nat-parameters. NAT op vingers: wat is het? Wat is NAT

Network Address Translation (NAT) is een methode om de ene adresruimte aan de andere toe te wijzen door de informatie te wijzigen, dat wil zeggen dat de headers van pakketten worden gewijzigd terwijl ze onderweg zijn via een verkeersrouteringsapparaat. Deze methode werd oorspronkelijk gebruikt om verkeer op IP-netwerken eenvoudig om te leiden zonder elke host opnieuw te nummeren. Het is een populair en belangrijk hulpmiddel geworden voor het behouden en distribueren van mondiale adresruimte in het licht van een tekort aan IPv4-adressen.

NAT-wat is het?

Het oorspronkelijke gebruik van netwerkadresvertaling is om elk adres in de ene adresruimte toe te wijzen aan een corresponderend adres in een andere ruimte. Dit is bijvoorbeeld nodig als de internetprovider is gewijzigd en de gebruiker de nieuwe route naar het netwerk niet publiekelijk kan adverteren. Met de voorzienbare wereldwijde uitputting van de IP-adresruimte wordt NAT-technologie sinds eind jaren negentig steeds vaker gebruikt in combinatie met IP-encryptie (een methode om meerdere IP-adressen naar één ruimte te verplaatsen). Dit mechanisme is geïmplementeerd in een routeringsapparaat dat stateful vertaaltabellen gebruikt om "verborgen" adressen in één enkel IP-adres in te delen, en uitgaande IP-pakketten door te sturen bij het uitgaande verkeer. Het lijkt er dus op dat ze het routeringsapparaat verlaten. Omgekeerd worden antwoorden toegewezen aan het bron-IP-adres met behulp van regels die zijn opgeslagen in vertaaltabellen. De vertaaltabelregels worden op hun beurt na een korte periode gewist als nieuw verkeer de status ervan niet bijwerkt. Dit is het basismechanisme van NAT. Wat betekent dit?

Deze methode maakt communicatie via de router alleen mogelijk als de verbinding zich op een gecodeerd netwerk bevindt, omdat er vertaaltabellen worden gemaakt. Een webbrowser binnen zo'n netwerk kan bijvoorbeeld een site daarbuiten bekijken, maar als hij daarbuiten wordt geïnstalleerd, kan hij geen bron openen die daarin wordt gehost. Bij de meeste NAT-apparaten kunnen tegenwoordig echter vertaaltabelgegevens worden geconfigureerd voor permanent gebruik. Deze functie wordt vaak statische NAT of port forwarding genoemd en zorgt ervoor dat verkeer dat afkomstig is van het "externe" netwerk de aangewezen hosts op het gecodeerde netwerk kan bereiken.

Vanwege de populariteit van deze methode, die wordt gebruikt om de IPv4-adresruimte te behouden, is de term NAT (wat het eigenlijk is - hierboven vermeld) bijna synoniem geworden met de encryptiemethode.

Omdat Network Address Translation de adresinformatie van IP-pakketten verandert, heeft dit ernstige gevolgen voor de kwaliteit van uw internetverbinding en vereist het zorgvuldige aandacht voor de details van de implementatie ervan.

NAT-applicaties verschillen van elkaar in hun specifieke gedrag in verschillende gevallen met betrekking tot de impact op het netwerkverkeer.

Basis NAT

Het eenvoudigste type Network Address Translation (NAT) biedt één-op-één vertaling van IP-adressen. RFC 2663 is het hoofdtype van deze vertaling. Bij dit type worden alleen de IP-adressen en de controlesom van de IP-headers gewijzigd. Basisvertalingstypen kunnen worden gebruikt om twee IP-netwerken met een incompatibele adressering met elkaar te verbinden.

Wat is NAT in een één-op-veel-verbinding?

De meeste varianten van NAT zijn in staat om meerdere privéhosts aan één enkel publiek aangewezen IP-adres toe te wijzen. In een typische configuratie gebruikt het LAN een van de toegewezen "privé" subnet-IP-adressen (RFC 1918). Een router op dit netwerk heeft een privéadres in deze ruimte.

De router maakt ook verbinding met internet via een “openbaar” adres dat is toegewezen door de ISP. Omdat het verkeer afkomstig is van het lokale bronnetwerk, wordt elk pakket direct overgedragen van een privéadres naar een openbaar adres. De router houdt basisinformatie bij over elke actieve verbinding (met name het bestemmingsadres en de poort). Wanneer het antwoord ernaar terugkeert, gebruikt het de verbindingsgegevens die zijn opgeslagen tijdens de off-site fase om het particuliere interne netwerkadres te bepalen waarnaar het antwoord moet worden doorgestuurd.

Een van de voordelen van deze functionaliteit is dat het een praktische oplossing is voor de dreigende uitputting van de IPv4-adresruimte. Zelfs grote netwerken kunnen met één enkel IP-adres met internet worden verbonden.

Alle datagrampakketten op IP-netwerken hebben 2 IP-adressen: bron en bestemming. Normaal gesproken zal bij pakketten die van een particulier netwerk naar een openbaar netwerk reizen het bronadres van het pakket veranderen tijdens de overgang van het openbare netwerk terug naar het particuliere netwerk. Ook complexere configuraties zijn mogelijk.

Eigenaardigheden

Het instellen van NAT heeft mogelijk enkele functies. Om problemen bij het vertalen van de geretourneerde pakketten te voorkomen, zijn verdere wijzigingen vereist. De overgrote meerderheid van het internetverkeer loopt via TCP en UDP, en hun poortnummers worden zodanig aangepast dat de combinatie van IP-adres en poortnummer begint overeen te komen wanneer de gegevens worden teruggestuurd.

Protocollen die niet op TCP en UDP zijn gebaseerd, vereisen andere vertaalmethoden. Het Internet Control Message Protocol (ICMP) komt doorgaans overeen met de gegevens die naar een bestaande verbinding worden verzonden. Dit betekent dat ze moeten worden weergegeven met hetzelfde IP-adres en nummer dat oorspronkelijk is ingesteld.

Waar moet u rekening mee houden?

Het configureren van NAT op een router levert geen end-to-end connectiviteit op. Daarom kunnen dergelijke routers niet deelnemen aan sommige internetprotocollen. Services waarvoor het initiëren van TCP-verbindingen vanaf het externe netwerk of gebruikers zonder protocollen vereist is, zijn mogelijk niet beschikbaar. Als de NAT-router geen speciale inspanningen levert om dergelijke protocollen te ondersteunen, is het mogelijk dat inkomende pakketten hun bestemming niet bereiken. Sommige protocollen passen in een enkele vertaling tussen deelnemende hosts ("passieve modus" FTP bijvoorbeeld), soms met behulp van een applicatielaag-gateway, maar de verbinding komt niet tot stand wanneer beide systemen door NAT van het internet zijn gescheiden. Het gebruik van Network Address Translation compliceert ook ‘tunnel’-protocollen zoals IPsec, omdat het waarden verandert in headers die interageren met integriteitscontroles van verzoeken.

Bestaand probleem

End-to-end-connectiviteit is vanaf het begin een kernprincipe van het internet geweest. De huidige staat van het netwerk laat zien dat NAT een schending van dit principe is. Er bestaan ernstige zorgen onder experts over de alomtegenwoordigheid van IPv6-netwerkadresvertaling, en zorgen over de manier waarop dit effectief kan worden aangepakt.

Vanwege de kortstondige aard van de vertaalstatustabellen in NAT-routers verliezen interne netwerkapparaten de IP-connectiviteit, meestal binnen zeer korte tijd. Als we het hebben over wat NAT is in een router, mogen we deze omstandigheid niet vergeten. Dit verkort de gebruiksduur van compacte apparaten die werken op batterijen en oplaadbare batterijen aanzienlijk.

Schaalbaarheid

Bovendien worden bij gebruik van NAT alleen poorten bewaakt, die snel uitgeput kunnen raken door interne toepassingen die meerdere gelijktijdige verbindingen gebruiken (bijvoorbeeld HTTP-verzoeken voor webpagina's met een groot aantal ingebedde objecten). Dit probleem kan worden verholpen door naast de poort ook het doel-IP-adres te volgen (een lokale poort wordt dus gedeeld door een groot aantal externe hosts).

Enkele moeilijkheden

Omdat alle interne adressen worden vermomd als één enkel openbaar adres, wordt het voor externe hosts onmogelijk om een verbinding met een specifieke interne host te initiëren zonder speciale configuratie op de firewall (die verbindingen naar een specifieke poort moet doorsturen). Toepassingen zoals IP-telefonie, videoconferenties en soortgelijke diensten moeten NAT-traversal-technieken gebruiken om goed te kunnen functioneren.

Met het retouradres en de vertaalpoort (Rapt) kan een host waarvan het echte IP-adres van tijd tot tijd verandert, beschikbaar blijven als server met behulp van een vast IP-adres op het thuisnetwerk. Kortom, dit zou de instellingen van de servers in staat moeten stellen de verbinding te behouden. Hoewel dit geen perfecte oplossing voor het probleem is, kan het wel een handig hulpmiddel zijn in het arsenaal van een netwerkbeheerder bij het beslissen hoe NAT op een router moet worden geconfigureerd.

Poortadresvertaling (PAT)

Cisco's implementatie van Rapt is Port Address Translation (PAT), waarbij meerdere privé-IP-adressen worden toegewezen aan één openbaar IP-adres. Er kunnen meerdere adressen als adres in kaart worden gebracht, omdat elk adres wordt gevolgd met behulp van een poortnummer. PAT gebruikt unieke bronpoortnummers op het interne globale IP-adres om de richting van de gegevensoverdracht te onderscheiden. Deze getallen zijn gehele getallen van 16 bits. Het totale aantal interne adressen dat kan worden vertaald naar één extern adres kan theoretisch 65536 bereiken. Het werkelijke aantal poorten waaraan een enkel IP-adres kan worden toegewezen is ongeveer 4000. PAT probeert doorgaans de oorspronkelijke "oorspronkelijke" poort te behouden. Als het al in gebruik is, wijst Port Address Translation het eerste beschikbare poortnummer toe, beginnend bij het begin van de overeenkomstige groep: 0-511, 512-1023 of 1024-65535. Als er geen poorten meer beschikbaar zijn en er meer dan één extern IP-adres is, gaat PAT door naar het volgende om te proberen de oorspronkelijke poort toe te wijzen. Dit proces gaat door totdat er geen gegevens meer beschikbaar zijn.

Adres- en poorttoewijzing wordt uitgevoerd door een Cisco-service die het vertaalpoortadres combineert met IPv4-pakkettunnelgegevens via het interne IPv6-netwerk. In wezen is het een onofficieel alternatief voor CarrierGrade NAT en DS-Lite dat IP-adres/poortvertalingen ondersteunt (en daarom NAT-configuratie ondersteunt). Het vermijdt dus problemen bij het tot stand brengen en onderhouden van verbindingen en biedt ook een overgangsmechanisme voor de implementatie van IPv6.

Vertaalmethoden

Er zijn verschillende manieren om netwerkadres- en poortvertaling te implementeren. In sommige applicatieprotocollen die gebruik maken van IP-adresapplicaties die op een gecodeerd netwerk draaien, is het noodzakelijk om het externe NAT-adres (dat aan het andere uiteinde van de verbinding wordt gebruikt) te bepalen, en bovendien is het vaak nodig om de soort transmissie. Dit wordt meestal gedaan omdat het wenselijk is om een direct communicatiekanaal te creëren (om de gegevens ononderbroken door de server te laten stromen, of om de prestaties te verbeteren) tussen twee clients, die beide achter afzonderlijke NAT's staan.

Voor dit doel (hoe NAT te configureren) werd in 2003 een speciaal protocol, RFC 3489, ontwikkeld om een eenvoudige UDP-bypass via NATS te bieden. Tegenwoordig is het verouderd, omdat dergelijke methoden tegenwoordig onvoldoende zijn om de prestaties van veel apparaten correct te evalueren. De nieuwe methoden zijn gestandaardiseerd in het RFC 5389-protocol, dat in oktober 2008 is ontwikkeld. Deze specificatie heet tegenwoordig SessionTraversal en is een hulpprogramma voor NAT-bewerking.

Het creëren van tweerichtingscommunicatie

Elk TCP- en UDP-pakket bevat het bron-IP-adres en het poortnummer ervan, evenals de coördinaten van de bestemmingspoort.

Om openbare diensten zoals mailserverfunctionaliteit te ontvangen, is het poortnummer belangrijk. Het maakt bijvoorbeeld verbinding met de webserversoftware en 25 maakt verbinding met de SMTP-mailserver. Ook het IP-adres van een publieke server heeft een aanzienlijke waarde, vergelijkbaar met een postadres of telefoonnummer. Beide parameters moeten op betrouwbare wijze bekend zijn bij alle knooppunten die een verbinding tot stand willen brengen.

Privé-IP-adressen hebben alleen betekenis op de lokale netwerken waar ze worden gebruikt en op hostpoorten. Poorten zijn unieke communicatie-eindpunten op een host, dus de communicatie via NAT wordt onderhouden met behulp van een gecombineerde poort- en IP-adrestoewijzing.

PAT (Port Address Translation) lost conflicten op die kunnen ontstaan tussen twee verschillende hosts die hetzelfde bronpoortnummer gebruiken om tegelijkertijd unieke verbindingen tot stand te brengen.

Internetrouter, toegangsserver, firewall. De meest populaire is Bron NAT(SNAT), is de essentie van het mechanisme het vervangen van het bronadres wanneer een pakket in één richting passeert en het omgekeerd vervangen van het bestemmingsadres in het antwoordpakket. Naast de bron-/bestemmingsadressen kunnen ook de bron- en bestemmingspoortnummers worden vervangen.

Naast SNAT, d.w.z. Ook wordt vaak gebruik gemaakt van het verstrekken van interne adressen aan gebruikers van een lokaal netwerk met toegang tot internet Bestemming NAT, wanneer oproepen van buitenaf door de firewall worden vertaald naar een server op het lokale netwerk die een intern adres heeft en dus niet direct toegankelijk is vanaf het externe netwerk (zonder NAT).

Onderstaande figuren tonen een voorbeeld van de werking van het NAT-mechanisme.

Rijst. 7.1.

Een gebruiker op een bedrijfsnetwerk stuurt een verzoek naar internet, dat arriveert bij de interne interface van de router, toegangsserver of firewall (NAT-apparaat).

Het NAT-apparaat ontvangt het pakket en maakt een vermelding in de verbindingsvolgtabel, die de adresvertaling regelt.

Vervolgens vervangt het het bronadres van het pakket door zijn eigen externe openbare IP-adres en stuurt het pakket naar zijn bestemming op internet.

De bestemmingshost ontvangt het pakket en stuurt een antwoord terug naar het NAT-apparaat.

Het NAT-apparaat zoekt op zijn beurt, bij ontvangst van dit pakket, de bron van het oorspronkelijke pakket op in de verbindingsvolgtabel, vervangt het bestemmings-IP-adres door het overeenkomstige privé-IP-adres en stuurt het pakket door naar de broncomputer. Omdat het NAT-apparaat pakketten verzendt namens alle interne computers, verandert het de bronnetwerkpoort en wordt deze informatie opgeslagen in de verbindingsregistratietabel.

Er zijn 3 basisconcepten voor adresvertaling:

statisch (SAT, statische netwerkadresvertaling),
dynamisch (DAT, dynamische adresvertaling),
maskerade (NAPT, NAT Overload, PAT).

Statische NAT wijst lokale IP-adressen één-op-één toe aan specifieke openbare adressen. Wordt gebruikt wanneer de lokale host van buitenaf toegankelijk moet zijn via vaste adressen.

Dynamische NAT wijst een reeks privé-adressen toe aan een reeks openbare IP-adressen. Als het aantal lokale hosts het aantal beschikbare openbare adressen niet overschrijdt, komt elk lokaal adres gegarandeerd overeen met een openbaar adres. Anders wordt het aantal hosts dat tegelijkertijd toegang heeft tot externe netwerken beperkt door het aantal openbare adressen.

Maskerade NAT(NAPT, NAT Overload, PAT, masquerading) is een vorm van dynamische NAT die meerdere privéadressen toewijst aan één openbaar IP-adres met behulp van verschillende poorten. Ook bekend als PAT (Port Address Translation).

Er kunnen verschillende mechanismen zijn voor interactie tussen een intern lokaal netwerk en een extern openbaar netwerk - dit hangt af van de specifieke taak om toegang te bieden tot het externe netwerk en terug en wordt voorgeschreven door bepaalde regels. Er zijn 4 typen netwerkadresvertaling gedefinieerd:

Volledige kegel
Beperkte kegel
Poort beperkte kegel
Symmetrisch

Bij de eerste drie typen NAT wordt dezelfde externe poort gebruikt om te communiceren tussen verschillende IP-adressen op het externe netwerk en adressen van het lokale netwerk. Het vierde type – symmetrisch – gebruikt voor elk adres en elke poort een aparte externe poort.

Volledige kegel, staat de externe poort van het apparaat (router, toegangsserver, firewall) open voor verzoeken afkomstig van elk adres. Als een gebruiker vanaf internet een pakket naar een client achter een NAT moet sturen, hoeft hij alleen de externe poort te kennen van het apparaat waarmee de verbinding tot stand is gebracht. Een computer achter NAT met het IP-adres 192.168.0.4 verzendt en ontvangt bijvoorbeeld pakketten op poort 8000, die zijn toegewezen aan het externe IP-adres en de poort als 10.1.1.1:12345. Pakketten van het externe netwerk arriveren bij het apparaat met IP-adres: poort 10.1.1.1:12345 en worden vervolgens verzonden naar de clientcomputer 192.168.0.4:8000.

Bij binnenkomende pakketten wordt alleen het transportprotocol gecontroleerd; Het bestemmingsadres en de poort, het bronadres en de poort doen er niet toe.

Bij gebruik van NAT, werken op type Beperkte kegel, staat de externe poort van het apparaat (router, toegangsserver, firewall) open voor elk pakket dat vanaf de clientcomputer wordt verzonden, in ons voorbeeld: 192.168.0.4:8000. En een pakket dat afkomstig is van een extern netwerk (bijvoorbeeld van computer 172.16.0.5:4000) naar een apparaat met adres: poort 10.1.1.1:12345 wordt alleen naar computer 192.168.0.4:8000 verzonden als voorheen 192.168.0.4:8000 stuurde een verzoek naar het IP-adres van de externe host (in ons geval naar de computer 172.16.0.5:4000). Dat wil zeggen dat de router alleen binnenkomende pakketten uitzendt vanaf een specifiek bronadres (in ons geval computer 172.16.0.5:4000), maar het bronpoortnummer kan van alles zijn. Anders blokkeert NAT pakketten die afkomstig zijn van hosts waarnaar 192.168.0.4:8000 geen verzoek heeft verzonden.

NAT-mechanisme Poort beperkte kegel bijna vergelijkbaar met het NAT Restricted Cone-mechanisme. Alleen in dit geval blokkeert NAT alle pakketten die afkomstig zijn van hosts waarnaar de clientcomputer 192.168.0.4:8000 geen verzoek naar een IP-adres en poort heeft gestuurd. De router let op het overeenkomende bronpoortnummer en let niet op het bronadres. In ons voorbeeld verzendt de router binnenkomende pakketten met elk bronadres, maar de bronpoort moet 4000 zijn. Als de client verzoeken naar het externe netwerk naar verschillende IP-adressen en poorten heeft verzonden, kunnen ze pakketten naar de client sturen. op het IP-adres: poort 10.1 .1.1:12345.

Symmetrische NAT verschilt aanzienlijk van de eerste drie mechanismen in de manier waarop het het interne IP-adres:poort toewijst aan het externe adres:poort. Deze weergave is afhankelijk van het IP-adres:poort van de computer waarvoor het verzonden verzoek bestemd is. Als clientcomputer 192.168.0.4:8000 bijvoorbeeld een verzoek verzendt naar computer nr. 1 (172.16.0.5:4000), kan dit verschijnen als 10.1.1.1:12345, terwijl het tegelijkertijd vanaf dezelfde poort verzendt ( 192.168.0.4:8000) naar een ander IP-adres, wordt het anders weergegeven (10.1.1.1:12346).

Hiermee kunt u de toegang van buitenaf tot interne hosts voorkomen of beperken, waardoor de mogelijkheid van toegang van het interne netwerk naar het externe netwerk overblijft. Wanneer er vanuit het netwerk een verbinding tot stand wordt gebracht, wordt er een uitzending gemaakt. Antwoordpakketten die van buiten komen, komen overeen met de gegenereerde uitzending en worden daarom doorgegeven. Als er geen overeenkomstige vertaling is voor pakketten die afkomstig zijn van het externe netwerk (en deze kan worden gemaakt wanneer de verbinding wordt geïnitieerd of statisch), worden ze niet doorgelaten.

Hiermee kunt u bepaalde interne services van interne hosts/servers verbergen. In wezen wordt dezelfde uitzending hierboven uitgevoerd op een specifieke poort, maar het is mogelijk om de interne poort van een officieel geregistreerde dienst te vervangen (bijvoorbeeld TCP-poort 80 (HTTP-server) door externe poort 54055). Dus van buitenaf, op het externe IP-adres nadat de adressen zijn vertaald, kan de site (of forum) voor deskundige bezoekers het adres http://dlink.ru:54055 bereiken, maar op de interne server bevindt zich achter NAT werkt het op de gebruikelijke 80e poort.

Het is echter de moeite waard om de nadelen van deze technologie te vermelden:

Niet alle protocollen kunnen NAT "doorkruisen". Sommige mislukken als er een adresvertaling is op het pad tussen communicerende hosts. Bepaalde firewalls voor het vertalen van IP-adressen kunnen dit tekort corrigeren door IP-adressen op de juiste manier te vervangen, niet alleen in de IP-headers, maar ook op hogere niveaus (bijvoorbeeld in FTP-protocolopdrachten).
Als gevolg van multi-naar-één adresvertaling ontstaan er extra problemen bij het identificeren van gebruikers en de noodzaak om volledige vertaallogboeken op te slaan.
DoS-aanval door een host die NAT uitvoert - Als NAT wordt gebruikt om veel gebruikers met dezelfde service te verbinden, kan dit de illusie wekken van een DoS-aanval op de service (meerdere successen en mislukkingen). Een overmatig aantal ICQ-gebruikers achter NAT leidt bijvoorbeeld voor sommige gebruikers tot problemen met het verbinden met de server vanwege het overschrijden van de toegestane verbindingssnelheid.

Onderstaande figuren tonen een voorbeeld van de werking van het NAT-mechanisme.

Rijst. 7.1.

Een gebruiker op een bedrijfsnetwerk stuurt een verzoek naar internet, dat arriveert bij de interne interface van de router, toegangsserver of firewall (NAT-apparaat).

Het NAT-apparaat ontvangt het pakket en maakt een vermelding in de verbindingsvolgtabel, die de adresvertaling regelt.

Vervolgens vervangt het het bronadres van het pakket door zijn eigen externe openbare IP-adres en stuurt het pakket naar zijn bestemming op internet.

De bestemmingshost ontvangt het pakket en stuurt een antwoord terug naar het NAT-apparaat.

Er zijn 3 basisconcepten voor adresvertaling:

statisch (SAT, statische netwerkadresvertaling),
dynamisch (DAT, dynamische adresvertaling),
maskerade (NAPT, NAT Overload, PAT).

Statische NAT wijst lokale IP-adressen één-op-één toe aan specifieke openbare adressen. Wordt gebruikt wanneer de lokale host van buitenaf toegankelijk moet zijn via vaste adressen.

Volledige kegel
Beperkte kegel
Poort beperkte kegel
Symmetrisch

Bij binnenkomende pakketten wordt alleen het transportprotocol gecontroleerd; Het bestemmingsadres en de poort, het bronadres en de poort doen er niet toe.

Het is echter de moeite waard om de nadelen van deze technologie te vermelden:

Niet alle protocollen kunnen NAT "doorkruisen". Sommige mislukken als er een adresvertaling is op het pad tussen communicerende hosts. Bepaalde firewalls voor het vertalen van IP-adressen kunnen dit tekort corrigeren door IP-adressen op de juiste manier te vervangen, niet alleen in de IP-headers, maar ook op hogere niveaus (bijvoorbeeld in FTP-protocolopdrachten).
Als gevolg van multi-naar-één adresvertaling ontstaan er extra problemen bij het identificeren van gebruikers en de noodzaak om volledige vertaallogboeken op te slaan.
DoS-aanval door een host die NAT uitvoert - Als NAT wordt gebruikt om veel gebruikers met dezelfde service te verbinden, kan dit de illusie wekken van een DoS-aanval op de service (meerdere successen en mislukkingen). Een overmatig aantal ICQ-gebruikers achter NAT leidt bijvoorbeeld voor sommige gebruikers tot problemen met het verbinden met de server vanwege het overschrijden van de toegestane verbindingssnelheid.

Het is geen nieuws meer dat er niet genoeg IP-netwerkadressen zijn voor alle apparaten die op internet willen. Momenteel is een uitweg uit deze situatie gevonden door het IPv6-protocol te ontwikkelen, waarbij de adreslengte 128 bits is, terwijl het huidige IPv4 slechts 32 bits is. Maar begin jaren 2000 vonden ze een andere oplossing: het gebruik van netwerkadresvertaling, afgekort nat. Verderop in het artikel zullen we nat in de router configureren.

Het routerinstellingenmenu openen

Laten we als voorbeeld de ZyXEL-router uit de ZyWALL USG- en NXC5200-serie nemen.

Ga eerst naar de routerinstellingen. Om dit te doen, typt u in elke webbrowser 192.168.1.1 in de adresbalk. (standaard routeradres), verschijnt er een venster waarin u wordt gevraagd uw gebruikersnaam en wachtwoord in te voeren.

Voer in het veld “Gebruikersnaam” admin in, in het veld “Wachtwoord” typt u 1234. Klik op “OK”.

Nat instellen in de router

Ga in het menuvenster dat wordt geopend naar het tabblad “Configuratie” (het pictogram met twee tandwielen), vervolgens naar “Netwerk” en vervolgens naar “Routing”. Ga in het geselecteerde venster naar het tabblad “Beleidsrouting”.

Menu ZyXEL-routerinstellingen

In dit menu wordt het routeringsbeleid geconfigureerd. In het gebied "Criteria" stellen we criteria in voor het selecteren van verkeer - welk verkeer moet worden uitgezonden (configureer feitelijk nat) en welk verkeer eenvoudigweg moet worden gerouteerd. Verkeer kan worden geselecteerd op basis van verschillende criteria:

Gebruiker (Gebruiker);
Via interface (binnenkomend);
Op bron-IP-adres;
Op IP-adres van de ontvanger (bestemmingsadres);
Per bestemmingspoort (Service).

In het gebied “Next-Hop” wijzen we een object toe om verkeer om te leiden:

Een ZyXEL-routeromleidingsobject selecteren

Waar “Auto” – verkeer wordt omgeleid naar de standaard globale interface; Gateway – naar het adres dat is opgegeven in de gateway-instellingen; VPN-tunnel – IPSec virtuele privétunnel; Trunk – route naar een “trunk”, waarbij een “trunk” bestaat uit verschillende interfaces die zijn geconfigureerd om samen te werken of in redundantiemodus; Interface – doorverwijzen naar de opgegeven interface:

Het is belangrijk om te onthouden dat wanneer u wijzigingen aanbrengt in de routerinstellingen, u op de knop “OK” klikt om de instellingen op te slaan en niet alleen de webbrowser sluit.

Nat instellen op een computer

Zoals u weet, kan een pc zelf als router dienen. Vaak is er sprake van een situatie waarin er een computernetwerk is van meerdere computers, waarvan er één toegang heeft tot internet. In deze situatie kunt u helemaal geen routers kopen, maar een computer met internettoegang als router instellen en nat daarop configureren. Laten we dit geval in meer detail bekijken.

Zorg ervoor dat u twee netwerkkaarten installeert op de hoofdcomputer die naar internet kijkt (laten we het SERVER noemen) - de eerste om verbinding te maken met het lokale netwerk, de tweede met de provider. In het voorbeeld wordt het besturingssysteem Windows Server 2012 gebruikt.

Om te configureren, start u eerst “Server Manager” (Start -> Systeembeheer -> Serverbeheer). Het instellingenvenster verschijnt:

Vanaf hier zullen we onze server beheren. Om door te gaan met de configuratie klikt u op “Rollen en onderdelen toevoegen”, waardoor het venster Wizard Rollen toevoegen wordt geopend. Eerste stap - Installatietype:

In het volgende venster moeten we de rol selecteren die we op de server installeren. Vink het vakje aan naast 'Toegang op afstand'.

Het volgende venster verschijnt, waarin een lijst met componenten wordt weergegeven die nodig zijn voor de werking. Klik op “Componenten toevoegen”, dit venster verdwijnt. Klik op “Volgende”.

In het volgende venster vraagt de wizard u om servercomponenten toe te voegen. U hoeft niets te wijzigen, klik op “Volgende”.

Op de volgende pagina informeert de wizard ons eenvoudigweg over de werking van de rol voor externe toegang. Klik op “Volgende”.

In de volgende stap moet u “Rolservices” selecteren. Vink het vakje naast ‘Routing’ aan en klik op ‘Volgende’.

Het volgende venster is wederom informatief, u hoeft niets te selecteren, maar u kunt wel het vakje naast “Automatisch opnieuw opstarten op de geselecteerde server...” aanvinken, waardoor de server na installatie automatisch opnieuw wordt opgestart. Maar je kunt dit ook handmatig doen. Klik op “Volgende”.

En de laatste stap is de daadwerkelijke installatie van de server. Als u klaar bent, klikt u op de knop "Sluiten".

Serverinstallatie

We hebben dus een computer geconfigureerd die in servermodus met internet is verbonden. Nu moet je nat erop configureren.

Ga naar Start / Beheer / Routering en externe toegang. In het venster dat verschijnt, vinden we aan de linkerkant het item “SERVER (lokaal)”, klik er met de rechtermuisknop op en klik in het vervolgkeuzemenu op “Routing en externe toegang configureren en inschakelen”.

Er verschijnt een wizard voor het opzetten van een routerings- en RAS-server, waarin we nat.

Op de eerste pagina maken we kort kennis met de wizard - klik op “Volgende”. De volgende stap is het selecteren van een van de services die op deze server worden uitgevoerd. Selecteer “Network Address Translation (NAT)” en klik op “Volgende”.

Vervolgens vraagt de wizard u een netwerkverbinding te selecteren die naar internet kijkt. Beide netwerkkaarten zullen aanwezig zijn in de lijst (althans afhankelijk van hoeveel er op de server zijn geïnstalleerd). We selecteren degene waarop de netwerkkabel van de provider is aangesloten. Klik op “Volgende”.

In het volgende venster begint de wizard te klagen dat hij geen DHCP- of DNS-services op het lokale netwerk kan detecteren. Er zijn twee opties om door te gaan: basisservices inschakelen of services later installeren.

Selecteer het eerste item en klik op “Volgende”. Op de volgende pagina zal ik u informeren in welk bereik nat zal werken. De installatiewizard selecteert dit bereik automatisch op basis van de configuratie van de netwerkverbinding die is aangesloten op het lokale netwerk. Klik op “Volgende”.

nat bereik

Dat is alles, de installatiewizard voltooit de nat-installatie. Klik op “Volgende” en in het volgende venster op “Gereed”.

Het laatste dat u nog moet doen, is het configureren van de clientcomputers, dat wil zeggen alle andere computers op het lokale netwerk. Om dit te doen, gaat u op de clientcomputer (dit moet op elke computer in het netwerk worden gedaan) naar Start / Configuratiescherm / Netwerkcentrum / adapterinstellingen wijzigen. Ga naar “Netwerkverbindingen”. Klik met de rechtermuisknop op het pictogram en selecteer 'Eigenschappen' in het vervolgkeuzemenu. In het venster dat verschijnt, selecteert u “Internet Protocol versie 4 (TCP/IPv4)” en klikt u op “Eigenschappen”.

In het veld "Standaardgateway" schrijven we het IP-adres van de servercomputer (die in de vorige stap is geconfigureerd), in het veld "Voorkeurs-DNS-server" schrijven we het IP-adres van de DNS-server van de provider, gespecificeerd in de internetverbindingsinformatie op de server. Klik op “OK” en nogmaals op “OK”. Dat is alles, de clientcomputer is verbonden met internet.

Dit zijn totaal verschillende technologieën. Verwar ze niet.

Wat is NAT

NAT is een verzamelterm die verwijst naar de technologie van het vertalen van netwerkadressen en/of protocollen. NAT-apparaten voeren transformaties uit bij het doorgeven van pakketten, waarbij adressen, poorten, protocollen, enz. worden vervangen.

Er zijn smallere concepten van SNAT, DNAT, masquerading, PAT, NAT-PT, enz.

waarom is NAT nodig, hoe wordt het gebruikt

Om het interne netwerk met internet te verbinden

via een pool van externe adressen
via één extern adres

Een extern IP-adres vervangen door een ander (verkeersomleiding)

Om de belasting te verdelen tussen identieke servers met verschillende IP-adressen.

Om twee lokale netwerken te combineren met elkaar kruisende interne adressering.

hoe NAT werkt

s+d NAT (samenvoegen van vertakkingen - kwaadaardig!)

poorttoewijzing, poorten doorsturen

Voordelen en nadelen

Incompatibel met sommige protocollen. Een bepaalde NAT-implementatie moet de inspectie van het vereiste protocol ondersteunen.

NAT heeft de eigenschap het interne netwerk te "afschermen" van de buitenwereld, maar kan niet worden gebruikt in plaats van een firewall.

Installatie op Cisco IOS

Cisco-routers en firewalls ondersteunen verschillende typen NAT, afhankelijk van de set softwareopties. De meest gebruikte is de NAT-methode waarbij interne lokale adressen worden gekoppeld aan verschillende poorten van hetzelfde externe adres (PAT in Cisco-terminologie).

Om NAT op een router te configureren, moet u: o Het verkeer bepalen dat moet worden vertaald (met behulp van toegangslijsten of routekaarten);

IP-toegangslijst uitgebreid LOKAAL vergunning ip 10.0.0.0 0.255.255.255 willekeurig

Routekaart INT1 komt overeen met IP-adres LOKAAL match-interface FastEthernet0/1.1

De LOCAL-toegangslijst selecteert al het verkeer van netwerk 10.

Routekaart INT1 selecteert LOKAAL toegangslijstverkeer dat vertrekt via subinterface Fa 0/1.1

o Bepaal naar welke externe adressen moet worden uitgezonden. Selecteer een pool met externe adressen. Voor PAT is één adres voldoende.

Ip nat pool GLOBAL 212.192.64.74 212.192.64.74 netmasker 255.255.255.0

Specificeert een pool van externe adressen met de naam GLOBAL. Er is slechts één adres in het zwembad.

o NAT inschakelen voor geselecteerde interne en externe adressen.

Ip nat binnen bronroutekaart INT1-pool GLOBALE overbelasting

Schakel NAT in voor bronadresvertaling op de interne interface. Alleen verkeer dat binnen de voorwaarden van de INT1-routekaart valt, wordt uitgezonden. Het externe adres wordt overgenomen uit de GLOBAL-pool.

Ip nat binnen bron statische TCP 10.0.0.1 23 212.192.64.74 23 uitbreiden

Statische “port forwarding” of “service publishing”. In verkeer dat naar binnen gaat naar adres 212.192.64.74 op TCP-poort 23, wordt de bestemming vervangen door adres 10.0.0.1 en poort 23.

o Wijs interne en externe interfaces toe.

Interface FastEthernet0/0 ip nat binnen interface FastEthernet0/1.1 ip nat buiten

Interface Fa 0/0 wordt intern toegewezen voor NAT.

Subinterface Fa 0/1.1 is voor NAT als extern toegewezen.

O Foutopsporing en diagnostiek:

Ship nat vertalingen - bekijk de tabel met huidige uitzendingen; duidelijke ip nat-vertalingen - verwijder alle huidige vertalingen; debug ip nat – schakel debug-berichten in (debug alles ongedaan – schakel debugging uit).

Voorbeelden

Hier zijn enkele demovoorbeelden voor de Cisco Packet Tracer-emulator.

Een eenvoudig schema om een klein netwerk met internet te verbinden via een verzameling externe adressen

Een eenvoudig schema om een netwerk via één extern adres met internet te verbinden

Schema voor het combineren van netwerken met kruisende adressering

Hoe NAT werkt

De manier waarop NAT-regels worden toegepast, verschilt per fabrikant en op verschillende apparatuur. Hier is de procedure voor het toepassen van NAT-beleid voor routers op Cisco IOS:

Van binnen naar buiten

Als IPSec vervolgens de decodering van de invoertoegangslijst controleert - controleer voor CET (Cisco Encryption Technology) of IPSec de invoertoegangslijst, controleer de invoersnelheidslimieten, invoerboekhouding omleiden naar webcachebeleid, routering, NAT van binnen naar buiten (lokaal naar globaal vertaling) crypto (controleer kaart en markeren voor codering) uitvoertoegangslijst controleren inspecteren (contextgebaseerde toegangscontrole (CBAC)) TCP-onderscheppingscodering Wachtrijen

Van buiten naar binnen

Als IPSec vervolgens de decodering van de invoertoegangslijst controleert - voor CET of IPSec controleer de invoertoegangslijst controleer de invoersnelheidslimieten invoerboekhouding omleiden naar webcache NAT buiten naar binnen (algemeen naar lokaal vertaling) beleidsrouting routering crypto (controleer kaart en markeer voor codering) controleer uitvoertoegangslijst inspecteer CBAC TCP-versleuteling onderscheppen Wachtrij

Internetkanaal van één provider via NAT

Een eenvoudig schema voor het implementeren van NAT bij één provider

Een internetkanaal reserveren bij twee providers via NAT, ip sla

Gegeven: wij ontvangen internet voor meerdere computers van ISP1. Hij gaf ons het adres 212.192.88.150. Vanaf dit IP-adres wordt de internettoegang via NAT georganiseerd.

Taak: sluit een back-upprovider aan - ISP2. Hij zal ons het adres 212.192.90.150 geven. Organiseer verkeersbalans: stuur webverkeer via ISP1, ander verkeer via ISP2. Als een van de providers uitvalt, laat dan al het verkeer via het livekanaal lopen.

Wat is de moeilijkheid van de taak? duidelijke ip nat-vertalingen?

Schema

Configuratie

1 duidelijke ip nat-vertalingen *

Zo’n stukje EEM is gevonden en getest. De gebeurtenis wordt niet gegenereerd op alle versies van IOS. We moeten dit verduidelijken.

! event manager applet NAT-TRACK event syslog patroon "TRACKING-5-STATE" action 0.1 cli command "enable" actie 0.2 wait 3 action 0.3 cli command "clear ip nat translation *" action 0.4 syslog msg "NAT translation cleared after track state change "!

2 Als de interface bij de provider valt, is de kans groot dat de gateway via de tweede pingt

! gebruikersnaam NAAM wachtwoord 0 WACHTWOORD inschakelen geheim 0 CONFIG WACHTWOORD! ! controle over inloggen op de routerlijn vty 0 4 inloggen lokaal ! ! DHCP ip DHCP-pool LAN-netwerk Intern netwerkmasker standaardrouter Gateway dns-server 10.11.12.13 ! DNS - een fictieve die ze hebben bedacht - NIET van ons lokale netwerk! ! ! Ping monitor naar provider gateway-adres-1! Wacht 100 ms op een antwoord! Ping met een frequentie van 1 seconde ip sla monitor 1 type echoprotocol ipIcmpEcho GatewayProv1 broninterface InterfaceOnProv1 time-out 100 frequentie 1 ! ! Ping-monitor voor provider-2 ip sla monitor 2 type echoprotocol ipIcmpEcho GatewayProv2 broninterface InterfaceNaProv2 time-out 50 frequentie 1 ! ! Lancering van pings 1 en 2, nu en voor altijd ip sla monitor schema 1 life forever start-time nu ip sla monitor schema 2 forever start-time nu! ! Tracks 10 en 20 - volg de status van pings! Reageert op de status Omlaag of Omhoog met een vertraging van 1 seconde. nummer 10 rtr 1 bereikbaarheid vertraging omlaag 1 omhoog 1 ! spoor 20 rtr 2 bereikbaarheid vertraging omlaag 1 omhoog 1 ! ! ! Routes naar alle externe netwerken op beide providers! Routes zijn gekoppeld aan tracks! en wordt alleen geactiveerd als de track zich in de Up-status bevindt! die. als de gateway naar de betreffende provider beschikbaar is ip route 0.0.0.0 0.0.0.0 GatewayProv1 track 10 ip route 0.0.0.0 0.0.0.0 GatewayProv2 track 20 ! ! ! int fa 0/0 nee gesloten! ! Sub-interfaces naar externe providers! zijn gemarkeerd als buiten voor NAT-interface FastEthernet0/0.1 beschrijving ISP1 encaps dot1q NummerVlanProv1 ip-adres ipOnProv1 Masker ip nat outside! interface FastEthernet0/0.2 beschrijving ISP2 inkapseling dot1Q NummerVlanProv2 ip-adres ipNaProv2 Masker ip nat buiten! ! Interface naar het interne netwerk! gemarkeerd als binnen voor NAT! Het routeringsbeleid is gebonden PBR-interface FastEthernet0/1 ip-adres ipOnInternalNet-masker ip nat binnen ip-beleid routekaart PBR no shut! ! Toegangslijsten van het interne netwerk naar buiten! Voor webverkeer en al het andere is de ip-toegangslijst uitgebreid LOKAAL toegestaan ip-intranet elk! ip-toegangslijst uitgebreide WEB-vergunning tcp intern netwerk elke eq www vergunning tcp intern netwerk elke eq 443 ! ip-toegangslijst uitgebreid ALL permit ip any any ! ! ! lastige PBR-rootkaart! Als het verkeer van LAN naar internet gaat! Wijs vervolgens de eerste provider toe als gateway! Anders ander verkeer uit de omgeving! Wijs de tweede provider toe als gateway. ! Bij het toewijzen van een gateway, de Tracks routekaart PBR permit 10 match ip adres WEB set ip next-hop verificatie-beschikbaarheid GatewayProv1 1 track 10 ! routekaart PBR vergunning 20 overeenkomend ip-adres ALLES ingestelde ip volgende hop verificatie-beschikbaarheid GatewayProv2 1 track 20 ! ! ! lastige ISP1-rootmap! werkt als het verkeer afkomstig is van LAN! probeert af te sluiten via interface Fa0/0.1 routekaart ISP1-vergunning 10 match ip-adres LOKAAL matchinterface FastEthernet0/0.1! ! lastige ISP2-rootmap! werkt als het verkeer afkomstig is van LAN! probeert af te sluiten via interface Fa0/0.2 routekaart ISP2-vergunning 10 match ip-adres LOKAAL matchinterface FastEthernet0/0.2 ! ! ! Eindelijk, NAT ;-) ! ! Verkeer van LAN naar de eerste provider Navigeer door de eerste interface ip nat binnen de bronroutekaart ISP1-interface FastEthernet0/0.1 overbelasting! ! Verkeer van LAN naar de tweede provider Navigeer door de tweede interface ip nat binnen bronroutekaart ISP2-interface FastEthernet0/0.2 overbelasting! ! Verkeer omleiden naar fictieve DNS naar Google DNS ip nat buiten bron statisch 8.8.8.8 10.11.12.13 geen alias ! ! interne poort 3389 doorsturen naar externe poort 1111 ip nat binnenbron statische tcp internalHost 3389 extern 1111 uitbreidbaar ip nat binnenbron statische tcp internalHost 3389 extern 1111 uitbreidbaar! !