Velkomin í kennslustund 8. Lærdómurinn er mjög mikilvægur því... Að því loknu muntu geta stillt internetaðgang fyrir notendur þína! Ég verð að viðurkenna að margir hætta að setja upp á þessum tímapunkti 🙂 En við erum ekki ein af þeim! Og enn eigum við margt áhugavert framundan. Og nú að efni lexíu okkar.
Eins og þú hefur líklega þegar giskað á, í dag munum við tala um NAT. Ég er viss um að allir sem horfa á þessa lexíu vita hvað NAT er. Þess vegna munum við ekki lýsa í smáatriðum hvernig það virkar. Ég endurtek bara enn og aftur að NAT er heimilisfangsþýðingartækni sem var fundin upp til að spara „hvíta peninga“, þ.e. opinberar IP-tölur (þau vistföng sem eru flutt á internetinu).
Í fyrri lexíu hefur þú líklega þegar tekið eftir því að NAT er hluti af aðgangsstýringarstefnunni. Þetta er alveg rökrétt. Í SmartConsole eru NAT stillingar settar á sérstakan flipa. Við lítum svo sannarlega þangað í dag. Almennt, í þessari lexíu munum við ræða NAT-gerðir, stilla internetaðgang og skoða klassískt dæmi um framsendingu hafna. Þeir. þá virkni sem oftast er notuð í fyrirtækjum. Byrjum.
Tvær leiðir til að stilla NAT
Check Point styður tvær leiðir til að stilla NAT: Sjálfvirkt NAT и Handvirkt NAT. Þar að auki, fyrir hverja þessara aðferða eru tvær tegundir af þýðingum: Fela NAT и Static NAT. Almennt séð lítur þetta út eins og þessi mynd:
Mér skilst að líklega lítur allt mjög flókið út núna, svo við skulum skoða hverja tegund aðeins nánar.
Sjálfvirkt NAT
Þetta er fljótlegasta og auðveldasta leiðin. Stilling NAT fer fram með aðeins tveimur smellum. Allt sem þú þarft að gera er að opna eiginleika viðkomandi hlutar (hvort sem það er gátt, netkerfi, hýsil osfrv.), Farðu í NAT flipann og athugaðu „Bættu við sjálfvirkum þýðingum á heimilisfangi" Hér munt þú sjá reitinn - þýðingaraðferðina. Þeir eru, eins og áður sagði, tveir.
1. Aitomatic Hide NAT
Sjálfgefið er Fela. Þeir. í þessu tilviki mun netið okkar „fela sig“ á bak við einhverja opinbera IP tölu. Í þessu tilviki er hægt að taka heimilisfangið úr ytra viðmóti gáttarinnar, eða þú getur tilgreint annað. Þessi tegund af NAT er oft kölluð dynamic eða margir á móti einum, vegna þess Nokkur innri heimilisföng eru þýdd yfir í eitt ytra. Auðvitað er þetta mögulegt með því að nota mismunandi tengi við útsendingar. Hide NAT virkar aðeins í eina átt (innan frá og utan) og er tilvalið fyrir staðarnet þegar þú þarft bara að veita aðgang að internetinu. Ef umferð er hafin frá utanaðkomandi neti, þá mun NAT náttúrulega ekki virka. Það reynist vera viðbótarvörn fyrir innri net.
2. Sjálfvirk Static NAT
Fela NAT er gott fyrir alla, en kannski þarftu að veita aðgang frá ytra neti að einhverjum innri netþjóni. Til dæmis, til DMZ netþjóns, eins og í dæminu okkar. Í þessu tilfelli getur Static NAT hjálpað okkur. Það er líka frekar auðvelt að setja upp. Það er nóg að breyta þýðingaraðferðinni í Static í hlutareiginleikum og tilgreina opinbera IP tölu sem verður notuð fyrir NAT (sjá myndina að ofan). Þeir. ef einhver frá ytra netkerfinu nálgast þetta heimilisfang (á hvaða höfn sem er!), þá verður beiðnin send áfram til netþjóns með innri IP. Þar að auki, ef þjónninn sjálfur fer á netið, mun IP hans einnig breytast í heimilisfangið sem við tilgreindum. Þeir. Þetta er NAT í báðar áttir. Það er líka kallað einn-á-einn og stundum notað fyrir opinbera netþjóna. Hvers vegna "stundum"? Vegna þess að það hefur einn stóran galla - opinbera IP tölu er alveg upptekin (allar hafnir). Þú getur ekki notað eitt netfang fyrir mismunandi innri netþjóna (með mismunandi tengi). Til dæmis HTTP, FTP, SSH, SMTP osfrv. Handvirkt NAT getur leyst þetta vandamál.
Handvirkt NAT
Sérkenni Manual NAT er að þú þarft að búa til þýðingarreglur sjálfur. Í sama NAT flipa í Access Control Policy. Á sama tíma gerir Manual NAT þér kleift að búa til flóknari þýðingarreglur. Eftirfarandi reitir eru í boði fyrir þig: Upprunalegur uppruni, Upprunalegur áfangastaður, Upprunalegur þjónusta, Þýddur uppruni, Þýður áfangastaður, Þýdd þjónusta.
Það eru líka tvær tegundir af NAT mögulegar hér - Hide og Static.
1. Handvirk Fela NAT
Fela NAT í þessu tilfelli er hægt að nota við mismunandi aðstæður. Nokkur dæmi:
- Þegar þú hefur aðgang að tiltekinni auðlind frá staðarnetinu vilt þú nota annað útsendingarvistfang (öðruvísi en það sem notað er í öllum öðrum tilvikum).
- Það er gríðarlegur fjöldi tölva á staðarnetinu. Automatic Hide NAT mun ekki virka hér, vegna þess að... Með þessari uppsetningu er aðeins hægt að stilla eina opinbera IP tölu, á bak við það sem tölvur munu „fela sig“. Það gæti einfaldlega ekki verið nóg af höfnum fyrir útsendingar. Það eru, eins og menn muna, aðeins meira en 65 þús. Þar að auki getur hver tölva búið til hundruð lota. Manual Hide NAT gerir þér kleift að stilla hóp af opinberum IP-tölum í reitnum Þýddur uppruni. Þar með fjölgar mögulegum NAT þýðingar.
2.Manual Static NAT
Static NAT er notað mun oftar þegar búið er til handvirkt þýðingarreglur. Klassískt dæmi er framsending hafna. Tilvikið þegar almennt IP-tala (sem gæti tilheyrt gátt) er opnuð frá ytra neti á tilteknu tengi og beiðnin er þýdd á innri auðlind. Í rannsóknarstofuvinnu okkar munum við áframsenda höfn 80 á DMZ netþjóninn.
Vídeókennsla
Fylgstu með fyrir meira og vertu með 🙂
Heimild: www.habr.com