Բարի գալուստ դաս 8: Դասը շատ կարևոր է, քանի որ... Ավարտելուց հետո դուք կկարողանաք կարգավորել ինտերնետ հասանելիությունը ձեր օգտատերերի համար: Պետք է խոստովանեմ, որ շատ մարդիկ այս պահին դադարում են կարգավորել 🙂 Բայց մենք նրանցից չենք: Եվ մենք դեռ շատ հետաքրքիր բաներ ունենք առջևում։ Եվ հիմա մեր դասի թեմային:
Ինչպես հավանաբար արդեն կռահեցիք, այսօր մենք կխոսենք NAT-ի մասին: Համոզված եմ, որ բոլոր նրանք, ովքեր դիտում են այս դասը, գիտեն, թե ինչ է NAT-ը: Հետեւաբար, մենք մանրամասն չենք նկարագրի, թե ինչպես է այն աշխատում: Պարզապես ևս մեկ անգամ կրկնեմ, որ NAT-ը հասցեների թարգմանության տեխնոլոգիա է, որը հորինվել է «սպիտակ փողը» խնայելու համար, այսինքն. հանրային IP-ներ (այդ հասցեները, որոնք ուղղորդվում են ինտերնետում):
Նախորդ դասում դուք հավանաբար արդեն նկատել եք, որ NAT-ը Access Control քաղաքականության մի մասն է: Սա միանգամայն տրամաբանական է։ SmartConsole-ում NAT-ի կարգավորումները տեղադրվում են առանձին ներդիրում: Այսօր մենք անպայման կնայենք այնտեղ: Ընդհանուր առմամբ, այս դասում մենք կքննարկենք NAT տեսակները, կկարգավորենք ինտերնետ հասանելիությունը և կնայենք նավահանգիստների վերահասցեավորման դասական օրինակին: Նրանք. ֆունկցիոնալությունը, որն առավել հաճախ օգտագործվում է ընկերություններում: Եկեք սկսենք.
NAT-ը կարգավորելու երկու եղանակ
Check Point-ն աջակցում է NAT-ը կարգավորելու երկու եղանակ. Ավտոմատ NAT и Ձեռնարկ NAT. Ավելին, այս մեթոդներից յուրաքանչյուրի համար կա թարգմանության երկու տեսակ. Թաքցնել NAT-ը и Ստատիկ NAT. Ընդհանուր առմամբ, այն նման է այս նկարին.
Ես հասկանում եմ, որ, ամենայն հավանականությամբ, հիմա ամեն ինչ շատ բարդ է թվում, ուստի եկեք մի փոքր ավելի մանրամասն նայենք յուրաքանչյուր տեսակի:
Ավտոմատ NAT
Սա ամենաարագ և ամենահեշտ ճանապարհն է: NAT-ի կարգավորումը կատարվում է ընդամենը երկու կտտոցով: Ձեզ անհրաժեշտ է միայն բացել ցանկալի օբյեկտի հատկությունները (լինի դա դարպաս, ցանց, հոսթ և այլն), գնալ NAT ներդիր և ստուգել «Ավելացնել հասցեների ավտոմատ թարգմանության կանոններ« Այստեղ դուք կտեսնեք դաշտը՝ թարգմանության մեթոդը։ Կան, ինչպես նշվեց վերևում, դրանցից երկուսը:
1. Aitomatic Hide NAT
Լռելյայն այն Թաքցնել է: Նրանք. այս դեպքում մեր ցանցը «կթաքնվի» որոշ հանրային IP հասցեի հետևում: Այս դեպքում հասցեն կարող է վերցվել gateway-ի արտաքին ինտերֆեյսից, կամ կարող եք նշել մեկ այլ մեկը: NAT-ի այս տեսակը հաճախ կոչվում է դինամիկ կամ շատ-մեկ, որովհետեւ Մի քանի ներքին հասցեներ թարգմանվում են մեկ արտաքին հասցեի: Բնականաբար, դա հնարավոր է հեռարձակման ժամանակ տարբեր պորտերի միջոցով։ Hide NAT-ն աշխատում է միայն մեկ ուղղությամբ (ներսից դեպի դրս) և իդեալական է տեղական ցանցերի համար, երբ պարզապես անհրաժեշտ է մուտք գործել ինտերնետ: Եթե տրաֆիկը սկսվում է արտաքին ցանցից, ապա NAT-ը բնականաբար չի աշխատի: Պարզվում է, որ դա լրացուցիչ պաշտպանություն է ներքին ցանցերի համար։
2. Ավտոմատ ստատիկ NAT
Թաքցնել NAT-ը լավ է բոլորի համար, բայց միգուցե ձեզ հարկավոր է մուտք ապահովել արտաքին ցանցից ներքին սերվեր: Օրինակ, DMZ սերվերին, ինչպես մեր օրինակում: Այս դեպքում մեզ կարող է օգնել Static NAT-ը: Այն նաև բավականին հեշտ է կարգավորել: Բավական է օբյեկտի հատկություններում թարգմանության մեթոդը փոխել Static-ի և նշել հանրային IP հասցեն, որը կօգտագործվի NAT-ի համար (տե՛ս վերևի նկարը): Նրանք. եթե արտաքին ցանցից որևէ մեկը մուտք գործի այս հասցե (ցանկացած պորտի վրա), ապա հարցումը կուղարկվի ներքին IP-ով սերվեր: Ավելին, եթե սերվերն ինքը միանա առցանց, նրա IP-ն նույնպես կփոխվի մեր նշած հասցեով։ Նրանք. Սա NAT է երկու ուղղություններով: Այն նաև կոչվում է մեկ-մեկ և երբեմն օգտագործվում է հանրային սերվերների համար: Ինչու՞ «երբեմն»: Քանի որ այն ունի մեկ մեծ թերություն՝ հանրային IP հասցեն ամբողջությամբ զբաղված է (բոլոր նավահանգիստները): Դուք չեք կարող օգտագործել մեկ հանրային հասցե տարբեր ներքին սերվերների համար (տարբեր նավահանգիստներով): Օրինակ՝ HTTP, FTP, SSH, SMTP և այլն: Ձեռնարկ NAT-ը կարող է լուծել այս խնդիրը:
Ձեռնարկ NAT
Manual NAT-ի առանձնահատկությունն այն է, որ դուք ինքներդ պետք է ստեղծեք թարգմանության կանոններ: Նույն NAT ներդիրում Access Control Policy-ում: Միևնույն ժամանակ Manual NAT-ը թույլ է տալիս ստեղծել ավելի բարդ թարգմանության կանոններ: Ձեզ հասանելի են հետևյալ դաշտերը՝ Բնօրինակ աղբյուր, Բնօրինակ նպատակակետ, Բնօրինակ ծառայություններ, Թարգմանված աղբյուր, Թարգմանված նպատակակետ, Թարգմանված ծառայություններ:
Այստեղ հնարավոր է նաև NAT-ի երկու տեսակ՝ Hide և Static:
1. Ձեռնարկ Թաքցնել NAT-ը
Թաքցնել NAT-ն այս դեպքում կարող է օգտագործվել տարբեր իրավիճակներում: Մի երկու օրինակ.
- Տեղական ցանցից որոշակի ռեսուրս մուտք գործելու ժամանակ դուք ցանկանում եք օգտագործել հեռարձակման այլ հասցե (տարբերվող բոլոր մյուս դեպքերի համար օգտագործվող հասցեից):
- Տեղական ցանցում հսկայական թվով համակարգիչներ կան։ Ավտոմատ թաքցնել NAT-ն այստեղ չի աշխատի, քանի որ... Այս կարգավորումով հնարավոր է սահմանել միայն մեկ հանրային IP հասցե, որի հետևում համակարգիչները «կթաքնվեն»: Հնարավոր է, որ հեռարձակման համար բավականաչափ նավահանգիստներ չլինեն: Կան, ինչպես հիշում եք, 65 հազարից մի փոքր ավելին։ Ավելին, յուրաքանչյուր համակարգիչ կարող է ստեղծել հարյուրավոր նիստեր: Manual Hide NAT-ը թույլ է տալիս Թարգմանված աղբյուրի դաշտում սահմանել հանրային IP հասցեների լողավազան: Դրանով իսկ ավելացնելով հնարավոր NAT թարգմանությունների թիվը:
2. Ձեռնարկ Static NAT
Ստատիկ NAT-ը շատ ավելի հաճախ է օգտագործվում թարգմանության կանոնները ձեռքով ստեղծելիս: Դասական օրինակ է նավահանգիստների վերահասցեավորումը: Այն դեպքը, երբ հանրային IP հասցե (որը կարող է պատկանել դարպասին) մուտք է գործում արտաքին ցանցից կոնկրետ նավահանգստում և հարցումը թարգմանվում է ներքին ռեսուրս: Մեր լաբորատոր աշխատանքի ընթացքում մենք 80-րդ նավահանգիստը կփոխանցենք DMZ սերվերին:
Տեսանյութի ձեռնարկ
Հետևե՛ք ավելիին և միացե՛ք մեր 🙂
Source: www.habr.com