http://www.ictnews.ir/
http://ictnews.ir
چهارشنبه 1 مهر 1394
آشنايي با عملکرد پايه NAT
آشنايي با عملکرد پايه NAT

طرح درس مدرک بين المللي CCNA (قسمت سی‌ویکم)،در اين بخش تصميم داريم به بحث درباره NAT يا Network Address Translation و همچنين PAT يا Port Address Translation (که تحت عنوان NAT Overload نيز شناخته مي‌شود) بپردازيم. شما همچنين با انواع NAT آشنا خواهيد شد.

اهداف سيسکو در اين زمينه کاملا مشخص هستند. شما ميزباني در داخل شبکه شرکت خود داريد که از آدرس‌هاي RFC 1918 استفاده مي‌کند و با پيکربندي ترجمه‌هاي NAT مي‌خواهيد به اين ميزبان امکان دهيد تا به اينترنت دسترسي داشته باشد. از آنجايي که ما در پيکربندي NAT از فهرست‌هاي کنترل دسترسي استفاده خواهيم کرد، بسيار مهم است که واقعا در استفاده از آن‌ها راحت باشيد.
هدف
ترجمه آدرس شبکه يا NAT شباهت زيادي به روتينگ درون دامنه‌اي بدون کلاس يا CIDR دارد که در آن هدف اصلي از به‌کارگيري NAT، کاهش سرعت تخليه فضاي آدرس IP قابل دسترسي از طريق نمايش آدرس‌هاي IP خصوصي متعدد با تعداد بسيار کمتري از آدرس‌هاي IP عمومي بود.
از آن زمان به بعد، مشخص شد که NAT براي مهاجرت و ادغام شبکه، اشتراک‌گذاري بار سرور و ايجاد «سرورهاي مجازي» نيز ابزار مفيدي است.
از آنجايي که NAT واقعا حجم عظيم آدرس‌هاي IP عمومي مورد نياز در يک محيط شبکه‌سازي را کاهش مي‌دهد، وقتي دو شرکت با الگوي آدرس‌دهي داخلي تکراري با يکديگر ادغام مي‌شوند، واقعا به‌کار مي‌آيد. NAT همچنين وقتي يک سازمان تامين‌کننده سرويس اينترنت يا ISP خود را تغيير مي‌دهد اما مدير شبکه مي‌خواهد از دردسرهاي تغيير الگوي آدرس داخلي اجتناب نمايد نيز يک ابزار عالي به‌شمار مي‌آيد.
NAT به‌خصوص مي‌تواند در شرايط زير مفيد باشد:
- وقتي شما نياز داريد به اينترنت متصل شويد و ميزبان شما يک آدرس IP منحصر به فرد جهاني ندارد.
- وقتي به ISP جديدي سوييچ کرده‌ايد که شما را ملزم به شماره‌گذاري مجدد شبکه‌تان مي‌کند.
- وقتي مي‌خواهيد دو اينترانت با آدرس‌هاي تکراري را ادغام نماييد.
شما معمولا از NAT روي يک روتر حاشيه‌اي استفاده مي‌کنيد. براي مثال، در شکل 1 NAT روي روتر Corporate مورد استفاده قرار گرفته است که با اينترنت ارتباط دارد.

محاسن و معايب پياده‌سازي NAT عبارتند از:
محاسن
- آدرس‌هايي که به‌صورت قانوني ثبت شده‌اند را حفظ مي‌کند.
- رويدادهاي همپوشاني آدرس را اصلاح مي‌کند.
- انعطاف‌پذيري را در هنگام اتصال به اينترنت افزايش مي‌دهد.
- با رشد شبکه، نياز به شماره‌گذاري مجدد شبکه را از بين مي‌برد.
معايب
- فرآيند ترجمه باعث ايجاد تاخير در سوييچينگ مسير مي‌شود.
- امکان رديابي IP به‌صورت end-to-end را از بين مي‌برد.
- کاربردهاي معيني با NAT کار نخواهند کرد.

مخزن
NAT ديناميک به شما امکان مي‌دهد تا يک آدرس IP‌ثبت نشده را به يک آدرس IP ثبت شده از يک مخزن (Pool) آدرس‌هاي ثبت شده، نگاشت (Map) نماييد. شما مجبور نيستيد روتر خود را به‌طور ثابت براي نگاشت هر يک از آدرس‌هاي داخلي به يک آدرس خارجي جداگانه پيکربندي کنيد (مثل زماني که در حال استفاده از NAT استاتيک هستيد)، اما بايد آدرس‌هاي IP واقعي و مناسبي را براي هر کسي که مي‌خواهد به‌طور هم‌زمان بسته‌هايي را به اينترنت فرستاده و از آن دريافت کند، در اختيار داشته باشيد.

آشنايي با عملکرد پايه NAT
شکل 1: محل پيکربندي NAT
آشنايي با عملکرد پايه NAT
شکل 2: ترجمه NAT ابتدايي

آشنايي با عملکرد پايه NAT
شکل 3: مثال NAT Overlaping


استاتيک
NAT استاتيک طراحي شده است تا امکان نگاشت يک به يک را مابين آدرس‌هاي جهاني و محلي فراهم سازد. در نظر داشته باشيد که نسخه استاتيک شما را ملزم مي‌سازد تا براي هر يک از ميزبان‌هاي روي شبکه خود يک آدرس IP اينترنت واقعي داشته باشيد.
1 به 1
عبارت «1 به 1» به ترجمع NAT‌ مابين دو ميزبان در شرايطي که NAT استاتيک پيکربندي شده است، اشاره دارد. در اينجا يک ترجمه يک به يک از داخل محلي به داخل جهاني انجام مي‌شود.

سربار
اين محبوب‌ترين نوع پيکربندي NAT است. سربار يا Overloading عملا يک قالب از NAT ديناميک است که چند آدرس IP ثبت نشده را با استفاده از درگاه‌هاي مرجع متفاوت به يک آدرس IP ثبت شده واحد نگاشت مي‌کند. قبلا هم اشاره کرديم که اين روش همچنين تحت عنوان PAT يا Port Address Translation نيز شناخته مي‌شود، اما عموما از آن تحت عنوان NAT Overload ياد مي‌کنند. PAT به شما امکان مي‌دهد تا به هزاران کاربر اجازه دهيد با استفاده از تنها يک آدرس IP جهاني واقعي، به اينترنت متصل شوند. در واقع NAT Overload دليل واقعي اين نکته است که آدرس‌هاي معتبر ما روي اينترنت تمام نشده‌اند.

آدرس‌دهي مبدا
در شکل 2، مي‌توانيد ببينيد که ميزبان 10.1.1.1 يک بسته ارسالي براي اينترنت را به روتر حاشيه‌اي که با NAT پيکربندي شده است، مي‌فرستد. روتر آدرس IP مبدا را به‌عنوان يک آدرس IP محلي داخلي شناسايي مي‌کند که بسته‌اي را به مقصد يک شبکه خارجي ارسال کرده است؛ آدرس IP مبدا داخل بسته را ترجمه کرده و سپس ترجمه انجام شده را در جدول NAT ثبت مي‌نمايد.
بسته با آدرس مبدا ترجمه شده جديد به اينترفيس خروجي فرستاده مي‌شود. ميزبان خارجي بسته را به ميزبان مقصد مي‌فرستد و روتر NAT آدرس IP جهاني داخلي را با استفاده از جدول NAT به آدرس IP محلي داخلي ترجمه مي‌کند.

NAT يک‌طرفه
با NAT يک طرفه يا PAT، تمام ميزبان‌هاي داخلي به يک آدرس IP واحد ترجمه مي‌شود و به‌همين دليل عبارت سربار يا Overloading براي آن به‌کار مي‌رود. باز هم يادآوري مي‌کنيم دليل اين که آدرس‌هاي IP جهاني قابل دسترسي روي اينترنت به اتمام نرسيده‌اند، همين سربار است.
در شکل 3 به جدول NAT نگاه کنيد. علاوه بر آدرس IP محلي داخلي و آدرس IP جهاني داخلي، ما حالا شماره‌هاي درگتاه را داريم. اين شماره‌هاي درگاه به روتر کمک مي‌کنند تا بفهمد کدام ميزبان بايد ترافيک برگشتي را دريافت نمايد. روتر از شماره درگاه مبدا هر ميزبان براي متمايز کردن ترافيک‌ها از يکديگر استفاده مي‌کند. توجه داشته باشيد که در اين مثال وقتي بسته روتر را ترک مي‌کند داراي شماره درگاه مقصد 80 است و سرور HTTP داده‌ها را با يک شماره درگاه مقصد 1026 برمي‌گرداند. اين وضعيت به روتر ترجمع NAT امکان مي‌دهد تا ميزبان‌ها را در جدول NAT متمايز نموده و سپس آدرس IP مقصد را به آدرس محلي داخلي ترجمه کند.
در اين مثال، شماره‌هاي درگاه در لايه Transport براي شناسايي ميزبان محلي مورد استفاده قرار مي‌گيرند. اگر مجبور بوديم از آدرس‌هاي IP جهاني واقعي براي شناسايي ميزبان‌هاي مبدا استفاده کنيد، اين وضعيت تحت عنوان NAT استاتيک شناخته مي‌شد و ما با کمبود آدرس‌ها مواجه بوديم. PAT به ما امکان مي‌دهد تا از لايه Transport براي شناسايي ميزبان‌ها استفاده نماييم که به‌نوبه خود به ما امکان مي‌دهد به‌صورت تئوري از حدود 65000 ميزبان با تنها يک آدرس IP واقعي استفاده کنيم.

پيکربندي NAT استاتيک
در اينجا مثالي از يک پيکربندي NAT استاتيک ابتدايي را مشاهده مي‌کنيد:
ip nat inside source static 10.1.1.1 170.46.2.2
!
interface Ethernet0
ip address 10.1.1.10 255.255.255.0
ip nat inside
!
interface Serial0
ip address 170.46.2.1 255.255.255.0
ip nat outside
!

در خروجي روتر بالا، فرمان ip nat inside source مشخص مي‌کند کدام آدرس‌هاي IP ترجمه خواهند شد. در اين مثال پيکربندي، فرمان ip nat inside source يک ترجمه استاتيک را بين آدرس IP محلي داخلي 10.1.1.1 به آدرس IP جهاني خارجي 170.46.2.2 پيکربندي مي‌کند.
اگر در ساختار پيکربندي پايين بياييم، يک فرمان ip nat را زير هر اينترفيس مي‌بينيم. فرمان ip nat inside، اينترفيس مورد نظر را به‌عنوان يک اينترفيس داخلي مشخص مي‌کند. از سوي ديگر، فرمان ip nat outside براي شناسايي اينترفيس به‌عنوان يک اينترفيس خارجي مورد استفاده قرار مي‌گيرد. وقتي به فرمان ip nat inside source نگاه کنيد، مي‌توانيد ببينيد که فرمان به اينترنت داخلي به‌عنوان مبدا يا نقطه شروع ترجمه اشاره مي‌کند. شما همچنين مي‌توانيد از فرماني مانند ip nat outside source استفاده کنيد. اين گزينه نشان مي‌دهد اينترفيسي که به‌عنوان اينترفيس خارجي مشخص کرده‌ايد بايد به مبدا يا نقطه شروع ترجمه تبديل شود.

پيکربندي NAT ديناميک
NAT ديناميک عملا به‌معناي آن است که ما مخزني از آدرس‌ها را در اختيار داريم که به‌منظور تامين آدرس‌هاي IP‌ واقعي براي گروهي از کاربران روي شبکه داخلي از آن استفاده خواهيم کرد. از آنجايي که ما از شماره‌هاي درگاه استفاده نمي‌کنيم، بايد براي هر کاربري که در تلاش است به‌طور هم‌زمان به خارج از شبکه محلي دسترسي پيدا کند، آدرس‌هاي IP واقعي داشته باشيم.
در اينجا خروجي نمونه يک پيکربندي NAT ديناميک را مشاهده مي‌کنيد:
ip nat pool todd 170.168.2.3 170.168.2.254
netmask 255.255.255.0
ip nat inside source list 1 pool todd
!
interface Ethernet0
ip address 10.1.1.10 255.255.255.0
ip nat inside
!
interface Serial0
ip address 170.168.2.1 255.255.255.0
ip nat outside
!
access-list 1 permit 10.1.1.0 0.0.0.255
!
فرمان ip nat inside source list 1 pool todd به روتر مي‌گويد آدرس‌هاي IP که با access-list 1 انطباق دارند را به آدرسي که در مخزن IP NAT موسوم به todd وجود دارد، ترجمه کند. در اينجا ACL براي فيلتر ترافيک با مقاصد امنيتي از طريق مجاز دانستن يا رد کردن ترافيک مورد استفاده قرار نمي‌گيرد. در اين مورد، ACL براي انتخاب يا مشخص کردن چيزي که ما غالبا ترافيک جالب توجه مي‌ناميم، به‌کار گرفته مي‌شود. وقتي ترافيک جالب توجه با فهرست دسترسي انطباق داشته باشد، براي ترجمه شدن به فرآيند NAT کشيده مي‌شود. اين عملا يک استفاده متداول از فهرست‌هاي دسترسي است که نشان مي‌دهد آن‌ها هميشه صرفا مشغول انجام کارهاي کسل‌کننده‌اي مانند (صرفا) مسدود کردن ترافيک در يک اينترفيس نيستند.
فرمان ip nat pool todd 170.168.2.3 192.168.2.254 netmask 255.255.255.0 مخزني از آدرس‌ها را ايجاد مي‌کند که به ميزبان‌هاي خاصي که به آدرس‌هاي جهاني نياز دارند، توزيع مي‌شود. در هنگام عيب‌يابي NAT در امتحانات سيسکو، هميشه اين مخزن را بررسي نماييد تا مطمئن شويد که آدرس‌هاي کافي به‌منظور تامين ترجمه براي تمام ميزبان‌هاي داخلي در آن وجود دارند. در نهايت، مطمئن شويد که نام مخزن‌ها دقيقا روي هر دو خط انطباق دارد. همچنين به ياد داشته باشيد که آن‌ها به بزرگي و کوچکي حروف حساس هستند. اگر انطباق صحيح نباشد، مخزن کار نخواهد کرد.

پيکربندي PAT
در مثال آخر، نحوه پيکربندي سربار آدرس جهاني داخلي را نشان مي‌دهيم. اين قالب معمول NAT است که امروزه از آن استفاده مي‌کنيم. در واقع به غير از مواردي مانند نگاشت استاتيک يک سرور، امروزه به‌ندرت از NAT ديناميک يا استاتيک استفاده مي‌شود.
در اينجا يک خروجي نمونه از پيکربندي PAT را مشاهده مي‌کنيد:
ip nat pool globalnet 170.168.2.1 170.168.2.1 netmask 255.255.255.0
ip nat inside source list 1 pool globalnet overload
!
interface Ethernet0/0
ip address 10.1.1.10 255.255.255.0
ip nat inside
!
interface Serial0/0
ip address 170.168.2.1 255.255.255.0
ip nat outside
!
access-list 1 permit 10.1.1.0 0.0.0.255
نکته جالب درباره PAT اين است که تنها تفاوت‌هاي پيکربندي آن با پيکربندي NAT ديناميک قبلي عبارتند از:
- مخزن آدرس‌هاي ما کوچک شده و تنها يک آدرس IP را در بر مي‌گيرد.
- ما عبارت کليدي overload را به انتهاي فرمان ip nat inside source اضافه کرده‌ايم.
عامل کليدي که در اين مثال ديده مي‌شود، اين است که آدرس IP قابل استفاده ما در مخزن، آدرس IP اينترفيس خارجي است. اگر در حال پيکربندي سربار NAT براي خودتان در خانه يا براي يک دفتر کاري کوچک باشيد که تنها يک آدرس IP براي ISP آن وجود دارد، اين وضعيت کاملا مناسب است. با اين‌ حال مي‌توانيد از يک آدرس اضافي مانند 170.168.2.2 استفاده کنيد، البته اگر اين آدرس نيز در دسترس شما قرار داشته باشد. انجام اين کار در يک پياده‌سازي بسيار بزرگ که در آن با چنان تعداد کثيري از کاربران فعال داخلي مواجه هستيد که به بيش از يک آدرس IP سربار در خروجي نياز داريد، بسيار مفيد خواهد بود.

بررسي ساده NAT
پس از آن‌که نوع NAT مورد نظر خود براي اجرا را انتخاب و پيکربندي کرديد، بايد بتوانيد پيکربندي خود را بررسي نماييد. براي مشاهده اطلاعات ترجمه آدرس IP، از فرمان زير استفاده کنيد:
Router#show ip nat translations

وقتي به ترجمه‌هاي IP NAT نگاه مي‌کنيد، ممکن است چندين ترجمه از يک ميزبان واحد به ميزبان متناظر در مقصد را ببينيد. توجه داشته باشيد که اين وضعيت وقتي چندين اتصال با يک سرور واحد برقرار مي‌شوند، کاملا معمولي است.
شما همچنين مي‌توانيد پيکربندي NAT خود را از طريق فرمان debug ip nat بررسي نماييد. اين خروجي، آدرس ارسال‌کننده، ترجمه و آدرس مقصد را روي هر خط ديباگ نشان مي‌دهد:
Router#debug ip nat
براي پاکسازي ورودي‌هاي NAT از جدول ترجمه، مي‌توانيد از فرمان clear ip nat translation و اگر مي‌خواهيد تمام ورودي‌ها را از جدول NAT حذف کنيد، يک ستاره (*) در انتهاي فرمان بگذاريد.
NAT سيسکو قدرت جدي به شما مي‌بخشد و اين کار را بدون هيچ تلاشي انجام مي‌دهد زيرا پيکربندي‌ها واقعا ساده هستند. با اين‌حال همه ما مي‌دانيم که هيچ چيز بي‌نقص نيست، بنابراين اگر با مشکلي مواجه شويد، مي‌توانيد برخي از دلايل متداول‌تر آن را با بررسي فهرست مقصرين احتمالي زير، پيدا کنيد:
- مخازن ديناميک را بررسي نماييد. آيا آن‌ها از مجموعه صحيحي از آدرس‌ها تشکيل شده‌اند؟
- بررسي کنيد که آيا همپوشاني در بين مخازن ديناميک وجود دارد يا خير.
- ببينيد آيا آدرس‌هاي مورد استفاده براي نگاشت استاتيک و آدرس‌هاي مخازن ديناميک با يکديگر همپوشاني دارند يا خير.
- مطمئن شويد فهرست‌هاي دسترسي شما آدرس‌هاي صحيحي را براي ترجمه مشخص مي‌کنند.
- مطمئن شويد هيچ آدرس که بايد وجود داشته باشد از قلم نيفتاده است و همچنين هيچ آدرس در مجموعه نيست که نبايد آنجا باشد.
- مطمئن شويد که اينترفيس‌هاي داخلي و خارجي را به‌طور صحيح تعيين کرده‌ايد.
يک نکته کليدي که بايد آن را در نظر داشته باشيد، اين است که يکي از متداول‌ترين مشکلات يک پيکربندي NAT جديد در اغلب موارد اصلا به NAT مربوط نمي‌شود، بلکه معمولا يک اشتباه ساده روتينگ در آن‌ها دخيل هستند. بنابراين از آنجايي که در حال تغيير آدرس مبدا يا مقصد در يک بسته هستيد، مطمئن شويد که روتر شما هنوز مي‌داند پس از ترجمه با آدرس جديد چه کند.


مطالب مرتبط
نظرات کاربران

ارسال نظر در مورد این مطلب:
نام شما : *
آدرس ایمیل : *
متن نظر : *
کد امنیتی :
Refresh Code

لطفا عبارت درج شده در تصویر بالا را در کادر زیر بنویسید

*
 


کليه حقوق اين سایت متعلق به ICTNEWS است.
انتشار مطالب با ذکر منبع و لینک به سایت مجاز است.
تماس با ما: 88946450  فرم تماس با ما
این پرتال قدرت گرفته از :
سیستم مدیریت پرتال و خبرگزاری دیاسافت
ارتباط با ما : 1000030200