitele. Stal se oblíbeným a důležitým nástrojem pro zachování a distribuci globálního adresního prostoru tváří v tvář nedostatku IPv4 adres.
NAT - co to je?
Původní použití překladu síťových adres je mapování každé adresy v jednom adresovém prostoru na odpovídající adresu v jiném prostoru. Je to například nutné, pokud se změnil poskytovatel internetových služeb a uživatel nemůže veřejně inzerovat novou cestu do sítě. S předvídatelným globálním vyčerpáním prostoru IP adres se technologie NAT od konce 90. let stále více používá v kombinaci s IP šifrováním (což je metoda přesunu více IP adres do jednoho prostoru). Tento mechanismus je implementován ve směrovacím zařízení, které používá stavové překladové tabulky k mapování "skrytých" adres na jedinou IP adresu a předává odchozí IP pakety na výstupu. Zdá se tedy, že opouštějí směrovací zařízení. Obráceně jsou odpovědi mapovány na zdrojovou IP adresu pomocí pravidel uložených v překladových tabulkách. Pravidla překladové tabulky jsou zase po krátké době vymazána, pokud nový provoz neaktualizuje svůj stav. Toto je základní mechanismus NAT. Co to znamená?
Tato metoda umožňuje komunikaci přes router pouze v případě, že je spojení na šifrované síti, protože vytváří překladové tabulky. Například webový prohlížeč v takové síti může zobrazit web mimo ni, ale pokud je nainstalován mimo ni, nemůže otevřít zdroj hostovaný v ní. Většina zařízení NAT však dnes umožňuje konfigurovat položky překladové tabulky pro trvalé použití. Tato funkce se často označuje jako statický NAT nebo přesměrování portů a umožňuje provozu pocházejícím z „externí“ sítě dosáhnout určených hostitelů v šifrované síti.
Vzhledem k oblibě této metody, používané pro zachování IPv4 adresního prostoru, se pojem NAT (co to vlastně je - uvedeno výše) stal téměř synonymem pro metodu šifrování.
Protože Network Address Translation mění informace o adresách IP paketů, má vážné důsledky pro kvalitu vašeho internetového připojení a vyžaduje pečlivou pozornost k detailům jeho implementace.
Aplikace NAT se od sebe liší svým specifickým chováním v různých případech s ohledem na dopad na síťový provoz.
Základní NAT
Nejjednodušší typ překladu síťových adres (NAT) poskytuje překlad IP adresy jedna ku jedné. RFC 2663 je hlavním typem tohoto překladu. U tohoto typu se mění pouze IP adresy a kontrolní součet IP hlaviček. Základní typy překladu lze použít k propojení dvou IP sítí, které mají nekompatibilní adresování.
Co je NAT v připojení typu one-to-many?
Většina variant NAT je schopna mapovat více soukromých hostitelů na jednu veřejně určenou IP adresu. V typické konfiguraci LAN používá jednu z přiřazených "soukromých" podsíťových IP adres (RFC 1918). Router v této síti má v tomto prostoru soukromou adresu.
Router se také připojuje k internetu pomocí „veřejné“ adresy přidělené ISP. Vzhledem k tomu, že provoz prochází ze zdrojové lokální sítě, je každý paket za běhu přenášen ze soukromé adresy na veřejnou. Router uchovává základní informace o každém aktivním připojení (konkrétně cílovou adresu a port). Když se mu odpověď vrátí, použije data o připojení, která jsou uložena během fáze mimo pracoviště, k určení adresy soukromé interní sítě, na kterou má být odpověď předána.
Jednou z výhod této funkcionality je, že slouží jako praktické řešení hrozícího vyčerpání adresního prostoru IPv4. I velké sítě lze připojit k internetu pomocí jediné IP adresy.
Všechny datagramové pakety v IP sítích mají 2 IP adresy – zdrojovou a cílovou. Typicky se u paketů cestujících z privátní sítě do veřejné sítě změní zdrojová adresa paketu během přechodu z veřejné sítě zpět do privátní sítě. Jsou možné i složitější konfigurace.
Zvláštnosti
Nastavení NAT může mít některé funkce. Aby se předešlo potížím s překladem vrácených balíků, jsou nutné další úpravy. Naprostá většina internetového provozu putuje přes TCP a UDP a jejich čísla portů jsou upravena tak, aby se kombinace IP adresy a čísla portu začala shodovat, když jsou data odeslána zpět.
Protokoly nezaložené na TCP a UDP vyžadují jiné metody překladu. Protokol ICMP (Internet Control Message Protocol) obvykle odpovídá datům přenášeným do existujícího připojení. To znamená, že musí být zobrazeny se stejnou původně nastavenou IP adresou a číslem.
Co je třeba zvážit?
Konfigurace NAT na routeru nezajistí připojení typu end-to-end. Proto se takové směrovače nemohou účastnit některých internetových protokolů. Služby, které vyžadují zahájení připojení TCP z externí sítě nebo uživatelů bez protokolů, nemusí být dostupné. Pokud router NAT nevyvine zvláštní úsilí na podporu takových protokolů, příchozí pakety nemusí dosáhnout svého cíle. Některé protokoly se mohou vejít do jednoho překladu mezi zúčastněnými hostiteli (například FTP v "pasivním režimu"), někdy využívající bránu aplikační vrstvy, ale spojení nebude navázáno, když jsou oba systémy odděleny od Internetu pomocí NAT. Použití překladu síťových adres také komplikuje „tunelové“ protokoly, jako je IPsec, protože mění hodnoty v hlavičkách, které interagují s kontrolami integrity požadavků.
Stávající problém
End-to-end konektivita je základním principem internetu od jeho počátku. Současný stav sítě ukazuje, že NAT je porušením tohoto principu. Mezi odborníky panují vážné obavy ohledně všudypřítomnosti překladu síťových adres IPv6 a obavy, jak jej efektivně řešit.
Kvůli krátkodobé povaze tabulek stavu překladu v routerech NAT ztrácejí interní síťová zařízení IP konektivitu, obvykle během velmi krátké doby. Když mluvíme o tom, co je NAT v routeru, nesmíme na tuto okolnost zapomenout. To výrazně snižuje provozní dobu kompaktních zařízení napájených bateriemi a dobíjecími bateriemi.
Škálovatelnost
Při použití NAT jsou navíc monitorovány pouze porty, které mohou být rychle vyčerpány interními aplikacemi využívajícími více současných připojení (například HTTP požadavky na webové stránky s velkým množstvím vložených objektů). Tento problém lze zmírnit sledováním cílové IP adresy kromě portu (takže jeden místní port je sdílen velkým počtem vzdálených hostitelů).
Nějaké obtíže
Vzhledem k tomu, že všechny interní adresy jsou maskovány jako jedna veřejná adresa, je pro externí hostitele nemožné iniciovat připojení ke konkrétnímu internímu hostiteli bez speciální konfigurace na firewallu (který musí předávat spojení na konkrétní port). Aplikace, jako je IP telefonie, videokonference a podobné služby, musí používat techniky procházení NAT, aby správně fungovaly.
Návratová adresa a port překladu (Rapt) umožňuje hostiteli, jehož skutečná IP adresa se čas od času mění, zůstat dostupný jako server s pevnou IP adresou v domácí síti. V zásadě by to mělo umožnit nastavení serverů udržovat připojení. Ačkoli to není dokonalé řešení problému, může to být další užitečný nástroj v arzenálu správce sítě při rozhodování, jak nakonfigurovat NAT na routeru.
Překlad adres portu (PAT)
Cisco implementací Rapt je Port Address Translation (PAT), který mapuje více privátních IP adres na jednu veřejnou IP adresu. Jako adresu lze namapovat více adres, protože každá je sledována pomocí čísla portu. PAT používá jedinečná čísla zdrojových portů na vnitřní globální IP k rozlišení směru přenosu dat. Tato čísla jsou 16bitová celá čísla. Celkový počet interních adres, které lze přeložit na jednu externí adresu, může teoreticky dosáhnout 65536. Skutečný počet portů, kterým lze přiřadit jednu IP adresu, je asi 4000. Typicky se PAT snaží zachovat původní „původní“ port. Pokud se již používá, překlad adres portu přiřadí prvnímu dostupnému číslu portu počínaje od začátku odpovídající skupiny - 0-511, 512-1023 nebo 1024-65535. Pokud nejsou k dispozici žádné další porty a existuje více než jedna externí IP adresa, PAT přejde na další a pokusí se přidělit původní port. Tento proces pokračuje, dokud nebudou k dispozici žádná další data.
Mapování adres a portů je prováděno službou Cisco, která kombinuje adresu překladového portu s daty tunelování paketů IPv4 přes interní síť IPv6. V podstatě se jedná o neoficiální alternativu k CarrierGrade NAT a DS-Lite, která podporuje překlady IP adres/portů (a tudíž podporuje konfiguraci NAT). Vyhne se tak problémům při navazování a udržování připojení a také poskytuje přechodový mechanismus pro nasazení IPv6.
Překladové metody
Existuje několik způsobů, jak implementovat překlad síťových adres a portů. V některých aplikačních protokolech, které používají aplikace s IP adresou běžící v šifrované síti, je nutné určit externí NAT adresu (která se používá na druhém konci spojení) a navíc je často nutné prozkoumat a klasifikovat druh přenosu. To se obvykle provádí proto, že je žádoucí vytvořit přímý komunikační kanál (buď pro udržení toku dat serverem bez přerušení, nebo pro zlepšení výkonu) mezi dvěma klienty, z nichž oba jsou za samostatnými NATy.
Pro tento účel (jak nakonfigurovat NAT) byl v roce 2003 vyvinut speciální protokol RFC 3489, který poskytuje jednoduché obcházení UDP přes NATS. Dnes je zastaralý, protože takové metody v dnešní době nestačí ke správnému vyhodnocení výkonu mnoha zařízení. Nové metody byly standardizovány v protokolu RFC 5389, který byl vyvinut v říjnu 2008. Tato specifikace se dnes nazývá SessionTraversal a je to utilita pro provoz NAT.
Vytvoření obousměrné komunikace
Každý paket TCP a UDP obsahuje zdrojovou IP adresu a číslo portu a také souřadnice cílového portu.
Pro příjem veřejných služeb, jako je funkce poštovního serveru, je důležité číslo portu. Například se připojí k softwaru webového serveru a 25 se připojí k poštovnímu serveru SMTP. Významnou hodnotu má také IP adresa veřejného serveru, podobně jako poštovní adresa nebo telefonní číslo. Oba tyto parametry musí být spolehlivě známy všem uzlům, které hodlají navázat spojení.
Soukromé IP adresy mají význam pouze v místních sítích, kde jsou používány, a na hostitelských portech. Porty jsou jedinečné komunikační koncové body na hostiteli, takže komunikace přes NAT je udržována pomocí kombinovaného mapování portů a IP adres.
PAT (Port Address Translation) řeší konflikty, které mohou nastat mezi dvěma různými hostiteli, kteří používají stejné číslo zdrojového portu k současnému vytvoření jedinečných spojení.
Pokud čtete tento dokument, pak jste s největší pravděpodobností připojeni k internetu a používáte překlad síťových adres ( Překlad síťových adres, NAT) právě teď! Internet se stal mnohem větším, než si kdokoli dokázal představit. Ačkoli přesná velikost není známa, současný odhad je přibližně 100 milionů hostitelů a více než 350 milionů uživatelů aktivních na internetu. Ve skutečnosti je tempo růstu takové, že internet se každým rokem efektivně zdvojnásobuje. Aby počítač mohl komunikovat s jinými počítači a webovými servery na internetu, musí mít IP adresu. IP adresa (IP znamená Internet Protocol) je jedinečné 32bitové číslo, které identifikuje umístění vašeho počítače v síti. V zásadě to funguje stejně jako vaše adresa: způsob, jak přesně zjistit, kde se nacházíte, a doručit vám informace. Teoreticky můžete mít 4 294 967 296 jedinečných adres (2^32). Skutečný počet dostupných adres je menší (někde mezi 3,2 a 3,3 miliardami) kvůli způsobu rozdělení adres do tříd a nutnosti vyčlenit některé adresy pro multicast, testování nebo jiné specifické potřeby. S nárůstem domácích sítí a podnikových sítí již počet dostupných IP adres nestačí. Zřejmým řešením je přepracovat formát adresy tak, aby vyhovoval více možným adresám. Protokol IPv6 se tedy vyvíjí, ale tento vývoj bude trvat několik let, protože vyžaduje úpravu celé internetové infrastruktury.
Tady nám NAT přichází na pomoc. Překlad síťových adres v zásadě umožňuje jedinému zařízení, jako je router, působit jako agent mezi internetem (nebo „veřejnou sítí“) a místní (nebo „soukromou“) sítí. To znamená, že k vystavení celé skupiny počítačů čemukoli mimo jejich síť je zapotřebí pouze jediná jedinečná adresa IP. Nedostatek IP adres je pouze jedním z důvodů, proč používat NAT. Další dva dobré důvody jsou bezpečnost a správa.
Dozvíte se o tom, jak můžete využít NAT, ale nejprve se na NAT podíváme blíže a uvidíme, co dokáže.
Přestrojení
NAT je jako sekretářka ve velké kanceláři. Řekněme, že jste zanechali pokyny pro sekretářku, aby vám nepřesměrovala žádné hovory, pokud o to nepožádáte. Později zavoláte potenciálnímu klientovi a necháte mu vzkaz, aby vám zavolal zpět. Sdělíte sekretářce, že očekáváte hovor od tohoto klienta a hovor je třeba přepojit. Klient zavolá na hlavní číslo vaší kanceláře, což je jediné číslo, které zná. Když klient řekne sekretářce, koho hledá, sekretářka zkontroluje jeho seznam zaměstnanců, aby našla shodu mezi jménem a číslem jeho pobočky. Recepční ví, že jste o tento hovor požádali, a tak přepojí volajícího na váš telefon.
Překlad síťových adres, vyvinutý společností Cisco, používá zařízení (firewall, router nebo počítač), které se nachází mezi vnitřní sítí a zbytkem světa. NAT má mnoho podob a může fungovat několika způsoby:
Statický NAT- Mapování neregistrované IP adresy na registrovanou IP adresu na bázi jedna ku jedné. Zvláště užitečné, když musí být zařízení přístupné zvenčí sítě.
Ve statickém NAT bude počítač s adresou 192.168.32.10 vždy přeložen na adresu 213.18.123.110:
Dynamický NAT- Mapuje neregistrovanou IP adresu na registrovanou adresu ze skupiny registrovaných IP adres. Dynamic NAT také vytváří přímé mapování mezi neregistrovanou adresou a registrovanou adresou, ale mapování se může změnit v závislosti na registrované adrese dostupné ve fondu adres během komunikace.
V dynamickém NAT je počítač s adresou 192.168.32.10 přeložen na první dostupnou adresu v rozsahu od 213.18.123.100 do 213.18.123.150
Přetížení je forma dynamického NAT, která mapuje více neregistrovaných adres na jednu registrovanou IP adresu pomocí různých portů. Také známý jako PAT (Port Address Translation)
Při přetížení je každý počítač v privátní síti přeložen na stejnou adresu (213.18.123.100), ale s jiným číslem portu
Překrytí- Pokud jsou IP adresy používané ve vaší interní síti používány také v jiné síti, musí router uchovávat vyhledávací tabulku těchto adres, aby je mohl zachytit a nahradit registrovanými jedinečnými IP adresami. Je důležité poznamenat, že router NAT musí překládat „interní“ adresy na registrované jedinečné adresy a musí také překládat „externí“ registrované adresy na adresy, které jsou jedinečné pro privátní síť. To lze provést buď prostřednictvím statického NAT, nebo můžete použít DNS a implementovat dynamický NAT.
Příklad:
Interní rozsah IP (237.16.32.xx) je také registrovaný rozsah používaný jinou sítí. Router proto překládá adresy, aby se předešlo možnému konfliktu. Při odesílání paketů do vnitřní sítě také převede registrované globální adresy IP zpět na neregistrované místní adresy
Vnitřní síť je obvykle LAN (Local Area Network), nejčastěji nazývaná stub doména. Stub doména je síť LAN, která používá interní IP adresy. Většina síťového provozu v takové doméně je lokální a neopouští vnitřní síť. Doména může obsahovat registrované i neregistrované IP adresy. Všechny počítače, které používají neregistrované IP adresy, musí samozřejmě používat NAT ke komunikaci se zbytkem světa.
NAT lze konfigurovat různými způsoby. V níže uvedeném příkladu je směrovač NAT nakonfigurován tak, aby překládal neregistrované adresy IP (místní interní adresy), které se nacházejí v privátní (interní) síti, na registrované adresy IP. K tomu dochází vždy, když zařízení uvnitř s neregistrovanou adresou potřebuje komunikovat s vnější sítí.
Přetížení NAT využívá funkci zásobníku protokolů TCP/IP, jako je například multiplexování, které umožňuje počítači udržovat více souběžných připojení ke vzdálenému počítači pomocí různých portů TCP nebo UDP. Paket IP má hlavičku, která obsahuje následující informace:
- Zdrojová adresa – IP adresa zdrojového počítače, například 201.3.83.132.
- Zdrojový port – číslo portu TCP nebo UDP přiřazené počítačem jako zdroj pro tento paket, například port 1080.
- Cílová adresa - IP adresa počítače příjemce. Například 145.51.18.223.
- Cílový port – číslo portu TCP nebo UDP, které vyžaduje, aby zdrojový počítač otevřel aplikaci, například port 3021.
IP adresy identifikují dva stroje na každé straně, zatímco čísla portů zajišťují, že spojení mezi dvěma stroji má jedinečný identifikátor. Kombinace těchto čtyř čísel definuje jediné připojení TCP/IP. Každé číslo portu používá 16 bitů, což znamená, že existuje 65 536 (2^16) možných hodnot. Ve skutečnosti, protože různí výrobci zobrazují porty mírně odlišným způsobem, můžete očekávat přibližně 4 000 dostupných portů.
Příklady dynamického NAT a NAT s přetížením
Níže je uvedeno, jak dynamický NAT funguje.Kliknutím na jedno ze zelených tlačítek odešlete úspěšný paket buď do nebo z vnitřní sítě. Kliknutím na jedno z červených tlačítek odešlete paket, který bude zahozen routerem kvůli neplatné adrese.
- interní byla zřízena s IP adresami, které nebyly konkrétně přiděleny této společnosti IANA (Internet Assigned Numbers Authority), globální úřad, který rozdává IP adresy. Takové adresy by měly být považovány za nesměrovatelné, protože nejsou jedinečné. Jedná se o interní lokální adresy.
- firma instaluje router s NAT. Router má řadu jedinečných IP adres přidělených společnosti. Jedná se o interní globální adresy.
- počítač v síti LAN se pokouší připojit k počítači mimo síť, například k webovému serveru.
- Směrovač přijímá paket z počítače v síti LAN.
- Po kontrole směrovací tabulky a ověření překladu router uloží adresu nesměrovatelného počítače do tabulky překladu adres. Směrovač nahradí nesměrovatelnou adresu odesílajícího počítače první dostupnou IP adresou v rozsahu jedinečných adres. Překladová tabulka nyní zobrazuje nesměrovatelnou IP adresu počítače, která odpovídá jedné z jedinečných IP adres.
- Když se paket vrátí z cílového počítače, router zkontroluje cílovou adresu v paketu. Poté se podívá do tabulky překladu adres, aby zjistil, ke kterému počítači v doméně paket patří. Změní adresu přijímače na tu, která byla dříve uložena v překladové tabulce a odešle paket do požadovaného počítače. Pokud router nenajde shodu v tabulce, paket zahodí.
- Počítač přijme paket z routeru a celý proces se opakuje, zatímco počítač komunikuje s externím systémem.
- Vnitřní síť byla nastavena s nesměrovatelnými IP adresami, které nebyly konkrétně přiděleny společnosti
- firma instaluje router s NAT. Router má jedinečnou IP adresu, kterou vydává IANA
- Počítač v doméně se pokouší připojit k počítači mimo síť, například k webovému serveru.
- Router přijme paket z počítače v doméně.
- Po směrování a prozkoumání paketu k provedení překladu směrovač uloží nesměrovatelnou IP adresu počítače a číslo portu do překladové tabulky. Router nahradí nesměrovatelnou IP adresu odesílajícího počítače IP adresou routeru. Směrovač nahradí zdrojový port počítače odesílatele nějakým náhodným číslem portu a uloží jej do tabulky překladu adres pro daného odesílatele. Překladová tabulka zobrazuje nesměrovatelnou IP adresu počítače a číslo portu spolu s IP adresou routeru.
- Když se paket vrátí z cíle, router zkontroluje cílový port v paketu. Poté se podívá do překladové tabulky, aby zjistil, ke kterému počítači v doméně balíček patří. Dále router změní adresu přijímače a port přijímače na hodnoty, které byly dříve uloženy v překladové tabulce a odešle paket do koncového uzlu.
- počítač přijme paket ze směrovače a proces se opakuje
- Vzhledem k tomu, že router NAT má nyní zdrojovou adresu počítače a zdrojový port uloženy ve své překladové tabulce, bude nadále používat stejné číslo portu pro následující připojení. Pokaždé, když router přistoupí k položce v překladové tabulce, vynuluje se časovač pro tuto položku. Není-li záznam zpřístupněn před vypršením časovače, je odstraněn z tabulky
Počet simultánních vysílání, které bude router podporovat, je určen především množstvím DRAM (Dynamic Random Access Memory). Protože typická položka překladové tabulky má přibližně 160 bajtů, router se 4 MB RAM teoreticky zvládne 26 214 současných připojení, což je pro většinu aplikací více než dost.
Bezpečnost a administrativa
Implementace dynamického NAT automaticky vytvoří firewall mezi vaší interní sítí a externími sítěmi nebo internetem. Dynamic NAT umožňuje pouze připojení, která pocházejí z místní sítě. V podstatě to znamená, že počítač v externí síti se nemůže připojit k vašemu počítači, dokud váš počítač připojení nezahájí. Tímto způsobem můžete surfovat po internetu a připojit se k webu a dokonce nahrát soubor. Ale nikdo už nemůže jen tak získat vaši IP adresu a použít ji k připojení k portu vašeho počítače.
Statický NAT, také nazývaný příchozí mapování, umožňuje za určitých okolností připojení iniciovaná externími zařízeními k počítačům v síti LAN. Můžete například mapovat vnitřní globální adresu na konkrétní vnitřní místní adresu, která je přiřazena vašemu webovému serveru.
Statický NAT umožňuje počítači v síti LAN udržovat konkrétní adresu při komunikaci se zařízeními mimo síť:
Některé směrovače NAT poskytují rozsáhlé filtrování a protokolování provozu. Filtrování umožňuje vaší společnosti kontrolovat, které stránky na internetu zaměstnanci navštěvují, a zabránit jim tak v prohlížení pochybných materiálů. Pomocí protokolování provozu můžete vytvořit protokol navštívených stránek a na základě toho generovat různé zprávy.
Někdy se Network Address Translation zaměňuje s proxy servery, kde existují určité rozdíly. NAT je transparentní pro zdrojové a cílové počítače. Nikdo z nich neví, že se jedná o třetí zařízení. Ale proxy server není transparentní. Zdrojový počítač ví, že se jedná o požadavek na proxy. Cílový počítač si myslí, že server proxy je zdrojovým počítačem a jedná přímo s ním. Proxy servery navíc obvykle pracují na vrstvě 4 (Transport) modelu OSI nebo vyšší, zatímco NAT je protokol vrstvy 3 (síť). Při provozu na vyšších úrovních jsou proxy servery ve většině případů pomalejší než zařízení NAT.
Rychlý růst internetu, brzy po jeho objevení, přinesl problém s nedostatkem adres. Nyní to částečně řeší zavedení nového protokolu IPv6, který poskytne síťovým uzlům mnohonásobně více dostupných adres. Samotná aktualizace protokolu však nestačí. Byla vynalezena technologie NAT, která umožňovala hostitelům z privátní sítě připojit se k internetu pouze pomocí jedné externí IP adresy. Díky tomu je škálování soukromých sítí LAN mnohem jednodušší při pokusu o jejich připojení k internetu. Nyní podrobně rozebereme technologii NAT.
Jak funguje NAT
Představme si například, že máme lokální síť, která zahrnuje 3 pracovní stanice. Rozhodli jsme se připojit k internetu. Poskytovatel nám přidělil 1 externí, kterou musíme zaregistrovat v nastavení našeho routeru. Ve výsledku získáme následující obrázek.
Naše tři počítače budou připojeny k místní síti s adresou "192.168.."
Takto to bude vypadat:
- Směrovač - 192.168.1.1
- Počítač 1 – 192.168.1.2
- Počítač 2 – 192.168.1.3
- Počítač 3 – 192.168.1.4
Pokud jste již obeznámeni se základy lokálních sítí, měli byste vědět, že v nastavení síťových karet v poli „Výchozí brána“ by pro naše počítače měla být hodnota 192.168.1.1. Všechny požadavky, které nepatří do naší lokální sítě, tedy musíme odeslat na náš router. Jednoduše řečeno, všechny internetové požadavky budou přesměrovány na něj.
Jak jsme již poznamenali, máme pouze jednu externí IP. Tady začíná zábava. Jak mohou tři počítače s různými IP adresami přistupovat k internetu, pokud existuje jedna externí adresa?
Zde přichází na pomoc technologie NAT.
Jak vidíte, v rámci sítě mají všechny uzly adresy ve stejné podsíti. To jim umožňuje implementovat přenos dat. Pokud je požadavek odeslán do internetu, bude přenesen do vnitřního rozhraní routeru. Poté pomocí technologie NAT budou data mírně upravena. Bude jim přidělena externí IP adresa. A poté pakety půjdou do sítě.
Jistě již chápete princip fungování technologie překladu síťových adres. S jeho pomocí je všem interním síťovým adresám přiřazena jediná externí adresa. To umožňuje, pokud máte jednu externí adresu, několik počítačů přistupovat k síti současně.
Čemu byste zde měli věnovat pozornost. Za prvé, nemusí existovat pouze jedna externí adresa. Může jich být několik.
Za druhé, použití technologie NAT ukládá určitá omezení související s blokováním IP. K tomu dochází při pokusu o přístup k prostředku, ke kterému se může připojit pouze jeden hostitel z jedné adresy IP. V případě, že je k ní již někdo ve vaší síti připojen, nebudete moci navázat spojení.
Terminologie
Abychom pochopili princip překladu síťových adres, ujasněme si základní pojmy.
Jedná se o první typ implementace této technologie.
Router zároveň převádí každou vnitřní adresu na externí na základě záznamů ve směrovací tabulce. Mapování musí být nakonfigurováno předem při konfiguraci routeru.
Konfigurace na routerech Cisco
- Přejděte do nastavení rozhraní, které bude umístěno ve vnitřní části sítě, a použijte příkaz ip nat inside
- Dále pro externí rozhraní příkaz ip nat outside
- Dále v režimu globální konfigurace musíme ručně nastavit mapování adres. Použijeme příkaz ip nat inside source static inside-local inside-global. Kde "inside-local" je interní lokální adresa, "inside-global" je interní globální adresa
Dynamický NAT
Tato implementace je podobná statickému překladu. Rozdíl je v tom, že proces překladu adres probíhá dynamicky na základě dříve nakonfigurovaných parametrů. Již neexistuje statická směrovací tabulka. Tabulka obsahuje korespondence, které jsou aktivovány v okamžiku přenosu paketu. V případě, že se všechny nakonfigurované parametry shodují.
Chcete-li nakonfigurovat, musíte zadat fond externích adres, které budou použity pro vysílání. A také nastavit fond interních adres vytvořením nové pro ně.
Nastavení
- Nastavte ip nat uvnitř pro interní rozhraní
- Ip nat venku pro externí
- Vytvořte ACL se seznamem interních adres, které by se měly účastnit vysílání
- Vytváříme fond externích adres. V režimu globální konfigurace použijte příkaz ip nat název fondu první adresa maska podsítě poslední adresa. Kde „name“ je název fondu, „first-address“ je počáteční adresa, „last-address“ je poslední adresa, „subnet mask“ je maska podsítě
- Povolit dynamický překlad adres NAT. ip nat source list acl-number pool pool-name. Kde "acl-number" je dříve vytvořený seznam řízení přístupu, "pool-name" je fond adres.
PAT - Port založený překlad
V každém případě je počet dostupných externích adres omezený. Jak můžeme dále škálovat velkou místní síť, abychom umožnili všem jejím uzlům přístup k internetu? Již nyní je jasné, že statický i dynamický NAT bude vyžadovat velké množství externích adres. Tato varianta nám ale nevyhovuje.
Zde přichází na pomoc třetí implementace NAT – překlad založený na portu PAT. Jeho podstatou je, že kromě odkazu „adresa – adresa“ je přidán odkaz „adresa – port“. Směrovač tak může aktivovat připojení nejen pomocí IP adresy, ale také pomocí jedinečného čísla portu.
Vzhledem k tomu, že se pro číslování portů používá 16bit, může být současně aktivních více než 65 tisíc spojení.
Nastavení
Celý proces nastavení je podobný konfiguraci dynamického směrování. V případě, že chceme povolit PAT, musíme do konfiguračního příkazu přidat klíčové slovo přetížení. Nakonec to bude vypadat takto:
ip nat zdrojový seznam acl-číslo rozhraní název/číslo přetížení
Video k článku:
Závěr
Použití technologie NAT umožňuje implementovat přístup k internetu pro jakoukoli místní síť. V tomto případě potřebujete pouze jednu externí IP adresu. Jde o nejčastěji využívanou možnost – často poskytovatelé nabízejí právě takové tarify pro domácí uživatele nebo malé kanceláře.
Proč hledat informace na jiných stránkách, když je vše shromážděno zde?
- Krok za krokem
Ahoj všichni, dnes si povíme, jak nakonfigurovat Cisco NAT. Co je NAT a proč je obecně potřeba, protože tato funkce je již dlouho pevně zavedena v našem každodenním životě a nyní je velmi obtížné si představit alespoň jeden podnik, který tuto technologii nepoužívá. Svého času to zachránilo internet a výrazně zpozdilo přechod z ipv4 na ipv6, ale nejdřív.
Co je NAT
NAT (Network Address Translation) je mechanismus pro převod síťových adres, zjednodušeně řečeno jde o technologii, která umožňuje hromadě soukromých nebo šedých IP adres sedět za jednou bílou IP. Příkladem může být kancelářský internet, kde všichni uživatelé používají společnou bránu, která je nakonfigurována s IP adresou, která se připojuje k internetu, takže uživatelé mají nakonfigurované lokální IP adresy.
Vypadá to asi takhle
Typy NAT
- Statický NAT - převod šedé IP na bílou, příklad přesměrování portů do místní sítě, například RDP
- Dynamic NAT - převod šedé IP adresy na jednu z IP adres ze skupiny bílých IP adres
- Přetížený NAT nebo jak se také nazývá PAT (překlad adres portů), převádí několik šedých IP adres na bílou a dává jim různé porty.
Dnes se podíváme na statický NAT a PAT.
Nastavení Cisco NAT
Takto vypadá uspořádání malé kanceláře. Ve vlanu 2 máme 3 počítače, v samostatné vlanu 3 je server. Všechny tyto věci jsou připojeny k přepínači Cisco 2660 druhé úrovně, který je zase zapojen do routeru Cisco 1841, který směruje místní provoz mezi vlan 2 a 3.
Nastavení Cisco 2960
Vytvořme vlan 2 a vlan3, dáme jim jména a nakonfigurujeme potřebné porty na těchto vlanech.
umožnit
conf t
vytvořit vlan 2
vlan 2
název VLAN2
výstup
vytvořit vlan 3
vlan 3
název VLAN3
výstup
Vložili jsme porty do vlan2
rozsah int fa0/1-3
přístup do režimu switchport
přístup k přepínači vlan 2
výstup
Umístěte port do vlan3
int fa 0/4
přístup do režimu switchport
přístup k přepínači vlan 3
výstup
int fa 0/5
přepínač režimu trunk
switchport trunk povolena vlan 2,3
udělat wr mem
Nastavení Cisco 1841
Nejprve vytvořte dílčí rozhraní a zvedněte port.
umožnit
conf t
int fa0/0
žádné vypnutí
výstup
int fa0/0,2
zapouzdření tečka1Q 2
IP adresa 192.168.2.251 255.255.255.0
žádné vypnutí
výstup
int fa0/0,3
zapouzdření tečka1Q 3
IP adresa 192.168.3.251 255.255.255.0
žádné vypnutí
výstup
V důsledku toho se port zezelenal
Nastavení PAT
V mé virtuální infrastruktuře bohužel nelze naše schéma uvolnit na internetu, napodobujeme ho, budeme mít router s bílou IP adresou a server také s bílou IP adresou. Schematicky to vypadá takto. Na routeru poskytovatele je konkrétnímu portu přiřazena bílá IP adresa 213.235.1.1 a maska sítě 255.255.255.252
Pojďme nakonfigurovat tuto IP na našem routeru poskytovatele testu.
en
conf t
int fa0/0
IP adresa 213.235.1.1 255.255.255.252
žádné vypnutí
výstup
Nakonfigurujme port fa0/1, na který se podíváme na serveru, a dáme mu další bílou IP 213.235.1.25 255.255.255.252
int fa0/1
IP adresa 213.235.1.25 255.255.255.252
žádné vypnutí
výstup
Můj server bude mít IP adresu 213.235.1.26 a brána bude 213.235.1.25, rozhraní routeru poskytovatele, který se dívá na server.
Nyní nakonfigurujeme náš místní router Router0, nakonfigurujeme jej s bílou IP adresou, kterou nám přidělil náš poskytovatel 213.235.1.2 255.255.255.252, brána bude 213.235.1.1
umožnit
conf t
int fa0/1
IP adresa 213.235.1.2 255.255.255.252
žádné vypnutí
výstup
IP trasa 0.0.0.0 0.0.0.0 213.235.1.1
výstup
wr pam
Zkoušíme pingnout IP adresy poskytovatele a serveru z kancelářského routeru a vidíme, že vše funguje dobře.
Router#ping 213.235.1.1
Úspěšnost je 80 procent (4/5), zpáteční min/prům/max = 0/0/0 ms
Router#ping 213.235.1.1
Zadejte escape sekvenci k potratu.
Odesílání 5 100bajtových ICMP Echos na 213.235.1.1, časový limit je 2 sekundy:
Úspěšnost je 100 procent (5/5), zpáteční min/prům/max = 0/0/1 ms
Router#ping 213.235.1.2
Zadejte escape sekvenci k potratu.
Odesílání 5 100bajtových ICMP Echos na 213.235.1.2, časový limit je 2 sekundy:
Úspěšnost je 100 procent (5/5), zpáteční min/prům/max = 0/9/17 ms
Router#ping 213.235.1.25
Zadejte escape sekvenci k potratu.
Odesílání 5 100bajtových ICMP Echos na 213.235.1.25, časový limit je 2 sekundy:
Router#ping 213.235.1.26
Zadejte escape sekvenci k potratu.
Odesílání 5 100bajtových ICMP Echos na 213.235.1.26, časový limit je 2 sekundy:
Úspěšnost je 100 procent (5/5), zpáteční min/prům/max = 0/0/0 ms
No, samotné natování. Na místním routeru provedeme následující. Nyní musíme nastavit, které nat rozhraní bude považováno za externí a které interní, zde bude vše prostě externí, kde je nakonfigurována bílá IP adresa poskytovatele, interní bude to, co je připojeno k přepínači druhé úrovně. fa0/1 bude externí a dvě dílčí rozhraní budou interní.
umožnit
conf t
int fa0/1
ip nat venku
výstup
int fa0/0,2
ip nat uvnitř
int fa0/0,3
ip nat uvnitř
výstup
Nastavení přístupového seznamu
Access List je seznam, který provoz musí být NATován a který by měl fungovat bez NAT.
Vytvoření přístupového seznamu podle názvu NAT
IP přístupový seznam standardní NAT
Povolit dva bazény
povolení 192.168.2.0 0.0.0.255
povolení 192.168.3.0 0.0.0.255
0.0.0.255 jsou zástupné bity
Jak můžete vidět, v naší konfiguraci máme přístupový seznam a porty jsou označeny, které jsou venku a které jsou uvnitř.
A zadáme další magický příkaz, který říká, že provoz přicházející na fa0/1 musí být směrován podle pravidla NAT. Nakonec jsme nastavili PAT.
ip nat uvnitř seznamu zdrojů Přetížení rozhraní NAT fa0/1
Uložte vše do w mem
Pojďme zkontrolovat dostupnost externích zdrojů z počítače v místní síti. Podívejme se na aktuální konfigurace pomocí příkazu ipconfig, vidíme IP adresu 192.168.2.1, ping 213.235.1.26, jak vidíte, že je vše v pořádku a NAT cisco funguje.
WiFi
