Лекция: Принципы трансляции сетевых адресов

Трансляция NAT, определенная в RFC 3022, позволяет узлу, который не имеет действительного, зарегистрированного глобально уникального IP-адреса, осуществлять связь с другими узлами через Интернет. Эти узлы могут использовать частные адреса или адреса, назначенные другими организациями. В любом из этих случаев трансляция NAT позволяет продолжать использование этих адресов, не готовых для Интернета, и осуществлять связь с узлами в Интернете.
Эта цель достигается трансляцией NAT путем использования действительных зарегистрированных IP — адресов для представления данного частного адреса всем остальным узлам Интернета. Функции NAT заменяет частные IP-адреса открытыми зарегистрированными IP-адерсами в каждом пакете протокола IP, как показано на рис. 16.2.

Обратите внимание на то, что, выполняя трансляцию NAT, маршрутизатор изменяет IP-адрес отправителя в тот момент, когда пакет покидает организацию.
Маршрутизатор, выполняющий NAT, также изменяет адрес получателя каждого пакета, который возвращается назад в частную сеть (на рис. 16.2. это зарегистрированная сеть 200.1.1.0). Функция NAT, сконфигурированная на маршрутизаторе с надписью NAT, выполняет трансляцию адресов. Программное обеспечение Cisco IOS поддерживает несколько разновидностей трансляции NAT. Далее в настоящей главе описываются принципы, лежащие в основе этих разновидностей трансляции. В следующих разделах описывается конфигурирование, связанное с каждой опцией.

 

Существует 3 базовых концепции трансляции адресов: статическая (Static Network Address Translation), динамическая (Dynamic Address Translation), маскарадная (NAPT, NAT Overload, PAT).

Статический NAT — Отображение незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.

Динамический NAT — Отображает незарегистрированный IP-адрес на зарегистрированный адрес от группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.

Перегруженный NAT (NAPT, NAT Overload, PAT, маскарадинг) — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. Известен также как PAT (Port Address Translation). При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.

 

Ретрансляция адресов(NAT) должна уметь:

Ретранслировать много IP-адресов определенной подсети в один IP адрес (полезно, для того чтобы спрятать локальную сеть с множеством IP-адресов в один на выходе в интернет) обеспечивает не достижимость локальных внутренних сетей для внешних соединений.

переброс (перенаправление) через ретрансляционный IP-адрес соединение во внутреннюю сетку по порту или целиком

Ретрансляция адресов(NAT)

Как работает NAT:

Когда клиент из внутренней сети посылает запрос в Internet, создаются IP пакеты, которые шлются к месту назначения. Эти пакеты содержат всю информацию об обратном адресе, необходимую для получения ответа. NAT заинтересован этими частями информации:

Исходный адрес IP (например, 192.168.1.35)

Исходный TCP или UDP порт (например, 2132)

Когда пакеты проходят через NAT, они изменяются таким образом, чтобы они, казалось, исходили от NAT шлюза непосредственно. NAT будет делать запись изменений в таблице состояний так, чтобы это могло,

a), чтобы полностью вернуть изменения на возвращающихся пакетах и

b) гарантировать, что вернувшиеся пакеты пройдут систему сетевой защиты и не будут блокированы.

Например, могут произойти следующие изменения:

Исходный IP: будет заменен внешним адресом шлюза (например, 24.5.0.5)

Исходный порт: будет заменен беспорядочно выбранным, неиспользованным портом на шлюзе (например, 53136)

Ни внутренняя машина, ни главный компьютер Internet не знают об этих шагах трансляции. Для внутренней машины NAT система — просто шлюз Internet. Для ресурса, расположенного в Internet пакеты прибывают непосредственно от NAT системы; он не догадывается о существовании клиентской машины. Когда ресурс отвечает на запрос внутренней машины он будет обращаться к внешнему IP адресу NAT шлюза (24.5.0.5) и порту (53136). NAT шлюз будет искать соответствующую запись в таблице,
чтобы определить, соответствуют ли пакеты ответа уже установленному подключению. Уникальное соответствие будет найдено на основании комбинации IP/порта, которая говорит PF, что пакеты принадлежат подключению, инициализированному внутренней машиной 192.168.1.35. PF будет тогда делать обратные изменения для приходящих пакетов и отправлять пакеты внутренней машине.

 

22) Основы безопасности сетей. Списки доступа.

 

Список доступа

Список доступа (access list) — это список условий для управления доступом. Списки управляют доступом к или из сетевого сегмента. Они способны фильтровать пакеты и формировать политики безопасности. При согласованной комбинации списков доступа сетевой администратор получает мощное средство реализации практически любой политики, которую можно вообразить.

Существует несколько важных правил, используемых во время сравнения пакета со списком доступа:

• Сравнение выполняется последовательно со всеми строками списка, т.е. начинается со строки 1, затем пакет сравнивается со строкой 2, затем со строкой 3 и т.д.

• Сравнение выполняется до первого совпадения. Если пакет совпадает с условием в одной из строк списка доступа, над ним выполняется указанное в строке действие, а дальнейшее сравнение

прекращается.

• Существует неявное условие «deny» в конце каждого списка доступа — если пакет не совпал со всеми предыдущими строками, этот пакет отбрасывается.

еще рефераты
Еще работы по информатике