Данас ћемо проучавати ПАТ (Превођење адресе порта), технологију за превођење ИП адреса помоћу портова и НАТ (Нетворк Аддресс Транслатион), технологију за превођење ИП адреса транзитних пакета. ПАТ је посебан случај НАТ-а. Покрићемо три теме:
— приватне, или интерне (интранет, локалне) ИП адресе и јавне или екстерне ИП адресе;
- НАТ и ПАТ;
— НАТ/ПАТ конфигурација.
Почнимо са интерним приватним ИП адресама. Знамо да су подељени у три класе: А, Б и Ц.
Интерне адресе класе А заузимају распон десетица од 10.0.0.0 до 10.255.255.255, а екстерне адресе заузимају опсег од 1.0.0.0 до 9 и од 255.255.255 до 11.0.0.0.
Интерне адресе класе Б заузимају опсег од 172.16.0.0 до 172.31.255.255, а екстерне адресе се крећу од 128.0.0.0 до 172.15.255.255 и од 172.32.0.0 до 191.255.255.255.
Интерне адресе класе Ц заузимају опсег од 192.168.0.0 до 192.168.255.255, а екстерне адресе у распону од 192.0.0 до 192.167.255.255 и од 192.169.0.0 до 223.255.255.255.
Адресе класе А су /8, класе Б су /12 и класе Ц су /16. Дакле, екстерне и интерне ИП адресе различитих класа заузимају различите опсеге.
Неколико пута смо расправљали која је разлика између приватних и јавних ИП адреса. Уопштено говорећи, ако имамо рутер и групу интерних ИП адреса, када покушају да приступе Интернету, рутер их претвара у екстерне ИП адресе. Интерне адресе се користе искључиво на локалним мрежама, а не на Интернету.
Ако погледам мрежне параметре свог рачунара помоћу командне линије, видећу своју интерну ЛАН ИП адресу 192.168.1.103.
Да бисте сазнали своју јавну ИП адресу, можете користити Интернет услугу попут „Која је моја ИП адреса?“ Као што видите, спољна адреса рачунара 78.100.196.163 се разликује од његове интерне адресе.
У свим случајевима, мој рачунар је видљив на Интернету управо по својој спољној ИП адреси. Дакле, интерна адреса мог рачунара је 192.168.1.103, а екстерна 78.100.196.163. Интерна адреса се користи само за локалну комуникацију, са њом не можете приступити Интернету, за ово вам је потребна јавна ИП адреса. Можете се сетити зашто је направљена подела на приватне и јавне адресе прегледајући видео туторијал 3. дан.
Хајде да погледамо шта је НАТ. Постоје три типа НАТ-а: статички, динамички и „преоптерећени“ НАТ или ПАТ.
Цисцо има 4 термина који описују НАТ. Као што сам рекао, НАТ је механизам за претварање интерних адреса у екстерне. Ако уређај повезан на Интернет прими пакет од другог уређаја на локалној мрежи, он ће једноставно одбацити овај пакет, пошто формат интерне адресе не одговара формату адреса које се користе на глобалном Интернету. Стога, уређај мора да добије јавну ИП адресу да би приступио Интернету.
Дакле, први термин је Инсиде Лоцал, што значи ИП адресу хоста на интерној локалној мрежи. Једноставно речено, ово је примарна адреса извора типа 192.168.1.10. Други термин, Инсиде Глобал, је ИП адреса локалног хоста под којим је видљив на спољној мрежи. У нашем случају, ово је ИП адреса екстерног порта рутера 200.124.22.10.
Можемо рећи да је Инсиде Лоцал приватна ИП адреса, а Инсиде Глобал јавна ИП адреса. Запамтите да се израз унутра односи на извор саобраћаја, а споља на одредиште саобраћаја. Оутсиде Лоцал је ИП адреса хоста на спољној мрежи, под којом је видљива интерној мрежи. Једноставно речено, ово је адреса примаоца видљива из интерне мреже. Пример такве адресе је ИП адреса 200.124.22.100 уређаја који се налази на Интернету.
Оутсиде Глобал је ИП адреса домаћина која је видљива на спољној мрежи. У већини случајева, вањске локалне и вањске глобалне адресе изгледају исто јер чак и након превода, одредишна ИП адреса је видљива извору као што је била прије превода.
Хајде да погледамо шта је статички НАТ. Статички НАТ значи превод један-на-један интерних ИП адреса на екстерне, или превод један-на-један. Када уређаји шаљу саобраћај на Интернет, њихове унутрашње локалне адресе се преводе у унутрашње глобалне адресе.
На нашој локалној мрежи постоје 3 уређаја, а када постану онлајн, сваки од њих добија своју Инсиде Глобал адресу. Ове адресе су статички додељене изворима саобраћаја. Принцип један-на-један значи да ако постоји 100 уређаја на локалној мрежи, они добијају 100 екстерних адреса.
НАТ је рођен да спасе Интернет, коме је понестајало јавних ИП адреса. Захваљујући НАТ-у, многе компаније и многе мреже могу имати једну заједничку екстерну ИП адресу у коју ће се конвертовати локалне адресе уређаја приликом приступа Интернету. Можете рећи да у овом случају статичког НАТ-а нема уштеде у броју адреса, пошто је стотину локалних рачунара додељено сто спољних адреса, и бићете потпуно у праву. Међутим, статички НАТ и даље има бројне предности.
На пример, имамо сервер са интерном ИП адресом 192.168.1.100. Ако било који уређај са Интернета жели да га контактира, не може то да уради користећи интерну одредишну адресу, за то треба да користи адресу екстерног сервера 200.124.22.3. Ако је ваш рутер конфигурисан са статичким НАТ-ом, сав саобраћај адресиран на 200.124.22.3 аутоматски се прослеђује на 192.168.1.100. Ово обезбеђује екстерни приступ уређајима локалне мреже, у овом случају веб серверу компаније, што може бити неопходно у неким случајевима.
Хајде да размотримо динамички НАТ. Веома је сличан статичком, али не додељује сталне спољне адресе сваком локалном уређају. На пример, имамо 3 локална уређаја и само 2 екстерне адресе. Ако други уређај жели да приступи Интернету, биће му додељена прва бесплатна ИП адреса. Ако веб сервер након њега жели да приступи Интернету, рутер ће му доделити другу доступну спољну адресу. Ако након овога први уређај жели да се повеже на спољну мрежу, неће бити доступне ИП адресе за њега, а рутер ће одбацити свој пакет.
Можда имамо стотине уређаја са интерним ИП адресама и сваки од ових уређаја може да приступи Интернету. Али пошто немамо статичку доделу спољних адреса, највише 2 уређаја од стотину неће моћи истовремено да приступе Интернету, јер имамо само две динамички додељене екстерне адресе.
Цисцо уређаји имају фиксно време превођења адресе, које је подразумевано 24 сата. Може се променити на 1,2,3, 10 минута, у било које време. Након овог времена, екстерне адресе се ослобађају и аутоматски се враћају у скуп адреса. Ако у овом тренутку први уређај жели да приступи Интернету и било која спољна адреса је доступна, онда ће је примити. Рутер садржи НАТ табелу која се динамички ажурира и док време превођења не истекне, уређај задржава додељену адресу. Једноставно речено, динамички НАТ функционише по принципу „први дође први, први услужен“.
Хајде да погледамо шта је преоптерећени НАТ или ПАТ. Ово је најчешћи тип НАТ-а. На вашој кућној мрежи може бити много уређаја – рачунар, паметни телефон, лаптоп, таблет, и сви се повезују на рутер који има једну екстерну ИП адресу. Дакле, ПАТ омогућава да више уређаја са интерним ИП адресама истовремено приступају Интернету под једном спољном ИП адресом. Ово је могуће због чињенице да свака приватна, интерна ИП адреса користи одређени број порта током комуникацијске сесије.
Претпоставимо да имамо једну јавну адресу 200.124.22.1 и много локалних уређаја. Дакле, када приступају Интернету, сви ови домаћини ће добити исту адресу 200.124.22.1. Једина ствар која ће их разликовати један од другог је број порта.
Ако се сећате дискусије о транспортном слоју, знате да транспортни слој садржи бројеве портова, при чему је изворни број порта насумичан број.
Претпоставимо да постоји хост на спољној мрежи са ИП адресом 200.124.22.10, који је повезан на Интернет. Ако рачунар 192.168.1.11 жели да комуницира са рачунаром 200.124.22.10, креираће насумични изворни порт 51772. У овом случају, одредишни порт спољног мрежног рачунара ће бити 80.
Када рутер прими пакет локалног рачунара усмерен ка спољној мрежи, он ће своју унутрашњу локалну адресу превести у унутрашњу глобалну адресу 200.124.22.1 и доделити број порта 23556. Пакет ће стићи до рачунара 200.124.22.10 и мораће да пошаљите назад одговор у складу са процедуром руковања, у овом случају, одредиште ће бити адреса 200.124.22.1 и порт 23556.
Рутер има НАТ транслациону табелу, тако да када прими пакет са спољног рачунара, одредиће унутрашњу локалну адресу која одговара унутрашњој глобалној адреси као 192.168.1.11: 51772 и проследити пакет на њу. Након овога, веза између два рачунара се може сматрати успостављеном.
У исто време, можда имате сто уређаја који користе исту адресу 200.124.22.1 за комуникацију, али различите бројеве портова, тако да сви могу да приступе Интернету у исто време. Због тога је ПАТ тако популаран метод емитовања.
Хајде да погледамо подешавање статичког НАТ-а. За било коју мрежу, пре свега, потребно је одредити улазне и излазне интерфејсе. На дијаграму је приказан рутер преко којег се саобраћај преноси са порта Г0/0 на порт Г0/1, односно из унутрашње мреже у екстерну мрежу. Дакле, имамо улазни интерфејс 192.168.1.1 и излазни интерфејс 200.124.22.1.
Да бисмо конфигурисали НАТ, идемо на Г0/0 интерфејс и постављамо параметре ип адресе 192.168.1.1 255.255.255.0 и означавамо да је овај интерфејс улазни помоћу команде ип нат инсиде.
На исти начин, конфигуришемо НАТ на излазном интерфејсу Г0/1, наводећи ип адресу 200.124.22.1, маску подмреже 255.255.255.0 и ип нат споља. Запамтите да се динамичко НАТ превођење увек изводи од улазног до излазног интерфејса, изнутра ка споља. Наравно, за динамички НАТ, одговор долази до улазног интерфејса преко излазног интерфејса, али када се саобраћај покрене, покреће се смер улаз-излаз. У случају статичког НАТ-а, покретање саобраћаја може да се деси у било ком смеру - унутра-излаз или ван.
Затим морамо да креирамо статичку НАТ табелу, где свака локална адреса одговара засебној глобалној адреси. У нашем случају постоје 3 уређаја, тако да ће се табела састојати од 3 записа, који означавају унутрашњу локалну ИП адресу извора, која се конвертује у унутрашњу глобалну адресу: ип нат инсиде статиц 192.168.1.10 200.124.22.1.
Стога, у статичком НАТ-у, ручно пишете превод за сваку адресу локалног домаћина. Сада ћу отићи на Пацкет Трацер и направити горе описана подешавања.
На врху имамо сервер 192.168.1.100, испод је рачунар 192.168.1.10 а на самом дну је рачунар 192.168.1.11. Порт Г0/0 рутера 0 има ИП адресу 192.168.1.1, а порт Г0/1 има ИП адресу 200.124.22.1. У „олак” који представља Интернет поставио сам Роутер1, коме сам доделио ИП адресу 200.124.22.10.
Идем у подешавања Роутер1 и укуцам команду дебуг ип ицмп. Сада, када пинг стигне до тог уређаја, у прозору подешавања ће се појавити порука за отклањање грешака која показује шта је пакет.
Почнимо са подешавањем рутера Роутер0. Улазим у режим глобалних подешавања и позивам Г0/0 интерфејс. Затим унесем ип нат инсиде команду, затим идем на интерфејс г0/1 и унесем команду ип нат оутсиде. Тако сам доделио улазне и излазне интерфејсе рутера. Сада морам ручно да конфигуришем ИП адресе, односно да пренесем редове из горње табеле у подешавања:
Ип нат унутар изворног статика 192.168.1.10 200.124.22.1
Ип нат унутар изворног статика 192.168.1.11 200.124.22.2
Ип нат унутар изворног статика 192.168.1.100 200.124.22.3
Сада ћу пинговати Роутер1 са сваког нашег уређаја и видети које ИП адресе показује пинг који прима. Да бих то урадио, постављам отворени ЦЛИ прозор Р1 рутера на десну страну екрана тако да могу да видим поруке за отклањање грешака. Сада идем на терминал командне линије ПЦ0 и пингујем адресу 200.124.22.10. Након тога, у прозору се појављује порука да је пинг примљен са ИП адресе 200.124.22.1. То значи да је ИП адреса локалног рачунара 192.168.1.10 преведена у глобалну адресу 200.124.22.1.
Урадим исто са следећим локалним рачунаром и видим да је његова адреса преведена на 200.124.22.2. Затим пингујем сервер и видим адресу 200.124.22.3.
Дакле, када саобраћај са локалног мрежног уређаја стигне до рутера на коме је конфигурисан статички НАТ, рутер, у складу са табелом, конвертује локалну ИП адресу у глобалну и шаље саобраћај на спољну мрежу. Да проверим НАТ табелу, уносим команду схов ип нат транслатионс.
Сада можемо видети све трансформације које рутер прави. Прва колона Инсиде Глобал садржи адресу уређаја пре емитовања, односно адресу под којом је уређај видљив са спољне мреже, а затим следи Инсиде Лоцал адреса, односно адреса уређаја на локалној мрежи. Трећа колона приказује спољну локалну адресу, а четврта колону спољну глобалну адресу, обе су исте јер не преводимо одредишну ИП адресу. Као што видите, након неколико секунди табела се очистила јер је Пацкет Трацер имао кратко временско ограничење за пинг.
Могу да пингујем сервер на 1 са рутера Р200.124.22.3, и ако се вратим на подешавања рутера, видим да је табела поново попуњена са четири пинг линије са преведеном адресом одредишта 192.168.1.100.
Као што сам рекао, чак и ако се активира временско ограничење превођења, када се саобраћај покрене из спољног извора, НАТ механизам се аутоматски активира. Ово се дешава само када се користи статички НАТ.
Погледајмо сада како функционише динамички НАТ. У нашем примеру постоје 2 јавне адресе за три локална мрежна уређаја, али може постојати десетине или стотине таквих приватних хостова. Истовремено, само 2 уређаја могу приступити Интернету у исто време. Хајде да размотримо шта је, поред тога, разлика између статичког и динамичког НАТ-а.
Као иу претходном случају, прво морате одредити улазне и излазне интерфејсе рутера. Затим креирамо неку врсту приступне листе, али ово није исти АЦЛ о којем смо говорили у претходној лекцији. Ова листа приступа се користи за идентификацију саобраћаја који желимо да трансформишемо. Овде се појављује нови термин „занимљив саобраћај“ или „занимљив саобраћај“. Ово је саобраћај који вас из неког разлога интересује, а када се тај саобраћај поклопи са условима приступне листе, долази под НАТ и преводи се. Овај термин се односи на саобраћај у многим случајевима, на пример, у случају ВПН-а, „занимљив“ је саобраћај који ће проћи кроз ВПН тунел.
Морамо да креирамо АЦЛ који идентификује интересантан саобраћај, у нашем случају то је саобраћај целе 192.168.1.0 мреже, уз коју је наведена повратна маска 0.0.0.255.
Затим морамо да креирамо НАТ базен, за који користимо команду ип нат поол <име пула> и наведемо скуп ИП адреса 200.124.22.1 200.124.22.2. То значи да пружамо само две спољне ИП адресе. Затим команда користи кључну реч нетмаск и уноси маску подмреже 255.255.255.252. Последњи октет маске је (255 - број адреса базена - 1), тако да ако имате 254 адресе у групи, онда ће маска подмреже бити 255.255.255.0. Ово је веома важно подешавање, па обавезно унесите исправну вредност мрежне маске када подешавате динамички НАТ.
Затим користимо команду која покреће НАТ механизам: ип нат унутар извора листе 1 базена НВКИНГ, где је НВКИНГ име скупа, а листа 1 значи АЦЛ број 1. Запамтите – да би ова команда функционисала, прво морате да креирате динамички скуп адреса и приступну листу.
Дакле, под нашим условима, први уређај који жели да приступи Интернету моћи ће то да уради, други уређај ће то моћи, али ће трећи морати да сачека док се једна од адреса пула не ослободи. Подешавање динамичког НАТ-а се састоји од 4 корака: одређивање улазног и излазног интерфејса, идентификовање „интересантног“ саобраћаја, креирање НАТ базена и стварна конфигурација.
Сада ћемо прећи на Пацкет Трацер и покушати да конфигуришемо динамички НАТ. Прво морамо уклонити статичке НАТ поставке, за које уносимо команде редом:
не Ип нат унутар изворног статика 192.168.1.10 200.124.22.1
не Ип нат унутар изворног статика 192.168.1.11 200.124.22.2
не Ип нат унутар извора статички 192.168.1.100 200.124.22.3.
Затим креирам приступну листу Лист 1 за целу мрежу са командом аццесс-лист 1 пермит 192.168.1.0 0.0.0.255 и креирам НАТ базен користећи команду ип нат поол НВКИНГ 200.124.22.1 200.124.22.2 нетмаск 255.255.255.252. У овој команди сам навео име базена, адресе које су укључене у њега и мрежну маску.
Затим прецизирам који је НАТ – интерни или екстерни, и извор из којег НАТ треба да црпи информације, у нашем случају то је лист, користећи команду ип нат инсиде соурце лист 1. Након тога, систем ће вас питати да ли сте треба цео базен или одређени интерфејс. Изабрао сам базен јер имамо више од 1 спољне адресе. Ако изаберете интерфејс, мораћете да наведете порт са одређеном ИП адресом. У коначном облику, команда ће изгледати овако: ип нат унутар листе извора 1 базен НВКИНГ. Тренутно се овај скуп састоји од две адресе 200.124.22.1 200.124.22.2, али их можете слободно мењати или додати нове адресе које нису повезане са одређеним интерфејсом.
Морате осигурати да је ваша табела рутирања ажурирана тако да се било која од ових ИП адреса у групи мора усмјерити на овај уређај, иначе нећете примати повратни саобраћај. Да бисмо се уверили да подешавања функционишу, поновићемо процедуру за пинговање рутера у облаку, што смо урадили за статички НАТ. Отворићу прозор рутера 1 да бих могао да видим поруке режима за отклањање грешака и да их пингујем са сваког од 3 уређаја.
Видимо да све адресе извора са којих долазе пинг пакети одговарају подешавањима. У исто време, пинг са рачунара ПЦ0 не ради јер нема довољно слободне спољне адресе. Ако уђете у подешавања рутера 1, можете видети да су адресе базена 200.124.22.1 и 200.124.22.2 тренутно у употреби. Сада ћу искључити пренос, па ћете видети како редови нестају један по један. Поново пингујем ПЦ0 и као што видите, сада све ради јер је успео да добије бесплатну спољну адресу 200.124.22.1.
Како могу да обришем НАТ табелу и поништим превод дате адресе? Идите на подешавања рутера Роутер0 и откуцајте команду цлеар ип нат транслатион * са звездицом на крају реда. Ако сада погледамо статус превода помоћу команде схов ип нат транслатион, систем ће нам дати празан ред.
Да бисте видели НАТ статистику, користите команду схов ип нат статистицс.
Ово је веома корисна команда која вам омогућава да сазнате укупан број динамичких, статичких и напредних НАТ/ПАТ превода. Можете видети да је 0 јер смо претходном командом обрисали податке емитовања. Ово приказује улазне и излазне интерфејсе, број успешних и неуспешних конверзија погодака и промашаја (број неуспеха је због недостатка слободне екстерне адресе за интерни хост), назив приступне листе и базена.
Сада ћемо прећи на најпопуларнији тип превода ИП адреса - напредни НАТ или ПАТ. Да бисте конфигурисали ПАТ, потребно је да пратите исте кораке као и за конфигурисање динамичког НАТ-а: одредите улазне и излазне интерфејсе рутера, идентификујете „занимљив“ саобраћај, креирате НАТ скуп и конфигуришете ПАТ. Можемо креирати исти скуп више адреса као у претходном случају, али то није неопходно јер ПАТ користи исту спољну адресу све време. Једина разлика између конфигурисања динамичког НАТ-а и ПАТ-а је кључна реч преоптерећења која завршава последњу конфигурациону команду. Након уноса ове речи, динамички НАТ се аутоматски претвара у ПАТ.
Такође, користите само једну адресу у групи НВКИНГ, на пример 200.124.22.1, али је наведите два пута као почетну и крајњу спољну адресу са мрежном маском 255.255.255.0. Можете то учинити лакше коришћењем параметра изворног интерфејса и фиксне адресе 1 Г200.124.22.1/200.124.22.1 интерфејса уместо линије ип нат 255.255.255.0 поол НВКИНГ 200.124.22.1 0 мрежне маске 1. У овом случају, све локалне адресе приликом приступа Интернету биће конвертоване у ову ИП адресу.
Такође можете користити било коју другу ИП адресу у скупу, која не мора нужно да одговара одређеном физичком интерфејсу. Међутим, у овом случају морате осигурати да сви рутери на мрежи могу да прослеђују повратни саобраћај на уређај који одаберете. Недостатак НАТ-а је што се не може користити за адресирање од краја до краја, јер до тренутка када се повратни пакет врати на локални уређај, његова динамичка НАТ ИП адреса може имати времена да се промени. То јест, морате бити сигурни да ће изабрана ИП адреса остати доступна током читавог трајања комуникацијске сесије.
Погледајмо ово кроз Пацкет Трацер. Прво морам да уклоним динамички НАТ командом но Ип нат унутар листе извора 1 НВКИНГ и уклоним НАТ базен са командом но Ип нат поол НВКИНГ 200.124.22.1 200.124.22.2 мрежна маска 225.255.255.252.
Затим морам да креирам ПАТ базен са командом Ип нат поол НВКИНГ 200.124.22.2 200.124.22.2 нетмаск 225.255.255.255. Овај пут користим ИП адресу која не припада физичком уређају јер физички уређај има адресу 200.124.22.1 и желим да користим 200.124.22.2. У нашем случају то функционише јер имамо локалну мрежу.
Затим конфигуришем ПАТ командом Ип нат унутар листе извора 1 преоптерећења НВКИНГ базена. Након уноса ове команде, активира се превод ПАТ адресе. Да проверим да ли је подешавање исправно, идем на наше уређаје, сервер и два рачунара, и пингујем ПЦ0 Роутер1 на 200.124.22.10 са рачунара. У прозору подешавања рутера можете видети линије за отклањање грешака које показују да је извор пинга, као што смо очекивали, ИП адреса 200.124.22.2. Пинг који шаљу рачунар ПЦ1 и сервер Сервер0 долази са исте адресе.
Хајде да видимо шта се дешава у табели конверзије Роутер0. Можете видети да су сви преводи успешни, сваком уређају је додељен сопствени порт, а све локалне адресе су повезане са Роутер1 преко ИП адресе скупа 200.124.22.2.
Користим команду схов ип нат статистицс да видим ПАТ статистику.
Видимо да је укупан број конверзија, односно превода адреса 12, видимо карактеристике скупа и друге информације.
Сада ћу урадити нешто друго - унећу команду Ип нат унутар листе извора 1 интерфејс гигабит Етхернет г0/1 преоптерећења. Ако затим пингујете рутер са ПЦ0, видећете да је пакет дошао са адресе 200.124.22.1, односно са физичког интерфејса! Ово је лакши начин: ако не желите да креирате базен, што се најчешће дешава када користите кућне рутере, онда можете користити ИП адресу физичког интерфејса рутера као екстерну НАТ адресу. Овако се најчешће преводи ваша приватна адреса домаћина за јавну мрежу.
Данас смо научили једну веома важну тему, тако да је морате вежбати. Користите Пацкет Трацер да тестирате своје теоријско знање у односу на практичне проблеме са НАТ и ПАТ конфигурацијом. Дошли смо до краја проучавања тема ИЦНД1 - првог испита ЦЦНА курса, тако да ћу вероватно следећу видео лекцију посветити сумирању резултата.
Хвала вам што сте остали са нама. Да ли вам се свиђају наши чланци? Желите да видите још занимљивијег садржаја? Подржите нас тако што ћете наручити или препоручити пријатељима, 30% попуста за кориснике Хабра на јединствени аналог сервера почетног нивоа, који смо ми измислили за вас: (доступно са РАИД1 и РАИД10, до 24 језгра и до 40 ГБ ДДР4).
Делл Р730кд 2 пута јефтинији? Само овде у Холандији! Делл Р420 - 2к Е5-2430 2.2Гхз 6Ц 128ГБ ДДР3 2к960ГБ ССД 1Гбпс 100ТБ - од 99 долара! Читали о
Извор: ввв.хабр.цом