Что такое napt в роутере

NAPT (Network Address and Port Translation) — это технология, которая позволяет сетевому роутеру выполнять преобразование адресов и портов для передачи данных между локальной сетью и внешней сетью, такой как интернет. Она является расширением технологии NAT (Network Address Translation) и имеет ряд преимуществ в сравнении с обычным NAT.

В простейших терминах, NAPT позволяет нескольким устройствам в локальной сети использовать один и тот же внешний IP-адрес для доступа в интернет. Это достигается путем преобразования IP-адресов и портов, которые используются внутри локальной сети, в один внешний IP-адрес и порт, который будет использоваться для обмена данными с внешней сетью.

Например, если у вас дома есть несколько устройств, таких как компьютеры, смартфоны и игровые консоли, и все они подключены к одному роутеру, который имеет только один внешний IP-адрес, то NAPT позволит всем этим устройствам одновременно использовать интернет. Когда любое из устройств отправляет запрос в интернет, NAPT будет преобразовывать локальные IP-адреса и порты в общий внешний IP-адрес и порт, и наоборот, когда ответ идет обратно.

Таким образом, NAPT позволяет экономить адресное пространство IPv4 и обеспечивает безопасность локальной сети, скрывая оригинальные IP-адреса устройств от внешней сети. Кроме того, с помощью NAPT можно настраивать доступ к различным сервисам и приложениям в разных устройствах, используя один внешний IP-адрес и различные порты.

Технология NAPT является важной частью сетевой инфраструктуры и широко применяется в роутерах для организации сетей малого и среднего бизнеса, а также домашних сетей. Ее использование позволяет создавать гибкие и безопасные сети с множеством подключенных устройств.

Содержание

  1. Что такое NAPT
  2. Определение и суть технологии
  3. Принцип работы NAPT
  4. Роль NAPT в роутере

Что такое NAPT

В рамках NAPT, каждому устройству в локальной сети присваивается уникальный локальный IP-адрес, который используется для взаимодействия внутри сети. При передаче IP-пакетов в Интернет, адрес и порт устройства заменяются на общедоступный IP-адрес и свободный порт NAT-устройства, которые используются для идентификации пакета во внешней сети.

Использование NAT и NAPT позволяет экономить публичные IP-адреса и увеличивает безопасность локальной сети, так как позволяет скрыть реальные IP-адреса устройств от внешних сетей. Это особенно полезно в случае, когда у вас есть только один общедоступный IP-адрес, но вам необходимо обеспечить доступ в Интернет для нескольких устройств.

При использовании NAPT, для каждого подключения к внешней сети создается временный порт на NAT-устройстве, который записывается в таблицу NAT-сессий. Это позволяет устанавливать соединения в обе стороны и перенаправлять пакеты обратно в локальную сеть на правильное устройство.

Однако, NAPT может быть причиной проблем с определенными приложениями, такими как некоторые протоколы передачи в реальном времени (например, VoIP или видеоконференции), которые могут использовать специфические порты и требуют настройки доступа через NAT.

Определение и суть технологии

Основной целью NAPT является расширение количества доступных IP-адресов, так как количество публичных IP-адресов ограничено, а количество устройств, требующих доступа в Интернет, постоянно растет.

При работе NAPT происходит преобразование IP-адресов и портов в пакетах, проходящих через роутер. Каждый внутренний приватный IP-адрес и порт заменяются на соответствующие публичные IP-адрес и порт. Это позволяет множеству устройств в локальной сети использовать один и тот же публичный IP-адрес для доступа в Интернет.

Технология NAPT также обеспечивает возможность устанавливать соединение между устройствами в локальной сети и устройствами во внешней сети, используя перенаправление портов. При получении пакета с публичным IP-адресом и портом, роутер выполняет преобразование обратно в приватный IP-адрес и порт и перенаправляет пакет в нужное устройство в локальной сети.

  • NAPT позволяет более эффективно использовать доступные публичные IP-адреса.
  • Он обеспечивает безопасность локальной сети путем скрытия реальных IP-адресов устройств.
  • Технология NAPT также упрощает настройку сети и обеспечивает ее гибкость, позволяя использовать несколько приватных IP-адресов с одним публичным IP-адресом.

Принцип работы NAPT

Принцип работы NAPT состоит в переводе IP-адресов и портов в одном направлении, а также ведении записей о сессиях сетевого взаимодействия.

Когда устройство из внутренней сети вступает в сетевое взаимодействие с внешней сетью (например, отправляет запрос на получение веб-страницы), роутер применяет NAPT для перевода исходного IP-адреса и порта устройства во внутренней сети на другой IP-адрес и порт внешней сети. Таким образом, получается, что внешняя сеть видит только IP-адрес и порт роутера, а не реального отправителя запроса.

Также записи о сессиях сетевого взаимодействия позволяют роутеру корректно переводить адреса и порты в обратном направлении.

Использование NAPT позволяет сократить количество необходимых публичных IP-адресов, так как один публичный IP-адрес может быть использован для перевода адресов и портов множества устройств внутренней сети. Это особенно полезно в случае, если внешних IP-адресов недостаточно для присвоения каждому устройству своего уникального адреса.

Однако, использование NAPT также может вызывать определенные проблемы, связанные с ограничением количества доступных портов для устройств внутренней сети или проблемами при установлении соединений, требующих определенных портов.

Роль NAPT в роутере

Одним из основных преимуществ использования NAPT является экономия IP-адресов. Вместо того, чтобы выделять каждому устройству в локальной сети отдельный внешний IP-адрес, можно использовать один общий IP-адрес роутера. Это особенно полезно, если у провайдера ограниченное количество IP-адресов для выделения.

Кроме того, NAPT обеспечивает защиту внутренних устройств от прямого доступа извне. Поскольку все внешние запросы направляются на внешний IP-адрес роутера, внутренние устройства остаются невидимыми для внешней сети. Это повышает безопасность и предотвращает возможные атаки на локальную сеть.

Кроме перевода IP-адресов, NAPT также выполняет перевод портов. Это означает, что несколько устройств в локальной сети могут использовать один и тот же внешний IP-адрес, но с различными портами для соединения с внешней сетью. Это позволяет множеству устройств одновременно использовать интернет-соединение без конфликтов.

В целом, роль NAPT в роутере заключается в обеспечении доступа к интернету для всех устройств в локальной сети, используя один внешний IP-адрес и переводя IP-адреса и порты устройств на этот адрес. Это позволяет экономить IP-адреса, защищать сеть от внешних атак и обеспечивать подключение нескольких устройств без конфликтов.

Источник

Компьютерные сети стали неотъемлемой частью нашей повседневной жизни. Они позволяют нам общаться, работать и развлекаться в онлайн-режиме. Однако, чтобы сети функционировали эффективно, необходимо применение различных протоколов и технологий. Одной из таких ключевых технологий является NAPT.

NAPT (Network Address Port Translation) – это метод перевода сетевых адресов и портов, который позволяет нескольким устройствам использовать один публичный IP-адрес для подключения к Интернету. Роутер, использующий NAPT, преобразует локальные IP-адреса и порты устройств во внешний IP-адрес и порты, исходящие в Интернет. Это позволяет снизить количество используемых публичных IP-адресов и повысить безопасность сети.

Как работает NAPT? Когда устройство из локальной сети отправляет запрос в Интернет, роутер записывает IP-адрес и порт отправителя в таблицу NAT (Network Address Translation). Затем роутер заменяет локальный IP-адрес и порт на внешний IP-адрес и порт, указанный в таблице NAT. При получении ответа, роутер снова преобразует внешний IP-адрес и порт в локальный адрес и порт устройства, отправившего запрос.

Использование NAPT позволяет сетевым администраторам сэкономить публичные IP-адреса и предотвратить возможные атаки на сеть. Также NAPT обеспечивает инкогнито для устройств в локальной сети, так как внешние узлы не видят локальные IP-адреса устройств.

В заключение, NAPT – это важная технология, которая позволяет нескольким устройствам использовать один публичный IP-адрес для доступа к Интернету. Она улучшает эффективность сети, экономит ресурсы и обеспечивает безопасность соединения. Если вы управляете сетью или интересуетесь инфраструктурой Интернета, вам стоит ознакомиться с принципами работы NAPT и его преимуществами.

Содержание

  1. Что такое NAPT?
  2. Принцип работы NAPT в роутере
  3. Функции NAPT в роутере
  4. Преимущества использования NAPT
  5. Ограничения и возможные проблемы при использовании NAPT
  6. Как настроить NAPT в роутере

Что такое NAPT?

Основная цель NAPT заключается в обеспечении более эффективного использования доступных ресурсов IPv4 (Internet Protocol version 4) путем преобразования локальных IP-адресов и портов устройств в сети.

Когда устройство в сети отправляет пакет данных на удаленный сервер, его локальный IP-адрес и порт автоматически заменяются на глобальный IP-адрес и порт роутера. Это позволяет нескольким устройствам в одной локальной сети использовать один и тот же глобальный IP-адрес для доступа в Интернет.

При получении ответного пакета данных от сервера, роутер сопоставляет глобальный IP-адрес и порт с локальным IP-адресом и портом устройства в сети и переводит их обратно на локальный IP-адрес и порт данного устройства. Таким образом, NAPT обеспечивает двустороннюю связь между устройствами в локальной сети и удаленными серверами.

Кроме того, NAPT также выполняет функцию защиты локальной сети от несанкционированного доступа извне. За счет замены локальных IP-адресов глобальными, NAPT скрывает настоящие IP-адреса и порты устройств в сети, делая их недоступными для внешних атак.

Важно: использование NAPT может вызвать проблемы при работе с некоторыми приложениями или сервисами, особенно связанными с установлением прямых соединений и передачей данных между устройствами. Некоторые роутеры могут предоставлять возможность настраивать и управлять правилами NAPT для более гибкой настройки сети и обеспечения совместимости с нужными сервисами.

Принцип работы NAPT в роутере

Основная задача NAPT заключается в преобразовании частных IP-адресов, присвоенных устройствам в локальной сети, в общедоступные публичные IP-адреса. Это позволяет нескольким устройствам использовать один общий публичный IP-адрес для доступа в Интернет.

Процесс работы NAPT осуществляется следующим образом:

Исходный IP-адрес и порт Преобразованный IP-адрес и порт
192.168.1.10:5000 203.0.113.1:5001
192.168.1.11:6000 203.0.113.1:5002
192.168.1.12:7000 203.0.113.1:5003

Роутер, поддерживающий NAPT, получает пакеты от устройств в локальной сети и заменяет его исходный IP-адрес и порт на свой общедоступный IP-адрес и порт. Затем он отправляет преобразованный пакет в Интернет.

Получая ответные пакеты от удаленных серверов, роутер использует информацию из таблицы преобразования, чтобы заменить обратно публичные IP-адрес и порт на соответствующие им локальные адреса устройств в локальной сети. Таким образом, ответные пакеты могут быть доставлены правильным устройствам.

За счет использования NAPT, роутеры могут значительно экономить публичные IP-адреса, что является очень важным в условиях ограниченности доступных адресов в IPv4. Кроме того, NAPT предоставляет некоторую степень безопасности, так как скрывает локальные IP-адреса устройств в локальной сети от внешнего мира.

Функции NAPT в роутере

Функции NAPT в роутере включают:

  1. Перевод IP-адресов: NAPT позволяет роутеру переводить IP-адреса внутренних устройств в общедоступные IP-адреса, которые могут быть использованы для коммуникации в Интернете. Это позволяет нескольким устройствам в локальной сети использовать один IP-адрес, что экономит IP-адресное пространство.

  2. Перевод портов: NAPT также переводит порты внутренних устройств для обеспечения уникального идентификатора для каждого соединения. Поскольку IP-адрес является общим для всех устройств, порт используется для идентификации конкретного устройства и соединения.

  3. Управление трансляцией адресов: NAPT имеет возможность создавать и управлять таблицей соответствий между внутренними адресами и портами устройств и общедоступным IP-адресом. Это позволяет роутеру эффективно управлять соединениями и обеспечивать правильное перенаправление пакетов.

  4. Защита сети: NAPT может также служить как встроенная система безопасности для сети. Он скрывает внутренние IP-адреса и порты от внешней сети, что делает внутреннюю сеть более безопасной от атак извне.

Функции NAPT значительно упрощают настройку и управление сетью, а также экономят IP-адреса. Они являются важной частью функциональности роутера и позволяют нескольким устройствам одновременно использовать один общедоступный IP-адрес для доступа в Интернет.

Преимущества использования NAPT

Использование NAPT имеет ряд преимуществ:

1. Экономия публичных IP-адресов.
2. Улучшение безопасности сети.
3. Простота управления сетью.
4. Поддержка множества устройств в локальной сети.
5. Возможность использования одного публичного IP-адреса для доступа к Интернету с нескольких устройств.

Таким образом, использование NAPT позволяет эффективно использовать ограниченные ресурсы IP-адресов, обеспечивает безопасность сети и облегчает управление локальной сетью.

Ограничения и возможные проблемы при использовании NAPT

Несмотря на множество преимуществ, которые предлагает Network Address and Port Translation (NAPT), существуют и некоторые ограничения и возможные проблемы при его использовании:

1. Ограниченное количество IP-адресов: NAPT может привести к ограниченности доступных IP-адресов, особенно в случае использования большого количества клиентских устройств. В ситуации, когда требуется больше активных соединений, может потребоваться использовать дополнительные IP-адреса.

2. Проблемы с протоколами, использующими IP-адрес в данных: NAPT не всегда корректно обрабатывает протоколы, в которых IP-адрес представлен в самом теле пакета. Например, такие протоколы, как FTP и SIP, используют IP-адрес в данных, что может вызвать проблемы при их передаче через устройства с NAPT.

3. Ограничения при использовании Peer-to-Peer-протоколов: NAPT затрудняет работу Peer-to-Peer-протоколов, поскольку эти протоколы часто требуют прямых соединений между устройствами. При использовании NAPT возникают проблемы с установкой и поддержкой прямых соединений, что может замедлить или сделать невозможным работу таких протоколов.

4. Проблемы с определением источника атаки: При использовании NAPT возникают сложности в определении точного источника атаки. В случае внешней атаки через NAPT, IP-адрес, который виден снаружи, может не соответствовать конкретному клиентскому устройству внутри сети.

В целом, NAPT является эффективным механизмом для перевода IP-адресов и портов, однако его использование может быть ограничено определенными проблемами, связанными с ограниченным количеством доступных IP-адресов, проблемами с протоколами, использованием Peer-to-Peer-протоколов и определением источника атаки.

Как настроить NAPT в роутере

Для настройки NAPT (Network Address and Port Translation) в вашем роутере вам понадобится доступ к его административному интерфейсу. Обычно это делается через браузер, введя IP-адрес роутера в строку адреса.

После того как вы вошли в административный интерфейс роутера, следуйте следующим шагам:

Шаг 1: Найдите вкладку или раздел, связанный с настройками NAT (Network Address Translation) или порт-преобразования. Обычно он называется «NAPT», «Port Forwarding» или «Virtual Servers».
Шаг 2: Выберите опцию «Включить» или «Включить NAPT». Это активирует функцию NAPT и позволит вам настраивать правила преобразования адресов и портов.
Шаг 3: Нажмите на кнопку «Добавить новое правило» или что-то подобное. Здесь вы сможете указать внешний порт, внутренний IP-адрес и порт устройства, которое вы хотите открыть для доступа из интернета. Также вы можете настроить тип протокола (TCP, UDP или TCP/UDP) и другие дополнительные параметры.
Шаг 4: Сохраните настройки и проверьте, работает ли правило NAPT, попытавшись доступа к устройству из интернета. Вы можете воспользоваться онлайн-сервисами для проверки открытых портов, чтобы убедиться, что ваше правило настроено правильно.

По необходимости, вы можете добавить несколько правил NAPT для разных устройств или для различных портов. Это позволит вам открыть доступ к разным сервисам на ваших устройствах из интернета.

Учитывайте, что настройка NAPT может отличаться в зависимости от модели и производителя вашего роутера. Если вы не уверены в том, как правильно настроить NAPT в вашем роутере, рекомендуется обратиться к документации производителя или обратиться в службу поддержки.

