- •Список vlan
- •План подключения оборудования по портам
- •Схемы сети
- •Порты доступа (access)
- •Транковые порты (trunk)
- •Сеть управления
- •Виды acl
- •Входящий и исходящий трафик
- •Практика
- •А) Доступ на web-сервер
- •Б)Доступ на файловый сервер
- •В) Доступ на почтовый сервер
- •Е) Права пользователей из сети Other
- •Ё) Сеть управления
- •Ж) Более никаких ограничений
- •Маска и обратная маска
- •Типы nat Статический
- •Динамический
- •Перенаправление портов
- •Слабости и силости nat
- •Практика nat
- •1) Сеть управления
- •2) Хосты из сети пто
- •3)Бухгалтерия
- •6) Филиалы в Санкт-Петербурге и Кемерово
- •7) Cервера
- •Б) Файловый сервер
- •В) Почтовый сервер
- •8) Доступ по rdp к компьютерам админа и нашему
- •Безопасность
- •Физика и логика процесса межвланной маршрутизации
- •Планирование расширения
- •Настройка
- •Москва. Арбат
- •Провайдер
- •Санкт-Петербург. Васильевский остров
- •Санкт-Петербург. Озерки
- •Кемерово. Красная горка
- •Дополнительно
- •Широковещательный шторм
- •Состояния портов
- •Виды stp
- •Агрегация каналов
- •Практика
Перенаправление портов
Иначе говорят ещё проброс портов или mapping. Когда мы только начали говорить про NAT, трансляция у нас была один-в-один и все запросы, приходящие извне автоматически перенаправлялись на внутренний хост. Таким образом можно было бы выставить сервер наружу в Интернет. Но если у вас нет такой возможности — вы ограничены в белых адресах, или не хотите выставлять всем пучком портов его наружу, что делать? Вы можете указать, что все запросы, приходящие на конкретный белый адрес и конкретный порт маршрутизатора, должны быть перенаправлены на нужный порт нужного внутреннего адреса.
Router(config)#ip nat inside source static tcp 172.16.0.2 80 198.51.100.2 80 extendable
Применение данной команды означает, что TCP-запрос, пришедший из интернета на адрес 198.51.100.2 по порту 80, будет перенаправлен на внутренний адрес 172.16.0.2 на тот же 80-й порт. Разумеется, вы можете пробрасывать и UDP и делать перенаправление с одного порта на другой. Это, например, может оказаться полезным, если у вас есть два компьютера, к которым нужен доступ по RDP извне. RDP использует порт 3389. Один и тот же порт вы не можете пробросить на разные хосты (при использовании одного внешнего адреса). Поэтому вы можете сделать так:
Router(config)# ip nat inside source static tcp 172.16.6.61 3389 198.51.100.2 3389 Router(config)# ip nat inside source static tcp 172.16.6.66 3389 198.51.100.2 3398
Тогда, чтобы попасть на компьютер 172.16.6.61 вы запускаете RDP-сессию на порт 198.51.100.2:3389, а на 172.16.6.66 — 198.51.100.2:3398. Маршрутизатор сам раскидает всё, куда надо. Кстати, эта команда — частный случай самой первой: ip nat inside source static 172.16.6.66 198.51.100.2. Только в этом случае речь идёт о пробросе всего трафика, а в наших примерах — конкретных портов протокола TCP. Вот так в общих чертах фунциклирует NAT. Про его особенности, плюсы/минусы написано куча статей, но не отметить их нельзя.
Слабости и силости nat
+
— В первую очередь NAT позволяет сэкономить публичные IP-адреса. Собственно для этого он и был создан. Через один адрес, теоретически можно выпустить больше 65000 серых адресов (по количеству портов). — Во-вторых, PAT и динамический NAT является в какой-то степени файрволом, препятствуя внешним соединениям доходить до конечных компьютеров, на которых может не оказаться своего файрвола и антивируса. Дело в том, что если извне на натирующее устройство приходит пакет, который тут не ожидается или не разрешён, он просто отбрасывается. Чтобы пакет был пропущен и обработан, должны выполниться следующие условия: 1) В NAT-таблице должна быть запись для этого внешнего адреса, указанного как адрес отправителя в пакете И 2) Порт отправителя в пакете должен совпадать с портом для этого белого адреса в записи И 3) Порт назначения в пакете, совпадает с портом в записи. ИЛИ Настроен проброс портов. Но не нужно рассматривать NAT именно как файрвол — это не более, чем дополнительная его плюшка. — В-третьих, NAT скрывает от посторонних глаз внутреннюю структуру вашей сети — при трассировке маршрута извне вы не увидите ничего далее натирующего устройства.
-
Есть у NAT’а и минусы. Самые ощутимые из них, пожалуй, следующие: — Некоторые протоколы не могут работать через NAT без костылей. Например, FTP или протоколы туннелирования (несмотря на то, как просто я настроил FTP в лабораторке, в реальной жизни это может создать кучу проблем) — Другая проблема кроется в том, с одного адреса идёт много запросов на один сервер. Многие были свидетелем этого, когда заходишь на какой-нибудь Rapidshare, а он говорит, что с вашего IP уже было соединение, вы думаете, что “врёт, собака”, а это ваш сосед уже сосет. По этой же причине бывали проблемы c ICQ, когда сервера отказывали в регистрации. — Не очень актуальная сейчас проблема: нагрузка на процессор и оперативную память. Поскольку объём работы довольно велик по сравнению с простой маршрутизацией (это надо не просто глянуть заголовок IP, надо его снять, TCP-заголовок снять, в таблицу занести, новые заголовки прикрутить) в мелких конторах с этим бывают проблемы. Я сталкивался с такой ситуацией. Одно из возможных решений — вынести функцию NAT на отдельный ПК либо на специализированное устройство, например Cisco ASA. Для больших игроков, у которых маршрутизаторы ворочают по 3-4 BGP full-view, сейчас это не составляет проблем. Что ещё нужно знать? — NAT применяется в основном для обеспечения доступа в Интернет хостам с приватными адресами. Но бывает и иное применение — связь между двумя частными сетями с пересекающимися адресными пространствами. Например, ваша компания покупает себе филиал в Актюбинске. У вас адресация 10.0.0.0-10.1.255.255, а у них 10.1.1.0-10.1.10.255. Диапазоны явно пересекаются, настроить маршрутизацию никак не получится, потому что один и тот же адрес может оказаться и в Актюбинске и у вас в штаб-квартире. В таком случае на месте стыка настраивается NAT. Поскольку серых адресов у нас не мерено, можно выделить, к примеру, диапазон 10.2.1.0-10.2.10.255 и делать трансляцию один-в-один: 10.1.1.1-10.2.1.1 10.1.1.2-10.2.1.2 … 10.1.10.255-10.2.10.255 — В больших игрушках для взрослых NAT может быть реализован на отдельной плате (и часто так и есть) и без неё не заработает. А на офисных железках, напротив, есть почти всегда. — С повсеместным внедрением IPv6 необходимость в NAT’e будет сходить на нет. Уже сейчас большие заказчики начинают интересоваться функционалом NAT64 — это когда у вас выход в мир через IPv4, а внутренняя сеть уже на IPv6 — Разумеется, это лишь поверхностный взгляд на NAT и есть ещё море нюансов, не утонуть в котором вам поможет самообразование.