Moet ik nat inschakelen op de router? NAT - netwerkadresvertaling instellen

Veel gebruikers die een router hebben, denken dat ze deze alleen nodig hebben zodat alleen zij verbinding kunnen maken met internet. In feite vervult het ook de functie om andere gebruikers met de server te verbinden. In dit artikel vertellen we je wat NAT is in een router, waarom het nodig is en hoe je het configureert.

NAT in een router - wat is het?

Network Address Translation uit het Engels vertaalt zich als "netwerkadresvertaling" - dit is het proces waarbij interne adressen naar externe adressen worden vertaald. Als deze functie niet is geconfigureerd, blokkeert de router de toegang tot alle poorten voor alle inkomende verbindingen vanaf het wereldwijde internet, maar als de parameters zijn geconfigureerd, is dit wel mogelijk.

Instellingen

Om nat zelf in de router te configureren, moet je de volgende reeks stappen uitvoeren:

• Start een browser op uw computer en typ het adres van dit apparaat 192.168.1.1 of 192.168.0.1 in de zoekbalk.
• Voer vervolgens de gebruikersnaam en het wachtwoord Admin/Admin in. Daarna kunt u deze login en dit wachtwoord vervangen door uw eigen login.
• In het geopende venster selecteert u Instellingen - Netwerk - Routing (routes) en klikt u op Nieuwe regel, waarmee u routeringsvoorwaarden op welke manier dan ook kunt instellen. Er zijn vijf manieren: via een DNS-naam, via een poort, via uitzending naar een specifieke gebruiker, via een netwerkinterface of door het adres te vervangen door het bronadres.
• Vervolgens moet u de verkeersomstandigheden instellen met behulp van een van de vier voorgestelde opties (Auto, Gateway, Trunk, Interface) en op "Volgende" en "Sluiten" klikken.

Na het voltooien van deze reeks stappen is de router klaar voor gebruik.

Er zijn momenten waarop u nat op uw computer moet configureren. Om dit te doen, gaat u via “Start” naar “Configuratiescherm” en start “Netwerkverbindingen”. Selecteer een nieuw netwerkapparaat en klik er met de rechtermuisknop op, selecteer in “Eigenschappen” “Geavanceerd”. En vink het vakje aan naast 'Andere netwerkgebruikers mogen deze verbinding gebruiken' en klik op OK.

Loopback instellen

De betekenis van de nat loopback is dat als een pakket van het interne netwerk naar het externe IP-adres van de router komt, het geacht wordt van buitenaf te komen - wat betekent dat de firewallregels met betrekking tot externe verbindingen van toepassing zijn. Als het pakket met succes door de firewall gaat, wordt nat geactiveerd, dat een tussenpersoon wordt tussen twee computers die zich op hetzelfde netwerk bevinden.

Aandacht! Zonder de nat loopback-functie zou het onmogelijk zijn om meer te weten te komen over de netwerkservice-instellingen of om toegang te krijgen tot de server. Voor elk domein zou het nodig zijn om het hosts-bestand handmatig te configureren.

Nat soorten

Er zijn verschillende soorten netwerkadresvertaling. Laten we ze allemaal in detail bekijken:

Belangrijk! Vaak moeten poorten handmatig worden geconfigureerd.

Hoe u het type kunt wijzigen

Om het NAT-type van het ene naar het andere te wijzigen, moet u naar uw router gaan door de combinatie 192.168.1.1 of 192.168.0.1 in de zoekregel van uw browser in te voeren en uw gebruikersnaam en wachtwoord in te voeren. Kijk dan naar je IP-adres en netwerkinstellingen van je apparaat. Vervolgens moet u contact opnemen met uw internetverbindingsprovider, zodat zij uw router opnieuw kunnen configureren naar het type dat u nodig heeft. Om dit te doen, moet hij alle gegevens verstrekken.

IP-adressen zijn een schaarse hulpbron. De provider beschikt mogelijk over een /16-adres (voorheen klasse B), waardoor het mogelijk is om 65.534 hosts aan te sluiten. Als er meer klanten zijn, beginnen er problemen te ontstaan. Hosts die van tijd tot tijd via een gewone telefoonlijn verbinding maken met internet, kunnen dynamisch IP-adressen toegewezen krijgen, alleen voor de duur van de verbinding. Dan kan één /16-adres maximaal 65.534 actieve gebruikers bedienen, en dit kan voldoende zijn voor een ISP met enkele honderdduizenden klanten. Wanneer de communicatiesessie eindigt, wordt het IP-adres toegewezen aan een nieuwe verbinding. Deze strategie kan wellicht de problemen oplossen van aanbieders die niet over een zeer groot aantal particuliere klanten beschikken die via de telefoonlijn zijn verbonden, maar zal aanbieders waarvan het merendeel van hun klantenkring uit organisaties bestaat, niet helpen.

Feit is dat zakelijke klanten de voorkeur geven aan een constante verbinding met internet, tenminste gedurende de werkdag. Zowel kleine kantoren, bijvoorbeeld reisbureaus, bestaande uit drie werknemers, als grote bedrijven beschikken over lokale netwerken die uit een bepaald aantal computers bestaan. Sommige computers zijn werkstations voor medewerkers, andere dienen als webservers. Over het algemeen is er een LAN-router die via een speciale lijn met de ISP is verbonden om voor een permanente verbinding te zorgen. Deze oplossing houdt in dat elke computer de hele dag aan één IP-adres is gekoppeld. In feite kunnen zelfs alle computers die zakelijke klanten bij elkaar hebben, niet de IP-adressen dekken die beschikbaar zijn voor de provider. Voor een adres met lengte /16 bedraagt ​​deze limiet, zoals we al hebben opgemerkt, 65.534. Als de internetprovider echter tienduizenden zakelijke klanten heeft, zal deze limiet zeer snel worden bereikt.

Het probleem wordt nog verergerd door het feit dat steeds meer particuliere gebruikers over een ADSL- of kabelaansluiting op internet willen beschikken. De kenmerken van deze methoden zijn als volgt:

a) gebruikers ontvangen een permanent IP-adres;

b) er vindt geen betaling op tijd plaats (er wordt alleen een maandelijks abonnementsbedrag in rekening gebracht).

Gebruikers van dit soort diensten hebben een permanente verbinding met internet. Ontwikkelingen in deze richting leiden tot een toename van het tekort aan IP-adressen. Het zomaar toekennen van IP-adressen, zoals bij een telefoonverbinding, heeft geen zin, omdat het aantal actieve adressen op een gegeven moment vele malen groter kan zijn dan de provider.

Vaak wordt de situatie verder gecompliceerd door het feit dat veel ADSL- en kabelinternetgebruikers thuis twee of meer computers hebben (bijvoorbeeld één voor elk gezinslid) en willen dat alle machines internettoegang hebben. Wat te doen - er wordt immers maar één IP-adres uitgegeven door de provider! De oplossing is deze: u moet een router installeren en alle computers op een lokaal netwerk aansluiten. Vanuit het oogpunt van de aanbieder zal het gezin in dit geval fungeren als een analoog van een klein bedrijf met meerdere computers. Welkom bij de Pupkin Corporation!

Het probleem van het tekort aan IP-adressen is geenszins theoretisch en heeft helemaal geen betrekking op de verre toekomst. Het is nu al relevant en we moeten het hier en nu bestrijden. Het langetermijnproject omvat een totale overdracht van het gehele internet naar het IPv6-protocol met 128-bits adressering. Deze transitie gebeurt inderdaad geleidelijk, maar het proces verloopt zo langzaam dat het jaren voortsleept. Toen ze dit zagen, beseften velen dat het dringend was om een ​​oplossing te vinden, althans voor de nabije toekomst. Een dergelijke oplossing werd gevonden in de vorm van een netwerkadresvertaalmethode, NAT (netwerkadresvertaling), beschreven in RFC 3022. De essentie hiervan zal later worden besproken, en meer gedetailleerde informatie is te vinden in (Butcher, 2001).

Het basisidee van de vertaling van netwerkadressen is om elk bedrijf één IP-adres (of op zijn minst een klein aantal adressen) toe te wijzen voor internetverkeer. Binnen het bedrijf krijgt elke computer een uniek IP-adres, dat wordt gebruikt om het interne verkeer te routeren. Zodra het pakket echter het bedrijfsgebouw verlaat en naar de provider wordt verzonden, wordt de adresvertaling uitgevoerd. Om dit schema te implementeren, zijn er drie reeksen zogenaamde privé-IP-adressen gemaakt. Ze kunnen naar eigen inzicht binnen het bedrijf worden gebruikt. De enige beperking is dat pakketten met dergelijke adressen in geen geval op het internet zelf mogen verschijnen. Deze drie gereserveerde bereiken zijn:

10.0.0.0 - 10.255.255.255/8 (16.777.216 hosts)

172.16.0.0 - 172.31.255.255/12 (1.048.576 hosts)

192.168.0.0 -192.168.255.255/16 (65.536 hosts)

De werking van de netwerkadresvertaalmethode wordt weergegeven in het volgende diagram. Binnen het bedrijfsgebied heeft elke machine zijn eigen unieke adres in de vorm 10.x.y.z. Wanneer een pakket echter het bedrijfspand verlaat, passeert het een NAT-blok dat het interne bron-IP-adres (10.0.0.1 in de afbeelding) vertaalt naar het echte IP-adres dat het bedrijf van de ISP heeft ontvangen (198.60.42.12 in ons voorbeeld). . Een NAT-blok is meestal één apparaat met een firewall die beveiliging biedt door het inkomende en uitgaande verkeer van een bedrijf strikt te controleren. Het NAT-blok kan worden geïntegreerd met de router van het bedrijf.

Eén klein detail hebben we tot nu toe vermeden: wanneer er een antwoord op een verzoek binnenkomt (bijvoorbeeld van een webserver), wordt dit geadresseerd aan 198.60.42.12. Hoe weet het NAT-blok welk intern adres het openbare adres van het bedrijf moet vervangen? Dit is het grootste probleem bij het gebruik van netwerkadresvertaling. Als er een vrij veld in de header van het IP-pakket zat, zou dit kunnen worden gebruikt om het adres te onthouden van wie het verzoek heeft verzonden. Maar er is nog maar één bit ongebruikt in de header. In principe zou het mogelijk zijn om een ​​dergelijk veld voor het echte bronadres te creëren, maar hiervoor zou de IP-code op alle machines op internet moeten worden gewijzigd. Dit is niet de beste oplossing, vooral als we een snelle oplossing willen vinden voor het probleem van het opraken van IP-adressen.

Dit is wat er werkelijk gebeurde. De ontwerpers van NAT merkten dat het grootste deel van de lading van IP-pakketten TCP of UDP is. Beide formaten hebben headers met bron- en bestemmingspoortnummers. Poortnummers zijn 16-bit gehele getallen die aangeven waar de TCP-verbinding begint en eindigt. De locatie waar de poortnummers zijn opgeslagen, wordt gebruikt als een veld dat nodig is om NAT te laten werken.

