Во внутренней сети можно использовать реальные адреса Интернета, но такой вариант является скорее исключением, чем правилом. Обычно на организацию выделяется небольшое число реальных адресов, внутри периметра распределяются серые адреса (см. главу 3).

Для преобразования сетевых адресов применяется, в том или ином варианте, технология трансляции адресов - Network Address Translator (NAT).

NAT

Технология трансляции адресов (NAT) позволяет осуществить подключение к Интернету практически любого числа компьютеров, используя при этом всего лишь один или несколько реальных адресов глобальной сети. Фактически NAT - это IP-маршрутизатор, который способен преобразовывать (транслировать) адреса и номера портов TCP/UDP-пакетов в процессе их пересылки.

Логика работы NAT достаточно проста. При получении от локального компьютера пакета, предназначенного для внешней сети, маршрутизатор пересылает пакет, заменив в нем частный IP-адрес на реальный IP-адрес, выделенный провайдером Интернета, и TCP-порт (или UDP-порт) источника на другой, перенумерованный порт. Информация об этом преобразовании сохраняется программой. После получения ответа NAT ищет в своих записях, для какого локального запроса был выделен соответствующий порт. Если такая информация обнаружена, то NAT пересылает пакет локальному компьютеру, заменяя в пакете перенумерованный порт на исходный. Если NAT не находит у себя записи о перенумерованном порте, то пакет отбрасывается.

Таким образом, сервер NAT заменяет в пакетах адреса источника (назначения), номера портов и пересчитывает контрольную сумму пакета. Для большинства приложений такие изменения не вызывают каких-либо осложнений. Однако некоторые протоколы, например FTP, передают информацию о IP-адресах в своих данных, поэтому для корректной работы таких протоколов NAT модифицирует и сами TCP-последовательности. Так, в ОС Windows встроены редакторы для протоколов FTP, ICMP, PPTP, NetBIOS поверх TCP/IP. Если в организации на каком-либо компьютере применяется протокол, для которого необходимо внести аналогичные изменения в сам пакет, а соответствующего редактора в операционной системе не предусмотрено, то работа через NAT будет невозможна без использования для такой системы реального адреса.

Из описания работы NAT видно, что он защищает сеть предприятия от злоумышленника, "принимая" только ответы на запросы из локальной сети. Если же вам необходимо опубликовать некоторые ресурсы локальной сети в Интернете, то следует создать соответствующие правила в оснастке NAT, которые определят, на какой частный адрес пересылать заданные протоколы.

Такой алгоритм работы достаточно эффективен и подходит в большинстве случаев. Однако он может приводить к неработоспособности отдельных функций программ, если они активируются внешними запросами. Например, почтовый клиент MS Outlook при работе с сервером MS Exchange использует протокол RPC (Remote Procedure Call, вызов удаленных процедур). Пройдя регистрацию на почтовом сервере, клиент находится в состоянии ожидания сигнала о приходе новой почты. Поскольку инициатором такого сигнала является не клиент, а внешняя система, то межсетевой экран блокирует эти пакеты. Поэтому в данном примере клиент не будет получать автоматические сообщения о приходе новой почты, хотя сможет принимать и отправлять сообщения по команде пользователя.

Работа в глобальной сети | Самоучитель системного администратора | Реализация nat средствами службы маршрутизации windows


Самоучитель системного администратора



Новости за месяц

  • Август
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31