Cisco asa nat

Трансляция сетевых адресов

⇐ Предыдущая234567891011Следующая ⇒

NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов

Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством — маршрутизатором, сервером доступа, межсетевым экраном. Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника (англ. source) при прохождении пакета в одну сторону и обратной замене адреса назначения (англ. destination) в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения.

Принимая пакет от локального компьютера, роутер смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет. Но ведь обратным адресом в пакете указан локальный адрес компьютера, который из интернета будет недоступен. Поэтому роутер «на лету» производит трансляцию IP-адреса и порта и запоминает эту трансляцию у себя во временной таблице.

Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, роутер сотрет у себя в таблице запись о n-ом порте за сроком давности.

Помимо source NAT (предоставления пользователям локальной сети с внутренними адресами доступа к сети Интернет) часто применяется также destination NAT, когда обращения извне транслируются межсетевым экраном на компьютер пользователя в локальной сети, имеющий внутренний адрес и потому недоступный извне сети непосредственно (без NAT).

Существует 3 базовых концепции трансляции адресов: статическая (Static Network Address Translation), динамическая (Dynamic Address Translation), маскарадная (NAPT, NAT Overload, PAT).

Статический NAT — Отображение незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.

Динамический NAT — Отображает незарегистрированный IP-адрес на зарегистрированный адрес от группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.

Перегруженный NAT (NAPT, NAT Overload, PAT, маскарадинг) — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. Известен также как PAT (Port Address Translation). При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта

15. Автоматическое назначение адресов

· DHCP (dynamic host configuration protocol) – протокол удаленной настройки сетевых узлов

· Обеспечивает удалённое автоматизированное присвоение узлам сети IP-адресов и других настроек

· Режимы работы

o Ручной – жесткое соответствие MAC и IP адресов, задаётся вручную на сервере

o Автоматический – жесткое соответствие MAC и IP адресов, задаётся автоматически сервером, бессрочно

o Динамический – адреса выделяются автоматически на ограниченное время (lease duration, срок аренды)

DHСP – принцип работы

1. DHCPDISCOVER– поиск доступных DHCP серверов

2. DHCPOFFER – сервер предлагает клиенту адрес

3. DHCPREQUEST – выбор клиентом одной конфигурации из предложенных, извещение серверов

4. DHCPACK – подтверждение сервером выбранной конфигурации

 

16. IP- и MAC-адреса. Разрешение адресов

IP-адрес

IP-адрес (ай-пи адрес, сокращение от англ. Internet Protocol Address) — сетевой

адрес узла в компьютерной сети, построенной по протоколу IP.

IP-адрес состоит из двух частей: номера сети и номера узла.

IP-адрес называют статическим (постоянным, неизменяемым), если он

прописывается в настройках устройства пользователем, либо если назначается

автоматически при подключении устройства к сети, но используется в течение

неограниченного промежутка времени и не может быть присвоен другому устройству.

IP-адрес называют динамическим (непостоянным, изменяемым), если он

назначается автоматически при подключении устройства к сети и используется в

течение ограниченного промежутка времени, как правило, до завершения сеанса

подключения.

Динамические IP-адреса также бывают виртуальными, обслуживание

виртуального IP-адреса производится по технологии NAT: пользователям

предоставляется возможность беспрепятственно получать информацию из сети

Интернет, при этом теряется всякая возможность иного доступа к компьютеру из сети,

так например, компьютер с таким ip не может использоваться в качестве веб-сервера.

MAC-адрес

На уровне MAC, который обеспечивает доступ к среде и передачу кадра, для идентификации сетевых интерфейсов узлов сети используются регламентированные стандартом IEEE 802.3 уникальные 6-байтовые адреса, называемые МАС-адресами.

В широковещательных сетях (таких, как сети на основе Ethernet) MAC-адрес

позволяет уникально идентифицировать каждый узел сети и доставлять данные только

этому узлу. Таким образом, MAC-адреса формируют основу сетей на канальном

уровне, которую используют протоколы более высокого (сетевого) уровня. Для

преобразования MAC-адресов в адреса сетевого уровня и обратно применяются

специальные протоколы (например, ARP и RARP в сетях TCP/IP).

¤ ARP (Address resolution protocol) – определение локального (MAC) адреса по IP

¤ RARP (Reverse address resolution protocol) – определение IP-адреса по локальному (MAC)

Принцип работы

1. Узел, которому нужно выполнить отображение IP-адреса на локальный адрес, формирует ARP запрос, вкладывает его в кадр протокола канального уровня, указывая в нем известный IP-адрес, и рассылает запрос широковещательно.

2. Все узлы локальной сети получают ARP запрос и сравнивают указанный там IP-адрес с собственным.

3. В случае их совпадения узел формирует ARP-ответ, в котором указывает свой IP-адрес и свой локальный адрес и отправляет его уже направленно, так как в ARP запросе отправитель указывает свой локальный адрес.

Преобразование адресов выполняется путем поиска в таблице. Эта таблица, называемая ARP-таблицей, хранится в памяти и содержит строки для каждого узла сети. В двух столбцах содержатся IP- и Ethernet-адреса. Если требуется преобразовать IP-адрес в Ethernet-адрес, то ищется запись с соответствующим IP-адресом. Ниже приведен пример упрощенной ARP-таблицы.

 

Семестр

17. Маршрутизация: основные понятия и принципы

Маршрутизатор (router) – сетевое устройство, предназначенное для объединения сетей (в т.ч. различных) в составные сети

Маршрутизатор – это компьютер, выполняющий следующие функции:


⇐ Предыдущая234567891011Следующая ⇒


Дата добавления: 2016-03-28; просмотров: 340 | Нарушение авторских прав


Похожая информация:


Поиск на сайте:


Компьютер подключается к глобальной сети несколькими способами. Это может быть прямое подключение, в этом случае имеется внешний IP адрес (динамический или статический), который виден из интернета. Или же подключение может осуществляться через маршрутизатор. При таком подключении внешний адрес имеет только роутер, а все подключенные к нему пользователи являются клиентами другой сети. Роутер берет на себя распределение входящего и исходящего трафика между клиентами и интернетом. Возникает ряд проблем при подключении через маршрутизатор:

  • перестают работать торрент-клиенты;
  • нет возможности подключиться к игровому онлайн серверу;
  • нет обращений к серверу внутренней сети из вне ни по одному протоколу и ни на один порт.

Решить проблему помогает правильная настройка маршрутизатора, а именно сервиса NAT на нем. Для того, чтобы понять, как настроить NAT на роутере, необходимом узнать, что такое трансляция адресов и для чего это используется.

NAT: общие определения

NAT (network address translation) или трансляция сетевых адресов — это процесс перевода внутренних или локальных адресов во внешние. NAT используется абсолютно всеми маршрутизаторами независимо от их конфигурации, назначения и стоимости. По умолчанию роутер запрещает напрямую обращаться к любому устройству, находящимися внутри сети. Он блокирует доступ на любые порты для входящих соединений поступающие из интернета.

Но NAT и Firewall это суть разные понятия. Firewall просто запрещает доступ к ресурсу по определенному TCP или UDP порту, может устанавливаться на локальной машине для ограничения доступа только к ней или же на сервере для фильтрации трафика по всей локальной сети. Перед NAT задача стоит более развернуто. Сервис запрещает или разрешает доступ внутри сети по конкретному IP адресу или диапазону адресов. Таким образом клиент, который обращается к ресурсу не видит действительного IP адреса ресурса. NAT переводит внутренний IP в адрес, который будет виден из интернета.

Чтобы проверить находится ли компьютер за NAT или транслирует в интернет реальный адрес можно следующим образом:

  • в Windows нужно нажать «Пуск — Выполнить — cmd» и прописать ipconfig и нажать «Ввод»;
  • в Linux и MacOS в терминале выполняется ifconfig.

Вывод команды показывает следующие данные:

  • IP — реальный, действительный адрес компьютера;
  • Subnet mask — маска подсети;
  • Gateway — адрес шлюза маршрутизатора.

Как теперь разобрать является ли адрес локальным или же напрямую «смотрит» в интернет. Согласно спецификации, существует четыре диапазона адресов, которые ни при каких обстоятельствах не используются в интернете, а являются исключительно локальными:

  1. 0.0.0 — 10.255.255.255
  2. Х.0.0 — 172.Х.255.255, где Х в диапазоне от 16 до 31.
  3. 168.0.0 — 192.168.255.255
  4. 254.0.0 — 169.254.255.255

В том случае, когда адрес машины попадает в один из этих диапазонов, следует считать, что компьютер находится в локальной сети или «за» NAT. Можно также дополнительно использовать специальные службы, которых есть множество в интернете для определения реального IP адреса. Теперь стало понятнее находится ли компьютер за NAT в роутере что это за сервис, и за то он отвечает.

Проблемы NAT и возможности решения

С момента появления NAT сразу же стали проявляться проблемы. Невозможно было получить доступ по отдельному протоколу или в работе отдельных программ. Данные проблемы так и не удалось полностью устранить, получилось только найти некоторые варианты решения только с использованием трансляции адресов, но ни один вариант решения не является правильным с точки зрения спецификаций администрирования.

В качестве примера можно рассмотреть протокол передачи файлов (FTP), который был саммым распространенным к появлению NAT. Для файловых серверов (FTP) ключевым является реальный IP адрес компьютера, который посылает запрос на доступ. Здесь преобразование адресов не работает, потому что запрос на сервер отправляется с IP, невидимого из интернета. Нет возможности создать сессию клиент-сервер для загрузки файлов. Обойти проблему помогает использование FTP в пассивном режиме.

В этом режиме используется другой набор команд, и работа ведется через специальный прокси-сервер, который дополнительно открывает другой порт для соединения и передает его программе клиенту. Проблемой такого решения является то, что необходимо использовать сторонние FTP клиенты.

Полностью избавиться от проблемы доступа получилось только с появлением SOCKS (Socket Secure) протокола. Этот протокол позволяет обмениваться данными через прокси-сервер в «прозрачном» режиме. То есть сервер не будет знать, что происходит подмена адресов с локальных на глобальные и наоборот. Изобретение SOCKS позволило избавиться от ряда проблем и упростить работу администрирования сети:

  • создает на сервере службу, слушающую входящие запросы, что позволяет обслуживать многосвязные протоколы наподобие FTP;
  • нет необходимости использовать и обслуживать службу DNS внутри локальной сети.

    Теперь такая задача возложена на кэширующие прокси;

  • дополнительные способы авторизации позволяют с большей эффективностью проводить отслеживание и фильтрацию пакетов. Средствами NAT можно фильтровать запросы только по адресам.

Использование NAT и SOCKS не всегда оправдано с точки зрения сетевого администрирования. Иногда более целесообразным является использование специализированных прокси, которых существуете множество для любого протокола передачи данных.

Настройка NAT на компьютере

Все современные операционные системы имеют уже встроенный NAT. В Windows эта функция реализована с 1999 года с появлением Windows XP. Управление NAT осуществляется непосредственно через свойства сетевого подключения. Чтобы настроить службу нужно сделать следующее:

  • Через меню «Пуск» запустить программу «Панель управления».
  • Найти иконку «Сетевые подключения» и запустить ее.
  • В новом окне кликнуть правой кнопкой мыши на активном сетевом подключении и выбрать в выпадающем списке «Свойства».
  • Перейти на вкладку «Дополнительно».
  • Установить галочки напротив «Разрешить другим пользователям сети использовать подключение к интернету данного компьютера».
  • Подтвердить изменение кнопкой «Ок».

Если при выведется сообщение что невозможно запустить службу общего доступа, нужно убедиться, что запущена служба DHCP-клиент. При необходимости можно установить запуск службы принудительно, а не по запросу автоматически.

Настройка NAT на маршрутизаторе

Что такое NAT в роутере, целесообразность его использования и проблемы, которые он может создать было описано выше, теперь можно перейти непосредственно к реализации задачи. Настройка службы на роутере зависит от его модели, используемой прошивки и других параметров. Но достаточно понять механизм, чтобы не возникало сложностей и вопросов по настройке отдельного устройства. Для настройки выполняются следующие действия (в качестве примера настройки выполняются на роутере Zyxel на прошивке v1):

  • В браузере зайти на страницу настроек роутера.
  • Перейти в меню «Network — Routing» на вкладку «Policy routing».

Открывшаяся страница и будет той, которая управляет политиками доступа и маршрутизацией. Здесь необходимо включить службу, активировав переключатель в положение «Enable». Сами настройки выполняются в группе «Criteria». Выбираются параметры NAT по нескольким категориям фильтров:

  • User — трансляция по определенному пользователю.
  • Incoming — по сетевому интерфейсу.
  • Source Address — подмена адреса по адресу источника.
  • Destination Address — по адресу конечного получателя
  • Service — по конкретному порту службы.

В качестве объекта перенаправления можно выбрать следующие варианты:

  • Auto — автоматический выбор объекта назначения. По умолчанию установлен Wan интерфейс.
  • Gateway — шлюз, указанный заранее в настройках.
  • VPN Tunel — соответственно через VPN туннель.
  • Trunk — диапазон интерфейсов, настроенных на совместную работу.
  • Interface — конкретный интерфейс по выбору.

В каждом отдельно взятом роутере настройки и название пунктов меню может отличаться, но принцип построения NAT остается неизменным.

На межсетевых экранах Cisco ASA трансляцию адресов (NAT) можно настроить двумя способами:

  1. Используя графическое приложение для управления под названием ASDM.
  2. Используя старую добрую командную строку (CLI).

Static NAT и Dynamic NAT

Сначала приведу пример того, как это можно настроить через ASDM. На скриншотах будет представлен пример статического проброса порта из внешней сети со статического IP адреса на внутренний IP адрес сервера, в то же время будет организована динамическая обратная трансляция IP адреса сервера в сеть Интернет по любому порту через внешний статический IP адрес.

!

Ниже приведен пример трансляции порта 3389. Это всего лишь пример. Никогда не транслируйте порт, используемый для работы RDP, без крайней на то необходимости, т.к. злоумышленник без труда методом подбора пароля сможет получить доступ к хосту или серверу.

Конфигурация политик NAT:

Настройка правила в списке доступа для интерфейса, смотрящего наружу:

То же самое в командной строке будет выглядеть так, как представлено ниже:

global (outside) 15 100.200.100.100 nat (inside) 15 172.16.1.1 255.255.255.255 static (inside,outside) tcp 100.200.100.100 3389 172.16.1.1 3389 netmask 255.255.255.255

Число 15 означает порядковый номер.

Static Policy NAT

Используется для более гибкой настройки NAT трансляций. Основное отличие Static Policy NAT от Static NAT в возможности указать не только адрес источника Source, но и адрес назначения Destination. Приведу пример того, как, используя Static Policy NAT, создать правило для двух хостов, которые при создании соединения до адреса 5.5.5.5:80 попадут на соответствующий для каждого них веб-сервер.

Схема:

Решение:

Dynamic Policy NAT

Используется для динамической трансляции адресов в зависимости от места назначения. Например, для реализации NAT трансляций в сеть 1 через один IP адрес, в сеть 2 через другой:

Трансляция NAT, определенная в RFC 3022, позволяет узлу, который не имеет действительного, зарегистрированного глобально уникального IP-адреса, осуществлять связь с другими узлами через Интернет. Эти узлы могут использовать частные адреса или адреса, назначенные другими организациями. В любом из этих случаев трансляция NAT позволяет продолжать использование этих адресов, не готовых для Интернета, и осуществлять связь с узлами в Интернете.
Эта цель достигается трансляцией NAT путем использования действительных зарегистрированных IP — адресов для представления данного частного адреса всем остальным узлам Интернета. Функции NAT заменяет частные IP-адреса открытыми зарегистрированными IP-адерсами в каждом пакете протокола IP, как показано на рис. 16.2.

Обратите внимание на то, что, выполняя трансляцию NAT, маршрутизатор изменяет IP-адрес отправителя в тот момент, когда пакет покидает организацию.
Маршрутизатор, выполняющий NAT, также изменяет адрес получателя каждого пакета, который возвращается назад в частную сеть (на рис. 16.2. это зарегистрированная сеть 200.1.1.0). Функция NAT, сконфигурированная на маршрутизаторе с надписью NAT, выполняет трансляцию адресов. Программное обеспечение Cisco IOS поддерживает несколько разновидностей трансляции NAT. Далее в настоящей главе описываются принципы, лежащие в основе этих разновидностей трансляции. В следующих разделах описывается конфигурирование, связанное с каждой опцией.

Существует 3 базовых концепции трансляции адресов: статическая (Static Network Address Translation), динамическая (Dynamic Address Translation), маскарадная (NAPT, NAT Overload, PAT).

Статический NAT — Отображение незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.

Динамический NAT — Отображает незарегистрированный IP-адрес на зарегистрированный адрес от группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.

Перегруженный NAT (NAPT, NAT Overload, PAT, маскарадинг) — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. Известен также как PAT (Port Address Translation). При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.

Ретрансляция адресов(NAT) должна уметь:

Ретранслировать много IP-адресов определенной подсети в один IP адрес (полезно, для того чтобы спрятать локальную сеть с множеством IP-адресов в один на выходе в интернет) обеспечивает не достижимость локальных внутренних сетей для внешних соединений.

переброс (перенаправление) через ретрансляционный IP-адрес соединение во внутреннюю сетку по порту или целиком

Ретрансляция адресов(NAT)

Как работает NAT:

Когда клиент из внутренней сети посылает запрос в Internet, создаются IP пакеты, которые шлются к месту назначения. Эти пакеты содержат всю информацию об обратном адресе, необходимую для получения ответа. NAT заинтересован этими частями информации:

Исходный адрес IP (например, 192.168.1.35)

Исходный TCP или UDP порт (например, 2132)

Когда пакеты проходят через NAT, они изменяются таким образом, чтобы они, казалось, исходили от NAT шлюза непосредственно. NAT будет делать запись изменений в таблице состояний так, чтобы это могло,

a), чтобы полностью вернуть изменения на возвращающихся пакетах и

b) гарантировать, что вернувшиеся пакеты пройдут систему сетевой защиты и не будут блокированы.

Например, могут произойти следующие изменения:

Исходный IP: будет заменен внешним адресом шлюза (например, 24.5.0.5)

Исходный порт: будет заменен беспорядочно выбранным, неиспользованным портом на шлюзе (например, 53136)

Ни внутренняя машина, ни главный компьютер Internet не знают об этих шагах трансляции. Для внутренней машины NAT система — просто шлюз Internet. Для ресурса, расположенного в Internet пакеты прибывают непосредственно от NAT системы; он не догадывается о существовании клиентской машины. Когда ресурс отвечает на запрос внутренней машины он будет обращаться к внешнему IP адресу NAT шлюза (24.5.0.5) и порту (53136). NAT шлюз будет искать соответствующую запись в таблице ,
чтобы определить, соответствуют ли пакеты ответа уже установленному подключению.

Уникальное соответствие будет найдено на основании комбинации IP/порта, которая говорит PF, что пакеты принадлежат подключению, инициализированному внутренней машиной 192.168.1.35. PF будет тогда делать обратные изменения для приходящих пакетов и отправлять пакеты внутренней машине.

22) Основы безопасности сетей. Списки доступа.

Список доступа

Список доступа (access list) — это список условий для управления доступом. Списки управляют доступом к или из сетевого сегмента. Они способны фильтровать пакеты и формировать политики безопасности. При согласованной комбинации списков доступа сетевой администратор получает мощное средство реализации практически любой политики, которую можно вообразить.

Существует несколько важных правил, используемых во время сравнения пакета со списком доступа:

• Сравнение выполняется последовательно со всеми строками списка, т.е. начинается со строки 1, затем пакет сравнивается со строкой 2, затем со строкой 3 и т.д.

• Сравнение выполняется до первого совпадения. Если пакет совпадает с условием в одной из строк списка доступа, над ним выполняется указанное в строке действие, а дальнейшее сравнение

прекращается.

• Существует неявное условие "deny" в конце каждого списка доступа — если пакет не совпал со всеми предыдущими строками, этот пакет отбрасывается.


⇐ Предыдущая234567891011


Дата публикования: 2015-03-29; Прочитано: 288 | Нарушение авторского права страницы



studopedia.org — Студопедия.Орг — 2014-2018 год.(0.008 с)…

Добавить комментарий

Закрыть меню