Источник

Всем привет! Сегодня мы поговорим про то, что же такое NAT в роутере. Как вы, наверное, все знаете, большинство адресов в интернете использует IPv4 версию. Эти адреса имеют диапазон от 0.0.0.0 до 255.255.255.255. Если подсчитать, то у нас есть больше 4-х миллиардов айпишников. Вроде бы достаточно много, но на деле с ростом клиентов интернета свободных адресов почти уже не осталось. Приплюсуем сюда тот факт, что многие IP зарезервированы, а на планете активно развивается мобильный интернет, который забирает львиную долю IPv4.

Но как получается всем подключаться к интернету и не оставаться в стороне? – Для этих целей и используется NAT (Network Address Translation – трансляция сетевых адресов). А теперь о самой сетевой технологии более подробно в статье.

Содержание

  1. Что такое NAT и как работает и зачем он нужен
  2. Термины NAT
  3. Типы NAT
  4. Статический (Static) NAT
  5. Динамический (Dynamic) NAT
  6. PAT (Port Address Translation)
  7. Плюсы и минусы IP NAT
  8. Видео
  9. Как настроить и включить NAT на роутере
  10. Задать вопрос автору статьи

Если у вас есть дома роутер, то вы уже используете технологию NAT. Чтобы вам было понятнее для чего она нужна, давайте рассмотрим простой пример. Представим, что вам нужно в квартиру провести интернет. Вы звоните провайдеру, он приходит и прокидывает вам кабель. Помимо всего, чтобы работать в глобальной сети вам нужен внешний айпишник, его также предоставляет только провайдер.

Конечно вы можете воткнуть кабель в ноутбук или компьютер, тогда никакого NAT (в вашей квартире) не будет, так как ваш комп будет напрямую подключен к интернету сети. Но если помимо вас, интернетом хотят пользоваться и другие жильцы квартиры, то вам нужно установить Wi-Fi роутер. Не будете же вы каждому жителю проводить интернет-кабель и отдельно платить за каждого.

Кабель подключается к выделенному WAN порту. Далее к роутеру уже можно подключить телефоны, планшеты, ноутбуки, компьютеры, телевизоры и многое другое. Маршрутизатор выступает неким шлюзом между вашей домашней и глобальной интернет сетью.

Роутер каждому устройству дома выдает свой локальный IP. Например:

  • 192.168.1.10 – Компьютер папы.
  • 192.168.1.11 – Телефон сына.
  • 192.168.1.12 – Планшет жены.
  • 192.168.1.13 – ноутбук дочери.

Шлюз, он же роутер, имеет сразу два адреса:

  • Внутренний – 192.168.1.1
  • Внешний – его выдает провайдер и он может иметь любой вид. Например, 175.67.87.223.

Все жители квартиры сразу могут иметь доступ к интернету с одного внешнего адреса за счет роутера. Как я уже и говорил, таких внешних айпишников в интернете очень мало – всего 4 294 967 296.

NAT – это технология, которая позволяет переводить вот такие вот локальные адреса во внешние и получать ответ из интернета. В итоге каждый житель квартиры, находясь внутри локальной сети, и используя за счет роутера внешний IP – может выходить в интернет.

Если говорить грубо, то NAT – это как дверь в квартире, каждый может её использовать, чтобы выйти в открытый мир. В итоге пользователей в интернете становится куда больше чем 4 миллиарда, но количество самих адресов остается всегда одним и тем же.

NAT позволяет скрывать внутренние айпишники от интернета, и их никто не сможет увидеть. Это мы рассмотрели случай, когда подключена небольшая семья. А представим, что нужно подключить офис из сотни или даже тысячи человек. Для организации просто не целесообразно подключать каждому пользователю свой интернет с внешним IP. Да и это не нужно. Достаточно использовать маршрутизатор, в котором уже по умолчанию будет работать NAT.

Схема достаточно простая, давайте рассмотрим пример.

  1. Компьютер из домашней сети с ИП 192.168.1.10 отправил запрос на какой-то сайт.
  2. Запрос пришел на роутер (192.168.1.1).
  3. Роутер не может использовать свой локальный адрес, поэтому переводит запрос и использует внешний адрес.
  4. Сайт получает запрос с внешним IP и на него отсылает ответ.
  5. Роутер принимает ответ от сайта, и уже отправляет его на компьютер, но уже используя внутренний айпишник.

Как видите, NAT постоянно переводит внутренний адрес во внешний и обратно. Если локальная сеть имеет только один выходной маршрутизатор, который может быть связан с внешней сетью, то такую сеть называют Stub сетью.

Что такое NAT в роутере: определение, примеры, как включить и настроить

Термины NAT

В сфере NAT есть различная терминология, которую вы можете встретить в настройках маршрутизатора или на схемах подключения.

Есть 4 вида NAT адресов:

  • Insidelocal – внутренний локальный адрес, который прописывается в первичном запросе от клиента.
  • Insideglobal – внешний айпишник роутера.
  • Outsidelocal – внутренний глобальный адрес сервера в интернете. Внутренний он, потому что он прописывается в первичном запросе от компьютера во внутренней сети.
  • Outsideglobal – внешний глобальный. IP запроса на конечный сервер, который записан во внешнем запросе от роутера.

Пока ничего не понятно? Сейчас постараюсь рассказать на примере. Давайте рассмотрим пример NAT адресации. Смотрим на картинку ниже.

Что такое NAT в роутере: определение, примеры, как включить и настроить

  1. У нас есть компьютер с (Inside Local) адресом 192.168.0.30, который находится с домашней сети.
  2. Он посылает запрос на сервер с (Outside Local) адресом 246.10.79.235.
  3. Маршрутизатор принимает ответ и переводит запрос:

(Inside Local) 192.168.0.30 -> (Outside Local) 246.10.79.235

В

(Inside Global) 135.87.99.202 -> (Outside Global) 246.10.79.235

  1. Когда сервер получает запрос, он отсылает ответ и все запросы переделываются в обратном порядке. Чтобы роутеру было понятно от кого пришел ответ и кому отправить запрос, он все данные записывает в свою таблицу маршрутизации.

Типы NAT

Статический (Static) NAT

Статический NAT – это когда у каждого локального внутреннего адреса, есть свой глобальный адрес. Часто используется для Web-серверов. Весь трафик при этом проходит аналогично через один узел, и у каждого устройства есть свой как локальный, так и глобальный IP.

Что такое NAT в роутере: определение, примеры, как включить и настроить

Динамический (Dynamic) NAT

У нас есть пул внутренних айпишников, который постоянно присваивается разные глобальные внешние адреса. Внешние IP присваиваются по принципу, какой есть свободный, тот и назначается маршрутизатором. Очень часто используется в городских сетях провайдерами, именно поэтому ваши глобальные IP постоянно меняются. Чтобы немного расширить эту тему, советую более подробно почитать про белые и серые IP.

Что такое NAT в роутере: определение, примеры, как включить и настроить

PAT (Port Address Translation)

Самая популярная форма NAT. Про неё я в самом начале и говорил. Когда нескольким локальным адресам назначается один глобальный. То есть когда вся семья, грубо говоря, использует один внешний IP. Чтобы маршрутизатор понял, кому именно посылать ответ от сервера, на который ранее был запрос, он использует в своем запросе номер порта. И по нему отсылает ответ нужному локальному пользователю.

Что такое NAT в роутере: определение, примеры, как включить и настроить

Посмотрите на картинку выше. Как видите при запросе на выделенный сервер, помимо того, что роутер переводит адреса, он еще в запросе добавляет номер порта. То есть ответ от сервера также имеет этот порт, который потом уже используется для того, чтобы ответ получил нужный компьютер.

Плюсы и минусы IP NAT

  • Офисы, а также домашние сети при большом количестве клиентов могут использовать всего один или несколько внешних интернет-адресов.
  • Повышается надежность локальной сети, где контроль за пропускной способностью и трафиком отслеживает роутер.
  • Снижает стоимость, которая нужна для приобретения внешних IP.
  • Контроль внешнего и внутреннего доступа к обоим сетям.
  • Увеличивается задержка запроса, так как маршрутизатору нужно постоянно делать NAT перевод адресов.
  • В больших сетях, где идет многоуровневая NAT адресация, сложно найти место поломки, так как IP постоянно изменяется.

Видео

Если вам что-то было не понятно, или вам лень читать, то советую посмотреть это полезное видео.

Как настроить и включить NAT на роутере

Стандартный NAT уже работает в режиме PAT и его настраивать не нужно. То есть вы просто настраиваете интернет и Wi-Fi на маршрутизаторе. Другой вопрос, если дома вы решили организовать Web, игровой или почтовый сервер. А быть может вы хотите подключить камеры видеонаблюдения и следить за домом или квартирой, отдыхая на Бали. Вот тут нам понадобится проброс портов – об смотрите статью про порты. Там коротко рассказано, что такое порты, для чего они нужны и как их пробросить.

Источник

Время на прочтение
6 мин

Количество просмотров 142K

Приветствую всех читателей данной статьи!

Данная статья будет полезна как новичкам в IT сфере, так и неопытным системным администраторам/ сетевым инженерам. Здесь затрагиваются понятия и принцип работы технологии NAT, ее значение в наше время, виды и создание с конфигурированием в программе-симуляторе Cisco Packet Tracer.

Введение

Интернет — всемирная система, состоящая из объединенных компьютерных сетей на базе протокола TCP/IP.

Сейчас интернет — это не просто сеть, а целая информационная вселенная, подчиняющаяся техническим, социальным и государственным законам в различных ее частях. В современном мире люди не обходятся без доступа во всемирную паутину. Интернет открывает множество возможностей получения информации из любой точки мира.

На данный момент в интернете больше всего распространены IP адреса версии — IPv4. Это позволяет создать 4.3 млрд. IP-адресов. Однако этого, казалось бы, большого количества критично не хватает. Чтобы решить эту проблему — был создан механизм преобразования сетевых адресов — NAT.

С задачей объединения устройств в единую сеть помогают различные компании, занимающиеся разработкой и внедрением сетевого оборудования.На сей момент на рынке сетевого оборудования доминируют компании Cisco Systems и Huawei. В данной статье будем вести работу с оборудованием Cisco.

Cisco Systems разработала собственную специальную межсетевую ОС для работы с оборудованием под названием IOS (Internet Operating System). IOS — многозадачная операционная система, выполняющая функции сетевой организации, маршрутизации, коммутации и передачи данных. ОС IOS представляет собой сложную операционную систему реального времени, состоящую из нескольких подсистем и имеющую множество возможных параметров конфигурирования.

В операционной системе IOS представлен специфичный интерфейс командой строки CLI (Command Line Interface). В этом интерфейсе возможно использовать некоторое количество команд. Количество зависит от выбранного режима и от уровня привилегий пользователя (пользовательский, привилегированный, глобальной конфигурации и специфической конфигурации).

Нехватка IP адресов. Технология NAT

В 80х годах ХХ века заложили основу IPv4, позволяющую создавать ~4.3 млрд. адресов, но никто не предполагал, что этот запас так быстро иссякнет. С каждым годом появлялось все больше и больше пользователей и с 25 ноября 2019г. в России и в Европе официально закончились IP адреса. Лимит исчерпан.

Для решения этой проблемы было придумано несколько способов:
Первый способ заключается в усилении контроля за IP адресами.

Пусть существует некоторый сайт N с IPv4 xxx.xxx.xxx.xxx, и его хост решил прекратить его поддержание данного сайта. Сайт заброшен, а IP продолжает числиться как занятый и таких случаев может быть очень много. То бишь необходимо провести «инвентаризацию» IP адресов и изъять неиспользуемые/заброшенные.

Второй способ

— в массовом использовании системы IPv6.

Протокол IPv6 разработан как преемник протокола IPv4. Основные преимущества IPv6 над IPv4 заключаются в увеличенном адресном пространстве (IPv4 имел 32 бита, что равнялось 232 адресам, а IPv6 имел 128 бит, что равнялось 2128 адресам), 6 версия протокола стала безопаснее (т.к. в v4 не предусматривались многие аспекты безопасности, ибо расчет был на сторонние ПО, а в v6 появились контрольные суммы и шифрование пакетов), однако это далеко не все преимущества IPv6 над IPv4.

Проблема, казалось бы, решена, однако перейти с протокола IPv4 на IPv6 вызывает трудности, потому что эти протоколы несовместимы. И изюминкой причины тяжелого перехода на 6 версию протокола является денежная стоимость. Многие кампании не готовы вложить достаточное кол-во средств для перехода, хоть и стоит отметить, что процесс перехода с 4 на 6 версию постепенно идет.

И третий способ

— использование технологии трансляции сетевых адресов — NAT.

Cогласно документу RFC 1918, IANA зарезервировала 3 блока адресов для частных IP (серых) (рис 1), остальные же IP адреса носят название публичных адресов (белых).

рис.1

рис.1

Network Address Translation — это механизм в сетях TCP/IP, позволяющий изменять IP адрес в заголовке пакета, проходящего через устройство маршрутизации трафика.
Принимая пакет от локального компьютера, маршрутизатор смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет.

Маршрутизатор подменяет обратный IP-адрес пакета на свой внешний (видимый из интернета) IP-адрес и меняет номер порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам). Комбинацию, нужную для обратной подстановки, маршрутизатор сохраняет у себя во временной таблице. Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, маршрутизатор сотрет у себя в таблице запись об n-ом порте за сроком давности.

Основная функция NAT — сохранение публичных адресов, однако дополнительной функцией является конфиденциальность сети, путем скрытия внутренних IPv4 адресов от внешней.

Существует множество типов технологии NAT, однако основными  принято считать: Статический NAT (Static Network Address Translation), Динамический NAT (Dynamic Network Address Translation) и Перегруженный NAT (Network Address Translation Overload).

Статический NAT применяют для отображения незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.

рис 2

рис 2

Статический NAT используется чаще всего в корпоративных сетях, когда необходимо, чтобы какой-либо IP адрес всегда был доступен из глобальной сети. Зачастую статическим IP наделяют сервера и помещают их в DМZ (рис 2).

Динамический NAT отображает незарегистрированный IP-адрес на зарегистрированный адрес из группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированными и зарегистрированными адресами, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле (pool — диапазон) адресов, во время коммуникации.

Перегруженный NAT. Этот тип NAT’a имеет множество названий:
NAT Overload, Many-to-One, PAT (Port Address Translation) и IP Masquerading, однако в большинстве источников указывается как NAT Overload. Перегруженный NAT — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.

Подготовка компьютерной сети
Логическая схема топологии сети будет выглядеть как показано на изображении (рис 3)

рис 4
рис 4

Отнесем PC — станции во VLAN 2, а сервер во VLAN 3. Для этого нужно настроить коммутатор S0 (рис 4). Для того, чтобы определить PC пользователей в отдельный VLAN, необходимо создать VLAN 2 и в 3 запихнуть сам сервер (удобства ради еще и обзовем VLAN’ы именами) (показано синим на рис 4), определить область портов коммутатора, которые будут входить во VLAN 2,3 и прописать соответствующие команды (показано красным на рис 4).  Следующая задача – определить один порт типа trunk, для взаимодействия с маршрутизатором (показано зеленым рис 4). Таким образом, коммутатор выступает в роли «посредника» между оконечными устройствами и маршрутизатором.

рис 5

рис 5

Теперь нужно настроить непосредственно маршрутизатор. Технология sub-interface позволяет объединять несколько виртуальных интерфейсов в один и подключить их к физическому интерфейсу (на маршрутизаторе выбран физический интерфейс fa0/0). Необходимо  дать для каждого VLAN’а свой под-интерфейс (показано красным на рис 5) и выдать им IP адрес (показано зеленым на рис 5).
Таким образом, в будущем мы будем NAT’ить трафик.

Дальше я бы посоветовал бы настроить протокол динамической выдачи IP адреса — DHCP, ибо прописывать каждому PC свой адрес — то еще «удовольствие»…

! Важно, чтобы сервер(а) всегда были со статичным IP адресом !

Дадим серверу статичный IP 192.168.3.2, а остальных оставим для динамического распределения адресов.

После настройки DHCP, нужно прописать на каждом саб-интерфейсе в R0 команду «ip helper-address 192.168.3.2», тем самым указывая, куда стоит обращаться для получения IP адреса.
После данной команды, устройства получат запрашиваемые IP адреса.

рис 6

рис 6

Пингуем с рандомного ПК сам сервер (1 пинг) и шлюзы маршрутизатора (2- 3 пинг) (рис 6).

Дальше для удобства будем эмулировать подключение к провайдеру, путем создания в программе-симуляторе РС провайдера, сервера Serv2 с IP 213.234.60.2 (эмулирующий остальную сеть интернет) и роутера R3.

Настройка NAT

Ну и наконец-то мы дошли до самой настройки NAT…
Для внедрения NAT нужно определиться какие порты будут внешними(outside), а какие внутренними(inside).

рис 7

рис 7

Статичный NAT сопоставляет внутренний и внешний адреса один к одному, поэтому настроим Serv2 таким образом, чтобы любой компьютер мог подключиться к серверу, а сервер к компьютеру — нет. Для этого необходимо прописать следующие команды (рис 7):

По итогу, любой компьютер, находящийся во 2 VLAN’е может пинговать сервер провайдера, а обратно — нет (рис 8). Аналогично проделываем для Serv1, находящимся во VLAN 3.

рис 8

рис 8
рис 9
рис 9

А теперь, на финал, внедрим NAT Overload на R0.

Для этого создадим ACL и пропишем там сети, которые должны «натиться» (показано синим на рис 9) и, показав что нужно «натить», активируем лист (показано красным на рис 9).

Таким образом, реализовав статическую и динамическую (типа PAT) настройку NAT, мы смогли защитить небольшую сеть от подключения извне.

Надеюсь вам понравилась данная статья.

Спасибо за ее чтение, всем хорошего настроения :)

P.S. Статью пишу впервые, не судите строго :)

Источник

Что такое NAT? Особенности в MOXA

Содержание:

  • Что такое NAT?
  • Зачем использовать NAT?
  • Какие бывают NAT?
  • 1-к-1 NAT

    • Bidirectional 1-к-1 NAT
  • N-к-1 NAT
  • Port Forward / Проброс портов

NAT (Network Address Translation, трансляция сетевых адресов) — это функция для изменения IP-адреса во время передачи пакетов Ethernet через маршрутизатор. Чаще всего используется для подключения устройств в локальной сети к сети Интернет, но может использовать и для других целей.

Зачем использовать NAT?

  1. Из-за ограниченного количества IP адресов. В сетях IPv4 количество адресов чуть более 4 млрд. (4 228 250 625). Это в два раза меньше населения нашей планеты, так что на всех не хватит. А ведь еще есть миллиарды устройств, которые тоже должны выходить в Интернет (привет Интернету Вещей). Для решения проблемы нехватки уникальных IP адресов и придумали NAT. Теперь к одному маршрутизатору можно подключить десятки устройств, которые будут иметь разные внутренние IP адреса и только один уникальный внешний IP адрес, по которому будут доступны из Интернета. (только при использовании NAT в режиме N-к-1).
  2. Для безопасности, когда нужно скрыть внутренний IP-адрес (LAN) устройств от внешней сети (WAN). Функция NAT преобразовывает внутренний IP-адрес в определенный IP-адрес или диапазон внутренних IP-адресов в один внешний IP-адрес.
  3. Для безопасности, когда нужно скрыть тип сервиса или номер порта, который использует устройство. В этом случае происходит подмена не IP адреса, а номер порта заменяется на общеизвестный порт (например, на 80-й порт HTTP).
  4. Когда один и тот же IP-адрес используется идентичными сетевыми устройствами и нет возможности его изменить.

Какие бывают NAT?

Всего есть 4 типа NAT:

  • 1-к-1 NAT или Статический NAT
    • Bidirectional 1-к-1 NAT
  • N-к-1 NAT
  • Port Forward / Проброс портов

Подробнее о NAT 1-к-1 или Статический NAT

Самый простой для понимания тип NAT, но и наименее полезный. В случае статического NAT каждому внутреннему IP адресу присваивается уникальный внешний IP адрес.

Пример статического NAT и сетевые настройки:

На картинке ниже ПЛК с локальным IP 192.168.127.1 присвоен внешний постоянный IP 10.0.0.1, по которому он всегда будет доступен из глобальной сети WAN.

Настройка сетевого адаптера на ПЛК:

IP: 192.168.127.1

Mask: 255.255.255.0

Gateway: 192.168.127.254

Обратите внимание, так как сообщение отправляется в другую подсеть, на ПЛК обязательно указывать Шлюз по умолчанию. В качестве MAC-адреса получателя ПЛК ставит адрес шлюза. При этом IP-адрес получателя в пакете остаётся 192.168.126.1.

Настройка маршрутизатора:

На маршрутизаторе создаем WAN интерфейс, через который он будет подключаться к внешней сети.

Внешний адрес WAN-интерфейса: 10.0.0.1

LAN интерфейс: 192.168.127.254

IP веб-интерфейса маршрутизатора: 192.168.127.254

Правило NAT на маршрутизаторе будет таким:

Для исходящих соединений – заменить внутренний адрес 192.168.127.1 на внешний 10.0.0.1

Для входящих соединений – переслать пакеты с адресом 10.0.0.1 на внутренний 192.168.127.1

Вот так происходит подмена IP адресов:

Особенности 1-1 NAT:

  • Количество устройств за NAT ограничено количеством полученных у провайдера уникальных IP адресов или количеством WAN портов на натирующем устройстве.
  • Устройства с зарезервированными адресами могут быть доступны извне по уникальным адресам.
  • Связь двунаправленная, т.е. можно связаться с устройством за NAT по его внешнему IP-адресу, не требуется первичной установки соединения, и устройство за NAT может связываться с внешним миром.
  • При Static NAT все порты открыты и не нужно делать проброс портов, устройство за NAT (или запущенная на нем программа) будет всегда доступно по любому порту.
  • Этот тип NAT не помогает сохранять IP адреса, но бывает полезен. Например, на производственной линии станки могут иметь одинаковые внутренние IP-адреса (спрятаны за маршрутизатором) и подключаться к внешней сети с разными внешними IP-адресами. Здесь мы используем NAT 1-к-1 для сопоставления внутренних адресов с публичными IP-адресами. Внутренний IP-адрес устройств не изменяется, что позволяет, например, заготавливать заранее настроенный ЗИП или просто выпускать с производства оборудование с одинаковыми настройками (в данном случае – станки).

Пример настройки правил NAT на двух маршрутизаторах EDR-G903:

Bidirectional 1-к-1 NAT

Bidirectional NAT является разновидностью обычного NAT 1-1 и позволяет организовать связь между разными подсетями без указания Основного шлюза в настройках сетевого адаптера.

На некоторых устройствах нельзя прописать основной шлюз по умолчанию в настройках сетевого адаптера. Как быть, если нужно соединить такое устройство с другой подсетью через маршрутизатор? В этом случае на помощь приходит Bidirectional NAT.

Вот как настраивается правило Bidirectional NAT на маршрутизаторе EDR-810:

Разница между обычным 1-1 NAT и Bidirectional NAT заключается в простом нюансе: в первом случае устройство знает, что существуют другие подсети, и для выхода на них использует шлюз умолчанию с дальнейшей подменой адресов на роутере; во втором случае устройство «обмануто» и думает, что общается внутри своей подсети. Логично, что Bidirectional NAT используется для более старых или простых приборов, а обычный 1-1 NAT работает с более умными устройствами.

Подробнее о NAT N-к-1, он же Port Address Translation (PAT), NAT Overload или IP Masquerading

В случае NAT N-к-1 через один внешний IP адрес в сеть могут выходить десятки и сотни устройств, находящиеся за NAT. Такой подход помогает экономить дефицитные IP адреса v4. Можно иметь до 65 535 одновременных активных соединений через один и тот же адрес.

Также технология позволяет скрыть реальный IP адрес и порт устройств и приложений за NAT, что повышает безопасность.

Ограничение N-1 NAT:

Главным минусом и в то же время плюсом (в зависимости от задач) этой технологии является то, что она не позволяет иметь доступ извне к внутренним узлам. Все соединения должны быть инициированы изнутри, т.е. инициатором связи всегда является устройство за NAT. Невозможно установить связь с устройством из внешней сети.

Как мы видим, роутер метит информацию от компьютеров из внутренней сети при помощи портов на 4 уровне модели OSI: он запоминает сопоставление внутренних портов источника (до WAN) и вновь сгенерированных внешних (после WAN). Когда приходят разные ответы, то, хоть они и поступают на один и тот же IP-адрес WAN-порта, роутер безошибочно распределяет их по правильным компьютерам согласно этому сопоставлению.

Port Forward / Проброс портов

Проброс портов позволяет указать, что все запросы, приходящие на конкретный внешний адрес и конкретный порт маршрутизатора, должны быть перенаправлены на конкретный внутренний адрес и порт получателя.

Требуется, если TCP-сервер находится за NAT или для подключения UDP, инициированного извне. То есть, Port Forward позволяет обойти ограничение NAT N-к-1.

Функция проброса портов NAT является одним из способов подключения из внешней незащищенной зоны (WAN) во внутреннюю защищенную зону (LAN). Пользователь может инициировать подключение из внешней сети к внутренней сети, но не сможет инициировать подключение из внутренней сети к внешней сети.

Внимание: будьте осторожны, используя проброс портов в Интернет! Если злоумышленники узнают IP-адрес и TCP/UDP-порт вашего устройства, то они смогут получить к нему доступ из любой точки мира! Прежде, чем настраивать проброс портов в открытом доступе, лучше заранее подумать обо всех необходимых мерах по кибербезопасности.

Оборудование с поддержкой NAT

NAT-102: 2-портовое промышленное устройство для ретрансляции адресов

Промышленные маршрутизаторы MOXA серии EDR

Модель
EDR-G903 EDR-G902 EDR-810
Требования Двойное резервирование WAN Защита между WAN and LAN Защищенный маршрутизатор с функциями управляемого коммутатора L2; несколько портов для подключения устройств
Порты 2 WAN (Комбо)
1 LAN (Комбо)		 1 WAN (Комбо)
1 LAN (RJ45)		 1 WAN
15 LAN (оптика по SFP или RJ45)
Пропускная способность 40,000 fps 25,000 fps 10,000 fps
Firewall/NAT 512 / 256 правил 256 / 128 правил 256 / 128 правил
VPN 100 IPSec туннелей 50 IPSec туннелей 10 IPSec туннелей
Резервирование WAN 2 независимых WAN
DMZ (демилитаризованная зона) 1

Если у Вас есть вопросы по продукции МОХА, обращайтесь по телефону: +7 (495) 419-1201 или по e-mail: russia@moxa.pro

Источник

Другие наши интересноые статьи:

  • Что такое multi ssid в роутере
  • Что такое mld snooping в роутере
  • Что такое n300 в роутере
  • Что такое minidlna на роутере
  • Что такое n300 в роутер

    • 0 0 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии