Перетворення мережевих адрес (NAT). Що таке NAT на роутері

Якщо Ви читаєте цей документ, то, швидше за все, ви під'єднані до Інтернету, і використовуєте трансляцію мережевих адрес ( Network Address Translation, NAT) прямо зараз! Інтернет став настільки величезним, ніж будь-хто міг собі уявити. Хоча точний розмір невідомий, поточна оцінка це приблизно 100 мільйонів хостів та більш ніж 350 мільйонів користувачів, які активно працюють в Інтернеті. Фактично норма зростання така, що Інтернет ефективно подвоюється в розмірі щороку. Для комп'ютера, щоб спілкуватися з іншими комп'ютерами та Web-серверами в Інтернеті, він повинен мати IP-адресу. IP-адреса (IP означає Інтернет Протокол) - це унікальне 32-бітове число, яке ідентифікує розташування вашого комп'ютера на мережі. В основному це працює так само, як ваша вулична адреса: спосіб точно з'ясувати, де ви знаходитесь і доставити вам інформацію. Теоретично можна мати 4,294,967,296 унікальних адрес (2^32). Фактична кількість доступних адрес є меншою (десь між 3.2 та 3.3 мільярдами) через спосіб, яким адреси поділені на класи та потреби відвести деякі з адрес для мультимовлення, тестування або інших певних потреб. Зі збільшенням домашніх мереж і ділових мереж, кількість доступних IP-адрес вже недостатньо. Очевидне рішення полягає в тому, щоб перепроектувати формат адреси, щоб врахувати більше можливих адрес. Таким чином, розвивається протокол IPv6, але, це розвинені займе кілька років, тому що вимагає модифікації всієї інфраструктури Інтернету.

Ось де приходить NAT нам на спасіння. В основному, Мережева Трансляція Адреса дозволяє єдиному пристрою, типу маршрутизатора, діяти як агент між Інтернетом (або "публічною мережею") і локальною (або "приватною") мережею. Це означає, що потрібна тільки єдина унікальна IP-адреса, щоб представляти всю групу комп'ютерів чомусь поза їхньою мережею. Нестача IP адрес - лише одна причина використовувати NAT. Дві інші серйозні підстави це безпека та адміністрування

Ви дізнаєтеся про те, як можна отримати вигоду з NAT, але спочатку, познайомимося з NAT трохи ближче і подивимося, що він може робити.

Маскування

NAT нагадує секретаря великого офісу. Скажімо, ви залишили інструкції секретареві, щоб не перенаправляти вам жодні дзвінки, доки ви не попросите про це. Пізніше ви телефонуєте потенційному клієнту і залишаєте повідомлення для нього, щоб він передзвонив вам. Ви кажете секретареві, що очікуєте дзвінок від цього клієнта і дзвінок потрібно перекласти. Клієнт дзвонить на основний номер вашого офісу, який є єдиним номером, який він знає. Коли клієнт говорить секретареві, кого він шукає, секретар перевіряє свій список співробітників, щоб знайти відповідність імені та його номера розширення. Секретар знає, що ви запитували цей дзвінок, тому він переводить того, хто дзвонив на ваш телефон.

Розроблена технологія Cisco, Трансляція мережевих адрес використовується пристроєм (міжмережевим екраном, маршрутизатором або комп'ютером), який знаходиться між внутрішньою мережею та іншою частиною світу. NAT має багато форм і може працювати кількома способами:

Статичний NAT- Відображення незареєстрованої IP-адреси на зареєстровану IP-адресу на підставі один до одного. Особливо корисно, коли пристрій має бути доступним зовні.

У статичному NAT, комп'ютер з адресою 192.168.32.10 завжди транслюватиметься на адресу 213.18.123.110:

Динамічний NAT- Відображає незареєстровану IP-адресу на зареєстровану адресу від групи зареєстрованих IP-адрес. Динамічний NAT також встановлює безпосереднє відображення між незареєстрованою та зареєстрованою адресою, але відображення може змінюватись залежно від зареєстрованої адреси, доступної в пулі адрес, під час комунікації.

У динамічному NAT комп'ютер з адресою 192.168.32.10 транслюється в першу доступну адресу в діапазоні від 213.18.123.100 до 213.18.123.150

Перевантаження (Overload)- Форма динамічного NAT, який відображає кілька незареєстрованих адрес в єдину зареєстровану IP адресу, використовуючи різні порти. Відомий також як PAT (Port Address Translation)

При перевантаженні кожен комп'ютер у приватній мережі транслюється в ту саму адресу (213.18.123.100), але з різним номером порту

Перекриття- Коли IP адреси, що використовуються у вашій внутрішній мережі, також використовуються в іншій мережі, маршрутизатор повинен тримати таблицю пошуку цих адрес так, щоб він міг перехопити і замінити їх зареєстрованими унікальними IP адресами. Важливо відзначити, що маршрутизатор NAT повинен транслювати "внутрішні" адреси в зареєстровані унікальні адреси, а також повинен транслювати "зовнішні" зареєстровані адреси в адреси, які є унікальними для приватної мережі. Це може бути зроблено через статичний NAT, або ви можете використовувати DNS і реалізувати динамічний NAT.

Приклад:
Внутрішній діапазон IP (237.16.32.xx) є також зареєстрованим діапазоном, який використовується іншою мережею. Тому маршрутизатор транслює адреси, щоб уникнути потенційного конфлікту. Він також транслюватиме зареєстровані глобальні IP адреси назад до незареєстрованих локальних адрес, коли пакети надсилаються у внутрішню мережу

Внутрішня мережа - це зазвичай LAN (Локальна мережа), найчастіше називається тупиковим доменом. Тупиковий домен є LAN, яка використовує внутрішні IP-адреси. Більшість мережного трафіку в такому домені є локальним, він не залишає межі внутрішньої мережі. Домен може включати як зареєстровані, так і незареєстровані IP адреси. Звичайно, будь-які комп'ютери, які використовують незареєстровані IP-адреси, повинні використовувати NAT, щоб спілкуватися з рештою світу.

NAT може бути налаштований різними способами. У прикладі нижче NAT-маршрутизатор конфігурований так, щоб транслювати незареєстровані IP-адреси (локальні внутрішні адреси), які постійно знаходяться в приватній (внутрішній) мережі в зареєстровані IP-адреси. Це відбувається щоразу, коли пристрій на внутрішній частині з незареєстрованою адресою має спілкуватися із зовнішньою мережею.

NAT-перевантаження (overloading) використовує особливість стека протоколу TCP/IP, таку як мультиплексування, що дозволяє комп'ютеру підтримувати кілька паралельних підключень з віддаленим комп'ютером, використовуючи різні TCP чи UDP порти. Пакет IP має заголовок, який містить таку інформацію:

Вихідна адреса - IP-адреса комп'ютера джерела, наприклад, 201.3.83.132.
Вихідний порт - це номер TCP або UDP порту, призначений комп'ютером джерелом для цього пакета, наприклад, Порт 1080.
Адреса призначення - IP-адреса комп'ютера приймача. Наприклад, 145.51.18.223.
Порт призначення - номер TCP або UDP порту, який просить відкрити комп'ютер джерело на застосунку, наприклад порт 3021.

IP-адреси визначають дві машини з кожної сторони, в той час як номери портів гарантують, що з'єднання між цими двома комп'ютерами має унікальний ідентифікатор. Комбінація цих чотирьох чисел визначає єдине з'єднання TCP/IP. Кожен номер порту використовує 16 бітів, що означає, що існує 65536 (2^16) можливих значення. Насправді, оскільки різні виробники відображають порти трохи різними способами, ви можете очікувати приблизно 4000 доступних портів.

Приклади динамічного NAT та NAT з навантаженням

Нижче показано, як працює динамічний NAT.

Клацніть на одну із зелених кнопок, щоб надіслати успішний пакет або в або з внутрішньої мережі. Натисніть одну з червоних кнопок, щоб надіслати пакет, який відкине маршрутизатор через неприпустиму адресу.

внутрішня була встановлена з IP-адресами, які не були спеціально відведені для цієї компанії IANA (Органом з нагляду за присвоєнням адрес в Інтернеті), глобальне бюро, яке роздає IP адреси. Такі адреси слід вважати немаршрутизованими, оскільки вони не унікальні. Це внутрішні локальні адреси.
компанія встановлює маршрутизатор із NAT. Маршрутизатор має діапазон унікальних IP-адрес, виданих компанії. Це – внутрішні глобальні адреси.
комп'ютер на LAN намагається з'єднатися з комп'ютером поза мережею типу Web-сервера.
маршрутизатор отримує пакет від комп'ютера до LAN.
Після перевірки таблиці маршрутизації та процесу перевірки для трансляції, маршрутизатор зберігає немаршрутизовану адресу комп'ютера в таблиці трансляції адрес. Маршрутизатор замінює немаршрутизовану адресу комп'ютера відправника першою доступною IP-адресою з діапазону унікальних адрес. Таблиця трансляцій тепер має відображення немаршрутизованого IP адреси комп'ютера, якому відповідає одна з унікальних IP адрес.
Коли пакет повертається від комп'ютера, маршрутизатор перевіряє адресу приймача в пакеті. Потім він дивиться в таблицю трансляції адрес, щоб знайти, якому комп'ютера в домені належить цей пакет. Він змінює адресу приймача на те, що був збережений раніше в таблиці трансляції і посилає пакет потрібному комп'ютеру. Якщо роутер не знаходить відповідність таблиці, він знищує пакет.
Комп'ютер отримує пакет від маршрутизатора і весь процес повторюється, поки комп'ютер спілкується із зовнішньою системою.

Далі подивимося як працює перевантаження

Внутрішня мережа була встановлена з немаршрутизованими IP адресами, які не були спеціально відведені для компанії
компанія встановлює маршрутизатор із NAT. Маршрутизатор має унікальну IP адресу, яку видала IANA
комп'ютер у домені намагається з'єднатися з комп'ютером поза мережею, типу Web-сервера.
маршрутизатор отримує пакет від комп'ютера домену.
Після маршрутизації та перевірки пакета для виконання трансляції, маршрутизатор зберігає немаршрутизовану IP адресу комп'ютера та номер порту в таблиці трансляції. Маршрутизатор замінює немаршрутизовану IP адресу комп'ютера відправника IP адресою маршрутизатора. Маршрутизатор замінює вихідний порт комп'ютера відправника на якийсь випадковий номер порту і зберігає його в таблиці трансляції адрес для цього відправника. Таблиця трансляцій має відображення IP адреси комп'ютера, що не маршрутизується, і номери порту поряд з IP адресою маршрутизатора.
Коли пакет повертається з адресата, маршрутизатор перевіряє порт приміника в пакеті. Він потім дивиться в таблицю трансляцій, щоб знайти, до якого комп'ютера в домені належить пакет. Далі роутер змінює адресу приймача та порт приймача в ті значення, які були збережені раніше в таблиці трансляцій і посилає пакет кінцевому вузлу.
комп'ютер отримує пакет від маршрутизатора та процес повторюється
Оскільки маршрутизатор NAT тепер має вихідну адресу комп'ютера і вихідний порт, збережений до таблиці трансляцій, він продовжить використовувати той же номер порту для наступних підключень. Щоразу, коли маршрутизатор звертається до запису в таблиці трансляцій скидається таймер життя цього запису. Якщо до запису не звертаються, перш ніж таймер закінчується, він видаляється з таблиці

Число одночасних трансляцій, які маршрутизатор буде підтримувати, визначається переважно кількістю DRAM (Динамічна Пам'ять Довільного доступу). Так як типовий запис в таблиці трансляцій займає приблизно 160 байт, маршрутизатор з 4 Мбайт RAM може теоретично обробити 26214 одночасних з'єднань, що є більш ніж достатньо більшості додатків.

Безпека та Адміністрація

Реалізація динамічного NAT автоматично створює міжмережевий захист між вашою внутрішньою мережею та зовнішніми мережами або Інтернет. Динамічний NAT дозволяє лише підключення, що породжуються у локальній мережі. По суті, це означає, що комп'ютер на зовнішній мережі не може з'єднатися з вашим комп'ютером, якщо комп'ютер не почав з'єднання. Таким чином, ви можете працювати в Інтернеті та з'єднатися з сайтом, і навіть вивантажити файл. Але більше ніхто не може просто покуситися на вашу IP адресу і використовувати його, щоб з'єднатися з портом на вашому комп'ютері.

Статичний NAT, також званий вхідним мапінгом (inbound mapping), дозволяє підключення, ініційовані зовнішніми пристроями до комп'ютерів у LAN за певних обставин. Наприклад, ви можете відобразити внутрішню глобальну адресу на певну внутрішню локальну адресу, яка призначена на ваш Web-сервер.

Статичний NAT дозволяє комп'ютеру в LAN підтримувати певну адресу, спілкуючись із пристроями поза мережею:

Деякі NAT маршрутизатори передбачають велику фільтрацію та логування трафіку. Фільтрування дозволяє вашій компанії контролювати, які сайти на Мережі відвідують працівники, перешкоджаючи їм переглядати сумнівний матеріал. Ви можете використовувати реєстрацію трафіку, щоб створити журнал, які сайти відвідуються та на підставі цього генерувати різні звіти.

Іноді Мережеву Трансляцію Адреса плутають із проксі-серверами, де є певні відмінності. NAT прозорий для комп'ютерів джерела та приймача. Ніхто з них не знає, що це має справу з третім пристроєм. Але проксі сервер не прозорий. Вихідний комп'ютер знає, що робить запит на проксі. Комп'ютер адресата вважає, що проксі сервер - це вихідний комп'ютер і має справу безпосередньо з ним. Крім того, проксі-сервери зазвичай працюють на рівні 4 (Transport) моделі OSI або вище, тоді як NAT – це протокол рівня 3 (Network). Робота на більш високих рівнях робить проксі-сервери повільнішими, ніж NAT пристрої в більшості випадків.

І переглядаєте сторінки WEB сайту. Велика ймовірність того, що саме зараз ви використовуєте перетворення мережевих адрес (NAT).

Ніхто не міг передбачити таке розростання Інтернету, яке ми спостерігаємо сьогодні. Хоча точні розміри невідомі, оцінки показують, що в Інтернеті є приблизно 100 мільйонів активних вузлів і більше 350 мільйонів користувачів. Темпи зростання Інтернету такі, що його розмір щороку подвоюється.

Який же стосунок має перетворення мережевих адрес до розмірів Інтернету? Саме безпосереднє! Щоб цей комп'ютер міг зв'язуватися з іншими комп'ютерами та WEB серверами по Інтернету, він повинен мати власну IP адресу. IP адреса (IP означає протокол Інтернету) є унікальним 32-бітовим числом, що позначає місце даного комп'ютера в мережі. В принципі, він функціонує, як ваша домашня адреса - це спосіб точно знайти місцезнаходження вашого комп'ютера і доставити вам інформацію.

IP адресація

Коли вперше з'явилася IP адресація, всі вважали, що адрес достатньо для того, щоб задовольнити будь-які потреби. Теоретично може бути загалом 4294967296 унікальних адрес (232). Фактична кількість доступних для використання адрес трохи менша (приблизно між 3.2 і 3.3 мільярдами), що пояснюється особливостями розбиття адрес на класи і тим, що певні адреси резервуються для багатоадресної розсилки, тестування та інших спеціальних потреб.

В умовах вибухового розростання Інтернету, зростання домашніх та корпоративних мереж, наявних IP адрес просто не вистачає. Очевидне рішення - змінити формат адреси, щоб було більше адрес. Така система розгортається (вона називається IPv6), проте для її впровадження буде потрібно кілька років, тому що при цьому потрібно модернізувати всю структуру Інтернету.

На допомогу приходить система NAT (RFC 1631). Перетворення мережних адрес дозволяє одному пристрої, наприклад, маршрутизатору, виконувати функції посередника між Інтернетом (або «публічною мережею») і локальною (або «приватною») мережею. Це означає, що для представлення цілої групи комп'ютерів потрібна лише одна унікальна IP-адреса.

Однак недолік IP адрес - лише одна з причин, з яких використовують NAT. Наша стаття присвячена перевагам та особливостям цієї системи. Спочатку розглянемо докладніше, що таке NAT і як ця система працює.

Принцип роботи системи NAT

Система NAT схожа на секретаря у великому офісі. Припустимо, ви дали йому інструкцію не з'єднувати вас ні з ким, хто б не дзвонив, поки ви не дасте дозвіл на такі дії. Пізніше ви телефонуєте потенційному клієнту і залишаєте йому повідомлення про те, щоб він вам передзвонив. Ви повідомляєте секретареві, що чекаєте на дзвінок від клієнта і наказуєте забезпечити з'єднання, коли той зателефонує.

Клієнт набирає головний номер телефону офісу, тому що йому відомий тільки цей номер. Клієнт повідомляє секретареві, що він хоче зв'язатися з вами, секретар звіряється за довідковою таблицею, де вказано ваше ім'я та ваш додатковий телефонний номер. Секретар знає, що ви дозволили скомутувати цього клієнта, тому комутує сторону, що викликає, на ваш додатковий номер.

Система перетворення мережевих адрес

Система перетворення мережевих адрес, розроблена компанією Cisco, використовується пристроєм ( , маршрутизатором або комп'ютером), що з'єднує внутрішню мережу з рештою світу. Перетворення мережевих адрес може мати різні форми і може працювати різними способами:

Статичне перетворення мережевих адрес - перетворення незареєстрованої IP адреси в зареєстровану IP адресу за принципом «один до одного». Особливо корисно, коли потрібний доступ до пристрою з-за меж локальної мережі.
Динамічне перетворення мережевих адрес - перетворення незареєстрованої IP адреси в зареєстровану IP адресу з групи зареєстрованих IP адрес.
Перевантаження - форма динамічного перетворення, що перетворює багато незареєстрованих IP-адрес в одну зареєстровану адресу за рахунок використання різних портів. Цю процедуру ще називають PAT (Port Address Translation, перетворення портів та адрес), одноадресним NAT або мультиплексованим NAT на рівні портів.
Збіг - коли адреси, що використовуються у вашій мережі, є зареєстрованими IP адресами, що використовуються в іншій мережі, маршрутизатор повинен вести таблицю перетворення таких адрес, перехоплювати їх і замінювати зареєстрованими унікальними IP адресами. Важливо, що маршрутизатор NAT повинен перетворювати «внутрішні» адреси на зареєстровані унікальні адреси, а також «зовнішні» зареєстровані адреси на адреси, які є унікальними в приватній мережі. Така операція може здійснюватися з використанням статичного перетворення мережевих адрес або сервісу доменних імен (DNS) і впровадження динамічного перетворення мережевих адрес.

Внутрішня мережа зазвичай є локальною мережею (LAN, Local Area Network), яку іноді називають тупиковим доменом (stub domain). Тупиковий домен - це локальна мережа, всередині якої використовуються адреси IP. Більшість мережевого трафіку в тупиковому домені локальна і не виходить за межі внутрішньої мережі. Тупиковий домен може містити як зареєстровані, так і незареєстровані IP-адреси. Зрозуміло, всі комп'ютери, яким присвоєно незареєстровані IP-адреси, для зв'язку з рештою світу повинні користуватися перетворенням мережевих адрес.

NAT можна налаштовувати у різний спосіб. У наведеному нижче прикладі маршрутизатор NAT налаштований так, що перетворює незареєстровані (внутрішні, локальні) IP адреси, що застосовуються у приватній (внутрішній) мережі, на зареєстровані IP адреси. Ця процедура виконується кожного разу, коли пристрою з незареєстрованою адресою у внутрішній мережі потрібно зв'язатися з мережею загального користування (зовнішньої).

Інтернет-провайдер закріплює за вашою компанією низку IP-адрес. Адреси із закріпленої групи є зареєстрованими IP адресами та називаються внутрішніми глобальними адресами. Незареєстровані, приватні адреси IP поділяються на дві групи. Одна маленька група (зовнішні локальні адреси) використовується маршрутизаторами NAT. Друга значно більша група, яку називають внутрішніми локальними адресами (inside local addresses), використовується в тупиковому домені. Зовнішні локальні адреси використовуються для формування унікальних IP адрес пристроїв, які називають зовнішніми глобальними адресами, для виходу в публічну мережу.
Більшість комп'ютерів тупикового домену обмінюються інформацією один з одним за допомогою внутрішніх локальних адрес.
Деякі комп'ютери тупикового домену часто зв'язуються з пристроями за межами локальної мережі. Ці комп'ютери мають внутрішні глобальні адреси, які не потребують перетворення.
Коли комп'ютеру тупикового домену з внутрішньою локальною адресою потрібно зв'язатися з комп'ютером за межами локальної мережі, пакет надсилається до одного з маршрутизаторів NAT.
Маршрутизатор NAT звіряється з таблицею маршрутизації для з'ясування, чи є запис адреси призначення. Якщо такий запис є, маршрутизатор NAT перетворює пакет і створює запис у таблиці трансляції адрес. Якщо адреси призначення у таблиці маршрутизації немає, пакет ігнорується.
За допомогою внутрішньої глобальної адреси маршрутизатор відправляє пакет до пункту призначення.
Комп'ютер у громадській мережі відправляє пакет у приватну мережу. Адресою відправника пакета є зовнішня глобальна адреса. Адресою призначення є внутрішня глобальна адреса.
Маршрутизатор NAT звіряється з таблицею трансляції адрес та визначає, що тут є адреса призначення, що співвідноситься з комп'ютером у тупиковому домені.
Маршрутизатор NAT перетворює внутрішній глобальний адресу пакета на внутрішній локальний адресу і відправляє пакет до відповідного комп'ютера.

Навантаження NAT

Перевантаження NAT використовує функцію пакета протоколів TCP/IP, мультиплексування, що дозволяє комп'ютеру створювати з одним або кількома віддаленими комп'ютерами кілька одночасних з'єднань із застосуванням різних портів TCP або UDP. Пакет IP містить заголовок, в якому є така інформація:

Адреса джерела - IP адреса комп'ютера-відправника, наприклад, 201.3.83.132
Порт відправника - номер порту TCP або UDP, призначений комп'ютером-відправником для цього пакета, наприклад, порт 1080
Адреса отримувача - IP адреса комп'ютера-отримувача, наприклад, 145.51.18.223
Порт призначення – це номер порту TCP або UDP, який комп'ютер-відправник вимагає відкрити у комп'ютера-отримувача, наприклад, порт 3021.

Адреси вказують дві машини кожному кінці, а номери портів забезпечують унікальний ідентифікатор для з'єднання між двома комп'ютерами. Комбінацією цих чотирьох чисел визначається одна сполука TCP/IP. У кожному номері порту використовується 16 біт, а це означає, що можливо 65536 (216) значень. На практиці, з урахуванням того, що різні виробники зіставляють порти трохи по-різному, можна очікувати, що доступними будуть приблизно 4000 портів.

Кількість публічних IPv4-адрес недостатня, щоб призначити унікальні адреси всім пристроям, підключеним до Інтернету. У більшості випадків, мережі реалізуються з використанням приватних IPv4-адрес відповідно до RFC 1918. На рис. 1 показаний діапазон адрес, включених до RFC 1918. Найімовірніше, комп'ютера, на якому ви зараз переглядаєте матеріал навчального курсу, призначено приватну адресу.

Ці приватні адреси використовуються в рамках організації або об'єкта для забезпечення взаємодії пристроїв на локальному рівні. Але оскільки ці адреси не визначають конкретну компанію або організацію, приватні адреси IPv4 не можна використовувати для маршрутизації через Інтернет. Для того, щоб дозволити пристрою з приватною IPv4-адресою доступ до пристроїв та ресурсів поза локальною мережею, приватну адресу спочатку необхідно перетворити на публічну адресу.

Як показано на рис. 2, NAT забезпечує перетворення приватних адрес у публічні адреси. Це дозволяє пристрою з приватною IPv4-адресою отримувати доступ до ресурсів поза своєю приватною мережею, включаючи ресурси, знайдені в Інтернеті. У поєднанні з приватними IPv4-адресами NAT продемонстрував свою доцільність щодо економії публічних IPv4-адрес. Одна публічна IPv4-адреса може спільно використовуватися сотнями, навіть тисячами пристроїв, для кожного з яких налаштована унікальна приватна IPv4-адреса.

Без використання NAT адресний простір IPv4 було б вичерпано задовго до 2000 року. Незважаючи на свої переваги, NAT має низку обмежень, які будуть детально розглядатися далі у цьому розділі. Вирішенням проблеми вичерпання простору IPv4-адрес та обмежень NAT є остаточний перехід на IPv6.

Характеристики NAT

Перетворення мережевих адрес NAT використовується в різних цілях, проте основним завданням даного механізму є збереження публічних IPv4-адрес. Це досягається шляхом дозволу мережам використовувати приватні IPv4-адреси для внутрішньої взаємодії та перетворення їх у публічні адреси лише у разі потреби. Додаткова перевага NAT – підвищення ступеня конфіденційності та безпеки мережі – пояснюється тим, що даний механізм приховує внутрішні IPv4-адреси від зовнішніх мереж.

Для маршрутизатора з підтримкою NAT можна налаштувати одну або кілька діючих публічних IPv4-адрес. Ці публічні адреси відомі як пул адрес NAT. Коли внутрішній пристрій надсилає трафік за межі мережі, маршрутизатор з підтримкою NAT перетворює внутрішній IPv4-адресу пристрою на публічну адресу з пулу NAT. Зовнішнім пристроям здається, що весь трафік, що входить у мережу і виходить із неї, використовує публічні IPv4-адреси з наданого пулу адрес.

Маршрутизатор NAT зазвичай працює на межі тупикової мережі. Тупикова мережа - це мережа, що використовує єдине з'єднання з сусідньою мережею, один маршрут і один вихідний маршрут. У прикладі, показаному малюнку, R2 є прикордонним маршрутизатором. З погляду інтернет-провайдера, маршрутизатор R2 створює тупикову мережу.

Якщо пристрій у глухій мережі потребує з'єднання з пристроєм поза його мережею, пакет пересилається прикордонному маршрутизатору. Прикордонний маршрутизатор виконує процес NAT, перетворюючи внутрішню приватну адресу пристрою на публічну, зовнішню адресу, що маршрутизується.

Примітка. Підключення до мережі інтернет-провайдера може також використовувати приватну адресу або публічну адресу, яка спільно використовується клієнтами постачальника. У рамках аналізованої теми як приклад наведено публічну адресу.

У термінології NAT під "внутрішньою мережею" мається на увазі набір мереж, задіяних у перетворенні. Термін «зовнішня мережа» відноситься до всіх інших мереж.

При використанні NAT, IPv4-адреси становлять різні точки призначення залежно від того, чи знаходяться вони в приватній або в публічній мережі (Інтернет), а також від того, чи є трафік вхідним або вихідним.

У NAT передбачено 4 типи адрес:

внутрішня локальна адреса;

внутрішня глобальна адреса;

зовнішня локальна адреса;

зовнішня глобальна адреса.

При визначенні використовуваного типу адреси важливо пам'ятати, що термінологія NAT завжди застосовується з точки зору пристрою з адресою, що перетворюється:

Внутрішня адреса- Це адреса пристрою, що перетворюється механізмом NAT.

Зовнішня адреса- Це адреса пристрою призначення.

У рамках NAT стосовно адресам також використовується поняття локальності чи глобальності:

Локальна адреса- це будь-яка адреса, що з'являється у внутрішній частині мережі.

Глобальна адреса- це будь-яка адреса, що з'являється у зовнішній частині мережі.

На малюнку внутрішньою локальною адресою PC1 є 192.168.10.10. З точки зору PC1, веб-сервер використовує зовнішню адресу 209.165.201.1. Коли пакети надсилаються з PC1 на глобальну адресу веб-сервера, внутрішня локальна адреса PC1 перетворюється на 209.165.200.226 (внутрішня глобальна адреса). Адреса зовнішнього пристрою зазвичай не перетворюється, тому що ця адреса зазвичай є публічною IPv4-адресою.

Зверніть увагу, що для PC1 використовуються різні локальні та глобальні адреси, а для веб-сервера в обох випадках використовується одна публічна IPv4-адреса. З точки зору веб-сервера трафік, що виходить від PC1, представляється надходить з адреси 209.165.200.226 внутрішньої глобальної адреси.

Маршрутизатор NAT (R2 на малюнку) являє собою точку розмежування між внутрішньою та зовнішньою мережами, а також між локальними та глобальними адресами.

Терміни «внутрішній» та «зовнішній» використовуються у поєднанні з термінами «локальний» та «глобальний», коли йдеться про конкретні адреси. На малюнку маршрутизатор R2 налаштований використання механізму NAT. Він використовує пул публічних адрес, що призначаються внутрішнім вузлам.

Внутрішня локальна адреса- це адреса джерела, видимий із внутрішньої мережі. На малюнку PC1 призначено IPv4-адресу 192.168.10.10. Це внутрішня локальна адреса PC1.

Внутрішня глобальна адреса- це адреса джерела, видима із зовнішньої мережі. На малюнку, коли PC1 відправляє трафік веб-серверу з адресою 209.165.201.1, R2 перетворює внутрішню локальну адресу на внутрішню глобальну адресу. У цьому випадку R2 змінює вихідну IPv4-адресу з 192.168.10.10 на 209.165.200.226. У термінології NAT, внутрішня локальна адреса 192.168.10.10 перетворюється на внутрішню глобальну адресу 209.165.200.226.

Зовнішня глобальна адреса- Це адреса призначення, видима із зовнішньої мережі. Це IPv4-адреса, що глобально маршрутизується, призначена вузлу в Інтернеті. Наприклад, веб-сервер доступний за IPv4-адресою 209.165.201.1. Найчастіше зовнішній локальний і зовнішній глобальний адреси збігаються.

Зовнішня локальна адреса- Це адреса призначення, видима з внутрішньої мережі. У цьому прикладі PC1 надсилає трафік веб-серверу з IPv4-адресою 209.165.201.1. У поодиноких випадках ця адреса може відрізнятися від адреси призначення, що глобально маршрутизується.

На малюнку показано, як адресується трафік, надісланий внутрішнім комп'ютером зовнішньому веб-серверу через маршрутизатор із підтримкою NAT. Також показано, як спочатку адресується та перетворюється зворотний трафік.

Примітка. Використання зовнішньої локальної адреси не розглядається у матеріалі цього навчального курсу.

Типи перетворення мережевих адрес NAT

Існують три механізми перетворення мережевих адрес:

Статичне перетворення мережевих адрес (статичний NAT)- це взаємно-однозначна відповідність між локальною та глобальною адресами.

Динамічне перетворення мережевих адрес (динамічний NAT)- це зіставлення адрес за схемою «багато до багатьох» між локальними та глобальними адресами.

Перетворення адрес портів (PAT)- це зіставлення адрес за схемою «багато до одного» між локальними та глобальними адресами. Цей метод також називається перевантаженням (NAT з перевантаженням).

Статичне перетворення мережевих адрес (NAT)

Статичний NAT використовує зіставлення локальних та глобальних адрес за схемою «один на один». Ці відповіді задаються адміністратором мережі та залишаються незмінними.

На малюнку для маршрутизатора R2 налаштовані статичні відповідності внутрішніх локальних адрес Svr1, PC2 і PC3. Коли ці пристрої надсилають трафік до Інтернету, їх внутрішні локальні адреси перетворюються на внутрішні глобальні адреси. Для зовнішніх мереж ці пристрої використовують публічні IPv4-адреси.

Метод статичного перетворення мережевих адрес особливо корисний для веб-серверів або пристроїв, які повинні мати постійну адресу, доступний з Інтернету - наприклад, для веб-сервера компанії. Статичний NAT також підходить для пристроїв, які мають бути доступні авторизованому персоналу, який працює поза офісом, але при цьому залишатися закритими для загального доступу через Інтернет. Наприклад, мережний адміністратор може з PC4 підключитися за допомогою SSH до внутрішньої глобальної адреси Svr1 (209.165.200.226). Маршрутизатор R2 перетворює цю внутрішню глобальну адресу на внутрішню локальну адресу та підключає сеанс адміністратора до Svr1.

Для статичного NAT потрібна достатня кількість публічних адрес, доступних для загальної кількості одночасних сеансів користувачів.

Динамічне перетворення адрес NAT

p align="justify"> Метод динамічного перетворення мережевих адрес (динамічний NAT) використовує пул публічних адрес, які присвоюються в порядку живої черги. Коли внутрішній пристрій запитує доступ до зовнішньої мережі, динамічний NAT надає доступну публічну IPv4-адресу з пулу.

На малюнку PC3 отримує доступ до Інтернету, використовуючи першу доступну адресу в динамічному пулі NAT. Інші адреси, як і раніше, доступні для використання. Аналогічно статичному NAT, для динамічного NAT потрібна достатня кількість публічних адрес, здатна забезпечити загальну кількість одночасних сеансів користувачів.

Перетворення адрес портів (PAT)

Також зване NAT з перевантаженням, зіставляє безліч приватних IPv4-адрес одній або декільком публічним IPv4-адрес. Саме цей метод реалізується більшістю домашніх маршрутизаторів. Інтернет-провайдер призначає маршрутизатору одну адресу, але кілька членів сім'ї можуть одночасно отримувати доступ до Інтернету. NAT з навантаженням – це найпоширеніший метод перетворення мережевих адрес.

За допомогою цього методу безліч адрес можуть бути зіставлені одній або декільком адресам, оскільки кожна приватна адреса також відстежуються за номером порту. Якщо пристрій розпочинає сеанс TCP/IP, він створює значення порту TCP або UDP для джерела, щоб унікально визначити сеанс. Коли маршрутизатор NAT отримує пакет від клієнта, він використовує номер порту джерела, щоб унікальним чином визначити конкретне перетворення NAT.

PAT гарантує, що пристрої використовуватимуть різні номери портів TCP для кожного сеансу взаємодії з сервером в Інтернеті. При поверненні відповіді від сервера номер порту джерела, який стає номером порту призначення під час зворотної передачі, визначає, якому пристрою маршрутизатор перешле відповідні пакети. Процес PAT також переконується в тому, що вхідні пакети дійсно були запитані, таким чином підвищуючи ступінь безпеки сеансу.

Для керування анімацією використовуйте кнопки «Відтворення» та «Пауза» на малюнку.

Анімація ілюструє процес перетворення адрес портів (PAT). Для того, щоб розрізняти перетворення, механізм PAT додає унікальні номери портів джерела до внутрішньої глобальної адреси.

Оскільки маршрутизатор R2 обробляє кожен пакет, він використовує номер порту (в прикладі 1331 і 1555) для ідентифікації пристрою, з якого надійшов пакет. Адреса джерела (SA) - це внутрішня локальна адреса з доданим номером порту TCP/IP. Адреса призначення (DA) - це зовнішня локальна адреса з доданим номером порту служби. У цьому прикладі порт служби дорівнює 80: HTTP.

Для адреси джерела маршрутизатор R2 перетворює внутрішню локальну адресу на внутрішню глобальну адресу з доданим номером порту. Адреса призначення не змінюється, але тепер вона стає зовнішньою глобальною IP-адресою. Коли веб-сервер відповідає, шлях проходить знову, лише у зворотному порядку.

У попередньому прикладі номери портів клієнта, 1331 та 1555, не змінювалися на маршрутизаторі з підтримкою NAT. Цей сценарій не дуже правдоподібний, оскільки є велика ймовірність того, що ці номери портів вже використовуються для інших активних сеансів.

Перетворення PAT намагається зберегти оригінальний порт джерела. Якщо оригінальний порт джерела вже використовується, PAT призначає перший доступний номер порту, починаючи з початку відповідної групи портів - 0-511, 512-1023 або 1024-65535. Якщо доступних портів більше немає, а в пулі адрес є кілька зовнішніх адрес, PAT переходить до наступної адреси, намагаючись виділити оригінальний порт джерела. Цей процес триває доти, доки вичерпаються як доступні порти, і зовнішні IP-адреси.

Щоб ознайомитись з принципом роботи PAT, натисніть кнопку «Відтворення» на малюнку.

В анімації вузли вибирають той самий номер порту - 1444. Це допустимо для внутрішньої адреси, оскільки вузлам призначені унікальні приватні IP-адреси. Але на маршрутизаторі з підтримкою NAT номери портів потрібно змінити. В іншому випадку пакети від двох різних вузлів виходили з R2 з однаковою адресою джерела. У цьому прикладі в процесі перетворення PAT другий адресою вузла призначається наступний доступний порт (1445).

Порівняння NAT та PAT

Сформульовані нижче відмінності між NAT та PAT допоможуть зрозуміти особливості кожного з цих методів перетворення мережевих адрес.

Як показано на малюнку, NAT перетворює IPv4-адреси, виходячи зі схеми 1:1 для приватних IPv4-адрес та публічних IPv4-адрес. У той же час PAT змінює і адресу, і номер порту.

NAT пересилає вхідні пакети за їх внутрішнім призначенням, використовуючи вхідну IPv4-адресу джерела, наданий вузлом у публічній мережі. При використанні PAT зазвичай використовується лише одна або невелика кількість публічно представлених IPv4-адрес. Вхідні пакети з публічної мережі надсилаються адресатам у приватній мережі за допомогою таблиці маршрутизатора NAT. Ця таблиця відстежує пари публічних і приватних портів, що називається відстеження з'єднань.

Пакети без сегмента рівня 4

Що ж відбувається з пакетами IPv4, що передають дані, які не є сегментом TCP чи UDP? Дані пакети не містять номера порту рівня 4. PAT перетворює більшість основних протоколів, що передаються за допомогою IPv4 і не використовують TCP або UDP, на протокол транспортного рівня. Найпоширенішим серед таких протоколів є протокол ICMPv4. Процес перетворення PAT обробляє кожен із цих протоколів по-різному. Наприклад, повідомлення запитів ICMPv4, луна-запити та луна-відповіді містять ідентифікатор запиту (Query ID). ICMPv4 використовує ідентифікатор запиту (Query ID), щоб визначити луна-запит з відповідною луною-відповіддю. Ідентифікатор запиту збільшується з кожним надісланим відлунням. PAT використовує ідентифікатор запиту замість порту рівня 4.

Примітка. Інші повідомлення ICMPv4 не використовують ідентифікатор запиту (Query ID). Ці повідомлення та інші протоколи, що не використовують номери портів TCP і UDP, можуть відрізнятися один від одного і не розглядаються в рамках цього навчального курсу.

Налаштування NAT

Налаштування статичного NAT

Статичне перетворення мережевих адрес NAT - це взаємно-однозначне зіставлення внутрішньої та зовнішньої адрес. Статичний NAT дозволяє зовнішнім пристроям ініціювати підключення до внутрішніх пристроїв за допомогою статично призначеної публічної адреси. Наприклад, внутрішньому веб-серверу може бути зіставлена внутрішня глобальна адреса, визначена таким чином, щоб вона була доступна із зовнішніх мереж.

На рис. 1 показано внутрішню мережу, що містить веб-сервер з приватною IPv4-адресою. На маршрутизаторі R2 налаштовано статичний NAT, щоб надати доступ до веб-сервера пристроям із зовнішньої мережі (Інтернет). Клієнт із зовнішньої мережі звертається до веб-сервера, використовуючи публічну IPv4-адресу. Статична NAT перетворює публічну IPv4-адресу на приватну IPv4-адресу.

Налаштування статичного NAT пов'язане з двома основними завданнями.

Крок 1.Першим завданням є створення відповідності між внутрішнім локальним та внутрішнім глобальним адресами. Наприклад, на рис. 1 в якості статичного перетворення NAT налаштовані внутрішню локальну адресу 192.168.10.254 та внутрішню глобальну адресу 209.165.201.5.

Крок 2Після налаштування відповідності інтерфейси, що у перетворення, налаштовуються як внутрішні чи зовнішні щодо NAT. У цьому прикладі інтерфейс Serial 0/0/0 маршрутизатора R2 є внутрішнім, а Serial 0/1/0 зовнішнім інтерфейсом.

Пакети, що надходять на внутрішній інтерфейс маршрутизатора R2 (Serial 0/0/0) від налаштованої внутрішньої локальної IPv4-адреси (192.168.10.254), перетворюються, а потім передаються у зовнішню мережу. Пакети, що надходять на зовнішній інтерфейс маршрутизатора R2 (Serial 0/1/0), адресовані настроєної внутрішньої глобальної IPv4-адреси (209.165.201.5), перетворюються до внутрішньої локальної адреси (192.168.10.254) і потім передаються.

На рис. 2 наведено команди, необхідні для налаштування статичного NAT.

На рис. 3 показані команди, необхідні для створення на маршрутизаторі R2 статичного зіставлення NAT для веб-сервера у довідковій топології. В рамках показаної конфігурації R2 перетворює в пакетах, надісланих веб-сервером, адресу 192.168.10.254 на публічну IPv4-адресу 209.165.201.5. Інтернет-клієнт надсилає веб-запити на публічну IPv4-адресу 209.165.201.5. Маршрутизатор R2 надсилає цей трафік веб-серверу за адресою 192.168.10.254.

Використовуйте засіб перевірки синтаксису (див. мал. 4) для налаштування додаткового запису статичного перетворення NAT на маршрутизаторі R2.

На цьому малюнку відображається процес статичного перетворення NAT між клієнтом та веб-сервером з використанням попередньої конфігурації. Статичні перетворення зазвичай використовуються, коли клієнтам із зовнішньої мережі (Інтернет) потрібно звернутися до серверів внутрішньої мережі.

1. Клієнту необхідно підключитися до веб-сервера. Клієнт передає пакет на веб-сервер, використовуючи публічну IPv4-адресу призначення 209.165.201.5. Це внутрішня глобальна адреса веб-сервера.

2. Перший пакет, який маршрутизатор R2 отримує від клієнта свій зовнішній інтерфейс NAT, змушує R2 перевірити свою таблицю NAT. IPv4-адреса призначення знаходиться в таблиці NAT, і маршрутизатор виконує відповідне перетворення.

3. R2 замінює внутрішню глобальну адресу 209.165.201.5 внутрішньою локальною адресою 192.168.10.254. Потім R2 пересилає пакет веб-серверу.

4. Веб-сервер отримує пакет та відповідає клієнту, використовуючи внутрішню локальну адресу 192.168.10.254.

5а. R2 отримує пакет від веб-сервера на свій внутрішній інтерфейс NAT з адресою джерела, що відповідає внутрішній локальній адресі веб-сервера, 192.168.10.254.

5b. R2 перевіряє таблицю NAT щодо наявності перетворення для внутрішнього локального адреси. Ця адреса присутня в таблиці NAT. R2 виконує зворотне перетворення адреси джерела у внутрішню глобальну адресу 209.165.201.5 та пересилає пакет клієнту через свій інтерфейс Serial 0/1/0.

6. Клієнт отримує пакет та продовжує діалог. Маршрутизатор NAT виконує кроки 2-5b кожного пакета (крок 6 малюнку не показаний).

Перевірка статичного NAT

Для перевірки роботи NAT використовується команда show ip nat translations. Ця команда відображає активні перетворення NAT. На відміну від динамічних перетворень статичні перетворення завжди присутні в таблиці NAT. На рис. 1 показаний результат цієї команди попереднього прикладу конфігурації. Оскільки у прикладі наводиться статична конфігурація, перетворення завжди є у таблиці NAT незалежно від активних взаємодій. Якщо команда вводиться під час активного сеансу, вихідні дані також міститиму адресу зовнішнього пристрою, як показано на рис. 1.

Іншою корисною командою є show ip nat statistics. Як показано на рис. 2, команда show ip nat statistics

Щоб переконатися у правильності роботи перетворення NAT, перед тестуванням рекомендується очистити статистику всіх попередніх перетворень за допомогою команди clear ip nat statistics.

До початку взаємодії з веб-сервером команда show ip nat statisticsне повинна показувати будь-яких збігів. Після встановлення клієнтом сеансу з веб-сервером результат команди show ip nat statisticsпокаже збільшення кількості збігів до 5. Це підтверджує виконання статичного перетворення NAT R2.

Налаштування динамічного NAT

У той час як статичне перетворення NAT забезпечує постійну відповідність між внутрішньою локальною адресою та внутрішньою глобальною адресою, динамічне перетворення NAT підтримує автоматичне зіставлення внутрішніх локальних адрес внутрішнім глобальним адресам. Ці внутрішні глобальні адреси зазвичай є публічними IPv4-адресами. Динамічний NAT використовує для перетворення групу або пул публічних IPv4-адрес.

Для динамічного NAT, як і статичного NAT, потрібно налаштування внутрішнього і зовнішнього інтерфейсів, що у перетворення NAT. Однак, якщо статичне перетворення NAT створює постійне зіставлення з однією адресою, динамічний NAT використовується пул адрес.

Примітка. Перетворення між публічними та приватними IPv4-адресами є найпоширенішим застосуванням NAT. Проте перетворення NAT можуть виникати між будь-якими парами адрес.

У довідковій топології, показаній на малюнку, внутрішня мережа використовує адреси з простору приватних адрес, визначеного RFC 1918. До маршрутизатора R1 підключені дві локальні мережі - 192.168.10.0/24 і 192.168.11.0/24. Прикордонний маршрутизатор R2 налаштований на динамічне перетворення NAT з використанням пулу публічних IPv4-адрес від 209.165.200.226 до 209.165.200.240.

Пул публічних IPv4-адрес (пул внутрішніх глобальних адрес) доступний будь-якому пристрою у внутрішній мережі за принципом «першим прийшов – першим обслужили». При динамічному перетворенні NAT одна внутрішня адреса перетворюється на одну зовнішню адресу. Для цього типу перетворення в пулі має бути достатньо адрес, щоб охопити всі внутрішні пристрої, яким одночасно потрібен доступ до зовнішньої мережі. Якщо всі адреси пула використані, пристрій повинен дочекатися доступної адреси, щоб отримати доступ до зовнішньої мережі.

На рис. показано кроки та команди, які використовуються для налаштування динамічного NAT.

Крок 1.За допомогою команди ip nat poolвкажіть пул адрес, які будуть використовуватися для перетворення. Цей пул адрес зазвичай є групою публічних адрес. Ці адреси визначаються за допомогою вказівки початкової та кінцевої IP-адрес пула. Ключове слово netmaskабо prefix-lengthвказує, які біти адреси відносяться до мережі, а які - діапазон адрес вузлів.

Крок 2Налаштуйте стандартний ACL-список, щоб визначити (дозволити) тільки ті адреси, які потрібно перетворити. ACL-список із занадто великою кількістю команд може призвести до непередбачуваних результатів. Пам'ятайте, що в кінці кожного ACL-списку знаходиться рядок deny all.

Крок 3Виконайте прив'язку ACL-списку до пулу. Команда ip nat inside source listaccess-list-numbernumber poolpool nameвикористовується для прив'язки списку до пулу. Ця конфігурація використовується маршрутизатором для визначення, які пристрої ( list) отримують якісь адреси ( pool).

Крок 4.Визначте інтерфейси, які є внутрішніми стосовно NAT, тобто. будь-який інтерфейс, підключений до внутрішньої мережі.

Крок 5.Визначте інтерфейси, що є зовнішніми щодо NAT, тобто. будь-який інтерфейс, підключений до зовнішньої мережі.

На рис. 2 наведено приклад топології та відповідна конфігурація. Дана конфігурація дозволяє перетворення для всіх вузлів мережі 192.168.0.0/16, що містить локальні мережі 192.168.10.0 та 192.168.11.0, коли вузли створюють трафік, що входить до S0/0/0 і виходить із S0/1/0. Адреси цих вузлів перетворюються на доступну адресу з пулу в діапазоні від 209.165.200.226 до 209.165.200.240.

На рис. 3 показано топологію, що використовується для конфігурації інструмента перевірки синтаксису. Використовуйте інструмент перевірки синтаксису на рис. 4, щоб налаштувати динамічне перетворення NAT на маршрутизаторі R2.

Аналіз динамічного NAT

Наведені малюнки ілюструють процес динамічного перетворення NAT між двома клієнтами та веб-сервером із використанням попередньої конфігурації.

На рис. 1 показаний потік трафіку зсередини назовні.

1. Вузли з IPv4-адресами джерела (192.168.10.10 (PC1) та 192.168.11.10 (PC2)) відправляють пакети, що запитують підключення до сервера на публічну IPv4-адресу (209.165.200.254).

2. Маршрутизатор R2 отримує перший пакет від вузла 1921681010. Оскільки цей пакет було отримано на інтерфейс, налаштований як внутрішній інтерфейс NAT, R2 перевіряє конфігурацію NAT, щоб визначити, чи слід виконувати перетворення даного пакета. ACL-список дозволяє цей пакет, тому R2 виконує його перетворення. Маршрутизатор R2 перевіряє свою таблицю NAT. Оскільки для цієї IP-адреси немає записів перетворення, R2 вирішує, що адреса джерела 192.168.10.10 потрібне динамічне перетворення. Маршрутизатор R2 вибирає доступну глобальну адресу з пулу динамічних адрес та створює запис перетворення - 209.165.200.226. Початкова IPv4-адреса джерела (192.168.10.10) - це внутрішня локальна адреса, а використовувана для перетворення адреса - це внутрішня глобальна адреса (209.165.200.226) у таблиці NAT.

R2 повторює процедуру для другого вузла, 192.168.11.10, вибираючи наступну доступну глобальну адресу з динамічного пулу пула і створюючи другий запис перетворення, 209.165.200.227.

3. R2 замінює внутрішній локальний адресу джерела PC1 (192.168.10.10) використовуваним перетворення внутрішнім глобальним адресою (209.165.200.226) і пересилає пакет. Ті ж дії виконуються для пакета, відправленого PC2, з використанням для перетворення адресою, що відповідає PC2 (209.165.200.227).

Рис 1

На рис. 2 показаний потік трафіку зовні всередину.

4. Сервер отримує пакет від PC1 і відповідає за допомогою IPv4-адреси призначення 209.165.200.226. Отримавши другий пакет, сервер відповідає PC2, використовуючи IPv4-адресу призначення 209.165.200.227.

5а. Отримавши пакет з IPv4-адресою призначення 209.165.200.226, маршрутизатор R2 виконує пошук у таблиці NAT. За допомогою зіставлення з таблиці маршрутизатор R2 виконує перетворення адреси у внутрішній локальний адресу (192.168.10.10) і пересилає пакет PC1.

5b. Отримавши пакет з IPv4 адресою призначення 209.165.200.227, маршрутизатор R2 виконує пошук у таблиці NAT. За допомогою зіставлення з таблиці маршрутизатор R2 виконує перетворення адреси у внутрішній локальний адресу (192.168.11.10) і пересилає пакет PC2.

6. PC1 з адресою 192.168.10.10 та PC2 з адресою 192.168.11.10 отримують пакети та продовжують діалог. Маршрутизатор NAT виконує кроки 2-5b кожного пакета (крок 6 не наводиться на малюнках).

Рис 2

Перевірка динамічного NAT

Результати команди show ip nat translations, показані на рис. 1, містять відомості про два попередні призначення NAT. Команда відображає всі налаштовані статичні перетворення адрес та всі динамічні перетворення, створені в результаті обробки трафіку.

Додавання ключового слова verboseвиводить додаткову інформацію про кожне перетворення, включаючи час, що минув після створення та використання запису.

За умовчанням термін дії записів перетворення закінчується через 24 години, якщо налаштування таймерів не було змінено за допомогою команди ip nat translation timeouttimeout-secondsу режимі глобальної конфігурації.

Для видалення динамічних записів до закінчення їхнього часу дії використовуйте команду режиму глобальної конфігурації clear ip nat translation. Під час перевірки конфігурації NAT рекомендується видаляти динамічні записи. Як показано в таблиці, цю команду можна використовувати з ключовими словами та змінними, щоб визначити записи, що видаляються. Ви можете видалити конкретні записи, щоб уникнути збоїв активних сеансів. Щоб видалити всі перетворення з таблиці, використовуйте команду глобальної конфігурації clear ip nat translation *.

Примітка. З таблиці видаляються лише динамічні перетворення. Статичні перетворення не можна видалити з таблиці перетворень.

Як показано, команда show ip nat statisticsвиводить відомості про сумарну кількість активних перетворень, параметри конфігурації NAT, кількість адрес в пулі та кількість виділених адрес.

Як альтернатива, можна скористатися командою show running-configта знайти команди NAT, ACL, інтерфейсу чи пулу з потрібними значеннями. Уважно вивчіть результати та виправте всі виявлені помилки.

Налаштування перетворення адрес портів (PAT)

Перетворення адрес портів PAT (також зване NAT з перевантаженням) заощаджує адреси у внутрішньому глобальному пулі, дозволяючи маршрутизатору використовувати одну внутрішню глобальну адресу для кількох внутрішніх локальних адрес. Іншими словами, одна публічна IPv4-адреса може використовуватися для сотень або навіть тисяч внутрішніх IPv4-приватних адрес. Якщо налаштовано цей тип перетворення, маршрутизатор зберігає достатній обсяг інформації протоколів вищих рівнів, наприклад, номери портів TCP чи UDP, для зворотного перетворення внутрішньої глобальної адреси на потрібну внутрішню локальну адресу. При прив'язці кількох внутрішніх локальних адрес до однієї внутрішньої глобальної адреси для розрізнення локальних адрес використовуються номери портів TCP або UDP.

Примітка. Сумарна кількість внутрішніх адрес, які можуть бути перетворені в одну зовнішню адресу, теоретично може досягати 65536 на одну IP-адресу. Але кількість внутрішніх адрес, яким можна призначити одну IP-адресу, становить приблизно 4000.

Залежно від того, як інтернет-провайдер виділяє публічні IPv4-адреси, існує два способи налаштування PAT. У першому випадку інтернет-провайдер виділяє організації кілька публічних IPv4-адрес, а у другому випадку виділяється єдина публічна IPv4-адреса, необхідна організації для підключення до мережі інтернет-провайдера.

Налаштування PAT для пулу публічних IP-адрес

Якщо об'єкту було виділено кілька публічних IPv4-адрес, то ці адреси можуть бути частиною пулу, що використовується PAT. Це аналогічно динамічному NAT, за винятком того, що публічних адрес недостатньо для створення взаємно-однозначних відповідностей внутрішніх та зовнішніх адрес. Невеликий пул адрес спільно використовується великою кількістю пристроїв.

На рис. 1 показано кроки з налаштування PAT для використання пулу адрес. Основна відмінність між даною конфігурацією та конфігурацією для динамічного взаємно-однозначного NAT полягає у використанні ключового слова overload. Ключове слово overloadпрацює PAT.

Приклад конфігурації, показаної на рис. 2 створює перетворення з перевантаженням для пула NAT з ім'ям NAT-POOL2. NAT-POOL2 містить адреси з 209.165.200.226 до 209.165.200.240. Об'єктами перетворення є вузли мережі 192.168.0.0/16. Як внутрішній інтерфейс визначено інтерфейс S0/0/0, а як зовнішній інтерфейс - інтерфейс S0/1/0.

Використовуйте засіб перевірки синтаксису на рис. 3 щоб налаштувати PAT на маршрутизаторі R2, використовуючи пул адрес.

Налаштування PAT для однієї публічної IPv4-адреси

На рис. 1 показано топологію реалізації PAT для перетворення однієї публічної IPv4-адреси. У цьому прикладі для всіх вузлів мережі 192.168.0.0/16 (відповідний список ACL 1), що відправляють трафік до Інтернету через маршрутизатор R2, буде виконуватися перетворення в IPv4-адресу 209.165.200.225 (IPv4-адреса інтерфейсу S0/1/0). Потоки трафіку будуть визначатися номерами портів у таблиці NAT, оскільки використано overload.

На рис. 2 показані дії, необхідні для налаштування PAT з однією IPv4-адресою. Якщо доступна лише одна публічна IPv4-адреса, для конфігурації з навантаженням зазвичай призначається публічна адреса зовнішнього інтерфейсу, який підключається до інтернет-провайдера. Всі внутрішні адреси в пакетах, що виходять із зовнішнього інтерфейсу, перетворюються на одну IPv4-адресу.

Крок 1.Визначте ACL-список, який дозволяє перетворення трафіку.

Крок 2Налаштуйте перетворення джерела за допомогою ключових слів interfaceі overload. Ключове слово interfaceвизначає IP-адресу інтерфейсу, яка буде використовуватися при перетворенні внутрішніх адрес. Ключове слово overloadвказує маршрутизатору відстежувати номери портів кожного запису NAT.

Крок 3Вкажіть інтерфейси, які є внутрішніми стосовно NAT. Це будь-який інтерфейс, підключений до внутрішньої мережі.

Крок 4.Вкажіть інтерфейс, що є зовнішнім по відношенню до NAT. Це має бути той самий інтерфейс, який вказаний у записі перетворення джерела у кроці 2.

Ця конфігурація аналогічна динамічному NAT, за винятком того, що для визначення зовнішньої IPv4-адреси замість пулу адрес використовується ключове слово interface. Таким чином, пул NAT не визначається.

Використовуйте засіб перевірки синтаксису, щоб налаштувати PAT на маршрутизаторі R2 за допомогою однієї адреси.

Аналіз PAT

Процес перетворення NAT з перевантаженням є однаковим як за використання пулу адрес, так і за використання однієї адреси. Продовжуючи попередній приклад PAT з використанням однієї публічної IPv4-адреси, комп'ютер PC1 потребує підключення до веб-сервера Svr1. Одночасно іншому клієнту, PC2, потрібно встановити аналогічний сеанс із веб-сервером Svr2. І PC1, і PC2 налаштовані приватні IPv4-адреси, але в маршрутизаторі R2 включено перетворення PAT.

Процес передачі пакетів від комп'ютерів до серверів

1. На рис. 1 показані комп'ютери PC1 та PC2, що відправляють пакети серверам Svr1 та Svr2, відповідно. PC1 використовує IPv4-адресу 192.168.10.10 і TCP-порт джерела 1444. PC2 використовує IPv4-адресу 192.168.10.11 джерела і, за випадковим збігом, той же TCP-порт джерела - 1444.

2. Пакет комп'ютера PC1 першим досягає маршрутизатора R2. Використовуючи PAT, R2 змінює IPv4-адресу джерела на 209.165.200.225 (внутрішня глобальна адреса). У таблиці NAT відсутні інші пристрої, які використовують порт 1444, тому PAT зберігає цей номер порту. Потім пакет пересилається на сервер Svr1 за адресою 209.165.201.1.

3. Далі на маршрутизатор R2 надходить пакет з комп'ютера PC2. Налаштування PAT забезпечує використання для всіх перетворень однієї внутрішньої глобальної IPv4-адреси - 209.165.200.225. Аналогічно процесу перетворення для PC1, PAT змінює IPv4-адресу джерела PC2 на внутрішню глобальну адресу 209.165.200.225. Однак у цьому пакеті PC2 використовується номер порту джерела, що вже міститься в поточному записі PAT, що забезпечує перетворення PC1. PAT збільшує номер порту джерела, доки його значення не виявиться унікальним для цієї таблиці. У разі запису порту джерела в таблиці NAT і пакету від PC2 призначається номер 1445.

Хоча PC1 і PC2 використовують однакову перетворену адресу, внутрішню глобальну адресу 209.165.200.225, і однаковий номер порту джерела - 1444, змінений номер порту для PC2 (1445) робить унікальним кожен запис таблиці NAT. Це стає очевидним під час надсилання серверами зворотних пакетів клієнтам.

Процес передачі пакетів від серверів до комп'ютерів

4. Як показано на рис. 2, при типовому обміні клієнт-сервер сервери Svr1 і Svr2 відповідають на запити, отримані від комп'ютерів PC1 і PC2 відповідно. Сервери використовують для зворотного трафіку порт джерела з отриманого пакета як порт призначення та адресу джерела - як адресу призначення. Сервери поводяться так, ніби вони взаємодіяли з одним вузлом 209.165.200.225, проте це не так.

5. Отримавши пакети, маршрутизатор R2 знаходить унікальний запис у таблиці NAT, використовуючи адресу призначення та порт призначення кожного пакета. У разі отримання пакета від сервера Svr1 адресою призначення IPv4 209.165.200.225 відповідає кілька записів, але тільки один містить порт призначення 1444. Використовуючи цей запис таблиці, маршрутизатор R2 змінює IPv4-адресу призначення пакета на 192.168.10.10. Зміна порту призначення в цьому випадку не потрібна. Потім пакет пересилається комп'ютер PC1.

6. Отримавши пакет від сервера Svr2 маршрутизатор R2 виконує аналогічне перетворення. Маршрутизатор знову знаходить адресу IPv4 209.165.200.225 з кількома записами. Однак, використовуючи порт призначення 1445, R2 може унікально ідентифікувати запис перетворення. IPv4-адреса призначення змінюється на 192.168.10.11. У цьому випадку порт призначення також необхідно змінити на початкове значення 1444, збережене в таблиці NAT. Потім пакет пересилається комп'ютер PC2.

Перевірка PAT

Маршрутизатор R2 налаштований на надання PAT клієнтам із мережі 192.168.0.0/16. Коли внутрішні вузли виходять через маршрутизатор R2 в Інтернет, відбувається перетворення їх адрес на IPv4-адресу з пулу PAT з унікальним номером порту джерела.

Для перевірки PAT використовуються самі команди, як і для перевірки статичного і динамічного NAT, як показано на рис. 1. Команда show ip nat translationsвиводить перетворення для трафіку від двох різних вузлів до різних веб-серверів. Зверніть увагу, що двом різним внутрішнім вузлам виділяється та сама IPv4-адреса 209.165.200.226 (внутрішня глобальна адреса). Для розрізнення цих двох транзакцій таблиці NAT використовуються номери портів джерел.

Як показано на рис. 2, команда show ip nat statisticsдозволяє перевірити, що в пулі NAT-POOL2 виділено одну адресу для обох перетворень. Результат виконання команди містить інформацію про кількість і тип активних перетворень, параметри налаштування NAT, кількість адрес в пулі та кількість виділених адрес.

Можливо, вам потрібно призначити постійну, статичну IP-адресу на PlayStation 4, щоб встановити з'єднання NAT Type 2. Установка постійної IP адреси гарантує, що ваша консоль завжди буде мати ту саму внутрішній IP, навіть після перезавантаження приставки. Деякі маршрутизатори дають можливість вручну призначити IP-адресу, тому спочатку вам необхідно перевірити, чи можливий такий варіант у вашому роутері. Якщо ні, тоді можна здійснити налаштування статичного IP через меню консолі PS4.

Цей посібник розбито на дві частини. Прочитайте все від початку до кінця.

Як вручну налаштувати статичну IP-адресу на PlayStation 4 через роутер

Знайдіть у своєму роутері шлях для ручного налаштування IP-адреси. Не всі маршрутизатори підтримують цю функцію. Процес налаштування відрізнятиметься в залежності від моделі роутера, якою ви користуєтеся. Якщо ваш модем дозволяє провести ручне налаштування IP-адреси, тоді просто призначте постійний IP для PlayStation 4. У цьому випадку жодних змін в налаштуваннях самої приставки робити не доведеться. Роутер самостійно призначатиме внутрішній IP для PS4, функції якого ідентичні статичному.

У випадку, якщо ваш роутер не підтримує ручного налаштування IP, вам доведеться виконати налаштування через консоль PS4. Для цього дотримуйтесь інструкцій нижче:

Можна спробувати назавжди прив'язати PS4 до IP-адреси, яку ви використовуєте зараз. Щоб знайти цей IP, увімкніть PS4 і зробіть таке:

Запишіть цю IP і MAC адресу PS4 на листок. Крім того, вам необхідно буде запам'ятати IP-адресу вашого роутера, яка вказана як шлюз за замовчуванням (Default Gateway). Як це зробити, описано у наступному пункті нашого керівництва.

Через комп'ютер зайдіть в налаштування роутера (робиться це через браузер шляхом введення IP роутера, наприклад, 192.168.1.1 або 192.168.1.0. / 192.168.0.1). Вам необхідно буде назавжди присвоїти PS4 IP-адресу, яку ви записали раніше, при виконанні першого пункту.

Нижче наведено скріншот з прикладом модему, який дозволяє вручну призначити IP.

У цьому роутері від Asus є рядки для введення IP-адреси, після чого у меню, що випадає, вибирається MAC-адреса. Використовуйте цифри адрес, які ви записали під час виконання першого пункту цього посібника. У прикладі, після запису цифр, необхідно натиснути кнопку «Додати» (Add).

У деяких маршрутизаторах не можна призначити IP-адреси, які входять до діапазону роутера DHCP (діапазон адрес, який автоматично призначається роутером різним пристроям у вашій мережі). Якщо це ваш випадок, то потрібно буде вибрати IP-адресу поза діапазоном DHCP роутера. Як це зробити, дивіться пункти 2-4 наступного розділу цього посібника (« Як налаштувати статичнийIP-адресаPS4 »).

Після того, як ви прив'язали PS4 до певної IP-адреси, перевірте підключення консолі, щоб переконатися в нормальній працездатності. Щоб провести тест з'єднання, зробіть таке:

У разі успішного проходження перевірки з'єднання ви побачите напис «Перевірка Інтернет-з'єднання пройшла успішно» (Internet Connection Successful).

UDP: 3478-3479

Докладніша інформація про те, як це зробити, є

Після того, як ви призначали постійну IP-адресу для PS4 і перенаправили порти в роутері, перевірте Інтернет-з'єднання. Як це зробити, дивіться у п.3 цього посібника.

Вітаємо, ваше з'єднання має бути встановлене на NAT Type 2.

Якщо у вас не вдалося встановити підключення NAT Type 2, перевірте, чи все правильно ви зробили. Повторно перегляньте дані, які ви ввели до рядка IP-адреси та MAC-адреси.

Якщо проблеми з налаштуванням підключення NAT Type 2 залишилися, перевірте, чи правильно встановлено з'єднання. У вас може бути не один роутер у локальній мережі. Щоб визначити кількість роутерів у мережі, ви можете скористатись безкоштовною програмою Router Detector. Дуже важливо, що в мережі був лише один модем, в іншому випадку налаштувати мережу без зайвого головного болю досить важко.

Як налаштувати статичну IP-адресу в PS4

Якщо у вас роутер, в якому не можна вручну призначити внутрішні IP-адреси, для налаштування постійного IP в PS4 виконайте такі дії:

Дізнайтеся, яка IP-адреса, маска підмережі, шлюз і DNS використовує PS4 в даний час. Щоб зробити це, виконайте інструкції нижче:

Запишіть IP-адресу, маску підмережі, шлюз, головний DNS та додатковий (Primary DNS та secondary DNS). Вам потрібно буде ввести всі ці цифри в консоль трохи згодом.

Далі увійдіть у налаштування маршрутизатора через ПК.

Щоб увійти до параметрів роутера, напишіть його IP-адресу в рядку браузера. Знайти IP можна у списку адрес, які ви записали під час виконання пункту 1. IP роутера – це адреса шлюзу за замовчуванням (Default Gateway).

Якщо не можете розібратися як зайти в налаштування модему, відвідайте цю сторінку . Виберіть модель свого роутера та прочитайте, як зайти в налаштування.

Вам необхідно через налаштування подивитися діапазон адрес DHCP, які використовує модем для автоматичного призначення IP пристроям в мережі.

Нижче є скріншот, як має виглядати рядок із цим діапазоном. Використовується меню роутера Linksys. Діапазон DHCP обведений червоним.

Вам потрібно буде вибрати число між 2 і 254, яке знаходиться за межами діапазону DHCP, щоб призначити IP вашу приставку.

У наведеному вище прикладі маршрутизатор Linksys використовує діапазон від 100 до 149, щоб призначати IP-адреси для пристроїв у внутрішній мережі. У цьому випадку можна вибрати, наприклад, число 31, тоді повна IP-адреса для PS4 буде виглядати так: 192.168.0.31. Ось ще кілька прикладів, щоб ви краще розібралися:

Якщо діапазон DHCP 200-254, можна вибрати цифри від 2 до 50
Якщо роутер використовує діапазон 50-200 тоді від 2 до 49

Щоб перевірити, чи може вибраний вами IP бути використаний, зробіть таке:

Через меню «Пуск» відкрийте «Виконати»
Введіть команду cmd без лапок і натисніть Enter
Після цього має з'явитися чорне віконце
Далі, в рядку введення введіть: Ping (пробіл) IP. Наприклад: Ping 192.168.1.54
Натисніть клавішу Enter.

Якщо IP-адреса не пінгується, тобто до неї йдуть пакети, але ніякої відповіді немає, тоді така IP вам підходить, вона вільна. Якщо ж приходять пакети з відповідями, це означає, що IP зараз використовується, тому потрібно вибрати іншу, вільну адресу. Нижче наведено приклад IP-адреси, яка вже використовується.

Далі вам знадобиться PS4, щоб встановити IP-адресу, яку ви обрали.

Тепер зробіть таке:

Якщо ви точно виконали всі вищеописані дії, то статичний IP буде налаштовано правильно. Якщо виникають проблеми, перевірте правильність введення інформації, зокрема, перевірте цифри, які ви ввели в рядок IP-адреси, шлюзу, DNS. Щоб перевірити це ще раз, відкрийте головне меню PS4, виберіть Установки => Мережа => Переглянути статус мережі.

Відкриття портів (opening ports) або Port Forwarding у вашому роутері означає перенаправлення всього трафіку на певну внутрішню IP-адресу. Щоб отримати з'єднання NAT Type 2, потрібно надіслати наступні порти на IP-адресу приставки PS4:

TCP: 80, 443, 1935, 3478-3480
UDP: 3478-3479

Більш детальна інформація про те, як перенаправити порти, є

Після того, як ви призначили статичну IP-адресу для PlayStation 4 і правильно перенаправили порти вашого роутера, можете перевірити Інтернет-з'єднання. Як це зробити, читайте трохи вище.

Вітаємо із встановленням з'єднання NAT Type 2! У разі виникнення будь-яких проблем, в першу чергу радимо перевіряти правильність введення цифр при вказівці адреси шлюзу, IP, DNS та маски підмережі.

Знайшли друкарську помилку? Виділіть текст та натисніть Ctrl+Enter

У наших квартирах дедалі більше з'являється різних цифрових пристроїв – ноутбуків, планшетів та смартфонів. Поки комп'ютер у квартирі був один і підключений безпосередньо до мережі провайдера, не виникало питань. А тепер, коли перед Вами постала проблема, як підключити тепер новий ноутбук або планшет до Інтернету. Ось тут на допомогу і приходить технологія NAT. У чому суть технології NAT?
NAT — Network Address Translation — у перекладі російською мовою звучить приблизно так: «перетворення мережевих адрес». NAT- це механізм у мережах TCP/IP, що дозволяє перетворювати IP-адреси транзитних пакетів.
Якщо висловлюватися простою мовою — якщо є кілька комп'ютерів у локальній мережі, то завдяки технології NATвсі вони можуть виходити до зовнішньої мережі Інтернет, використовуючи при цьому один зовнішній айпі адреса (IP).

Що таке IP-адреса?

Маршрутизатор — роутер- працює на третьому рівні системи OSI, відповідно використовується протокол IP— протокол мережевого рівня стека TCP/IP, що маршрутизується. Невід'ємною частиною протоколу є адресація мережі. Відповідно до наявних правил — всім пристроям у мережі призначаються IP-адреси (Ай-Пі адреси) - Унікальні мережеві ідентифікатори адреси вузла. Використовується 2 типи IP-адрес сіріі білі. Сірі адреси- Це частина адресного простору, виділена під локальну мережу - підмережі IP-адрес 10.0.0.0/8, 172.16.0.0/12 або 192.168.0.0/16 . Всі інші підмережі використовуються в Інтернеті і є білими IP-адресами.

Як забезпечити спільний доступ до Інтернету для пристроїв у мережі.

Для того, щоб підключити до Інтернету всі пристрої в локальній мережі Вам знадобиться роутер. Роутер— це пристрій, який вміє підключатися через мережу провайдера до Інтернету та роздавати його на підключені пристрої завдяки тому, що він має як мінімум 4 LAN-порти та Wi-Fi модуль. Не плутайте роутер із простим Ethernet-світлом, який по суті є тупим «розгалужувачем» мережі. Завдяки тому, що на роутері встановлена операційна UNIX-подібна система, на пристрої можна піднімати різні сервіси, у тому числі сервіс NAT. Для цього при налаштуванні роутера ставиться галочка Enable NAT .

А далі роутерна кожен запит, який через нього проходить, ставить певну позначку, що містить дані про відправника в локальній мережі. Коли на цей запит надходить відповідь, роутерпо мітці визначає, до якої IP-адреси в локальній мережі відправити пакет. Ось власне і весь принцип роботи технології NAT двома словами.