Professional Documents
Culture Documents
“NAT”
არ არსებობს საჯარო IPv4 მისამართთა საკმაო რაოდენობა იმისათვის, რომ ყველა მოწყობილობას
შიდა ქსელში მიენიჭოს უნიკალური მისამართი ინტერნეტთან წვდომისათვის. ძირითადად ქსელები ისეა
რეალიზებული, რომ იყენებენ კერძო IPv4 მისამართებს, განსაზღვრულს RFC 1918-ით. ნახაზ 1-ზე
მოცემულია კერძო მისამართთა დიაპაზონი, განსაზღვრული RFC 1918-ით. დიდი ალბათობით,
კომპიუტერი, რომელსაც იყენებთ ამ კურსში, ასევე იყენებს კერძო მისამართს.
როგორც ნახაზ 2-ზეა ნაჩვენები, NAT უზრუნველყოფს კერძო მისამართთა ტრანსლაციას საჯარო
მისამართებში. IPv4 საშუალებას აძლევს მოწყობილობას კერძო IPv4 მისამართით, მოიპოვოს წვდომა
ლოკალური ქსელის გარეთ განთავსებულ რესურსებთან, როგორიცაა ინტერნეტი. NAT, კომბინირებული
კერძო IPv4 მისამართთან, სასარგებლო მეთოდია საჯარო IPv4 მისამართების დასაზოგად. ერთი საჯარო IPv4
მისამართი შეიძლება გაზიარებულ იქნას ასობით და თუნდაც ათასობით მოწყობილობის მიერ,
რომელთაგან თითოეული კონფიგურირებულია თავისი უნიკალური კერძო IPv4 მისამართით.
NAT-ის გარეშე საჯარო მისამართები ამოიწურებოდა ჯერ კიდევ წინა საუკუნეში. თუმცა NAT-საც
გააჩნია გარკვეული შეზღუდვები, რაც განიხილება ამ თავში მოგვიანებით. IPv4 მისამართთა განლევის
პროცესი და NAT-ის შეზღუდვები არის წინაპირობა IPv6 ვერსიაზე გადასვლისა.
რა არის NAT?
NAT მარშრუტიზატორი შესაძლოა გამართულ იქნას ერთი ან რამდენიმე მოქმედი საჯარო IPv4
მისამართით. ამ საჯარო მისამართთა დიაპაზონს ეწოდება NAT პული. როდესაც შიდა ქსელის
მოწყობილობა აგზავნის ტრაფიკს ქსელის გარეთ, NAT მარშრუტიზატორი ახდენს მის შიდა IPv4
მისამართის ტრანსლაციას საჯარო მისამართში თავისი NAT პულიდან. გარე მოწყობილობებისათვის ყველა
ტრაფიკს, გამომავალს თუ შემავალს შიდა ქსელიდან, გააჩნია საჯარო IPv4 მისამართი, რომელიც
განეკუთვნება NAT პულს.
შენიშვნა: ISP-სთან შეერთება შეიძლება იყენებდეს როგორც კერძო, ასევე საჯარო მისამართს,
რომელიც გაზიარებულია მრავალი მომხმარებლის მიერ. ამ თავის მიზნებიდან გამომდინარე, ნაჩვენებია
საჯარო მისამართი.
NAT ტერმინოლოგია
NAT ტერმინოლოგიაში შიდა ქსელი წარმოადგენს ქსელთა კრებულს, რომელიც არის ტრანსლაციის
საგანი. გარე ქსელი მიმართავს ყველა სხვა ქსელს.
როდესაც ვარკვევთ, რომელი სახის მისამართია გამოყენებული, მნიშვნელოვანია გვახსოვდეს, რომ NAT
ტერმინოლოგია ყოველთვის ეხება იმ მოწყობილობას, რომლის მისამართიც ტრანსლირდება.
ნახაზზე, PC1 -ს აქვს ლოკალური მისამართი 192.168.10.10. PC1 -თან მიმართებაში, ვებ-სერვერს აქვს
გარე მისამართი 209.165.201.1. როდესაც პაკეტები გადაიცემა PC1-დან ვებ-სერვერის გლობალურ
მისამართზე, PC1-ის შიდა ლოკალური მისამართი ტრანსლირდება ვებ-სერვერის შიდა გლობალურ
მისამართში 209.165.200.226. გარე მოწყობილობის მისამართის ტრანსლირება, როგორც წესი, არ ხდება,
ვინაიდან ის არის საჯარო IPv4 მისამართი.
R2, NAT მარშრუტიზატორი წარმოადგენს სადემარკაციო წერტილს შიდა და გარე ქსელებს შორის და
ლოკალურ და გლობალურ მისამართებს შორის.
NAT ტერმინოლოგია (Cont)
შიდა ლოკალური მისამართი - გამგზავნის მისამართი, როგორც ჩანს შიდა ქსელიდან. ნახაზზე ჩანს,
რომ IPv4 მისამართი 192.168.10.10 მინიჭებული აქვს PC1-ს. ეს არის PC1-ის შიდა ლოკალური
მისამართი.
შიდა გლობალური მისამართი - გამგზავნის მისამართი, როგორც ის ჩანს გარე ქსელიდან. ნახაზზე,
როდესაც PC1-დან გენერირებული ტრაფიკი იგზავნება ვებ-სერვერზე, ანუ 209.165.201.1
მისამართზე, R2 ახდენს შიდა ლოკალური მისამართების ტრანსლირებას შიდა გლობალურ
მისამართებში. ამ შემთხვევაში R2 ცვლის IPv4 გამგზავნის მისამართს 192.168.10.10 -დან
209.165.200.226-ში. NAT ტერმინოლოგიაში შიდა ლოკალური მისამართი 192.168.10.10
ტრანსლირებულია შიდა გლობალურ მისამართში 209.165.200.226.
გარე გლობალური მისამართი- მიმღების მისამართი, როგორც ის ჩანს გარე ქსელიდან. ეს არის
გლობალურად მარშრუტირებადი IPv4 მისამართი, რომელიც მინიჭებული აქვს კვანძს ინტერნეტში.
მაგალითად, ვებ-სერვერი მიღწევადია IPv4 მისამართზე 209.165.201.1. უმრავლეს შემთხვევებში გარე
ლოკალური და გარე გლობალური მისამართები ერთნაირია.
ნახაზზე ნაჩვენებია, როგორ არის მიმართული ტრაფიკი შიდა PC-დან გარე ვებ-სერვერზე NAT-
მარშრუტიზატორის გავლით. აქვე ასევე ნაჩვენებია, როგორ არის დაბრუნებული ტრაფიკი
დამისამართებული და ტრანსლირებული.
PC1 აგზავნის პაკეტს ვებ-სერვერის მისამართზე. პაკეტი მარშრუტიზატორ R1-ის მიერ გადამისამართდება
R2-ზე.
როდესაც პაკეტი მიაღწევს R2-ს, ქსელის NAT მარშრუტიზატორს, ის წაიკითხავს პაკეტის გამგზავნის IPv4
მისამართს, რათა განსაზღვროს, შეესაბამება თუ არა ის ტრანსლაციისათვის განსაზღვრულ კრიტერიუმებს .
R2 იღებს პაკეტს მიმღების მისამართით 209.165.200.226. R2 ამოწმებს NAT ცხრილს და პოულობს ჩანაწერს ამ
მეფინგისათვის. R2 სარგებლობს ამ ინფორმაციით და ახდენს ტრანსლაციას შიდა გლობალური
მისამართისა (209.165.200.226) შიდა ლოკალურ მისამართში (192.168.10.10).
სტატიკური NAT
სტატიკური NAT
ნახაზზე ჩანს, რომ მარშრუტიზატორი R2 გამართულია სტატიკურ მეფირებაზე Svr1, PC2, და PC3 -ის შიდა
ლოკალური მისამართებისათვის. როდესაც ეს მოწყობილობები აგზავნიან ტრაფიკს ინტერნეტში, შიდა
ლოკალური მისამართები ტრანსლირდებიან ერთ კონფიგურირებულ შიდა გლობალურ მისამართში. გარე
ქსელისათვის ამ მოწყობილობებს აქვთ საჯარო IPv4 მისამართი.
დინამიური NAT
დინამიური NAT იყენებს საჯარო მისამართთა პულს და ანიჭებს მათ "პირველადი მომართვა-პირველადი
მომსახურება"პრინციპით. როდესაც შიდა მოწყობილობას სურს წვდომა გარე ქსელთან, დინამიური NAT
ანიჭებს მას საჯარო IPv4 მისამართს თავისი პულიდან.
ნახაზზე ჩანს, რომ PC3 მოიპოვებს წვდომას ინტერნეტთან პირველი ხელმისაწვდომი მისამართის
გამოყენებით დინამიური NAT პულიდან. დანარჩენი მისამართები ჯერჯერობით ხელმისაწვდომია
გამოყენებისთვის. სტატიკური NAT-ის მსგავსად, დინამიური NAT საჭიროებს საჯარო მისამართთა საკმაო
რაოდენობას, რათა დააკმაყოფილოს მომხმარებლების ერთდროული სესიების მოთხოვნილება.
პორტის მისამართთა ტრანსლირება (PAT)
პორტის მისამართთა ტრანსლირება (PAT), ასევე ცნობილი, როგორც გადატვირთული NAT, ახდენს
მრავალი კერძო IPv4 მისამართის გარდაქმნას ერთ ან რამდენიმე საჯარო IPv4 მისამართში. ეს არის ის
პროცესი, რომელსაც ახორციელებს მრავალი საშინაო მარშრუტიზატორი. ISP აგამოყოფს ერთ მისამართს
მარშრუტიზატორისათვის და ამ მისამართით სარგებლობს რამდენიმე საშინაო მომხმარებელი
ინტერნეტთან წვდომისათვის. ეს არის NAT-ის ყველაზე გავრცელებული ფორმა.
PAT ამოწმებს, რომ მოწყობილობები იყენებდნენ სხვადასხვა TCP პორტის ნომრებს თითოეული
სესიისათვის ინტერნეტის სერვერზე. როდესაც სერვერზე ბრუნდება პასუხი, გამგზავნის პორტის ნომერი,
რომელიც იქცევა მიმღების პორტის ნომრად დაბრუნებულ პაკეტში, განსაზღვრავს, სად უნდა
გადაამისამართოს მარშრუტიზატორმა ეს პაკეტი. PAT პროცესი ასევე ახდენს შემომავალი პაკეტების
ვალიდაციას, რაც ზრდის სესიის უსაფრთხოების დონეს.
ანიმაცია ახდენს PAT პროცესის დემონსტრირებას. PAT ამატებს გამგზავნის პორტის უნიკალურ ნომერს
შიდა გლობალურ მისამართს ტრანსლაციების განსასხვავებლად.
R2 თითოეული პაკეტის დამუშავებისას იყენებს პორტის ნომერს (1331 და 1555, ამ მაგალითში), რათა
განსაზღვროს მოწყობილობა, საიდანაც ეს პაკეტი იქნა გამოგზავნილი. გამგზავნის მისამართი (SA) არის
შიდა ლოკალური მისამართი, რომელსაც დამატებული აქვს TCP/IP-ის მიერ მინიჭებული პორტის ნომერი.
მიმღების მისამართი (DA) არის გარე ლოკალური მისამართი, რომელსაც დამატებული აქვს სერვისის
პორტის ნომერი. მოცემულ მაგალითში სერვისის პორტის ნომერია 80, რაც ეკუთვნის HTTP-ს.
209.165.200.226:1555
209.165.200.226:1331
შემდეგი ხელმისაწვდომი პორტი
წინა მაგალითში კლიენტის პორტის ნომრები, 1331 და 1555, არ იცვლება NAT მარშრუტიზატორზე. ეს არ
არის ალბათური სცენარი, ვინაიდან არ არის გამორიცხული, რომ იგივე ნომრები უკვე მინიჭებული
ჰქონდეთ სხვა აქტიურ სესიებს.
PAT ცდილობს დაიცვას ორიგინალი გამგზავნის პორტი. თუმცა, თუ ორიგინალი გამგზავნის პორტი უკვე
გამოყენებაშია, PAT ანიჭებს სესიას პირველ ხელმისაწვდომ პორტის ნომერს დიაპაზონიდან 0-511, 512-1 023
ან 1024- 65 535. თუ პორტის ნომერი აღარ არის ხელმისაწვდომი და არსებობს ერთზე მეტი გარე მისამართი
მისამართთა პულში, PAT გადადის შემდეგ მისამართზე და ცდილობს განსაზღვროს ორიგინალი გამგზავნის
პორტი. ეს პროცესი გრძელდება, სანამ აღარ დარჩება არცერთი ხელმისაწვდომი პორტი ან გარე IPv4
მისამართი.
დააჭირეთ Play ღილაკს ნახაზზე, რათა იხილოთ PAT ოპერაცია. ამ მაგალითში PAT პროცესმა მიანიჭა
შემდეგი ხელმისაწვდომი პორტის ნომერი (1445) მეორე კვანძის მისამართს.
ამ ანიმაციაში კვანძებს არჩეული აქვთ ერთი და იგივე პორტის ნომერი 1444. ეს მისაღებია შიდა
მისამართებისათვის, ვინაიდან კვანძებს გააჩნიათ უნიკალური კერძო IPv4 მისამართები. მიუხედავად ამისა,
NAT მარშრუტიზატორზე პორტის ნომრები უნდა შეიცვალოს; წინააღმდეგ შემთხვევაში, ორი სხვადასხვა
კვანძის პაკეტები R2-დან გადაიცემა ერთიდაიმავე გამგზავნის მისამართით. მაგალითში ჩანს, რომ პირველი
420 პორტი 1 024- 65 535 დიაპაზონში და უკვე არის გამოყენებაში, შესაბამისად, გამოყენებულია შემდეგი
პორტის ნომერი, 1445.
NAT -ისა და PAT-ის შედარება
NAT -სა და PAT-ს შორის განსხვავებების შეჯამება დაგეხმარებათ უკეთესად გაიაზროთ თითოეული
მათგანი.
როგორც ჩანს ნახაზზე, NAT ახდენს IPv4 მისამართთა ტრანსლაციას 1:1 დაფუძნებით კერძო IPv4
მისამართებსა და საჯარო IPv4 მისამართებს შორის. PAT ცვლის როგორც მისამართს, ასევე პორტის ნომერს.
შენიშვნა: სხვა ICMPv4 გზავნილები არ იყენებენ მოთხოვნის ID-ს. ეს გზავნილები და სხვა პროტოკოლები,
რომლებიც არ იყენებენ TCP ან UDP პორტის ნომრებს, არ განიხილება ამ სასწავლო კურსში.
NAT-ის უპირატესობები
NAT მალავს მომხმარებლის IPv4 მისამართებს. RFC 1918 IPv4 მისამართების გამოყენებით, NAT
უზრუნველყოფს მომხმარებელთა და მათი მისამართების დაფარვის გვერდით ეფექტს. არსებობს
ხალხი, რომელიც განიხილავს ამ მოვლენას, როგორც უსაფრთხოების საკითხს, თუმცა ექსპერტები
აღნინავენ, რომ NAT არ უზრუნველყოფს უსაფრთხოებას. ქსელის საზღვარზე უსაფრთხოებას
უზრუნველყოფს ფაიერვოლი (firewall).
NAT-ის ნაკლოვანებები
NAT-ს ახასიათებს გარკვეული ხელისშემშლელი ფაქტორები. ის ფაქტი, რომ კვანძები ინტერნეტში ჩანან
ისე, თითქოს კომუნიკაცია ჰქონდეთ უშუალოდ NAT-დაშვებულ მოწყობილობებთან და არა კვანძთან შიდა
კერძო ქსელში, ქმნის გარკვეული სახის ბარიერებს.
ასევე დაკარგულია End-to-end IPv4 ტრასირების უნარი . გაცილებით რთულია პაკეტთა ტრასირება,
რომლებმაც განიცადეს მრავალი მისამართის ცვლილება თავიანთ თავსართში ყოველ NAT ჰოპზე.
სერვისები, რომლებიც მოითხოვენ TCP შეერთების ინიციირებას გარე ქსელიდან, ან stateless პროტოკოლები,
რომლებიც იყენებენ UDP-ს, ასევე შეიძლება იქნას დარღვეულნი. სანამ NAT მარშრუტიზატორი არ იქნება
გამართული ამ პროტოკოლების მხარდასაჭერად, შემომავალი პაკეტები ვერ მიაღწევენ მიმღებ კვანძს.
ზოგიერთი პროტოკოლი შესაძლოა შეესაბამებოდეს NAT-ის ერთ ინსტანციას მონაწილე კვანძებს შორის
(მაგალითად, FTP-ის პასიური რეჟიმი), მაგრამ ისინი არ იფუნქციონირებენ იმ შემთხვევაში, თუ ორივე
ბოლო ინტერნეტში განცალკევებულია NAT-ის მიერ.
სტატიკური NAT-ის კონფიგურირება
სტატიკური NAT წარმოადგენს ერთი-ერთზე მეფირებას შიდა და გარე მისამართებს შორის. სტატიკური
NAT საშუალებას აძლევს გარე მოწყობილობას, ინიციირება გაუკეთოს შეერთებას შიდა მოწყობილობასთან
სტატიკურად გაწერილი საჯარო მისამართების მეშვეობით. მაგალითად, შიდა ვებ სერვერი შეიძლება
მეფირებულ იქნას კონკრეტული შიდა გლობალური მისამართებით ისე, რომ ის იყოს ხელმისაწვდომი გარე
ქსელიდან.
ნახაზ 1-ზე ნაჩვენებია შიდა ქსელი, რომელიც შეიცავს ვებ სერვერს კერძო IPv4 მისამართით.
მარშუტიზატორი R2 კონფიგურირებულია სტატიკური NAT-ით, რაც საშუალებას აძლევს მოწყობილობებს
გარე ქსელიდან (ინტერნეტიდან) იქონიონ წვდომა ვებ სერვერთან. კლიენტს გარე ქსელიდან აქვს წვდომა
ვებ სერვერთან საჯარო IPv4 მისამართის გამოყენებით. სტატიკური NAT ახორციელებს საჯარო IPv4
მისამართების ტრანსლაციას კერძო IPv4 მისამართში.
ნაბიჯი 1. 1-ლი ამოცანაა მეფირების შექმნა შიდა ლოკალურ მისამართებსა და შიდა გლობალურ
მისამართებს შორის. მაგალითად, 192.168.10.254 შიდა ლოკალური მისამართი და 209.165.201.5 შიდა
გლობალური მისამართი ნახაზ 1-ზე კონფიგურირებულია სტატიკურ NAT ტრანსლაციაზე.
პაკეტი, რომელიც აღწევს შიდა ინტერფეისზე (Serial 0/0/0) კონფიგურირებული შიდა ლოკალური IPv4
მისამართიდან(192.168.10.254), ტრანსლირდება და შემდეგ გადაიცემა გარე ინტერფეისზე. პაკეტი, რომელიც
აღწევს გარე ინტერფეისზე (Serial 0/1/0), რომელიც მიმართულია კონფიგურირებულ შიდა გლობალურ IPv4
მისამართზე (209.165.201.5), ტრანსლირდება შიდა ლოკალურ მისამართზე (192.168.10.254) და
გადამისამართდება შიდა ქსელში.
ნახაზ 2-ზე ნაჩვენებია ბრძანებები, რომლებიც საჭიროა R2-სათვის, რათა შექმნას NAT მეფინგი ვებ
სერვერისათვის მოცემულ ტოპოლოგიაში. როგორც კონფიგურაციაშია ნაჩვენები, R2 ახდენს
ტარანსლირებას ვებ სერვერიდან მისამართებით 192.168.10.254 საჯარო IPv4 მისამართებში 209.165.201.5.
კლიენტი ინტერნეტიდან აგზავნის მოთხოვნას ვებ სერვერზე IPv4 მისამართით 209.165.201.5. R2
გადაამისამართებს ტრაფიკს ვებ სერვერზე მისამართზე 192.168.10.254.
ნახაზ 4-ზე გამოიყენეთ სინტაქსის შემმოწმებელი და გამართეთ დამატებითი სტატიკური NAT ჩანაწერი R2-
ზე.
სტატიკური NAT-ის ანალიზი
1. კლიენტს სურს გახსნას შეერთება ვებ სერვერთან. კლიენტი აგზავნის პაკეტს ვებ სერვერზე, იყენებს რა
საჯარო IPv4 მიმღების მისამართს 209.165.201.5. ეს არის ვებ სერვერის შიდა გლობალური მისამართი.
2. პირველი პაკეტი, რომელსაც R2 იღებს თავის გარე NAT ინტერფეისზე, იწვევს მარშრუტიზატორის მიერ
თავისი NAT ცხრილის შემოწმებას. მიმღების IPv4 მისამართი მონიშნულია ცხრილში და არის
ტრანსლირებული.
4. ვებ სერვერი, მიიღებს რა პაკეტს, უგზავნის კლიენტს პასუხს შიდა ლოკალური მისამართის,
192.168.10.254, გამოყენებით.
5a. R2 იღებს პაკეტს ვებ სერვერიდან თავის შიდა NAT ინტერფეისზე გამგზავნის მისამართით, რომელიც
არის ვებ სერვერის შიდა ლოკალური მისამართი 192.168.10.254.
5b. R2 ამოწმებს NAT ცხრილს შიდა ლოკალური მისამართის ტრანსლაციის მიზნით. ეს მისამართი იქნა
მოძიებული NAT ცხრილში. R2 ახდენს მიმღების მისამართის ტრანსლაციას შიდა გლობალურ მისამართში
209.165.201.5 და აგზავნის პაკეტს კლიენტთან.
NAT-ის ოპერირების შესამოწმებლად სასარგებლო ბრძანებაა show ip nat translations. ეს ბრძანება აჩვენებს
აქტიურ NAT ტრანსლაციებს. დინამიური ტრანსლაციებისაგან განსხვავებით, სტატიკური ტრანსლაციები
ყოველთვის აისახება NAT ცხრილში. ნახაზ1-ზე გამოსახულია შესრულების შედეგი ბრძანებისა, რომელიც
იქნა გამოყენებული წინა კონფიგურაციის მაგალითში. ვინაიდან მაგალითი წრმოადგენს სტატიკური NAT-
ის კონფიგურაციას, ტრანსლაციები ყოველთვის გამოსახულია NAT ცხრილში მიუხედავად აქტიური
სესიების არსებობა-არარსებობისა. თუ ბრძანება გაშვებულია აქტიური სესიის დროს, შესრულების შედეგი
გამოსახავს ასევე გარე მოწყობილობის მისამართსაც, როგორც ნაჩვენებია ნახაზ 1-ზე.
სხვა სასარგებლო ბრძანებაა show ip nat statistics. როგორც ნაჩვენებია ნახაზ2-ზე, show ip nat statistics
ბრძანება გამოსახავს ინფორმაციას ტრანსლაციების საერთო ჯამის შესახებ, NAT კონფიგურაციის
პარამეტრებს, პულში მისამართთა რაოდენობას და გამოყოფილი მისამართების რაოდენობას.
NAT ტრანსლაციების მუშაობის შესამოწმებლად საუკეთესო გზაა წინა ტრანსლაციათა შედეგების წაშლა
clear ip nat statistics ბრძანების გამოყენებით ტესტირების დაწყებამდე.
ვებ სერვერთან რაიმე კომუნიკაციის დაწყებამდე show ip nat statistics ბრძანება არ გამოსახავს რაიმე
მიმდინარე შედეგს. კლიენტის მიერ ვებ სერვერთან სესიის დამყარების შემდეგ show ip nat statistics ბრძანება
გამოსახავს 5 შედეგს. ეს ნიშნავს, რომ სტატიკური NAT პროცესი მიმდინარეობს R2-ზე.
EXAMPLE:
R2# clear ip nat statistics
სტატიკური NAT უზრუნველყოფს მუდმივ მეფირებას შიდა ლოკალურ მისამართებსა და გარე ლოკალურ
მისამართებს შორის, დინამიური NAT ამ ოპერაციებს ახორციელებს ავტომატურად. შიდა გლობალური
მისამართები, როგორც წესი, წარმოადგენენ საჯარო IPv4 მისამართებს. დინამიური NAT იყენებს საჯარო
IPv4 მისამართების ჯგუფს, ანუ პულს, ტრანსლაციის პროცესის განსახორციელებლად.
დინამიური NAT, სტატიკური NAT-ის მსგავსად, მოითხოვს შიდა და გარე ინტერფეისების გამართვას NAT
პროცესში მონაწილეობისათვის. თუმცა, თუ სტატიკური NAT ქმნის მუდმივ მეფირებას ერთ საჯარო
მისამართში, დინამიური NAT იყენებს მისამართთა პულს.
შენიშვნა: საჯარო და კერძო IPv4 მისამართებს შორის ტრანსლაცია წარმოადგენს NAT პროცესის ძირითად
გამოყენებას. თუმცა NAT ტრანსლაცია შეიძლება განხორციელდეს მისამართთა ნებისმიერ წყვილს შორის.
ნახაზზე გამოსახულ ტოპოლოგიის მაგალითში შიდა ქსელი იყენებს მისამართებს RFC 1918 კერძო
მისამართთა სივრციდან. R1 -თან მიერთებულია ორი LAN -, 192.168.10.0/24 და 192.168.11.0/24. სასაზღვრო
მარშრუტიზატორი R2 კონფიგურირებულია დინამიური NAT -ით და იყენებს საჯარო IPv4 მისამართებს
209.165.200.226 - 209.165.200.240 დიაპაზონში.
საჯარო IPv4 მისამართთა პული (შიდა გლობალურ მისამართთა პული) ხელმისაწვდომია ნებისმიერი
მოწყობილობისათვის შიდა ქსელში "პირველი მოვიდა - პირველი მომსახურდა" პრინციპით. დინამიური
NAT-ის შემთხვევაში ერთი შიდა მისამართი ტრანსლირდება ერთ გარე მისამართში. ტრანსლაციის ამ
ტიპისათვის საჭიროა პულში არსებობდეს მისამართთა საკმაოდ დიდი რაოდენობა, რათა დაკმაყოფილდეს
შიდა ქსელის მოწყობილობათა მოთხოვნები მათი გარე ქსელთან წვდომისათვის დროის ერთსა და იმავე
მომენტში. თუ პულში არსებული ყველა მისამართი გამოყენებულია, მოწყობილობებს მოუწევთ
ტრანსლაციის მოლოდინი, სანამ ისინი მოიპოვებენ წვდომას გარე ქსელთან.
დინამიური NAT-ის კონფიგურირება
ნაბიჯი 2. გამართეთ სტანდარტული ACL, რათა დაშვებულ იქნას მხოლოდ ის მისამართები, რომელთა
ტრანსლაციაცაა საჭირო. ACL უნდა დაიწეროს დიდი სიფრთხილით, რადგან ბევრი დაშვებების
შემთხვევაში შეიძლება მივიღოთ არაპროგნოზირებადი შედეგი. არ დაგავიწყდეთ deny all ჩანაწერის
გაკეთება ყოველი წვდომის სიის ბოლოს.
ნაბიჯი 3. განუსაზღვრეთ (მიაბით) წვდომის სია პულს. ip nat inside source list access-list-number pool pool
name ბრძანება გამოიყენება წვდომის სიის პულისათვის განსასაზღვრად (მისაბმელად). ეს კონფიგურაცია
გამოიყენება მარშრუტიზატორის მიერ იმის განსასაზღვრად, რომელი მოწყობილობები (list) რომელ
მისამართებს (pool) მიიღებენ.
ნახაზ 1-ზე ნაჩვენებია, რომ ტრაფიკი მოძრაობს შიდა ქსელიდან გარე ქსელის მიმართულებით.
1. კვანძები გამგზავნის მისამართებით IPv4 addresses (192.168.10.10 (PC1) and 192.168.11.10 (PC2)) აგზავნიან
პაკეტებს შეერთების მოთხოვნით სერვერზე, რომლის საჯარო IPv4 მისამართია 209.165.200.254.
2. R2 იღებს პირველ პაკეტს კვანძიდან მისამართით 192.168.10.10. ვინაიდან პაკეტი იქნა მიღებული
ინტერფეისზე, რომელიც გამართულია, როგორც შიდა NAT ინტერფეისი, R2 ამოწმებს NAT კონფიგურაციას,
რათა განსაზღვროს, უნდა იქნას თუ არა ამ პაკეტის მისამართი ტრანსლირებული. ACL ახდენს ამ პაკეტის
დაშვებას, შესაბამისად, R2 ახდენს მისი მისამართის ტრანსლაციას. R2 ამოწმებს თავის NAT ცხრილს.
ვინაიდან მას არა აქვს არანაირი ტრანსლაციის ჩანაწერი ამ IPv4 მისამართისათვის, R2 განსზღვრავს, რომ
გამგზავნის მისამართი 192.168.10.10 უნდა იქნას ტრანსლირებული დინამიურად. R2 ირჩევს ხელმისაწვდომ
გლობალურ მისამართს დინამიურ მისამართთა პულიდან და ქმნის ტრანსლაციის ჩანაწერს -
209.165.200.226. ორიგინალი გამგზავნის მისამართი IPv4 address (192.168.10.10) წარმოადგენს შიდა
ლოკალურ მისამართს და ტრანსლირებული მისამართი არის შიდა გლობალური მისამართი
(209.165.200.226) NAT ცხრილში.
4. სერვერი იღებს პაკეტს PC1 -დან და პასუხობს მას IPv4 მიმღების მისამართის გამოყენებით 209.165.200.226.
როდესაც სერვერი იღებს მეორე პაკეტს, ის პასუხობს PC2 -ს IPv4 მიმღების მისამართის გამოყენებით
209.165.200.227.
5ა როდესაც R2 იღებს პაკეტს მიმღების IPv4 მისამართით 209.165.200.226; ის ახდენს NAT ცხრილის
გამოკვლევას. იყენებს რა ცხრილში ასახულ მეფირებას, R2 ახდენს მისამართის უკუტრანსლაციას შიდა
ლოკალურ მისამართში (192.168.10.10) და აგზავნის პაკეტს PC1-ის მიმართულებით.
5ბ როდესაც R2 იღებს პაკეტს მიმღების IPv4 მისამართით 209.165.200.227; ის ახდენს NAT ცხრილის
გამოკვლევას. იყენებს რა ცხრილში ასახულ მეფირებას, R2 ახდენს მისამართის უკუტრანსლაციას შიდა
ლოკალურ მისამართში (192.168.11.10) და აგზავნის პაკეტს PC2-ის მიმართულებით.
ნახაზ 1-ზე გამოსახული show ip nat translations ბრძანების შესრულების შედეგი აჩვენებს ორი წინა NAT
რეალიზაციის დეტალებს. ბრძანება გამოსახავს ყველა სტატიკურ ტრანსლაციას, რომლებიც იქნა
გამართული და ასევე დინამიურ ტრანსლაციებს, რომლებიც შექმნილია ტრაფიკის მიერ.
ნახაზზე, show ip nat statistics ბრძანება გამოსახავს ინფორმაციას აქტიური ტრანსლაციების ჯამური
რაოდენობის შესახებ, NAT კონფიგურაციის პარამეტრებს, პულში მისამართების რაოდენობას და
გამოყოფილ მისამართთა რაოდენობას.
R2#
დინამიური NAT-ის შემოწმება ბრძანებით show ip nat statistics
R2# clear ip nat statistics
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
R2#
PAT-ის კონფიგურირება: მისამართთა პული
PAT (ასევე ცნობილი, როგორც გადატვირთული NAT) ახდენს მისამართთა დაზოგვას შიდა გლობალურ
მისამართთა პულში, საშუალებას აძლევს რა მარშრუტიზატორს, გამოიყენოს ერთი შიდა გლობალური
მისამართი მრავალი შიდა ლოკალური მისამართის ტრანსლირებისათვის. სხვა სიტყვებით, ერთი საჯარო
IPv4 მისამართი გამოიყენება ასობით და შესაძლოა, ათასობით კერძო მისამართის ტრანსლაციისათვის.
როდესაც გამართულია ამ ტიპის ტრანსლაცია, მარშრუტიზატორი უზრუნველყოფილია მაღალი დონის
პროტოკოლთა ინფორმაციით, TCP ან UDP პორტის ნომრებით, მაგალითად, იმისათვის, რომ მოახდინოს
შიდა გლობალური მისამართების ტრანსლაცია სწორ შიდა ლოკალურ მისამართებში. როდესაც მრავალი
შიდა ლოკალური მისამართი მეფირებულია ერთ შიდა გლობალურ მისამართთან, TCP ან UDP პორტის
ნომრები თითოეული ამ მეფირებისათვის განსხვავდება ლოკალურ მისამართებს შორის.
შენიშვნა: შიდა მისამართთა ჯამური რიცხვი, რომელთა ტრანსლირებაც შესაძლებელია ერთ გარე
მისამართში, თეორიულად შეიძლება აღწევდეს 65 536 IPv4 მისამართს. მიუხედავად ამისა, შიდა
მისამართთა რაოდენობა, რომელთა ტრანსლაციაც შეიძლება ერთ გარე მისამართში, არის 4000-მდე.
არსებობს PAT-ის გამართვის ორი სახე, რაც დამოკიდებულია ინტერნეტ პროვაიდერის მიერ მისამართთა
განაწილების წესზე. პზოდ შემთხვევაში ISP გამოუყოფს ორგანიზაციას ერთზე მეტ საჯარო მისამართს, სხვა
შემთხვევაში კი ის გამოყოფს მხოლოდ ერთ IPv4 საჯარო მისამართს.
თუ საიტმა მიიღო ერთზე მეტი საჯარო IPv4 მისამართი, ეს მისამართები ქმნიან პულს PAT-ის
კონფიგურირებისათვის. ეს არის მსაგავსი დინამიური NAT-ისა, განსხვავება ნმხოლოდ იმაშია, რომ არაა
საკმარისი საჯარო მისამართები ერთ-ერთზე შიდა და გარე მისამართთა მეფირებისათვის. მისამართთა
მცირე პული არის გაზიარებული მრავალ შიდა კერძო მისამართს შორის.
ნახაზ 1-ზე ნაჩვენებია ნაბიჯები PAT-ის კონფიგურირებისა მისამართთა პულის გამოყენებით. ძირითადი
განსხვავება ამ კონფიგურაციასა და დინამიურ, ერთი-ერთზე მეფირებულ NAT-ს შორის არის ის, რომ აქ
გამოიყენება საკვანძო სიტყვა overload. overload საკვანძო სიტყვა ახდენს PAT-ის ჩართვას.
ნახაზ3-ზე გამოიყენეთ სინტაქსის შემმოწმებელი, რათა მოახდინოთ PAT-ის გამართვა მარშრუტიზატორ R2-
ის მისამართთა პულის გამოყენებით.
Define a pool of public IPv4 addresses under the pool name NAT-POOL2.
R2(config)# ip nat pool NAT-POOL2 209.165.200.226
209.165.200.240 netmask 255.255.255.224
Define a pool of public IPv4 addresses 209.165.200.241 to 209.165.200.250 with pool name NAT-POOL-OVERLOAD.
R2(config)# ip nat pool NAT-POOL-OVERLOAD 209.165.200.241 209.165.200.250 netmask 255.255.255.224
Configure ACL 3 to permit devices from 10.0.0.0/8 network to be translated by NAT.
R2(config)# access-list 3 permit 10.0.0.0 0.255.255.255
Bind NAT-POOL-OVERLOAD with ACL 3.
R2(config)# ip nat inside source list 3 pool NAT-POOL-OVERLOAD overload
Configure the proper inside NAT interface.
R2(config)# interface Serial0/0/0
R2(config-if)# ip nat inside
Configure the proper outside NAT interface.
R2(config)# interface Serial0/1/0
R2(config-if)# ip nat outside
You successfully configured PAT using an Address Pool.
PAT-ის კონფიგურირება: ერთი მისამართი
ნახაზ 2-ზე გამოსახულია ნაბიჯები PAT -ის გამართვისათვის ერთი საჯარო IPv4 მისამართით. თუ
ხელმისაწვდომია მხოლოდ ერთი საჯარო IPv4 მისამართი, გადატვირთვის კონფიგურაცია, როგორც წესი,
ანიჭებს ამ მისამართს გარე ინტერფეისს, რომელიც უერთდება ინტერნეტ პროვაიდერს. ყველა შიდა
ლოკალური მისამართი ტრანსლირდება ერთ საჯარო IPv4 მისამართში, როდესაც ის ტოვებს გარე
ინტერფეისს.
ნაბიჯი 3. განსაზღვრა, რომელი ინტერფეისია შიდა NAT-თან მიმართებაში. ეს არის ინტერფეისი, რომელიც
უერთდება შიდა ქსელს.
ნაბიჯი 4. განსაზღვრა, რომელი ინტერფეისია გარე NAT-თან მიმართებაში. ეს არის იგივე ინტერფეისი,
რომელიც განსაზღვრავს ტრანსლაციის წყაროს ნაბიჯზე 2.
ნახაზ 3-ზე გამოიყენეთ სინტაქსის შემმოწმებელი, რათა გამართოთ PAT მარშრუტიზატორ 2-ზე ერთი
მისამართის გამოყენებით.
PAT Configuration Steps
Identify the outside interface serial0/1/0 as the inside global address to be overloaded using ACL 1.
R2(config)# interface serial0/0/0
R2(config)# interface serial0/1/0
PC - სერვერის პროცესი
1. ნახაზ1-ზე ნაჩვენებია PC1 და PC2, რომლებიც აგზავნიან პაკეტებს Svr1 -სა და Svr2-ზე, შესაბამისად. PC1-ს
აქვს გამგზავნის მისამართი IPv4 192.168.10.10 და იყენებს TCP გამგზავნის პორტს 1444. PC2 -ს აქვს
გამგზავნის IPv4 მისამართი192.168.10.11 და შემთხვევით იგივე პორტი 1444.
2. პაკეტი PC1 -დან აღწევს R2-ს პირველი. იყენებს რა PAT-ს , R2 ცვლის გამგზავნის IPv4 მისამართს
209.165.200.225-ზე (შიდა გლობალური მისამართი). NAT ცხრილში არაა სხვა მოწყობილობა, რომელიც
იყენებს პორტის ნომერს 1444, შესაბმისად, PAT იყენებს იგივე პორტის ნომერს. შემდეგ პაკეტი
გადამისამართდება სერვერზე Svr1 მისამართით 209.165.201.1.
3. შემდეგ პაკეტი PC2-დან აღწევს მარშრუტიზატორზე R2. PAT გამართულია ისე, რომ იყენებს ერთ საჯარო
IPv4 შიდა გლობალურ მისამართს ყველა ტრანსლაციისათვის, 209.165.200.225. PC1-თან დაკავშირებული
ტრანსლაციის პროცესის მსგავსად, PAT ცვლის PC2-ის გამგზავნის IPv4 მისამართს შიდა გლობალურ
მისამართზე 209.165.200.225. თუმცა, PC2-ს აქვს იგივე პორტის ნომერი, რაც PC1-ს მიმდინარე PAT ჩანაწერში.
PAT ზრდის გამგზავნის პორტის ნომერს, სანამ ის არ მიიღებს უნიკალურ მნიშვნელობას ცხრილში.
მოცემულ შემთხვევაში გამგზავნის პორტის ნომერი NAT ცხრილში PC2-ის პაკეტისათვის იქნება 1445.
მიუხედავად იმისა, რომ PC1 და PC2 ორივე იყენებს ერთსა და იმავე შიდა გლობალურ მისამართს
(209.165.200.225) და ერთსა და იმავე პორტის ნომერს - 1444, PC2-ის შეცვლილი პორტის ნომერი (1445) ქმნის
თითოეულ ჩანაწერს NAT ცხრილში უნიკალურს. ეს ცხადი ხდება საპასუხო პაკეტების გადაგზავნისას
სერვერებიდან ისევ კლიენტებთან.
სერვერი - PC პროცესი
4. როგორც ნაჩვენებია ნახაზ2-ზე, ტიპიური სერვერი - კლიენტი მიმოცვლისას, Svr1 და Svr2 პასუხობენ
მოთხოვნებს PC1 და PC2-დან, შესაბამისად. სერვერი იყენებს გამგზავნის პორტს მიღებული პაკეტიდან,
როგორც მიმღების პორტს, და გამგზავნის მისამართს, როგორც მიმღების მისამართს, ტრაფიკის
დაბრუნებისას. ისე ჩანს, თითქოს ორივე სერვერს აქვს კომუნიკაცია ერთსა და იმავე კვანძთან მისამართით
209.165.200.225, მაგრამ ეს ასე არაა.
6. როდესაც პაკეტი მოვა Svr2 -დან R2-ზე, განხორციელდება ასეთივე ტრანსლაცია. მიმღების IPv4 მისამართი
209.165.200.225 მონიშნულია ასევე მრავალი ჩანაწერით. თუმცა, მიმღების პორტ 1445-ის გამოყენებით, R2 -ს
შეუძლია უნიკალურად განსაზღვროს ტრანსლაციის ჩანაწერი. მიმღების IPv4 მისამართი იცვლება
192.168.10.11-ზე. ამ შემთხვევაში, მიმღების პორტის ნომერი ასევე იცვლება ორიგინალ მნიშვნელობაზე 1444,
რაც შენახულია NAT ცხრილში. შემდეგ პაკეტი გადამისამართდება PC2-ზე.
PAT-ის შემოწმება
როგორც ნაჩვენებია ნახაზ 2-ზე, show ip nat statistics ბრძანება ამოწმებს, რომ NAT-POOL2 ანაწილებს ერთ
მისამართს ორივე ტრანსლაციისათვის. შესრულების შედეგის ინფორმაციაში აქტიური ტრანსლაციის
ნომრისა და ტიპის შესახებ მონაცემები მოიცავს NAT კონფიგურაციის პარამეტრებს, მისამართთა ნომრებს
პულში და მონიშნულ მისამართტა რაოდენობას
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
R2#
პორტის გადაცემა (Port Forwarding)
პრობლემა იმაშია, რომ NAT -ს არ შეუძლია დაუშვას გარედან ინიციირებული მოთხოვნები. ამ პრობლემის
გადაჭრა შესაძლებელია ადმინისტრატორის მიერ ხელით ჩარევით. პორტის გადაცემა შეიძლება იქნას
გამართული სპეციფიური პორტის განსაზღვრით, რომელიც შეიძლება იქნას გადამისამართებული შიდა
კვანძზე.
თუ იქნა მოთხოვნილი განსხვავებული პორტის ნომერი, მაშინ URL -ს უნდა დაერთოს განმაცალკევებელი
ნიშანი (:). მაგალითად, თუ ვებ გვერდი "უსმენს" პორტს 8080, მომხმარებელმა უნდა შეიტანოს
http://www.example.com:8080.
პორტის გადაცემა საშუალებას აძლევს მომხმარებლებს ინტერნეტიდან მოახდინონ წვდომა შიდა სერვერზე
მარშრუტიზატორის WAN პორტის მისამართისა და შესაბამისი გარე პორტის ნომრის მეშვეობით. შიდა
სერვერები, როგორც წესი, გამართულნი არიან RFC 1918-ით განსაზღვრული კერძო IPv4 მისამართებით.
როდესაც მოთხოვნა იგზავნება WAN პორტის IPv4 მისამართზე ინტერნეტით, მარშრუტიზატორი
გადაამისამართებს მას შესაბამის სერვერზე ლოკალურ ქსელში. უსაფრთხოების მიზნებიდან გამომდინარე,
ფართომაუწყებლური მარშრუტიზატორები ნაგულისხმევად არ უშვებენ ნებისმიერი გარე ქსელური
მოთხოვნის გადამისამართებას შიდა კვანძზე.
ნახაზ 2-ზე გამოსახულია მცირე ბიზნესის მფლობელი, რომელიც იყენებს PoS სერვერს გაყიდვების
თვალყურის სადევნებლად მაღაზიაში. სერვერზე წვდომა შესაძლებელია მაღაზიაში, მაგრამ ვინაიდან მას
გააჩნია კერძო IPv4 მისამართი, მასზე საჯარო წვდომა ვერ განხორციელდება ინტერნეტიდან. ლოკალურ
მარშრუტიზატორზე პორტის გადაცემის ფუნქციის ჩართვა შესაძლებლობას მისცემს მფლობელს, მოიპოვოს
სერვერზე წვდომა ნებისმიერი ადგილიდან ინტერნეტის საშუალებით. პორტის გადაცემა
მარშრუტიზატორზე გამართულია მიმღების პორტის ნომრისა და სერვერის კერძო მისამართის
გამოყენებით. სერვერზე წვდომისათვის კლიენტის პროგრამული უზრუნველყოფა გამოიყენებს
მარშრუტიზატორის საჯარო IPv4 მისამართს და სერვერის მიმღების პორტს.
უსადენო მარშრუტიზატორის მაგალითი
ნახაზზე ნაჩვენებია ერთი პორტის გადაცემის კონფიგურაციის ფანჯარა პაკეტ ტრეისერის უსადენო
მარშრუტიზატორისათვის. ნაგულისხმევად პორტის გადაცემა არაა გამართული მარშრუტიზატორზე.
სხვა პორტი, განსხვავებული ნაგულისხმევი პორტი 80-ის გარდა, სპეციალურად უნდა განისაზღვროს.
თუმცა, გარე მომხმარებელმა უნდა იცოდეს ამ პორტის ნომერი. სხვა პორტის განსასაზღვრად პორტის
გადამისამართების ფანჯარაში გარე პორტის მნიშვნელობა უნდა შეიცვალოს.
ნახაზ 1-ზე გამოსახულია სტატიკური NAT-ის ბრძანებები, რომლებიც გამოიყენება IOS-ში პორტის
გადასამისამართებლად.
local-ip = 192.168.10.254
local-port = 80
global-ip = 209.165.200.225
global-port = 8080
როდესაც ე.წ. კარგად ცნობილი პორტები არაა გამოყენებული, კლიენტმა თვითონ უნდა განსაზღვროს
აპლიკაციის პორტის ნომერი.
NAT-ის სხვა ტიპების კონფიგურირების მსგავსად, პორტის გადაცემის დროს მოითხოვება შიდა და გარე
NAT ინტერფეისების განსაზღვრა.
სტატიკური NAT-ის მსგავსად, show ip nat translations ბრძანება შეიძლება იქნას გამოყენებული პორტის
გადაცემის შესამოწმებლად, როგორც ნაჩვენებია ნახაზ 3-ზე.
მოცემულ შემთხვევაში, როდესაც მარშრუტიზატორი იღებს პაკეტს შიდა გლობალური IPv4 მისამართით
209.165.200.225 და TCP მიმღების პორტით 8080, ის ახდენს NAT ცხრილის მოკვლევას მიმღების IPv4
მისამართისა და პორტის ნომრის მოძიების მიზნით. შემდეგ მარშრუტიზატორი ახდენს მის ტრანსლაციას
შიდა ლოკალურ კვანძის მისამართში 192.168.10.254 და მიმღების პორტში 80. შემდეგ R2 გადაამისამართებს
პაკეტს ვებ სერვერზე. ვებ სერვერის მიერ კლიენტისათვის პაკეტის დაბრუნებისას ეს პროცესი ხდება
რევერსულად.
NAT-ის ერთ-ერთი სარგებელი მდგომარეობს იმაში, რომ ის მალავს შიდა კერძო ლოკალურ IPv4
მისამართებს ინტერნეტში. NAT-ს გააჩნია ის უპირატესობა, რომ ქმნის უსაფრთხოებას ლოკალური
ქსელისათვის გარე მომხმარებლებისათვის მასზე წვდომის აკრძალვის საშუალებით. მიუხედავად ამისა, ის
არ შეიძლება იქნას განხილული სრულფასოვანი ქსელური უსაფრთხოების ისეთი სისტემების შემცვლელად,
როგორიცაა ფაიერვოლი ( firewall).
RFC 5902-ში ინტერნეტის არქიტექტურის ბორდის (IAB) მიერ ჩართული იქნა შემდეგი ციტატა IPv6
ქსელური მისამართების ტრანსლაციის შესახებ:
"ძირითადად გავრცელებულია, რომ NAT უზრუნველყოფს დაცვის გარკვეულ დონეს, ვინაიდან გარე
კვანძებს არა აქვთ შესაძლებლობა, მოახდინონ წვდომა NAT-ის უკან მდგარ კვანძებზე". მიუხედავად ამისა,
არ შეიძლება NAT ავურიოთ ფაიერვოლთან. როგორც განხილულია RFC4864-ის 2.2 პარაგრაფში,
ტრანსლაციის აქტი არ უზრუნველყოფს უსაფრთხოებას. stateful ფილტრაციის ფუნქციას შეუძლია
უზრუნველყოს უსაფრთხოება თვით ტრანსლაციის აქტის მოთხოვნის გარეშე.
IPv6 უნიკალური ლოკალური მისამართები მსგავსია RFC 1918 კერძო მისამართებისა IPv4-ში, მაგრამ არის
მნიშვნელოვანი განსხვავებებიც. ULA-ს მიზანია უზრუნველყოს IPv6 სამისამართო სივრცე ლოკალური
საიტის შიგნით; ეს არ ნიშნავს დამატებითი IPv6 სივრცის შექმნას, არამედ უსაფრთხოების დონის გაზრდას.
როგორც ნახაზზეა გამოსახული, ULA-ს აქვს პრეფიქსი FC00::/7, რაც განსაზღვრავს პირველ ჰექსტეტს
დიაპაზონში FC00 - FDFF. შემდეგი 1 თანრიგის მნიშვნელობაა 1, თუ პრეფიქსი ლოკალურადაა
მინიჭებული. მისი ნულოვანი მნიშვნელობა განსაზღვრულია მომავალი მიზნებისათვის. შემდეგი 40
თანრიგი არის გლობალური ID, რომელსაც მოჰყვება 16-თანრიგიანი ქვექსელის ID. ამ 64 თანრიგის
კომბინაცია ქმნის ULA-ს პრეფიქსს. დანარჩენი 64 თანრიგი მოიცავს ინტერფეისის ID-ს ან IPv4-ის
ტერმინებში, კვანძის ნაწილის მისამართებს.
უნიკალური ლოკალური მისამართების განსაზღვრულია RFC 4193-ში. ULA ასევე ცნობილია, როგორც
ლოკალური IPv6 მისამართები (არ აურიოთ IPv6 ლინკ-ლოკალურ მისამართებში) და გააჩნია რამდენიმე
მახასიათებელი, მათ შორის:
ULA არ არის უშუალოდ-გადამისამართებადი (straight-forward), როგორც RFC 1918 მისამართები. კერძო IPv4
მისამართებისაგან განსხვავებით, IETF-ის განზრხვა არ ყოფილა ტრანსლაცია უნიკალურ ლოკალურ
მისამართებსა და IPv6 გლობალურ უნიკასტ მისამართებს შორის.
NAT IPv6-სათვის გამოიყენება სხვა კონტექსტით, ვიდრე NAT IPv4-სათვის NAT IPv6-სათვის ვარიანტები
გამოიყენებიან წვდომის უზრუნველყოფისათვის მხოლოდ - IPv6 და მხოლოდ - IPv4 ქსელებს შორის. ის არ
გამოიყენება კერძო IPv6 მისამართების გლობალურ IPv6 მისამართებში ტრანსლაციისათვის.
იდეალურ შემთხვევაში, IPv6 უნდა გაიმართოს ყველგან, სადაც შესაძლებელია. ეს გულისხმობს, რომ IPv6
მოწყობილობებს უნდა შეეძლოთ კომუნიკაცია ერთმანეთთან IPv6 ქსელების მეშვეობით. IPv4 -დან IPv6
ვერსიაზე გადასვლისას IETF-ის მიერ შემუშავებულ იქნა რამდენინე გადასვლის ტექნიკა, რომელიც
შეესბამებს სხვადასხვა IPv4-IPv6 სცენარს, მათ შორის ორმაგი სტეკი, ტუნელირება და ტრანსლაცია.
NAT IPv6-სათვის არ შეიძლება განხილულ იქნას, როგორც ხანგრძლივი სტრატეგია, მაგრამ როგორც
დროებითი მექანიზმი, ის სასარგებლოა IPv4 - IPv6 მიგრაციისათვის. წლების განმავლობაში გამოიყენებოდა
NAT IPv6 -სათვის რამდენიმე პროტოკოლი, მათ შორის NAT-PT. NAT-PT გაპროტესტებულ იქნა IETF-ის
მიერ და შეცვლილი იქნა NAT64-ით. NAT64 არ განიხილება ამ სასწავლო კურსში.
show ip nat ბრძანებები
ნახაზ 1-ზე გამოსახულია R2, გამართული PAT-ით, რომელიც იყენებს მისამართთა დიაპაზონს
209.165.200.226 - 209.165.200.240.
როდესაც წარმოიქმნება IPv4 შეერთების პრობლემა NAT გარემოში, ხშირად რთულია პრობლემის არსის
დადგენა. ამ შემთხვევაში პირველი ნაბიჯი უნდა იყოს NAT -ის, როგორც გაუმართაობის მიზეზის,
გამორიცხვა. მიჰყევით ამ ნაბიჯებს, რათა დარწმუნდეთ NAT -ის სათანადო ოპერირებაში:
ნაბიჯი 1. გამომდინარე კონფიგურაციიდან, მკაფიოდ განსაზღვრეთ, რისი მიღწევა იგეგმება NAT -ით. ამან
შეიძლება გამოავლინოს კონფიგურაციის პრობლემები.
ნაბიჯი 2. შეამოწმეთ ტრანსლაციის ცხრილი სწორი ტრანსლაციების არსებობაზე ბრძანებით show ip nat
translations.
ნაბიჯი 3. გამოიყენეთ clear და debug ბრძანებები, რათა შეამოწმოთ, ოპერირებს თუ არა NAT ისე, როგორც
იყო მოსალოდნელი. შეამოწმეთ, შეიქმნა თუ არა დინამიური ჩანაწერები მათი წაშლის შემდეგ.
ნახაზ 2-ზე გამოსახულია show ip nat statistics და show ip nat translations ბრძანებების შესრულებათა
შედეგები. show ბრძანების შესრულებამდე, NAT ჩანაწერები და სტატისტიკა იქნა წაშლილი clear ip nat
statistics და clear ip nat translation * ბრძანებებით. მას შემდეგ, რაც კვანძმა 192.168.10.10 მიმართა ტელნეტით
სერვერს მისამართზე 209.165.201.1, NAT სტატისტიკა და NAT ცხრილია გამოსახული, რათა შევამოწმოთ,
ოპერირებს თუ არა NAT სათანადოდ.
მარტივ ქსელურ გარემოში სასარგებლოა NAT-ის მონიტორინგი ბრძანებით show ip nat statistics. show ip nat
statistics ბრზანებას გამოჰყავს ინფორმაცია აქტიური ტრანსლაციების ჯამური რიცხვის შესახებ, NAT -ის
კონფიგურაციის პარამეტრებზე, პულში მისამართების რაოდენობაზე და სხვა. თუმცა შედარებით რთულ
NAT გარემოში, სადაც რამდენიმე ტრანსლაციას აქვს ადგილი, ამ ბრძანებებმა, შესაძლოა, ვერ შეძლონ
პრობლემის მიზეზის ნათლად მითითება. შესაძლოა აუცილებელი გახდეს debug ბრძანების გაშვება
მარშრუტიზატორზე.
R2# clear ip nat statistics
R2# clear ip nat translation *
R2#
ნახაზ 1-ზე გამოსახულია debug ip natბრძანების შესრულების შედეგის მაგალითი. ტექსტში ჩანს, რომ შიდა
კვანძი (192.168.10.10) ახდენს ტრაფიკის ინიცირებას გარე კვანძის მიმართულებით (209.165.201.1) და
გამგზავნის მისამართი იქნა ტრანსლირებული გლობალურ მისამართში 209.165.200.226.
შენიშვნა: შეამოწმეთ, რომ NAT-ზე "მიბმული" ACL უშვებს ყველა აუცილებელ ქსელს. ნახაზ 2-ზე მხოლოდ
192.168.0.0/16 მისამართების ტრანსლირებაა ნებადართული. შიდა ქსელიდან მომავალი პაკეტები,
რომლებიც აღწევენ ინტერნეტს გამგზავნის მისამართებით, რომლებიც არ არიან დაშვებულნი წვდომის სიის
ACL 1 მიერ, არ ტრანსლირდებიან R2-ის მიერ.
R2#debug ip nat
IP NAT debugging is on
R2#
*Feb 15 20:01:311.670: NAT*: s=192.168.10.10->209.165.200.226, d=209.165.201.1
[2817]
*Feb 15 20:01:311.682: NAT*: s=209.165.201.1, d=209.165.200.226->192.168.10.10
[4180]
*Feb 15 20:01:311.698: NAT*: s=192.168.10.10->209.165.200.226, d=209.165.201.1
[2818]
*Feb 15 20:01:311.702: NAT*: s=192.168.10.10->209.165.200.226, d=209.165.201.1
[2819]
*Feb 15 20:01:311.710: NAT*: s=192.168.10.10->209.165.200.226, d=209.165.201.1
[2820]
*Feb 15 20:01:311.710: NAT*: s=209.165.201.1, d=209.165.200.226->192.168.10.10
[4181]
*Feb 15 20:01:311.722: NAT*: s=209.165.201.1, d=209.165.200.226->192.168.10.10
[4182]
*Feb 15 20:01:311.726: NAT*: s=192.168.10.10->209.165.200.226, d=209.165.201.1
[2821]
*Feb 15 20:01:311.730: NAT*: s=209.165.201.1, d=209.165.200.226->192.168.10.10
[4183]
*Feb 15 20:01:311.734: NAT*: s=192.168.10.10->209.165.200.226, d=209.165.201.1
[2822]
*Feb 15 20:01:311.734: NAT*: s=209.165.201.1, d=209.165.200.226->192.168.10.10
[4184]
<output omitted>
R2#show access-lists
Standard IP access list 1
10 permit 192.168.0.0, wildcard bits 0.0.255.255 (29 matches)
R2#
NAT გაუმართაობის აღმოფხვრის სცენარი
შემთხვევის სწავლება
ნახაზ 1-ზე ჩანს, რომ კვანძები 192.168.0.0/16 ლოკალური ქსელიდან, PC1, და PC2, აგზავნიან წარუმატებელ
ექო- მოთხოვნებს სერვერებზე გარე ქსელში, Svr1, და Svr2.
პრობლემის აღმოფხვრის დასაწყებად გამოიყენეთ show ip nat translations ბრძანება, რათა იხილოთ, რომელი
ტრანსლაციებია ახლა ასახული NAT ცხრილში. ნახაზ 1-ზე გამოსახული შედეგი აჩვენებს, რომ ცხრილში
ტრანსლაციები საერთოდ არაა.
show ip nat statistics ბრძანებით შეიძლება დავადგინოთ, ჰქონდა თუ არა ტრანსლაციებს საერთოდ ადგილი.
ეს ბრძანება ასევე განსაზღვრავს ინტერფეისებს, რომლებზეც უნდა მომხდარიყო ეს ტრანსლაციები. როგორც
ნაჩვენებია ნახაზ 2-ზე გამოსახულ შედეგზე, NAT მთვლელის ,მიშვნელობაა 0, რაც ცხადყოფს, რომ არანაირი
ტრანსლაცია არ მომხდარა. ნახაზ 1-ზე გამოსახულ ტოპოლოგიის შედეგთან შედარებით, მიაქციეთ
ყურადღება, რომ მარშრუტიზატორის ინტერფეისები არასწორადაა განსაზღვრული, როგორც შიდა ან გარე
NAT (NAT inside or NAT outside). კონფიგურაციის სისწორე ასევე შეიძლება შემოწმდეს show running-config
ბრძანების საშუალებით.
სწორად გამართული NAT-ის რეალიზაციის შემდეგ შიდა და გარე ინტერფეისების გამოსწორების მერე ექო-
მოთხოვნა PC1 -დან Svr1-ზე მაინც წარუმატებელია. show ip nat translations და show ip nat statistics
ბრძანებები ცხადყოფენ, რომ ტრანსლაციის პროცესი მაინც არ ხდება.
როგორც ნაჩვენებია ნახაზ 3-ზე, show access-lists ბრძანება გამოიყენება, რათა განისაზღვროს, NAT-ზე
"მიბმული" წვდომის სია დაუშვებს თუ არა აუცილებელ ქსელებს. შესრულების შედეგის გამოკვლევა
აჩვენებს, რომ გამოყენებულ იქნა არასწორი ვაილდქარდ ნიღაბი წვდომის სიაში იმ მისამართების მიმართ,
რომელთა ტრანსლაციაც იყო საჭირო. ვაილდქარდ ნიღაბი დაუშვებს მხოლოდ 192.168.0.0/24 ქსელს.
წვდომის სია უნდა წაიშალოს და თავიდან დაიწეროს სწორი ვაილდქარდის ნიღბის გასაწერად.
***
R2(config)# no access-list 1
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
***