8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Раздел: Документация

0 ... 99 100 101 102 103 104 105 ... 136

2/b

NAT

12

4. В окне Select Котищ Protocol щелкни re Network Address Translation, затем — ОК.

►Включение адресации NAT

II. Раскройте меню Start\Prugrams\Administrativc Tools\Routing and Remote Access,

2.В дерет консоли щелкните узел NAT правой кнопкой мыши.

3.В контекстном меню выберите команду Properties:

4.На вкладке Address Assignment пометьте флажок Automatically Assign IP Addresses By Using DHCP (Автоматически назначать IP-адреса с использованием DHCP).

5.При возможности задайте а окне IP-адрес маску подсети, которые будут назначаться DHCP-клиентам частной сети.

6.Прищелкните кнопку Exclude (Исключить) и укажите адреса, которые следует исключить из числа адресов, выделяемых DHCP-клиентам частной сети. Затем щелкните ОК.

Один или несколько общих адресов

f.c.in вы используете один общий IP-адрес, выделенный поставщиком услуг Интернета, дополнительной настройки IP-адресов не требуется. При использовании нескольких IP-адресов вам следует настроить интерфейс NAT для работы с диапазоном общих IP-адресов. Определите, можно ли ныразить диапазон общих IP-адресов, используя IP-адрес и маску.

Если количество выделенных вам IP-адресов кратнодвум (2. 4, 8, 16 и т.д.), весьдиа-пазон назначенных адресов можно выразить с помощью единственного IP-адреса и маски. Например, поставщикуслу: Интернета выделил вам 4 общих IP-адреса 200.100.100.212, 200.ИМ).НЮ.21 3, 200.100.100.214 и 200.10П ПН1.215 Эти 4 адреса можно выразить как 200.100.100.212 с маской подсети 2.55.255,255.252. Если используемые вами IP-адреса нельзя выра лпъ. применяя IP-адрес и маску подсети, их можно вводить какдиапазон или набор диапазонов, указывая начальный и конечный IP-адреса.

►Настройка . я IP-алрссон интерфейса

1.Раскройте меню Start\Programs\Admmi<>trative Tools\Routing and Remote Access.

2.В дереве консоли толките улед NAT.

3.В правой панели щелкните правой кнопкой значок интерфейса, который требуется

настроить, и выберите в контекстном меню команду Properties.

4.На вкладке Address Pool (Пул адресов! шелкните кнопку Add (Добавить).

.5. Укажите в полях Start Address и End Address начальный и конечный IP-адреса диапазона соответственно.

Разрешение входящих подключений

При обычном исполыопанни NAT к небольшой сети допускаются исходящие соединения компьютеров частной сети с общей сетью. Выполняющиеся из частной сети программы, например Web-браузеры, создают соединения с ресурсами Интернета. Обратный трафик из Интернета будет передаваться через NAT, поскольку соединение было инициировано компьютером чаелн?а сети. Чтобы предоставить пользователям Интернета доступ к ресурсам вашей частной сети, иыполнитеследующиедействия:

настройте на сервере ресурсов статическую IP-конфигурацию, включая IP-адрес (из диапазона П1-адресов, выделенных NAT-комныотсрх). маску подсети (из диапазона IP-адресов, выделенных NAT-компьютеру), шлюз по умолчанию (частный IP-адрес Ма -компьютера) и DNS-сервер (частный 1Р-аярсс NAT-компьютера);


•исключите IP-адрес, используемый сервером ресурсен, из диапазона IР-алросом. выделяемых N AT - компь ютеро м:

•настройтеспециальный порт — статическую привязкуобшет адреса и номера порта к частному адресу и номеру порта. Спецназыiuл порт привязывает входящее подключение пользователя Интернета к определенному адресу вашей частной сети. Используя специальный порт, вы можете создать в частной сети доступный из Интернета Web-сервер.

>Настройка специальных портов интерфейса

1.Раскройте меню Start\Programs\Administrative Tools\Routing and Remote Access.

2.В правой панели щелкните правой кнопкой значок интерфейса, который требуется настроить, и выберите в контекстном меню команду Properties.

3.На вкладке Special Ports щелкните TCP или UDP, затем — кнопку Add.

4.В поле Incoming Port введите номер порта входящего общего трафика.

5.Если задан диапазон общих IP-адресов, щелкните кнопку On This Address Pool Entry и затем введите общий IP-адрес входящего обшего трафика.

6.В поле Outgoing введите номер порта ресурса частной сети.

7.В поле Private Address введите частный адрес ресурса частной сети.

Настройка приложений и служб

Вам может потребоваться настроить приложения и службы для корректной работы и Интернете. Например, если пользователи небольшой сети хотят сыграть в «Diablo» с чользо-вателями Интернета, NAT следует настроить для работы с приложением

►Настройка сетевых приложений NAT

1.Раскройте меню Start\Programs\Administrative Tools\Routing and Remote Access.

2.В дереве консоли щелкните значок NAT правой кнопкой мыши.

3.Выберите в контекстном меню команду Properties.

4.На вкладке Translation (Преобразование) щелкните кнопку Applications (Приложения).

5.Чтобы добавить сетевое приложение, щелкните кнопку Add (Добавить).

6.В открывшемся окне введите параметрыприложения и щелкните

Для редактирования параметров или удаления сетевого приложения из списка в окне Applications щелкните кнопку Edit (Изменить) или Remove (Удалить) соответственно.

VPN-соединения транслируемой сети

Для доступа к частной интрасети по VPN-соединению из транслируемой сети можно воспользоваться протоколом РРТР и установить с компьютера интрасети VPN-спелпн них с VPN-сервером, находящимся в другой частной интрасети. Протокол маршрутизации NAT включает редактор NAT для трафика РРТР. Соединения, использующие протокол L2TP поверхне транслируются через сервер NAT.

Виртуальные частные сети и протоколы NAT

NAT способна преобразовывать далеко не весь трафик. Некоторые приложения имеют

встроенные IP-адреса (отсутствующие в заголовке IP) или просто зашифрованы. Для работы таких приложений пользователь может создать туннельное соединение через NAT, применив протокол РРТР, которому не требуется редактор, имеющийся в NAT. Редактируются


278

По*дер,ккэ протокола NAT

Глава 12

и преобразовываются лишь мгодовки IP и Generic Routing Encapsulation (GRE). Исходная , i ; !.:.; не ia ipea пилется. Это позволяет шифрованию или другим не поддерживаемым приложениям работать через NAT.

Исходный адрес РРТР-пакетов транслируется в адрес NAT. Инкапсулированному IP-пакету исходный адрес назначается сер :• • РРТР. Если пакет находится вне сервера РРТР, инкапсуляция удаляется, и исходным ачресом пакета становится адрес, назначенный сервером РРТР. Если сервер РРТР применяет пуладресов Интернета, клиент получает тснемнпедвнвш адрес и возможность к любым ресурсам Интернета. При этом будет работать любое приложение, поскольку исходная IP-дейтаграмма не преобразовывалась. Протокол NAT транслирует только инкапсуляцию (оболочку).

Примечание Протоколу L2TP не требуется редактор NAT. Тем не менее NAT не может транслировать протоколповерхРедактор NAT дляне

Данный метод обхода NAT полезен лишь при наличии РРТР-сервера, с которым можно установить туннельное соединение. Это удобно дляили пользователей, создающих туннельное соединение с корпоративной сетью (рис. 12-6).

ПриNAT частные адреса используются во внутренней сети обычным поряд-

ком. Такие адреса рекомендуются вместо проп шольного выбора IP-адресов, это позволяет предотвратить возможное дублирование IP-адресов, недействительных в Интернете. Во .избежание проблем при внедрении NAT следует учесть несколько моментов. При обычномNAT в небольшой сети допускаютсясоединения компьютеров частной сети с обшей сетью. Помните также, что NAT способен преобразовывать

далеко не весь трафик, поскольку чехотсрыс приложения используют встроенные 1р-ад-реса илиДля работы таких приложений следует установить через NAT тун-

соединение, применив протокол РРТР.

Пул действительных внешних адресов

17230.188.10 17230.188.11

сервер РРТР

=VPN

10.0.0.3

Рис. 12-6. Реализация VPN через сервер NAT

Резюме



0 ... 99 100 101 102 103 104 105 ... 136