Що таке NAT

Ваш комп'ютер може бути підключений безпосередньо до Інтернету. Тоді кажуть, що в нього зовнішній IP-адреса.

Зазвичай це означає, що комп'ютер підключено відразу до модему (DSL, кабельного або звичайного аналогового).

За NATозначає, що ваш комп'ютер підключено не до інтернету, а до локальної мережі. Тоді в нього внутрішній IP адреса, з інтернету сама по собі недоступна.

Доступ до інтернету ваш комп'ютер отримує через NAT – процес трансляції внутрішніх адрес у зовнішні та назад. NAT-пристрій зазвичай називають раутером.

Специфіка роботи NAT така, що з'єднання, які ініціює ваш комп'ютер, прозоро проходять через NAT-пристрій в інтернет. Проте з'єднання, які хотіли б з вами встановити інші комп'ютери з Інтернету, до вас дійти не можуть.

Знаходимо IP адресу комп'ютера

Run">Відкрийте діалогове вікно для запуску програм: клік на кнопці Пуск, у меню виберіть Виконати.

У Windows 2000/XP набираємо команду cmd /k ipconfig, натискаємо OK і дивимося на результат.

Windows 2000 IP Configuration Ethernet Adapter Local Area Connection: Connection-specific DNS Suffix. : IP Address . . . . . . . . . . . : 192.168.1.10 Subnet Mask. . . . . . . . . . . : 255.255.255.0 Default Gateway. . . . . . . . . : 192.168.1.1

Перша з цих адрес - це IP адреса вашого комп'ютера.

Чи знаходитесь ви за NAT

Три спеціальні діапазони IP адрес зарезервовані для локальних мереж і в інтернеті не використовуються:

10. 0. 0. 0 - 10. 255.255.255 172. 16. 0. 0 - 172. 31.255.255 192.168. 0. 0 - 192.168.255.255

Якщо IP-адреса вашого комп'ютера знаходиться в одному з цих діапазонів, тобто починається з 10. або з 192.168. або 172.nn. (де nn - від 16 до 31) , це локальний (внутрішній) адресу, і ви точно перебуваєте за NAT.

Якщо ні, то тепер перевірте, під якою IP-адресою вас бачать інші комп'ютери в інтернеті. Наприклад, на whatsmyip.org ("Your IP Address is x.x.x.x" вгорі сторінки) або на myipaddress.com .

Якщо IP адреса вашого комп'ютера збігається з показаним одним із цих сайтів, то ви точно підключені до інтернету безпосередньо.

В інших випадках, напевно, сказати не можна. Можливі такі варіанти:

• ви знаходитесь за NAT, але ваш мережевий адміністратор вибрав нестандартні внутрішні адреси для вашої локальної мережі. Знайдіть його та поцікавтеся, навіщо так треба було робити.
• ви виходите в інтернет через проксі-сервер (тоді whatsmyip.org показав вам адресу цього проксі-сервера). У багатьох випадках ви можете визначити, чи є між вами та інтернетом проксі сервер, використовуючи, наприклад, lagado.com/proxy-test.

  Підключення через проксі в цьому посібнику не розглядається.

Варіанти підключення через NAT

Якщо ви за NAT, то наступним кроком треба визначити, де саме знаходиться NAT-пристрій.

NAT провайдера

Тоді кажуть, що
• провайдер надає вам інтернет через NAT,
• або що провайдер не дає вам зовнішню IP адресу,
• або що ви підключені через локальну мережу провайдера

Найпростіше зателефонувати провайдеру та дізнатися. Або поцікавитися у знаючих сусідів із таким самим підключенням.

При підключенні до інтернету через локальну мережу провайдера зробити доступний порт не можна. Якщо, звичайно, провайдер спеціально вам не перенаправить певний порт, що малореально. Або якщо ви не заплатите додатково за послугу, яка зазвичай називається "зовнішня" ("біла") IP адреса.

NAT в офісі або багатоквартирному будинку

В принципі ситуація така сама, але ви можете пошукати підходи до місцевого адміна. Зрештою вирішення питання доступності порту залежить від того, чи маєте ви доступ до настройок раутера.

Крім того, можна спробувати UPnP, раптом у раутері залишили його дозволеним.

NAT ваш власний

У цьому випадку ви завжди можете його налаштувати і отримати доступний порт.

Зазвичай це підключення через домашній раутер або підключення через інший комп'ютер, наприклад використовуючи ICS (другий варіант тут не розглядається).

Звичайно, в принципі буває і так, що NAT є і у вас вдома, і у провайдера, тобто ваш комп'ютер знаходиться за двома NAT відразу. Це можна перевірити, зайшовши в налаштування раутера, подивившись на його зовнішню адресу і далі слідуючи вищеописаному сценарію (чи належить цейадрес діапазонам локальних мереж, чи збігається він з тією адресою, під якою вас бачать в інтернеті).

Багато користувачів, маючи роутер, думають, що він потрібен лише для того, щоб підключитися до інтернету змогли лише вони самі. Насправді він виконує ще й функцію підключення до сервера інших користувачів. У цій статті ми розповімо, що таке NAT у маршрутизаторі, для чого він потрібний і як його налаштувати.

NAT у роутері – що це?

Network Address Translation з англійської перекладається як «трансляція мережевих адрес» - це процес переведення внутрішніх адрес у зовнішні адреси. Якщо дана функціяне буде налаштована, то роутер заблокує доступ до будь-яких портів всіх вхідних з'єднань з глобальної мережіІнтернет, при налаштованих параметрах - буде дозволяти.

Налаштування

Щоб самостійно налаштувати nat у роутері, необхідно виконати наступний ряд дій:

• Запустити будь-який браузер на комп'ютері та в пошуковому рядкунабрати адресу даного пристрою 192.168.1.1 чи 192.168.0.1.
• Потім ввести логін та пароль Admin/Admin. Після цього можна буде замінити даний логін і пароль своїми.
• У вікні вибрати Налаштування - Мережа - Маршрутизація (маршрути) і натиснути на Нове правило, яке дозволить задати умови маршрутизації будь-яким способом. Буває п'ять способів: через DNS ім'я, через порт, через трансляцію за певним користувачем, через мережевий інтерфейс або заміну адреси на адресу джерела.
• Далі необхідно задати умови трафіку, одним із чотирьох запропонованих варіантів (Auto, Gateway, Trunk, Interface) та натиснути «Далі» та «Закрити».

Після виконання цього ряду дій маршрутизатор готовий до роботи.

Трапляється, коли налаштувати nat потрібно і на комп'ютері.Для цього через «Пуск» слід зайти в «Панель управління» та запустити « Мережеві підключення». Вибрати новий мережевий пристрій і натиснути на нього правою клавішеюмишки, у "Властивості" вибрати "Додатково". І встановити галочки навпроти «Дозволити ін користувачам мережі використовувати дане підключення» і натиснути Ок.

Налаштування зворотної петлі

Сенс зворотної петлі nat loopback полягає в тому, що якщо пакет потрапляє з внутрішньої мережі на зовнішню IP-адресу роутера, він вважається таким, що прийшов ззовні - а значить, працюють правила брандмауера, що стосуються зовнішніх з'єднань. Якщо пакет успішно проходить крізь брандмауер, то спрацьовує nat, який стає посередником між двома комп'ютерами, що знаходяться всередині однієї мережі.

Увага!Без функції nat loopback не можна було б дізнатися про установки мережі або зайти на сервер. Для кожного домену необхідно було б налаштовувати файл hostsвручну.

Типи nat

Існує кілька типів Network Address Translation. Розглянемо кожен із них детально:

Важливо!Найчастіше порти потрібно настроювати вручну.

Як змінити тип

Для того щоб змінити тип NAT з одного на інший необхідно зайти на свій маршрутизатор, ввівши в пошуковому рядку браузера комбінацію 192.168.1.1 або 192.168.0.1. і ввести свій логін і пароль. Потім подивитися свою IP адресу та налаштування мережі свого пристрою. Після цього необхідно звернутися до провайдера інтернет-підключення, щоб він переналаштував ваш роутер на потрібний вам тип. Для цього йому необхідно буде повідомити усі дані.

Можливо, вам потрібно призначити постійну, статичну IP-адресу на PlayStation 4, щоб встановити з'єднання NAT Type 2. Установка постійної IP адреси гарантує, що ваша консоль завжди матиме ту саму внутрішній IP, навіть після перезавантаження приставки. Деякі маршрутизатори дають можливість вручну призначити IP-адресу, тому спочатку вам необхідно перевірити, чи можливий такий варіант у вашому роутері. Якщо ні, тоді можна здійснити налаштування статичного IP через меню консолі PS4.

Це керівництво розбите на дві частини. Прочитайте все від початку до кінця.

Як вручну настроїти статичну IP-адресу на PlayStation 4 через роутер

Знайдіть у своєму роутері шлях для ручного налаштування IP-адреси. Не всі маршрутизатори підтримують цю функцію. Процес налаштування відрізнятиметься в залежності від моделі роутера, якою ви користуєтеся. Якщо ваш модем дозволяє провести ручне налаштування IP-адреси, тоді просто призначте постійний IP для PlayStation 4. У цьому випадку жодних змін в налаштуваннях самої приставки робити не доведеться. Роутер самостійно призначатиме внутрішній IP для PS4, функції якого ідентичні статичному.

У випадку, якщо ваш роутер не підтримує ручного налаштування IP, вам доведеться зробити налаштування через консоль PS4. Для цього дотримуйтесь інструкцій нижче:

1. Можна спробувати назавжди прив'язати PS4 до IP-адреси, яку ви використовуєте зараз. Щоб знайти цей IP, увімкніть PS4 і зробіть таке:

Запишіть цей IP та MAC адреса PS4 на аркуш. Крім того, вам необхідно буде запам'ятати IP-адресу вашого роутера, яка вказана як шлюз за замовчуванням (Default Gateway). Як це зробити, описано у наступному пункті нашого керівництва.

1. Через комп'ютер зайдіть в налаштування роутера (робиться це через браузер шляхом введення IP роутера, наприклад, 192.168.1.1. або 192.168.1.0. / 192.168.0.1). Вам необхідно буде назавжди присвоїти IP-адресу PS4, яку ви записали раніше, при виконанні першого пункту.

Нижче наведено скріншот з прикладом модему, який дозволяє вручну призначити IP.

У цьому роутері від Asus є рядки для введення IP-адреси, після чого у меню, що випадає, вибирається MAC-адреса. Використовуйте цифри адрес, які ви записували під час виконання першого пункту цього посібника. У прикладі, після запису цифр, необхідно натиснути кнопку «Додати» (Add).

У деяких маршрутизаторах не можна призначити IP-адреси, що входять до діапазону DHCP роутера (діапазон адрес, який автоматично призначається роутером) різним пристрояму вашій мережі). Якщо це ваш випадок, то потрібно буде вибрати IP-адресу поза діапазоном DHCP роутера. Як це зробити, дивіться пункти 2-4 наступного розділу цього посібника (« Як настроїти статичнийIP-адресаPS4 »).

1. Після того, як ви прив'язали PS4 до певної IP-адреси, перевірте підключення консолі, щоб переконатися в нормальній працездатності. Щоб провести тест з'єднання, зробіть таке:

У разі успішного проходження перевірки з'єднання, ви побачите напис «Перевірка Інтернет-з'єднання пройшла успішно» (Internet Connection Successful).

1. Відкриття портів (opening ports) або Port Forwarding у вашому роутері означає перенаправлення всього трафіку на певну внутрішню IP-адресу. Щоб отримати з'єднання NAT Type 2, потрібно надіслати наступні порти на IP-адресу приставки PS4:

• TCP: 80, 443, 1935, 3478-3480
• UDP: 3478-3479

Більше Детальна інформаціяпро те, як це зробити, є

1. Після того, як ви призначали постійну IP-адресу для PS4 і перенаправили порти в роутері, перевірте Інтернет-з'єднання. Як це зробити, дивіться у п.3 цього посібника.

Вітаємо, ваше з'єднання має бути встановлене на NAT Type 2.

Якщо у вас не вдалося встановити підключення NAT Type 2, перевірте, чи все правильно ви зробили. Повторно перегляньте дані, які ви ввели в рядок IP-адреси та MAC-адреси.

Якщо проблеми з налаштуванням підключення NAT Type 2 залишилися, перевірте, чи правильно встановлено з'єднання. У вас може бути не один роутер у локальній мережі. Щоб визначити кількість роутерів у мережі, ви можете скористатися безкоштовною програмою Router Detector. Дуже важливо, що в мережі був лише один модем, інакше налаштувати мережу без зайвого головного болю досить важко.

Як настроїти статичну IP-адресу в PS4

Якщо у вас роутер, в якому не можна вручну призначити внутрішні IP-адреси, для налаштування постійного IP в PS4 виконайте такі дії:

1. Дізнайтеся, яка IP-адреса, маска підмережі, шлюз і DNS використовує PS4 в даний час. Щоб зробити це, виконайте інструкції нижче:

Запишіть IP-адресу, маску підмережі, шлюз, головний DNS та додатковий (Primary DNS та secondary DNS). Вам потрібно буде ввести всі ці цифри в консоль трохи згодом.

1. Далі, увійдіть у налаштування маршрутизатора через ПК.

Щоб увійти до настройок роутера, напишіть його IP-адресу в рядку браузера. Знайти IP можна у списку адрес, які ви записали при виконанні пункту 1. IP роутера - це адреса стандартного шлюзу (Default Gateway).

Якщо не можете розібратися як зайти в налаштування модему, відвідайте цю сторінку . Виберіть модель свого роутера та прочитайте, як зайти в налаштування.

Вам необхідно через налаштування подивитися діапазон адрес DHCP, які використовує модем для автоматичного призначення IP пристроям в мережі.

Нижче є скріншот, як має виглядати рядок із цим діапазоном. Використовується меню роутера Linksys. Діапазон DHCP обведений червоним кольором.

1. Вам потрібно буде вибрати число між 2 і 254, яке знаходиться за межами діапазону DHCP, щоб призначити IP вашу приставку.

У наведеному вище прикладі маршрутизатор Linksys використовує діапазон від 100 до 149, щоб призначати IP-адреси для пристроїв у внутрішній мережі. У цьому випадку можна вибрати, наприклад, число 31, тоді повна IP-адреса для PS4 буде виглядати так: 192.168.0.31. Ось ще кілька прикладів, щоб ви краще розібралися:

• Якщо діапазон DHCP 200-254, ви можете вибрати цифри від 2 до 50
• Якщо роутер використовує діапазон 50-200 тоді від 2 до 49

1. Щоб перевірити, чи може вибраний вами IP бути використаний, зробіть таке:

• Через меню "Пуск" відкрийте "Виконати"
• Введіть команду cmd без лапок і натисніть Enter
• Після цього має з'явитися чорне віконце
• Далі, в рядку введення введіть: Ping (пробіл) IP. Наприклад: Ping 192.168.1.54
• Натисніть клавішу Enter.

Якщо IP-адреса не пінгується, тобто до неї йдуть пакети, але жодної відповіді немає, тоді така IP вам підходить, вона вільна. Якщо ж приходять пакети з відповідями, це означає, що IP зараз використовується, тому потрібно вибрати іншу, вільну адресу. Нижче наведено приклад IP-адреси, яка вже використовується.

1. Далі вам знадобиться PS4, щоб встановити IP-адресу, яку ви вибрали.

• У головному меню вибираємо "Налаштування"
• Далі – Мережа
• Налаштувати Інтернет-з'єднання (Set Up Internet Connection)
  
  
• Виберіть Wi-Fi або LAN, залежно від того, як консоль з'єднана з Інтернетом.
  
  
• На екрані «Як ви хочете зробити налаштування Інтернет-з'єднання», виберіть «Звичайне налаштування» (Custom)
  
  
• На екрані "Налаштування IP-адреси" виберіть "Вручну" (Manual)
  
  
• Виберіть IP-адресу
  

Тепер зробіть таке:

Якщо ви точно виконали всі вищеописані дії, то статичний IP буде налаштований правильно. Якщо виникають проблеми, перевірте правильність введення інформації, зокрема, перевірте цифри, які ви ввели в рядок IP-адреси, шлюзу, DNS. Щоб перевірити це ще раз, відкрийте головне меню PS4, виберіть Установки => Мережа => Переглянути статус мережі.

Привіт сьогодні ми поговоримо як налаштувати на Cisco NAT. Що таке NAT і для чого він взагалі потрібен, тому що цей функціонал давно і щільно увійшов до нашої повсякденне життяі зараз дуже складно уявити, хоча б одне підприємство, в якому б не використовувалася дана технологія. Свого часу вона врятувала інтернет і сильно відстрочила перехід з ipv4 на ipv6, але про все по порядку.

Що таке NAT

NAT (Network Address Translation) це механізм перетворення мережевих адрес, якщо по простому, то це технологія яка дозволяє за одним білим ip сидіти купі приватних або сірих ip. Прикладом може бути офісний інтернет, де всі користувачі сидять через загальний шлюз, на якому налаштований ip адреса, що виходить в інтернет, що у користувачів налаштовані локальні ip адреси.

Виглядає це приблизно так

Види NAT

• Статичний NAT - перетворення сірого ip на білий, приклад прокидання порту в локальну мережу, наприклад RDP
• Динамічний NAT - перетворення сірого ip на одну з ip адрес групи білих ip адрес
• Перевантажений NAT або як його ще називають PAT (port Adress translation), перетворення кількох сірих ip в білий, даючи їм різні порти.

Сьогодні ми розглянемо статичні NAT і PAT.

Налаштування NAT Cisco

Ось як виглядає схема маленького офісу. У нас є 3 комп'ютери в vlan 2, є сервер в окремому vlan 3. Все це добро підключено до комутатора другого рівня cisco 2660, який у свою чергу встромлять у роутер Cisco 1841, який маршрутизує локальний трафікміж vlan 2 та 3.

Налаштування Cisco 2960

Створимо vlan 2 і vlan3, задамо їм імена та налаштуємо потрібні порти на ці vlan.

enable
conf t
створюємо vlan 2
vlan 2
name VLAN2
exit
створюємо vlan 3
vlan 3
name VLAN3
exit
Поміщаємо порти в vlan2
int range fa0/1-3
switchport mode access
switchport access vlan 2
exit
Поміщаємо порт у vlan3
int fa 0/4
switchport mode access
switchport access vlan 3
exit

int fa 0/5
switchport mode trunk
switchport trunk allowed vlan 2,3
do wr mem

Налаштування Cisco 1841

Насамперед створимо sub інтерфейси і піднімемо порт.

enable
conf t
int fa0/0
не shutdown
exit

int fa0/0.2
encapsulation dot1Q 2
ip address 192.168.2.251 255.255.255.0
не shutdown
exit

int fa0/0.3
encapsulation dot1Q 3
ip address 192.168.3.251 255.255.255.0
не shutdown
exit

У результаті порт загорівся зеленим

Налаштування PAT

У моїй віртуальній інфраструктурі на жаль нашу схему не можна випустити в інтернет, ми його семулюємо, у нас буде роутер з білою адресою ip і сервер теж з білою адресою ip. Схематично це виглядає так. На роутері провайдера на певному порту присвоєно білу ip адресу 213.235.1.1 та маску мережі 255.255.255.252

Налаштуємо на нашому тестовому провайдерському роутері цей IP.

en
conf t
int fa0/0
ip address 213.235.1.1 255.255.255.252
не shutdown
exit

налаштуємо порт fa0/1 який дивимося на сервер, і поставимо йому інший білий ip 213.235.1.25 255.255.255.252

int fa0/1
ip address 213.235.1.25 255.255.255.252
не shutdown
exit

Сервер у мене матимуть ip адресу 213.235.1.26 і шлюзом буде 213.235.1.25, інтерфейс роутера провайдера, що дивиться на сервер.

Тепер зробимо налаштування нашого локального роутера Router0, налаштуємо на ньому виділений нам провайдером білий ip адреса 213.235.1.2 255.255.255.252, шлюзом буде 213.235.1.1

enable
conf t
int fa0/1
ip address 213.235.1.2 255.255.255.252
не shutdown
exit
ip route 0.0.0.0 0.0.0.0 213.235.1.1
exit
wr mem

Пробуємо пропінгувати з офісного роутера ip адреси провайдера та сервера, і бачимо, що все відмінно працює.

Router#ping 213.235.1.1

Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms

Router#ping 213.235.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 213.235.1.1, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/1 ms

Router#ping 213.235.1.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 213.235.1.2, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 0/9/17 ms

Router#ping 213.235.1.25

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 213.235.1.25, timeout is 2 seconds:

Router#ping 213.235.1.26

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 213.235.1.26, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/0 ms

Ну і саме натування. На локальному роутері виконуємо таке. Тепер нам потрібно задати який інтерфейс nat буде вважати зовнішнім, а який внутрішнім, тут все просто зовнішнім буде те, де налаштований білий ip адресу провайдера, внутрішнім те що з'єднаний з комутатором другого рівня. fa0/1 буде зовнішнім, а два sub інтерфейси внутрішніми.

enable
conf t
int fa0/1
ip nat outside
exit
int fa0/0.2
ip nat inside
int fa0/0.3
ip nat inside
exit

Налаштування Access List

Access List список, який трафік потрібно натирувати, а який повинен працювати без NAT.

Створюємо список доступу на ім'я NAT

ip access-list standard NAT
Дозволяємо два пули
permit 192.168.2.0 0.0.0.255
permit 192.168.3.0 0.0.0.255

0.0.0.255 це Wildcard bits

як бачимо, у нас у конфізі з'явився список доступу і помічені порти які outside, а які inside.

І вводимо ще одну чарівну команду, де каже що трафік, що прийшов на fa0/1, потрібно натиснути за правилом NAT. У результаті ми настроїли PAT.

ip nat inside source list NAT interface fa0/1 overload

Зберігаємо все do wr mem

перевіримо з комп'ютера локальної мережі доступність зовнішніх ресурсів. Подивимося поточні конфігурації командою ipconfig, бачимо ip адресу 192.168.2.1, пропінгуємо 213.235.1.26, як бачите все ок і NAT cisco працює.

Якщо Ви читаєте цей документ, то, швидше за все, ви під'єднані до Інтернету, і використовуєте трансляцію мережевих адрес ( Network Address Translation, NAT) прямо зараз! Інтернет став настільки величезним, ніж будь-хто міг собі уявити. Хоча точний розмір невідомий, поточна оцінка становить приблизно 100 мільйонів хостів і більш ніж 350 мільйонів користувачів, що активно працюють в Інтернеті. Фактично норма зростання така, що Інтернет ефективно подвоюється в розмірі щороку. Для комп'ютера, щоб спілкуватися з іншими комп'ютерами та Web-серверами в Інтернеті, він повинен мати IP-адресу. IP адреса (IP означає Інтернет Протокол) - це унікальне 32-бітове число, яке ідентифікує розташування вашого комп'ютера на мережі. В основному це працює так само, як ваша вулична адреса: спосіб точно з'ясувати, де ви знаходитесь і доставити вам інформацію. Теоретично можна мати 4,294,967,296 унікальних адрес (2^32). Фактичне число доступних адрес є меншим (десь між 3.2 і 3.3 мільярда) через спосіб, яким адреси поділені на класи та потреби відвести деякі з адрес для мультимовлення, тестування або інших певних потреб. Зі збільшенням домашніх мереж і ділових мереж, кількість доступних IP адрес вже недостатньо. Очевидне рішення полягає в тому, щоб перепроектувати формат адреси, щоб врахувати більше можливих адрес. Таким чином, розвивається протокол IPv6, але, це займе кілька років, тому що вимагає модифікації всієї інфраструктури Інтернету.

Ось де приходить NAT нам на спасіння. В основному, Мережева Трансляція Адреса дозволяє єдиному пристрої, типу маршрутизатора, діяти як агент між Інтернетом (або "публічною мережею") і локальною (або "приватною") мережею. Це означає, що потрібна тільки єдина унікальна IP адреса, щоб представляти всю групу комп'ютерів чомусь поза їхньою мережею. Нестача IP адрес - лише одна причина використовувати NAT. Дві інші серйозні підстави це безпека та адміністрування

Ви дізнаєтеся про те, як можна отримати вигоду з NAT, але спочатку, давайте познайомимося з NAT трохи ближче і подивимося, що він може робити.

Маскування

NAT нагадує секретаря великого офісу. Скажімо, ви залишили інструкції секретареві, щоб не перенаправляти вам жодні дзвінки, доки ви не попросите про це. Пізніше ви телефонуєте потенційному клієнту і залишаєте повідомлення для нього, щоб він передзвонив вам. Ви кажете секретареві, що чекаєте на дзвінок від цього клієнта і дзвінок потрібно перекласти. Клієнт дзвонить на основний номер офісу, який є єдиним номером, який він знає. Коли клієнт говорить секретареві, кого він шукає, секретар перевіряє свій список співробітників, щоб знайти відповідність імені та його номера розширення. Секретар знає, що ви запитували цей дзвінок, тому він переводить того, хто дзвонив на ваш телефон.

Розроблена технологія Cisco, Трансляція Мережевих Адреса використовується пристроєм (міжмережевим екраном, маршрутизатором або комп'ютером), який знаходиться між внутрішньою мережею та іншою частиною світу. NAT має багато форм і може працювати кількома способами:

Статичний NAT- Відображення незареєстрованої IP-адреси на зареєстровану IP-адресу на підставі один до одного. Особливо корисно, коли пристрій має бути доступним зовні.

У статичному NAT, комп'ютер з адресою 192.168.32.10 завжди транслюватиметься на адресу 213.18.123.110:

Динамічний NAT- Відображає незареєстровану IP-адресу на зареєстровану адресу від групи зареєстрованих IP-адрес. Динамічний NAT також встановлює безпосереднє відображення між незареєстрованою та зареєстрованою адресою, але відображення може змінюватись залежно від зареєстрованої адреси, доступної в пулі адрес, під час комунікації.

У динамічному NAT, комп'ютер з адресою 192.168.32.10 транслюється в першу доступну адресу в діапазоні від 213.18.123.100 до 213.18.123.150

Перевантаження (Overload)- Форма динамічного NAT, який відображає кілька незареєстрованих адрес в єдину зареєстровану IP адресу, використовуючи різні порти. Відомий також як PAT (Port Address Translation)

При перевантаженні кожен комп'ютер у приватній мережі транслюється в ту саму адресу (213.18.123.100), але з різним номером порту

Перекриття- Коли IP адреси, що використовуються у вашій внутрішній мережі, також використовуються в іншій мережі, маршрутизатор повинен тримати таблицю пошуку цих адрес так, щоб він міг перехопити і замінити їх зареєстрованими унікальними IP адресами. Важливо відзначити, що маршрутизатор NAT повинен транслювати "внутрішні" адреси в зареєстровані унікальні адреси, а також повинен транслювати "зовнішні" зареєстровані адреси в адреси, які є унікальними для приватної мережі. Це може бути зроблено або через статичний NAT або ви можете використовувати DNS і реалізувати динамічний NAT.

Приклад:
Внутрішній діапазон IP (237.16.32.xx) є також зареєстрованим діапазоном, що використовується іншою мережею. Тому маршрутизатор транслює адреси, щоб уникнути потенційного конфлікту. Він також транслюватиме зареєстровані глобальні IP адреси назад до незареєстрованих локальних адрес, коли пакети надсилаються у внутрішню мережу

Внутрішня мережа – це зазвичай LAN (локальна мережа), найчастіше, звана, тупиковим доменом. Тупиковий домен це LAN, яка використовує внутрішні IP-адреси. Більшість мережевого трафікув такому домені є локальним, він не залишає межі внутрішньої мережі. Домен може включати як зареєстровані, так і незареєстровані IP адреси. Звичайно, будь-які комп'ютери, які використовують незареєстровані IP-адреси, повинні використовувати NAT, щоб спілкуватися з рештою світу.

NAT може бути налаштований у різний спосіб. У прикладі нижче NAT-маршрутизатор конфігурований так, щоб транслювати незареєстровані IP-адреси (локальні внутрішні адреси), які постійно знаходяться в приватній (внутрішній) мережі в зареєстровані IP-адреси. Це трапляється щоразу, коли пристрій на внутрішній частині з незареєстрованою адресою повинен спілкуватися із зовнішньою мережею.

NAT-перевантаження (overloading) використовує особливість стека протоколу TCP/IP, таку як мультиплексування, яке дозволяє комп'ютеру підтримувати кілька паралельних підключень віддаленим комп'ютером, використовуючи різні TCP або UDP порти. Пакет IP має заголовок, який містить таку інформацію:

• Вихідна адреса - IP-адреса комп'ютера джерела, наприклад, 201.3.83.132.
• Вихідний порт - це номер TCP або UDP порту, призначений комп'ютером джерелом для цього пакета, наприклад, Порт 1080.
• Адреса призначення - IP-адреса комп'ютера приймача. Наприклад, 145.51.18.223.
• Порт призначення - номер TCP або UDP порту, який просить відкрити комп'ютер джерело на застосунку, наприклад порт 3021.

IP-адреси визначають дві машини з кожної сторони, в той час як номери портів гарантують, що з'єднання між цими двома комп'ютерами має унікальний ідентифікатор. Комбінація цих чотирьох чисел визначає єдине з'єднання TCP/IP. Кожен номер порту використовує 16 бітів, що означає, що існує 65536 (2^16) можливих значення. Насправді, оскільки різні виробники відображають порти трохи різними способами, ви можете очікувати приблизно 4000 доступних портів.

Приклади динамічного NAT та NAT з навантаженням

Нижче показано, як працює динамічний NAT.

Клацніть одну з зелених кнопок, щоб надіслати успішний пакет або в або з внутрішньої мережі. Натисніть одну з червоних кнопок, щоб надіслати пакет, який буде відкинуто маршрутизатором через неприпустиму адресу.

• внутрішня була встановлена ​​з адресами IP, які були спеціально відведені для цієї компанії IANA (Органом з нагляду за присвоєнням адрес в Інтернеті), глобальне бюро, яке роздає IP адреси. Такі адреси слід вважати немаршрутизованими, оскільки вони не є унікальними. Це внутрішні локальні адреси.
• компанія встановлює маршрутизатор із NAT. Маршрутизатор має діапазон унікальних IP-адрес, виданих компанії. Це – внутрішні глобальні адреси.
• комп'ютер на LAN намагається з'єднатися з комп'ютером поза мережею типу Web-сервера.
• маршрутизатор отримує пакет від комп'ютера до LAN.
• Після перевірки таблиці маршрутизації і процесу перевірки для трансляції, маршрутизатор зберігає адресу комп'ютера, що не маршрутизується, в таблиці трансляції адрес. Маршрутизатор замінює немаршрутизовану адресу комп'ютера відправника першою доступною IP адресою з діапазону унікальних адрес. Таблиця трансляцій тепер має відображення IP адреси комп'ютера, що не маршрутизується, якому відповідає одна з унікальних IP адрес.
• Коли пакет повертається від комп'ютера адресата, маршрутизатор перевіряє адресу приймача у пакеті. Потім він дивиться в таблицю трансляції адрес, щоб знайти, якому комп'ютера в домені належить цей пакет. Він змінює адресу приймача на те, що було збережено раніше в таблиці трансляції і посилає пакет потрібному комп'ютеру. Якщо роутер не знаходить відповідність таблиці, він знищує пакет.
• Комп'ютер отримує пакет від маршрутизатора і весь процес повторюється, поки комп'ютер спілкується із зовнішньою системою.

Далі подивимося як працює навантаження

• Внутрішня мережа була встановлена ​​з немаршрутизованим IP адресами, які не були спеціально відведені для компанії
• компанія встановлює маршрутизатор із NAT. Маршрутизатор має унікальну IP адресу, яку видала IANA
• комп'ютер в домені намагається з'єднатися з комп'ютером поза мережею типу Web-сервера.
• маршрутизатор отримує пакет від комп'ютера домену.
• Після маршрутизації та перевірки пакета для виконання трансляції, маршрутизатор зберігає немаршрутизовану IP адресу комп'ютера та номер порту в таблиці трансляції. Маршрутизатор замінює немаршрутизовану IP адресу комп'ютера відправника IP адресою маршрутизатора. Маршрутизатор замінює вихідний порт комп'ютера відправника деяким випадковим номером порту та зберігає його в таблиці трансляції адрес для цього відправника. Таблиця трансляцій має відображення IP адреси комп'ютера, що не маршрутизується, і номери порту поряд з IP адресою маршрутизатора.
• Коли пакет повертається з адресата, маршрутизатор перевіряє порт приміника в пакеті. Він потім дивиться в таблицю трансляцій, щоб знайти, якому комп'ютера в домені належить пакет. Далі роутер змінює адресу приймача та порт приймача на ті значення, які були раніше збережені в таблиці трансляцій і посилає пакет кінцевому вузлу.
• комп'ютер отримує пакет від маршрутизатора та процес повторюється
• Оскільки маршрутизатор NAT тепер має вихідну адресу комп'ютера і вихідний порт, збережений до таблиці трансляцій, він продовжить використовувати той же номер порту для наступних підключень. Щоразу, коли маршрутизатор звертається до запису в таблиці трансляцій скидається таймер життя цього запису. Якщо до запису не звертаються, перш ніж таймер закінчується, вона видаляється з таблиці

Число одночасних трансляцій, які маршрутизатор буде підтримувати, визначається переважно кількістю DRAM (Динамічна Пам'ять Довільного доступу). Так як типовий запис у таблиці трансляцій займає приблизно 160 байт, маршрутизатор з 4 Мбайтами RAM може теоретично обробити 26214 одночасних з'єднань, що є більш ніж достатньо більшості додатків.

Безпека та Адміністрація

Реалізація динамічного NAT автоматично створює міжмережевий захист між вашою внутрішньою мережею та зовнішніми мережами або Інтернет. Динамічний NAT дозволяє лише підключення, що породжуються у локальній мережі. По суті, це означає, що комп'ютер на зовнішній мережі не може з'єднатися з комп'ютером, якщо комп'ютер не розпочав з'єднання. Таким чином, ви можете працювати в Інтернеті та з'єднатися з сайтом, і навіть вивантажити файл. Але більше ніхто не може просто покуситися на вашу IP адресу і використовувати його, щоб з'єднатися з портом на вашому комп'ютері.

Статичний NAT, також званий вхідним мапінгом (inbound mapping), дозволяє підключення, ініційовані зовнішніми пристроямидо комп'ютерів у LAN за певних обставин. Наприклад, ви можете відобразити внутрішню глобальну адресу на певну внутрішню локальну адресу, яка призначена на ваш Web-сервер.

Статичний NAT дозволяє комп'ютеру в LAN підтримувати певну адресу, спілкуючись із пристроями поза мережею:

Деякі NAT маршрутизатори передбачають велику фільтрацію та логування трафіку. Фільтрування дозволяє вашій компанії контролювати, які сайти в Мережі відвідують працівники, перешкоджаючи їм переглядати сумнівний матеріал. Ви можете використовувати реєстрацію трафіку, щоб створити журнал, які сайти відвідуються та на підставі цього генерувати різні звіти.

Іноді Мережеву Трансляцію Адреса плутають із проксі-серверами, де є певні відмінності. NAT прозорий для комп'ютерів джерела та приймача. Ніхто з них не знає, що це має справу з третім пристроєм. Але проксі сервер не прозорий. Вихідний комп'ютер знає, що робить запит на проксі. Комп'ютер адресата думає, що проксі сервер - це вихідний комп'ютер і має справу безпосередньо з ним. Крім того, проксі-сервери зазвичай працюють на рівні 4 (Transport) моделі OSI або вище, тоді як NAT – це протокол рівня 3 (Network). Робота на більш високих рівнях робить проксі-сервери повільнішими, ніж NAT пристрої в більшості випадків.

Не вмикається