|
Marshrutizatorlarda nat/pat texnologiyasini sozlash
|
bet | 1/4 | Sana | 20.12.2023 | Hajmi | 1,6 Mb. | | #125532 |
Bog'liq Marshrutizatorlarda NAt PAT texnologiyasini sozlash
MARSHRUTIZATORLARDA NAT/PAT TEXNOLOGIYASINI SOZLASH
10.1. Ishdan maqsad
Global tarmoq haqida nazariy ma’lumotga ega bo’lish
Lokal tarmoq haqida nazariy ma’lumotga ega bo’lish
NAT texnologiyasi haqida nazariy bilimga ega bo’lish
CPT dasturida NAT dan foydalanib global tarmoq qurish.
10.2. Nazariy qism
NAT (ingliz tilidan. Network Address Translation) TCP / IP tarmoqlaridagi tranzit paketlarning IP-manzillarini tarjima qilishga imkon beruvchi mexanizmdir. Shuningdek, IP-maskirovka, tarmoqni maskaradlash va mahalliy manzilga tarjima qilish. NAT usuli bo'yicha manzil tarjimasini deyarli har qanday marshrutizator - yo'riqnoma [1], kirish serveri, xavfsizlik devori amalga oshirishi mumkin. Eng ommabop bo'lgan SNAT, uning mexanizmining mohiyati paket bir yo'nalishda o'tayotganda manba manzilini almashtirish va javob paketidagi manzilni teskari yo'naltirishdir. Manba / manzil manzillaridan tashqari, manba va manzil port raqamlari ham almashtirilishi mumkin. Mahalliy kompyuterdan paketni qabul qilishda yo'riqnoma belgilangan IP-manzilga qaraydi. Agar u mahalliy manzil bo'lsa, u holda paket boshqa mahalliy kompyuterga yo'naltiriladi. Agar yo'q bo'lsa, unda paket Internetga yuborilishi kerak. Ammo paketdagi qaytish manzili kompyuterning mahalliy manzilini bildiradi, unga Internet orqali kirish imkoni bo'lmaydi. Shuning uchun, "tezlikda" yo'riqnoma paketning qaytgan IP-manzilini o'zining tashqi (Internetdan ko'rinadigan) IP-manziliga tarjima qiladi (o'zgartiradi) va port raqamini o'zgartiradi (turli xil mahalliy kompyuterlarga yuborilgan javob paketlarini ajratish uchun). Router teskari almashtirish uchun zarur bo'lgan kombinatsiyani vaqtinchalik jadvalida saqlaydi. Mijoz va server paketlarni almashtirishni tugatgandan bir muncha vaqt o'tgach, yo'riqnoma o'z jadvalidagi n-chi port haqidagi yozuvni bir muddat o'chirib tashlaydi.
NAT manbalaridan tashqari (mahalliy tarmoq foydalanuvchilariga Internetga kirishning ichki manzillarini taqdim etish), shuningdek, tashqi tomondan so'rovlar xavfsizlik devori orqali mahalliy tarmoqdagi foydalanuvchi kompyuteriga uzatilganda, tez-tez NAT manzilidan foydalaniladi. ichki manzil va shuning uchun to'g'ridan-to'g'ri (NAT holda) tarmoqning tashqi tomonidan kirish mumkin emas. Manzil tarjimasining 3 ta asosiy tushunchalari mavjud: statik (Statik tarmoq manzili tarjimasi), dinamik (Dinamik manzil tarjimasi), maskarad (NAPT, NAT ortiqcha yuk, PAT).
Statik NAT - ro'yxatdan o'tmagan IP-manzilni ro'yxatdan o'tgan IP-manzilga yakka tartibda xaritalash. Qurilmaga tarmoq tashqarisidan kirish kerak bo'lganda, ayniqsa foydalidir.
Dynamic NAT - ro'yxatdan o'tmagan IP-manzilni ro'yxatdan o'tgan IP-manzillar guruhidan ro'yxatdan o'tgan IP-manzilga tushiradi. Dynamic NAT shuningdek ro'yxatdan o'tmagan va ro'yxatdan o'tgan manzillar o'rtasida to'g'ridan-to'g'ri xaritalashni o'rnatadi, lekin xaritalash aloqa paytida manzil havzasida mavjud bo'lgan ro'yxatdan o'tgan manzilga qarab o'zgarishi mumkin.
Haddan tashqari yuklangan NAT (NAPT, NAT Haddan tashqari yuk, PAT, maskaralash) - bu bir nechta ro'yxatdan o'tmagan manzillarni turli xil portlar yordamida bitta ro'yxatdan o'tgan IP-manzilga tushiradigan dinamik NAT shaklidir. Shuningdek, PAT (Port Manzil tarjimasi) nomi bilan ham tanilgan. Haddan tashqari yuklanganida, shaxsiy tarmoqdagi har bir kompyuter bir xil manzilga tarjima qiladi, lekin boshqa port raqami bilan.
NAT texnologiyasi afzalliklari
NAT uchta muhim funktsiyani bajaradi.
Bir nechta ichki IP-manzillarni bitta tashqi umumiy IP-manzilga (yoki bir nechta, lekin ichki raqamlardan kamroq) aylantirish orqali IP-manzillarni saqlashga imkon beradi (faqat NAT PAT rejimida ishlatilsa). Dunyoda tarmoqlarning aksariyati ushbu printsip asosida qurilgan: 1 ta umumiy (tashqi) IP-manzil mahalliy provayderning uy tarmog'ining kichik maydoniga yoki ofisga, uning orqasida xususiy (ichki) interfeys bilan ajratilgan. ) IP-manzillar ishlaydi va ruxsat oladi.
Ichki xostlarga kirish imkoniyatini qoldirib, tashqi xostlarga kirishning oldini olish yoki cheklash imkonini beradi. Tarmoq ichidan ulanish boshlanganda, translyatsiya yaratiladi. Tashqaridan kelgan javob paketlari yaratilgan translyatsiyaga mos keladi va shuning uchun o'tkazib yuboriladi. Agar tashqaridan keladigan paketlar uchun tegishli tarjima bo'lmasa (va u ulanish boshlanganda yoki statik holda yaratilishi mumkin bo'lsa), ular o'tkazilmaydi.
Ichki xostlar / serverlarning ma'lum ichki xizmatlarini yashirishga imkon beradi. Aslida, yuqorida ko'rsatilgan bir xil tarjima ma'lum bir portda amalga oshiriladi, ammo rasmiy ravishda ro'yxatdan o'tgan xizmatning ichki portini almashtirish mumkin (masalan, tashqi 54055-chi uchun TCP port 80 (HTTP server)). Shunday qilib, tashqarida, bilimdon tashrif buyuruvchilar uchun saytga (yoki forumga) manzillar tarjima qilinganidan keyin tashqi IP-manzilda http://example.org:54055 manziliga kirish mumkin, ammo ichki serverda NAT, u odatdagi 80-portda ishlaydi. Xavfsizlikni yaxshilash va "ommaviy bo'lmagan" resurslarni yashirish.
NAT texnologiyasi kamchiliklari
Eski protokollar. NATni keng joriy etishidan oldin ishlab chiqilgan protokollar, aloqa qilayotgan xostlar orasidagi yo'lda manzil tarjimasi bo'lsa ishlamaydi. IP-manzillarni tarjima qiladigan ba'zi xavfsizlik devorlari ushbu muammoni nafaqat IP sarlavhalarida, balki yuqori qatlamlarda (masalan, FTP buyruqlarida) IP-manzillarni mos ravishda almashtirish orqali tuzatishi mumkin. Ilova darajasidagi shlyuzga qarang.
|
| |