|
Network Address Translation (NAT) Pregled Microsoft implementacija značajka adrese prijevodi se zove Network Address Translation (NAT). NAT može se koristi za uključivanje računala na mreži, kao što su u malim uredima ili kućne urede (SOHOs) da imaju zajedničke internetske veze pomoću jednog javne
IP adrese. NAT prevodi IP adresa i povezanih TCP / UDP portovi na privatnu mrežu na javne IP adrese koje mogu biti preusmjeren na internetu. Često, veličina mreže i sigurnosne zahtjeve mreže će diktirati hoće li se koristi NAT. Mreže koje ne zahtijevaju implementaciju rješenja
firewall ili proksiji poslužitelj rješenje mogu koristiti NAT pružiti osnovne Internet riječ koja veže. Kroz NAT, host računala mogu dijeliti jednu javno registrirani IP adresa za pristup Internetu. Sa NAT, svi odlazni paketi su proslijeđeni na NAT server. Na NAT server, izvorišna adresa tih odlaznih paketa su promjene, a zatim prosljeđuju Internetom. Svi dolazni paketi se prenose na NAT server. Na NAT server, adrese paketa se mijenja za unutarnje IP adrese, a zatim se vratio na izvor koji šalje paket. NAT računalo koje ima instaliran može biti konfiguriran kao jedno od sljedećeg: Mrežna adresa translator poslužitelja. Osnovni Dynamic Host Configuration
Protocol (DHCP) server Domain Name System (DNS)
proxy. Windows Internet Name Service (WINS) proxy.
U Routing and Remote Access Service (RRAS), NAT može se koristiti za pružanje osnovne Internet riječ koja veže za male urede i kućne urede. NAT nudi brojne sigurnosne značajke koje se mogu koristiti za siguran mrežnim resursima na Vašoj privatnoj mreži. Osim toga, DNS upite mogu biti poslani na DNS poslužitelj definiran u NAT. NAT također podržava
DHCP-kompatibilan IP konfiguraciju. Sa Windows Server 2003, NAT server može podržati sljedeće usluge ili komponente: NAT - servis adresa prijevod / komponente: Evo, računalo na kojem je instaliran NAT je prevoditelj mrežnu adresu poslužitelja. NAT prevodi odlaznih i dolaznih paketa "IP adrese i TCP i UDP portovi koje se prenose na Internet. DNS - razlučivanje imena komponenti: Evo, na računalu koje ima instaliran NAT djeluje kao DNS poslužitelj na druga računala žive na kućnu mrežu. NAT naprijed ime rješenje svojih zahtjeva za definirana Internet DNS poslužitelja, a zatim prosljeđuje bilo koji odgovore na pojedine kućnu mrežu računala. DHCP - IP adresiranje sastavnica: Evo, na računalu koje ima instaliran NAT djeluje kao pojednostavljeni DHCP server koji dodijeliti IP adresu informacije navedene u nastavku na druga računala žive na kućnu mrežu. Računala sa prebivalištem na kućnu mrežu moraju biti definirani kao DHCP klijenata da:
Postojeće mreže bi utvrdili koje usluge trebate omogućiti prilikom instalacije i konfigurirati NAT NAT server. Na primjer, ako imate postojeće DNS i DHCP poslužitelji, i dalje možete nastaviti s korištenjem ove servere kada je omogućena NAT. NAT servis je zapravo integrirati sa usmjerivač koji mijenja podatke u pakete pokretač prije njih je proslijeđena na Internet. NAT može biti konfigurirana kroz bilo koju od sljedećih komponenti: Potražnja-dial sučelje: veza uspostavljena je tek kada klijent izričito zahtjeva veze. Postojana veza: Te veze su stalne veze, a ostati otvorena cijelo vrijeme. Primjeri uporni veza je
DSL linija posvećena, ili dial-up sučelje koje redials kad se gubi veza.
Windows Server 2003 poslužitelj konfiguriran s jednom od sljedećih usluga može djelovati kao NAT server: Routing and Remote Access, NAT implementacija kroz Routing i Remote Access je preporučeni pristup. Internet Connection Sharing, treba koristiti za izuzetno male mreže jedini.
Kao što je spomenuto ranije, NAT prevodi IP adresa i povezanih TCP / UDP portovi na privatnu mrežu na javne IP adrese koje mogu biti preusmjeren na internetu. Kada se to dogodi prijevod, NAT dodjeljuje jedinstveni broj porta na sjednici as well. Klijent računalo se preslikavaju na jednom javnom IP adresa dodijeljena od strane
ISP-a u organizaciji ili dodijeljen od strane Internet Network Information Center (InterNIC). Kroz ovaj kartiranje, NAT je zatim u mogućnosti to vratiti odgovore na ispravan klijentsko računalo. Informacije na ovim mapiranje su pohranjeni u Mapping NAT sjednice stol. Default konfiguracija je da NAT prevodi IP adrese i TCP / UDP portove na IP datagrama, što pak za posljedicu mijenjanje tih polja u IP, TCP i UDP zaglavlja: Source IP adresa TCP, UDP i IP checksum Source port.
Windows Server 2003 sadrži podršku za VPN veze L2TP/IPSec funkcionirati sa NAT. Također možete koristiti NAT editor za nekoliko aplikacija koje ne sadrže IP adrese / luka podatke u okviru svoje zaglavlje. Windows Server 2003 sadrži NAT urednika navedene u nastavku: File Transfer Protocol (FTP) Internet Control Message Protocol (ICMP) Point-to-Point na Internet Direktni Igrajte se na Internet Lightweight Directory Access Protocol (
LDAP) temelji Internet Locator Service (ILS) registracija van na internet.
Razumijevanje Ograničenja NAT Postoji nekoliko protokola koji NAT nije u mogućnosti izvršiti prevođenje adresa za mrežu. Za NAT na rad i obavljanje prijevoda adresa mreže, potrebno IP broj porta informacije ili informacije u zaglavlju IP i TCP zaglavlje paketa. NAT koristi IP adrese i TCP i UDP luka luka unutar zaglavlja TCP, UDP zaglavlja i IP zaglavlja za prevođenje NAT promet. Iako možete koristiti NAT urednik prevesti FTP promet kroz NAT sustav, ovo ne vrijedi za sve protokole. NAT urednik radi samo za nekoliko protokola kao što je FTP i PPTP. Protokole koji su u osnovi nesposoban to dobar uspijeh NAT, vjerojatno je jedan od najznačajnijih ograničenja NAT. Nekoliko ograničenja NAT su navedene ovdje: Kada se provodi NAT kroz usmjeravanju i daljinskom pristupu, samo IP protokol je podržanih od. Sljedeći protokoli su protokoli koji NAT ne može obavljati prijevod na adresu: Simple Network Management Protocol (SNMP) Lightweight Directory Access Protocol (LDAP)
Kerberos verzija 5 Component Object Model (COM) Distributed Component Object Model (DCOM) Microsoft Remote Procedure Call (RPC)
Najnoviji Microsoft IP Security Protocol (IPSec) koji omogućava šifriranje preko zaglavlja IP Authentication Header (AH) ne može proći preko NAT. Kontrolere domena koji nisu u mogućnosti da replicira na NAT server.
Razumijevanje Kako NAT radovi NAT radi transparentno klijentima. To znači da klijenti nisu svjesni da NAT funkcionira. Klijent je u osnovi konfiguriran s adresom NAT server kao zadani pristupnik. Dakle, kada klijent šalje odlazne paketa, paket se prosljeđuje na NAT server. Kada NAT server primi paket, to obavlja sljedeće funkcije: Veza pokušaj se povezati s razglasa. NAT ispituje izvorišna adresa odredišta i adresa, kao i TCP / UDP portovi u zaglavlje paketa. Izvorišna adresa, odredišna adresa, a luka se informacije pohranjuju u Mapping NAT sjednice stol. NAT zamjenjuje izvor adresa paket s javnim adresu NAT server. Broj porta je također dodijeljen. Paket se šalje preko Interneta. Odgovori s udaljenog poslužitelja šalju se NAT server je obraćanju javnosti i dodijeljen broj porta. NAT u ovoj fazi se konzultira svoje NAT mapiranje tablice kako biste utvrdili da li to treba proslijediti odgovor na privatnu mrežu. Kada NAT tablica sadrži utakmicu, NAT provjere i koji klijent odgovor bi trebao biti proslijeđeni. Paket je tada put da odražavaju unutarnje privatne adresu klijenta kao odredišne adrese. Broj porta se mijenja ako je potrebno. Odgovor paket se zatim šalju preko privatne mreže na klijent koji u početku poslao paket preko Interneta.
NAT sjednica Mapping Table Informacije sadržane u Mapping sjednice NAT NAT tablica omogućuje da se vrati odgovore na ispravan klijentsko računalo. Informacije pohranjene u Mapping NAT sjednice tablici je naveden ovdje: Protokola; naveden kao ni TCP ili UDP, to je protokol koriste za naprijed pakete. Smjer; naveden kao ni ulazni promet, ili kao outbound promet Privatna adresa; unutarnje klijent računala privatne IP adrese. Privatni Luka; privatni broj priključka za sjednicu. Javna Adresa; javnih IP adresa je dodijeljena od strane ISP-a i organizacije ili mreže Internet Information Center (InterNIC) Javna Luka; luka broj dodijeljen sjednici. Remote Address; IP adresu klijenta koji želi pristupiti. Daljinski Luka; luka broj dodijeljen na sjednici. Idle Time; za praćenje zapisa unutar Mapping NAT sjednice stol. Entries biti uklonjeni kada se šalje bez prometa na određenu vezu za prethodno definirani vremenski period.
Razumijevanje razlike između NAT i Internet Connection Sharing (ICS) Internet Connection Sharing (ICS) je još jedna značajka integriran sa Windows koja omogućuje Internet povezanost s domaćinima pomoću sučelja. ICS pruža jednom javnom IP adresa za spajanje na internet, fiksni raspon adresa za domaćine, DNS proxy za razlučivanje imena, i automatski IP adresiranje. ICS je lako konfigurirati. Dok NAT implementacija kroz Routing i Remote Access je preporučeni pristup, možete koristiti Internet Connection Sharing za izuzetno male mreže. Možete koristiti ICS za povezivanje cijele mreže na Internet. To je zbog ICS značajka koja pruža prevedene veze - sva računala mogu pristupiti resursima na Internetu. Slično kao NAT, kada se koristi ICS, privatne IP adrese su skriveni iz javne mreže. Javna vanjske adrese koriste se preko javne mreže. Dok NAT uključuje Osnovna značajka Vatrozid koji dozvoljava samo odgovor promet će biti proslijeđen privatne mreže, ICS uključuje Internet Connection Firewall usluga za iste funkcionalnosti. Jedna od glavnih karakteristika pomoću ICS-jest da je pretkonfiguriranim. ICS automatski konfigurira unutarnje adresu računala hosting zajedničke veze u 192.168.0.1. Interni klijenti su dodijeljene adrese u raspon adresa 192.168.0.0/24. Interni klijenti postoje na identičan fizičkom podmreže. Svi unutarnji klijenti ukazuju na ICS računalo za DNS rezolucije. Zajedničke vanjske sučelje je jednom obraćanju javnosti. Sa NAT implementacija, NAT server može biti konfiguriran s bilo koje privatne IP adrese kao i njegove unutarnje adresa. Također možete onemogućiti proxy DNS i DHCP server značajke ako imate DNS poslužitelj i DHCP poslužitelj konfiguriran u svom okruženju. Sa NAT, možete koristiti više sučelja. Zajedničke vanjske sučelje može biti konfiguriran s jednim javnim adresu ili s drugim javnim adresama. Možete instalirati ICS koristeći mreža i Dial-Up Connections. NAT je instaliran preko Routing And Remote Access konzola. NAT Design Requirements Nekoliko NAT-specifičan dizajn zahtjevi navedeni su ovdje: Definirajte karakteristike podataka prolazi kroz NAT server. Zahtjevi trebaju sadržavati tajnosti podataka i količina podataka NAT server bi trebao rukovati. Resursa koji borave u privatne mreže koje bi trebale biti dostupne korisnicima Interneta. Vrijeme trajanje za koje korisnici moraju pristupiti putem internetske veze. Vrijeme odgovora za one aplikacije pristupaju resursima putem internetske veze.
Router karakteristike, uključujući i tekuće WAN veze, protokola se koristi u rivate mreži, i položaj postojeće usmjerivač. Buduće proširenje mreže.
Projektiranje NAT Strategije Čimbenici koji bi trebali biti uključeni kada definirati i dizajn NAT strategije su navedene u nastavku: Utvrdite da li NAT je zaista pravi prijevod mehanizam adresa za mrežu. Čimbenici uključiti u tu odluku bi trebao biti: Odrediti koja protokola i aplikacija neće moći proći kroz NAT. Na primjer, NAT ne može obavljati adresa prijevod na Simple Network Management Protocol (SNMP) i Lightweight Directory Access Protocol (LDAP). Odredite vrstu veze koja će se koristiti. Uz zahtjev biranje sučelje, veza je uspostavljena tek kada klijent izričito zahtjeva veze. Sa uporna veze, veze su stalne veze, a ostati otvorena cijelo vrijeme. Utvrditi privatna mreža IP shema adresiranja i broj javnih IP adresa za nabavu. Utvrdite sučelja koje će biti podešeni da imaju privatne IP adrese i sučelja koje će biti konfiguriran s javnim IP adresama. Utvrditi optimalan broj spoj potreban kako bi se osigurala raspoloživost i poboljšane performanse ili NAT rješenja. Odrediti da li tvoj implementacija NAT obuhvatit će više internet veza za zalihost svrhe. Utvrditi servera koji će biti konfigurirana kao NAT poslužiteljima. Utvrdite da li NAT Internet htijenje dopustiti korisnik da biste mogli pristupiti resursima na privatna mreža. Utvrditi kako pristup resursima na privatne mreže bit će dodijeljena i održavati. Utvrdite da li filtri biti configured to onemogućiti korisnike da se nalazi unutar privatne mreže od pristupa Internetu. Utvrdite da li NAT će se obavljaju sljedeće funkcije uz Network Address Translation:
Kada klijent računala pristupiti resursima na internetu, oni koristiti potpuno kvalificirani imena domena (FQDNs) koje treba riješiti u IP adrese DNS poslužitelja. Stoga je potrebno utvrditi koji način će se koristiti za DNS ugled rješenje za klijenta izračunava taj potreba to pristup Internet. Metode koje možete koristiti da biste definirati DNS poslužitelj koji klijenti mogu koristiti za rješavanje potpuno kvalificirani imena domena (FQDNs) su navedene ovdje: Možete ručno konfigurirati svaki klijent računalu. Ova metoda trebala bi se koristiti ako želite koristiti različite metode DNS ugled rješenje za različite klijent računala. Možete definirati NAT DNS poslužitelj, tako da su automatski riješeni FQDNs za klijent računala.
Prednosti i nedostatke korištenja određenih IP konfiguraciju metode se sada raspravlja. Informacije koje mogu biti korisna kada trebate odlučiti o metodi IP konfiguraciju za korištenje s vašim dizajnom NAT. Prednosti korištenja IP adrese NAT dodjela lice kao metoda IP konfiguraciju navedeni su ovdje. Misconfigurations su smanjene, i jedva bilo koje vrijeme je potrebno dodijeliti IP konfiguracijske informacije. Nema dodatnih troškova nisu potrebne. Višestruki mrežni segmenti jesu podržanih od.
Nedostatak korištenja NAT IP adrese dodjela značajka je da je ona dostupna je samo za DHCP klijenata. Prednosti korištenja DHCP poslužitelj kao metoda IP konfiguraciju navedeni su sljedeći: Misconfigurations su smanjene, i jedva bilo koje vrijeme je potrebno dodijeliti IP konfiguracijske informacije. Višestruki mrežni segmenti jesu podržanih od.
Nedostaci pomoću DHCP poslužitelj kao metoda IP konfiguracija je naveden u nastavku: Prednosti korištenja Automatic Private IP Assignment (APIPA) kao metoda IP konfiguraciju su navedene ovdje: Misconfigurations su smanjene, i jedva bilo koje vrijeme je potrebno dodijeliti IP konfiguracijske informacije. Nema dodatnih troškova je potrebno.
Nedostaci korištenjem automatskog Private IP Assignment (APIPA) kao metoda IP konfiguracija je naveden u nastavku: Prednost od koristeći ručno podešavati kao metoda IP konfiguracija je naveden ovdje: Nedostaci ručnom konfiguracije kao metoda IP konfiguracija je naveden u nastavku: NAT Server Placement i NAT server Zahtjevi NAT server bi trebao nalaziti na privatna mreža, i trebala bi imati sljedeće komponente: Jedan mrežni prilagodnik karta konfiguriran s unutarnje privatne IP adrese koja povezuje unutarnje privatne klijent računala. Možete definirati jednu ili više NAT server sučelja za privatne poslovnicu ili mrežu mali ured ili doma ured (SOHO). Jedan mrežni adapter konfiguriran s javnim IP adresa koje se spaja na Internet.
Nekoliko preporuka za stavljanje NAT servere u vašem okruženju su navedene ovdje: IP prosljeđivanje ne bi trebalo biti omogućeno na sučelje NAT server koji je spojen na Internet. IP usmjeravanje treba biti omogućeno na sučelja NAT poslužitelja koja su povezana s privatnom mrežom segmenata / mali ured ili doma ured (SOHO). Privatna mreža segmenti / SOHO treba biti izoliran od Interneta.
Da biste poboljšali performanse NAT server i optimizirati Vaše NAT server hardver, razmotrite sljedeće preporuke: Koristite posvećen računalu da radi NAT. Kada koristite NAT posvećena poslužitelj, te osigurati sljedeće ključne značajke za NAT implementacija: Sprječavanje druge usluge i aplikacije iz trčanje na istom računalu kao i NAT znači da ove usluge / aplikacije ne koriste sistem izvori. Sistem izvori jesu posvećena NAT što zauzvrat pruža optimalan NAT server performanse. Isto tako bi se sprečavanje drugih usluga i aplikacija od toga da je uzrok NAT server trebaju biti ponovo pokrenuti, ili zatvarate.
Korištenje ustrajan internetske veze bi se osiguralo da NAT server može u svako vrijeme spojiti na internet. Korištenje više podatkovna veza stopa Interneta dovodi do poboljšane izvedbe prometa prolazi kroz internetske veze.
NAT Sigurnost NAT ne daju neke sigurnosne značajke koje možete koristiti kako bi osigurali svoj privatni internoj mreži i njenim resursima od neautoriziranog pristupa. Sjećati se taj NAT ne bi trebao biti korišten alternativa za implementiranje vatrozid rješenja, ako je potrebno. Dok NAT sigurnost je na cijeli zvuk, možete koristiti sigurnosne značajke koje NAT za poboljšanje sigurnosti vašeg NAT implementacija dalje. Sigurnosnim zahtjevima organizacije bi trebao biti korišten kao osnova za provođenje nekoliko mogućnosti NAT sigurnost. Jedan od primarnih ciljeva primjene NAT sigurnosti valja ograničiti ulazni promet na NAT server. Routing and Remote Access Service (RRAS) IP paket filtera može se koristiti za ograničavanje dolaznih ili odlaznih rasponi IP adresa na temelju podataka u IP zaglavlju. Možete kombinirati i konfigurirati višestruke filtre za nadzor mrežnog prometa. Nekoliko važnih obilježja IP paket filteri su navedene u nastavku: Neželjene promet koji bi trebao biti filtriran obično uključuje: Kada koristiti IP
packet filtera: Da biste ograničili promet bude dostavljen, odnosno od specifičnih računalo, možete filtrirati na izvor / odredišta raspon IP adresa. Za ograničavanje prometa dolazi iz, ili slanja na određenu IP adresu raspon mreže segmenta, možete filtrirati na izvor / odredišta raspon IP adresa. Da biste ograničili promet se prenose do / od određene aplikacije, možete filtrirati na protokol broj.
Sa NAT, možete konfigurirati dvije vrste IP paket filtera. Prilikom definiranja kriterija za paket filtera, možete koristiti bilo kombinacija IP zaglavlja podataka. Vrste IP packet filtera za konfigurirati NAT su: Ulazni IP paket filtera: Evo, promet se filtrira na osnovi IP adresa radna stanica pokušava pristupiti privatne mreže. NAT po zadanom kapi svi ulazni zahtjevi za pristup privatnom mrežnim resursima. Stoga, trebate izričito dopušta pristup mrežnim resursima pomoću privatne neke dodatne konfiguracijske. Izlazni IP paket filtera: Ovi filteri se koriste za filtriranje ili ograničiti promet pokušava pristupiti internetu.
Postoji svibanj biti prigode kada želite da određeni korisnici Interneta ili VPN korisnicima pristup resursima na privatnu mrežu, ili pristup web-poslužitelju koji žive na privatnoj mreži. Metode koje možete koristiti na karti vanjske javne IP adrese i portovi na privatnim IP adresama i privatnim lukama, tako da internih privatnih resursa može se pristupiti raspravlja se ovdje: NAT adresa preslikavanja: Možete koristiti poseban priključak na karti specifične Internet korisnici na sredstva unutar privatne mreže, te na taj način, pružiti internet korisnik sa pristup resursima koji žive unutar privatne mreže. Poseban priključak se može definirati kao statički kartiranje javnih IP adresa i luka broj kombinacija za privatne IP adresa i luka broj. Administratori mogu konfigurirati NAT mapiranje adresa za svaku određenu privatne mreže resursa koji su Internet korisnici dozvoljen pristup. Stvarni broj privatnih mrežnim resursima koje možete staviti na raspolaganje korisnicima Interneta za pristup se određuje broj TCP / UDP portovi. NAT adresa bazeni: bazen NAT adresa osobina može se koristiti kako bi se dozvolilo VPN korisnicima i Internet korisnicima da pristupaju privatne mrežnim resursima. NAT server zahtjeva za jednog od javnih IP adresa sa određenim TCP / UDP port broj resursa u privatne mreže. Nekoliko osnovnih pravila za korištenje NAT adresa bazeni su navedene ovdje: Administratori moraju osigurati privatne mrežne IP adrese poslužitelja koji NAT server može povezati korisnike. Administratori imaju primijeniti port ograničavanje strategije ograničiti promet koji je dozvoljen pristup privatnom mrežom.
|