Wanneer een proces een TCP-verbinding tot stand wil brengen met een extern proces, maakt het contact met een vrije TCP-poort op zijn eigen computer. Deze poort wordt de bronpoort, die de TCP-code vertelt waar pakketten voor die verbinding naartoe moeten worden doorgestuurd. Het proces bepaalt ook de bestemmingspoort. De bestemmingspoort vertelt aan wie het pakket aan de externe kant moet worden gegeven. Poorten 0 t/m 1023 zijn gereserveerd voor bekende diensten. Poort 80 wordt bijvoorbeeld gebruikt door webservers, zodat externe clients zich hierop kunnen richten. Elk uitgaand TCP-bericht bevat informatie over de bronpoort en de bestemmingspoort. Samen dienen ze om de processen aan beide kanten te identificeren met behulp van de verbinding.

Laten we een analogie maken die het principe van het gebruik van poorten enigszins zal verduidelijken. Stel dat een bedrijf één algemeen telefoonnummer heeft. Wanneer mensen het nummer bellen, horen ze de stem van een telefoniste die vraagt ​​met wie ze precies verbinding willen maken, en worden ze doorverbonden met het juiste telefoontoestel. Het hoofdtelefoonnummer is analoog aan het IP-adres van een bedrijf, en de extensies aan beide uiteinden zijn analoog aan poorten. Poortadressering maakt gebruik van een 16-bits veld dat het proces identificeert dat het binnenkomende pakket ontvangt.

Met behulp van het veld Bronpoort kunnen we het probleem van het weergeven van adressen oplossen. Wanneer een uitgaand pakket bij een NAT-blok arriveert, wordt het bronadres van de vorm 192.168.c.d vervangen door het echte IP-adres. Bovendien wordt het veld TCP-bronpoort vervangen door de index van een NAT-blokvertaaltabel met 65.536 vermeldingen. Elke vermelding bevat het bron-IP-adres en het bronpoortnummer. Ten slotte worden de controlesommen van de TCP- en IP-header opnieuw berekend en in het pakket ingevoegd. Het is noodzakelijk om het veld Bronpoort te vervangen omdat machines met lokale adressen 10.0.0.1 en 10.0.0.2 mogelijk per ongeluk dezelfde poort willen gebruiken (bijvoorbeeld 5000). Om het afzenderproces op unieke wijze te identificeren, is het veld Bronpoort alleen niet voldoende.

Wanneer een pakket bij het NAT-blok aan de ISP-zijde arriveert, wordt de waarde van het veld Bronpoort van de TCP-header opgehaald. Het wordt gebruikt als index in de NAT-bloktoewijzingstabel. Op basis van de gegevens in deze tabel worden het interne IP-adres en de echte TCP-bronpoort bepaald. Deze twee waarden worden in het pakket ingevoegd. De TCP- en IP-controlesommen worden vervolgens opnieuw berekend. Het pakket wordt voor normale bezorging naar de hoofdrouter van het bedrijf gestuurd met een adres als 192.168.y.z.

In het geval van ADSL- of kabelinternet kan netwerkadresvertaling worden gebruikt om de strijd tegen adressentekorten te vergemakkelijken. De adressen die aan gebruikers zijn toegewezen, zijn 10.x.y.z. Zodra het pakketje het eigendom van de provider verlaat en naar het internet gaat, komt het in een NAT-blok terecht, dat het interne adres omzet in het echte IP-adres van de provider. Op de terugweg wordt de omgekeerde operatie uitgevoerd. In die zin lijkt de aanbieder met zijn klanten die gebruik maken van ADSL- en kabelverbindingen voor de rest van het internet één groot bedrijf.

Hoewel het hierboven beschreven schema het probleem van het tekort aan IP-adressen gedeeltelijk oplost, beschouwen veel IP-aanhangers NAT als een soort infectie die zich over de aarde verspreidt. En ze kunnen worden begrepen.

Ten eerste past het principe van netwerkadresvertaling niet in de IP-architectuur, wat impliceert dat elk IP-adres op unieke wijze slechts één machine ter wereld identificeert. De hele softwarestructuur van internet is gebouwd op het exploiteren van dit feit. Bij het vertalen van netwerkadressen blijkt dat duizenden machines het adres 10.0.0.1 kunnen hebben (en dat ook daadwerkelijk doen).

Ten tweede transformeert NAT het internet van een verbindingsloos netwerk in iets dat lijkt op een verbindingsgericht netwerk. Het probleem is dat het NAT-blok een toewijzingstabel moet bijhouden voor alle verbindingen die er doorheen gaan. Het onthouden van de verbindingsstatus is de taak van verbindingsgerichte netwerken, maar niet van verbindingsloze netwerken. Als een NAT-blok kapot gaat en de toewijzingstabellen ervan verloren gaan, kunnen alle TCP-verbindingen die er doorheen gaan, vergeten worden. Als er geen netwerkadresvertaling plaatsvindt, heeft het falen van een router geen effect op de TCP-activiteit. Het verzendproces wacht eenvoudigweg een paar seconden en verzendt eventuele niet-bevestigde pakketten opnieuw. Met NAT wordt het internet net zo gevoelig voor storingen als een circuitgeschakeld netwerk.

Ten derde schendt NAT een van de fundamentele regels van het gelaagde protocolontwerp: laag k mag geen enkele aanname doen over wat laag k+1 in het payloadveld plaatst. Dit principe bepaalt de onafhankelijkheid van niveaus van elkaar. Als TCP ooit wordt vervangen door TCP-2, dat een ander headerformaat heeft (bijvoorbeeld 32-bits poortadressering), zal de vertaling van netwerkadressen mislukken. Het hele idee van meerlaagse protocollen is dat veranderingen in één van de lagen op geen enkele manier de andere lagen kunnen beïnvloeden. NAT vernietigt deze onafhankelijkheid.

Ten vierde hoeven processen op internet niet alleen TCP of UDP te gebruiken. Als de gebruiker van machine A besluit een nieuw transportlaagprotocol te bedenken voor de communicatie met de gebruiker van machine B (dit zou bijvoorbeeld gedaan kunnen worden voor een multimediatoepassing), dan zal hij op de een of andere manier moeten omgaan met het feit dat het NAT-blok kan het TCP-bronpoortveld niet correct verwerken.

Ten vijfde voegen sommige applicaties IP-adressen toe aan de tekst van berichten. De ontvanger haalt ze daar op en verwerkt ze vervolgens. Omdat NAT niets weet over deze adresseringsmethode, zal het niet in staat zijn pakketten correct te verwerken en zullen alle pogingen van de externe kant om deze adressen te gebruiken mislukken. Het bestandsoverdrachtprotocol, FTP (File Transfer Protocol), gebruikt precies deze methode en weigert mogelijk te werken bij het vertalen van netwerkadressen, tenzij speciale maatregelen worden genomen. Ook het internettelefonieprotocol H.323 heeft een soortgelijke eigenschap. Het is mogelijk om de NAT-methode te verbeteren en deze correct te laten werken met H.323, maar het is onmogelijk om deze elke keer te verbeteren wanneer er een nieuwe applicatie verschijnt.

Ten zesde kunnen, aangezien het bronpoortveld 16-bits is, ongeveer 65.536 lokale machineadressen worden toegewezen aan één enkel IP-adres. In feite is dit aantal iets kleiner: de eerste 4096 poorten zijn gereserveerd voor servicebehoeften. Als er meerdere IP-adressen zijn, kan elk IP-adres doorgaans maximaal 61.440 lokale adressen ondersteunen.

Deze en andere problemen die verband houden met Network Address Translation worden besproken in RFC 2993. Meestal zeggen tegenstanders van NAT dat het oplossen van het tekort aan IP-adressen door het creëren van een tijdelijke patch alleen maar het echte evolutionaire proces van de overstap naar IPv6 verstoort. Maar als we terugkeren naar de realiteit, zullen we zien dat NAT in de meeste gevallen eenvoudigweg een onvervangbaar iets is, vooral voor kleine kantoren met een aantal computers van enkele tot enkele tientallen. NAT kan zelfstandig worden geïmplementeerd in OS Linux met behulp van

Het is geen nieuws meer dat er niet genoeg IP-netwerkadressen zijn voor alle apparaten die op internet willen. Momenteel is een uitweg uit deze situatie gevonden door het IPv6-protocol te ontwikkelen, waarbij de adreslengte 128 bits is, terwijl het huidige IPv4 slechts 32 bits is. Maar begin jaren 2000 vonden ze een andere oplossing: het gebruik van netwerkadresvertaling, afgekort nat. Verderop in het artikel zullen we nat in de router configureren.

Het routerinstellingenmenu openen

Laten we als voorbeeld de ZyXEL-router uit de ZyWALL USG- en NXC5200-serie nemen.

Ga eerst naar de routerinstellingen. Om dit te doen, typt u in elke webbrowser 192.168.1.1 in de adresbalk. (standaard routeradres), verschijnt er een venster waarin u wordt gevraagd uw gebruikersnaam en wachtwoord in te voeren.

Voer in het veld “Gebruikersnaam” admin in, in het veld “Wachtwoord” typt u 1234. Klik op “OK”.

Nat instellen in de router

Ga in het menuvenster dat wordt geopend naar het tabblad “Configuratie” (het pictogram met twee tandwielen), vervolgens naar “Netwerk” en vervolgens naar “Routing”. Ga in het geselecteerde venster naar het tabblad “Beleidsrouting”.

Menu ZyXEL-routerinstellingen

In dit menu wordt het routeringsbeleid geconfigureerd. In het gebied "Criteria" stellen we criteria in voor het selecteren van verkeer - welk verkeer moet worden uitgezonden (configureer feitelijk nat) en welk verkeer eenvoudigweg moet worden gerouteerd. Verkeer kan worden geselecteerd op basis van verschillende criteria:

1. Gebruiker (Gebruiker);
2. Via interface (binnenkomend);
3. Op bron-IP-adres;
4. Op IP-adres van de ontvanger (bestemmingsadres);
5. Per bestemmingspoort (Service).

In het gebied “Next-Hop” wijzen we een object toe om verkeer om te leiden:

Een ZyXEL-routeromleidingsobject selecteren

Waar “Auto” – verkeer wordt omgeleid naar de standaard globale interface; Gateway – naar het adres dat is opgegeven in de gateway-instellingen; VPN-tunnel – IPSec virtuele privétunnel; Trunk – route naar een “trunk”, waarbij een “trunk” bestaat uit verschillende interfaces die zijn geconfigureerd om samen te werken of in redundantiemodus; Interface – doorverwijzen naar de opgegeven interface:

Het is belangrijk om te onthouden dat wanneer u wijzigingen aanbrengt in de routerinstellingen, u op de knop “OK” klikt om de instellingen op te slaan en niet alleen de webbrowser sluit.

Nat instellen op een computer

Zoals u weet, kan een pc zelf als router dienen. Vaak is er sprake van een situatie waarin er een computernetwerk is van meerdere computers, waarvan er één toegang heeft tot internet. In deze situatie kunt u helemaal geen routers kopen, maar een computer met internettoegang als router instellen en nat daarop configureren. Laten we dit geval in meer detail bekijken.

Zorg ervoor dat u twee netwerkkaarten installeert op de hoofdcomputer die naar internet kijkt (laten we het SERVER noemen) - de eerste om verbinding te maken met het lokale netwerk, de tweede met de provider. In het voorbeeld wordt het besturingssysteem Windows Server 2012 gebruikt.

Om te configureren, start u eerst “Server Manager” (Start -> Systeembeheer -> Serverbeheer). Het instellingenvenster verschijnt:

Vanaf hier zullen we onze server beheren. Om door te gaan met de configuratie klikt u op “Rollen en onderdelen toevoegen”, waardoor het venster Wizard Rollen toevoegen wordt geopend. Eerste stap - Installatietype:

In het volgende venster moeten we de rol selecteren die we op de server installeren. Vink het vakje aan naast 'Toegang op afstand'.

Het volgende venster verschijnt, waarin een lijst met componenten wordt weergegeven die nodig zijn voor de werking. Klik op “Componenten toevoegen”, dit venster verdwijnt. Klik volgende".

In het volgende venster vraagt ​​de wizard u om servercomponenten toe te voegen. U hoeft niets te wijzigen, klik op “Volgende”.

Op de volgende pagina informeert de wizard ons eenvoudigweg over de werking van de rol voor externe toegang. Klik volgende".

In de volgende stap moet u “Rolservices” selecteren. Vink het vakje naast ‘Routing’ aan en klik op ‘Volgende’.

Het volgende venster is wederom informatief, u hoeft niets te selecteren, maar u kunt wel het vakje naast “Automatisch opnieuw opstarten op de geselecteerde server...” aanvinken, waardoor de server na installatie automatisch opnieuw opstart. Maar je kunt dit ook handmatig doen. Klik volgende".

En de laatste stap is de daadwerkelijke installatie van de server. Als u klaar bent, klikt u op de knop "Sluiten".

Serverinstallatie

We hebben dus een computer geconfigureerd die in servermodus met internet is verbonden. Nu moet je nat erop configureren.

Ga naar Start / Beheer / Routering en externe toegang. In het venster dat verschijnt, vinden we aan de linkerkant het item “SERVER (lokaal)”, klik er met de rechtermuisknop op en klik in het vervolgkeuzemenu op “Routering en externe toegang configureren en inschakelen”.

Er verschijnt een wizard voor het opzetten van een routerings- en RAS-server, waarin we nat.

Op de eerste pagina maken we kort kennis met de wizard - klik op “Volgende”. De volgende stap is het selecteren van een van de services die op deze server worden uitgevoerd. Selecteer “Network Address Translation (NAT)” en klik op “Volgende”.

Vervolgens vraagt ​​de wizard u een netwerkverbinding te selecteren die naar internet kijkt. Beide netwerkkaarten zullen aanwezig zijn in de lijst (althans afhankelijk van hoeveel er op de server zijn geïnstalleerd). We selecteren degene waarop de netwerkkabel van de provider is aangesloten. Klik volgende".

In het volgende venster begint de wizard te klagen dat hij geen DHCP- of DNS-services op het lokale netwerk kan detecteren. Er zijn twee opties om door te gaan: basisservices inschakelen of services later installeren.

Selecteer het eerste item en klik op “Volgende”. Op de volgende pagina zal ik u informeren in welk bereik nat zal werken. De installatiewizard selecteert dit bereik automatisch op basis van de configuratie van de netwerkverbinding die is aangesloten op het lokale netwerk. Klik volgende".

nat bereik

Dat is alles, de installatiewizard voltooit de nat-installatie. Klik op “Volgende” en in het volgende venster op “Gereed”.

Het laatste dat u nog moet doen, is het configureren van de clientcomputers, dat wil zeggen alle andere computers op het lokale netwerk. Om dit te doen, gaat u op de clientcomputer (dit moet op elke computer in het netwerk worden gedaan) naar Start / Configuratiescherm / Netwerkcentrum / adapterinstellingen wijzigen. Ga naar “Netwerkverbindingen”. Klik met de rechtermuisknop op het pictogram en selecteer 'Eigenschappen' in het vervolgkeuzemenu. In het venster dat verschijnt, selecteert u “Internet Protocol versie 4 (TCP/IPv4)” en klikt u op “Eigenschappen”.

In het veld "Standaardgateway" schrijven we het IP-adres van de servercomputer (die in de vorige stap is geconfigureerd), in het veld "Voorkeurs-DNS-server" schrijven we het IP-adres van de DNS-server van de provider, gespecificeerd in de internetverbindingsinformatie op de server. Klik op “OK” en nogmaals op “OK”. Dat is alles, de clientcomputer is verbonden met internet.

Naast SNAT, d.w.z. Vaak wordt ook gebruik gemaakt van het verstrekken van interne adressen aan gebruikers van een lokaal netwerk met toegang tot internet Bestemming NAT, wanneer verzoeken van buitenaf door de firewall worden vertaald naar een server op het lokale netwerk die een intern adres heeft en dus niet direct toegankelijk is vanaf het externe netwerk (zonder NAT).

Onderstaande figuren tonen een voorbeeld van de werking van het NAT-mechanisme.

Rijst. 7.1.

Een gebruiker op een bedrijfsnetwerk stuurt een verzoek naar internet, dat arriveert bij de interne interface van de router, toegangsserver of firewall (NAT-apparaat).

Het NAT-apparaat ontvangt het pakket en maakt een vermelding in de verbindingsvolgtabel, die de adresvertaling regelt.

Vervolgens vervangt het het bronadres van het pakket door zijn eigen externe openbare IP-adres en stuurt het pakket naar zijn bestemming op internet.

De bestemmingshost ontvangt het pakket en stuurt een antwoord terug naar het NAT-apparaat.

Het NAT-apparaat zoekt op zijn beurt, bij ontvangst van dit pakket, de bron van het oorspronkelijke pakket op in de verbindingsvolgtabel, vervangt het bestemmings-IP-adres door het overeenkomstige privé-IP-adres en stuurt het pakket door naar de broncomputer. Omdat het NAT-apparaat pakketten verzendt namens alle interne computers, verandert het de bronnetwerkpoort en wordt deze informatie opgeslagen in de verbindingsregistratietabel.

Er zijn 3 basisconcepten voor adresvertaling:

• statisch (SAT, statische netwerkadresvertaling),
• dynamisch (DAT, dynamische adresvertaling),
• maskerade (NAPT, NAT Overload, PAT).

Statische NAT wijst lokale IP-adressen één-op-één toe aan specifieke openbare adressen. Wordt gebruikt wanneer de lokale host van buitenaf toegankelijk moet zijn via vaste adressen.

Dynamische NAT wijst een reeks privé-adressen toe aan een reeks openbare IP-adressen. Als het aantal lokale hosts het aantal beschikbare openbare adressen niet overschrijdt, komt elk lokaal adres gegarandeerd overeen met een openbaar adres. Anders wordt het aantal hosts dat tegelijkertijd toegang heeft tot externe netwerken beperkt door het aantal openbare adressen.

Maskerade NAT(NAPT, NAT Overload, PAT, masquerading) is een vorm van dynamische NAT die meerdere privéadressen toewijst aan één openbaar IP-adres met behulp van verschillende poorten. Ook bekend als PAT (Port Address Translation).

Er kunnen verschillende mechanismen zijn voor interactie tussen een intern lokaal netwerk en een extern openbaar netwerk - dit hangt af van de specifieke taak om toegang te bieden tot het externe netwerk en terug en wordt voorgeschreven door bepaalde regels. Er zijn 4 soorten netwerkadresvertaling gedefinieerd:

• Volledige kegel
• Beperkte kegel
• Poort beperkte kegel
• Symmetrisch

Bij de eerste drie typen NAT wordt dezelfde externe poort gebruikt om te communiceren tussen verschillende IP-adressen op het externe netwerk en adressen op het lokale netwerk. Het vierde type – symmetrisch – gebruikt voor elk adres en elke poort een aparte externe poort.

Volledige kegel, staat de externe poort van het apparaat (router, toegangsserver, firewall) open voor verzoeken afkomstig van elk adres. Als een gebruiker vanaf internet een pakket naar een client achter een NAT moet sturen, hoeft hij alleen de externe poort te kennen van het apparaat waarmee de verbinding tot stand is gebracht. Een computer achter NAT met het IP-adres 192.168.0.4 verzendt en ontvangt bijvoorbeeld pakketten op poort 8000, die zijn toegewezen aan het externe IP-adres en de poort als 10.1.1.1:12345. Pakketten van het externe netwerk komen aan bij het apparaat met IP-adres: poort 10.1.1.1:12345 en worden vervolgens verzonden naar de clientcomputer 192.168.0.4:8000.

Bij binnenkomende pakketten wordt alleen het transportprotocol gecontroleerd; Het bestemmingsadres en de poort, het bronadres en de poort doen er niet toe.

Bij gebruik van NAT, werken op type Beperkte kegel, staat de externe poort van het apparaat (router, toegangsserver, firewall) open voor elk pakket dat vanaf de clientcomputer wordt verzonden, in ons voorbeeld: 192.168.0.4:8000. En een pakket dat afkomstig is van een extern netwerk (bijvoorbeeld van computer 172.16.0.5:4000) naar een apparaat met adres: poort 10.1.1.1:12345 wordt alleen naar computer 192.168.0.4:8000 verzonden als voorheen 192.168.0.4:8000 stuurde een verzoek naar het IP-adres van de externe host (in ons geval naar de computer 172.16.0.5:4000). Dat wil zeggen dat de router alleen binnenkomende pakketten uitzendt vanaf een specifiek bronadres (in ons geval computer 172.16.0.5:4000), maar het bronpoortnummer kan van alles zijn. Anders blokkeert NAT pakketten die afkomstig zijn van hosts waarnaar 192.168.0.4:8000 geen verzoek heeft verzonden.

NAT-mechanisme Poort beperkte kegel bijna vergelijkbaar met het NAT Restricted Cone-mechanisme. Alleen in dit geval blokkeert NAT alle pakketten die afkomstig zijn van hosts waarnaar de clientcomputer 192.168.0.4:8000 geen verzoek naar een IP-adres en poort heeft gestuurd. De router let op het overeenkomende bronpoortnummer en let niet op het bronadres. In ons voorbeeld verzendt de router binnenkomende pakketten met elk bronadres, maar de bronpoort moet 4000 zijn. Als de client verzoeken naar het externe netwerk naar verschillende IP-adressen en poorten heeft verzonden, kunnen ze pakketten naar de client sturen. op het IP-adres: poort 10.1 .1.1:12345.

Symmetrische NAT verschilt aanzienlijk van de eerste drie mechanismen in de manier waarop het het interne IP-adres:poort toewijst aan het externe adres:poort. Deze weergave is afhankelijk van het IP-adres:poort van de computer waarvoor het verzonden verzoek bestemd is. Als clientcomputer 192.168.0.4:8000 bijvoorbeeld een verzoek verzendt naar computer nr. 1 (172.16.0.5:4000), kan dit verschijnen als 10.1.1.1:12345, terwijl het tegelijkertijd vanaf dezelfde poort verzendt ( 192.168.0.4:8000) naar een ander IP-adres, wordt het anders weergegeven (10.1.1.1:12346).

Het is echter de moeite waard om de nadelen van deze technologie te vermelden:

1. Niet alle protocollen kunnen NAT "doorkruisen". Sommige mislukken als er een adresvertaling is op het pad tussen communicerende hosts. Bepaalde firewalls voor het vertalen van IP-adressen kunnen dit tekort corrigeren door IP-adressen op de juiste manier te vervangen, niet alleen in de IP-headers, maar ook op hogere niveaus (bijvoorbeeld in FTP-protocolopdrachten).
2. Als gevolg van multi-naar-één adresvertaling ontstaan ​​er extra problemen bij het identificeren van gebruikers en de noodzaak om volledige vertaallogboeken op te slaan.
3. DoS-aanval door een host die NAT uitvoert - Als NAT wordt gebruikt om veel gebruikers met dezelfde service te verbinden, kan dit de illusie wekken van een DoS-aanval op de service (meerdere successen en mislukkingen). Een overmatig aantal ICQ-gebruikers achter NAT leidt bijvoorbeeld voor sommige gebruikers tot problemen bij het verbinden met de server vanwege het overschrijden van de toegestane verbindingssnelheid.

En je bladert door de pagina's van de WEB-site. De kans is groot dat u momenteel Network Address Translation (NAT) gebruikt.

Niemand had de groei van het internet zoals we die vandaag de dag zien, kunnen voorzien. Hoewel de exacte omvang onbekend is, geven schattingen aan dat er ongeveer 100 miljoen actieve knooppunten en meer dan 350 miljoen gebruikers op internet zijn. Het groeitempo van het internet is zodanig dat de omvang ervan elk jaar verdubbelt.

Wat heeft de vertaling van netwerkadressen te maken met de omvang van internet? De meest directe! Om ervoor te zorgen dat deze computer via internet met andere computers en WEB-servers kan communiceren, moet deze een eigen IP-adres hebben. Een IP-adres (IP staat voor Internet Protocol) is een uniek 32-bits nummer dat de locatie van een bepaalde computer op het netwerk identificeert. In principe functioneert het als uw thuisadres: het is een manier om de exacte locatie van uw computer te vinden en u informatie te bezorgen.

IP-adressering

Toen IP-adressering voor het eerst verscheen, geloofde iedereen dat er genoeg adressen waren om aan elke behoefte te voldoen. Theoretisch zouden er in totaal 4.294.967.296 unieke adressen kunnen zijn (232). Het werkelijke aantal adressen dat beschikbaar is voor gebruik is iets lager (tussen ongeveer 3,2 en 3,3 miljard), vanwege de manier waarop adressen in klassen worden ingedeeld en het feit dat bepaalde adressen zijn gereserveerd voor multicasting, testen en andere speciale behoeften.

In de context van de explosieve groei van internet en de groei van thuis- en bedrijfsnetwerken zijn er simpelweg niet genoeg beschikbare IP-adressen. De voor de hand liggende oplossing is om het adresformaat te wijzigen, zodat er meer adressen beschikbaar zijn. Een dergelijk systeem wordt momenteel uitgerold (genaamd IPv6), maar het zal enkele jaren duren om het te implementeren, omdat het een upgrade van de hele structuur van het internet vereist.

Het NAT-systeem (RFC 1631) komt te hulp. Door netwerkadresvertaling kan een enkel apparaat, zoals een router, fungeren als tussenpersoon tussen het internet (of 'openbaar netwerk') en een lokaal (of 'privé') netwerk. Dit betekent dat er slechts één uniek IP-adres nodig is om een ​​hele groep computers te vertegenwoordigen.

Het ontbreken van IP-adressen is echter slechts één van de redenen waarom NAT wordt gebruikt. Ons artikel is gewijd aan de voordelen en kenmerken van dit systeem. Laten we eerst eens nader bekijken wat NAT is en hoe dit systeem werkt...

Hoe het NAT-systeem werkt

Een NAT-systeem is als een secretaresse in een groot kantoor. Stel dat u hem instructies heeft gegeven om u niet te verbinden met iemand die belt totdat u toestemming geeft voor dergelijke acties. Later bel je de potentiële klant en laat je een bericht achter zodat hij/zij je terug kan bellen. Je vertelt de secretaresse dat je een telefoontje van een klant verwacht en geeft hem de opdracht de verbinding tot stand te brengen als hij belt.

De cliënt belt het hoofdtelefoonnummer van het kantoor, omdat dat het enige nummer is dat hij kent. De cliënt vertelt de secretaresse dat hij contact met u wil opnemen, de secretaresse controleert de opzoektabel, waarin uw naam en uw telefoonaansluiting staan. De receptioniste weet dat u de klant toestemming heeft gegeven om in te bellen en schakelt de beller door naar uw toestel.

Netwerkadresvertaalsysteem

Het Network Address Translation-systeem, ontwikkeld door Cisco, wordt gebruikt door het apparaat (router of computer) dat het interne netwerk met de rest van de wereld verbindt. De vertaling van netwerkadressen kan vele vormen aannemen en op verschillende manieren werken:

• Statische netwerkadresvertaling is de conversie van een niet-geregistreerd IP-adres naar een geregistreerd IP-adres op een één-op-één-basis. Vooral handig als u toegang tot het apparaat nodig heeft van buiten het lokale netwerk.
• Dynamische netwerkadresvertaling - converteert een niet-geregistreerd IP-adres naar een geregistreerd IP-adres uit een groep geregistreerde IP-adressen.
• Overbelasting is een vorm van dynamische vertaling waarbij veel niet-geregistreerde IP-adressen worden omgezet in één enkel geregistreerd adres door verschillende poorten te gebruiken. Deze procedure wordt ook wel PAT (Port Address Translation), unicast NAT of multiplex NAT op poortniveau genoemd.
• Matching - Wanneer de adressen die op uw netwerk worden gebruikt, geregistreerde IP-adressen zijn die op een ander netwerk worden gebruikt, moet de router een vertaaltabel van die adressen bijhouden, deze onderscheppen en vervangen door geregistreerde unieke IP-adressen. Het is belangrijk op te merken dat een NAT-router "interne" adressen moet vertalen naar geregistreerde unieke adressen, evenals "externe" geregistreerde adressen naar adressen die uniek zijn op het particuliere netwerk. Deze bewerking kan worden uitgevoerd met behulp van statische netwerkadresvertaling, of met behulp van Domain Name System (DNS) en het implementeren van dynamische netwerkadresvertaling.

Het interne netwerk is meestal een lokaal netwerk (LAN, Local Area Network), dat ook wel een stubdomein wordt genoemd. Een stubdomein is een lokaal netwerk waarbinnen IP-adressen worden gebruikt. Het meeste netwerkverkeer in een stubdomein is lokaal en gaat niet verder dan het interne netwerk. Een stubdomein kan zowel geregistreerde als niet-geregistreerde IP-adressen bevatten. Uiteraard moeten alle computers waaraan niet-geregistreerde IP-adressen zijn toegewezen, netwerkadresvertaling gebruiken om met de rest van de wereld te communiceren.

NAT kan op verschillende manieren worden geconfigureerd. In het onderstaande voorbeeld is de NAT-router geconfigureerd om niet-geregistreerde (interne, lokale) IP-adressen die op een particulier (intern) netwerk worden gebruikt, te vertalen naar geregistreerde IP-adressen. Deze procedure wordt elke keer uitgevoerd wanneer een apparaat met een niet-geregistreerd adres op het interne netwerk moet communiceren met het openbare netwerk (extern).

• Uw ISP kent een aantal IP-adressen toe aan uw bedrijf. De adressen in de vastgezette groep zijn geregistreerde IP-adressen en worden interne globale adressen genoemd. Niet-geregistreerde, privé-IP-adressen zijn verdeeld in twee groepen. Eén kleine groep (externe lokale adressen) wordt gebruikt door NAT-routers. De tweede, veel grotere groep, genaamd binnen lokale adressen, wordt gebruikt in een stubdomein. Externe lokale adressen worden gebruikt om unieke IP-adressen voor apparaten te vormen, externe globale adressen genoemd, voor toegang tot het openbare netwerk.
• De meeste computers in een stubdomein communiceren met elkaar via interne lokale adressen.
• Sommige stub-domeincomputers communiceren regelmatig met apparaten buiten het lokale netwerk. Deze computers hebben interne globale adressen die geen vertaling vereisen.
• Wanneer een stub-domeincomputer met een intern lokaal adres moet communiceren met een computer buiten het lokale netwerk, wordt het pakket naar een van de NAT-routers gerouteerd.
• De NAT-router controleert de routeringstabel om te zien of er een vermelding voor het bestemmingsadres is. Als er zo'n vermelding is, vertaalt de NAT-router het pakket en creëert er een vermelding voor in de adresvertaaltabel. Als het bestemmingsadres niet in de routeringstabel staat, wordt het pakket genegeerd.
• Met behulp van het interne globale adres stuurt de router het pakket naar zijn bestemming.
• Een computer op een openbaar netwerk verzendt een pakket naar een particulier netwerk. Het afzenderadres van het pakket is het externe globale adres. Het bestemmingsadres is het interne globale adres.
• De NAT-router controleert de adresvertaaltabel en stelt vast dat er een bestemmingsadres is dat overeenkomt met een computer in het stubdomein.
• De NAT-router vertaalt het interne globale adres van het pakket naar een intern lokaal adres en stuurt het pakket door naar de juiste computer.

NAT-overbelasting

Overload NAT maakt gebruik van een functie van de TCP/IP-protocolsuite, multiplexing, waarmee een computer meerdere gelijktijdige verbindingen kan maken met een of meer externe computers via verschillende TCP- of UDP-poorten. Het IP-pakket bevat een header die de volgende informatie bevat:

• Bronadres - IP-adres van de verzendende computer, bijvoorbeeld 201.3.83.132
• Afzenderpoort - Het TCP- of UDP-poortnummer dat door de verzendende computer voor dit pakket is toegewezen, bijvoorbeeld poort 1080
• Ontvangeradres - IP-adres van de ontvangende computer, bijvoorbeeld 145.51.18.223
• Bestemmingspoort is het TCP- of UDP-poortnummer dat de verzendende computer door de ontvangende computer moet openen, bijvoorbeeld poort 3021.

De adressen identificeren de twee machines aan elk uiteinde, en de poortnummers bieden een unieke identificatie voor de verbinding tussen de twee computers. De combinatie van deze vier cijfers definieert één TCP/IP-verbinding. Elk poortnummer gebruikt 16 bits, wat betekent dat er 65.536 (216) mogelijke waarden zijn. In de praktijk kun je, gezien het feit dat verschillende fabrikanten de poorten enigszins verschillend in kaart brengen, verwachten dat er ongeveer 4.000 poorten beschikbaar zullen zijn.