Golovna
Merezheva Bezpeka
Routerda nat tezligi qanday? Routerda nat nima? Manzil konvertatsiya qilish tizimi

Routerda nat tezligi qanday? Routerda nat nima? Manzil konvertatsiya qilish tizimi

Internet router, kirish serveri, oraliq ekran. Eng mashhur Manba NAT(SNAT), bu ta'sir mexanizmining mohiyati paket bir blokda uzatilganda dzherel (manba) manzilini almashtirish va paketdagi maqsad manzilini manbada qaytarishdir. Dzherela/maqsad manzillari tartibi, shuningdek, ushbu manzilning dzherela port raqamlari bilan almashtirilishi mumkin.

Krem SNAT, tobto. mahalliy aholiga Internetning ichki manzillariga kirishni ta'minlash, ko'pincha turg'unlik Manzil NAT, agar kiruvchi qo'ng'iroqlar vositachi ekran orqali mahalliy muhitdagi serverga uzatilsa, u ichki manzilga ega bo'lishi mumkin va tashqi muhitdan vositachisiz (NATsiz) kirish imkoni bo'lmasa.

Quyidagi rasmlarda NAT mexanizmining dumbasi ko'rsatilgan.


Guruch. 7.1.

Korporativ xavfsizlik xizmati routerning ichki interfeysida, kirish serverida yoki interfeys ekranida (NAT ilovasi) joylashgan Internetga ulanadi.

NAT otrimuê paketini biriktiring va jadvalda yozuvni vídstezhennya z'ednan, yak kuruê qayta tarjima qilingan manzilni qiling.

Keyin biz paket manbasining manzilini hammaga ma'lum, global miqyosda kirish mumkin bo'lgan IP manzili bilan yuboramiz va paketni tanib olish uchun Internetga yuboramiz.

Tugun paketni qabul qiladi va uni NAT kengaytmasiga qaytarib yuboradi.

NAT-ni o'z shayton, otrimavshih paketi bilan biriktiring, kunni tanib olish jadvalidan chiquvchi paketning manzilini qidiring, almashtiring. IP manzillar Shaxsiy IP-manzilga tayinlangan, u paketni tashqi kompyuterga yo'naltiradi. NAT qo'shimchalarining parchalari barcha ichki kompyuterlar nomidagi paketlarni bekor qiladi, dam olish kunlarini o'zgartiradi chegara porti Ushbu ma'lumotlar kunning jadvallarida to'planadi.

Eshittirish manzilining 3 ta asosiy tushunchasidan foydalaning:

  • statik (SAT, statik tarmoq manzili tarjimasi),
  • dinamik (DAT, Dinamik manzil tarjimasi),
  • maskarad (NAPT, NAT Overload, PAT).

Statik NAT mahalliy IP manzillarni alohida umumiy manzillarga birma-bir asosda xaritalaydi. Zastosovuetsya, mahalliy xost belgilangan manzil bilan mavjud qo'ng'iroq bo'lishi mumkin bo'lsa.

Dinamik NAT bir kun davomida bir nechta shaxsiy IP manzillarini ko'rsatish. Mahalliy xostlar soni mavjud umumiy manzillar sonidan ko'p emasligi sababli, teri mahalliy manzili haqiqiy umumiy manzillar bo'lishi kafolatlanadi. Aks holda, mezbonlar soni, yaky mumkin bir soat daromad zvníshnyh merezh kirish, bir qator umumiy manzillar bilan o'ralgan bo'ladi.

NAT maskarad(NAPT, NAT Overload, PAT, maskarad) - dinamik NAT shakli, shaxsiy manzillarni yagona umumiy IP-manzilga aylantiradi, vikoristuyuchi turli port. V_domy ham yak PAT (Port manzili tarjimasi).

Ichki mahalliy to'siqlarning tashqi, o'tib bo'lmaydigan to'siqlardan o'zaro bog'liqligi mexanizmlari siyrak bo'lishi mumkin - u tashqi to'siq va orqaga kirishni ta'minlash uchun muayyan vazifalarda qo'llanilishi va qoidalar bilan belgilanishi mumkin. Efirning 4 turi ajratilgan merezhevyh manzili:

  • To'liq konus
  • Cheklangan konus
  • Port cheklangan konus
  • Simmetrik (simmetrik)

NAT ning dastlabki uchta turi uchun mahalliy tarmoq manzillari bilan tashqi tarmoqning o'zaro turli IP-manzillari uchun bitta va bir xil tashqi port tanlanadi. To'rtinchi turdagi - nosimmetrik - teri manzili va vikorist xorijiy port porti uchun.

To'liq ot, Sizga kerakli manzilni ichish uchun tegishli portni (router, kirish serveri, oraliq ekran) qo'shaman. Aslini olganda, Internet NAT-ning orqasida joylashgan mijozga paketni yuborishi kerak va siz faqat ulanish o'rnatilgan to'g'ri portni bilishingiz kerak. Misol uchun, 192.168.0.4 IP-manzilli NAT orqasidagi kompyuter 10.1.1.1:12345 bilan bir xil portda ko'rsatilgan 8000 port orqali paketlarni yuboradi va oladi. Tashqi qatlamdan paketlar manzilga IP-manzil bilan yuboriladi: port 10.1.1.1:12345 va keyin 192.168.0.4:8000 mijoz kompyuteriga yo'naltiriladi.

Kirish paketlari uchun transport protokoli o'zgartiriladi; port tanilgan manzillar, port muhim emas manzillar.

Turi bo'yicha ishlaydigan NAT dan foydalanilganda Cheklangan konus, Men mijoz kompyuteridan yuborilgan har qanday paket uchun to'g'ri portni (router, kirish serveri, birlashma ekrani) ilovamizga qo'shaman: 192.168.0.4:8000. Va tashqi chegaradan (masalan, kompyuter ID 172.16.0.5:4000) 10.1.1.1:12345 manzilli ilovaga kelgan paket 192.168.0.4:8000 kompyuteriga faqat shu holatda yuboriladi, 192.168.0 kabi. quvvatni yoqish oldida qo'ng'iroq qiluvchi xostning IP-manziliga yuboriladi (bizning holatda, kompyuterga 172.16.0.5:4000). Shuning uchun, marshrutizator kiruvchi paketlarni faqat dzherelning asosiy manzilidan o'tkazadi (bizning kompyuterimizda 172.16.1.1) mavjud. Aks holda, NAT 192.168.0.4:8000 da xostlardan kelgan paketlarni so‘rovni majburlamasdan bloklaydi.

NAT mexanizmi Port cheklangan konus NAT Cheklangan Konus mexanizmiga o'xshash bo'lishi mumkin. Faqat shu tarzda NAT bir xil mijoz kompyuterida xostlardan kelgan barcha paketlarni bloklaydi 192.168.1. Router dzherel portiga raqamning identifikatorini hurmat qiladi, lekin dzherel manzilini hurmat qilmaydi. Bizning holatda, marshrutizator kiruvchi paketlarni dzherelning istalgan manzili va dzherel porti, agar u 4000 bo'lsa, translyasiya qiladi. Agar shunday bo'lsa, mijoz tashqi tarmoqqa qo'ng'iroqni ushbu portning IP manzillari soniga o'rnatishi mumkin. , keyin ular paketlarni mijozning IP manziliga yuborishlari mumkin: port 10.1.1.1:12345.

Simmetrik NAT istotno vídíznyaêtsya víd birinchi trokh mehanízmív vídobrazhennya íntríshnyoíí IP-manzil: portdan izvn_shníu manziliga: port. Tse vydobrazhennya slaj vyd IP-manzil: so'rov sifatida tan olingan kompyuter porti. Misol uchun, agar mijoz kompyuteri 192.168.0.4:8000 №1 kompyuterga (172.16.0.5:4000) so'rov yuborsa, u o'sha portga (192.16. 0.4:8000) o'z IP manzilingizga ham yuborilishi mumkin, vin boshqacha tartiblangan (10.1.1.1:12346).

  • Ichki mezbonlarga tashqi halqani saqlash yoki yopish imkonini beradi, ichki chegaradan tashqi xostgacha bo'lgan halqaning imkoniyatini bloklaydi. Uchrashuv boshlanishi bilan chegaraning o'rtasida translyatsiya yaratiladi. Qo'ng'iroqlar kerak bo'lgan oynadagi paketlar yaratilgan translyatsiyani tasdiqlaydi va o'tkazib yuboriladi. Tashqi qatlamdan olinishi kerak bo'lgan paketlarga kelsak, hid o'tkazib yuborilmaydi.
  • Ichki xostlar/serverlarning har qanday ichki xizmatlarini biriktirish imkonini beradi. Aslida, xuddi shu birinchi portda ko'proq eshittirish ko'rsatilgan yoki siz rasmiy ro'yxatdan o'tgan xizmatning ichki portini o'zgartirishingiz mumkin (masalan, 80-chi TCP porti (HTTP serveri) tashqi 54055th). Saytga (yoki forumga) manzilni yuborganingizdan so'ng, o'zingizga qo'ng'iroq qiling, qo'ng'iroq qiling, ma'lumot olish uchun siz http://dlink.ru:54055 manzilidan yoki ichki serverdan foydalanishingiz mumkin. NAT orqasida, asl port 80 ga.

    • Biroq, ushbu texnologiyaning kamchiliklari haqida quyidagi taxminlar mavjud:

    1. Hamma protokollar NATni “tuzatish” mumkin emas. Deyakí emas zmozi pratsyuvati, yakshcho xostlar o'rtasidagi yo'lda, scho vza'modíyut, ê translyatsiya manzili. IP-manzilning tarjimasini aks ettiruvchi vositachi ekranni ko'rish bu kichik miqdorni to'g'irlashi mumkin, IP manzillarini nafaqat IP sarlavhalarida, balki yuqori darajadagi (masalan, FTP protokoli buyruqlarida) o'zgartirishi mumkin.
    2. Eshittirish orqali "katta birida" manziliga koristuvachivni identifikatsiyalash va barcha tarjima jurnallarini saqlash zarurati bilan qo'shimcha katlama qo'shiladi.
    3. NAT-ni ishga tushiradigan tugun tomondan DoS hujumi - xuddi NAT bir va bir xil xizmatga bir nechta ulanishlarni ulashda g'olib bo'lgani kabi, u xizmatga DoS hujumi illyuziyasini keltirib chiqarishi mumkin (jimgina muvaffaqiyatli va muvaffaqiyatsiz urinishlar). Misol uchun, NAT orqasidagi ICQ simlarining dunyo bo'ylab soni haqiqiy ulanishni uzatish orqali bunday kabellar serveriga ulanishda muammolarga olib kelishi mumkin.

    NAT yoki tarmoq manzilining tarjimasi - bu Internet protokoli yoki IP-dagi tarmoq manzili ma'lumotlarini o'zgartirishning boshqa usuliga bitta manzil maydonini qayta tayinlash usuli. Paket sarlavhalari o'sha soatda o'zgartiriladi, agar hid marshrutlash qo'shimchasi orqali yo'l tomonidan qaytarilsa. Tsey usuli teri xost raqamlash kerak bo'lmasdan IP tarmoqlarida oddiy trafik qayta yo'naltirish uchun vikoristovvsya spochatku. Vín rozpodílu uchun muhim va ommabop vositaga aylanib, umumiy IPv4 manzili ongida global manzil maydonini tejash.

    NAT nima?

    Tarmoq manzilining Vykoristannya tarjimasi tanlangan teri manziliga bir manzil maydonidan manzilga tarjima qilinadi, chunki u boshqa manzil maydonida bo'ladi. Bunday holda kerak bo'lishi mumkin, chunki xizmat ko'rsatuvchi provayder o'zgargan va koristuvach shaharga yangi marshrutni ochiq e'lon qila olmaydi. 90-yillarning oxiridan beri global manzillar makonining onglari uchun NAT texnologiyasi tez-tez g'alaba qozondi. Ushbu texnologiyani IP-shifrlash bilan bir xil tarzda g'alaba qozoning. IP shifrlash - bu IP-manzilni bitta joyga o'tkazish usuli. Men yutuq jadvallarini tejashdan o'tkazadigan marshrutni kengaytirishni amalga oshirishning butun mexanizmi belgilangan manzilning bitta IP manziliga o'tkaziladi. Shuningdek, u barcha chiquvchi IP-paketlarni tashqi tomonga yo'naltiradi. Shu tarzda, bu paketlar marshrutlash qutisidan tashqarida deb hisoblanadi. Ulanishlar tarjima jadvallarida saqlanadigan qo'shimcha qoidalar uchun tashqi IP-manzil orqali qaytish kanaliga yuboriladi. Mening stolimda stollar qisqa soat ichida tozalanadi, shuning uchun transport lagerini yangilamaydi. NAT ning asosiy mexanizmi nimaning y o'qi. Bu nimani anglatadi? Berilgan texnologiya router orqali faqat bir marta qo'ng'iroqlarni tashkil qilish imkonini beradi, agar ulanish shifrlangan tarmoqda bo'lsa, parchalar tarjima jadvallarini yaratmaydi. Bunday veb-brauzerning o'rtasida siz saytning chegaralarini ko'rishingiz mumkin, ammo keyinroq o'rnatilgan bo'lsa, u o'zida mavjud bo'lgan manbani ko'rsata olmaydi. Bugungi kunda ko'proq NAT kengaytmalari ma'murga doimiy jurnalga tarjima qilish jadvali yozuvlarini sozlash imkonini beradi. Qanday funktsiya ayniqsa tez-tez u portni qayta yo'naltirish yoki statik NAT sifatida taxmin qilinadi. Von trafikka "tashqi" chegaraga o'tish, shifrlangan chegarada xostlarni tanib olish imkoniyatini beradi. IPv4 manzil maydonini saqlash uchun ishlatiladigan usul mashhurlikka erishganligi sababli, NAT atamasi amalda shifrlash usuli bilan sinonimga aylandi. Oskylki tarjima merezhnyh manzil IP-paketlar manzili haqida ma'lumot o'zgartirish, tse jiddiy ulanish sifatini ta'sir qilishi mumkin. Bundan tashqari, siz amalga oshirishning barcha tafsilotlariga diqqat bilan e'tibor berishingiz kerak bo'ladi. U yoki bu tarzda NATni yengish yo'llari transport oqimi ta'sir qiladigan turli vaziyatlarda o'ziga xos xatti-harakatlarida farqlanadi.

    Asosiy NAT

    Eng oddiy NAT turi IP-manzillarni birma-bir tarjima qilishga imkon beradi. Tarjimaning asosiy turi - RFC-2663. Bunday holda, kamroq IP-manzillar o'zgartiriladi, shuningdek nazorat summasi IP sarlavhalari. Ikki IP merezh ulanishi uchun tarjimaning asosiy turlarini tanlash mumkin, bu aqldan ozgan manzil bo'lishi mumkin.

    Ommaviy ravishda belgilangan bitta IP-manzilgacha bo'lgan shaxsiy xostlar soniga ko'proq turli xil NAT turlari qo'shilishi mumkin. Odatdagi konfiguratsiyadagi mahalliy tarmoq tarmoqning "shaxsiy" IP manzillaridan biridir. Ushbu sohada marshrutizator bo'shliqda shaxsiy manzilga ega bo'lishi mumkin. Shuningdek, yo'riqnoma Internet-provayder tomonidan tayinlangan qo'shimcha umumiy manzil uchun Internetga ulanadi. Agar trafik mahalliy Internet orqali o'tadigan bo'lsa, u holda teri paketidagi dzherelning manzillari lot bo'yicha xususiydan ommaviyga o'tkaziladi. Shuningdek, yo'riqnoma terini faol himoya qilish haqida asosiy ma'lumotlarni taqdim etadi. Zocrema, bu tanib olish portining manzili kabi ma'lumotlardan foydalanish kerak. Agar siz unga murojaat qilsangiz, viza bosqichining soatiga saqlanadigan kundan boshlab g'alabali o'lpon bo'ladi. Xat yuborish zarur bo'lgunga qadar, ichki o'lchovning shaxsiy manzilini belgilash uchun kerak. Bunday funktsiyaning asosiy afzalligi IPv4 manzil maydonini yo'qotish muammosini amaliy hal qilishdir. Internetga bitta IP-manzil yordamida siz ajoyib tarmoqlarni ulashingiz mumkin. IP-tarmoqlardagi paketlarning barcha datagrammalarida ikkita IP-manzil bo'lishi mumkin - bir yoki bir nechta manzillar va maqsad nuqtasiga. Xususiy chegaradan maxfiy pochta qutisi chegarasiga o'tadigan paketlar, umumiy chegaradan shaxsiy chegaraga o'tish vaqtida o'zgarganligi sababli, paketning dzherel manzilini moslashtiradi. Bundan tashqari, katlamalarni o'zgartirish mumkin.

    NAT ni sozlash xususiyatlari

    Nalashtuvannya NAT birinchi bir nechta xususiyatlarning onasi bo'lishi mumkin. Burilgan paketlarni uzatish bilan bog'liq qiyinchiliklardan xalos bo'lish uchun ularga qo'shimcha o'zgartirishlar kerak bo'lishi mumkin. Ko'proq Internet-trafik orqali UDP protokollari bu TCP. Bu raqamlar shunday o'zgartiriladiki, ma'lumotlar o'zgartirilganda IP manzillari va port raqamlari o'rnatila boshlaydi. UDP yoki TCP ga asoslanmagan protokollar boshqa tarjima usullarini talab qiladi. Qoida tariqasida, ICMP yoki Internetda bildirishnomalarni boshqarish protokoli aniq so'rov bilan uzatilayotgan ma'lumotlarni bilish imkonini beradi. Tse, bu raqamning tanlovlari va IP-manzillari uchun ular aybdor ekanligini anglatadi, bu orqa tomonda birinchi bo'lib o'rnatiladi. Pora berishning nima keragi bor? Routerda NAT ni o'rnatish "uchdan oxirigacha" ulanish imkoniyatiga ruxsat bermaydi. Shu sababli, marshrutizatorlar boshqa Internet protokollarining taqdirini o'z zimmalariga olmaydilar. Tashqi tarmoqlarga TCP ulanishini yoki protokollarsiz yozishni talab qiladigan xizmatlar oddiygina mavjud bo'lmasligi mumkin. Agar NAT marshrutizatorida bunday protokollarni qo'llab-quvvatlash uchun maxsus razvedka bo'lmasa, u holda kiruvchi paketlar belgilangan joyga etib bormasligi mumkin. Haqiqiy protokollar bir xil translyatsiyada ishtirok etuvchi xostlar o'rtasida, balki dastur qatlamining yordam shlyuzining orqasida ham joylashtirilishi mumkin. Prote z'ednannya o'rnatilmaydi, agar tizim Internetga NAT yordami bilan xafa bo'lsa. Bundan tashqari, NAT tunnel protokollarini IPsec turiga o'zgartirganda, koeffitsientlar sarlavhalardagi qiymatlarni o'zgartirmaydi, chunki ular so'rovlar kuchining o'zgarishi bilan o'zaro ta'sir qiladi.

    NAT: asosiy muammo

    Internetning asosiy printsipi - "oxiridan oxirigacha". Vono ísnuê z yogo kengayishi. Oqimli tegirmon NAT bu tamoyilni buzayotganligini ko'rsatish ehtimoli kamroq. Tarmoq manzilining IPv6 tarjimalari tufayli professional muhit jiddiy xavotirda. Ushbu martabada bugungi kunda bu muammoni hal qila oladiganlar haqida juda ko'p ovqat bor. NAT routerlarida radioeshittirish stantsiyasini saqlaydigan jadvallar orqali ular har doim ham kunlik IP-ni qisqa vaqt davomida o'tkazish uchun ichki to'siqlarni qo'shmaydilar. Routerda NAT bo'lganlar haqida gapirganda, atrof-muhit haqida unutib bo'lmaydi. Bu batareya va batareyalarda ishlaydigan robotlar va ixcham qo'shimchalarning bir soati tez orada o'tib ketishini anglatadi.

    Masshtab

    NAT g'olib bo'lganida, ichki dasturlar orqali tuzatilishi mumkin bo'lgan portajlar ham mavjud, masalan, bir soatlik qo'ng'iroqlarning g'alabali nihollari. Ko'p sonli saytlar uchun HTTP-ni yoqishingiz mumkin. Pom'yakshiti muammo portga qo'shimcha uchun tasdiqnomaning IP manzilini o'zgartirish mumkin. Shu tarzda bitta mahalliy port juda ko'p masofaviy hostlarga tarqatilishi mumkin.

    NAT: yig'iladigan

    Barcha ichki manzillar bitta global kirish uchun maskalanganligi sababli, qo'ng'iroq qiluvchi hostlar xavfsizlik devorida maxsus konfiguratsiyani o'rnatmasdan birinchi ichki tugunga ulanishni boshlashi mumkin emas. Ushbu konfiguratsiya ulanishni birinchi portga yo'naltirish uchun javobgardir. IP-telefoniya, video konferentsiya va shunga o'xshash xizmatlar uchun dasturlar ularning normal ishlashi uchun NATni chetlab o'tish usullaridan foydalanish uchun javobgardir. Rapti teskari manzillarini qayta yo'naltirish porti IP-manzil soatma-soat o'zgarib turadigan xostga qo'shimcha sobit IP-manzil uchun server sifatida foydalanishga imkon beradi. uy o'lchovi. Shuning uchun, printsipial jihatdan, kunni tejash uchun serverlarni tuzatishga ruxsat berishimiz mumkin. Muammoning bunday echimi ideal emasligidan qat'i nazar, u NAT routerlarida o'rnatish bilan bog'liq vazifalarni hal qilishda tizim ma'muri arsenalidagi eng muhim vositalardan biri bo'lishi mumkin.

    PAT yoki port manzili tarjimasi

    Port manzilini tarjima qilish - bu Cisco Rapt ilovasi, chunki u bitta umumiy IP manzilidan bir nechta shaxsiy IP manzillarni ko'rsatadi. Shu tarzda, spiel manzili manzil sifatida ko'rsatilishi mumkin, shuning uchun ularning terisi qo'shimcha port raqami hisoblanadi. To'g'ridan-to'g'ri ma'lumotlarni uzatishni farqlash uchun ichki global IP-dagi dzherelning noyob port raqamidan foydalangan holda PAT. Bu raqamlar tsili 16 bitli raqamlardir. Bitta manzilga tarjima qilinishi mumkin bo'lgan ichki manzillarning umumiy soni nazariy jihatdan 65536 ga yetishi mumkin. Aslida bitta IP manzil sifatida tan olinishi mumkin bo'lgan portlar soni taxminan 4000 ta bo'lishi kerak. Bunday holda, VIN allaqachon Port manzili tarjimasida g'alaba qozonganligi sababli, u tur guruhining boshidan boshlab portga birinchi mavjud raqamni tayinlaydi. Agar boshqa mavjud portlar bo'lmasa va bir nechta ma'lum IP manzillar mavjud bo'lsa, PAT keyingi mavjud portga o'tadi. Bu jarayon mavjud ma'lumotlar tugamaguncha davom etadi. Cisco xizmati ushbu portdagi manzilni ko'rsatadi. U o'zining port manziliga o'tadi va ma'lumotlar tunnel paketlarini IPv4 ichki IPv6 tarmoqlariga uzatadi. Asosan muqobil Portlar va manzillarning IP tarjimasini qo'llab-quvvatlaydigan NAT va DS-Lite darajasi. Tse kunni qo'llab-quvvatlaydigan o'rnatishlardan kelib chiqadigan muammolardan xalos bo'lishga imkon beradi. Shuningdek, u IPv6 halqum uchun o'tish mexanizmini ta'minlashga imkon beradi.

    Tarjima usullari

    V_domo k_lka chegara manzili va portni uzatishni amalga oshirishning asosiy usullari. Birinchi dastur protokollarida NAT manziliga nom berish kerak, chunki u kunning boshqa oxirida g'alaba qozonadi. Shuningdek, ko'pincha uzatish turini tekshirish va tasniflash kerak. qoida tariqasida, to'g'ridan-to'g'ri kanal zv'yazku yaratish NAT chegaralari orqasida bo'lgan ikki mijoz o'rtasida nima qo'rqib. Ba'zi kengaytmalar uchun RFC 3489 maxsus protokoli mavjud bo'lib, u NATS orqali UPDni chetlab o'tishning oddiy usulini ta'minlaydi. Bugungi kunda biz allaqachon eski deb hisoblanadigan, bizning kunlarimizdagi tebranishlar, bunday usullar ish va qo'shimchalarni to'g'ri baholash uchun etarli emas deb hisoblanadi. 2008 yilda RFC 5389 protokoli kengaytirildi, unda yangi usullar standartlashtirildi. Ushbu spetsifikatsiya endi Session Traversal deb nomlanadi. Yutuq maxsus yordamchi dastur, NAT ishidan oldin tan olingan.

    Ikki tomonlama aloqani yaratish

    Skin UDP paketi va TCP dzherelning IP manzilini va port raqamini, shuningdek terminal portining koordinatalarini yuboradi. Port raqami global miqyosda foydalanish mumkin bo'lgan xizmatlarni qabul qilish uchun pochta serverlarining funksionalligi kabi muhimroq bo'lishi mumkin. Masalan, 25-portga ulanadi SMTP pochta server va port 80 ulanadi dasturiy ta'minot veb-server. Bu qiymat umumiy foydalanish mumkin bo'lgan serverning IP manzili ham bo'lishi mumkin. Bu parametrlar tufayli, lekin ular universitetlarda ishonchli bo'ladi, Biz kun o'rnatish mumkin, shunday qilib,. Mahalliy tarmoqlarda xususiy IP manzillar kamroq qiymatga ega bo'lishi mumkin.

    Internetda foydalanish mumkin bo'lgan barcha tashqi binolar uchun bir nechta IP-manzillar mavjudligi uzoq vaqtdan beri yangilik emas. Bu soatda, bu vaziyatdan chiqib, ular IPv6 protokolini ishlab chiqishni bilishdi, bu holda manzil 128 bit bo'lishi kerak, hozirgi IPv4 esa atigi 32 bit. Ale, 2000-yillarda, ular boshqa yechimni bilishdi - ular merezhe manzilini o'zgartirdilar, qisqa vaqt ichida nat. Statdagi Dali routerda nat o'rnatish amalga oshiriladi.

    Routerni sozlash uchun menyuga kiring

    Misol sifatida, ZyWALL USG seriyali ZyXEL routerini va NXC5200 ni oling.

    Nasampered biz routerni sozlashga o'tamiz. Kim uchun, istalgan veb-brauzerda 192.168.1.1 manzil satriga kiritilgan. (routerning standart manzili), yig'ilishda paydo bo'ling va login va parolingizni kiritishingizni so'rang.

    "Im'ya koristuvach" maydoniga admin, "Parol" maydoniga 1234 raqamini kiriting "OK" tugmasini bosing.

    Routerda nat-ni sozlash

    Oyna menyusida "Konfiguratsiya" yorlig'iga o'ting (ikkita oltitali belgi), "Tarmoq" ga o'ting, "Marshrutlash" ga o'ting. Tanlangan oynada "Siyosat marshruti" yorlig'iga o'ting.

    ZyXEL routerini sozlash menyusi

    IN berilgan menyu marshrutlashning nalashtovuetsya siyosati. "Kriteriyalar" maydonida biz trafikni tanlash mezonlarini o'rnatdik - qaysi trafik uzatilishi kerak (nat muvaffaqiyatli tarjima qilinishi mumkin) va qaysi biri oddiygina yo'naltiriladi. Trafikni mezonlar soniga qarab tanlash mumkin:

    1. Koristuvach (foydalanuvchi);
    2. Interfeys orqasida (Kirish);
    3. Gerel IP manzili (Manba manzili);
    4. Egasining IP manzili (maqsad manzili);
    5. Qabul qilish porti bo'yicha (Xizmat).

    "Next-Hop" maydonida trafikni qayta yo'naltirish uchun ob'ekt tayinlangan:

    ZyXEL routerini qayta yo'naltirish ob'ektini tanlash

    De "Avto" - trafik global interfeysga yo'naltiriladi, qulflash uchun topshiriqlar; Gateway - shlyuz sozlamalarida ko'rsatilgan manzilga; VPN tunnel - IPSec virtual xususiy tunnel; Magistral - "magistral" ga marshrut, de "magistral" - bir vaqtning o'zida o'rnatilgan interfeyslarning butun to'plami va ortiqcha rejim; Interfeys - belgilangan interfeysga yo'naltirish:

    Shuni esdan chiqarmaslik kerak, agar yo'riqnoma sozlamalariga biron bir o'zgartirish kiritilgan bo'lsa, sozlamalarni saqlash uchun "OK" tugmasini bosing va shunchaki veb-brauzerni o'chiring.

    Kompyuterda nat-ni sozlash

    Ma'lumki, marshrutizator o'z-o'zidan xizmat qilishi mumkin shaxsiy kompyuter. Eng keng tarqalgan holat, agar merezha kompyuter s kílkoh kom'yuteryv, bir íz yakyh Internetga o'tishi mumkin. Bunday holatda siz marshrutizatorlarni sotib ololmaysiz, lekin Internetga kirish imkoniga ega kompyuterni router kabi o'zgartiring va nat-ni yangisiga o'zgartiring. Keling, ushbu turdagi hisobotni ko'rib chiqaylik.

    Internetda ajoyib bo'lgan bosh kompyuterda Obov'yazykovo (yogo SERVER deb ataladi) 2 o'rnatilgan. mesh kartalari- birinchi navbatda mahalliy tarmoqqa, do'st provayderga ulanish uchun. Vikoristlarning tepasida bor operatsion tizim Windows Server 2012

    Bizni sozlash uchun biz "Server menejeri" ni ishga tushiramiz (Ishga tushirish -> Administratsiya -> Server menejeri). Belgilangan vaqtda kelish uchun:

    Iltimos, serverimiz bilan bog'laning. Nalashtuvannyani davom ettirish uchun "Rollar va komponentlarni qo'shish" tugmasini bosing, rollarni qo'shish uchun usta oynasini oching. Birinchi qadam - O'rnatish turi:

    Keyingisi uchun rolni tanlash kerak, shunda biz uni serverga o'rnatishimiz mumkin. Biz "Masofadan foydalanish" oldiga daw qo'yamiz.

    U ertami-kechmi paydo bo'ladi, robot uchun zarur bo'lgan komponentlar ro'yxati ko'rsatiladi. "Komponentlarni qo'shish" tugmasini bosgan holda, tse vikno znikne. Tisnemo "Dali".

    Keyingi viknída usta sizga server komponentlarini qo'shishni aytadi. Hech narsa kerak emas, bo'rttirma "Dali".

    Keyingi tomonda usta shunchaki "Masofadan foydalanish" ning roli haqida bizga ma'lumot beradi. Tisnemo "Dali".

    Keyingi bosqichda "Rol xizmatlari" ni tanlang. Biz "Marshrutlash" yoniga belgi qo'yamiz, bo'rttirma "Dali".

    Keyingi safar ma'lumotni yangilaganimda, siz hech narsani tanlashingiz shart emas, lekin siz "Tanlangan serverda avtomatik qayta ishga tushirish ..." yonidagi katakchani belgilashingiz mumkin, o'rnatishdan so'ng server natijasi avtomatik ravishda qayta konfiguratsiya qilinadi. Alece qo'lda bajarilishi mumkin. Tisnemo "Dali".

    I qolgan vaqt - serversiz o'rnatish. Tugatgandan so'ng, "Yopish" tugmasini bosing.

    Serverni o'rnatish

    Otzhe, biz kompyuterni Internetga ulanib, server rejimiga o'rnatdik. Endi natni yangisiga tuzatish kerak.

    Boshlash / Boshqaruv / Marshrutlash va masofadan kirishga o'ting. Ko'rsatilgan oynaning chap qismida biz "SERVER (mahalliy)" bandini bilamiz, ustiga bosing. o'ng tugma Sichqoncha menyuning yonida joylashgan bo'lib, unda "Marshrutlash va masofadan kirishni sozlash va yoqish" bo'rtma tasvirlangan.

    Marshrutlash serverining ustasi paydo bo'ladi masofaviy kirish, In qaysi va nalashtuemo nat.

    Birinchi tomondan, biz ustadan qisqacha tanishamiz - bo'rttirma "Dali". Keyingi bosqichda ishga tushadigan xizmatlardan birini tanlash kerak berilgan server. Biz "Tarmoq manzilini o'zgartirish (NAT)" ni tanlaymiz, bo'rttirma "Dali".

    Dali ustasi vibratidan so'raydi mereveve z'ednannya, Internetda nimaga hayron bo'lish kerak. Ro'yxatda ba'zi haqoratli tasvirlar bo'ladi (kamida, qo'shimcha ravishda, ularning havolalari serverda o'rnatiladi). U bog'langan birini tanlang fextavonie kabeli provayder. Tisnemo "Dali".

    Kelgusi asrda usta tez-tez qichqiradi, shuning uchun siz DHCP yoki DNS ning mahalliy tarmog'ida ko'rinishga harakat qila olmaysiz. Davom etish uchun ikkita variant mavjud - asosiy xizmatlarni o'chirib qo'ying yoki xizmatlarni keyinroq o'rnating.

    Biz "Dali" naqshli birinchi elementni tanlaymiz. Keyingi tomonda, men sizga ma'lumot beraman, qanday diapazonda pracyuvatime nat. Magistr ushbu diapazonni mahalliy tarmoqqa ulanish konfiguratsiyasiga qarab avtomatik ravishda sozlaydi. Tisnemo "Dali".

    Diapazon nat

    Hammasi shu, sozlash ustasi natni sozlashni tugatmoqda. Tisnemo "Daly", va kelgusi vikny yilda "Bajarildi".

    Qolganlarini yo'qotdi - yangilangan mijoz kompyuterlari, shuning uchun mahalliy tarmoqning barcha boshqa kompyuterlari. Ushbu mijozning kompyuteri uchun (shuning uchun teri kompyuterida ishlash kerak bo'ladi) Ishga tushirish / Boshqarish paneli / Plitkalarni boshqarish markaziga o'ting. ikki tomonlama kirish/ adapter parametrlarini o'zgartirish. O'tish " Merezhevy ulanish". Sichqonchaning o'ng tugmasi bilan belgini bosing va menyuda "Quvvat" ni tanlang. Oynada "Internet Protocol Version 4 (TCP/IPv4)" ni tanlang, bo'rttirma "Vlastivosti".

    "Asosiy shlyuz" maydoniga biz server kompyuterining IP manzilini yozamiz (u oxirgi marta o'zgartirilgan), "DNS serverini hurmat qilish" maydoniga biz yozamiz. DNS IP manzillari serverda Internetga ulanish haqidagi ma'lumotlarda ko'rsatilgan provayder serveri. Tisnemo "OK" va yana "OK". Hamma narsa, mijoz kompyuteri Internetga ulangan.

    Agar siz ushbu hujjatni o'qib chiqsangiz, unda hamma narsa yaxshiroq, siz Internetga kirasiz va merezhev manzilining tarjimasini yutib olasiz ( Tarmoq manzili tarjimasi, NAT) hoziroq! Internet, polda ulug'vor bo'lib, bir zumda o'zini namoyon qila oladigan odamga aylandi. Agar siz noma'lumlar sonini aniq baholashni istasangiz, joriy hisob taxminan 100 million xost va Internetda faol ishlayotgan 350 milliondan ortiq xostlarni tashkil qiladi. Darhaqiqat, o'sish sur'ati shundayki, Internet keng dunyoda samarali qo'llaniladi. Kompyuterning Internetdagi boshqa kompyuterlar va veb-serverlar bilan aloqa o'rnatishi uchun xato onaning IP-manziliga bog'liq. IP manzillar (IP qisqartmasi Internet protokoli) - tarmoqdagi kompyuteringizni identifikatsiya qiluvchi 32 bitli noyob raqam. Asosan, u sizning ko'cha manzilingiz bilan bir xil ishlaydi: ma'lumotni aniq aniqlash, bilish va sizga etkazish usuli. Nazariy jihatdan, 4,294,967,296 noyob manzillar mavjud (2^32). Darhaqiqat, sinfga manzillar qo'shish va ko'p harakatlanish, test yoki boshqa ehtiyojlar uchun yangi manzildan foydalanish imkonini beruvchi usul yordamida mavjud manzillar soni kamroq (3,2 dan 3,3 milliardgacha o'nta). Ko'proq uy va biznes obligatsiyalari uchun mavjud IP manzillar soni allaqachon etarli emas. Shubhasiz, yechim kattaroq manzilni tiklash uchun manzil formatini qayta ishlab chiqishdir. Shu tarzda, IPv6 protokoli rivojlanmoqda, lekin faqat bir necha yil davomida, bu Internetning butun infratuzilmasini o'zgartirishga yordam beradi.

    Axis de NAT bizning yordamimizga keladi. Asosan, Merezheva Address Translation bitta kengaytmaga, yo'riqnoma turiga Internet (yoki "jamoat tarmog'i") va mahalliy (yoki "xususiy") tarmoq o'rtasida agent sifatida harakat qilish imkonini beradi. Tse shuni anglatadiki, butun kompyuterlar guruhini boshqacha ko'rsatish uchun faqat bitta noyob IP-manzil kerak bo'ladi. Yo'qolgan IP-manzil NAT-ni sozlash uchun faqat bitta sababdir. Xavfsizlik va boshqaruv uchun yana ikkita jiddiy talab

    Bular haqida siz NAT dan qanday foydalanishingiz mumkinligini bilasiz, lekin avval NAT bilan biroz yaqinroq tanishib, nima qila olishingizni qiziqtiramiz.

    maskalash

    NAT - katta idoraning kotibi. Aytaylik, siz kundalik qo‘ng‘iroqlaringizni sizga yo‘naltirmasliklari uchun kotibning ko‘rsatmalarini to‘sib qo‘ydingiz, shuning uchun buni so‘ramang. Nihoyat, siz potentsial mijozga qo'ng'iroq qilasiz va sizni qayta qo'ng'iroq qilib, yangisi uchun ma'lumotni yo'qotasiz. Siz kotiblarga qo'ng'iroqni mijozning ismini tekshirishingizni va qo'ng'iroqni o'tkazish kerakligini aytasiz. Mijoz ofisning asosiy raqamiga qo'ng'iroq qilishi kerak, bu yagona raqam, qaysi birini bilasiz. Agar mijoz kotiblarga kimni aniqlamoqchi bo'lganini aytsa, kotib ism va kengaytmalar sonini bilish uchun o'zining matbuot kotiblari ro'yxatini tekshiradi. Kotiba bu qo'ng'iroqni siz so'raganingizni biladi, u kishi qo'ng'iroq qilgan odamni telefoningizga o'tkazishi kerak.

    Cisco texnologiyasi, Translating Merezhevykh buzilgan. NAT ko'p shakllarda bo'lishi mumkin va uni bir necha usulda qo'llash mumkin:

    Statik NAT- Ro'yxatdan o'tmagan IP-manzilni ro'yxatdan o'tgan IP-manzilga yakka tartibda o'tkazish. Ayniqsa, yomon, agar ayblov buti kirish mumkin bo'lgan qo'ng'iroqlarda aybdor bo'lsa.

    Statik NAT uchun 192.168.32.10-dagi kompyuter 213.18.123.110-ga tarjima qilinishi kerak:


    Dinamik NAT- Ro'yxatdan o'tgan IP manzillar guruhidagi ro'yxatdan o'tgan manzilga ro'yxatdan o'tmagan IP-manzilni ko'rsatadi. Dinamik NAT, shuningdek, ro'yxatdan o'tmagan va ro'yxatdan o'tgan manzil o'rtasida vositachilik qilmasdan o'rnatilishi mumkin yoki uni bilvosita ro'yxatdan o'tgan manzilda o'zgartirish mumkin, manzillar hovuzida mavjud, aloqa soati ostida.

    Dinamik NAT uchun 192.168.32.10 manzilli kompyuter 213.18.123.100 dan 213.18.123.150 oralig'idagi birinchi kirish mumkin bo'lgan manzilga tarjima qilinadi.


    Haddan tashqari yuk- Ro'yxatdan o'tmagan kichik sonli manzillarni bitta ro'yxatdan o'tgan IP-manzilga aylantiradigan dinamik NAT shakli, g'alaba bilan farq qiladi. Vidomy aka PAT (Port manzili tarjimasi)

    Teri o'zgartirilganda, shaxsiy tarmoqdagi kompyuter bir xil manzilga (213.18.123.100) tarjima qilinadi, lekin boshqa port raqami bilan.


    Perekritiya- Agar sizning ichki tarmog'ingizda g'olib bo'lgan IP-manzillar boshqa tarmoqda ham g'olib bo'lsa, yo'riqnoma ularni osongina o'zgartirishingiz va ro'yxatdan o'tgan noyob IP manzillar bilan almashtirishingiz uchun ularning manzillarini qidirish jadvalini trianglash uchun javobgardir. Shuni ta'kidlash kerakki, NAT marshrutizatori "ichki" manzillarni yagona manzil registrlariga o'tkazish uchun javobgardir, shuningdek, "tashqi" manzillarni xususiy tarmoq uchun yagona bo'lgan manzillarga tarjima qilish uchun ham javobgardir. Siz uni statik NAT orqali o'chirib qo'yishingiz yoki DNS-ni sozlashingiz va dinamik NAT-ni amalga oshirishingiz mumkin.

    Dumba:
    IP-ning ichki diapazoni (237.16.32.xx) ham ro'yxatga olingan diapazon bo'lib, uni boshqa tarmoq yutadi. Shuning uchun, yo'riqnoma mumkin bo'lgan nizolarni oldini olish uchun manzillarni tarjima qiladi. Shuningdek, agar paketlar ichki tarmoqda bekor qilingan bo'lsa, u ro'yxatdan o'tgan global IP manzillarni qayta ro'yxatdan o'tmagan mahalliy manzillarga tarjima qiladi.


    Ichki ulanish - ko'pincha stub domen deb ataladigan LAN (mahalliy bog'lanish) ga qo'ng'iroq qilish. Noto'g'ri domen LAN bilan bir xil, masalan, g'olib ichki IP-manzil. Kattalik harakatni fextavonie bunday domenda u mahalliy bo'lib, ichki chegaralar bilan bir-biriga mos kelmaydi. Domen ro'yxatdan o'tgan va ro'yxatdan o'tmagan IP manzillarni o'z ichiga olishi mumkin. Shubhasiz, ro'yxatdan o'tmagan IP-manzillarni yutgan kompyuter bo'ladimi, dunyo bilan aloqa o'rnatish uchun NAT-ni mag'lub etish sizga bog'liq.

    NAT-ni sozlash mumkin boshqacha tarzda. Quyidagi misolda NAT router ro'yxatdan o'tmagan IP manzillarni (mahalliy ichki manzillar) efirga uzata oladigan qilib konfiguratsiya qilingan, shuning uchun u har doim ro'yxatdan o'tgan IP manzilida shaxsiy (ichki) mintaqada bo'lishi mumkin. Agar ro'yxatdan o'tmagan manzilga ega bo'lgan ichki qismdagi biriktirma tashqi tarmoqdan firibgarlikda aybdor bo'lsa, biron bir sababga ko'ra tuzoqqa tushishga arziydi.


    NAT haddan tashqari yuklanishi masofaviy kompyuter, vikoristovuyuchi turli TCP yoki UDP port. IP-paket quyidagi ma'lumotlarni o'z ichiga olgan sarlavhaga ega bo'lishi mumkin:

    • Tashqi manzillar - dzherel kompyuterining IP manzillari, masalan, 201.3.83.132.
    • Ketish porti - kompyuter tomonidan ushbu paket uchun serverga tayinlangan bir xil TCP yoki UDP port raqami, masalan, Port 1080.
    • Qabul qiluvchi manzillar - qabul qiluvchi kompyuterning IP manzillari. Masalan, 145.51.18.223.
    • Qabul qilish porti - TCP yoki UDP portining raqami, bu kompyuterdan uni zastosunkaga yuborishni so'rash, masalan, 3021 port.

    IP-manzillar teri tomondan ikkita mashinaga bir vaqtning o'zida tayinlanadi, chunki port raqamlari ikkita kompyuter o'rtasida noyob identifikatorni kiritish mumkinligini kafolatlaydi. Ushbu to'rtta raqamning kombinatsiyasi bitta TCP/IP ulanishini ifodalaydi. Teri port raqami 16 bit, ya'ni 65536 (2^16) mumkin bo'lgan qiymatlar. Aslida, har xil turdagi vibratorlarning parchalari portlarni uch xil usulda ajratishi mumkin, siz 4000 ga yaqin mavjud portlarni olishingiz mumkin.

    Dinamik NAT va NATni bema'nilik bilan qo'llang

    Quyida dinamik NAT qanday ishlashi ko'rsatilgan.

    Muvaffaqiyatli paketni ichiga yoki ichidan yuborish uchun yashil tugmalardan birini bosing. Router tomonidan noto'g'ri manzil orqali uzatiladigan paketni yuborish uchun qizil tugmalardan birini bosing.

    • Ichki bula IP manzillari bilan o'rnatiladi, chunki ular IP manzillarini tarqatuvchi global byuro IANA (Internet Address Assignment Authority) uchun maxsus berilmagan. Bunday manzillar marshrutsiz deb hisoblanishi kerak, hid parchalari noyob emas. Barcha ichki mahalliy manzillar.
    • kompaniya NAT dan router o'rnatadi. Router kompaniyaga ma'lum bo'lgan bir qator noyob IP manzillarga ega bo'lishi mumkin. Tse - ichki global manzillar.
    • LANdagi kompyuter Web server turiga ko'ra kompyuterga ulanishga majbur bo'ladi.
    • router paketni kompyuterdan LANga oladi.
    • Marshrutlash jadvallarini va tarjima uchun qayta tekshirish jarayonini qayta tekshirgandan so'ng, yo'riqnoma tarjima jadvali manziliga yo'naltirilmagan kompyuterning manzilini oladi. Router asosiy kompyuterning yo'naltirilmagan manzilini noyob manzillar oralig'idagi birinchi mavjud IP manzil bilan almashtiradi. Tarjima jadvali endi yo'naltirilmaydigan kompyuterning IP-manzilini ko'rsatishi mumkin, bu noyob IP-manzillardan biri berilgan.
    • Paket maqsadli kompyuterga yo'naltirilganda, marshrutizator paketning qabul qiluvchi manzilini qayta tekshiradi. Domendagi qaysi kompyuterda ushbu paket bo'lishi kerakligini bilish uchun manzillarni tarjima qilish jadvalini ko'rib chiqamiz. Qabul qiluvchi manzilni avval tarjima jadvalida saqlanganlarga o'zgartiring va paketni yuboring kerakli kompyuter. Router jadvalning identifikatorini bilmasa, paketning xatosi.
    • Kompyuter marshrutizatordan paketni qabul qiladi va butun jarayon kompyuter chiquvchi tizim bilan aloqaga chiqmaguncha takrorlanadi.
    Dali qanday pratsyuê vantazhennia hayratda
    • Ichki tarmoq kompaniya uchun maxsus ishlab chiqilmagan, yo'naltirilmaydigan IP-manzillar bilan o'rnatildi
    • kompaniya NAT dan router o'rnatadi. Router IANA tomonidan ko'rsatilganidek, noyob IP-manzilga ega bo'lishi mumkin
    • Domendagi kompyuter veb-server turiga ko'ra kompyuterga ulanishga harakat qilmoqda.
    • router kompyuterdan domenga paketni qabul qiladi.
    • Tarjimani yakunlash uchun paketni marshrutlash va qayta yozishdan so'ng, marshrutizator kompyuterning yo'naltirilmagan IP manzilini va tarjima jadvalidagi port raqamini oladi. Router boshqaruvchi kompyuterning yo'naltirilmagan IP manzilini routerning IP manzili bilan almashtiradi. Router drayverning kompyuterining chiqish portini to'g'ri port raqami bilan almashtiradi va ushbu drayverning manzilini tarjima jadvalida saqlaydi. Tarjima jadvali yo'naltirilmaydigan kompyuterning IP-manzilini, port raqami va router IP-manzilining tartibini ko'rsatishi mumkin.
    • Paket belgilangan joyga aylantirilganda, marshrutizator paketdagi qabul qiluvchi portni qayta ulaydi. Shundan so‘ng, paket domendagi qaysi kompyuterga tegishli ekanligini bilish uchun tarjima jadvalini ko‘rib chiqamiz. Keyin marshrutizator qabul qiluvchi manzilni va qabul qiluvchi portni ushbu qiymatlarga o'zgartiradi, shunda ular tarjima jadvalida avvalroq saqlanishi va paketni terminal tuguniga yuborishi mumkin.
    • kompyuter routerdan paketni qabul qiladi va jarayon takrorlanadi
    • Eski NAT router endi kompyuterning manzilini va chiqish portini o'zgartirishi, tarjimalar jadvaliga saqlashi, kelajakda ulanishlar uchun bir xil port raqamiga o'tishni davom ettirishi mumkin. Shunday qilib, agar marshrutizator tarjima jadvalida yozuvni kutayotgan bo'lsa, bu yozuv uchun umr taymeri o'chiriladi. Yozishdan oldin ular paydo bo'lmaydi, keyingi safar taymer tugashi bilan siz uni jadvallardan ko'rishingiz mumkin

    Router qo'llab-quvvatlaydigan bir soatlik eshittirishlar soni DRAM (Dynamic Access Memory) miqdoridan muhimroqdir. Tarjima jadvalining odatiy yozuvi taxminan 160 baytni egallaganligi sababli, 4 MB operativ xotiraga ega yo'riqnoma nazariy jihatdan 26214 soatlik qo'ng'iroqni qayta ishlashi mumkin, bu ko'proq qo'shimchalar uchun ko'proq yoki kamroq etarli.

    Xavfsizlik va boshqaruv

    Dinamik NATni amalga oshirish sizning ichki tarmoq va tashqi chegaralar yoki Internet o'rtasida avtomatik ravishda transchegaraviy mudofaani yaratadi. Dinamik NAT faqat mahalliy tarmoqdan kelib chiqadigan ulanishlarga ruxsat beradi. Aslini olganda, bu tashqi chegaradagi kompyuter kompyuter bilan bog'lana olmasligini anglatadi, chunki kompyuter ulanishni tanimaydi. Shunday qilib, siz Internetni ko'rib chiqishingiz va saytga ulanishingiz va faylni ko'rishingiz mumkin. Bundan tashqari, hech kim sizning IP-manzilingizga tajovuz qila olmaydi va uni kompyuteringizdagi portga ulash uchun qo'lga kirita olmaydi.

    Statik NAT, shuningdek, kiruvchi xaritalash sifatida ham tanilgan, ulanish, boshlash imkonini beradi yordamchi binolar qo'shiq jihozlari uchun LANdagi kompyuterlarga. Misol uchun, siz ichki global manzilni veb-serveringizga ko'rsatilgan yagona ichki mahalliy manzil bilan taqqoslashingiz mumkin.

    Statik NAT LANdagi kompyuterga chegaradan o'tgan qurilmalar bilan bog'lanib, boshqa manzilni o'rnatishga imkon beradi:


    Faol NAT marshrutizatorlari ko'plab filtrlash va trafikni qayd etishni ta'minlaydi. Filtrlash sizning kompaniyangizga Merezhdagi saytlar amaliyotchilar tomonidan qanday ko'rib chiqilishini nazorat qilish imkonini beradi, noaniq materiallarni ko'rish uchun pereskodzhayuyushchy y'm tomonidan. Jurnal yaratish uchun trafikni ro'yxatdan o'tkazishda g'alaba qozonishingiz mumkin, chunki saytlar turli xil tovushlarni yaratish asosida ko'rsatilgan.

    Inodi Merezhevu Tarjima manzillari proksi-serverlar tomonidan chalkashib ketgan, de ê pevní vídminností. NAT bu primecha kompyuterlar dzherela uchun vizyoner hisoblanadi. Ularning hech biri uchinchi binoning orqasida nima borligini bilmaydi. Ale proksi-server vizyoner emas. Tashqi kompyuter proksi-serverda nimani o'g'irlashni biladi. Belgilangan kompyuter proksi-server bir xil kompyuter va uning orqasida bo'lishi mumkin deb o'ylaydi. Bundan tashqari, proksi-serverlar 4-darajali (Transport) OSI modelida yoki boshqa NAT-da ishlaydi - bir xil protokol darajasi 3 (Tarmoq). Yuqori proksi-serverlar bilan ishlash uchun yuqori darajalarda ishlang, balandroq joylarda pastroq NAT kengaytmalari.

    NAT nima

    Kompyuteringiz to'g'ridan-to'g'ri Internetga ulanishi mumkin. Keyin yangisiga o'xshaydi bu dunyodan tashqarida IP manzillar.

    Ovoz kompyuterning to'g'ridan-to'g'ri modemga (DSL, kabel yoki analog) ulanganligini bildiradi.

    NAT ortida kompyuteringiz internetga emas, balki mahalliy tarmoqqa ulanganligini bildiradi. Todi yangi ichki IP-manzillar o'z-o'zidan Internetga kirish mumkin emas.

    NAT orqali kompyuteringizga Internetga kirish taqiqlanadi - ichki manzilni tashqi tomondan orqaga o'tkazish jarayoni. NAT-ilova router deb ataladi.

    NAT ishining o'ziga xosligi shundaki, NAT ilovasi orqali Internetga o'tish mumkin, go'yo sizning kompyuteringiz uni ishga tushirayotgandek. Kechirasiz, agar biz siz bilan Internetdan boshqa kompyuterlarni o'rnatmoqchi bo'lsak, siz bilan bog'lana olmaymiz.

    Biz kompyuterning IP manzilini bilamiz

    Ishga tushirish">Dasturni ishga tushirish uchun dialog oynasini oching: Ishga tushirish tugmasini bosing, menyudan Vikonati-ni tanlang..

    Windows 2000/XP uchun cmd /k ipconfig yozing, OK tugmasini bosing va natijaga qarang.

    Windows 2000 IP konfiguratsiyasi chekilgan adapteri Mahalliy tarmoq ulanishi: ulanishga xos DNS qo'shimchasi. : IP manzil. . . . . . . . . . . : 192.168.1.10 Quyi tarmoq niqobi. . . . . . . . . . . : 255.255.255.0 Standart shlyuz. . . . . . . . . : 192.168.1.1

    Birinchi X manzili - kompyuteringizning birinchi IP manzili.

    Chi sizni NAT ortida biladi

    Uchta maxsus IP-manzil diapazoni ajratilgan mahalliy tarmoq va Internetda ular tvit yozmaydilar:

    10. 0. 0. 0 - 10. 255.255.255 172. 16. 0. 0 - 172. 31.255.255 192.168. 0. 0 - 192.168.255.255

    Agar kompyuteringizning IP manzili ushbu diapazonlardan birida bo'lsa, u 10 yoki 192.168.1. yoki 172.nn. (de nn - 16 dan 31 gacha) , butun mahalliy (ichki) manzil va siz NAT uchun aniq o'zgartirasiz.

    Agar yo'q bo'lsa, endi teskari, qaysi IP-manzil ostida siz Internetdagi boshqa kompyuterlarni yuklab olishingiz mumkin. Masalan, whatsmyip.org ("Sizning IP manzilingiz x.x.x.x" boshqa tomonda) yoki myipaddress.com saytida.

    Agar sizning kompyuteringizning IP-manzili ushbu saytlardan biri tomonidan ko'rsatilgan bo'lsa, unda siz Internetga hech qanday muammosiz ulangansiz.

    Boshqa kayfiyatlarda, qo'shiq aytish, aytish mumkin emas. Mumkin variantlar quyidagilardir:

    • Mahalliy tarmog'ingiz uchun nostandart ichki manzillarni tanlash orqali siz NAT yoki tarmoq ma'muringiz orqasida bilasiz. Bu pozykavtesya yoga bilish uchun, u ishlash uchun juda zarur edi.
    • Siz internetga proksi-server orqali kirasiz (masalan, whatsmyip.org proksi-server manzilini ko'rsatadi). Sizning holatingizda, sizning orangizda qaysi Internet proksi-server borligini bilib olishingiz mumkin, vikorist, masalan, lagado.com/proxy-test.

      Proksi-server orqali ulanish hech qanday yordamchida ko'rinmaydi.

    NAT orqali ulanish imkoniyatlari

    Agar siz NAT-dan orqada bo'lsangiz, keyingi qadam NAT qo'shimchalarini bilishingizga ishonch hosil qilishdir.

    Provayder NAT

      Keyin shunday ko'rinadi
    • ISP sizga internet beradi NAT orqali,
    • provayder nima sizga qo'ng'iroq IP manzilini bermayapti,
    • aks holda siz ulangansiz provayderning mahalliy tarmog'i orqali

    Eng oson narsa - provayderga qo'ng'iroq qilish va bilish. Abo potsíkavitsya bilimdon suídív íz shunday juda aloqalar.

    Mahalliy ISP tarmog'i orqali Internetga ulanganda, mavjud portni bloklash mumkin emas. Shubhasiz, ISP siz uchun birinchi portni maxsus yo'naltirmaydi, bu haqiqatga to'g'ri kelmaydi. Aks holda, siz xizmat uchun qo'shimcha pul to'lamaysiz, chunki u "rasmiy" ("bila") IP manzillar deb ataladi.

    NAT ofisda yoki turar-joy binosida

    Aslida, vaziyat bir xil, ammo siz qidirishingiz va mahalliy administratorga borishingiz mumkin. Router sozlamalariga kirishingiz mumkin bo'lgan portning mavjudligini ta'minlash yaxshi fikrdir.

    Bundan tashqari, siz UPnP-ni sinab ko'rishingiz mumkin, marshrutizatordagi raptom unga ruxsat berishni blokladi.

    NAT sizning vakolatingiz

    Sizning holatingizda uni har doim o'zgartirishingiz va mavjud portni tanlashingiz mumkin.

    Ulanishni uy routeringiz orqali qo'ng'iroq qiling yoki boshqa kompyuter orqali ulaning, masalan vicorist ICS (bu erda boshqa variant yo'q).

    Shubhasiz, printsipial jihatdan, NAT sizning uyingizda va provayderda, shuning uchun sizning kompyuteringiz bir vaqtning o'zida ikkita NAT bilan mashhur. Siz uni marshrutizatorga kirib, manzilga qo'ng'iroq qilishdan hayratda qoldirib, tasvirlangan stsenariyga qarab o'zgartirishingiz mumkin. tsey mahalliy tarmoqlar diapazonlariga manzil, chi zbígaêtsya vín z íêyu manzili, píd yak siz Internetda bachat).

    Merezheva Bezpeka

    Siz ham kiyishingiz mumkin