NAT/NAPT/Multi-NAT Routery Vigor mog obsugiwa dwie niezalene podsieci IP w ramach sieci LAN (patrz opis funkcji zwizanych

z routingiem IPv4). Podsie pierwsza przeznaczona jest dla realizacji mechanizmu NAT, aby umoliwi komputerom korzystanie z tzw. prywatnych adresw IP. Adresy prywatne to grupy adresw wydzielone w ramach klas adresw A, B i C, nieobsugiwane przez urzdzenia publicznej Sieci (czyli nie mona si za ich pomoc komunikowa w Internecie). Adresy prywatne mog za to by wielokrotnie wykorzystywane w lokalnych, zamknitych sieciach rnych organizacji (tzw. Intranetach), a ich uycie jest dowolne i nie wymaga uzyskania oficjalnego zezwolenia czy przydziau. Pomys ten zrodzi si jako jeden z rodkw zaradczych wobec kurczenia si puli adresw IP w latach intensywnego rozwoju Internetu. Zosta wykorzystany przez producentw urzdze, ktrzy opracowali sposb na dostp do Internetu dla maszyn zaadresowanych z puli prywatnej translacj adresw. NAT (ang. Network Address Translation) pozwala na wykorzystanie jednego bd kilku adresw publicznych do obsuenia caej komunikacji pomidzy sieci prywatn a Internetem. Pakiety wychodzce z sieci prywatnej do Internetu musz mie adres rdowy podmieniony na adres publiczny, aby mogy osign cel. Dziki temu moliwa bdzie odpowied systemu zdalnego i wzajemna komunikacja przez Internet. Dlatego kiedy pakiet opuszcza podsie 1, router Vigor w polu jego adresu rdowego umieszcza adres publiczny uzyskany od operatora. Kiedy przychodzi odpowied, jest ona zaadresowana na ten wanie adres wasny routera, a komputer odpowiadajcy nie wie jaki jest rzeczywisty adres maszyny prowadzcej dialog. Przekazanie pakietu do waciwego komputera jest ju lokaln spraw routera NAT. Aby obsuy wiele niezalenych procesw komunikacji na raz, stosuje si odwzorowywanie portw rdowych na tzw. pseudo-porty, wybierane przez router z okrelonego zakresu. Do tego dochodz rne operacje dodatkowe, majce na celu usprawnienie mechanizmu translacji adresw. Poniewa podsie prywatna jest ukryta za pojedynczym adresem routera, nie jest moliwe wysyanie pakietw z Internetu bezporednio na adresy poszczeglnych komputerw, a jedynie na adres routera. Kady pakiet przychodzcy, ktry nie jest wysany w odpowiedzi na inny pakiet w ramach sesji wymiany zainicjowanej przez lokalny komputer, bdzie zawsze odrzucony przez router. Ma to swoje zalety w postaci domylnego maskowania sieci, jednak z drugiej strony ogranicza moliwoci korzystania z usug i zasobw sieci prywatnej. Jednak wykorzystujc pewne informacje pomocnicze, jak numery portw protokow, mona zdefiniowa reguy kierowania okrelonego ruchu na dane adresy prywatne. Proces ten jest okrelany jako NAPT (Network Address & Port Translation) i funkcjonuje w routerach Vigor w kilku odmianach, opisanych dalej. Przekierowywanie portw Ustawienia te dotycz ruchu przychodzcego od strony sieci publicznej, zaadresowanego na okrelony numer portu protokou TCP bd UDP. Istnieje tutaj moliwo skierowania takiego ruchu na ten sam bd inny port docelowy funkcjonujcy na wybranej maszynie nalecej do sieci prywatnej. Moliwe jest zatem publiczne udostpnianie rnych usug, dziaajcych na tym samym bd rnych serwerach w sieci LAN. Warto zauway, e wystarczy do tego jeden publiczny adres IP przydzielony od strony interfejsu WAN. Istotn zalet jest te bezpieczestwo wewntrzny rozkad ruchu i rzeczywista struktura sieci s ukryte przez mechanizm NAT: 1

2004 BRINET Sp. z o. o.

NAT/NAPT/Multi-NAT

Okno pokazuje udostpnienie na zewntrz popularnych usug dziki przekierowaniu portw: Nr numer przekierowania (1-10) Nazwa usugi dowolny komentarz administratora, np. www, ftp. Protok naley wybra protok, ktry ma by przekierowany (TCP lub UDP) Port zewntrzny oryginalny numer portu, oczekiwany dla danej usugi (np. 80, 23, 25, 21 itd). Naley pamita, e pewne usugi korzystaj z wicej ni jednego portu np. ftp. Jeeli w gr wchodz cae grupy portw mona wykorzysta opcj Sterowanie portami (patrz dalej). Adres lokalny prywatny adres maszyny-serwera w sieci lokalnej, na ktry zostanie skierowany ruch Port wewntrzny rzeczywisty numer portu, na ktrym funkcjonuje usuga (niekoniecznie standardowy, jeeli serwer pozwala uy innego i na takim porcie oczekuje na zgoszenia klientw). Aktywne wczenie danego przekierowania Analogicznie moliwe jest te przekierowywanie portw wewntrznych, tzn. realizacja odwzorowania portw pomidzy dwoma adresami IP z sieci prywatnej, np. dla ukrycia rzeczywistego adresu/portu serwera obsugujcego lokalnych uytkownikw.

2004 BRINET Sp. z o. o.

NAT/NAPT/Multi-NAT Sterowanie portami Ta opcja NAT pozwala przeadresowa ruch dla pewnego cigego zakresu portw, wysyajc go na okrelony prywatny adres IP. Mona to wykorzysta na przykad do upublicznienia usug korzystajcych z kilku kolejnych portw, czy te odsonicia wybranego, niestandardowego zakresu portw na danym hocie w celach szczeglnych np. do testowania wasnych aplikacji sieciowych.

W oknie gwnym powyej wywietlane s stany biecych profili: Nr numer reguy (1-10) Komentarz pomocniczy cig znakw wprowadzony dla opisu Adres lokalnego hosta adres IP hosta, na ktry skierowano ruch Status pozycja aktywna bd nie Anuluj rezygnacja z zatwierdzenia zmian i wyjcie z menu Wyczy wszystko sprowadzenie wszystkich wpisw do stanu wyjciowego, rwnoznaczne z usuniciem zdefiniowanych przekierowa

2004 BRINET Sp. z o. o.

NAT/NAPT/Multi-NAT Po klikniciu na wybran cyfr otwiera si okno definicji reguy:

Wcz profil uaktywnienie danej reguy Komentarz dowolny komentarz administratora Host lokalny docelowy adres IP mona wybra z listy bd wpisa w odpowiednie pola w oknie Moliwe jest wybranie do 10 zakresw portw dla protokow TCP jak i UDP: Protok protok transportowy (TCP lub UDP) Port pocztkowy pierwszy port definiowanego zakresu Port kocowy ostatni port definiowanego zakresu Anuluj rezygnacja z zatwierdzenia zmian i wyjcie z menu Wyczy wszystko sprowadzenie wszystkich wpisw do stanu wyjciowego, rwnoznaczne z usuniciem zdefiniowanych przekierowa Warto zwrci uwag na fakt, i nie ma tutaj moliwoci odwzorowania oryginalnych portw wyznaczonych ruchem przychodzcym na inne, niestandardowe. Dokonuje si raczej otwarcia zakresw portw na danym hocie lokalnym. Za to mona za pomoc pojedynczej reguy otworzy dowoln liczb portw (w maksymalnie 10 osobnych zakresach) na dowolnym serwerze w sieci prywatnej. Takich regu mona zdefiniowa do 10, podobnie jak w opcji poprzedniej. 4

2004 BRINET Sp. z o. o.

NAT/NAPT/Multi-NAT Host DMZ Funkcja ta pozwala na nadanie wybranej maszynie w sieci lokalnej statusu tzw. strefy zdemilitaryzowanej (ang. DMZ - Demilitarized Zone). Komputer taki nie jest osonity mechanizmem NAT w tym sensie, e nastpuje proste przekierowanie wszystkich moliwych portw na ten wanie adres IP. Od strony sieci publicznej host taki jest zatem dostpny tak samo jak gdyby to on posiada publiczny adres IP w rzeczywistoci przypisany do interfejsu routera. Istotne jest jednak to, e router nadal zapewnia ochron za pomoc regu filtrowania ruchu i alarmowania o rnego rodzaju podejrzanej aktywnoci od strony Internetu (patrz dalej Filtr/Firewall). DMZ moe suy do zastosowa generujcych duy ruch i korzystajcych z wielu portw np. wielofunkcyjne komunikatory typu NetMeeting, gry internetowe typu Quake, Starcraft itp. Opcja DMZ jest te przydatna dla zapewnienia komunikacji aplikacjom, ktre nie dziaaj prawidowo z mechanizmem NAT w penym wydaniu (NAPT).

Wcz uruchomienie strefy zdemilitaryzowanej dla danego adresu IP IP hosta lokalnego adres IP mona wybra z listy bd wpisa w odpowiednie pola w oknie. Dla uniknicia niejednoznacznoci wszystkie funkcje zwizane z przeadresowywaniem ruchu przychodzcego ustawione s wedug przyznanych im priorytetw wanoci. Ukad priorytetw jest niezmienny i wyglda nastpujco: Przekierowywanie portw Sterowanie portami Host DMZ W konsekwencji, dla danego pakietu przychodzcego jako pierwsze brane s pod uwag ustawienia funkcji Przekierowanie portw i nastpuje obsuga pakietu zgodnie z zawart tam regu. Jeeli dla pakietu nie istnieje tam adna regua, nastpuje przejcie do funkcji Sterowanie portami. Jeeli adna z regu tej funkcji nie pasuje do odebranego pakietu, zaczyna si poszukiwanie adresu IP Hosta DMZ. Jeeli tylko jest on aktywny, pakiet zostanie wysany na jego adres (niezalenie od numeru portu docelowego patrz opis DMZ). Jeeli strefa DMZ nie zostaa uruchomiona, pakiet zostanie odrzucony. Tak rozbudowana i zrnicowana struktura mechanizmu NAPT gwarantuje administratorom wysoki stopie elastycznoci podczas planowania udostpniania usug i aplikacji. 5

2004 BRINET Sp. z o. o.

NAT/NAPT/Multi-NAT Multi-NAT (wielokrotny NAT) Do interfejsu WAN routera Vigor, oprcz podstawowego adresu IP przydzielanego statycznie bd dynamicznie przez operatora, mona przypisa kilka zakupionych dodatkowo adresw staych. Bd to tak zwane aliasy IP, czyli swego rodzaju adresy dodatkowe, traktowane przez router podobnie jak adres podstawowy. Ich obecno poszerza moliwoci komunikacyjne, co wida szczeglnie w przypadku funkcji NAT (patrz opis dalej). Dodatkowe adresy przypisuje si w tym samym menu co adres podstawowy przy konfiguracji Dostpu do Internetu. Naley wybra pole Alias IP interfejsu WAN, pokazane na rysunku dla dostpu MPoA. To samo pole jest dostpne rwnie w innych opcjach dostpu szerokopasmowego:

Po klikniciu na wskazane pole otwiera si okno, w ktrym mona zarzdza dodatkowymi adresami IP (nastpny rysunek). Pierwszy adres na licie (adres podstawowy) staje si tam obecny w sposb automatyczny po poprawnej konfiguracji poczenia z Internetem, i automatycznie staje si adresem NAT. Kolejne adresy aliasy naley wprowadzi rcznie. Dziki wikszej liczbie adresw NAT mona realizowa przekierowanie ruchu w zalenoci od tego, na ktry z adresw WAN routera zosta on wysany. W praktyce otwiera to moliwo wyznaczenia wielu stref DMZ, czy te uruchomienia w sieci prywatnej kilku publicznych serwerw tej samej usugi. Oba przypadki pokazano na przykadzie. Bazuje on na zaoeniu, e operator przydzieli publiczn podsie 80.55.79.88/29, przy czym do dyspozycji uytkownika pozostaj adresy 80.55.79.90-94. Adres pierwszy posuy jako podstawowy, i zosta na trwae przypisany do interfejsu WAN. Nastpnie dodano jeszcze adresy 80.55.79.91 i 92 jako aliasy.

2004 BRINET Sp. z o. o.

NAT/NAPT/Multi-NAT

W efekcie przypisania dodatkowego adresu publicznego do puli NAT, w ramach funkcji DMZ moliwy jest wybr rnych hostw:

2004 BRINET Sp. z o. o.

NAT/NAPT/Multi-NAT Analogicznie, po wejciu w menu Sterowanie portami wida, jak router poszerzy swoj ofert o dodatkowe adresy publiczne jako potencjalne adresy, na ktre mona kierowa ruch z zewntrz. Prezentowany przykad zawiera propozycj uruchomienia pod adresem 80.55.79.90 (w rzeczywistoci 192.168.1.7) pary serwerw www i ftp. Jednoczenie pod adresem 80.55.79.91 (191.168.1.9) nastpuje udostpnienie oddzielnej pary serwerw (patrz ilustracja dalej). W rezultacie mona by tutaj uruchomi serwisy o przykadowych nazwach ftp.firma.com i www.firma.com jak rwnie ftp.prywftep.pl i www.mojastrona.pl:

2004 BRINET Sp. z o. o.

NAT/NAPT/Multi-NAT Zarwno aktualne sesje NAT, inicjowane z sieci prywatnej, jak i aktywne przekierowania mona monitorowa z poziomu interfejsu uytkownika:

Dodatkowo, dziki obsudze standardu UpnP (ang. Universal Plug and Play), niektre aplikacje mog same otwiera porty dla swoich potrzeb bez ingerencji uytkownika.

2004 BRINET Sp. z o. o.