NAT و بررسی ﻗﺎﺑﻠﯿﺖ آن در ﻣﯿﮑﺮوﺗﯿﮏ
NAT و بررسی ﻗﺎﺑﻠﯿﺖ آن در ﻣﯿﮑﺮوﺗﯿﮏ
(NAT (Network Address Translation:
Firewall:
زﻣﺎﻧﯽ ﮐﻪ دو ﺷﺒﮑﻪ را ﺑﻪ ﯾﮑﺪﯾﮕﺮ ﻣﺘﺼﻞ ﻣﯽ ﮐﻨﯿﻢ
اﺣﺘﯿﺎج ﺑﻪ حفاظت از ﻫﺮ ﯾﮏ ﻧﺴﺒﺖ ﺑﻪ دﯾﮕﺮي دارﯾﻢ ﮐﻪ اﮐﺜﺮ ﻓﺎﯾﺮوال ﻫﺎي اﻣﺮوزي ﺑﺮاي ﺣﻔﺎﻇﺖ از ﯾﮏ ﺷﺒﮑﻪ در ﻣﻘﺎﺑﻞ اﯾﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده می شوند.
ﻣﯿﮑﺮوﺗﯿﮏ را ﻣﯽ ﺗﻮان ﺑﻪ ﻋﻨﻮان ﯾﮏ ﻓﺎﯾﺮوال ﻗﻮي اﺳﺘﻔﺎده ﮐﺮد.
از ﻗﺎﺑﻠﯿﺖ ﻫﺎي ﻓﺎﯾﺮوال ﻣﯿﮑﺮوﺗﯿﮏ می توانیم به اﯾﺠﺎد NAT و Filtering اشاره کنیم.
در ﺷﺒﮑﻪ ﻣﻌﻤﻮﻻ ﻓﺎﯾﺮوال را ﺑﺮ روي Edge یا لبه شبکه ﻧﺼﺐ ﻣﯽ ﮐﻨﻨﺪ
ﮐﻪ ﮐﺎر ﺣﻔﺎﻇﺘﯽ ﺷﺒﮑﻪ داﺧﻠﯽ را از ﺣﻤﻼت ﺧﺎرﺟﯽ را ﺑﻪ ﻋﻬﺪه دارد.
ﻓﺎﯾﺮوال ﻫﺎ ﻣﻤﮑﻦ اﺳﺖ اﺳﺘﺮاﺗﮋي ﻫﺎي ﻣﺨﺘﻠﻔﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ ﮐﻪ بستگی ﺑﻪ نوع ﺷﺒﮑﻪ و ﺳﻄﻮح اﻣﻨﯿﺖ آﻧﻬﺎ دارد.
در اﯾﻦ مقاله ﻣﺎ ﻗﺎﺑﻠﯿﺖ NAT در ﻣﯿﮑﺮوﺗﯿﮏ را ﺑﺮرﺳﯽ می کنیم
و در مقاله ﻫﺎي ﺑﻌﺪی ﺑﻪ ﺑﺮرﺳﯽ Filtering و Mangle ﮐﻪ از ﻗﺎﺑﻠﯿﺖ ﻫﺎي ﻓﺎﯾﺮوال ﻣﯿﮑﺮوﺗﯿﮏ ﻣﯽ ﺑﺎﺷﺪ ﺧﻮاﻫﯿﻢ ﭘﺮداﺧﺖ.
NAT ﻣﺨﻔﻒ Network Address Translation، است
ﻣﺎ ﺑﺮاي ﺷﺒﮑﻪ داﺧﻠﯽ از IP ﻫﺎي Private اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﯿﻢ.
اﯾﻦ IP ﻫﺎ در ﺷﺒﮑﻪ ﻫﺎي ﻣﺤﻠﯽ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد و در دﻧﯿﺎي اﯾﻨﺘﺮﻧﺖ ﻗﺎﺑﻞ ﻣﺴﯿﺮﯾﺎﺑﯽ ﻧﯿﺴﺘﻨﺪ
ﺑﻪ ﻫﻤﯿﻦ ﺧﺎﻃﺮ ﺳﺮوﯾﺲ NAT ﺑﻪ وﺟﻮد آﻣﺪ.
ﺑﺎ ﺗﻨﻈﯿﻢ اﯾﻦ ﺳﺮوﯾﺲ که IP آدرس Private را ﺑﻪ IP آدرس Public و بر عکس آن را ﺗﺮﺟﻤﻪ می کند
امکان دسترسی شما را به سرویس های داخلی سازمان تان مقدور می سازد.
سرویس Firewall:
فایروال (Firewall) یا دیوار آتش به نرم افزارها یا سخت افزارهایی گفته می شود
که از دسترسی های غیرمجاز به کامپیوتر فرد یا یک شبکه جلوگیری کرده
و داده های ورودی و خروجی را کنترل می کند.
در واقع کار اصلی فایروال توانایی تشخیص داده های سالم و مخرب برای ورود و خروج از شبکه می باشد.
- امکان مدیریت ترافیکهای ورودی، خروجی و عبوری از شبکه را به ما می دهد
- امکان ایجاد محدودیتهای ترافیکی بر اساس پروتکل های امنیتی سازمان
- مدیریت کامل بر تمام پورتها و پروتکل های شبکه
- امکان علامت گذاری اتصالات و پکت ها برای مقاصد خاص
- امکان تغییر در پارامترهای پکت ها مقاصد خاص
ﺑﺪﻟﯿﻞ وﺟﻮد ﻣﺤﺪودﯾﺖ در ﺗﻌﺪاد آدرس ﻫﺎي IPv4 آدرسﻫﺎي IPv6 ﻃﺮاﺣﯽ ﺷﺪه اﺳﺖ
ﮐﻪ در آن ﻣﺤﺪوده آدرسﻫﺎي IP اﻓﺰاﯾﺶ پیدا کرده،
ﺑﻨﺎﺑﺮاﯾﻦ در آدرسﻫﺎي IPv6 ﺑﻪ NAT نیازی نیست.
در اﯾﻦ درس ﺗﻤﺮﮐﺰ ﺑﺮ روي IPv4 است.
ﺑﻪ ﺻﻮرت ﮐﻠﯽ در دﺳﺘﮕﺎه ﻣﯿﮑﺮوﺗﯿﮏ دو ﻧﻮع NAT وﺟﻮد دارد ﮐﻪ ﺷﺎﻣﻞ:
-
Source NAT = Src NAT:
در اﯾﻦ روش آدرس IP ﻣﺒﺪا ﺗﻐﯿﯿﺮ ﻣﯽ ﮐﻨﺪ (NAT ﻣﯽﺷﻮد)
ما برای دسترسی به اینترنت باید SrcNAT را روی روتر میکروتیک کانفیگ کنیم.
تا IP Private، ﺷﺒﮑﻪ داﺧﻠﯽ ﺑﻪ IP Public ﺗﺮﺟﻤﻪ شود
و وقتی که ما درخواست یک صفحه وب را می دهیم
پاسخ درخواست برای ما برگردد تا بتوانیم آن صفحه را مشاهده کنیم.
-
Destination NAT = Dst NAT:
در اﯾﻦ روش آدرس IP ﻣﻘﺼﺪ ﺗﻐﯿﯿﺮ ﻣﯽ ﮐﻨﺪ (NAT ﻣﯽ ﺷﻮد)
اﯾﻦ ﻧﻮع NAT زﻣﺎﻧﯽ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد ﮐﻪ ﻗﺼﺪ داﺷﺘﻪ ﺑﺎﺷﯿﺪ
سرویس ﻫﺎي ﻣﻮﺟـﻮد در ﺷﺒﮑﻪ Private را در ﻣﻌﺮض دید ﻋﻤﻮم یا امکان دسترسی به آنها را از طریق اینترنت فراهم کنیم.
ﺗﻈﯿﻤﺎت Source NAT بر روی روتر میکروتیک:
[admin@Router-1]>ip firewall Nat add chain=[srcnat/dstnat] out-interface=etherX Src-address=[source ip address] Dst-address= [destination ip address] action=[masquerade/src-nat] to address=[ip range]
Chain:
ﺑﺮاي ﻣﺸﺨﺺ ﮐﺮدن ﻧﻮع NAT اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد.
Out-interface:
اﺳﻢ اینترفیس روﺗﺮ ﮐﻪ ﻣﯽ ﺧﻮاﻫﯿﻢ ﺑﺴﺘﻪ ﻫﺎ از آن ﺧﺎرج ﺷﻮﻧﺪ را ﻣﺸﺨﺺ ﻣﯽ ﮐﻨﯿﻢ.
Src-address:
از اﯾﻦ ﭘﺎراﻣﺘﺮ ﺑﺮاي ﻣﺸﺨﺺ کردن ﻣﺤﺪوده ﺷﺒﮑﻪ ﻣﺒﺪا اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد
ﻣﺜﺎل ﻫﺎﯾﯽ ﺑﺮاي Src-Address:
اﻋﻤﺎل ﻋﻤﻠﯿﺎت NAT ﺑﺮ روي ﯾﮏ ﺳﯿﺴﺘﻢ ﺧﺎص
Src-address = 192.168.10.2
اﻋﻤﺎل ﻋﻤﻠﯿﺎت NAT ﺑﺮ روي ﺗﻤﺎﻣﯽ ﮐﻼﯾﻨﺖ ﻫﺎي ﯾﮏ ﺷﺒﮑﻪ:
Src-address = 192.168.10.0/24
ﻧﮑﺘﻪ: ﭼﻨﺎﻧﭽﻪ ﺑﺨﻮاﻫﯿﻢ ﺗﻤﺎﻣﯽ ﮐﻼﯾﻨﺖ ﻫﺎی ﻣﻮﺟﻮد در ﺷﺒﮑﻪ ﻣﺒﺪا ﺑﺘﻮاﻧﻨﺪ
ﺑﺴﺘﻪ ﻫﺎي ﺧﻮد را ﺑﻪ ﺳﻤﺖ روﺗﺮ ارﺳﺎل ﮐﻨﻨﺪ، در Src-Address ﭼﯿﺰي ﻧﻤﯽ ﻧﻮﯾﺴﯿﻢ.
-
Dst-address:
ﺑﺮاي اﻋﻤﺎل ﻋﻤﻠﯿﺎت NAT ﺑﺮ روي ﺳﯿﺴﺘﻢ ﻫﺎﯾﯽ ﮐﻪ ﻣﻘﺼﺪ آﻧﻬﺎ ﺳﯿﺴﺘﻢ ﻣﺸﺨﺼﯽ اﺳﺖ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد
ﻧﮑﺘﻪ: ﭼﻨﺎﻧﭽﻪ ﺑﺨﻮاﻫﯿﻢ ﺗﻤﺎم ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﮐﻪ از روﺗﺮ ﺧﺎرج ﻣﯽ ﺷﻮﻧﺪ
ﺑﺪون ﺗﻮﺟﻪ ﺑﻪ ﻣﻘﺼﺪ، آﻧﻬﺎ را NAT ﮐﻨﯿﻢ، ﭘﺎراﻣﺘﺮ Dst-Address را ﺧﺎﻟﯽ می گذاریم.
بنابراین تمامی بسته ها از روتر عبور می کنند.
-
Action:
ﻋﻤﻠﯿﺎﺗﯽ ﮐﻪ ﺑﺮ روي ﺑﺴﺘﻪ ﻫﺎ ﺗﻮﺳﻂ اﯾﻦ ﭘﺎراﻣﺘﺮ اﻧﺠﺎم ﻣﯽ ﺷﻮد:
-
-
Masquerade:
-
در اﯾﻦ روش IP روﺗﺮ ﺟﺎﯾﮕﺰﯾﻦ ﻓﯿﻠﺪ Source IP در ﺑﺴﺘﻪ ارﺳﺎﻟﯽ از ﺳﻤﺖ ﮐﻼﯾﻨﺖ ﻣﯽ ﺷﻮد.
وقتی پکتی از سمت کلاینت می آید می خواهد ﺑﻪ ﺳﻤﺖ ﺷﺒﮑﻪ ﺧﺎرﺟﯽ برود
روﺗﺮ Source IP پکت را بر می دارد و Source IP خودش را به پک اضافه می کند و بعد پکت را به خارج ارسال می کند.
-
-
Src-NAT:
-
در اﯾﻦ روش ﯾﮏ ﯾﺎ ﭼﻨﺪ IP ﺧﺎص ﺟﺎﯾﮕﺰﯾﻦ Source IP در ﺑﺴﺘﻪ ارﺳﺎﻟﯽ ﻣﯽ ﺷﻮد
ﺑﻨﺎﺑﺮاﯾﻦ اﻣﻨﯿﺖ و ﮐﻨﺘﺮل ﺑﯿﺸﺘﺮي روي ﺷﺒﮑﻪ ﻫﺎي ﻣﺤﻠﯽ ﺧﻮد ﺧﻮاﻫﯿﺪ داﺷﺖ.
-
-
To Address:
-
در اﯾﻦ ﭘﺎراﻣﺘﺮ ﺗﻌﺪادي IP در ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﻣﯽ ﺷﻮد
و ﻋﻤﻠﯿﺎت NAT ﺑﺮاي ﻫﺮ ﺳﯿﺴﺘﻢ ﺑﺎ اﺳﺘﻔﺎده از ﯾﮑﯽ از اﯾﻦ IP ﻫﺎ ﺻﻮرت می گیرد.
در ﺣﻘﯿﻘﺖ ﺑﺮاي اختصاص آدرس IP ﺑﻪ ﮐﻼﯾﻨﺖ ﻫﺎ Pooling ﺗﻌﺮﯾﻒ ﻣﯽ ﺷﻮد.
-
-
-
ﻣﻨﻄﻖ Pooling:
-
-
ﻣﻨﻄﻖ Pooling ﺑﻪ اﯾﻦ ﺻﻮرت ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﻫﺮ Request ﮐﻪ ﺑﻪ ﺳﻤﺖ NAT Router ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد
ﯾﮏ IP اختصاص داده ﻣﯽ ﺷﻮد.
زﻣﺎﻧﯽ ﮐﻪ ﺗﻤﺎﻣﯽ IP ﻫﺎ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﺮﻓﺖ
Request ﺑﻌﺪي ﻧﻤﯽ ﺗﻮاﻧﺪ ارﺗﺒﺎط ﺑﺮﻗﺮار ﮐﻨﺪ و ﺑﻪ ﺣﺎﻟﺖ Waiting وارد ﻣﯽ ﺷﻮد
ﺗﺎ زﻣﺎﻧﯽ ﮐﻪ ﯾﮑﯽ از Request ﻫﺎي ﻗﺒﻠﯽ ارﺗﺒﺎط را ﻗﻄﻊ ﮐﻨﺪ.
-
-
- ﺣﺎﻟﺖ ﻫﺎي ﻣﺨﺘﻠﻒ Pooling:
-
1. در ﭘﺎراﻣﺘﺮ To Address ﻣﯽ ﺗﻮان ﺑﺮاي اﻋﻤﺎل NAT ﺑﺮ روي ﺑﺴﺘﻪ ﻫﺎ ﺗﻨﻬﺎ ﯾﮏ IP را ﻣﺸﺨﺺ ﮐﺮد.
در ﻣﺜﺎل زﯾﺮ ﻣﺸﺨﺺ ﮐﺮدﯾﻢ ﺗﻤﺎﻣﯽ ﺳﯿﺴﺘﻢ ﻫﺎﯾﯽ ﮐﻪ ﻣﯽ ﺧﻮاﻫﻨﺪ از روﺗﺮ ﻋﺒﻮر ﮐﻨﻨﺪ ﺑﻪ آدرس NAT 192.168.10.1 ﺷﻮﻧﺪ.)
2 . در ﭘﺎراﻣﺘﺮ To Address ﻣﯽ ﺗﻮان ﺑﺮاي اﻋﻤﺎل NAT ﺑﺮ روي ﺑﺴﺘﻪ ﻫﺎ ﯾﮏ ﻣﺤﺪوده ﮐﺎﻣﻞ از IP ﻫﺎ را ﻣﺸﺨﺺ ﮐﺮد.
مثل: To Address: 192.168.10.0/24
3 . ﺗﻌﯿﯿﻦ ﮐﺮدن ﯾﮏ ﻣﺤﺪوده ﻣﺸﺨﺺ از IP ﻫﺎ مثل To Address: 192.168.10.1-192.168.10.25
جهت مشاهده فیلم های آموزشی میکروتیک بر روی این لینک کلیک نمایید.
جدیدترین اخبار ثبتنام کلاس های انلاین مجموعه فراز نتورک را در صفحات اجتماعی دنبال کنید
گردآورنده: مهندس عیسی رشوند
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.