Nat

Настройка NAT и DHCP на Cisco

Добрый день! В данной статье мы рассмотрим пример настройки DHCP сервера и сетевой трансляции (NAT) на маршрутизаторе Сisco 1841.
Перед нами стоит задача через маршрутизатор серии Cisco подключить Интернет и раздавать компьютерам малой локальной сети.  Подобная задача стоит, когда оператор, в целях экономии, выделяет 1 внешний ip адрес для доступа к ресурсам Интернет, а в локальной сети более чем один ПК. Определим изначально параметры и обозначения сети внешней и внутренней.

Всяческие совпадения с реальными сетями не учитывать.

Внешняя: 195.4.130.0/30

Внутренняя: 172.17.1.0/24

DNS 8.8.8.8

WAN: внешний порт

LAN: локальный порт

Для примера берем маршрутизатор версии:

Cisco IOS Software, 1841 Software (C1841-SPSERVICESK9-M), Version 12.4(23), RELEASE SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 1986-2008 by Cisco Systems, Inc.

Compiled Sat 08-Nov-08 20:00 by prod_rel_team

Как известно, на маршрутизаторе подобной серии имеется два порта – WAN и LAN. Изначально настраиваем порты согласно указанным сетям:

Заходим в режим конфигурации:

Далее в режим конфигурации порта:

После даем название порта(description):

router(config-if)#description WAN

router(config-if)#

Прописываем адресацию:

router(config-if)# ip address 195.4.130.2 255.255.255.252

Указываем, что данный порт будет является выходным(outside) с точки зрения NAT

router(config-if)# ip nat outside

В итоге получаем конфигурацию WAN порта вида:

router#sh run int fa0/0

!

interface FastEthernet0/0

description WAN

ip address 195.4.130.2 255.255.255.252

no ip redirects

no ip proxy-arp

ip nat outside

no ip route-cache

no cdp enable

arp timeout 200

end

Аналогично прописываем настройки для LAN порта, за исключением адресации и указания, что порт является внутренним(inside):

router#sh run int fa0/0

!

interface FastEthernet0/0

description LAN

ip address 172.17.1.1 255.255.255.

no ip proxy-arp

ip nat inside

arp timeout 200

Далее в глобальных настройках маршрутизатора обязательно указываем маршрут по умолчанию(default):

router(config)#ip route 0.0.0.0 0.0.0.0 195.4.130.1 name “default”    

Для работы NAT с пулом LAN необходимо прописать access list c описанием нашей внутренней адресации:

router(config)# access-list 4 remark “NAT”

router(config)# access-list 4 permit 172.17.1.0 0.0.0.255

После того как указали сеть в ACL, включаем работу NAT:

router(config)# ip nat inside source list 4 interface FastEthernet0/0 overload

Работу NAT можно увидеть командой sh ip nat translations

Далее приступаем к настройке DHCP, в глобальной конфигурации создаем пул:

router(config)# ip dhcp pool LAN_users

Указываем размер пула, шлюз по умолчанию, DNS и время аренды:

router(config)# (dhcp-config)# network 172.17.1.0 255.255.255.0

router(config)# (dhcp-config)# default-router 172.17.1.1

router(config)# (dhcp-config)# dns-server 8.8.8.8

router(config)# (dhcp-config)#lease 0 2

 Также можно описать дополнительные опции, которые, возможно, требуется конечному пользователю (т.е. приватные маршруты и т.д.)

Таким образом мы получаем элементарно настроенный маршрутизатор для работы небольшой локальной сети.

Автор статьи: Вадим Карапчиевский
ООО «Сетевые проекты будущего»
IT поддержка Вашего бизнеса

Summary

Sub-menu:

Network Address Translation is an Internet standard that allows hosts on local area networks to use one set of IP addresses for internal communications and another set of IP addresses for external communications. A LAN that uses NAT is referred as natted network. For NAT to function, there should be a NAT gateway in each natted network. The NAT gateway (NAT router) performs IP address rewriting on the way a packet travel from/to LAN.

There are two types of NAT:

  • source NAT or srcnat. This type of NAT is performed on packets that are originated from a natted network. A NAT router replaces the private source address of an IP packet with a new public IP address as it travels through the router. A reverse operation is applied to the reply packets travelling in the other direction.
  • destination NAT or dstnat. This type of NAT is performed on packets that are destined to the natted network. It is most comonly used to make hosts on a private network to be acceesible from the Internet. A NAT router performing dstnat replaces the destination IP address of an IP packet as it travel through the router towards a private network.

Hosts behind a NAT-enabled router do not have true end-to-end connectivity. Therefore some Internet protocols might not work in scenarios with NAT. Services that require the initiation of TCP connection from outside the private network or stateless protocols such as UDP, can be disrupted. Moreover, some protocols are inherently incompatible with NAT, a bold example is AH protocol from the IPsec suite.

To overcome these limitations RouterOS includes a number of so-called , that enable NAT traversal for various protocols.

Masquerade

Firewall NAT is unique subversion of , it was designed for specific use in situations when public IP can randomly change, for example DHCP-server changes it, or PPPoE tunnel after disconnect gets different IP, in short — when public IP is dynamic.

Every time interface disconnects and/or its IP address changes, router will clear all masqueraded connection tracking entries that send packet out that interface, this way improving system recovery time after public ip address change.

Unfortunately this can lead to some issues when is used in setups with unstable connections/links that get routed over different link when primary is down. In such scenario following things can happen:

  • on disconnect, all related connection tracking entries are purged;
  • next packet from every purged (previously masqueraded) connection will come into firewall as , and, if primary interface is not back, packet will be routed out via alternative route (if you have any) thus creating new connection;
  • primary link comes back, routing is restored over primary link, so packets that belong to existing connections are sent over primary interface without being masqueraded leaking local IPs to a public network.

You can workaround this by creating blackhole route as alternative to route that might disappear on disconnect).

When is used instead, connection tracking entries remain and connections can simply resume.

Плюсы CG-NAT в составе СКАТ DPI

  1. Он максимально рационально использует адресное пространство IPv4.
  2. Отвечает требованиям, прописанным в технических стандартах RFC 4787 (Network Address Translation (NAT) Behavioral Requirements for Unicast UDP) и RFC 6888 (Common Requirements for Carrier-Grade NATs), соответствие которым должно гарантировать стабильную работу.
  3. СКАТ DPI может работать с 128 миллионами сессий одномоментно.
  4. Вы можете динамически масштабировать решение и увеличить пропускную способность не прерывая трафика.
  5. Единое управление всей функциональностью платформы.
  6. Трансляции журналируются и доступны либо в виде логов, либо же их можно передать на внешний коллектор по протоколу NetFlow v10 (IPFIX).

Stats

will show additional read-only properties

Property Description
bytes (integer) Total amount of bytes matched by the rule
packets (integer) Total amount of packets matched by the rule

By default print is equivalent to print static and shows only static rules.

 /ip firewall mangle> print stats
Flags: X - disabled, I - invalid, D - dynamic 
 #   CHAIN              ACTION                  BYTES           PACKETS        
 0   prerouting         mark-routing            17478158        127631         
 1   prerouting         mark-routing            782505          4506           

To print also dynamic rules use print all.

 /ip firewall mangle> print all stats
Flags: X - disabled, I - invalid, D - dynamic 
 #   CHAIN              ACTION                  BYTES           PACKETS        
 0   prerouting         mark-routing            17478158        127631         
 1   prerouting         mark-routing            782505          4506           
 2 D forward            change-mss              0               0              
 3 D forward            change-mss              0               0              
 4 D forward            change-mss              0               0              
 5 D forward            change-mss              129372          2031  

Or to print only dynamic rules use print dynamic

 /ip firewall mangle> print stats dynamic 
Flags: X - disabled, I - invalid, D - dynamic 
 #   CHAIN              ACTION                  BYTES           PACKETS        
 0 D forward            change-mss              0               0              
 1 D forward            change-mss              0               0              
 2 D forward            change-mss              0               0              
 3 D forward            change-mss              132444          2079 

Способы изменения типа NAT на ПК

Вот простые методы изменения типа NAT на устройстве ПК:

Метод 1 — переадресация порта

Это самый распространенный способ изменить тип NAT без дополнительных хлопот. Вам необходимо проверить модель вашего маршрутизатора и порты игры, в которую вы хотите играть.

  • Вам нужно перейти на домашнюю страницу вашего маршрутизатора и найти порт Вариант пересылки из списка.
  • Введите порты игры в первом разделе и введите свой IP-адрес в следующем столбце.
  • Вам будет предложено выбрать устройство, на которое вы хотите указать. После этого выберите UDP и TCP .
  • Теперь вы можете сохранить настройки и перезагрузите его для немедленных результатов.

Метод 2 — Использование VPN

Использование VPN — лучший способ обойти NAT-соединение как в VPN нет ограничений на передачу данных. ЕСЛИ вы используете VPN, все данные, передаваемые через ваш компьютер, зашифрованы . Это поможет вам защитить вашу онлайн-личность от физической сети, и вы сможете получить доступ к ней без каких-либо проблем.

Самым большим преимуществом использования VPN является то, что он может ограничить мониторинг вашего интернет-провайдера ваши данные и наложить на них какие-либо ограничения, избавив вас от удушения интернет-провайдером.

Обходите брандмауэры NAT через VPN

Чтобы зашифровать ваш интернет-трафик и личные данные, а также обойти интернет-брандмауэры, используйте надежный сервис, такой как PureVPN, всего за 1,99 доллара в месяц.

Получить PureVPN | СКИДКА 82%

Метод 3 — Через обнаружение сети

Если вы являетесь пользователем Windows, вы можете включить Сетевое обнаружение в своей операционной системе.

Выполните следующие действия, чтобы включить обнаружение сети:

  1. Откройте меню «Пуск» .
  2. Найдите <sizessettings.</sizes
  3. Найдите Сеть и Интернет
  4. Найдите « Параметры общего доступа » в разделе «Сеть и настройки».
  5. Включите параметр обнаружения сети и также установите флажок для подключенных устройств.

Теперь вы можете сохранить настройки, и вы сможете включить обнаружение сети на вашем устройстве Windows.

Что такое NAT?

Преобразование сетевых адресов — это процесс это включает в себя сопоставление IP-адреса с другим адресом путем изменения информации сетевого адреса. Было бы полезно, если бы вы изменили их в сетевых пакетах при прохождении через устройство маршрутизации трафика.

Это похоже на простой процесс, но вы можете столкнуться со многими сложными проблемами при изменении NAT . Это происходит из-за того, что производители накладывают некоторые ограничения на NAT, и вы должны сами решать их.

Типы NAT

Вы можете установить различные типы настроек для вашего NAT. Однако это наиболее предпочтительные настройки NAT для оптимальной работы в сети:

Как следует из названия, это NAT открытого типа , который позволяет всем устройствам, подключенным через сеть, отправлять и получать данные. Все общие данные не ограничены, и нет конфигураций брандмауэра .

Хотя это поможет вам получить лучший опыт, он действительно привлекает много риски. Любой хакер может легко проникнуть в вашу локальную сеть, когда ваши порты открыты.

Это более безопасный , чем открытый NAT, и имеет только один или два открытых порта для передачи данных. В этой настройке NAT будет действовать как брандмауэр и ограничивать соединения от вмешательства в вашу сеть. Тем не мение. У вас может возникнуть небольшая задержка в онлайн-играх при умеренной настройке NAT.

Это самый безопасный тип NAT, который не позволяет данным передаваться через локальную сеть. Он может защитить вас от большинства типов атак, но вы можете столкнуться с трудностями при подключении к другим сетям, поскольку большая часть данных ограничена в этой сети.

Вы также можете столкнуться с некоторыми задержками в вашем игровой опыт при подключении через строгий NAT .

Настройка

В этом разделе приводится информация по настройке функций, описанных в данном документе.

Примечание. Дополнительную информацию о командах, используемых в данном документе, можно получить с помощью Средства поиска команд (только для зарегистрированных клиентов).

Схема сети

В данном документе используется следующая настройка сети:

Если команда ping отправлена с интерфейса Loopback0 (172.16.88.1) маршрутизатора 2514W на интерфейс Loopback0 (171.68.1.1) маршрутизатора 2501E, происходит следующее:

Маршрутизатор 2514W пересылает пакеты маршрутизатору 2514X, так как он настроен с использованием маршрута по умолчанию. Находясь на внешнем интерфейсе маршрутизатора 2514X, пакет имеет адрес источника (SA) 172.16.88.1 и адрес назначения (DA) 171.68.1.1. Так как адрес SA задан в списке доступа 1, который используется командой ip nat outside source list, он преобразуется в адрес из пула Net171 NAT. Отметим, что команда ip nat outside source list ссылается на . В этом случае адрес преобразуется в 171.68.16.10, который является самым первым доступным адресом в пуле NAT. После трансляции маршрутизатор 2514X отыскивает адрес назначения в таблице маршрутизации и определяет маршрут пакета. Маршрутизатор 2501E «видит» пакет на своем входящем интерфейсе с SA-адресом 171.68.16.10 и DA-адресом 171.68.1.1. В ответ он отправляет эхо-ответ ICMP (Протокол управляющих сообщений в Интернет-сети) на адрес 171.68.16.5. Если маршрут отсутствует, маршрутизатор отбрасывает пакет. В этом случае он имеет маршрут (по умолчанию) и отправляет пакеты на маршрутизатор 2545Х, используя SA-адрес 171.68.1.1 и DA-адрес 171.68.16.10. Маршрутизатор 2514X «видит» пакет в своем внутреннем интерфейсе и проверяет маршрут для адреса 171.68.16.10. Если маршрут не найден, маршрутизатор посылает в ответ сообщение ICMP о недостижимости. В этом случае он имеет маршрут к адресу (благодаря параметру add-route команды ip nat outside source, который добавляет маршрут хоста на основе преобразования внешнего глобального адреса во внешний локальный адрес), поэтому маршрутизатор снова преобразует пакет в адрес 172.16.88.1 и прокладывает его путь из внешнего интерфейса.

Конфигурации

Маршрутизатор 2514W

hostname 2514W 
!
 
interface Loopback0 
 ip address 172.16.88.1 255.255.255.0 
!
 
interface Serial0 
 ip address 172.16.191.254 255.255.255.252 
 no ip mroute-cache 
!
 
ip classless 
ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!

Маршрутизатор 2514X

hostname 2514X 
! 

! 
interface Ethernet1 
 ip address 171.68.192.202 255.255.255.0 
 ip nat inside 
 no ip mroute-cache 
 no ip route-cache 
!
 
interface Serial1 
 ip address 172.16.191.253 255.255.255.252 
 ip nat outside 
 no ip mroute-cache 
 no ip route-cache 
 clockrate 2000000 
! 
ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0 
!
ip nat outside source list 1 pool Net171 add-route

ip classless 
ip route 172.16.88.0 255.255.255.0 172.16.191.254 
ip route 171.68.1.0 255.255.255.0 171.68.192.201
 

access-list 1 permit 172.16.88.0 0.0.0.255 

!

!

Маршрутизатор 2501E

hostname 2501E 
! 

interface Loopback0 
 ip address 171.68.1.1 255.255.255.0 
! 
interface Ethernet0 
 ip address 171.68.192.201 255.255.255.0 
! 

ip classless 
ip route 0.0.0.0 0.0.0.0 171.68.192.202 

!

Дополнительные возможности

В СКАТ DPI встроена опция Full Cone NAT, которая позволяет отправлять пакеты из любого источника по внешнему отображаемому порту TCP/UDP. Благодаря этому, становится проще отслеживать активность пиринговых сервисов, таких, как торренты, игры и другие. Все соединения клиентов с одного серого внутреннего IP-адреса привязываются к одному белому внешнему IP-адресу благодаря функции Paired IP address pooling.

Также есть базовая защита от DDoS-атак. Она устроена так: при попытке подключения к «белому» адресу извне на определенный порт, устройство, выполняющее функции NAT проверяет, есть ли для данного порта установленные соединения. Если нет, то соединения будет прервано.

Также, в случае заражения какого-либо из абонентов зловредным ПО мы можем ограничить количество используемых портов UDP и TCP, чтобы это ПО не забрало себе все сетевые ресурсы. В этом случае пострадает только один абонент, а не все.

Также среди используемых технологий стоит озвучить Hairpinning. Она дает возможность всем абонентам за NAT обращаться к публичным адресам друг друга без пересылки пакетов за пределы устройства и трансляции за пределами устройства.

Несколько уточнений

Чтобы функция CG-NAT работала корректно, СКАТ DPI должен работать по схеме «в разрыв» (пример на схеме ниже). Также нужна лицензия СКАТ DPI BRAS или COMPLETE. Скорость трансляции адресов зависит от выбранной аппаратной платформы и лицензии. Она может составлять от 6 до 200Гбит/с. Кроме того, мы рекомендуем установить резервную платформу на случай нештатных ситуаций.

Альтернативные решения

A10 Networks Thunder

Среди плюсов пользователи называют демократичное ценообразование без внезапных изменений. Также клиентам нравится высокая надежность решения, редкие отказы, простота использования, интуитивно понятный графический интерфейс, подробная и логичная документация. Среди минусов пользователи называют проблемы решения с отслеживанием одновременного использования нескольких портов.

F5 BIG-IP

Здесь пользователям нравится простота использования, хорошая система защиты от несанкционированного проникновения извне и большое количество доступных и гибких в настройке функций. Среди минусов говорят об иногда проседающей скорости и периодически возникающих проблемах с подключением. Также отмечается, что решение дает мало информации в случае возникновения проблем — не очень ясно, как именно можно исправить ситуацию.

Cisco ASR 9000

В качестве плюсов пользователи отмечают знакомую и привычную многим экосистему Cisco, надежность и простоту в использовании. Из минусов озвучивают не очень хорошую документацию, а также иногда встречающиеся ошибки во внутренней архитектуре.

При желании, вы можете потратить время своих технических специалистов и реализовать CG-NAT самостоятельно. На тематических информационных ресурсах есть примеры успешных кейсов такого рода. Из плюсов можно отметить полный контроль решения с вашей стороны — ваши инженеры, скорее всего, будут точно понимать его устройство. Главный же минус здесь в том, создание функциональности CG-NAT своими силами — это постоянная тяжелая работа, требующая ресурсов. Скорее всего, для очень многих компаний более оправданно будет воспользоваться готовым решением. Например, Carrier Grade NAT от VAS Experts, которое мы сейчас и рассмотрим.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector