Строгий тип NAT не дает подключить ваш Switch

Входящий пакет на сервере NAT

NAT принимает ответные пакеты от внешнего сервера и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP-адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP-адресом удаленного узла, удаленным портом и сетевым протоколом, указанным в сопоставлении портов, NAT выполнит обратное преобразование. NAT заменяет внешний IP-адрес и внешний порт в полях назначения пакета на частный IP-адрес и внутренний порт клиента.Затем NAT отправляет пакет клиенту по внутренней сети. Однако если NAT не находит подходящего сопоставления портов, входящий пакет отвергается и соединение разрывается.

Благодаря устройству NAT клиент получает возможность передавать данные в глобальной среде Интернета, используя лишь частный, внутренний IP-адрес; ни от приложения, ни от клиента не требуется никаких дополнительных усилий. Приложению не приходится обращаться к каким-либо специальным API-интерфейсам, а клиенту не нужно выполнять дополнительную настройку. В данном случае механизм NAT оказывается прозрачным по отношению к клиенту и к серверному приложению.

Таким образом протокол NAT решает две главные задачи:

  • помогает справиться с дефицитом IP-адресов, который становится все более острым по мере роста количества компьютеров;
  • обеспечивает безопасность внутренней сети — компьютеры локальной сети, защищенные маршрутизатором с активированным NAT-протоколом (устройством NAT), становятся недоступными из внешней сети.

Хотя протокол NAT не заменяет брандмауэр, он все же является важным элементом безопасности.

В некоторых маршрутизаторах возможно отключение NAT-протокола. Однако имеются модели, где NAT-протокол активирован и отключить его невозможно. Это касается бытовых маршрутизаторов, которые еще называются Интернет-шлюзами.

При этом важно, чтобы маршрутизатор мог частично обойти ограничения NAT-протокола. Дело в том, что не все сетевые приложения пользуются протоколами, способными взаимодействовать с NAT

Поэтому все маршрутизаторы имеют функции, позволяющие наложить ограничения на использование протокола NAT.

Сервер, устанавливаемый во внутренней сети и являющийся прозрачным для протокола NAT, называют виртуальным сервером (Virtual Server). Прозрачным для протокола NAT может быть не весь сервер, а лишь определенные сервисы, запускаемые на нем. Для того чтобы реализовать виртуальный сервер во внутренней сети, на маршрутизаторе используется технология перенаправления портов.

Настройка NAT и DHCP на Cisco

Добрый день! В данной статье мы рассмотрим пример настройки DHCP сервера и сетевой трансляции (NAT) на маршрутизаторе Сisco 1841.
Перед нами стоит задача через маршрутизатор серии Cisco подключить Интернет и раздавать компьютерам малой локальной сети.  Подобная задача стоит, когда оператор, в целях экономии, выделяет 1 внешний ip адрес для доступа к ресурсам Интернет, а в локальной сети более чем один ПК. Определим изначально параметры и обозначения сети внешней и внутренней.

Всяческие совпадения с реальными сетями не учитывать.

Внешняя: 195.4.130.0/30

Внутренняя: 172.17.1.0/24

DNS 8.8.8.8

WAN: внешний порт

LAN: локальный порт

Для примера берем маршрутизатор версии:

Cisco IOS Software, 1841 Software (C1841-SPSERVICESK9-M), Version 12.4(23), RELEASE SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 1986-2008 by Cisco Systems, Inc.

Compiled Sat 08-Nov-08 20:00 by prod_rel_team

Как известно, на маршрутизаторе подобной серии имеется два порта – WAN и LAN. Изначально настраиваем порты согласно указанным сетям:

Заходим в режим конфигурации:

Далее в режим конфигурации порта:

После даем название порта(description):

router(config-if)#description WAN

router(config-if)#

Прописываем адресацию:

router(config-if)# ip address 195.4.130.2 255.255.255.252

Указываем, что данный порт будет является выходным(outside) с точки зрения NAT

router(config-if)# ip nat outside

В итоге получаем конфигурацию WAN порта вида:

router#sh run int fa0/0

!

interface FastEthernet0/0

description WAN

ip address 195.4.130.2 255.255.255.252

no ip redirects

no ip proxy-arp

ip nat outside

no ip route-cache

no cdp enable

arp timeout 200

end

Аналогично прописываем настройки для LAN порта, за исключением адресации и указания, что порт является внутренним(inside):

router#sh run int fa0/0

!

interface FastEthernet0/0

description LAN

ip address 172.17.1.1 255.255.255.

no ip proxy-arp

ip nat inside

arp timeout 200

Далее в глобальных настройках маршрутизатора обязательно указываем маршрут по умолчанию(default):

router(config)#ip route 0.0.0.0 0.0.0.0 195.4.130.1 name “default”    

Для работы NAT с пулом LAN необходимо прописать access list c описанием нашей внутренней адресации:

router(config)# access-list 4 remark “NAT”

router(config)# access-list 4 permit 172.17.1.0 0.0.0.255

После того как указали сеть в ACL, включаем работу NAT:

router(config)# ip nat inside source list 4 interface FastEthernet0/0 overload

Работу NAT можно увидеть командой sh ip nat translations

Далее приступаем к настройке DHCP, в глобальной конфигурации создаем пул:

router(config)# ip dhcp pool LAN_users

Указываем размер пула, шлюз по умолчанию, DNS и время аренды:

router(config)# (dhcp-config)# network 172.17.1.0 255.255.255.0

router(config)# (dhcp-config)# default-router 172.17.1.1

router(config)# (dhcp-config)# dns-server 8.8.8.8

router(config)# (dhcp-config)#lease 0 2

 Также можно описать дополнительные опции, которые, возможно, требуется конечному пользователю (т.е. приватные маршруты и т.д.)

Таким образом мы получаем элементарно настроенный маршрутизатор для работы небольшой локальной сети.

Автор статьи: Вадим Карапчиевский
ООО «Сетевые проекты будущего»
IT поддержка Вашего бизнеса

Nat в роутере

В разделе Интернет на вопрос Что такое NAT? заданный автором Alekseisuperpuper Superpuper лучший ответ это NATNAT (от англ. NetworkAddress Translation —«преобразование сетевыхадресов» ) — это механизм всетях TCP/IP, позволяющийпреобразовывать IP-адресатранзитных пакетов. Такжеимеет названия IPMasquerading, NetworkMasquerading и NativeAddress Translation.ФункционированиеПреобразование адресовметодом NAT можетпроизводиться почти любыммаршрутизирующимустройством —маршрутизатором,сервером доступа,межсетевым экраном.Наиболее популярнымявляется SNAT, сутьмеханизма которогосостоит в замене адресаисточника ( англ. source) припрохождении пакета в однусторону и обратной заменеадреса назначения( англ. destination) вответном пакете. Наряду садресами источник/назначение могут такжезаменяться номера портовисточника и назначения.Принимая пакет отлокального компьютера,роутер смотрит на IP-адрес назначения. Если этолокальный адрес, то пакетпересылается другомулокальному компьютеру.Если нет, то пакет надопереслать наружу винтернет. Но ведьобратным адресом в пакетеуказан локальный адрескомпьютера, который изинтернета будетнедоступен. Поэтомуроутер “на лету”производит трансляцию IP-адреса и порта изапоминает этутрансляцию у себя вовременной таблице. Черезнекоторое время после того,как клиент и серверзакончат обмениватьсяпакетами, роутер сотрет усебя в таблице запись о n-омпорте за сроком давности.Статический NAT —Отображениенезарегистрированного IP-адреса назарегистрированный IP-адресна основании один к одному.Особенно полезно, когдаустройство должно бытьдоступным снаружи сети.Динамический NAT —Отображаетнезарегистрированный IP-адрес на зарегистрированныйадрес от группызарегистрированных IP-адресов. Динамический NATтакже устанавливаетнепосредственноеотображение междунезарегистрированным изарегистрированнымадресом, но отображениеможет меняться взависимости отзарегистрированного адреса,доступного в пуле адресов, вовремя коммуникации.Перегруженный NAT (NAPT,NAT Overload, PAT,маскарадинг) — формадинамического NAT, которыйотображает нескольконезарегистрированныхадресов в единственныйзарегистрированный IP-адрес, используя различныепорты. Известен также какPAT (Port AddressTranslation). При перегрузкекаждый компьютер вчастной сетитранслируется в тот жесамый адрес, но с различнымномером порта.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *