Selamat datang ke pelajaran 8. Pelajaran itu sangat penting, kerana... Setelah selesai, anda akan dapat mengkonfigurasi akses Internet untuk pengguna anda! Saya mesti mengakui bahawa ramai orang berhenti membuat persediaan pada ketika ini π Tetapi kami bukan salah seorang daripada mereka! Dan kita masih mempunyai banyak perkara menarik di hadapan. Dan sekarang kepada topik pelajaran kita.
Seperti yang anda mungkin sudah meneka, hari ini kita akan bercakap tentang NAT. Saya pasti semua orang yang menonton pelajaran ini tahu apa itu NAT. Oleh itu, kami tidak akan menerangkan secara terperinci bagaimana ia berfungsi. Saya hanya akan mengulangi sekali lagi bahawa NAT ialah teknologi terjemahan alamat yang dicipta untuk menjimatkan "wang putih," i.e. IP awam (alamat yang dihalakan di Internet).
Dalam pelajaran sebelumnya, anda mungkin sudah perasan bahawa NAT adalah sebahagian daripada dasar Kawalan Akses. Ini agak logik. Dalam SmartConsole, tetapan NAT diletakkan dalam tab berasingan. Kami pasti akan melihat di sana hari ini. Secara umum, dalam pelajaran ini kita akan membincangkan jenis NAT, mengkonfigurasi akses Internet dan melihat contoh klasik penghantaran port. Itu. fungsi yang paling kerap digunakan dalam syarikat. Mari kita mulakan.
Dua cara untuk mengkonfigurasi NAT
Check Point menyokong dua cara untuk mengkonfigurasi NAT: NAT automatik ΠΈ NAT manual. Selain itu, bagi setiap kaedah ini terdapat dua jenis terjemahan: Sembunyikan NAT ΠΈ NAT statik. Secara umum ia kelihatan seperti gambar ini:
Saya faham bahawa kemungkinan besar semuanya kelihatan sangat rumit sekarang, jadi mari kita lihat setiap jenis dengan lebih terperinci.
NAT automatik
Ini adalah cara terpantas dan paling mudah. Mengkonfigurasi NAT dilakukan hanya dalam dua klik. Apa yang anda perlu lakukan ialah membuka sifat objek yang dikehendaki (sama ada gerbang, rangkaian, hos, dll.), pergi ke tab NAT dan semak "Tambahkan peraturan terjemahan alamat automatik" Di sini anda akan melihat medan - kaedah terjemahan. Terdapat, seperti yang disebutkan di atas, dua daripadanya.
1. Aitomatic Hide NAT
Secara lalai ia adalah Sembunyikan. Itu. dalam kes ini, rangkaian kami akan "bersembunyi" di sebalik beberapa alamat IP awam. Dalam kes ini, alamat boleh diambil daripada antara muka luaran get laluan, atau anda boleh menentukan yang lain. NAT jenis ini sering dipanggil dinamik atau ramai-ke-satu, kerana Beberapa alamat dalaman diterjemahkan ke dalam satu alamat luaran. Sememangnya, ini boleh dilakukan dengan menggunakan port yang berbeza semasa penyiaran. Sembunyikan NAT berfungsi hanya dalam satu arah (dari dalam ke luar) dan sesuai untuk rangkaian tempatan apabila anda hanya perlu menyediakan akses kepada Internet. Jika trafik dimulakan daripada rangkaian luaran, maka NAT secara semula jadi tidak akan berfungsi. Ia ternyata menjadi perlindungan tambahan untuk rangkaian dalaman.
2. NAT Statik Automatik
Sembunyikan NAT adalah baik untuk semua orang, tetapi mungkin anda perlu menyediakan akses daripada rangkaian luaran kepada beberapa pelayan dalaman. Sebagai contoh, kepada pelayan DMZ, seperti dalam contoh kami. Dalam kes ini, NAT Statik boleh membantu kami. Ia juga agak mudah untuk disediakan. Ia cukup untuk menukar kaedah terjemahan kepada Statik dalam sifat objek dan menentukan alamat IP awam yang akan digunakan untuk NAT (lihat gambar di atas). Itu. jika seseorang daripada rangkaian luaran mengakses alamat ini (pada mana-mana port!), maka permintaan itu akan dimajukan ke pelayan dengan IP dalaman. Lebih-lebih lagi, jika pelayan itu sendiri pergi ke dalam talian, IPnya juga akan berubah kepada alamat yang kami tetapkan. Itu. Ini adalah NAT dalam kedua-dua arah. Ia juga dipanggil satu sama lain dan kadangkala digunakan untuk pelayan awam. Mengapa "kadang-kadang"? Kerana ia mempunyai satu kelemahan besar - alamat IP awam sepenuhnya diduduki (semua port). Anda tidak boleh menggunakan satu alamat awam untuk pelayan dalaman yang berbeza (dengan port yang berbeza). Contohnya HTTP, FTP, SSH, SMTP, dll. NAT manual boleh menyelesaikan masalah ini.
NAT manual
Keistimewaan Manual NAT ialah anda perlu membuat peraturan terjemahan sendiri. Dalam tab NAT yang sama dalam Dasar Kawalan Akses. Pada masa yang sama, Manual NAT membolehkan anda membuat peraturan terjemahan yang lebih kompleks. Medan berikut tersedia untuk anda: Sumber Asal, Destinasi Asal, Perkhidmatan Asal, Sumber Terjemahan, Destinasi Terjemahan, Perkhidmatan Terjemahan.
Terdapat juga dua jenis NAT yang mungkin di sini - Sembunyikan dan Statik.
1. Manual Sembunyikan NAT
Sembunyikan NAT dalam kes ini boleh digunakan dalam situasi yang berbeza. Beberapa contoh:
- Apabila mengakses sumber tertentu daripada rangkaian tempatan, anda ingin menggunakan alamat siaran yang berbeza (berbeza daripada yang digunakan untuk semua kes lain).
- Terdapat sejumlah besar komputer pada rangkaian tempatan. Automatik Sembunyikan NAT tidak akan berfungsi di sini, kerana... Dengan persediaan ini, adalah mungkin untuk menetapkan hanya satu alamat IP awam, di belakang komputer yang akan "bersembunyi". Mungkin tiada port yang mencukupi untuk penyiaran. Terdapat, seperti yang anda ingat, lebih sedikit daripada 65 ribu. Selain itu, setiap komputer boleh menjana ratusan sesi. Manual Hide NAT membolehkan anda menetapkan kumpulan alamat IP awam dalam medan Sumber Terjemahan. Dengan itu meningkatkan bilangan terjemahan NAT yang mungkin.
2. Manual NAT Statik
NAT statik digunakan lebih kerap apabila membuat peraturan terjemahan secara manual. Contoh klasik ialah pemajuan port. Kes apabila alamat IP awam (yang mungkin dimiliki oleh get laluan) diakses daripada rangkaian luaran pada port tertentu dan permintaan itu diterjemahkan kepada sumber dalaman. Dalam kerja makmal kami, kami akan memajukan port 80 ke pelayan DMZ.
Tutorial video
Nantikan lebih lanjut dan sertai kami (I.e.
Sumber: www.habr.com