Այսօր մենք կուսումնասիրենք PAT-ը (Port Address Translation)՝ պորտերի միջոցով IP հասցեների թարգմանության տեխնոլոգիա և տարանցիկ փաթեթների IP հասցեների թարգմանության տեխնոլոգիա NAT (Network Address Translation): PAT-ը NAT-ի հատուկ դեպք է: Մենք կանդրադառնանք երեք թեմայի.
— մասնավոր կամ ներքին (ներցանցային, տեղական) IP հասցեներ և հանրային կամ արտաքին IP հասցեներ.
- NAT և PAT;
— NAT/PAT կոնֆիգուրացիա:
Սկսենք ներքին Անձնական IP հասցեներից: Մենք գիտենք, որ դրանք բաժանվում են երեք դասի՝ A, B և C:
Ներքին A դասի հասցեները զբաղեցնում են 10.0.0.0-ից մինչև 10.255.255.255 տասերի միջակայքը, իսկ արտաքին հասցեները՝ 1.0.0.0-ից 9 և 255.255.255-ից մինչև 11.0.0.0 միջակայքերը:
Ներքին B դասի հասցեները զբաղեցնում են 172.16.0.0-ից մինչև 172.31.255.255, իսկ արտաքին հասցեները՝ 128.0.0.0-ից մինչև 172.15.255.255 և 172.32.0.0-ից մինչև 191.255.255.255 միջակայքերը:
Ներքին C դասի հասցեները զբաղեցնում են 192.168.0.0-ից մինչև 192.168.255.255 միջակայքը, իսկ արտաքին հասցեները՝ 192.0.0-ից մինչև 192.167.255.255 և 192.169.0.0-ից մինչև 223.255.255.255 միջակայքերը:
A դասի հասցեներն են /8, B դասը՝ /12, իսկ C դասը՝ /16: Այսպիսով, տարբեր դասերի արտաքին և ներքին IP հասցեները տարբեր տիրույթներ են զբաղեցնում:
Մենք մի քանի անգամ քննարկել ենք, թե որն է տարբերությունը մասնավոր և հանրային IP հասցեների միջև: Ընդհանուր առմամբ, եթե մենք ունենք երթուղիչ և ներքին IP հասցեների խումբ, երբ նրանք փորձում են մուտք գործել ինտերնետ, երթուղիչը դրանք փոխակերպում է արտաքին IP հասցեների: Ներքին հասցեներն օգտագործվում են բացառապես տեղական ցանցերում, ոչ թե ինտերնետում:
Եթե ես դիտեմ իմ համակարգչի ցանցային պարամետրերը հրամանի տողի միջոցով, ապա կտեսնեմ իմ ներքին LAN IP հասցեն 192.168.1.103:
Ձեր հանրային IP հասցեն պարզելու համար կարող եք օգտվել ինտերնետ ծառայությունից, ինչպիսին է «Ի՞նչ է իմ IP-ն»: Ինչպես տեսնում եք, 78.100.196.163 համակարգչի արտաքին հասցեն տարբերվում է ներքին հասցեից:
Բոլոր դեպքերում իմ համակարգիչը տեսանելի է ինտերնետում հենց իր արտաքին IP հասցեով։ Այսպիսով, իմ համակարգչի ներքին հասցեն է 192.168.1.103, իսկ արտաքինը 78.100.196.163: Ներքին հասցեն օգտագործվում է միայն տեղական հաղորդակցության համար, դրանով չեք կարող մուտք գործել ինտերնետ, դրա համար անհրաժեշտ է հանրային IP հասցե: Դուք կարող եք հիշել, թե ինչու է բաժանվել մասնավոր և հանրային հասցեների՝ վերանայելով 3-րդ օր տեսաուսուցումը:
Եկեք նայենք, թե ինչ է NAT-ը: Գոյություն ունեն NAT-ի երեք տեսակ՝ ստատիկ, դինամիկ և «ծանրաբեռնված» NAT կամ PAT:
Cisco-ն ունի 4 տերմին, որոնք նկարագրում են NAT: Ինչպես ասացի, NAT-ը ներքին հասցեները արտաքինի փոխակերպելու մեխանիզմ է։ Եթե ինտերնետին միացված սարքը փաթեթ է ստանում լոկալ ցանցի մեկ այլ սարքից, այն պարզապես կհրաժարվի այս փաթեթից, քանի որ հասցեի ներքին ձևաչափը չի համընկնում գլոբալ ինտերնետում օգտագործվող հասցեների ձևաչափին: Հետևաբար, սարքը պետք է ստանա հանրային IP հասցե՝ ինտերնետ մուտք գործելու համար:
Այսպիսով, առաջին տերմինը Inside Local-ն է, որը նշանակում է հյուրընկալողի IP հասցեն ներքին տեղական ցանցում: Պարզ ասած, սա 192.168.1.10 տիպի հիմնական աղբյուրի հասցեն է: Երկրորդ տերմինը՝ Inside Global-ը, տեղական հոսթի IP հասցեն է, որի տակ այն տեսանելի է արտաքին ցանցում: Մեր դեպքում սա երթուղիչի արտաքին պորտի IP հասցեն է 200.124.22.10:
Կարող ենք ասել, որ Inside Local-ը մասնավոր IP հասցե է, իսկ Inside Global-ը հանրային IP հասցե է։ Հիշեք, որ Inside տերմինը վերաբերում է երթևեկության աղբյուրին, իսկ դրսը՝ երթևեկության նպատակակետին: Outside Local-ը արտաքին ցանցի հյուրընկալողի IP հասցեն է, որի տակ այն տեսանելի է ներքին ցանցին: Պարզ ասած, սա ստացողի հասցեն է, որը տեսանելի է ներքին ցանցից: Նման հասցեի օրինակ է ինտերնետում տեղակայված սարքի IP հասցեն 200.124.22.100:
Outside Global-ը հյուրընկալողի IP հասցեն է, ինչպես տեսանելի է արտաքին ցանցում: Շատ դեպքերում, Outside Local և Outside Global հասցեները նույն տեսքն ունեն, քանի որ նույնիսկ թարգմանությունից հետո նպատակակետ IP հասցեն տեսանելի է աղբյուրին, ինչպես որ եղել է թարգմանությունից առաջ:
Եկեք նայենք, թե ինչ է ստատիկ NAT-ը: Ստատիկ NAT նշանակում է ներքին IP հասցեների մեկ առ մեկ թարգմանություն դեպի արտաքին կամ մեկ առ մեկ թարգմանություն: Երբ սարքերը երթևեկություն են ուղարկում դեպի ինտերնետ, նրանց Inside Local հասցեները վերածվում են Inside Global հասցեների:
Մեր տեղական ցանցում կա 3 սարք, և երբ դրանք միանում են ցանցին, նրանցից յուրաքանչյուրը ստանում է իր Inside Global հասցեն: Այս հասցեները ստատիկ կերպով վերագրվում են տրաֆիկի աղբյուրներին: Մեկ-մեկ սկզբունքը նշանակում է, որ եթե տեղական ցանցում կա 100 սարք, ապա նրանք ստանում են 100 արտաքին հասցե:
NAT-ը ծնվել է ինտերնետը փրկելու համար, որը սպառվում էր հանրային IP հասցեներից: NAT-ի շնորհիվ շատ ընկերություններ և շատ ցանցեր կարող են ունենալ մեկ ընդհանուր արտաքին IP հասցե, որին ինտերնետ մուտք գործելիս կվերափոխվեն սարքերի տեղական հասցեները։ Կարելի է ասել, որ ստատիկ NAT-ի դեպքում հասցեների քանակի խնայողություն չկա, քանի որ հարյուր տեղական համակարգիչներին հատկացվում է հարյուր արտաքին հասցե, և դուք միանգամայն ճիշտ կլինեք: Այնուամենայնիվ, ստատիկ NAT-ը դեռ մի շարք առավելություններ ունի.
Օրինակ, մենք ունենք 192.168.1.100 ներքին IP հասցեով սերվեր: Եթե ինտերնետից որևէ սարք ցանկանում է կապվել դրա հետ, այն չի կարող դա անել՝ օգտագործելով ներքին նպատակակետ հասցեն, դրա համար անհրաժեշտ է օգտագործել արտաքին սերվերի հասցեն 200.124.22.3: Եթե ձեր երթուղիչը կազմաձևված է ստատիկ NAT-ով, ապա 200.124.22.3 հասցեին ուղղված ողջ տրաֆիկը ավտոմատ կերպով փոխանցվում է 192.168.1.100: Սա արտաքին մուտք է ապահովում տեղական ցանցային սարքերին, այս դեպքում՝ ընկերության վեբ սերվերին, որը որոշ դեպքերում կարող է անհրաժեշտ լինել:
Դիտարկենք դինամիկ NAT. Այն շատ նման է ստատիկին, բայց յուրաքանչյուր տեղական սարքին մշտական արտաքին հասցեներ չի հատկացնում: Օրինակ, մենք ունենք 3 տեղական սարք և ընդամենը 2 արտաքին հասցե: Եթե երկրորդ սարքը ցանկանում է մուտք գործել ինտերնետ, նրան կտրամադրվի առաջին անվճար IP հասցեն: Եթե վեբ սերվերը ցանկանում է մուտք գործել ինտերնետ դրանից հետո, երթուղիչը նրան կհատկացնի երկրորդ հասանելի արտաքին հասցեն: Եթե դրանից հետո առաջին սարքը ցանկանում է միանալ արտաքին ցանցին, ապա դրա համար հասանելի IP հասցե չի լինի, և երթուղիչը կհրաժարվի իր փաթեթից:
Մենք կարող ենք ունենալ ներքին IP հասցեներով հարյուրավոր սարքեր, և այդ սարքերից յուրաքանչյուրը կարող է մուտք գործել ինտերնետ: Բայց քանի որ մենք չունենք արտաքին հասցեների ստատիկ նշանակում, հարյուրից ոչ ավելի, քան 2 սարքը միաժամանակ կկարողանա մուտք գործել ինտերնետ, քանի որ մենք ունենք միայն երկու դինամիկ նշանակված արտաքին հասցե։
Cisco սարքերն ունեն հասցեների թարգմանության ֆիքսված ժամանակ, որը կանխադրված է 24 ժամ: Այն կարող է փոխվել 1,2,3, 10 րոպեի, ցանկացած ժամանակ, երբ ցանկանում եք: Այս ժամանակից հետո արտաքին հասցեները թողարկվում են և ավտոմատ կերպով վերադարձվում հասցեների լողավազան: Եթե այս պահին առաջին սարքը ցանկանում է մուտք գործել ինտերնետ, և ցանկացած արտաքին հասցե հասանելի է, ապա այն կստանա։ Երթուղիչը պարունակում է NAT աղյուսակ, որը դինամիկ թարմացվում է, և մինչև թարգմանության ժամկետի ավարտը, նշանակված հասցեն պահպանվում է սարքի կողմից: Պարզ ասած, դինամիկ NAT-ն աշխատում է «առաջինը առաջինը, առաջինը ծառայելու» սկզբունքով:
Եկեք նայենք, թե ինչ է գերբեռնված NAT-ը կամ PAT-ը: Սա NAT-ի ամենատարածված տեսակն է: Ձեր տան ցանցում կարող են լինել բազմաթիվ սարքեր՝ համակարգիչ, սմարթֆոն, նոութբուք, պլանշետ, և դրանք բոլորը միանում են երթուղիչին, որն ունի մեկ արտաքին IP հասցե: Այսպիսով, PAT-ը թույլ է տալիս ներքին IP հասցեներով բազմաթիվ սարքերի միաժամանակ մուտք գործել ինտերնետ մեկ արտաքին IP հասցեի ներքո: Դա հնարավոր է շնորհիվ այն բանի, որ յուրաքանչյուր մասնավոր, ներքին IP հասցե օգտագործում է հատուկ պորտի համար հաղորդակցման նիստի ընթացքում:
Ենթադրենք, որ մենք ունենք մեկ հանրային հասցե 200.124.22.1 և բազմաթիվ տեղական սարքեր: Այսպիսով, ինտերնետ մուտք գործելիս այս բոլոր հոսթները կստանան նույն հասցեն 200.124.22.1: Միակ բանը, որը կտարբերի նրանց միմյանցից, պորտի համարն է։
Եթե հիշում եք տրանսպորտային շերտի քննարկումը, ապա գիտեք, որ տրանսպորտային շերտը պարունակում է նավահանգիստների համարներ, որտեղ աղբյուրի պորտի համարը պատահական թիվ է:
Ենթադրենք, որ արտաքին ցանցում կա 200.124.22.10 IP հասցեով հոսթ, որը միացված է ինտերնետին։ Եթե 192.168.1.11 համակարգիչը ցանկանում է շփվել 200.124.22.10 համակարգչի հետ, այն կստեղծի պատահական աղբյուրի պորտ 51772: Այս դեպքում արտաքին ցանցային համակարգչի նպատակակետ պորտը կլինի 80:
Երբ երթուղիչը ստանում է արտաքին ցանցին ուղղված տեղական համակարգչային փաթեթ, այն կթարգմանի իր Inside Local հասցեն Inside Global հասցեի 200.124.22.1 և կնշանակի պորտի համարը 23556: Փաթեթը կհասնի համակարգչի 200.124.22.10, և այն պետք է հետ ուղարկել պատասխանը ձեռքսեղմման ընթացակարգի համաձայն, այս դեպքում նպատակակետը կլինի 200.124.22.1 հասցեն և 23556 նավահանգիստը:
Երթուղիչն ունի NAT թարգմանության աղյուսակ, ուստի երբ այն ստանում է փաթեթ արտաքին համակարգչից, այն կորոշի Inside Local հասցեն, որը համապատասխանում է Inside Global հասցեին որպես 192.168.1.11: 51772 և փաթեթը կուղարկի դրան: Սրանից հետո երկու համակարգիչների կապը կարելի է հաստատված համարել։
Միևնույն ժամանակ, դուք կարող եք ունենալ հարյուր սարք, որոնք օգտագործում են նույն հասցեն 200.124.22.1 հաղորդակցվելու համար, բայց տարբեր նավահանգիստների համարներ, որպեսզի նրանք բոլորը կարողանան միաժամանակ մուտք գործել ինտերնետ: Ահա թե ինչու PAT-ը հեռարձակման այդքան տարածված մեթոդ է:
Եկեք նայենք ստատիկ NAT-ի տեղադրմանը: Ցանկացած ցանցի համար, առաջին հերթին, անհրաժեշտ է որոշել մուտքային և ելքային միջերեսները: Դիագրամը ցույց է տալիս երթուղիչ, որի միջոցով երթևեկությունը փոխանցվում է G0/0 նավահանգիստից G0/1 նավահանգիստ, այսինքն՝ ներքին ցանցից արտաքին ցանց: Այսպիսով, մենք ունենք 192.168.1.1 մուտքային ինտերֆեյս և 200.124.22.1 ելքային միջերես:
NAT-ը կարգավորելու համար մենք գնում ենք G0/0 ինտերֆեյս և սահմանում ենք ip հասցեների պարամետրերը 192.168.1.1 255.255.255.0 և նշում, որ այս ինտերֆեյսը մուտքայինն է՝ օգտագործելով ip nat հրամանը:
Նույն կերպ, մենք կարգավորում ենք NAT-ը G0/1 ելքային ինտերֆեյսի վրա՝ նշելով ip հասցեն 200.124.22.1, ենթացանցային դիմակ 255.255.255.0 և ip nat դրսում: Հիշեք, որ դինամիկ NAT թարգմանությունը միշտ կատարվում է մուտքից դեպի ելքային ինտերֆեյս, ներսից դեպի դրս: Բնականաբար, դինամիկ NAT-ի համար պատասխանը գալիս է մուտքային ինտերֆեյսին ելքային ինտերֆեյսի միջոցով, բայց երբ տրաֆիկը սկսվում է, գործարկվում է ներս-ելքի ուղղությունը: Ստատիկ NAT-ի դեպքում երթևեկության մեկնարկը կարող է տեղի ունենալ ցանկացած ուղղությամբ՝ ներս-դուրս կամ դուրս:
Հաջորդը, մենք պետք է ստեղծենք ստատիկ NAT աղյուսակ, որտեղ յուրաքանչյուր տեղական հասցե համապատասխանում է առանձին գլոբալ հասցեի: Մեր դեպքում կա 3 սարք, ուստի աղյուսակը բաղկացած կլինի 3 գրառումից, որոնք ցույց են տալիս աղբյուրի Inside Local IP հասցեն, որը փոխակերպվում է Inside Global հասցեի՝ ip nat inside static 192.168.1.10 200.124.22.1:
Այսպիսով, ստատիկ NAT-ում դուք ձեռքով թարգմանություն եք գրում յուրաքանչյուր տեղական հյուրընկալող հասցեի համար: Այժմ ես կգնամ Packet Tracer և կկատարեմ վերը նկարագրված կարգավորումները։
Վերևում մենք ունենք սերվեր 192.168.1.100, ներքևում կա համակարգիչ 192.168.1.10, իսկ ամենաներքևում՝ համակարգիչ 192.168.1.11: Router0-ի G0/0 նավահանգիստն ունի 192.168.1.1 IP հասցե, իսկ G0/1 նավահանգիստը՝ 200.124.22.1 IP հասցե: Ինտերնետը ներկայացնող «ամպի» մեջ ես տեղադրել եմ Router1-ը, որին հատկացրել եմ 200.124.22.10 IP հասցեն։
Ես մտնում եմ Router1-ի կարգավորումները և մուտքագրում հրամանը debug ip icmp: Այժմ, երբ պինգը հասնում է այդ սարքին, կարգավորումների պատուհանում կհայտնվի վրիպազերծման հաղորդագրություն, որը ցույց է տալիս, թե ինչ է փաթեթը:
Եկեք սկսենք կարգավորել Router0 երթուղիչը: Ես մտնում եմ գլոբալ կարգավորումների ռեժիմ և զանգում եմ G0/0 ինտերֆեյսը: Հաջորդը, ես մուտքագրում եմ ip nat inside հրամանը, այնուհետև գնում եմ g0/1 ինտերֆեյս և մուտքագրում ip nat արտաքին հրամանը: Այսպիսով, ես նշանակեցի երթուղիչի մուտքային և ելքային միջերեսները: Այժմ ես պետք է ձեռքով կարգավորեմ IP հասցեները, այսինքն՝ տողերը վերևի աղյուսակից տեղափոխեմ կարգավորումներ.
Ip nat աղբյուրի ներսում ստատիկ 192.168.1.10 200.124.22.1
Ip nat աղբյուրի ներսում ստատիկ 192.168.1.11 200.124.22.2
Ip nat աղբյուրի ներսում ստատիկ 192.168.1.100 200.124.22.3
Այժմ ես կպինգ կկատարեմ Router1-ը մեր յուրաքանչյուր սարքից և կտեսնեմ, թե ինչ IP հասցեներ է ցույց տալիս նրա ստացած ping-ը: Դա անելու համար ես տեղադրում եմ R1 երթուղիչի բաց CLI պատուհանը էկրանի աջ կողմում, որպեսզի կարողանամ տեսնել վրիպազերծման հաղորդագրությունները: Այժմ ես գնում եմ PC0 հրամանի տող տերմինալ և ping եմ անում 200.124.22.10 հասցեն: Դրանից հետո պատուհանում հայտնվում է հաղորդագրություն, որ ping-ը ստացվել է 200.124.22.1 IP հասցեից: Սա նշանակում է, որ տեղական համակարգչի IP հասցեն 192.168.1.10 թարգմանվել է 200.124.22.1 գլոբալ հասցեով:
Ես նույնը անում եմ հաջորդ տեղական համակարգչի հետ և տեսնում եմ, որ նրա հասցեն թարգմանվել է 200.124.22.2: Հետո ես պինգ եմ անում սերվերին և տեսնում եմ 200.124.22.3 հասցեն:
Այսպիսով, երբ տեղական ցանցի սարքից տրաֆիկը հասնում է երթուղիչի, որի վրա կազմաձևված է ստատիկ NAT, երթուղիչը, աղյուսակի համաձայն, փոխակերպում է տեղական IP հասցեն գլոբալ և ուղարկում է տրաֆիկը արտաքին ցանց: NAT աղյուսակը ստուգելու համար մուտքագրում եմ show ip nat translations հրամանը։
Այժմ մենք կարող ենք դիտել բոլոր փոխակերպումները, որոնք կատարում է երթուղիչը: Inside Global-ի առաջին սյունակը պարունակում է սարքի հասցեն մինչև հեռարձակումը, այսինքն՝ հասցեն, որով սարքը տեսանելի է արտաքին ցանցից, որին հաջորդում է Inside Local հասցեն, այսինքն՝ սարքի հասցեն տեղական ցանցում: Երրորդ սյունակը ցույց է տալիս Արտաքին տեղական հասցեն, իսկ չորրորդ սյունակը ցույց է տալիս Արտաքին գլոբալ հասցեն, որոնք երկուսն էլ նույնն են, քանի որ մենք չենք թարգմանում նպատակակետ IP հասցեն: Ինչպես տեսնում եք, մի քանի վայրկյան հետո աղյուսակը մաքրվեց, քանի որ Packet Tracer-ն ուներ պինգի կարճ ժամանակի ավարտ:
Ես կարող եմ 1 սերվերը ping ուղարկել R200.124.22.3 երթուղիչից, և եթե վերադառնամ երթուղիչի կարգավորումներին, կտեսնեմ, որ աղյուսակը կրկին լցված է չորս պինգ տողերով՝ թարգմանված նպատակակետ հասցեով 192.168.1.100:
Ինչպես ասացի, նույնիսկ եթե թարգմանության ժամանակի ավարտը գործարկվի, երբ երթևեկությունը սկսվում է արտաքին աղբյուրից, NAT մեխանիզմը ավտոմատ կերպով ակտիվանում է: Դա տեղի է ունենում միայն ստատիկ NAT-ի օգտագործման ժամանակ:
Հիմա եկեք տեսնենք, թե ինչպես է աշխատում դինամիկ NAT-ը: Մեր օրինակում կան 2 հանրային հասցեներ երեք տեղական ցանցային սարքերի համար, բայց կարող են լինել տասնյակ կամ հարյուրավոր այդպիսի մասնավոր հոսթեր: Միևնույն ժամանակ, միայն 2 սարք կարող է միաժամանակ մուտք գործել ինտերնետ։ Եկեք նայենք, թե որն է, ի լրումն, տարբերությունը ստատիկ և դինամիկ NAT-ի միջև:
Ինչպես նախորդ դեպքում, նախ անհրաժեշտ է որոշել երթուղիչի մուտքային և ելքային միջերեսները: Հաջորդը, մենք ստեղծում ենք մի տեսակ մուտքի ցուցակ, բայց սա նույն ACL-ը չէ, որի մասին մենք խոսեցինք նախորդ դասում: Մուտքի այս ցանկն օգտագործվում է երթևեկի նույնականացման համար, որը մենք ցանկանում ենք փոխակերպել: Այստեղ հայտնվում է «հետաքրքիր տրաֆիկ» կամ «հետաքրքիր տրաֆիկ» նոր տերմին: Սա տրաֆիկ է, որը ձեզ ինչ-ինչ պատճառներով հետաքրքրում է, և երբ այդ տրաֆիկը համապատասխանում է մուտքի ցանկի պայմաններին, այն անցնում է NAT-ի տակ և թարգմանվում է: Այս տերմինը շատ դեպքերում վերաբերում է տրաֆիկին, օրինակ՝ VPN-ի դեպքում «հետաքրքիր» է այն տրաֆիկը, որը պատրաստվում է անցնել VPN թունելով։
Մենք պետք է ստեղծենք ACL, որը նույնականացնում է հետաքրքիր տրաֆիկը, մեր դեպքում սա ամբողջ 192.168.1.0 ցանցի տրաֆիկն է, որի հետ մեկտեղ նշվում է 0.0.0.255 վերադարձի դիմակ:
Այնուհետև մենք պետք է ստեղծենք NAT լողավազան, որի համար օգտագործում ենք ip nat pool <pool name> հրամանը և նշում ենք IP հասցեների լողավազան 200.124.22.1 200.124.22.2: Սա նշանակում է, որ մենք տրամադրում ենք միայն երկու արտաքին IP հասցե: Հաջորդը, հրամանն օգտագործում է netmask հիմնաբառը և մուտքագրում ենթացանցային դիմակ 255.255.255.252: Դիմակի վերջին օկտետը (255 - լողավազանի հասցեների քանակը - 1), այնպես որ, եթե դուք ունեք 254 հասցե լողավազանում, ապա ենթացանցի դիմակը կլինի 255.255.255.0: Սա շատ կարևոր պարամետր է, ուստի դինամիկ NAT-ը կարգավորելիս համոզվեք, որ մուտքագրեք ցանցի ճիշտ արժեքը:
Այնուհետև մենք օգտագործում ենք հրամանը, որը սկսում է NAT մեխանիզմը. ip nat աղբյուրի ցանկի ներսում 1 լողավազան NWKING, որտեղ NWKING լողավազանի անունն է, իսկ ցուցակը 1 նշանակում է ACL համար 1: Հիշեք, որպեսզի այս հրամանը աշխատի, նախ պետք է ստեղծեք դինամիկ հասցեների լողավազան և մուտքի ցուցակ:
Այսպիսով, մեր պայմաններում առաջին սարքը, որը ցանկանում է մուտք գործել ինտերնետ, կկարողանա դա անել, երկրորդ սարքը կարող է դա անել, բայց երրորդը պետք է սպասի, մինչև լողավազանի հասցեներից մեկը ազատ լինի: Դինամիկ NAT-ի կարգավորումը բաղկացած է 4 քայլից՝ մուտքային և ելքային ինտերֆեյսի որոշում, «հետաքրքիր» տրաֆիկի բացահայտում, NAT լողավազանի ստեղծում և իրական կոնֆիգուրացիա:
Այժմ մենք կանցնենք Packet Tracer-ին և կփորձենք կարգավորել դինամիկ NAT-ը: Նախ պետք է հեռացնել ստատիկ NAT կարգավորումները, որոնց համար հաջորդաբար մուտքագրում ենք հրամանները.
ոչ IP nat աղբյուրի ներսում ստատիկ 192.168.1.10 200.124.22.1
ոչ IP nat աղբյուրի ներսում ստատիկ 192.168.1.11 200.124.22.2
ոչ Ip nat աղբյուրի ներսում ստատիկ 192.168.1.100 200.124.22.3.
Այնուհետև ես ստեղծում եմ մուտքի ցուցակ 1 ամբողջ ցանցի համար՝ 1 192.168.1.0 հրամանով մուտքի ցուցակ 0.0.0.255 թույլտվությամբ և ստեղծում NAT լողավազան՝ օգտագործելով ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 255.255.255.252. Այս հրամանում ես նշել եմ լողավազանի անունը, հասցեները, որոնք ներառված են դրանում և ցանցի դիմակը:
Այնուհետև ես նշում եմ, թե որ NAT-ն է դա՝ ներքին, թե արտաքին, և այն աղբյուրը, որից NAT-ը պետք է տեղեկատվություն վերցնի, մեր դեպքում դա ցուցակ է՝ օգտագործելով ip nat հրամանը սկզբնաղբյուր ցուցակ 1-ի ներսում: Դրանից հետո համակարգը ձեզ կհուշի, թե արդյոք դուք անհրաժեշտ է ամբողջ լողավազան կամ հատուկ ինտերֆեյս: Ես ընտրում եմ լողավազան, քանի որ մենք ունենք 1-ից ավելի արտաքին հասցե: Եթե ընտրեք ինտերֆեյս, ապա ձեզ հարկավոր է նշել մի նավահանգիստ հատուկ IP հասցեով: Վերջնական ձևով հրամանը կունենա հետևյալ տեսքը՝ ip nat աղբյուրի ցանկի ներսում 1 լողավազան NWKING: Ներկայումս այս լողավազանը բաղկացած է երկու հասցեներից 200.124.22.1 200.124.22.2, բայց դուք կարող եք ազատորեն փոխել դրանք կամ ավելացնել նոր հասցեներ, որոնք կապված չեն կոնկրետ ինտերֆեյսի հետ:
Դուք պետք է ապահովեք, որ ձեր երթուղիների աղյուսակը թարմացվի այնպես, որ լողավազանի այս IP հասցեներից որևէ մեկը պետք է ուղղորդվի դեպի այս սարքը, հակառակ դեպքում դուք չեք ստանա հետադարձ երթևեկություն: Համոզվելու համար, որ կարգավորումներն աշխատում են, մենք կկրկնենք ամպային երթուղիչի ping-ի ընթացակարգը, որը մենք արեցինք ստատիկ NAT-ի համար: Ես կբացեմ երթուղիչ 1-ի պատուհանը, որպեսզի կարողանամ տեսնել վրիպազերծման ռեժիմի հաղորդագրությունները և ping այն 3 սարքերից յուրաքանչյուրից:
Մենք տեսնում ենք, որ բոլոր աղբյուրի հասցեները, որոնցից գալիս են ping փաթեթները, համապատասխանում են պարամետրերին: Միևնույն ժամանակ, PC0 համակարգչից ping-ը չի աշխատում, քանի որ այն չունի բավականաչափ ազատ արտաքին հասցե: Եթե մտնեք երթուղիչ 1-ի կարգավորումները, կարող եք տեսնել, որ լողավազանի 200.124.22.1 և 200.124.22.2 հասցեները ներկայումս օգտագործվում են: Հիմա հեռարձակումը կանջատեմ, և կտեսնեք, թե ինչպես են տողերը հերթով վերանում։ Ես նորից ping եմ անում PC0-ում և ինչպես տեսնում եք, ամեն ինչ աշխատում է հիմա, քանի որ այն կարողացավ ստանալ անվճար արտաքին հասցեն 200.124.22.1:
Ինչպե՞ս կարող եմ մաքրել NAT աղյուսակը և հետարկել տրված հասցեի թարգմանությունը: Գնացեք Router0 երթուղիչի կարգավորումներ և տողի վերջում աստղանիշով մուտքագրեք clear ip nat translation * հրամանը: Եթե հիմա նայենք թարգմանության կարգավիճակին, օգտագործելով show ip nat translation հրամանը, համակարգը մեզ դատարկ տող կտա:
NAT վիճակագրությունը դիտելու համար օգտագործեք show ip nat statistics հրամանը:
Սա շատ օգտակար հրաման է, որը թույլ է տալիս պարզել դինամիկ, ստատիկ և առաջադեմ NAT/PAT թարգմանությունների ընդհանուր թիվը: Դուք կարող եք տեսնել, որ դա 0 է, քանի որ մենք մաքրել ենք հեռարձակման տվյալները նախորդ հրամանով: Սա ցուցադրում է մուտքային և ելքային միջերեսները, հաջող և անհաջող հարվածների և բաց թողնված փոխարկումների քանակը (անհաջողությունների թիվը պայմանավորված է ներքին հոսթի անվճար արտաքին հասցեի բացակայության պատճառով), մուտքի ցանկի և լողավազանի անվանումը:
Այժմ մենք կանցնենք IP հասցեի թարգմանության ամենահայտնի տեսակին՝ առաջադեմ NAT կամ PAT: PAT-ը կարգավորելու համար դուք պետք է կատարեք նույն քայլերը, ինչ դինամիկ NAT-ը կարգավորելու համար. որոշել երթուղիչի մուտքային և ելքային միջերեսները, բացահայտել «հետաքրքիր» տրաֆիկը, ստեղծել NAT լողավազան և կարգավորել PAT-ը: Մենք կարող ենք ստեղծել մի քանի հասցեների նույն ֆոնդը, ինչպես նախորդ դեպքում, բայց դա անհրաժեշտ չէ, քանի որ PAT-ը մշտապես օգտագործում է նույն արտաքին հասցեն: Դինամիկ NAT-ի և PAT-ի կազմաձևման միջև միակ տարբերությունը գերբեռնված բանալի բառն է, որն ավարտում է վերջին կազմաձևման հրամանը: Այս բառը մուտքագրելուց հետո դինամիկ NAT-ը ավտոմատ կերպով վերածվում է PAT-ի:
Բացի այդ, դուք օգտագործում եք միայն մեկ հասցե NWKING լողավազանում, օրինակ՝ 200.124.22.1, բայց այն երկու անգամ նշում եք որպես սկզբնական և ավարտվող արտաքին հասցե՝ 255.255.255.0 ցանցի դիմակով: Դուք կարող եք դա անել ավելի հեշտ՝ օգտագործելով աղբյուրի միջերեսի պարամետրը և G1/200.124.22.1 ինտերֆեյսի ֆիքսված 200.124.22.1 հասցեն՝ ip nat 255.255.255.0 pool NWKING 200.124.22.1 0 netmask 1 տողի փոխարեն: Այս դեպքում բոլոր տեղական հասցեները ինտերնետ մուտք գործելիս կվերածվեն այս IP հասցեին:
Դուք կարող եք նաև օգտագործել ցանկացած այլ IP հասցե լողավազանում, որը պարտադիր չէ, որ համապատասխանի որոշակի ֆիզիկական ինտերֆեյսի: Այնուամենայնիվ, այս դեպքում դուք պետք է ապահովեք, որ ցանցի բոլոր երթուղիչները կարող են վերադարձնել երթևեկությունը ձեր ընտրած սարքին: NAT-ի թերությունն այն է, որ այն չի կարող օգտագործվել ծայրից ծայր հասցեավորման համար, քանի որ մինչ վերադարձող փաթեթը վերադառնում է տեղական սարք, դրա դինամիկ NAT IP հասցեն կարող է ժամանակ ունենալ փոխվելու: Այսինքն, դուք պետք է վստահ լինեք, որ ընտրված IP հասցեն հասանելի կմնա հաղորդակցման սեսիայի ողջ ընթացքում:
Եկեք նայենք դրան Packet Tracer-ի միջոցով: Սկզբում ես պետք է հեռացնեմ դինամիկ NAT հրամանը no Ip nat աղբյուրի ցանկում 1 NWKING և հեռացնեմ NAT լողավազանը no Ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 225.255.255.252 հրամանով:
Այնուհետև ես պետք է ստեղծեմ PAT լողավազան Ip nat pool NWKING 200.124.22.2 200.124.22.2 netmask 225.255.255.255 հրամանով: Այս անգամ ես օգտագործում եմ IP հասցե, որը չի պատկանում ֆիզիկական սարքին, քանի որ ֆիզիկական սարքն ունի 200.124.22.1 հասցե, և ես ուզում եմ օգտագործել 200.124.22.2: Մեր դեպքում դա աշխատում է, քանի որ մենք ունենք տեղական ցանց:
Հաջորդը, ես կարգավորում եմ PAT-ը Ip nat հրամանի միջոցով աղբյուրի ցանկում 1 լողավազան NWKING գերբեռնվածություն: Այս հրամանը մուտքագրելուց հետո ակտիվանում է PAT հասցեի թարգմանությունը: Ստուգելու համար, որ կարգավորումը ճիշտ է, ես գնում եմ մեր սարքերը, սերվերը և երկու համակարգիչ, և համակարգչից ping եմ անում PC0 Router1-ին 200.124.22.10 համարով: Երթուղիչի կարգավորումների պատուհանում կարող եք տեսնել վրիպազերծման գծեր, որոնք ցույց են տալիս, որ պինգի աղբյուրը, ինչպես և մենք ակնկալում էինք, 200.124.22.2 IP հասցեն է: PC1-ի և Server0 սերվերի կողմից ուղարկված Ping-ը գալիս է նույն հասցեից:
Տեսնենք, թե ինչ է տեղի ունենում Router0-ի թարգմանչական աղյուսակում: Դուք կարող եք տեսնել, որ բոլոր թարգմանությունները հաջող են, յուրաքանչյուր սարքի նշանակված է իր սեփական պորտը, և բոլոր տեղական հասցեները կապված են Router1-ի հետ 200.124.22.2 լողավազանի IP հասցեի միջոցով:
Ես օգտագործում եմ show ip nat statistics հրամանը՝ PAT վիճակագրությունը դիտելու համար:
Մենք տեսնում ենք, որ փոխակերպումների կամ հասցեների թարգմանությունների ընդհանուր թիվը 12 է, մենք տեսնում ենք լողավազանի բնութագրերը և այլ տեղեկություններ:
Այժմ ես այլ բան կանեմ՝ մուտքագրելու եմ Ip nat հրամանը աղբյուրի ցանկում 1 ինտերֆեյսի գիգաբիթ Ethernet g0/1 գերբեռնվածություն: Եթե այնուհետև երթուղիչը Ping-ով կատարեք PC0-ից, կտեսնեք, որ փաթեթը եկել է 200.124.22.1 հասցեից, այսինքն՝ ֆիզիկական ինտերֆեյսից: Սա ավելի հեշտ ճանապարհ է. եթե դուք չեք ցանկանում ստեղծել լողավազան, ինչը ամենից հաճախ տեղի է ունենում տնային երթուղիչներից օգտվելիս, ապա կարող եք օգտագործել երթուղիչի ֆիզիկական ինտերֆեյսի IP հասցեն որպես արտաքին NAT հասցե: Այսպես է ամենից հաճախ թարգմանվում հանրային ցանցի ձեր անձնական հոսթի հասցեն:
Այսօր մենք սովորել ենք մի շատ կարևոր թեմա, այնպես որ դուք պետք է կիրառեք այն: Օգտագործեք Packet Tracer՝ ձեր տեսական գիտելիքները փորձարկելու համար NAT և PAT կոնֆիգուրացիայի գործնական խնդիրների դեմ: Մենք հասել ենք ICND1-ի՝ CCNA դասընթացի առաջին քննության թեմաների ուսումնասիրության ավարտին, ուստի հաջորդ տեսադասը հավանաբար կնվիրեմ արդյունքների ամփոփմանը:
Շնորհակալություն մեզ հետ մնալու համար: Ձեզ դուր են գալիս մեր հոդվածները: Ցանկանու՞մ եք տեսնել ավելի հետաքրքիր բովանդակություն: Աջակցեք մեզ՝ պատվիրելով կամ խորհուրդ տալով ընկերներին, 30% զեղչ Habr-ի օգտատերերի համար մուտքի մակարդակի սերվերների եզակի անալոգի վրա, որը ստեղծվել է մեր կողմից ձեզ համար. (հասանելի է RAID1 և RAID10-ով, մինչև 24 միջուկով և մինչև 40 ԳԲ DDR4):
Dell R730xd 2 անգամ ավելի էժան? Միայն այստեղ Նիդեռլանդներում! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - $99-ից: Կարդացեք մասին
Source: www.habr.com