0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

NAT: Локальные и глобальные определения

Cisco определяет эти термины следующим образом:

Внутренний локальный адрес – IP-адрес, назначенный узлу во внутренней сети. Этот адрес настраивается как параметр операционной системы компьютера или получается через протоколы динамического распределения адресов, такие как DHCP. Возможно, этот адрес не будет допустимым IP-адресом, назначенным информационным центром сети (NIC) или поставщиком услуг.

Внутренний глобальный адрес – допустимый IP-адрес, назначенный NIC или поставщиком услуг, представляющий собой один или более внутренних локальных IP-адресов во внешнем мире.

Внешний локальный адрес – Такой IP-адрес внешнего узла, каким он отображается во внутренней сети. Этот адрес не обязательно является допустимым, он выделен из адресного пространства, маршрутизируемого внутри.

Внешний глобальный адрес – IP-адрес, назначенный узлу во внешней сети владельцем узла. Данный адрес выделен из глобальной маршрутизируемой сети или сетевого пространства.

Приведенные выше определения можно трактовать по-разному. В настоящем документе для данного примера эти термины переопределены. Сначала будет дано определение локального и глобального адреса. Необходимо помнить, что термины «внутренний» и «внешний» являются определениями NAT. Интерфейсы маршрутизатора NAT определяются как внутренние или внешние командами конфигурации NAT, ip nat inside и ip nat outside. Сети, с которыми соединяют эти интерфейсы, могут рассматриваться как внутренние и внешние соответственно.

Локальный адрес – Локальным адресом называется любой адрес, появляющийся во внутренней части сети.

Глобальный адрес – Глобальным адресом называется любой адрес, появляющийся во внешней части сети.

Пакеты из внутренней части сети имеют внутренний локальный адрес в качестве исходного адреса и внешний локальный адрес в качестве адреса пункта назначения пакета, пока пакет находится во внутренней части сети. Когда тот же пакет оказывается во внешней сети, исходный адрес пакета становится внутренним глобальным адресом, а адрес пункта назначения пакета – внешним глобальным адресом.

И наоборот, когда источник пакета находится во внешней части сети, адрес этого источника будет называться внешним глобальным адресом, до тех пор, пока пакет находится во внешней части сети. Адрес пункта назначения такого пакета называется внутренним глобальным адресом. При переходе этого пакета во внутреннюю сеть исходный адрес будет называться внешним локальным адресом, а адрес пункта назначения пакета – внутренним локальным адресом.

На следующем рисунке показан пример:

Маскировка

NAT похож на секретаря большого офиса. Скажем, вы оставили инструкции секретарю, чтобы не перенаправлять вам никакие звонки, до тех пор, пока вы не попросите об этом. Позже, вы звоните потенциальному клиенту и оставляете сообщение для него, чтобы он перезвонил вам. Вы говорите секретарю, что ожидаете звонок от этого клиента и звонок нужно перевести. Клиент звонит на основной номер вашего офиса, являющийся единственным номером, который он знает. Когда клиент говорит секретарю, кого он ищет, секретарь проверяет свой список сотрудников, чтобы найти соответствие имени и его номера расширения. Секретарь знает, что вы запрашивали этот звонок, поэтому он переводит звонившего на ваш телефон.

Разработанная технология Cisco, Трансляция Сетевых Адресов используется устройством (межсетевым экраном, маршрутизатором или компьютером), которое находиться между внутренней сетью и остальной частью мира. NAT имеет много форм и может работать несколькими способами:

Статический NAT — Отображение незарегистрированного IP адреса на зарегистрированный IP адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.

В статическом NAT, компьютер с адресом 192.168.32.10 будет всегда транслироваться в адрес 213.18.123.110:

Динамический NAT — Отображает незарегистрированный IP адрес на зарегистрированный адрес от группы зарегистрированных IP адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.

В динамическом NAT, компьютер с адресом 192.168.32.10 транслируется в первый доступномый адрес в диапазоне от 213.18.123.100 до 213.18.123.150

Перегрузка(Overload) — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP адрес, используя различные порты. Известен также как PAT (Port Address Translation)

При перегрузке, каждый компьютер в частной сети транслируется в тот же самый адрес (213.18.123.100), но с различным номером порта

Перекрытие — Когда IP адреса, используемые в вашей внутренней сети, также используются в другой сети, маршрутизатор должен держать таблицу поиска этих адресов так, чтобы он мог перехватить и заменить их зарегистрированными уникальными IP адресами. Важно отметить, что NAT маршрутизатор должен транслировать «внутренние» адреса в зарегистрированные уникальные адреса, а также должен транслировать «внешние» зарегистрированные адреса в адреса, которые являются уникальными для частной сети. Это может быть сделано либо через статический NAT, либо вы можете использовать DNS и реализовать динамический NAT.

Пример:
Внутренний диапазон IP (237.16.32.xx) является также зарегистрированный диапазоном, используемым другой сетью. Поэтому, маршрутизатор транслирует адреса, чтобы избежать потенциального конфликта . Он также будет транслировать зарегистрированные глобальные IP адреса обратно к незарегистрированным локальным адресам , когда пакеты посылаются во внутреннюю сеть

Внутренняя сеть – это обычно LAN (Локальная сеть), чаще всего, называемая, тупиковым доменом. Тупиковый домен это LAN, которая использует внутренние IP адреса. Большинство сетевого трафика в таком домене является локальным, он не покидает пределов внутренней сети. Домен может включать как зарегистрированные так и незарегистрированные IP адреса. Конечно, любые компьютеры, которые используют незарегистрированные IP адреса, должны использовать NAT, чтобы общаться с остальной частью мира.

NAT может быть сконфигурирован различными способами. В примере ниже NAT-маршрутизатор конфигурирован так, чтобы транслировать незарегистрированные IP адреса (локальные внутренние адреса), которые постоянно находятся в приватной (внутренней) сети в зарегистрированные IP адреса. Это случается всякий раз, когда устройство на внутренней части с незарегистрированным адресом должно общаться с внешней сетью.

    ISP назначает диапазон адресов IP вашей компании. Назначенный блок адресов — это уникальные зарегистрированные IP адреса и называются внутренними глобальными адресами (inside global). Незарегистрированные частные IP адреса разбиты на две группы, маленькая группа, внешние локальные адреса (outside local), будет использоваться NAT маршрутизаторами и основная, которая будет использоваться в домене, известна как внутренние локальные адреса (inside local). Внешние локальные адреса используются, чтобы транслировать уникальные IP адреса, известные как внешние глобальные адреса(outside global), устройств на общественной сети.
    NAT транслирует только тот трафик, который проходит между внутренней и внешней сетью и определен для трансляции. Любой трафик, не соответствующий критериям трансляции или тот, который проходит между другими интерфейсами на маршрутизаторе, никогда не транслируется, и пересылается как есть.

Читать еще:  Опасные ветви реестра

IP адреса имеют различные обозначения, основанные на том, находятся ли они на частной сети (домен) или на общественной сети (Интернет) и является ли трафик входящим или исходящим:

В чем отличие «белого» и «серого» IP-адреса?

Все IP-адреса протокола IPv4 делятся на публичные/глобальные/внешние (их называют «белые») — они используются в сети Интернет, и частные/локальные/внутренние (их называют «серые») — используются в локальной сети.

Публичные «белые» IP-адреса

В сети Интернет используются именно публичные глобальные адреса. Публичным IP-адресом называется IP-адрес, который используется для выхода в Интернет. Публичные (глобальные) IP-адреса маршрутизируются в Интернете, в отличие от частных адресов.
Наличие публичного IP-адреса на вашем роутере или компьютере позволит организовать собственный сервер (VPN, FTP, WEB и др.), удаленный доступ к компьютеру, камерам видеонаблюдения, и получить к ним доступ из любой точки глобальной сети.
С «белым» IP-адресом можно организовать любой собственный домашний сервер для публикации его в сети Интернет: веб (HTTP), VPN (L2TP/IPSec, PPTP, IPSec, OpenVPN, WireGuard), медиа (аудио/видео), FTP, сетевой накопитель NAS, игровой сервер и т.д.

TIP: Примечание: Все публичные серверы и сайты в сети Интернет используют «белые» IP-адреса (например, сайт google.com — 172.217.22.14, DNS-сервер Google — 8.8.8.8, сайт yandex.ru — 213.180.204.11, DNS-сервер Яндекс.DNS — 77.88.8.8).
Все публичные IP-адреса в сети Интернет уникальны и не могут повторяться.

Для домашних пользователей провайдер может предоставлять всего один или несколько публичных IP-адресов (как правило, это платная услуга).

Маршрутизатор (роутер, интернет-центр) позволяет устройствам домашней сети использовать для выхода в Интернет один публичный IP-адрес, установленный на WAN-интерфейсе устройства, через который осуществляется подключение к Интернету. Именно этот внешний публичный IP-адрес может быть использован для доступа из Интернета к компьютеру домашней сети, но для этого необходимо использовать проброс портов на роутере (пример приведен в статье: «Переадресация портов»).

В связи с тем что «белых» IP-адресов существует ограниченное количество, а рост числа пользователей Интернета увеличивается, интернет-провайдеры всё чаще используют частные («серые») IP-адреса, назначаемые абонентам.

Частные «серые» IP-адреса

Частные внутренние адреса не маршрутизируются в Интернете и на них нельзя отправить трафик из Интернета, они работают только в пределах локальной сети.
К частным «серым» адресам относятся IP-адреса из следующих подсетей:

  • От 10.0.0.0 до 10.255.255.255 с маской 255.0.0.0 или /8
  • От 172.16.0.0 до 172.31.255.255 с маской 255.240.0.0 или /12
  • От 192.168.0.0 до 192.168.255.255 с маской 255.255.0.0 или /16
  • От 100.64.0.0 до 100.127.255.255 с маской подсети 255.192.0.0 или /10; данная подсеть рекомендована согласно rfc6598 для использования в качестве адресов для CGN (Carrier-Grade NAT)

Это зарезервированные IP-адреса. Такие адреса предназначены для применения в закрытых локальных сетях, распределение таких адресов никем не контролируется.
Напрямую доступ к сети Интернет, используя частный IP-адрес, невозможен. В этом случае связь с Интернетом осуществляется через NAT (трансляция сетевых адресов заменяет частный IP-адрес на публичный). Частные IP-адреса в пределах одной локальной сети должны быть уникальны и не могут повторяться.

NOTE: Важно! Если ваш интернет-провайдер предоставляет вам IP-адрес из вышеприведенного списка, то вы не сможете настроить подключение из Интернета к компьютерам и серверам вашей домашней сети (кроме VPN-сервера SSTP и файлового облачного сервера WebDAV), т.к. частные IP-адреса не маршрутизируются (не видны) в сети Интернет. При необходимости доступа к компьютерам вашей домашней сети из Интернета нужно обратиться к интернет-провайдеру для получения публичного «белого» IP-адреса.
Но тем не менее, с «серым» IP-адресом вы можете настроить удаленный доступ к веб-конфигуратору интернет-центра и ресурсам (сервисам) домашней сети или интернет-центра через наш сервис доменных имен KeenDNS. Например, доступ к устройству с веб-интерфейсом — сетевому накопителю, веб-камере, серверу, или к интерфейсу торрент-клиента Transmission, работающего в интернет-центре.

Что касается безопасности в Интернете, то использование «серого» IP-адреса более безопасно, чем использование «белого» IP-адреса, т.к. «серые» IP-адреса не видны напрямую в Интернете и находятся за NAT, который также обеспечивает безопасность домашней сети. При использовании «белого» IP-адреса необходимы меры для обеспечения дополнительной безопасности компьютера или сервера (например, использование межсетевого экрана для блокирования портов и протоколов, которые не используются сервером; применение сегмента сети DMZ для отделения общедоступных сервисов от локальной сети и т.п.).

Полный список описания сетей для протокола IPv4 представлен в документе RFC6890.

Как проверить, является ли мой IP-адрес «белым»?

Чтобы самостоятельно проверить, является ли ваш IP-адрес публичным «белым», можно воспользоваться сервисом myip.ru, myip.com (или любым подобным). Вам будет показан IP-адрес, под которым был произведен запрос на сайт; если он совпадает с IP-адресом, выданным интернет-провайдером на WAN-интерфейсе интернет-центра, значит, вам выдан публичный «белый» IP-адрес. Например:

IP-адрес на WAN-интерфейсе интернет-центра можно посмотреть в его веб-конфигураторе. На стартовой странице «Системный монитор» в разделе «Интернет» нажмите «Подробнее о соединении». В поле «IP-адрес» вы увидите адрес интернет-центра, используемый для выхода в Интернет.

В нашем примере IP-адреса совпадают и этот адрес не входит в диапазон частных подсетей, значит внешний WAN IP-адрес интернет-центра является публичным «белым».

Если вы увидите, что IP-адреса не совпадают, и внешний WAN IP-адрес Keenetic в веб-конфигураторе принадлежит к одному из диапазонов частной сети, значит роутер имеет «серый» IP-адрес.

Пользователи, считающие этот материал полезным: 405 из 419

Маскировка

NAT похож на секретаря большого офиса. Скажем, вы оставили инструкции секретарю, чтобы не перенаправлять вам никакие звонки, до тех пор, пока вы не попросите об этом. Позже, вы звоните потенциальному клиенту и оставляете сообщение для него, чтобы он перезвонил вам. Вы говорите секретарю, что ожидаете звонок от этого клиента и звонок нужно перевести. Клиент звонит на основной номер вашего офиса, являющийся единственным номером, который он знает. Когда клиент говорит секретарю, кого он ищет, секретарь проверяет свой список сотрудников, чтобы найти соответствие имени и его номера расширения. Секретарь знает, что вы запрашивали этот звонок, поэтому он переводит звонившего на ваш телефон.

Разработанная технология Cisco, Трансляция Сетевых Адресов используется устройством (межсетевым экраном, маршрутизатором или компьютером), которое находиться между внутренней сетью и остальной частью мира. NAT имеет много форм и может работать несколькими способами:

Статический NAT — Отображение незарегистрированного IP адреса на зарегистрированный IP адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.

В статическом NAT, компьютер с адресом 192.168.32.10 будет всегда транслироваться в адрес 213.18.123.110:

Динамический NAT — Отображает незарегистрированный IP адрес на зарегистрированный адрес от группы зарегистрированных IP адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.

В динамическом NAT, компьютер с адресом 192.168.32.10 транслируется в первый доступномый адрес в диапазоне от 213.18.123.100 до 213.18.123.150

Читать еще:  Как смотреть видео на youtube без задержек

Перегрузка(Overload) — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP адрес, используя различные порты. Известен также как PAT (Port Address Translation)

При перегрузке, каждый компьютер в частной сети транслируется в тот же самый адрес (213.18.123.100), но с различным номером порта

Перекрытие — Когда IP адреса, используемые в вашей внутренней сети, также используются в другой сети, маршрутизатор должен держать таблицу поиска этих адресов так, чтобы он мог перехватить и заменить их зарегистрированными уникальными IP адресами. Важно отметить, что NAT маршрутизатор должен транслировать «внутренние» адреса в зарегистрированные уникальные адреса, а также должен транслировать «внешние» зарегистрированные адреса в адреса, которые являются уникальными для частной сети. Это может быть сделано либо через статический NAT, либо вы можете использовать DNS и реализовать динамический NAT.

Пример:
Внутренний диапазон IP (237.16.32.xx) является также зарегистрированный диапазоном, используемым другой сетью. Поэтому, маршрутизатор транслирует адреса, чтобы избежать потенциального конфликта . Он также будет транслировать зарегистрированные глобальные IP адреса обратно к незарегистрированным локальным адресам , когда пакеты посылаются во внутреннюю сеть

Внутренняя сеть – это обычно LAN (Локальная сеть), чаще всего, называемая, тупиковым доменом. Тупиковый домен это LAN, которая использует внутренние IP адреса. Большинство сетевого трафика в таком домене является локальным, он не покидает пределов внутренней сети. Домен может включать как зарегистрированные так и незарегистрированные IP адреса. Конечно, любые компьютеры, которые используют незарегистрированные IP адреса, должны использовать NAT, чтобы общаться с остальной частью мира.

NAT может быть сконфигурирован различными способами. В примере ниже NAT-маршрутизатор конфигурирован так, чтобы транслировать незарегистрированные IP адреса (локальные внутренние адреса), которые постоянно находятся в приватной (внутренней) сети в зарегистрированные IP адреса. Это случается всякий раз, когда устройство на внутренней части с незарегистрированным адресом должно общаться с внешней сетью.

    ISP назначает диапазон адресов IP вашей компании. Назначенный блок адресов — это уникальные зарегистрированные IP адреса и называются внутренними глобальными адресами (inside global). Незарегистрированные частные IP адреса разбиты на две группы, маленькая группа, внешние локальные адреса (outside local), будет использоваться NAT маршрутизаторами и основная, которая будет использоваться в домене, известна как внутренние локальные адреса (inside local). Внешние локальные адреса используются, чтобы транслировать уникальные IP адреса, известные как внешние глобальные адреса(outside global), устройств на общественной сети.
    NAT транслирует только тот трафик, который проходит между внутренней и внешней сетью и определен для трансляции. Любой трафик, не соответствующий критериям трансляции или тот, который проходит между другими интерфейсами на маршрутизаторе, никогда не транслируется, и пересылается как есть.

IP адреса имеют различные обозначения, основанные на том, находятся ли они на частной сети (домен) или на общественной сети (Интернет) и является ли трафик входящим или исходящим:

Примеры

Следующий раздел рассматривает эти термины более детально при помощи данной топологии и примеров.

Определение внутренних локальных и внутренних глобальных адресов

При такой конфигурации, когда маршрутизатор NAT получает пакет на внутренний интерфейс с исходным адресом 10.10.10.1, исходный адрес транслируется в 171.16.68.5. Это также означает, что когда маршрутизатор NAT получает пакет на внешний интерфейс с адресом пункта назначения 171.16.68.5, он транслируется в 10.10.10.1

Когда внутреннее устройство взаимодействует с внешним устройством, адреса определяются следующим образом:

В чем отличие «белого» и «серого» IP-адреса?

Все IP-адреса протокола IPv4 делятся на публичные/глобальные/внешние (их называют «белые») — они используются в сети Интернет, и частные/локальные/внутренние (их называют «серые») — используются в локальной сети.

Публичные «белые» IP-адреса

В сети Интернет используются именно публичные глобальные адреса. Публичным IP-адресом называется IP-адрес, который используется для выхода в Интернет. Публичные (глобальные) IP-адреса маршрутизируются в Интернете, в отличие от частных адресов.
Наличие публичного IP-адреса на вашем роутере или компьютере позволит организовать собственный сервер (VPN, FTP, WEB и др.), удаленный доступ к компьютеру, камерам видеонаблюдения, и получить к ним доступ из любой точки глобальной сети.
С «белым» IP-адресом можно организовать любой собственный домашний сервер для публикации его в сети Интернет: веб (HTTP), VPN (L2TP/IPSec, PPTP, IPSec, OpenVPN, WireGuard), медиа (аудио/видео), FTP, сетевой накопитель NAS, игровой сервер и т.д.

TIP: Примечание: Все публичные серверы и сайты в сети Интернет используют «белые» IP-адреса (например, сайт google.com — 172.217.22.14, DNS-сервер Google — 8.8.8.8, сайт yandex.ru — 213.180.204.11, DNS-сервер Яндекс.DNS — 77.88.8.8).
Все публичные IP-адреса в сети Интернет уникальны и не могут повторяться.

Для домашних пользователей провайдер может предоставлять всего один или несколько публичных IP-адресов (как правило, это платная услуга).

Маршрутизатор (роутер, интернет-центр) позволяет устройствам домашней сети использовать для выхода в Интернет один публичный IP-адрес, установленный на WAN-интерфейсе устройства, через который осуществляется подключение к Интернету. Именно этот внешний публичный IP-адрес может быть использован для доступа из Интернета к компьютеру домашней сети, но для этого необходимо использовать проброс портов на роутере (пример приведен в статье: «Переадресация портов»).

В связи с тем что «белых» IP-адресов существует ограниченное количество, а рост числа пользователей Интернета увеличивается, интернет-провайдеры всё чаще используют частные («серые») IP-адреса, назначаемые абонентам.

Частные «серые» IP-адреса

Частные внутренние адреса не маршрутизируются в Интернете и на них нельзя отправить трафик из Интернета, они работают только в пределах локальной сети.
К частным «серым» адресам относятся IP-адреса из следующих подсетей:

  • От 10.0.0.0 до 10.255.255.255 с маской 255.0.0.0 или /8
  • От 172.16.0.0 до 172.31.255.255 с маской 255.240.0.0 или /12
  • От 192.168.0.0 до 192.168.255.255 с маской 255.255.0.0 или /16
  • От 100.64.0.0 до 100.127.255.255 с маской подсети 255.192.0.0 или /10; данная подсеть рекомендована согласно rfc6598 для использования в качестве адресов для CGN (Carrier-Grade NAT)

Это зарезервированные IP-адреса. Такие адреса предназначены для применения в закрытых локальных сетях, распределение таких адресов никем не контролируется.
Напрямую доступ к сети Интернет, используя частный IP-адрес, невозможен. В этом случае связь с Интернетом осуществляется через NAT (трансляция сетевых адресов заменяет частный IP-адрес на публичный). Частные IP-адреса в пределах одной локальной сети должны быть уникальны и не могут повторяться.

NOTE: Важно! Если ваш интернет-провайдер предоставляет вам IP-адрес из вышеприведенного списка, то вы не сможете настроить подключение из Интернета к компьютерам и серверам вашей домашней сети (кроме VPN-сервера SSTP и файлового облачного сервера WebDAV), т.к. частные IP-адреса не маршрутизируются (не видны) в сети Интернет. При необходимости доступа к компьютерам вашей домашней сети из Интернета нужно обратиться к интернет-провайдеру для получения публичного «белого» IP-адреса.
Но тем не менее, с «серым» IP-адресом вы можете настроить удаленный доступ к веб-конфигуратору интернет-центра и ресурсам (сервисам) домашней сети или интернет-центра через наш сервис доменных имен KeenDNS. Например, доступ к устройству с веб-интерфейсом — сетевому накопителю, веб-камере, серверу, или к интерфейсу торрент-клиента Transmission, работающего в интернет-центре.

Читать еще:  Как правильно и безопасно переустановить DirectX ?

Что касается безопасности в Интернете, то использование «серого» IP-адреса более безопасно, чем использование «белого» IP-адреса, т.к. «серые» IP-адреса не видны напрямую в Интернете и находятся за NAT, который также обеспечивает безопасность домашней сети. При использовании «белого» IP-адреса необходимы меры для обеспечения дополнительной безопасности компьютера или сервера (например, использование межсетевого экрана для блокирования портов и протоколов, которые не используются сервером; применение сегмента сети DMZ для отделения общедоступных сервисов от локальной сети и т.п.).

Полный список описания сетей для протокола IPv4 представлен в документе RFC6890.

Как проверить, является ли мой IP-адрес «белым»?

Чтобы самостоятельно проверить, является ли ваш IP-адрес публичным «белым», можно воспользоваться сервисом myip.ru, myip.com (или любым подобным). Вам будет показан IP-адрес, под которым был произведен запрос на сайт; если он совпадает с IP-адресом, выданным интернет-провайдером на WAN-интерфейсе интернет-центра, значит, вам выдан публичный «белый» IP-адрес. Например:

IP-адрес на WAN-интерфейсе интернет-центра можно посмотреть в его веб-конфигураторе. На стартовой странице «Системный монитор» в разделе «Интернет» нажмите «Подробнее о соединении». В поле «IP-адрес» вы увидите адрес интернет-центра, используемый для выхода в Интернет.

В нашем примере IP-адреса совпадают и этот адрес не входит в диапазон частных подсетей, значит внешний WAN IP-адрес интернет-центра является публичным «белым».

Если вы увидите, что IP-адреса не совпадают, и внешний WAN IP-адрес Keenetic в веб-конфигураторе принадлежит к одному из диапазонов частной сети, значит роутер имеет «серый» IP-адрес.

Пользователи, считающие этот материал полезным: 405 из 419

Примеры

Следующий раздел рассматривает эти термины более детально при помощи данной топологии и примеров.

Определение внутренних локальных и внутренних глобальных адресов

При такой конфигурации, когда маршрутизатор NAT получает пакет на внутренний интерфейс с исходным адресом 10.10.10.1, исходный адрес транслируется в 171.16.68.5. Это также означает, что когда маршрутизатор NAT получает пакет на внешний интерфейс с адресом пункта назначения 171.16.68.5, он транслируется в 10.10.10.1

Когда внутреннее устройство взаимодействует с внешним устройством, адреса определяются следующим образом:

Маскировка

NAT похож на секретаря большого офиса. Скажем, вы оставили инструкции секретарю, чтобы не перенаправлять вам никакие звонки, до тех пор, пока вы не попросите об этом. Позже, вы звоните потенциальному клиенту и оставляете сообщение для него, чтобы он перезвонил вам. Вы говорите секретарю, что ожидаете звонок от этого клиента и звонок нужно перевести. Клиент звонит на основной номер вашего офиса, являющийся единственным номером, который он знает. Когда клиент говорит секретарю, кого он ищет, секретарь проверяет свой список сотрудников, чтобы найти соответствие имени и его номера расширения. Секретарь знает, что вы запрашивали этот звонок, поэтому он переводит звонившего на ваш телефон.

Разработанная технология Cisco, Трансляция Сетевых Адресов используется устройством (межсетевым экраном, маршрутизатором или компьютером), которое находиться между внутренней сетью и остальной частью мира. NAT имеет много форм и может работать несколькими способами:

Статический NAT — Отображение незарегистрированного IP адреса на зарегистрированный IP адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.

В статическом NAT, компьютер с адресом 192.168.32.10 будет всегда транслироваться в адрес 213.18.123.110:

Динамический NAT — Отображает незарегистрированный IP адрес на зарегистрированный адрес от группы зарегистрированных IP адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.

В динамическом NAT, компьютер с адресом 192.168.32.10 транслируется в первый доступномый адрес в диапазоне от 213.18.123.100 до 213.18.123.150

Перегрузка(Overload) — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP адрес, используя различные порты. Известен также как PAT (Port Address Translation)

При перегрузке, каждый компьютер в частной сети транслируется в тот же самый адрес (213.18.123.100), но с различным номером порта

Перекрытие — Когда IP адреса, используемые в вашей внутренней сети, также используются в другой сети, маршрутизатор должен держать таблицу поиска этих адресов так, чтобы он мог перехватить и заменить их зарегистрированными уникальными IP адресами. Важно отметить, что NAT маршрутизатор должен транслировать «внутренние» адреса в зарегистрированные уникальные адреса, а также должен транслировать «внешние» зарегистрированные адреса в адреса, которые являются уникальными для частной сети. Это может быть сделано либо через статический NAT, либо вы можете использовать DNS и реализовать динамический NAT.

Пример:
Внутренний диапазон IP (237.16.32.xx) является также зарегистрированный диапазоном, используемым другой сетью. Поэтому, маршрутизатор транслирует адреса, чтобы избежать потенциального конфликта . Он также будет транслировать зарегистрированные глобальные IP адреса обратно к незарегистрированным локальным адресам , когда пакеты посылаются во внутреннюю сеть

Внутренняя сеть – это обычно LAN (Локальная сеть), чаще всего, называемая, тупиковым доменом. Тупиковый домен это LAN, которая использует внутренние IP адреса. Большинство сетевого трафика в таком домене является локальным, он не покидает пределов внутренней сети. Домен может включать как зарегистрированные так и незарегистрированные IP адреса. Конечно, любые компьютеры, которые используют незарегистрированные IP адреса, должны использовать NAT, чтобы общаться с остальной частью мира.

NAT может быть сконфигурирован различными способами. В примере ниже NAT-маршрутизатор конфигурирован так, чтобы транслировать незарегистрированные IP адреса (локальные внутренние адреса), которые постоянно находятся в приватной (внутренней) сети в зарегистрированные IP адреса. Это случается всякий раз, когда устройство на внутренней части с незарегистрированным адресом должно общаться с внешней сетью.

    ISP назначает диапазон адресов IP вашей компании. Назначенный блок адресов — это уникальные зарегистрированные IP адреса и называются внутренними глобальными адресами (inside global). Незарегистрированные частные IP адреса разбиты на две группы, маленькая группа, внешние локальные адреса (outside local), будет использоваться NAT маршрутизаторами и основная, которая будет использоваться в домене, известна как внутренние локальные адреса (inside local). Внешние локальные адреса используются, чтобы транслировать уникальные IP адреса, известные как внешние глобальные адреса(outside global), устройств на общественной сети.
    NAT транслирует только тот трафик, который проходит между внутренней и внешней сетью и определен для трансляции. Любой трафик, не соответствующий критериям трансляции или тот, который проходит между другими интерфейсами на маршрутизаторе, никогда не транслируется, и пересылается как есть.

IP адреса имеют различные обозначения, основанные на том, находятся ли они на частной сети (домен) или на общественной сети (Интернет) и является ли трафик входящим или исходящим:

Примеры

Следующий раздел рассматривает эти термины более детально при помощи данной топологии и примеров.

Определение внутренних локальных и внутренних глобальных адресов

При такой конфигурации, когда маршрутизатор NAT получает пакет на внутренний интерфейс с исходным адресом 10.10.10.1, исходный адрес транслируется в 171.16.68.5. Это также означает, что когда маршрутизатор NAT получает пакет на внешний интерфейс с адресом пункта назначения 171.16.68.5, он транслируется в 10.10.10.1

Когда внутреннее устройство взаимодействует с внешним устройством, адреса определяются следующим образом:

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector