Строгий тип NAT не дает подключить ваш Switch
Входящий пакет на сервере NAT
NAT принимает ответные пакеты от внешнего сервера и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP-адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP-адресом удаленного узла, удаленным портом и сетевым протоколом, указанным в сопоставлении портов, NAT выполнит обратное преобразование. NAT заменяет внешний IP-адрес и внешний порт в полях назначения пакета на частный IP-адрес и внутренний порт клиента.Затем NAT отправляет пакет клиенту по внутренней сети. Однако если NAT не находит подходящего сопоставления портов, входящий пакет отвергается и соединение разрывается.
Благодаря устройству NAT клиент получает возможность передавать данные в глобальной среде Интернета, используя лишь частный, внутренний IP-адрес; ни от приложения, ни от клиента не требуется никаких дополнительных усилий. Приложению не приходится обращаться к каким-либо специальным API-интерфейсам, а клиенту не нужно выполнять дополнительную настройку. В данном случае механизм NAT оказывается прозрачным по отношению к клиенту и к серверному приложению.
Таким образом протокол NAT решает две главные задачи:
- помогает справиться с дефицитом IP-адресов, который становится все более острым по мере роста количества компьютеров;
- обеспечивает безопасность внутренней сети — компьютеры локальной сети, защищенные маршрутизатором с активированным NAT-протоколом (устройством NAT), становятся недоступными из внешней сети.
Хотя протокол NAT не заменяет брандмауэр, он все же является важным элементом безопасности.
В некоторых маршрутизаторах возможно отключение NAT-протокола. Однако имеются модели, где NAT-протокол активирован и отключить его невозможно. Это касается бытовых маршрутизаторов, которые еще называются Интернет-шлюзами.
При этом важно, чтобы маршрутизатор мог частично обойти ограничения NAT-протокола. Дело в том, что не все сетевые приложения пользуются протоколами, способными взаимодействовать с NAT
Поэтому все маршрутизаторы имеют функции, позволяющие наложить ограничения на использование протокола NAT.
Сервер, устанавливаемый во внутренней сети и являющийся прозрачным для протокола NAT, называют виртуальным сервером (Virtual Server). Прозрачным для протокола NAT может быть не весь сервер, а лишь определенные сервисы, запускаемые на нем. Для того чтобы реализовать виртуальный сервер во внутренней сети, на маршрутизаторе используется технология перенаправления портов.
Настройка NAT и DHCP на Cisco
Добрый день! В данной статье мы рассмотрим пример настройки DHCP сервера и сетевой трансляции (NAT) на маршрутизаторе Сisco 1841.
Перед нами стоит задача через маршрутизатор серии Cisco подключить Интернет и раздавать компьютерам малой локальной сети. Подобная задача стоит, когда оператор, в целях экономии, выделяет 1 внешний ip адрес для доступа к ресурсам Интернет, а в локальной сети более чем один ПК. Определим изначально параметры и обозначения сети внешней и внутренней.
Всяческие совпадения с реальными сетями не учитывать.
Внешняя: 195.4.130.0/30
Внутренняя: 172.17.1.0/24
DNS 8.8.8.8
WAN: внешний порт
LAN: локальный порт
Для примера берем маршрутизатор версии:
Cisco IOS Software, 1841 Software (C1841-SPSERVICESK9-M), Version 12.4(23), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Sat 08-Nov-08 20:00 by prod_rel_team
Как известно, на маршрутизаторе подобной серии имеется два порта – WAN и LAN. Изначально настраиваем порты согласно указанным сетям:
Заходим в режим конфигурации:
Далее в режим конфигурации порта:
После даем название порта(description):
router(config-if)#description WAN
router(config-if)#
Прописываем адресацию:
router(config-if)# ip address 195.4.130.2 255.255.255.252
Указываем, что данный порт будет является выходным(outside) с точки зрения NAT
router(config-if)# ip nat outside
В итоге получаем конфигурацию WAN порта вида:
router#sh run int fa0/0
!
interface FastEthernet0/0
description WAN
ip address 195.4.130.2 255.255.255.252
no ip redirects
no ip proxy-arp
ip nat outside
no ip route-cache
no cdp enable
arp timeout 200
end
Аналогично прописываем настройки для LAN порта, за исключением адресации и указания, что порт является внутренним(inside):
router#sh run int fa0/0
!
interface FastEthernet0/0
description LAN
ip address 172.17.1.1 255.255.255.
no ip proxy-arp
ip nat inside
arp timeout 200
Далее в глобальных настройках маршрутизатора обязательно указываем маршрут по умолчанию(default):
router(config)#ip route 0.0.0.0 0.0.0.0 195.4.130.1 name “default”
Для работы NAT с пулом LAN необходимо прописать access list c описанием нашей внутренней адресации:
router(config)# access-list 4 remark “NAT”
router(config)# access-list 4 permit 172.17.1.0 0.0.0.255
После того как указали сеть в ACL, включаем работу NAT:
router(config)# ip nat inside source list 4 interface FastEthernet0/0 overload
Работу NAT можно увидеть командой sh ip nat translations
Далее приступаем к настройке DHCP, в глобальной конфигурации создаем пул:
router(config)# ip dhcp pool LAN_users
Указываем размер пула, шлюз по умолчанию, DNS и время аренды:
router(config)# (dhcp-config)# network 172.17.1.0 255.255.255.0
router(config)# (dhcp-config)# default-router 172.17.1.1
router(config)# (dhcp-config)# dns-server 8.8.8.8
router(config)# (dhcp-config)#lease 0 2
Также можно описать дополнительные опции, которые, возможно, требуется конечному пользователю (т.е. приватные маршруты и т.д.)
Таким образом мы получаем элементарно настроенный маршрутизатор для работы небольшой локальной сети.
Автор статьи: Вадим Карапчиевский
ООО «Сетевые проекты будущего»
IT поддержка Вашего бизнеса
Nat в роутере
В разделе Интернет на вопрос Что такое NAT? заданный автором Alekseisuperpuper Superpuper лучший ответ это NATNAT (от англ. NetworkAddress Translation —«преобразование сетевыхадресов» ) — это механизм всетях TCP/IP, позволяющийпреобразовывать IP-адресатранзитных пакетов. Такжеимеет названия IPMasquerading, NetworkMasquerading и NativeAddress Translation.ФункционированиеПреобразование адресовметодом NAT можетпроизводиться почти любыммаршрутизирующимустройством —маршрутизатором,сервером доступа,межсетевым экраном.Наиболее популярнымявляется SNAT, сутьмеханизма которогосостоит в замене адресаисточника ( англ. source) припрохождении пакета в однусторону и обратной заменеадреса назначения( англ. destination) вответном пакете. Наряду садресами источник/назначение могут такжезаменяться номера портовисточника и назначения.Принимая пакет отлокального компьютера,роутер смотрит на IP-адрес назначения. Если этолокальный адрес, то пакетпересылается другомулокальному компьютеру.Если нет, то пакет надопереслать наружу винтернет. Но ведьобратным адресом в пакетеуказан локальный адрескомпьютера, который изинтернета будетнедоступен. Поэтомуроутер “на лету”производит трансляцию IP-адреса и порта изапоминает этутрансляцию у себя вовременной таблице. Черезнекоторое время после того,как клиент и серверзакончат обмениватьсяпакетами, роутер сотрет усебя в таблице запись о n-омпорте за сроком давности.Статический NAT —Отображениенезарегистрированного IP-адреса назарегистрированный IP-адресна основании один к одному.Особенно полезно, когдаустройство должно бытьдоступным снаружи сети.Динамический NAT —Отображаетнезарегистрированный IP-адрес на зарегистрированныйадрес от группызарегистрированных IP-адресов. Динамический NATтакже устанавливаетнепосредственноеотображение междунезарегистрированным изарегистрированнымадресом, но отображениеможет меняться взависимости отзарегистрированного адреса,доступного в пуле адресов, вовремя коммуникации.Перегруженный NAT (NAPT,NAT Overload, PAT,маскарадинг) — формадинамического NAT, которыйотображает нескольконезарегистрированныхадресов в единственныйзарегистрированный IP-адрес, используя различныепорты. Известен также какPAT (Port AddressTranslation). При перегрузкекаждый компьютер вчастной сетитранслируется в тот жесамый адрес, но с различнымномером порта.
