• Ağ Adresi Çevirisi (NAT). Ağ adresi çeviri teknolojisi, PAT ve NAT mekanizmaları

    İnternete girmek isteyen tüm cihazlar için yeterli IP ağ adresinin bulunmaması artık haber değil. Şu anda, adres uzunluğunun 128 bit olduğu, mevcut IPv4'ün ise yalnızca 32 bit olduğu IPv6 protokolünün geliştirilmesiyle bu durumdan bir çıkış yolu bulunmuştur. Ancak 2000'li yılların başında başka bir çözüm buldular - nat olarak kısaltılmış ağ adresi çevirisini kullanmak. Makalenin ilerleyen kısımlarında yönlendiricide nat'i yapılandıracağız.

    Yönlendirici ayarları menüsüne girme

    Örnek olarak ZyWALL USG ve NXC5200 serisinin ZyXEL yönlendiricisini ele alalım.

    Her şeyden önce yönlendirici ayarlarına gidin. Bunu yapmak için herhangi bir web tarayıcısının adres çubuğuna 192.168.1.1 yazın. (standart yönlendirici adresi), kullanıcı adınızı ve şifrenizi girmenizi isteyen bir pencere görünecektir.

    “Kullanıcı adı” alanına admin yazın, “Şifre” alanına 1234 girin. “Tamam”a tıklayın.

    Yönlendiricide nat kurulumu

    Açılan menü penceresinde “Yapılandırma” sekmesine (iki dişli simge), ardından “Ağ”a ve ardından “Yönlendirme”ye gidin. Seçilen pencerede “Politika Yönlendirme” sekmesine gidin.

    ZyXEL yönlendirici ayarları menüsü

    Bu menüde yönlendirme politikası yapılandırılır. “Kriterler” alanında, hangi trafiğin yayınlanması gerektiğini (aslında nat'i yapılandırın) ve hangisinin basitçe yönlendirilmesi gerektiğini belirleyen trafiği seçmek için kriterler belirliyoruz. Trafik çeşitli kriterlere göre seçilebilir:

    1. Kullanıcı (Kullanıcı);
    2. Arayüze göre (Gelen);
    3. Kaynak IP adresine göre;
    4. Alıcının IP adresine (Hedef Adresi) göre;
    5. Hedef bağlantı noktasına göre (Hizmet).

    “Next-Hop” alanında trafiği yeniden yönlendirmek için bir nesne atadık:

    ZyXEL yönlendirici yeniden yönlendirme nesnesini seçme

    Burada “Otomatik” – trafik varsayılan genel arayüze yönlendirilecektir; Ağ Geçidi – ağ geçidi ayarlarında belirtilen adrese; VPN Tüneli – IPSec sanal özel tünel; Ana hat – bir “ana hat”a yönlendirme; burada bir “ana hat”, birlikte veya yedeklilik modunda çalışmak üzere yapılandırılmış çeşitli arayüzlerdir; Arayüz – belirtilen arayüze yönlendir:

    Yönlendirici ayarlarında her değişiklik yaptığınızda, yalnızca web tarayıcısını kapatmakla kalmayıp, ayarları kaydetmek için "Tamam" düğmesini tıklatmanız gerektiğini unutmamak önemlidir.

    Bir bilgisayarda nat kurulumu

    Bildiğiniz gibi kişisel bilgisayarın kendisi yönlendirici görevi görebilir. Çoğu zaman, biri internete erişimi olan birkaç bilgisayardan oluşan bir bilgisayar ağının olduğu bir durum vardır. Bu durumda, hiçbir şekilde yönlendirici satın alamazsınız, ancak İnternet erişimi olan bir bilgisayarı yönlendirici olarak ayarlayabilir ve üzerinde nat'ı yapılandırabilirsiniz. Bu durumu daha ayrıntılı olarak ele alalım.

    İnternete bakan ana bilgisayara 2 ağ kartı taktığınızdan emin olun (buna SUNUCU diyelim) - ilki yerel ağa, ikincisi sağlayıcıya bağlanmak için. Örnekte Windows Server 2012 işletim sistemi kullanılacaktır.

    Yapılandırmak için öncelikle “Sunucu Yöneticisi”ni başlatın (Başlat -> Yönetimsel Araçlar -> Sunucu Yöneticisi). Ayarlar penceresi görünecektir:

    Buradan sunucumuzu yöneteceğiz. Yapılandırmaya devam etmek için, Rol Ekleme Sihirbazı penceresini açacak olan “Rol ve Özellik Ekle”ye tıklayın. İlk Adım - Kurulum Türü:

    Bir sonraki pencerede sunucuya yüklediğimiz rolü seçmemiz gerekiyor. “Uzaktan erişim”in yanındaki kutuyu işaretleyin.

    İşlem için gerekli bileşenlerin listesini görüntüleyen aşağıdaki pencere görünecektir. “Bileşen ekle”ye tıklayın, bu pencere kaybolacaktır. Sonrakine tıkla".

    Bir sonraki pencerede sihirbaz sizden sunucu bileşenlerini eklemenizi ister. Hiçbir şeyi değiştirmenize gerek yok, “İleri”ye tıklayın.

    Bir sonraki sayfada sihirbaz bize Uzaktan Erişim rolünün çalışması hakkında bilgi verir. Sonrakine tıkla".

    Bir sonraki adımda “Rol Hizmetleri” seçeneğini seçmeniz gerekiyor. “Yönlendirme”nin yanındaki kutuyu işaretleyin ve “İleri”ye tıklayın.

    Bir sonraki pencere yine bilgilendirme amaçlıdır, hiçbir şey seçmenize gerek yoktur, ancak "Seçili sunucuda otomatik yeniden başlat..." seçeneğinin yanındaki kutuyu işaretleyebilirsiniz, bunun sonucunda sunucu kurulumdan sonra otomatik olarak yeniden başlatılacaktır. Ancak bunu manuel olarak da yapabilirsiniz. Sonrakine tıkla".

    Ve son adım sunucunun fiili kurulumudur. Bitirdiğinizde “Kapat” butonuna tıklayın.

    Sunucu kurulumu

    Böylece internete sunucu modunda bağlanan bir bilgisayarı yapılandırdık. Şimdi üzerinde nat'ı yapılandırmanız gerekiyor.

    Başlat / Yönetim / Yönlendirme ve uzaktan erişime gidin. Görünen pencerede, sol tarafta "SUNUCU (yerel)" öğesini buluyoruz, üzerine sağ tıklayın ve açılır menüde "Yönlendirmeyi ve uzaktan erişimi yapılandırın ve etkinleştirin" seçeneğini tıklayın.

    Nat'i yapılandıracağımız bir yönlendirme ve uzaktan erişim sunucusu kurma sihirbazı görünecektir.

    İlk sayfada sihirbazı kısaca tanıtıyoruz - “İleri” ye tıklayın. Bir sonraki adım bu sunucuda çalışacak hizmetlerden birini seçmektir. “Ağ Adresi Çevirisi (NAT)” seçeneğini seçin ve “İleri”ye tıklayın.

    Daha sonra sihirbaz sizden İnternet'e bakan bir ağ bağlantısı seçmenizi isteyecektir. Listede her iki ağ kartı da mevcut olacaktır (en azından sunucuda kaç tanesinin yüklü olduğuna bağlı olarak). Sağlayıcının ağ kablosunun bağlı olduğunu seçiyoruz. Sonrakine tıkla".

    Bir sonraki pencerede sihirbaz, yerel ağdaki DHCP veya DNS hizmetlerini algılayamadığından şikayet etmeye başlayacaktır. Devam etmek için iki seçenek vardır: temel hizmetleri etkinleştirmek veya hizmetleri daha sonra yüklemek.

    İlk öğeyi seçin ve "İleri"ye tıklayın. Bir sonraki sayfada nat'ın hangi aralıkta çalışacağını size bildireceğim. Kurulum sihirbazı, yerel ağa bağlı ağ bağlantısının yapılandırmasına bağlı olarak bu aralığı otomatik olarak seçer. Sonrakine tıkla".

    doğal aralık

    İşte bu kadar, kurulum sihirbazı nat kurulumunu tamamlıyor. “İleri” ye ve bir sonraki pencerede “Bitti” ye tıklayın.

    Geriye kalan son şey istemci bilgisayarları yani yerel ağdaki diğer tüm bilgisayarları yapılandırmak. Bunu yapmak için, istemci bilgisayarda (bunun ağdaki her bilgisayarda yapılması gerekecektir), Başlat / Denetim Masası / Ağ ve Paylaşım Merkezi / bağdaştırıcı ayarlarını değiştir seçeneğine gidin. “Ağ Bağlantıları”na gidin. Simgeye sağ tıklayın ve açılır menüden "Özellikler" seçeneğini seçin. Açılan pencerede “İnternet Protokolü Sürüm 4 (TCP/IPv4)” seçeneğini seçin ve “Özellikler”e tıklayın.

    “Varsayılan ağ geçidi” alanına sunucu bilgisayarın (önceki adımda yapılandırılmış olan) IP adresini yazıyoruz, “Tercih edilen DNS sunucusu” alanına ise İnternet bağlantı bilgilerinde belirtilen sağlayıcının DNS sunucusunun IP adresini yazıyoruz. sunucuda. “Tamam”a ve tekrar “Tamam”a tıklayın. İşte bu, istemci bilgisayar internete bağlı.

    İnternet yönlendiricisi, erişim sunucusu, güvenlik duvarı. En popüler olanı Kaynak NAT(SNAT), mekanizmanın özü, bir paket bir yönde geçtiğinde kaynak adresini değiştirmek ve yanıt paketindeki hedef adresini tersine değiştirmektir. Kaynak/hedef adreslerinin yanı sıra kaynak ve hedef port numaraları da değiştirilebilir.

    SNAT'ın yanı sıra, yani. Yerel ağ kullanıcılarına İnternet erişimi olan dahili adresler sağlamak da sıklıkla kullanılır Hedef NAT, dışarıdan gelen istekler güvenlik duvarı tarafından yerel ağdaki dahili adresi olan ve bu nedenle harici ağdan (NAT olmadan) doğrudan erişilemeyen bir sunucuya çevrildiğinde.

    Aşağıdaki şekiller NAT mekanizmasının çalışmasına bir örnek göstermektedir.


    Pirinç. 7.1.

    Kurumsal ağdaki bir kullanıcı İnternet'e, yönlendiricinin, erişim sunucusunun veya güvenlik duvarının (NAT cihazı) dahili arayüzüne ulaşan bir istek gönderir.

    NAT cihazı paketi alır ve adres çevirisini kontrol eden bağlantı izleme tablosuna bir giriş yapar.

    Daha sonra paketin kaynak adresini kendi harici genel IP adresiyle değiştirir ve paketi İnternet üzerindeki hedefine gönderir.

    Hedef ana bilgisayar paketi alır ve NAT cihazına bir yanıt gönderir.

    NAT cihazı da bu paketi aldıktan sonra bağlantı izleme tablosunda orijinal paketin kaynağını arar, hedef IP adresini karşılık gelen özel IP adresiyle değiştirir ve paketi kaynak bilgisayara iletir. NAT cihazı tüm dahili bilgisayarlar adına paket gönderdiği için kaynak ağ portunu değiştirir ve bu bilgiler bağlantı izleme tablosunda saklanır.

    Adres çevirisi için 3 temel kavram vardır:

    • statik (SAT, Statik Ağ Adresi Çevirisi),
    • dinamik (DAT, Dinamik Adres Çevirisi),
    • maskeli balo (NAPT, NAT Aşırı Yükü, PAT).

    Statik NAT yerel IP adreslerini belirli genel adreslerle bire bir eşler. Yerel ana bilgisayara sabit adresler kullanılarak dışarıdan erişilmesi gerektiğinde kullanılır.

    Dinamik NAT bir dizi özel adresi bir dizi genel IP adresiyle eşler. Yerel ana bilgisayarların sayısı mevcut genel adreslerin sayısını aşmazsa, her yerel adresin bir genel adrese karşılık geleceği garanti edilecektir. Aksi takdirde, harici ağlara aynı anda erişebilecek ana bilgisayarların sayısı, genel adreslerin sayısıyla sınırlı olacaktır.

    Maskeli Balo NAT(NAPT, NAT Aşırı Yükü, PAT, maskeleme), birden fazla özel adresi farklı bağlantı noktalarını kullanarak tek bir genel IP adresine eşleyen bir dinamik NAT biçimidir. PAT (Port Adres Çevirisi) olarak da bilinir.

    Dahili bir yerel ağ ile harici bir genel ağ arasındaki etkileşim için çeşitli mekanizmalar olabilir - bu, harici ağa ve arkaya erişim sağlamanın özel görevine bağlıdır ve belirli kurallarla belirlenir. 4 tür ağ adresi çevirisi tanımlanmıştır:

    • Tam Koni
    • Kısıtlı Koni
    • Bağlantı Noktası Kısıtlı Koni
    • Simetrik

    İlk üç NAT türünde, harici ağdaki farklı IP adresleri ile yerel ağdaki adresler arasında iletişim kurmak için aynı harici bağlantı noktası kullanılır. Dördüncü tip - simetrik - her adres ve bağlantı noktası için ayrı bir harici bağlantı noktası kullanır.

    Tam Koni, cihazın harici portu (yönlendirici, erişim sunucusu, güvenlik duvarı) her türlü adresten gelen isteklere açıktır. İnternetten bir kullanıcının NAT'ın arkasında bulunan bir istemciye paket göndermesi gerekiyorsa, yalnızca bağlantının kurulduğu cihazın harici bağlantı noktasını bilmesi gerekir. Örneğin, NAT arkasında IP adresi 192.168.0.4 olan bir bilgisayar, harici IP adresi ve bağlantı noktasıyla 10.1.1.1:12345 olarak eşlenen 8000 numaralı bağlantı noktasında paketler gönderip alır. Harici ağdan gelen paketler, IP adresi: port 10.1.1.1:12345 ile cihaza gelir ve daha sonra 192.168.0.4:8000 istemci bilgisayarına gönderilir.

    Gelen paketlerde yalnızca aktarım protokolü kontrol edilir; Hedef adres ve port, kaynak adres ve port önemli değildir.

    NAT kullanırken türe göre çalışma Kısıtlı Koni, cihazın harici bağlantı noktası (yönlendirici, erişim sunucusu, güvenlik duvarı) istemci bilgisayardan gönderilen herhangi bir pakete açıktır, örneğimizde: 192.168.0.4:8000. Ve harici bir ağdan (örneğin, 172.16.0.5:4000 numaralı bilgisayardan) adresi 10.1.1.1:12345 olan bir cihaza gelen bir paket, yalnızca daha önce 192.168.0.4:8000 olması durumunda 192.168.0.4:8000 bilgisayarına gönderilecektir. harici ana bilgisayarın IP adresine (bizim durumumuzda 172.16.0.5:4000 bilgisayarına) bir istek gönderdi. Yani, yönlendirici yalnızca belirli bir kaynak adresinden (bizim durumumuzda bilgisayar 172.16.0.5:4000) gelen paketleri yayınlayacaktır, ancak kaynak bağlantı noktası numarası herhangi bir şey olabilir. Aksi takdirde NAT, 192.168.0.4:8000'in istek göndermediği ana bilgisayarlardan gelen paketleri engeller.

    NAT mekanizması Bağlantı Noktası Kısıtlı Koni NAT Kısıtlı Koni mekanizmasına neredeyse benzer. Ancak bu durumda NAT, 192.168.0.4:8000 istemci bilgisayarının herhangi bir IP adresine ve bağlantı noktasına istek göndermediği ana bilgisayarlardan gelen tüm paketleri engeller. Yönlendirici, eşleşen kaynak port numarasına dikkat eder ve kaynak adresine dikkat etmez. Örneğimizde, yönlendirici herhangi bir kaynak adresiyle gelen paketleri yayınlayacaktır, ancak kaynak bağlantı noktası 4000 olmalıdır. İstemci harici ağa birden fazla IP adresine ve bağlantı noktasına istek göndermişse, istemciye paket gönderebilecektir. IP adresinde: bağlantı noktası 10.1 .1.1:12345.

    Simetrik NAT Dahili IP adresi:bağlantı noktasını harici adres:bağlantı noktasıyla eşleme biçimi açısından ilk üç mekanizmadan önemli ölçüde farklıdır. Bu ekran, gönderilen isteğin gönderildiği bilgisayarın IP adresi:bağlantı noktasına bağlıdır. Örneğin, istemci bilgisayar 192.168.0.4:8000, #1 bilgisayarına (172.16.0.5:4000) bir istek gönderirse, bu durumda 10.1.1.1:12345 olarak görünebilir, aynı zamanda aynı bağlantı noktasından gönderirse ( 192.168.0.4:8000) farklı bir IP adresine bağlanırsa, farklı şekilde görüntülenir (10.1.1.1:12346).

  • Dahili ağdan harici ağa erişim olasılığını bırakarak, dışarıdan dahili ana bilgisayarlara erişimi engellemenize veya sınırlamanıza olanak tanır. Ağ içinden bir bağlantı başlatıldığında bir yayın oluşturulur. Dışarıdan gelen yanıt paketleri, oluşturulan yayınla eşleşir ve bu nedenle içinden geçirilir. Harici ağdan gelen paketler için karşılık gelen bir çeviri yoksa (ve bağlantı başlatıldığında veya statik olarak oluşturulabiliyorsa), bunların geçişine izin verilmez.
  • Dahili ana bilgisayarların/sunucuların belirli dahili hizmetlerini gizlemenize olanak tanır. Temel olarak, yukarıdaki çevirinin aynısı belirli bir bağlantı noktasına gerçekleştirilir, ancak resmi olarak kayıtlı bir hizmetin dahili bağlantı noktasını (örneğin, TCP bağlantı noktası 80 (HTTP sunucusu) harici bağlantı noktası 54055 ile değiştirmek mümkündür). Böylece dışarıdan, adresler çevrildikten sonra harici IP adresinden bilgili ziyaretçiler için site (veya forum) http://dlink.ru:54055 adresine ulaşabilecek, ancak dahili sunucuda bulunacaktır. NAT'ın arkasında olağan 80. bağlantı noktasında çalışacak.

    • Ancak bu teknolojinin dezavantajlarından bahsetmeye değer:

    1. Tüm protokoller NAT'ı "geçemez". İletişim kuran ana bilgisayarlar arasındaki yolda adres çevirisi varsa bazıları başarısız olur. Belirli IP adresi çevirisi güvenlik duvarları, IP adreslerini yalnızca IP başlıklarında değil aynı zamanda daha yüksek düzeylerde de (örneğin, FTP protokolü komutlarında) uygun şekilde değiştirerek bu eksikliği düzeltebilir.
    2. Çoklu adres çevirisi nedeniyle, kullanıcıların tanımlanmasında ve çeviri günlüklerinin tamamının saklanması ihtiyacında ek zorluklar ortaya çıkar.
    3. NAT gerçekleştiren bir ana bilgisayar tarafından yapılan DoS saldırısı - NAT, birçok kullanıcıyı aynı hizmete bağlamak için kullanılırsa, hizmete yönelik bir DoS saldırısı yanılsaması yaratabilir (birden fazla başarı ve başarısızlık). Örneğin, NAT arkasında ICQ kullanıcısı sayısının fazla olması, izin verilen bağlantı hızının aşılması nedeniyle bazı kullanıcılar için sunucuya bağlanma sorunlarına yol açmaktadır.

    Bunlar tamamen farklı teknolojilerdir. Onları karıştırmayın.

    NAT nedir

    NAT, ağ adreslerini ve/veya protokollerini çevirme teknolojisini ifade eden kolektif bir terimdir. NAT cihazları, paketlerin iletilmesi, adreslerin, bağlantı noktalarının, protokollerin vb. değiştirilmesinde dönüşümler gerçekleştirir.

    SNAT, DNAT, maskeleme, PAT, NAT-PT vb.'nin daha dar kavramları vardır.

    NAT'a neden ihtiyaç duyulur, nasıl kullanılır?

    Dahili ağı İnternet'e bağlamak için

    • harici adres havuzu aracılığıyla
    • tek bir harici adres aracılığıyla

    Harici bir IP adresini başka bir IP adresiyle değiştirmek için (trafik yönlendirme)

    Farklı IP adreslerine sahip aynı sunucular arasındaki yükü dengelemek için.

    İki yerel ağı kesişen dahili adreslemeyle birleştirmek.

    NAT'ın nasıl çalıştığı

    s+d NAT (dal birleşmesi - kötülük!)

    bağlantı noktası eşleme, bağlantı noktalarını iletme

    Avantajlar ve dezavantajlar

    Bazı protokollerle uyumsuz. Belirli bir NAT uygulamasının gerekli protokolün denetimini desteklemesi gerekir.

    NAT, iç ağı dış dünyadan "tarama" özelliğine sahiptir, ancak güvenlik duvarı yerine kullanılamaz.

    Cisco IOS'ta kurulum

    Cisco yönlendiricileri ve güvenlik duvarları, yazılım seçenekleri kümesine bağlı olarak farklı NAT türlerini destekler. En çok kullanılan, dahili yerel adresleri aynı harici adresin farklı bağlantı noktalarına bağlayan NAT yöntemidir (Cisco terminolojisinde PAT).

    Bir yönlendiricide NAT'ı yapılandırmak için şunları yapmanız gerekir: o Çevrilmesi gereken trafiği belirleyin (erişim listelerini veya yol haritalarını kullanarak);

    IP erişim listesi genişletilmiş YEREL izin ip 10.0.0.0 0.255.255.255 herhangi

    Rota haritası INT1 eşleşme ip adresi LOKAL eşleşme arayüzü FastEthernet0/1.1

    YEREL erişim listesi ağ 10'dan gelen tüm trafiği seçer.

    Rota haritası INT1, Fa 0/1.1 alt arayüzünden çıkan YEREL erişim listesi trafiğini seçer

    o Hangi harici adreslere yayın yapılacağını belirleyin. Harici adreslerden oluşan bir havuz seçin. PAT için tek adres yeterlidir.

    IP nat havuzu GLOBAL 212.192.64.74 212.192.64.74 ağ maskesi 255.255.255.0

    GLOBAL adlı harici adres havuzunu belirtme. Havuzda tek bir adres var.

    o Seçilen dahili ve harici adresler için NAT'ı etkinleştirin.

    Kaynak yol haritası INT1 havuzunun içindeki IP nat GLOBAL aşırı yük

    Dahili arayüzde kaynak adresi çevirisi için NAT'ı etkinleştirin. Yalnızca INT1 rota haritasının koşullarına uygun trafik yayınlanacaktır. Harici adres GLOBAL havuzdan alınacaktır.

    Kaynak statik tcp 10.0.0.1 23 212.192.64.74 23 genişletme içindeki IP nat

    Statik "port yönlendirme" veya "hizmet yayınlama". TCP port 23'te 212.192.64.74 adresine giden trafikte, hedefin yerini 10.0.0.1 adresi ve port 23 alacaktır.

    o Dahili ve harici arayüzleri atayın.

    Arayüz FastEthernet0/0 ip nat iç arayüz FastEthernet0/1.1 ip nat dış

    Fa 0/0 arayüzü NAT için dahili olarak atanmıştır.

    Fa 0/1.1 alt arayüzü NAT için harici olarak atanmıştır.

    O Hata ayıklama ve teşhis:

    Nat çevirilerini gönder - mevcut yayınların tablosunu görüntüleyin; ip nat çevirilerini temizle - mevcut tüm çevirileri sil; ip nat hata ayıklama – hata ayıklama mesajlarını etkinleştirin (tüm hata ayıklamayı kaldır – hata ayıklamayı devre dışı bırakın).

    Örnekler

    Cisco Packet Tracer öykünücüsü için bazı demo örnekleri burada verilmiştir.

    Küçük bir ağı harici adres havuzu aracılığıyla İnternet'e bağlamak için basit bir şema

    Bir ağı tek bir harici adres aracılığıyla İnternet'e bağlamak için basit bir şema

    Ağları kesişen adreslemeyle birleştirme şeması

    NAT nasıl çalışır?

    NAT kurallarının uygulanma şekli farklı üreticilere ve farklı ekipmanlara göre değişir. Cisco IOS'taki yönlendiriciler için NAT politikalarını uygulama prosedürü:

    İçeriden Dışarıya

    IPSec ise giriş erişim listesi şifre çözmeyi kontrol edin - CET (Cisco Şifreleme Teknolojisi) veya IPSec için giriş erişim listesini kontrol edin giriş hızı sınırlarını kontrol edin giriş muhasebesi web önbelleğine yönlendirme politikası yönlendirme NAT'ı içeriden dışarıya (yerelden globale çeviriye) yönlendirin kripto (haritayı kontrol edin ve şifreleme için işaretle) çıktıyı kontrol et erişim listesi incele (Bağlam Tabanlı Erişim Kontrolü (CBAC)) TCP müdahale şifrelemesi Kuyruklama

    Dışarıdan İçeriye

    IPSec ise giriş erişim listesi şifre çözmeyi kontrol edin - CET veya IPSec için giriş erişim listesini kontrol edin giriş hızı sınırlarını kontrol edin giriş muhasebesi web önbelleğine yönlendirin NAT dışarıdan içeriye (küreselden yerele çeviri) politika yönlendirme yönlendirme kripto (haritayı kontrol edin ve şifreleme için işaretleyin) kontrol edin çıkış erişim listesi CBAC TCP müdahale şifrelemesini denetleyin

    NAT aracılığıyla tek sağlayıcıdan internet kanalı

    NAT'ı tek sağlayıcıyla uygulamaya yönelik basit bir plan

    NAT, ip sla kullanarak iki sağlayıcıdan bir İnternet kanalı ayırma

    Verilen: ISP1'den birkaç bilgisayar için İnternet alıyoruz. Bize 212.192.88.150 adresini verdi. İnternet erişimi bu IP adresinden NAT aracılığıyla düzenlenir.

    Görev: bir yedekleme sağlayıcısına bağlanın - ISP2. Bize 212.192.90.150 adresini verecek. Trafik dengelemeyi düzenleyin: web trafiğini ISP1 üzerinden, diğer trafiği ISP2 üzerinden gönderin. Sağlayıcılardan biri arızalanırsa tüm trafiğin canlı kanaldan geçmesine izin verin.

    Görevin zorluğu nedir? ip nat çevirileri temizlensin mi?

    Şema

    Yapılandırma

    1 net ip nat çevirisi *

    Böyle bir EEM parçası bulundu ve test edildi. Olay IOS'un tüm sürümlerinde oluşturulmuyor. Açıklığa kavuşturmamız gerekiyor.

    ! olay yöneticisi uygulaması NAT-TRACK olayı sistem günlüğü modeli "TRACKING-5-STATE" eylemi 0.1 cli komutu "etkinleştir" eylemi 0.2 bekle 3 eylemi 0.3 cli komutu "ip nat çevirisini temizle *" eylemi 0.4 syslog msg "İzleme durumu değişikliğinden sonra NAT çevirisi temizlendi "!

    2 Arayüz sağlayıcıda arızalanırsa, ağ geçidinin ikinciye ping atması ihtimali yüksektir.

    ! kullanıcı adı İSİM şifre 0 ŞİFRE etkinleştir gizli 0 YAPILANDIRMA ŞİFRE! ! yönlendirici hattında oturum açma kontrolü vty 0 4 yerel oturum açma ! ! DHCP ip dhcp havuzu LAN ağı Dahili Ağ Maskesi varsayılan yönlendirici Ağ geçidi dns-sunucusu 10.11.12.13 ! DNS - onların uydurduğu bir şey - bizim yerel ağımızdan DEĞİL! ! ! Monitörü sağlayıcı ağ geçidi adresi-1'e pingleyin! Yanıt için 100 ms bekleyin! 1 saniyelik bir frekansla ping ip sla monitörü 1 tipi yankı protokolü ipIcmpEcho GatewayProv1 kaynak arayüzü InterfaceOnProv1 zaman aşımı 100 frekans 1 ! ! Sağlayıcı-2 için ping monitörü ip sla monitörü 2 tipi yankı protokolü ipIcmpEcho GatewayProv2 kaynak arayüzü ArayüzNaProv2 zaman aşımı 50 frekans 1 ! ! Ping 1 ve 2 başlatılıyor, şimdi ve sonsuza kadar ip sla izleme programı 1 ömür sonsuza kadar başlangıç ​​zamanı şimdi ip sla izleme programı 2 sonsuza kadar başlama zamanı şimdi! ! Parça 10 ve 20 - ping durumunu takip etme! Aşağı veya Yukarı durumuna 1 saniye gecikmeyle tepki verir. parça 10 rtr 1 ulaşılabilirlik gecikmesi aşağı 1 yukarı 1 ! parça 20 rtr 2 ulaşılabilirlik gecikmesi aşağı 1 yukarı 1 ! ! ! Her iki sağlayıcıdaki tüm harici ağlara rotalar! Rotalar pistlere bağlı! ve yalnızca parça Yukarı durumdaysa etkinleştirilecektir! onlar. ilgili sağlayıcıya ağ geçidi mevcutsa ip rotası 0.0.0.0 0.0.0.0 GatewayProv1 parça 10 ip rotası 0.0.0.0 0.0.0.0 GatewayProv2 parça 20 ! ! ! int fa 0/0 kapanma yok! ! Harici sağlayıcılara yönelik alt arayüzler! NAT arayüzü için dış olarak işaretlenmiştir FastEthernet0/0.1 açıklama ISP1 dot1q'yi kapsar NumberVlanProv1 ip adresi ipOnProv1 IP nat'ı dışarıda maskele ! arayüz FastEthernet0/0.2 açıklama ISP2 kapsülleme dot1Q NumberVlanProv2 ip adresi ipNaProv2 IP nat dışında maske ! ! Dahili ağa arayüz! NAT için içeride olarak işaretlendi! Yönlendirme politikası bağlıdır PBR arayüzü FastEthernet0/1 ip adresi ipOnInternalNet maskesi ip nat ip politikasının içinde rota haritası PBR kapanma yok ! ! Listelere dahili ağdan dışarıya erişin! Web trafiği ve diğer her şey için ip erişim listesi genişletilmiş YEREL izin ip intranet herhangi biri! ip erişim listesi genişletilmiş WEB tcp dahili ağına izin verir herhangi bir eq www tcp dahili ağa izin verir herhangi bir eq 443 ! ip erişim listesi genişletilmiş TÜM izinler ip herhangi biri ! ! ! zor PBR kök haritası! Trafik LAN'dan Web'e ise! daha sonra ilk sağlayıcıyı ağ geçidi olarak atayın! Aksi takdirde yerel bölgeden başka trafik gelebilir! Ağ geçidi olarak ikinci bir sağlayıcı atayın. ! Bir ağ geçidi atarken, Tracks rota haritası PBR, 10 eşleşme ip adresine izin verir WEB seti ip sonraki atlama kullanılabilirliğini doğrulama GatewayProv1 1 parça 10 ! rota haritası PBR izin 20 ip adresini eşleştir TÜM ipi ayarla sonraki atlama kullanılabilirliğini doğrula GatewayProv2 1 parça 20 ! ! ! zor ISP1 kök haritası! trafik LAN'dan geliyorsa çalışır! Fa0/0.1 arayüzü üzerinden çıkmaya çalışıyorum rota haritası ISP1 10 eşleşme ip adresine izin veriyor YEREL eşleştirme arayüzü FastEthernet0/0.1 ! ! zor ISP2 kök haritası! trafik LAN'dan geliyorsa çalışır! Fa0/0.2 yol haritası ISP2 arayüzü üzerinden çıkmaya çalışıyorum 10 eşleşme ip adresine izin veriyor YEREL eşleşme arayüzü FastEthernet0/0.2 ! ! ! Son olarak NAT ;-) ! ! LAN'dan ilk sağlayıcıya giden trafik Kaynak rota haritası içindeki ilk arayüz ip nat'ında gezinin ISP1 arayüzü FastEthernet0/0.1 aşırı yükü ! ! LAN'dan ikinci sağlayıcıya giden trafik Kaynak rota haritası ISP2 arayüzü içindeki ikinci arayüz ip nat üzerinden gezinin FastEthernet0/0.2 aşırı yükü ! ! Trafiği hayali DNS'ye, kaynak statik 8.8.8.8 10.11.12.13 takma ad dışında Google DNS ip nat'a yönlendirin! ! dahili bağlantı noktası 3389'u harici bağlantı noktası 1111'e iletme ip nat kaynak içinde statik tcp internalHost 3389 harici 1111 genişletilebilir ip nat kaynak içinde statik tcp internalHost 3389 harici 1111 genişletilebilir ! !

    Çeşitli

    Özel adres havuzuna sahip CGN (taşıyıcı sınıfı nat)

    ALG olarak NAT (uygulama katmanı ağ geçidi), (düz metin protokolleri, örneğin SIP)

    NAT Ağ Adresi Çevirisi, özel bir ağdaki (10.0.x.x, 192.168.x.x, 172.x.x.x'teki özel adreslere sahip) birden fazla bilgisayarın küresel ağa erişim sağlayan bir IPv4 adresini paylaşmasına olanak tanıyan bir IETF (İnternet Mühendisliği Görev Gücü) standardıdır. . NAT'ın artan popülaritesinin ana nedeni, IPv4 adreslerinin giderek artan akut sıkıntısıdır. Ayrıca birçok İnternet ağ geçidi, özellikle DSL veya kablolu modemler gibi geniş bant ağlara bağlanmak için NAT'ı yoğun şekilde kullanır.

    NAT'ı kurma

    Yönlendirici görevi görmesi için sunucunun 2 ağ arayüzüne sahip olması gerekir. İnternete bağlı olması gereken İnternet ve ağın kendisi. Ağ bağlantılarıma LAN_1 (İnternet) ve LAN_2 (yerel alan ağı) adı veriliyor.

    Hemen şunu söyleyeceğim: hizmet Windows Güvenlik Duvarı/İnternet Paylaşımı (ICS) devre dışı bırakılmalıdır.

    O halde kuruluma başlayalım:





    NAT kurulumu

    Ağ arayüzlerini kurduk, şimdi yapılandıralım.

    Öncelikle yapılandıralım Harici arayüz (LAN_1):

    192.168.0.2 - Sunucumuz üzerinden ağa erişecek kullanıcının IP adresi

    10.7.40.154 - sunucunun harici IP adresi

    Bu teknolojiyi kullanarak internete eriştiğinizde 10.7.40.154 IP adresine sahip olacaksınız. Farklı yapılandırma yöntemleri vardır; her makine için ayrı ayrı adres ayırabilirsiniz. Rezervasyonda birden fazla adres aralığı belirtebilir veya hiç belirtmeyebilirsiniz, bu durumda yerel ağdaki herhangi bir IP, sunucu aracılığıyla internette gezinebilecektir.

    İstemci makinesini ayarlama

    Hadi gidelim Özellikler yerel ağ kartı, ardından TCP/IP Özellikleri. İstemcinin IP'sini, maskesini kaydediyoruz Varsayılan giriş sunucunun IP adresini girin. DNS alanlarına, DNS sağlayıcısının IP adreslerini veya kurulu yerel DNS sunucusunun IP adreslerini girmelisiniz.

    Tüm! Bu, kurulumu ve yapılandırmayı tamamlar.

    Ve WEB sitesinin sayfalarına bakıyorsunuz. Şu anda Ağ Adresi Çevirisi'ni (NAT) kullanıyor olma ihtimaliniz yüksektir.

    İnternetin bugün gördüğümüz büyümesini hiç kimse öngöremezdi. Kesin boyutu bilinmemekle birlikte, tahminler internette yaklaşık 100 milyon aktif düğüm ve 350 milyondan fazla kullanıcının bulunduğunu gösteriyor. İnternetin büyüme hızı o kadar fazladır ki, boyutu her yıl iki katına çıkmaktadır.

    Peki ağ adresi çevirisinin İnternet'in boyutuyla ne ilgisi var? En doğrudan! Bu bilgisayarın internet üzerinden diğer bilgisayarlar ve WEB sunucuları ile iletişim kurabilmesi için kendine ait bir IP adresine sahip olması gerekmektedir. IP adresi (IP, İnternet Protokolü anlamına gelir), belirli bir bilgisayarın ağdaki konumunu tanımlayan benzersiz 32 bitlik bir sayıdır. Temel olarak ev adresiniz gibi çalışır; bilgisayarınızın tam yerini bulmanın ve size bilgi iletmenin bir yoludur.

    IP adresleme

    IP adresleme ilk ortaya çıktığında herkes her türlü ihtiyacı karşılayacak yeterli adresin olduğuna inanıyordu. Teorik olarak toplam 4.294.967.296 benzersiz adres (232) olabilir. Adreslerin sınıflara göre sınıflandırılma şekli ve belirli adreslerin çok noktaya yayın, test etme ve diğer özel ihtiyaçlar için ayrılmış olması nedeniyle, kullanıma hazır adreslerin gerçek sayısı biraz daha düşüktür (yaklaşık 3,2 ile 3,3 milyar arasında).

    İnternetin hızlı büyümesi, ev ve kurumsal ağların büyümesi bağlamında, yeterli sayıda kullanılabilir IP adresi bulunmuyor. Açık çözüm, adres biçimini değiştirerek daha fazla adresin kullanılabilir olmasını sağlamaktır. Böyle bir sistem kullanıma sunuluyor (IPv6 olarak adlandırılıyor), ancak İnternet'in tüm yapısının yükseltilmesini gerektirdiğinden uygulanması birkaç yıl alacak.

    NAT sistemi (RFC 1631) kurtarmaya geliyor. Ağ adresi çevirisi, yönlendirici gibi tek bir cihazın İnternet (veya "genel ağ") ile yerel (veya "özel") ağ arasında aracı görevi görmesine olanak tanır. Bu, tüm bilgisayar grubunu temsil etmek için yalnızca tek bir benzersiz IP adresinin gerekli olduğu anlamına gelir.

    Ancak IP adreslerinin eksikliği NAT'ın kullanılmasının nedenlerinden yalnızca biridir. Makalemiz bu sistemin avantajlarına ve özelliklerine ayrılmıştır. Öncelikle NAT'ın ne olduğuna ve bu sistemin nasıl çalıştığına daha yakından bakalım...

    NAT sistemi nasıl çalışır?

    NAT sistemi büyük bir ofisteki sekreter gibidir. Diyelim ki, bu tür eylemlere izin verene kadar sizi telefonla arayan hiç kimseyle bağlantı kurmaması yönünde talimat verdiniz. Daha sonra potansiyel müşterinizi ararsınız ve sizi geri aramaları için bir mesaj bırakırsınız. Sekretere bir müşteriden arama beklediğinizi söylersiniz ve aradığında bağlantıyı sağlamasını emredersiniz.

    Müşteri ofisin ana telefon numarasını çevirir çünkü bildiği tek numara budur. Müşteri sekretere sizinle iletişime geçmek istediğini söyler, sekreter adınızı ve telefon numaranızı gösteren arama tablosunu kontrol eder. Resepsiyonist, müşteriye aranması için yetki verdiğinizi biliyor ve arayan kişiyi dahili numaranıza yönlendiriyor.

    Ağ Adresi Çeviri Sistemi

    Cisco tarafından geliştirilen Ağ Adresi Çeviri sistemi, iç ağı dünyanın geri kalanına bağlayan cihaz (yönlendirici veya bilgisayar) tarafından kullanılır. Ağ adresi çevirisi birçok biçimde olabilir ve farklı şekillerde çalışabilir:

    • Statik ağ adresi çevirisi, kayıtlı olmayan bir IP adresinin birebir olarak kayıtlı bir IP adresine dönüştürülmesidir. Özellikle cihaza yerel ağ dışından erişmeniz gerektiğinde kullanışlıdır.
    • Dinamik Ağ Adresi Çevirisi - kayıtlı olmayan bir IP adresini, kayıtlı bir IP adresi grubundan kayıtlı bir IP adresine dönüştürür.
    • Aşırı yükleme, birçok kayıtlı olmayan IP adresini farklı bağlantı noktalarını kullanarak tek bir kayıtlı adrese dönüştüren bir dinamik çeviri biçimidir. Bu prosedür aynı zamanda bağlantı noktası seviyesinde PAT (Port Adres Çevirisi), tek noktaya yayın NAT veya çoğullanmış NAT olarak da adlandırılır.
    • Eşleştirme - Ağınızda kullanılan adresler, başka bir ağda kullanılan kayıtlı IP adresleri olduğunda, yönlendiricinin bu adreslerin bir çeviri tablosunu tutması, onları durdurması ve bunları kayıtlı benzersiz IP adresleriyle değiştirmesi gerekir. Bir NAT yönlendiricisinin "dahili" adresleri kayıtlı benzersiz adreslere, ayrıca "harici" kayıtlı adresleri özel ağda benzersiz olan adreslere çevirmesi gerektiğini unutmamak önemlidir. Bu işlem, statik ağ adresi çevirisi kullanılarak veya Etki Alanı Adı Sistemi (DNS) kullanılarak ve dinamik ağ adresi çevirisi uygulanarak gerçekleştirilebilir.

    Dahili ağ genellikle yerel bir ağdır (LAN, Yerel Alan Ağı), buna bazen saplama alanı da denir. Saplama alanı, IP adreslerinin kullanıldığı yerel bir ağdır. Saplama etki alanındaki ağ trafiğinin çoğu yereldir ve iç ağın ötesine geçmez. Bir saplama alanı hem kayıtlı hem de kayıtlı olmayan IP adreslerini içerebilir. Elbette, kayıtlı olmayan IP adresleri atanan tüm bilgisayarların dünyanın geri kalanıyla iletişim kurmak için ağ adresi çevirisini kullanması gerekir.

    NAT çeşitli şekillerde yapılandırılabilir. Aşağıdaki örnekte NAT yönlendirici, özel (dahili) bir ağda kullanılan kayıtsız (dahili, yerel) IP adreslerini kayıtlı IP adreslerine çevirecek şekilde yapılandırılmıştır. Bu prosedür, dahili ağda kayıtlı olmayan bir adrese sahip bir cihazın genel ağ (harici) ile iletişim kurması gerektiğinde gerçekleştirilir.

    • İSS'niz şirketinize bir dizi IP adresi atar. Sabitlenmiş gruptaki adresler kayıtlı IP adresleridir ve dahili genel adresler olarak adlandırılır. Kayıtsız, özel IP adresleri iki gruba ayrılır. NAT yönlendiricileri tarafından küçük bir grup (harici yerel adresler) kullanılır. Yerel adreslerin içinde adı verilen çok daha büyük ikinci grup, saplama alanında kullanılır. Harici yerel adresler, genel ağa erişim için harici genel adresler olarak adlandırılan cihazlara yönelik benzersiz IP adresleri oluşturmak için kullanılır.
    • Saplama etki alanındaki bilgisayarların çoğu birbirleriyle dahili yerel adresleri kullanarak iletişim kurar.
    • Bazı saplama etki alanı bilgisayarları, yerel ağ dışındaki cihazlarla sıklıkla iletişim kurar. Bu bilgisayarların çeviri gerektirmeyen dahili genel adresleri vardır.
    • Dahili yerel adrese sahip bir saplama etki alanı bilgisayarının yerel ağ dışındaki bir bilgisayarla iletişim kurması gerektiğinde paket, NAT yönlendiricilerinden birine yönlendirilir.
    • NAT yönlendiricisi, hedef adres için bir giriş olup olmadığını görmek için yönlendirme tablosunu kontrol eder. Böyle bir giriş varsa, NAT yönlendirici paketi çevirir ve adres çeviri tablosunda bunun için bir giriş oluşturur. Hedef adres yönlendirme tablosunda yoksa paket dikkate alınmaz.
    • Yönlendirici, iç genel adresi kullanarak paketi hedefine gönderir.
    • Genel ağdaki bir bilgisayar, özel ağa bir paket gönderir. Paketin gönderen adresi harici global adrestir. Hedef adres iç genel adrestir.
    • NAT yönlendiricisi adres çeviri tablosunu kontrol eder ve saplama etki alanındaki bir bilgisayara karşılık gelen bir hedef adresin olup olmadığını belirler.
    • NAT yönlendiricisi, paketin iç genel adresini iç yerel adrese çevirir ve paketi uygun bilgisayara iletir.

    NAT Aşırı Yükü

    Aşırı Yük NAT, bir bilgisayarın farklı TCP veya UDP bağlantı noktalarını kullanarak bir veya daha fazla uzak bilgisayara birden fazla eşzamanlı bağlantı oluşturmasına olanak tanıyan, TCP/IP protokol paketinin çoğullama özelliğini kullanır. IP paketi aşağıdaki bilgileri içeren bir başlık içerir:

    • Kaynak adresi - Gönderen bilgisayarın IP adresi, örneğin 201.3.83.132
    • Gönderen Bağlantı Noktası - Gönderen bilgisayar tarafından bu paket için atanan TCP veya UDP bağlantı noktası numarası; örneğin, bağlantı noktası 1080
    • Alıcı adresi - Alıcı bilgisayarın IP adresi, örneğin 145.51.18.223
    • Hedef bağlantı noktası, gönderen bilgisayarın alıcı bilgisayarın açmasını gerektirdiği TCP veya UDP bağlantı noktası numarasıdır; örneğin, bağlantı noktası 3021.

    Adresler, her iki uçtaki iki makineyi tanımlar ve bağlantı noktası numaraları, iki bilgisayar arasındaki bağlantı için benzersiz bir tanımlayıcı sağlar. Bu dört sayının birleşimi bir TCP/IP bağlantısını tanımlar. Her port numarası 16 bit kullanır, bu da 65.536 (216) olası değer olduğu anlamına gelir. Uygulamada, farklı üreticilerin bağlantı noktalarını biraz farklı şekilde eşlediği göz önüne alındığında, yaklaşık 4.000 bağlantı noktasının kullanılabilir olmasını bekleyebilirsiniz.

    Devamını oku: