آخرین ارسال های تالار گفتمان

هیچ ارسال جدیدی برای تالار گفتمان وجود ندارد .
تیر
29
1389

NAT و کاربرد آن در میکروتیک

 

 

قبل از اينكه نگاهي عميق به مقوله NAT داشته باشيم مي بايست بدانيم كه عملكرد NAT چگونه است. بسته به نوع استفاده ، NAT روشهاي پياده سازي مختلفي دارد ولي همه آنها داراي يك مفهوم مي باشند.

NAT بسيار متداول شده تا آنجايي كه در قابليت پشتيباني از آن در اكثر دستگاه ها نظير router, firewall و... قرارداده شده است ويا حداقل يك نوع از اين تكنولوژي را پشتيباني مي كنند.

NAT تنها مختص شبكه هايي كه به اينترنت متصل هستند محدود نمي شوند ،بلكه شما از اين تكنولوژي مي توانيد بين شبكه هاي محلي خود نيز استفاده كنيد ولي چون اكثر سازمانها درجهت ارتباط با اينترنت از اين روش استفاده مي كنند ما نيز به بررسي همين نوع استفاده مي پردازيم.

مفهوم NAT بسيار ساده و به اين صورت است كه يك دستگاه (مثل كامپيوتر يا مسيرياب)به عنوان دروازه ورود به اينترنت عمل مي كند و با اين كار آدرس هاي ايستگاه هاي كاري را به آدرس دستگاهي كه NAT روي آن فعال است ترجمه مي كند ،به بيان ديگر NAT روي دستگاهي كه به اينترنت وصل شده فعال مي شود و ايستگاه هاي كاري و به طور كلي شبكه شما را از ديد اينترنت پنهان مي دارد.

از سوي ديگر اينترنت شبكه شما را به صورت يك دستگاه ساده مي بيند كه به اينترنت متصل مي باشد.

NAT روي شبكه تغيير ايجاد نمي كند و نيازي به تنظيمات دوباره روي ايستگاه هاي كاري نيست فقط ايستگاه هاي كاري مي بايست آدرس دروازه خروجي از شبكه را كه همان آدرس دستگاهي است كه NAT روي آن فعال شده را بدانند.

شبكه با چهار ايستگاه كاري و يك مسيرياب جهت اتصال به اينترنت داريم .تمام ايستگاه هاي كاري داراي آدرس محلي گروه C مي باشند.

NAT چگونه كار مي كند ؟
سه روش كلي براي اجراي NAT وجود دارد اگر چه قاعده كلي براي هر روش يكي است .همانطوري كه در شكل هاي بالا نشان داده شد ،ترافيك ارسالي از سمت ايستگاه هاي كاري از درون يك روتر به اينترنت وارد مي شوند و عمليات NAT را روي بسته ها انجام مي دهد و به مقصد مي فرستد.

هربسته اي كه روي كارت شبكه محلي مسيرياب دريافت مي شود توسط روتر عمليات جابجايي آدرس محلي با آدرس اينترنتي انجام مي شود و سپس بسته ها ارسال مي شود.

 


در اين شكل يك ايستگاه كاري از داخل شبكه يك بسته اطلاعاتي را به آدرس مقصد 135.250.24.10 مي فرستد ، اين بسته اطلاعاتي از داخل دروازه خروجي گذشته وبه اينترنت مي رسد.

عمليات NAT روي بسته ارسالي به روش زير ارسال مي گردد :

بسته اطلاعاتي اصلي پس از رسيدن به مسيرياب آدرس مبداء آن از 192.168.0.12 به 203.31.220.134 تغيير پيدا مي كند سپس روتر اين اطلاعات را در حافظه خود و در NAT-Table نگهداري مي كند و به اين طريق است كه بسته هايي هم كه از اينترنت ارسال مي شوند ،مقصد خود را تشخيص مي دهند.

بعد از بررسي مفاهيم NAT مختصري از مفهوم NAT Table را بررسي مي كنيم.

NAT Table قلب اصلي عملكردNAT مي باشد. هر ارتباطي از داخل شبكه به خارج شبكه مانند اينترنت در اين جدول ثبت مي شود تا مسيرياب بداند كه با اطلاعات دريافتي روي Interface هاي خود چگونه رفتار كند و به كجا بفرستد. اين جدول به تدريج توسط ارتباط هايي كه ايجاد شده و از درون مسيرياب مي گذرد پر مي شود و هرگاه كه ارتباطي قطع شود ركورد ثبت شده در اين جدول حذف مي گردد و فضا براي ثبت ركوردهاي ديگر باز مي شود.

NAT Table در نوع هاي مختلف NAT متفاوت كار مي كند. NAT Table بزرگتر به معني اشغال حافظه بيشتر است و مي تواند ارتباطات زيادتري را رديابي كند، به اين معني كه دستگاهي كه NAT روي آن فعال است ، جدول بزرگتري دارد و مي تواند ارتباطات بيشتري را نسبت به دستگاهي كه NAT Table آن كوچكتر است ثبت و كنترل نمايد. شكل زير ساختار يك NAT Table را نشان مي دهد:


شكل فوق نمايانگر دو درخواست از داخل و از ايستگاههاي كاري 192.168.0.5 و 192.168.0.21 به دستگاهي كه NAT روي آن فعال است ، مي باشد. اين بسته هاي اطلاعاتي به صورت موقتي روي يك قسمت خاصي از مسيرياب ذخيره شده تا تغييرات اندكي روي آن انجام شود. در اين مثال مسيرياب آدرس مبداء هر بسته اطلاعاتي را كه همان آدرس محلي ايستگاه هاي كاري مي باشد با آدرس اينترنتي خود كه آدرس 203.31.22.134 است تعويض مي كند و سپس بسته اطلاعاتي از طريق كارت شبكه اينترنتي مسيرياب و يا دستگاهي كه NAT روي آن فعال است به اينترنت ميفرستد . يعني قبل از اينكه بسته هاي اطلاعاتي مسيرياب را ترك كنند يك ركورد براي هر بسته داخل جدول NAT ثبت مي شود اين ركورد مسيرياب را قادر مي سازد تا تصميم گيري مناسبي را براي بسته هايي كه از اينترنت برمي گردند انجام دهد.

وقتي كه جواب يك درخواست از اينترنت برمي گردد چه اتفاقي مي افتد؟

در واقع همان اتفاقي كه در مورد بسته هاي خروجي مي افتد روي بسته هاي ورودي نيز انجام مي شود.

وقتي جواب درخواستي از اينترنت به مسيرياب مي رسد ، مسيرياب از جدول NAT خود كمك گرفته و ركورد مشخص مربوط به اين درخواست را پيدا مي كند و يك تغيير كوچك ديگر روي بسته اطلاعاتي انجام مي دهد و اين تغيير، تعويض IP مقصد از 203.31.220.134 به 192.168.0.5 براي بسته اطلاعاتي اول و 192.168.0.21 براي بسته اطلاعاتي دوم مي باشد. سپس اين بسته هاي جديد به مقصدشان فرستاده مي شوند و مسيرياب ركورد مربوط به اين دو را از جدول NAT خود حذف مي كند.

روي اكثر دستگاه هايي كه NAT را پشتيباني مي كنند، ارتباطات NAT محدود به حافظه موجود روي آن دستگاه مي باشد. هر ترجمه NAT (تعويضIP) حدود 160 بايت از حافظه را اشغال مي كند. نتيجه اينكه اگر1000 ترجمه اتفاق بيفتد حدود 1.6 مگابايت از حافظه اشغال مي شود. بنابراين Platform ي براي استفاده از NAT مناسب است كه داراي حافظه كافي براي كنترل ارتباطات و عملكرد NAT را نيز داشته باشد.

 

تنظیم NAT در روتر:

 

در اینجا ما فقط می خواهیم آدرس های شبکه داخلی به یک آدرس خارجی و معتبر در اینترنت ترجمه شود. پس باید از srcnat استفاده کنیم. که هم می توان از masquerade استفاده کرد هم می توان از srcnat به همراه وارد کردن آدرس شبکه داخلی از طریق فیلد to-address استفاده کرد. ما اینجا هر دو روش را توضیح خواهیم داد.

Masquerade

در این حالت فقط کافی است اینترفیس خروجی را مشخص کنیم که به ترتیب زیر عمل می کنیم:

 

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether0

 

  

به این ترتیب کلیه IP هایی که در شبکه ما هستند از هر اینترفیسی که باشند اگر روتر را default gateway خود قرار دهند به اینترنت متصل می گردند.

Srcnat

در این حالت ما یک یا چند IP خاص را به یک IP ولید NAT می کنیم. در این حالت امنیت و کنترل بیشتری روی شبکه خود داریم.

 

/ip firewall nat add chain=srcnat src-address=172.16.0.0/24 action=src-nat

to-addresses=217.219.100.2

 

  

در حالت فوق هر کامپیوتر با IP در رنج 172.16.0.0 255.255.255.0 و default gateway172.16.0.1 می تواند از اینترنت استفاده کند. ما میتوانیم به جای یک رنج IP یک IP خاص یا یک رنج مخدود ت را انتخاب کنیم.

 

 

 

تنظیمات Filter

رول های Filter بسته به نیاز ما باید ساخته شوند . ما فعلا فرض میگیریم که می خواهیم ابتدا تنها به 3 کامپیوتر اجازه استفاده از اینترنت را بدهیم و برای همه پورت 135 را ببندیم و برای کلیه کامپیوتر ها ping بسته باشد و پورت telnet روتر برای همه بسته باشد. برای اعمال فوق الذکر به این ترتیب عمل می کنیم.

ما قصد بستن پورت 135 برای کلیه IP ها را داریم پس رول زیر را می نویسیم:

 

 

/ip firewall filter add chain=forward dst-port=135 protocol=tcp action=drop

 

 

به این ترتیب تمام درخواستها به این پورت drop می شوند.

 

حال باید رولی را ایجاد کنیم که ping بسته شود این رول نیز مانند رول قبل است:

 

 

/ip firewall filter add chain=forward protocol=icmp action=drop

 

 

 و اما رول بعد بستن پورت telnet به روتر:

در این حالت باید chain را input قرار دهیم به معنی تمام پکت های ورودی به مقصد روتر.

 

 

/ip firewall filter add chain=input protocol=tcp dst-port=23 action=drop

 

 

اکنون ما می خواهیم تنها 3 کامپیوتر به اینترنت دسترسی داشته باشند پس باید هر پکتی که قصد عبور از روتر را دارد و از این 3 کامپیوتر خاص صادر شده است اجازه عبور داده شده و بقیه پکت ها که قصد عبور از روتر را دارند drop شوند. پس اول باید رول های دسترسی سپس رول عدم دسترسی بقیه نوشته شود. در filtering ترتیب رول ها بسیار مهم است چون روتر به ترتیب از بالا به پائین رول ها را خوانده و عمل می کند.

 

 

/ip firewall filter add chain=forward src-address=172.16.0.2 action=accept/ip firewall filter add chain=forward src-address=172.16.0.3 action=accept/ip firewall filter add chain=forward src-address=172.16.0.4 action=accept/ip firewall filter add chain=forward src-address=172.16.0.0/16 action=drop

 

 

ما با رول های بالا دسترسی سه IP را باز و دسترسی کلیه پکت های دیگر را محدود کرده ایم.

اکنون تنظیمات ما به پایان رسیده است. ما یه روتر داریم که میان شبکه داخلی و خارجی ما قرار دارد روی روتر ما یک IP ولید به یک رنج IP اینولید NAT شده است. ما روی روتر به وسیله packet filtering از شبکه داخلی خود و روتر حفاظت می کنیم. و این امکان را داریم که دسترسی کلاینت های را به اینترنت کنترل کنیم.

 

22 دیدگاه + فرستادن دیدگاه

  • I am really impressed with your writing skills as well as with the layout on your blog. Is this a paid theme or did you customize it yourself? Anyway keep up the excellent quality writing, it is rare to see a nice blog like this one today.


    سایت
  • I go to see day-to-day a few websites and blogs to read content, except this website gves feature based content. http://www.gemalagee.com/


    سایت
  • You could definitely see your enthusiasm in the article you write. The world hopes for even more passionate writers like you who are not afraid to mention how they believe. At all times go after your heart.


    سایت
  • Wow that was strange. I just wrote an really long comment but after I clicked submit my comment didn't appear. Grrrr... well I'm not writing all that over again. Anyways, just wanted to say superb blog!


    سایت
  • Hi, its pleasant piece of writing regarding media print, we all understand media is a great source of facts.


    سایت
  • I usually do not leave a ton of comments, but i did a few searching and wound up here NAT و کاربرد آن در میکروتیک. And I actually do have 2 questions for you if it's allright. Is it only me or does it appear like some of these remarks come across as if they are left by brain dead individuals? :-P And, if you are writing on additional online sites, I would like to follow everything new you have to post. Could you list of every one of your shared pages like your linkedin profile, Facebook page or twitter feed?


    سایت
  • I just couldn't leave your site prior to suggesting that I really loved the usual information a person provide for your visitors? Is going to be again often in order to investigate cross-check new posts


    سایت
  • Pretty section of content. I just stumbled upon your site and in accession capital to assert that I acquire in fact enjoyed account your blog posts. Any way I'll be subscribing to your feeds and even I achievement you access consistently quickly.


    سایت
  • I am not positive where you are getting your info, however great topic. I must spend a while finding out more or understanding more. Thank you for fantastic information I was in search of this info for my mission.


    سایت
  • I'm truly enjoying the design and layout of your site. It's a very easy on the eyes which makes it much more pleasant for me to come here and visit more often. Did you hire out a developer to create your theme? Great work!


    سایت
  • Have you ever considered publishing an e-book or guest authoring on other sites? I have a blog centered on the same ideas you discuss and would love to have you share some stories/information. I know my visitors would appreciate your work. If you are even remotely interested, feel free to send me an email.


    سایت
  • Thank you for every other informative blog. The place else could I get that type of info written in such a perfect manner? I've a mission that I am simply now running on, and I have been at the glance out for such info.


    سایت
  • Keep this going please, great job!


    سایت
  • I'm impressed, I have to admit. Rarely do I encounter a blog that's equally educative and amusing, and let me tell you, you've hit the nail on the head. The issue is something too few men and women are speaking intelligently about. I am very happy that I came across this in my hunt for something relating to this.


    سایت
  • Generally I don't read article on blogs, however I would like to say that this write-up very compelled me to check out and do it! Your writing taste has been amazed me. Thank you, very nice article.


    سایت
  • Hello there, I found your web site by the use of Google whilst looking for a comparable subject, your web site came up, it appears to be like good. I have bookmarked it in my google bookmarks. Hi there, simply became alert to your blog via Google, and located that it's really informative. I am gonna be careful for brussels. I will be grateful should you continue this in future. A lot of folks shall be benefited out of your writing. Cheers!


    سایت
  • That is a very good tip especially to those fresh to the blogosphere. Simple but very accurate information… Thank you for sharing this one. A must read post!


    سایت
  • Hey! Do you know if they make any plugins to safeguard against hackers? I'm kinda paranoid about losing everything I've worked hard on. Any tips?


    سایت
  • It's actually very difficult in this active life to listen news on TV, so I just use internet for that purpose, and obtain the latest information.


    سایت
  • I'm really enjoying the theme/design of your site. Do you ever run into any browser compatibility problems? A number of my blog audience have complained about my website not operating correctly in Explorer but looks great in Firefox. Do you have any advice to help fix this problem?


    سایت
  • I’m not that much of a online reader to be honest but your blogs really nice, keep it up! I'll go ahead and bookmark your website to come back in the future. Many thanks


    سایت
  • topzi46f9b</br> male enhancement cream</br> <a href="http://bestmalesenhancementpills.com"> male enhancement products</a> </br> &lt;a href=&quot;http://bestmalesenhancementpills.com&quot;&gt; best male enhancement pills&lt;/a&gt; </br> http://bestmalesenhancementpills.com-natural male enhancement </br> male enhancement cream


    سایت

فرستادن دیدگاه


برای افزایش امنیت لطفا کدی را که در تصویر زیر می بینید در کادر وارد کنید :
CAPTCHA Image   Reload Image
Enter Code*: