CCNA 200-125

“NAT”

IPv4 კერძო მისამართთა სივრცე

არ არსებობს საჯარო IPv4 მისამართთა საკმაო რაოდენობა იმისათვის, რომ ყველა მოწყობილობას
შიდა ქსელში მიენიჭოს უნიკალური მისამართი ინტერნეტთან წვდომისათვის. ძირითადად ქსელები ისეა
რეალიზებული, რომ იყენებენ კერძო IPv4 მისამართებს, განსაზღვრულს RFC 1918-ით. ნახაზ 1-ზე
მოცემულია კერძო მისამართთა დიაპაზონი, განსაზღვრული RFC 1918-ით. დიდი ალბათობით,
კომპიუტერი, რომელსაც იყენებთ ამ კურსში, ასევე იყენებს კერძო მისამართს.

ეს კერძო მისამართები გამოიყენება ორგანიზაციაში იმისათვის, რომ კომპიუტერებმა შეძლონ

კომუნიკაცია ლოკალურად. თუმცა, გამომდინარე იქიდან, რომ ამ მისამართებს არ შეუძლიათ ერთი
კომპანიის ან ორგანიზაციის იდენტიფიცირება, მათი მარშრუტირება ინტერნეტში არ ხერხდება. იმისათვის,
რომ მოწყობილობამ კერძო IPv4 მისამართით შეძლოს რესურსებთან წვდომა ლოკალური ქსელის გარეთ,
საჭიროა კერძო მისამართების გარდაქმნა (ტრანსლაცია) საჯარო მისამართში (მისამართებში).

როგორც ნახაზ 2-ზეა ნაჩვენები, NAT უზრუნველყოფს კერძო მისამართთა ტრანსლაციას საჯარო
მისამართებში. IPv4 საშუალებას აძლევს მოწყობილობას კერძო IPv4 მისამართით, მოიპოვოს წვდომა
ლოკალური ქსელის გარეთ განთავსებულ რესურსებთან, როგორიცაა ინტერნეტი. NAT, კომბინირებული
კერძო IPv4 მისამართთან, სასარგებლო მეთოდია საჯარო IPv4 მისამართების დასაზოგად. ერთი საჯარო IPv4
მისამართი შეიძლება გაზიარებულ იქნას ასობით და თუნდაც ათასობით მოწყობილობის მიერ,
რომელთაგან თითოეული კონფიგურირებულია თავისი უნიკალური კერძო IPv4 მისამართით.

NAT-ის გარეშე საჯარო მისამართები ამოიწურებოდა ჯერ კიდევ წინა საუკუნეში. თუმცა NAT-საც
გააჩნია გარკვეული შეზღუდვები, რაც განიხილება ამ თავში მოგვიანებით. IPv4 მისამართთა განლევის
პროცესი და NAT-ის შეზღუდვები არის წინაპირობა IPv6 ვერსიაზე გადასვლისა.

რა არის NAT?

NAT-ს გააჩნია მრავალნაირი გამოყენება, მაგრამ მისი პირველადი დანიშნულებაა IPv4

მისამართების დაზოგვა. ის ახორციელებს ამას იმით, რომ საშუალებას აძლევს ქსელებს, გამოიყენონ კერძო
IPv4 მისამართები შინაგანად და უზრუნველყოფს ამ მისამართთა გარდაქმნას საჯარო მისამართებში
მხოლოდ მაშინ, როდესაც დგას ამის საჭიროება. NAT ზრდის შიდა ქსელის პრივატულობის დონეს და
უსაფრთხოებას, ვინაიდან ის მალავს შიდა IPv4 მისამართებს გარე ქსელის მომხმარებლებისათვის.

NAT მარშრუტიზატორი შესაძლოა გამართულ იქნას ერთი ან რამდენიმე მოქმედი საჯარო IPv4
მისამართით. ამ საჯარო მისამართთა დიაპაზონს ეწოდება NAT პული. როდესაც შიდა ქსელის
მოწყობილობა აგზავნის ტრაფიკს ქსელის გარეთ, NAT მარშრუტიზატორი ახდენს მის შიდა IPv4
მისამართის ტრანსლაციას საჯარო მისამართში თავისი NAT პულიდან. გარე მოწყობილობებისათვის ყველა
ტრაფიკს, გამომავალს თუ შემავალს შიდა ქსელიდან, გააჩნია საჯარო IPv4 მისამართი, რომელიც
განეკუთვნება NAT პულს.

NAT მარშრუტიზატორი, როგორც წესი, ოპერირებს, როგორც სასაზღვრო მარშრუტიზატორი

მკვიდრი (stub) ქსელი წარმოადგენს ქსელს, რომელსაც აქვს მხოლოდ ერთი შეერთება თავის მოსაზღვრე
ქსელთან, ქსელში შემავალი ერთი და ერთიც გამავალი მარშრუტი. როგორც ნახაზზე მოყვანილ მაგალითში
ჩანს, R2 არის სასაზღვრო მარშრუტიზატორი. როგორც ჩანს ISP-დან, R2 ახდენს მკვიდრი ქსელის
ფორმირებას.

როდესაც მოწყობილობას მკვიდრი ქსელიდან სურს კომუნიკაცია გარე ქსელის მოწყობილობასთან,

იგი აგზავნის პაკეტს სასაზღვრო მარშრუტიზატორზე. სასაზღვრო მარშრუტიზატორი ახორციელებს NAT
პროცესს, გარდაქმნის რა შიდა კერძო მისამართს გარე საჯარო მარშრუტირებად მისამართში.

შენიშვნა: ISP-სთან შეერთება შეიძლება იყენებდეს როგორც კერძო, ასევე საჯარო მისამართს,
რომელიც გაზიარებულია მრავალი მომხმარებლის მიერ. ამ თავის მიზნებიდან გამომდინარე, ნაჩვენებია
საჯარო მისამართი.
NAT ტერმინოლოგია
NAT ტერმინოლოგიაში შიდა ქსელი წარმოადგენს ქსელთა კრებულს, რომელიც არის ტრანსლაციის
საგანი. გარე ქსელი მიმართავს ყველა სხვა ქსელს.

NAT-ის გამოყენებისას IPv4 მისამართებს გააჩნიათ სხვადასხვა დანიშნულება, გამომდინარე იქიდან,

არიან ისინი შიდა ქსელის თუ გარე ქსელის (ინტერნეტის) წევრები, და ტრაფიკი არის შემავალი თუ
გამავალი.

NAT შეიცავს ორი სახის მისამართებს:

 შიდა ლოკალური მისამართები

 შიდა გლობალური მისამართი

 გარე ლოკალური მისამართი

 გარე გლობალური მისამართი

როდესაც ვარკვევთ, რომელი სახის მისამართია გამოყენებული, მნიშვნელოვანია გვახსოვდეს, რომ NAT
ტერმინოლოგია ყოველთვის ეხება იმ მოწყობილობას, რომლის მისამართიც ტრანსლირდება.

 შიდა მისამართი- მოწყობილობის მისამართი, რომლის ტრანსლირებაც ხდება NAT-ის მიერ.

 გარე მისამართი - მიმღები მოწყობილობის მისამართი

NAT ასევე იყენებს ლოკალური და გლობალური მისამართების კონცეფციას მისამართებთან

მიმართებაში:

 ლოკალური მისამართი - ლოკალური მისამართი არის ნებისმიერი მისამართი, რომელიც ჩნდება

ქსელის შიდა ნაწილში.

 გლობალური მისამართი - გლობალური მისამართი არის ნებისმიერი მისამართი, რომელიც ჩნდება

ქსელის გარე ნაწილში.

ნახაზზე, PC1 -ს აქვს ლოკალური მისამართი 192.168.10.10. PC1 -თან მიმართებაში, ვებ-სერვერს აქვს
გარე მისამართი 209.165.201.1. როდესაც პაკეტები გადაიცემა PC1-დან ვებ-სერვერის გლობალურ
მისამართზე, PC1-ის შიდა ლოკალური მისამართი ტრანსლირდება ვებ-სერვერის შიდა გლობალურ
მისამართში 209.165.200.226. გარე მოწყობილობის მისამართის ტრანსლირება, როგორც წესი, არ ხდება,
ვინაიდან ის არის საჯარო IPv4 მისამართი.

მიაქციეთ ყურადღება, რომ PC1-ს აქვს განსხვავებული ლოკალური და გლობალური მისამართები,

მაშინ, როდესაც ვებ-სერვერს აქვს ერთნაირი IPv4 მისამართები ორივე ტიპისათვის. ვებ-სერვერთან
მიმართებაში, PC1-დან გენერირებული ტრაფიკი გამართულია 209.165.200.226 შიდა გლობალური
მისამართით.

R2, NAT მარშრუტიზატორი წარმოადგენს სადემარკაციო წერტილს შიდა და გარე ქსელებს შორის და
ლოკალურ და გლობალურ მისამართებს შორის.
NAT ტერმინოლოგია (Cont)

ტერმინები, შიდა და გარე, კომბინირებულია ტერმინებთან ლოკალური და გლობალური კონკრეტულ

მისამართებთან მიმართებაში. ნახაზზე გამოსახულია მარშრუტიზატორი R2, რომელიც
კონფიგურირებულია, როგორც NAT მარშრუტიზატორი. მას გააჩნია საჯარო მისამართთა პული, რომელთა
მინიჭებაც შეუძლია შიდა კვანძებისათვის.

 შიდა ლოკალური მისამართი - გამგზავნის მისამართი, როგორც ჩანს შიდა ქსელიდან. ნახაზზე ჩანს,
რომ IPv4 მისამართი 192.168.10.10 მინიჭებული აქვს PC1-ს. ეს არის PC1-ის შიდა ლოკალური
მისამართი.

 შიდა გლობალური მისამართი - გამგზავნის მისამართი, როგორც ის ჩანს გარე ქსელიდან. ნახაზზე,
როდესაც PC1-დან გენერირებული ტრაფიკი იგზავნება ვებ-სერვერზე, ანუ 209.165.201.1
მისამართზე, R2 ახდენს შიდა ლოკალური მისამართების ტრანსლირებას შიდა გლობალურ
მისამართებში. ამ შემთხვევაში R2 ცვლის IPv4 გამგზავნის მისამართს 192.168.10.10 -დან
209.165.200.226-ში. NAT ტერმინოლოგიაში შიდა ლოკალური მისამართი 192.168.10.10
ტრანსლირებულია შიდა გლობალურ მისამართში 209.165.200.226.

 გარე გლობალური მისამართი- მიმღების მისამართი, როგორც ის ჩანს გარე ქსელიდან. ეს არის
გლობალურად მარშრუტირებადი IPv4 მისამართი, რომელიც მინიჭებული აქვს კვანძს ინტერნეტში.
მაგალითად, ვებ-სერვერი მიღწევადია IPv4 მისამართზე 209.165.201.1. უმრავლეს შემთხვევებში გარე
ლოკალური და გარე გლობალური მისამართები ერთნაირია.

 გარე ლოკალური მისამართი - მიმღების მისამართი, როგორც ის ჩანს შიდა ქსელიდან. ამ

მაგალითში, PC1 აგზავნის ტრაფიკს ვებ-სერვერზე IPv4 მისამართით 209.165.201.1. ეს მისამართი
შესაძლოა იყოს განსხვავებული მიმღების გლობალურად მარშრუტირებადი მისამართისგან .

ნახაზზე ნაჩვენებია, როგორ არის მიმართული ტრაფიკი შიდა PC-დან გარე ვებ-სერვერზე NAT-
მარშრუტიზატორის გავლით. აქვე ასევე ნაჩვენებია, როგორ არის დაბრუნებული ტრაფიკი
დამისამართებული და ტრანსლირებული.

შენიშვნა: გარე ლოკალური მისამართების გამოყენება ამ კურსში არ განიხილება.

როგორ მუშაობს NAT

ამ მაგალითში PC1, კერძო მისამართით 192.168.10.10, ცდილობს იქონიოს კომუნიკაცია ვებ-სერვერთან,

საჯარო მისამართით 209.165.201.1.

დააჭირეთ ნახაზზე Play ღილაკს ანიმაციის დასაწყებად.

PC1 აგზავნის პაკეტს ვებ-სერვერის მისამართზე. პაკეტი მარშრუტიზატორ R1-ის მიერ გადამისამართდება
R2-ზე.

როდესაც პაკეტი მიაღწევს R2-ს, ქსელის NAT მარშრუტიზატორს, ის წაიკითხავს პაკეტის გამგზავნის IPv4
მისამართს, რათა განსაზღვროს, შეესაბამება თუ არა ის ტრანსლაციისათვის განსაზღვრულ კრიტერიუმებს .

ამ შემთხვევაში პაკეტის კრიტერიუმები შეესაბამება ტრანსლაციას და ხდება მისი გარდაქმნა 192.168.10.10

(შიდა ლოკალური მისამართი)-დან 209.165.200.226 (შიდა გლობალური მისამართი)-ში. R2 ამატებს ამ
მეფინგს ლოკალური - გლობალური მისამართებისათვის თავის NAT ცხრილში.

R2 აგზავნის პაკეტს ტრანსლირებული გამგზავნის მისამართით მიმღებისაკენ.

ვებ-სერვერი პასუხობს პაკეტით, რომელიც იგზავნება PC1-ზე შიდა გლობალური მისამართით

(209.165.200.226).

R2 იღებს პაკეტს მიმღების მისამართით 209.165.200.226. R2 ამოწმებს NAT ცხრილს და პოულობს ჩანაწერს ამ
მეფინგისათვის. R2 სარგებლობს ამ ინფორმაციით და ახდენს ტრანსლაციას შიდა გლობალური
მისამართისა (209.165.200.226) შიდა ლოკალურ მისამართში (192.168.10.10).
სტატიკური NAT

არსებობს NAT ტრანსლაციის სამი ტიპი:

 სტატიკური მისამართის ტრანსლაცია (სტატიკური NAT) - ერთი-ერთზე მისამართთა მეფირება

ლოკალურ და გლობალურ მისამართებს შორის.

 დინამიური მისამართის ტრანსლაცია (დინამიური NAT - მრავალი-მრავალთან მისამართთა

მეფირება ლოკალურ და გლობალურ მისამართებს შორის. ტრანსლაცია ხდება ხელმისაწვდომობაზე
დაფუძნებით. მაგალითად, თუ არსებობს 100 შიდა კერძო მისამართი და 10 შიდა გლობალური
მისამართი, ნებისმიერ მოცემულ დროის მომენტში 100-დან მხოლოდ 10 კერძო მისამართის
ტრანსლაციაა შესაძლებელი. დინამიური NAT-ის ეს შეზღუდვა ქმნის მას ნაკლებად სასარგებლოს
საწარმოო ქსელებში პორტის მისამართის ტრანსლაციასთან შედარებით.

 პორტის მისამართის ტრანსლაცია (PAT) - მრავალი-ერთთან მისამართთა მეფირება ლოკალურ და

გლობალურ მისამართებს შორის. ეს მეთოდი ასევე ცნობილია, როგორც გადატვირთული NAT (NAT
overloading). მაგალითად, თუ არსებობს 100 შიდა კერძო მისამართი და 10 შიდა გლობალური
მისამართი, PAT იყენებს პორტს, როგორც დამატებით პარამეტრს ეფექტის გამრავლების
უზრუნველსაყოფად, ქმნის რა შესაძლებლობას 10 შიდა გლობალური მისამართის 65 536-ჯერ
გამოყენებისა (გამომდინარე იქიდან, რაზეა დაფუძნებული ნაკადი - UDP, TCP, ან ICMP).

სტატიკური NAT

სტატიკური NAT იყენებს ერთი-ერთზე მისამართთა მეფირებას ლოკალურ და გლობალურ მისამართებს

შორის. ეს მეფირება ხორციელდება ქსელის ადმინისტრატორის მიერ და რჩება მუდმივი.

ნახაზზე ჩანს, რომ მარშრუტიზატორი R2 გამართულია სტატიკურ მეფირებაზე Svr1, PC2, და PC3 -ის შიდა
ლოკალური მისამართებისათვის. როდესაც ეს მოწყობილობები აგზავნიან ტრაფიკს ინტერნეტში, შიდა
ლოკალური მისამართები ტრანსლირდებიან ერთ კონფიგურირებულ შიდა გლობალურ მისამართში. გარე
ქსელისათვის ამ მოწყობილობებს აქვთ საჯარო IPv4 მისამართი.

სტატიკური NAT განსაკუთრებით სასარგებლოა ისეთი ვებ-სერვერებისა და მოწყობილობებისათვის,

მაგალითად, კომპანიის ვებ-სერვერებისთვის, რომელთაც სჭირდებათ მუდმივი მისამართი ინტერნეტიდან
ხელმისაწვდომომისთვის. ის ასევე სასარგებლოა, როდესაც საჭიროა ავტორიზებული პერსონალის წვდომა
საიტის გარედან, მაგრამ არა
საჯარო წვდომა
ინტერნეტიდან. მაგალითად,
ქსელის ადმინისტრატორს PC4
-დან შეუძლია წვდომა SSH-ით
Svr1’-ის შიდა გლობალურ
მისამართზე (209.165.200.226).
R2 ახდენს ამ შიდა
გლობალური მისამართის
ტრანსლირებას შიდა
ლოკალურ მისამართში და
უერთდება ადმისისტრატორის
სესიას Svr1-ზე.

სტატიკური NAT მოითხოვს

საჯარო მისამართების საკმაო
რაოდენობას, რათა
დააკმაყოფილოს
მომხმარებლების ერთდროული
სესიების მოთხოვნილება.

დინამიური NAT
დინამიური NAT იყენებს საჯარო მისამართთა პულს და ანიჭებს მათ "პირველადი მომართვა-პირველადი
მომსახურება"პრინციპით. როდესაც შიდა მოწყობილობას სურს წვდომა გარე ქსელთან, დინამიური NAT
ანიჭებს მას საჯარო IPv4 მისამართს თავისი პულიდან.

ნახაზზე ჩანს, რომ PC3 მოიპოვებს წვდომას ინტერნეტთან პირველი ხელმისაწვდომი მისამართის
გამოყენებით დინამიური NAT პულიდან. დანარჩენი მისამართები ჯერჯერობით ხელმისაწვდომია
გამოყენებისთვის. სტატიკური NAT-ის მსგავსად, დინამიური NAT საჭიროებს საჯარო მისამართთა საკმაო
რაოდენობას, რათა დააკმაყოფილოს მომხმარებლების ერთდროული სესიების მოთხოვნილება.
პორტის მისამართთა ტრანსლირება (PAT)

პორტის მისამართთა ტრანსლირება (PAT), ასევე ცნობილი, როგორც გადატვირთული NAT, ახდენს
მრავალი კერძო IPv4 მისამართის გარდაქმნას ერთ ან რამდენიმე საჯარო IPv4 მისამართში. ეს არის ის
პროცესი, რომელსაც ახორციელებს მრავალი საშინაო მარშრუტიზატორი. ISP აგამოყოფს ერთ მისამართს
მარშრუტიზატორისათვის და ამ მისამართით სარგებლობს რამდენიმე საშინაო მომხმარებელი
ინტერნეტთან წვდომისათვის. ეს არის NAT-ის ყველაზე გავრცელებული ფორმა.

PAT-ის შემთხვევში, მრავალი მისამართი მეფირდება ერთ ან რამდენიმე მისამართთან, ვინაიდან

თითოეული კერძო მისამართი ასევე ასოცირდება კონკრეტულ პორტის ნომერთან. როდესაც მოწყობილობა
ახდენს TCP/IP სესიის ინიციირებას, ის ახდენს TCP ან UDP პორტის მნიშვნელობის გენერირებას ან ქმნის
სპეციალურ მოთხოვნას ID for ICMP, რათა მოახდინოს სესიის უნიკალური იდენტიფიცირება. როდესაც NAT
მარშრუტიზატორი იღებს პაკეტს კლიენტისაგან, ის იყენებს გამგზვნის პორტის ნომერს NAT ტრანსლაციის
პროცესის უნიკალურად განსახორციელებლად.

PAT ამოწმებს, რომ მოწყობილობები იყენებდნენ სხვადასხვა TCP პორტის ნომრებს თითოეული
სესიისათვის ინტერნეტის სერვერზე. როდესაც სერვერზე ბრუნდება პასუხი, გამგზავნის პორტის ნომერი,
რომელიც იქცევა მიმღების პორტის ნომრად დაბრუნებულ პაკეტში, განსაზღვრავს, სად უნდა
გადაამისამართოს მარშრუტიზატორმა ეს პაკეტი. PAT პროცესი ასევე ახდენს შემომავალი პაკეტების
ვალიდაციას, რაც ზრდის სესიის უსაფრთხოების დონეს.

დააჭირეთ Play და Pause ღილაკებს, რათა მართოთ ანიმაციის მსვლელობა.

ანიმაცია ახდენს PAT პროცესის დემონსტრირებას. PAT ამატებს გამგზავნის პორტის უნიკალურ ნომერს
შიდა გლობალურ მისამართს ტრანსლაციების განსასხვავებლად.

R2 თითოეული პაკეტის დამუშავებისას იყენებს პორტის ნომერს (1331 და 1555, ამ მაგალითში), რათა
განსაზღვროს მოწყობილობა, საიდანაც ეს პაკეტი იქნა გამოგზავნილი. გამგზავნის მისამართი (SA) არის
შიდა ლოკალური მისამართი, რომელსაც დამატებული აქვს TCP/IP-ის მიერ მინიჭებული პორტის ნომერი.
მიმღების მისამართი (DA) არის გარე ლოკალური მისამართი, რომელსაც დამატებული აქვს სერვისის
პორტის ნომერი. მოცემულ მაგალითში სერვისის პორტის ნომერია 80, რაც ეკუთვნის HTTP-ს.

გამგზავნის მისამართისათვის, R2 ახდენს შიდა ლოკალური მისამართის ტარნსლაციას შიდა გლობალურ

მისამართში, ამატებს რა მას პორტის ნომერს. მიმღების მისამართი არ იცვლება, მაგრამ ახლა ის განიხილება,
როგორც გარე გლობალური IPv4 მისამართი. ვებ სერვერის პასუხისას მარშრუტი შებრუნდება.

209.165.200.226:1555

209.165.200.226:1331
შემდეგი ხელმისაწვდომი პორტი

წინა მაგალითში კლიენტის პორტის ნომრები, 1331 და 1555, არ იცვლება NAT მარშრუტიზატორზე. ეს არ
არის ალბათური სცენარი, ვინაიდან არ არის გამორიცხული, რომ იგივე ნომრები უკვე მინიჭებული
ჰქონდეთ სხვა აქტიურ სესიებს.

PAT ცდილობს დაიცვას ორიგინალი გამგზავნის პორტი. თუმცა, თუ ორიგინალი გამგზავნის პორტი უკვე
გამოყენებაშია, PAT ანიჭებს სესიას პირველ ხელმისაწვდომ პორტის ნომერს დიაპაზონიდან 0-511, 512-1 023
ან 1024- 65 535. თუ პორტის ნომერი აღარ არის ხელმისაწვდომი და არსებობს ერთზე მეტი გარე მისამართი
მისამართთა პულში, PAT გადადის შემდეგ მისამართზე და ცდილობს განსაზღვროს ორიგინალი გამგზავნის
პორტი. ეს პროცესი გრძელდება, სანამ აღარ დარჩება არცერთი ხელმისაწვდომი პორტი ან გარე IPv4
მისამართი.

დააჭირეთ Play ღილაკს ნახაზზე, რათა იხილოთ PAT ოპერაცია. ამ მაგალითში PAT პროცესმა მიანიჭა
შემდეგი ხელმისაწვდომი პორტის ნომერი (1445) მეორე კვანძის მისამართს.

ამ ანიმაციაში კვანძებს არჩეული აქვთ ერთი და იგივე პორტის ნომერი 1444. ეს მისაღებია შიდა
მისამართებისათვის, ვინაიდან კვანძებს გააჩნიათ უნიკალური კერძო IPv4 მისამართები. მიუხედავად ამისა,
NAT მარშრუტიზატორზე პორტის ნომრები უნდა შეიცვალოს; წინააღმდეგ შემთხვევაში, ორი სხვადასხვა
კვანძის პაკეტები R2-დან გადაიცემა ერთიდაიმავე გამგზავნის მისამართით. მაგალითში ჩანს, რომ პირველი
420 პორტი 1 024- 65 535 დიაპაზონში და უკვე არის გამოყენებაში, შესაბამისად, გამოყენებულია შემდეგი
პორტის ნომერი, 1445.
NAT -ისა და PAT-ის შედარება

NAT -სა და PAT-ს შორის განსხვავებების შეჯამება დაგეხმარებათ უკეთესად გაიაზროთ თითოეული
მათგანი.

როგორც ჩანს ნახაზზე, NAT ახდენს IPv4 მისამართთა ტრანსლაციას 1:1 დაფუძნებით კერძო IPv4
მისამართებსა და საჯარო IPv4 მისამართებს შორის. PAT ცვლის როგორც მისამართს, ასევე პორტის ნომერს.

NAT ახდენს შემომავალი პაკეტების გადამისამართებას თავიანთ შიდა მიმღებებზე, მიმართავს რა

შემომავალ გამგზავნის IPv4 მისამართს, მოცემულს კვანძის მიერ საჯარო ქსელში. PAT-ის შემთხვევაში
ძირითადად არსებობს ერთი ან ძალიან ცოტა IPv4 მისამართი. შემომავალი პაკეტები საჯარო ქსელიდან
გადამისამართდებიან თავიანთ მიმღებებზე კერძო ქსელში NAT მარშრუტიზატორის მიერ NAT ცხრილის
გამოყენებით. ეს ცხრილი ახდენს საჯარო და კერძო მისამართების პორტების დაწყვილებას. ამ პროცესს
ეწოდება შეერთების ტრეკინგი.

პაკეტები მე-4 შრის სეგმენტების გარეშე

რა შეიძლება ითქვას პაკეტებზე, რომელთაც გადააქვთ მონაცემები, განსხვავებული TCP ან UDP

სეგმენტებისაგან? ეს პაკეტები არ შეიცავენ მე-4 შრის პორტის ნომრებს. PAT ახდენს გავრცელებულ IPv4
პროტოკოლთა ტრანსლაციას, რომლებიც არ იყენებენ CP ან UDP-ს, როგორც სატრანსპორტო პროტოკოლს.
მათგან ყველაზე გავრცელებულია ICMPv4. თითოეული ეს პროტოკოლი დამუშავდება PAT-ის მიერ
განსხვავებულად. მაგალითად, ICMPv4 მოთხოვნის გზავნილი, ექო-მოთხოვნა და ექო-პასუხი შეიცავს
მოთხოვნის ID-ს. ICMPv4 იყენებს მოთხოვნის ID-ს, რათა განსაზღვროს ექო მოთხოვნა თავისი შესაბამისი
ექო პასუხით. მოთხოვნის ID იზრდება ერთით, როდესაც გაგზავნილია ექო-პასუხი. PAT იყენებს
მოთხოვნის ID-ს მე-4 შრის პორტის ნომრის მაგივრად.

შენიშვნა: სხვა ICMPv4 გზავნილები არ იყენებენ მოთხოვნის ID-ს. ეს გზავნილები და სხვა პროტოკოლები,
რომლებიც არ იყენებენ TCP ან UDP პორტის ნომრებს, არ განიხილება ამ სასწავლო კურსში.
NAT-ის უპირატესობები

NAT უზრუნველყოფს მრავალ სარგებელს, მათ შორის:

 NAT ზოგავს ლეგალურად რეგისტრირებულ დამისამართების სქემას ინტრანეტის პრივატიზაციის

დაშვებით. NAT ზოგავს მისამართებს აპლიკაციათა პორტის დონის მულტიპლექსირების დაშვებით.
გადატვირთული NAT-ის შემთხვევაში შიდა კვანძები იზიარებენ ერთ IPv4 საჯარო მისამართს
ყველა გარე კომუნიკაციისათვის. კონფიგურაციის ამ ტიპში საჯარო მისამართთა საკმაოდ მცირე
რაოდენობაა საჭირო მრავალი შიდა კვანძის მხარდასაჭერად.

 NAT ზრდის საჯარო ქსელთან შეერთების მოქნილობას. მრავლობითი, სარეზერვო და

ბალანსირების პულები შეიძლება იქნან რეალიზებულნი საიმედო საჯარო ქსელური
შეერთებებისათვის.

 NAT უზრუნველყოფს შიდა ქსელური დამისამართების სქემის თანმიმდევრულობას. ქსელში,

რომელიც არ იყენებს კერძო IPv4 მისამართებსა და NAT-ს, საჯარო IPv4 დამისამართების სქემის
შეცვლა მოითხოვს ყველა არსებული კვანძის მისამართის შეცვლას. ყველა არსებული კვანძის
მისამართის შეცვლა დაკავშირებულია დიდ დანახარჯებთან. NAT საშუალებას აძლევს არსებულ
IPv4 დამისამართების სქემას დარჩეს უცვლელი კერძო მისამართების საჯაროში ტრანსლაციის
პროცესში. ეს ნიშნავს, რომ ორგანიზაციას შეუძლია შეცვალოს ინტერნეტ სერვისის მომწოდებელი
შიდა კლიენტების ცვლილების გარეშე.

 NAT მალავს მომხმარებლის IPv4 მისამართებს. RFC 1918 IPv4 მისამართების გამოყენებით, NAT
უზრუნველყოფს მომხმარებელთა და მათი მისამართების დაფარვის გვერდით ეფექტს. არსებობს
ხალხი, რომელიც განიხილავს ამ მოვლენას, როგორც უსაფრთხოების საკითხს, თუმცა ექსპერტები
აღნინავენ, რომ NAT არ უზრუნველყოფს უსაფრთხოებას. ქსელის საზღვარზე უსაფრთხოებას
უზრუნველყოფს ფაიერვოლი (firewall).
NAT-ის ნაკლოვანებები

NAT-ს ახასიათებს გარკვეული ხელისშემშლელი ფაქტორები. ის ფაქტი, რომ კვანძები ინტერნეტში ჩანან
ისე, თითქოს კომუნიკაცია ჰქონდეთ უშუალოდ NAT-დაშვებულ მოწყობილობებთან და არა კვანძთან შიდა
კერძო ქსელში, ქმნის გარკვეული სახის ბარიერებს.

NAT-ის გამოყენების ერთ-ერთი ნაკლოვანება დაკავშირებულია ქსელის მწარმოებლობასთან,

განსაკუთრებით რეალური დროის პროტოკოლებთან, როგორიცაა VoIP. NAT ზრდის გადამისამართების
დაყოვნებებს, ვინაიდან თითოეული IPv4 მისამართის ტრანსლაცია პაკეტში მოითხოვს გარკვეულ დროს.
პირველი პაკეტი ყოველთვის მუშავდება და კომუტირდება დაბალი გამტარუნარიანობის მქონე
მარშრუტით. მარშრუტიზატორმა უნდა გამოიკვლიოს თითოეული პაკეტი, რათა გადაწყვიტოს მისი
ტრანსლაციის საჭიროება. მარშრუტიზატორმა უნდა შეცვალოს IPv4 თავსართი და შესაძლოა, TCP ან UDP
თავსართიც. IPv4 თავსართის საკონტროლო ჯამი, TCP ან UDP თავსართის საკონტროლო ჯამთან ერთად
თავიდან უნდა გამოითვალოს ყოველი ტრანსლაციის პროცესის შემდეგ. სწრაფად კომუტირებადი
მარშრუტით პაკეტთა გადამისამართება მოითხოვს ქეშირების განხორციელებას; წინააღმდეგ შემთხვევაში,
დაყოვნების დრო გაიზრდება.

NAT-ის გამოყენების სხვა ნაკლოვანებაა გამჭოლი (end-to-end) დამისამართების დაკარგვა. ინტერნეტის

მრავალი პროტოკოლი და აპლიკაცია დამოკიდებულია end-to-end დამისამართებაზე გამგზავნი კვანძიდან
მიმღებზე. გამომდინარე აქედან, ზოგიერთი აპლიკაცია არ მუშაობს NAT-თან. მაგალითად, ზოგიერთი
უსაფრთხოების აპლიკაცია, როგორიცაა ციფრული ხელმოწერები, ითიშება, ვინაიდან გამგზავნის IPv4
მისამართი იცვლება მიმღებ კვანძთან მიღწევამდე. აპლიკაციები, რომლებიც იყენებენ ფიზიკურ
დამისამართებას, კვალიფიცირებული დომენის სახელის მაგივრად, ვერ აღწევენ მიმღებამდე NAT
მარშრუტიზატორის მიერ განხორციელებული ტრანსლაციის შემდეგ. ზოგჯერ მსგავსი პრობლემების
თავიდან აცილება შესაძლებელია სტატიკური NAT-ის რეალიზების გზით.

ასევე დაკარგულია End-to-end IPv4 ტრასირების უნარი . გაცილებით რთულია პაკეტთა ტრასირება,
რომლებმაც განიცადეს მრავალი მისამართის ცვლილება თავიანთ თავსართში ყოველ NAT ჰოპზე.

NAT-ის გამოყენება ასევე ართულებს ტუნელირების პროტოკოლთა რეალიზაციას, როგორიცაა IPsec,

ვინაიდან NAT, ცვლის რა თავსართის მნიშვნელობას, ართულებს ინტეგრირების შემოწმებას.

სერვისები, რომლებიც მოითხოვენ TCP შეერთების ინიციირებას გარე ქსელიდან, ან stateless პროტოკოლები,
რომლებიც იყენებენ UDP-ს, ასევე შეიძლება იქნას დარღვეულნი. სანამ NAT მარშრუტიზატორი არ იქნება
გამართული ამ პროტოკოლების მხარდასაჭერად, შემომავალი პაკეტები ვერ მიაღწევენ მიმღებ კვანძს.
ზოგიერთი პროტოკოლი შესაძლოა შეესაბამებოდეს NAT-ის ერთ ინსტანციას მონაწილე კვანძებს შორის
(მაგალითად, FTP-ის პასიური რეჟიმი), მაგრამ ისინი არ იფუნქციონირებენ იმ შემთხვევაში, თუ ორივე
ბოლო ინტერნეტში განცალკევებულია NAT-ის მიერ.
სტატიკური NAT-ის კონფიგურირება

სტატიკური NAT წარმოადგენს ერთი-ერთზე მეფირებას შიდა და გარე მისამართებს შორის. სტატიკური
NAT საშუალებას აძლევს გარე მოწყობილობას, ინიციირება გაუკეთოს შეერთებას შიდა მოწყობილობასთან
სტატიკურად გაწერილი საჯარო მისამართების მეშვეობით. მაგალითად, შიდა ვებ სერვერი შეიძლება
მეფირებულ იქნას კონკრეტული შიდა გლობალური მისამართებით ისე, რომ ის იყოს ხელმისაწვდომი გარე
ქსელიდან.

ნახაზ 1-ზე ნაჩვენებია შიდა ქსელი, რომელიც შეიცავს ვებ სერვერს კერძო IPv4 მისამართით.
მარშუტიზატორი R2 კონფიგურირებულია სტატიკური NAT-ით, რაც საშუალებას აძლევს მოწყობილობებს
გარე ქსელიდან (ინტერნეტიდან) იქონიონ წვდომა ვებ სერვერთან. კლიენტს გარე ქსელიდან აქვს წვდომა
ვებ სერვერთან საჯარო IPv4 მისამართის გამოყენებით. სტატიკური NAT ახორციელებს საჯარო IPv4
მისამართების ტრანსლაციას კერძო IPv4 მისამართში.

ეს არის ორი ძირითადი ამოცანა, როდესაც გამართულია სტატიკური NAT.

ნაბიჯი 1. 1-ლი ამოცანაა მეფირების შექმნა შიდა ლოკალურ მისამართებსა და შიდა გლობალურ
მისამართებს შორის. მაგალითად, 192.168.10.254 შიდა ლოკალური მისამართი და 209.165.201.5 შიდა
გლობალური მისამართი ნახაზ 1-ზე კონფიგურირებულია სტატიკურ NAT ტრანსლაციაზე.

ნაბიჯი 2. მეფინგის კონფიგურირების შემდეგ ინტერფეისები, რომლებიც მონაწილეობას იღებენ

ტრანსლაციის პროცესში, NAT-თან მიმართებაში გამართულნი არიან როგორც შიდა ან გარე . ამ მაგალითში,
R2-ის Serial 0/0/0 ინტერფეისი არის შიდა ინტერფეისი და Serial 0/1/0 - გარე ინტერფეისი.

პაკეტი, რომელიც აღწევს შიდა ინტერფეისზე (Serial 0/0/0) კონფიგურირებული შიდა ლოკალური IPv4
მისამართიდან(192.168.10.254), ტრანსლირდება და შემდეგ გადაიცემა გარე ინტერფეისზე. პაკეტი, რომელიც
აღწევს გარე ინტერფეისზე (Serial 0/1/0), რომელიც მიმართულია კონფიგურირებულ შიდა გლობალურ IPv4
მისამართზე (209.165.201.5), ტრანსლირდება შიდა ლოკალურ მისამართზე (192.168.10.254) და
გადამისამართდება შიდა ქსელში.

ნახაზ 2-ზე გამოსახულია ბრძანებები, რომელთა გამოყენებაც აუცილებელია სტატიკური NAT.-ის

გასამართად.

ნახაზ 2-ზე ნაჩვენებია ბრძანებები, რომლებიც საჭიროა R2-სათვის, რათა შექმნას NAT მეფინგი ვებ
სერვერისათვის მოცემულ ტოპოლოგიაში. როგორც კონფიგურაციაშია ნაჩვენები, R2 ახდენს
ტარანსლირებას ვებ სერვერიდან მისამართებით 192.168.10.254 საჯარო IPv4 მისამართებში 209.165.201.5.
კლიენტი ინტერნეტიდან აგზავნის მოთხოვნას ვებ სერვერზე IPv4 მისამართით 209.165.201.5. R2
გადაამისამართებს ტრაფიკს ვებ სერვერზე მისამართზე 192.168.10.254.

ნახაზ 4-ზე გამოიყენეთ სინტაქსის შემმოწმებელი და გამართეთ დამატებითი სტატიკური NAT ჩანაწერი R2-
ზე.
სტატიკური NAT-ის ანალიზი

წინა კონფიგურაციის გამოყენებით, ნახაზზე ილუსტრირებილია კლიენტსა და ვებ სერვერს შორის

სტატიკური nat ტრანსლაციის პროცესი . როგორც წესი, სტატიკური nat ტრანსლაცია ხდება, როდესაც
კლიენტს გარე ქსელიდან (ინტერნეტი) სურს წვდომა შიდა ქსელთან.

1. კლიენტს სურს გახსნას შეერთება ვებ სერვერთან. კლიენტი აგზავნის პაკეტს ვებ სერვერზე, იყენებს რა
საჯარო IPv4 მიმღების მისამართს 209.165.201.5. ეს არის ვებ სერვერის შიდა გლობალური მისამართი.

2. პირველი პაკეტი, რომელსაც R2 იღებს თავის გარე NAT ინტერფეისზე, იწვევს მარშრუტიზატორის მიერ
თავისი NAT ცხრილის შემოწმებას. მიმღების IPv4 მისამართი მონიშნულია ცხრილში და არის
ტრანსლირებული.

3. R2 ცვლის შიდა გლობალურ მისამართს 209.165.201.5 შიდა ლოკალური მისამართით 192.168.10.254.

შემდეგ R2 გადაამისამართებს პაკეტს ვებ სერვერზე.

4. ვებ სერვერი, მიიღებს რა პაკეტს, უგზავნის კლიენტს პასუხს შიდა ლოკალური მისამართის,
192.168.10.254, გამოყენებით.

5a. R2 იღებს პაკეტს ვებ სერვერიდან თავის შიდა NAT ინტერფეისზე გამგზავნის მისამართით, რომელიც
არის ვებ სერვერის შიდა ლოკალური მისამართი 192.168.10.254.

5b. R2 ამოწმებს NAT ცხრილს შიდა ლოკალური მისამართის ტრანსლაციის მიზნით. ეს მისამართი იქნა
მოძიებული NAT ცხრილში. R2 ახდენს მიმღების მისამართის ტრანსლაციას შიდა გლობალურ მისამართში
209.165.201.5 და აგზავნის პაკეტს კლიენტთან.

6. კლიენტი იღებს პაკეტს და აგრძელებს მოლაპარაკებას. NAT მარშრუტიზატორი ახორციელებს ნაბიჯებს 2-

დან 5ა-ს ჩათვლით ყველა პაკეტისათვის. (ნაბიჯი 6 არ არის გამოსახული ნახაზზე).
სტატიკური NAT-ის შემოწმება

NAT-ის ოპერირების შესამოწმებლად სასარგებლო ბრძანებაა show ip nat translations. ეს ბრძანება აჩვენებს
აქტიურ NAT ტრანსლაციებს. დინამიური ტრანსლაციებისაგან განსხვავებით, სტატიკური ტრანსლაციები
ყოველთვის აისახება NAT ცხრილში. ნახაზ1-ზე გამოსახულია შესრულების შედეგი ბრძანებისა, რომელიც
იქნა გამოყენებული წინა კონფიგურაციის მაგალითში. ვინაიდან მაგალითი წრმოადგენს სტატიკური NAT-
ის კონფიგურაციას, ტრანსლაციები ყოველთვის გამოსახულია NAT ცხრილში მიუხედავად აქტიური
სესიების არსებობა-არარსებობისა. თუ ბრძანება გაშვებულია აქტიური სესიის დროს, შესრულების შედეგი
გამოსახავს ასევე გარე მოწყობილობის მისამართსაც, როგორც ნაჩვენებია ნახაზ 1-ზე.

სხვა სასარგებლო ბრძანებაა show ip nat statistics. როგორც ნაჩვენებია ნახაზ2-ზე, show ip nat statistics
ბრძანება გამოსახავს ინფორმაციას ტრანსლაციების საერთო ჯამის შესახებ, NAT კონფიგურაციის
პარამეტრებს, პულში მისამართთა რაოდენობას და გამოყოფილი მისამართების რაოდენობას.

NAT ტრანსლაციების მუშაობის შესამოწმებლად საუკეთესო გზაა წინა ტრანსლაციათა შედეგების წაშლა
clear ip nat statistics ბრძანების გამოყენებით ტესტირების დაწყებამდე.

ვებ სერვერთან რაიმე კომუნიკაციის დაწყებამდე show ip nat statistics ბრძანება არ გამოსახავს რაიმე
მიმდინარე შედეგს. კლიენტის მიერ ვებ სერვერთან სესიის დამყარების შემდეგ show ip nat statistics ბრძანება
გამოსახავს 5 შედეგს. ეს ნიშნავს, რომ სტატიკური NAT პროცესი მიმდინარეობს R2-ზე.

Verifying Static NAT Translations

*The static translation is always present in the NAT table.

სტატიკური ტრანსლაციები ყოველთვის არის წარმოდგენილი NAT ცხრილში .

R2# show ip nat translations

Pro Inside global Inside local Outside local Outside global
--- 209.165.201.5 192.168.10.254 --- ---
R2#

*The static translation during an active session.

სტატიკური ტრანსლაციები აქტიური სესიის პროცესში.

R2# show ip nat translations

Pro Inside global Inside local Outside local Outside global
--- 209.165.201.5 192.168.10.254 209.165.200.254 209.165.200.254
--- 209.165.201.5 192.168.10.254 --- ---
R2#

EXAMPLE:
R2# clear ip nat statistics

R2# show ip nat statistics

Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Peak translations: 0
Outside interfaces:
Serial0/0/1
Inside interfaces:
Serial0/0/0
Hits: 0 Misses: 0

Client PC establishes a session with the web server

R2# show ip nat statistics

Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Peak translations: 2, occurred 00:00:14 ago
Outside interfaces:
Serial0/1/0
Inside interfaces:
Serial0/0/0
Hits: 5 Misses: 0
დინამიური NAT-ის ოპერირება

სტატიკური NAT უზრუნველყოფს მუდმივ მეფირებას შიდა ლოკალურ მისამართებსა და გარე ლოკალურ
მისამართებს შორის, დინამიური NAT ამ ოპერაციებს ახორციელებს ავტომატურად. შიდა გლობალური
მისამართები, როგორც წესი, წარმოადგენენ საჯარო IPv4 მისამართებს. დინამიური NAT იყენებს საჯარო
IPv4 მისამართების ჯგუფს, ანუ პულს, ტრანსლაციის პროცესის განსახორციელებლად.

დინამიური NAT, სტატიკური NAT-ის მსგავსად, მოითხოვს შიდა და გარე ინტერფეისების გამართვას NAT
პროცესში მონაწილეობისათვის. თუმცა, თუ სტატიკური NAT ქმნის მუდმივ მეფირებას ერთ საჯარო
მისამართში, დინამიური NAT იყენებს მისამართთა პულს.

შენიშვნა: საჯარო და კერძო IPv4 მისამართებს შორის ტრანსლაცია წარმოადგენს NAT პროცესის ძირითად
გამოყენებას. თუმცა NAT ტრანსლაცია შეიძლება განხორციელდეს მისამართთა ნებისმიერ წყვილს შორის.

ნახაზზე გამოსახულ ტოპოლოგიის მაგალითში შიდა ქსელი იყენებს მისამართებს RFC 1918 კერძო
მისამართთა სივრციდან. R1 -თან მიერთებულია ორი LAN -, 192.168.10.0/24 და 192.168.11.0/24. სასაზღვრო
მარშრუტიზატორი R2 კონფიგურირებულია დინამიური NAT -ით და იყენებს საჯარო IPv4 მისამართებს
209.165.200.226 - 209.165.200.240 დიაპაზონში.

საჯარო IPv4 მისამართთა პული (შიდა გლობალურ მისამართთა პული) ხელმისაწვდომია ნებისმიერი
მოწყობილობისათვის შიდა ქსელში "პირველი მოვიდა - პირველი მომსახურდა" პრინციპით. დინამიური
NAT-ის შემთხვევაში ერთი შიდა მისამართი ტრანსლირდება ერთ გარე მისამართში. ტრანსლაციის ამ
ტიპისათვის საჭიროა პულში არსებობდეს მისამართთა საკმაოდ დიდი რაოდენობა, რათა დაკმაყოფილდეს
შიდა ქსელის მოწყობილობათა მოთხოვნები მათი გარე ქსელთან წვდომისათვის დროის ერთსა და იმავე
მომენტში. თუ პულში არსებული ყველა მისამართი გამოყენებულია, მოწყობილობებს მოუწევთ
ტრანსლაციის მოლოდინი, სანამ ისინი მოიპოვებენ წვდომას გარე ქსელთან.
დინამიური NAT-ის კონფიგურირება

ნახაზ1-ზე გამოსახულია ნაბიჯები და ბრძანებები დინამიური NAT-ის გასამართად.

ნაბიჯი 1. განსაზღვრეთ მისამართთა პული, რომელიც გამოიყენება ტრანსლაციისათვის, ბრძანებით ip nat

pool . როგორც წესი, პული წარმოაგდენს საჯარო მისამართთა ჯგუფს. მისამართები განსაზღვრულია
პირველი და ბოლო IPv4 მისამართების გამოსახვით პულში. netmask ან prefix-length საკვანძო სიტყვები
გამოსახავენ, მისამართთა რომელი თანრიგები ეკუთვნის ქსელის ნაწილს და რომელი - კვანძების ნაწილს
მისამართთა დიაპაზონში.

ნაბიჯი 2. გამართეთ სტანდარტული ACL, რათა დაშვებულ იქნას მხოლოდ ის მისამართები, რომელთა
ტრანსლაციაცაა საჭირო. ACL უნდა დაიწეროს დიდი სიფრთხილით, რადგან ბევრი დაშვებების
შემთხვევაში შეიძლება მივიღოთ არაპროგნოზირებადი შედეგი. არ დაგავიწყდეთ deny all ჩანაწერის
გაკეთება ყოველი წვდომის სიის ბოლოს.

ნაბიჯი 3. განუსაზღვრეთ (მიაბით) წვდომის სია პულს. ip nat inside source list access-list-number pool pool
name ბრძანება გამოიყენება წვდომის სიის პულისათვის განსასაზღვრად (მისაბმელად). ეს კონფიგურაცია
გამოიყენება მარშრუტიზატორის მიერ იმის განსასაზღვრად, რომელი მოწყობილობები (list) რომელ
მისამართებს (pool) მიიღებენ.

ნაბიჯი 4. განსაზღვრეთ, რომელი ინტერფეისია შიდა, NAT-თან მიმართებაში; ეს არის ინტერფეისი,

რომელიც უერთდება შიდა ქსელს.

ნაბიჯი 5. განსაზღვრეთ, რომელი ინტერფეისია გარე NAT-თან მიმართებაში; ეს არის ინტერფეისი,

რომელიც უერთდება გარე ქსელს.

ნახაზ 2-ზე გამოსახულია ტოპოლოგიისა და კონფიგურაცის მაგალითები. ეს კონფიგურაცია ნებას რთავს

მისამართთა ტრანსლაციას ყველა კვანძისათვის 192.168.0.0/16 ქსელიდან, რომელიც მოიცავს 192.168.10.0 და
192.168.11.0 LAN-ებს, როდესაც ისინი ახდენენ ტრაფიკის გენერირებას, რომელიც შედის S0/0/0 -ზედა გადის
S0/1/0 ინტერფეისიდან. ამ კვანძების მისამართები ტრანსლირდებიან მისამართთა პულში დიაპაზონიდან
209.165.200.226 - 209.165.200.240.

მე-3 ნახაზზე გამოსახულია ტოპოლოგია, რომელიც გამოიყენება სინტაქსის შემმოწმებლის

კონფიგურაციისათვის. გამოიყენეთ სინტაქსის შემმოწმებელი ნახაზ 4-ზე, რათა გამართოთ დინამიური NAT
მარშრუტიზატორზე R2.
Defines a pool of public IPv4 addresses under the pool name NAT-POOL1.
R2(config)# ip nat pool NAT-POOL1 209.165.200.226
209.165.200.240 netmask 255.255.255.224

Defines which addresses are eligible to be translated.

R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255

Binds NAT-POOL1 with ACL 1.

R2(config)# ip nat inside source list 1 pool NAT-POOL1

Identifies interface serial 0/0/0 as an inside NAT interface

R2(config)# interface Serial0/0/0
R2(config-if)# ip nat inside

Identifies interface serial 0/1/0 as an outside NAT interface.

R2(config)# interface Serial0/1/0
R2(config-if)# ip nat outside
დინამიური NAT -ის ანალიზირება

წინა კონფიგურაციის გამოყენებით ნახაზზე ხდება დემონსტრაცია დინამიური NAT ტრანსლაციის

პროცესისა ორ კლიენტსა და სერვერს შორის.

ნახაზ 1-ზე ნაჩვენებია, რომ ტრაფიკი მოძრაობს შიდა ქსელიდან გარე ქსელის მიმართულებით.

1. კვანძები გამგზავნის მისამართებით IPv4 addresses (192.168.10.10 (PC1) and 192.168.11.10 (PC2)) აგზავნიან
პაკეტებს შეერთების მოთხოვნით სერვერზე, რომლის საჯარო IPv4 მისამართია 209.165.200.254.

2. R2 იღებს პირველ პაკეტს კვანძიდან მისამართით 192.168.10.10. ვინაიდან პაკეტი იქნა მიღებული
ინტერფეისზე, რომელიც გამართულია, როგორც შიდა NAT ინტერფეისი, R2 ამოწმებს NAT კონფიგურაციას,
რათა განსაზღვროს, უნდა იქნას თუ არა ამ პაკეტის მისამართი ტრანსლირებული. ACL ახდენს ამ პაკეტის
დაშვებას, შესაბამისად, R2 ახდენს მისი მისამართის ტრანსლაციას. R2 ამოწმებს თავის NAT ცხრილს.
ვინაიდან მას არა აქვს არანაირი ტრანსლაციის ჩანაწერი ამ IPv4 მისამართისათვის, R2 განსზღვრავს, რომ
გამგზავნის მისამართი 192.168.10.10 უნდა იქნას ტრანსლირებული დინამიურად. R2 ირჩევს ხელმისაწვდომ
გლობალურ მისამართს დინამიურ მისამართთა პულიდან და ქმნის ტრანსლაციის ჩანაწერს -
209.165.200.226. ორიგინალი გამგზავნის მისამართი IPv4 address (192.168.10.10) წარმოადგენს შიდა
ლოკალურ მისამართს და ტრანსლირებული მისამართი არის შიდა გლობალური მისამართი
(209.165.200.226) NAT ცხრილში.

მეორე კვანძისათვის, რომლის მისამართია 192.168.11.10, R2 იმეორებს პროცედურას, ირჩევს შემდეგ

ხელმისაწვდომ მისამართს გლობალურ მისამართთა პულიდან და ქმნის მეორე ტრანსლაციის ჩანაწერს -
209.165.200.227.

3. R2 ცვლის PC1-ის შიდა ლოკალურ გამგზავნის მისამართს, 192.168.10.10, ტრანსლირებულს შიდა

გლობალური მისამართით 209.165.200.226 და გადაამისამართებს პაკეტს. იგივე პროცესი მეორდება,
როდესაც PC2-ის პაკეტი იყენებს ტრანსლირებულ მისამართს PC2-თვის ( 209.165.200.227).

ნახაზ 2-ზე ტრაფიკი გადაიცემა გარე ქსელიდან შიდა ქსელში:

4. სერვერი იღებს პაკეტს PC1 -დან და პასუხობს მას IPv4 მიმღების მისამართის გამოყენებით 209.165.200.226.
როდესაც სერვერი იღებს მეორე პაკეტს, ის პასუხობს PC2 -ს IPv4 მიმღების მისამართის გამოყენებით
209.165.200.227.

5ა როდესაც R2 იღებს პაკეტს მიმღების IPv4 მისამართით 209.165.200.226; ის ახდენს NAT ცხრილის
გამოკვლევას. იყენებს რა ცხრილში ასახულ მეფირებას, R2 ახდენს მისამართის უკუტრანსლაციას შიდა
ლოკალურ მისამართში (192.168.10.10) და აგზავნის პაკეტს PC1-ის მიმართულებით.

5ბ როდესაც R2 იღებს პაკეტს მიმღების IPv4 მისამართით 209.165.200.227; ის ახდენს NAT ცხრილის
გამოკვლევას. იყენებს რა ცხრილში ასახულ მეფირებას, R2 ახდენს მისამართის უკუტრანსლაციას შიდა
ლოკალურ მისამართში (192.168.11.10) და აგზავნის პაკეტს PC2-ის მიმართულებით.

6. PC1 მისამართით 192.168.10.10 და PC2 მისამართით 192.168.11.10 იღებენ პაკეტებს და აგრძელებენ

მოლაპარაკებას. მარშრუტიზატორი ახორციელებს ნაბიჯებს 2-დან 5-მდე თითოეული პაკეტისათვის. (მე-6
ნაბიჯი არ არის გამოსახული ნახაზზე).
დინამიური NAT-ის შემოწმება

ნახაზ 1-ზე გამოსახული show ip nat translations ბრძანების შესრულების შედეგი აჩვენებს ორი წინა NAT
რეალიზაციის დეტალებს. ბრძანება გამოსახავს ყველა სტატიკურ ტრანსლაციას, რომლებიც იქნა
გამართული და ასევე დინამიურ ტრანსლაციებს, რომლებიც შექმნილია ტრაფიკის მიერ.

verbose საკვანძო სიტყვის დამატებით გამოისახება დამატებითი ინფორმაცია თითოეული ტრანსლაციის

შესახებ, მათ შორის, რა ხნის წინ იქნა ჩანაწერი შექმნილი და გამოყენებული.

ნაგულისხმევად, ტრანსლაციის ჩანაწერები არსებობს 24 საათის განმავლობაში, სანამ არ მოხდება ტაიმერის

რეკონფიგურაცია ip nat translation timeout timeout-seconds ბრძანების საშუალებით გლობალური
კონფიგურაციის რეჟიმში.

დინამიური ტრანსლაციის ჩანაწერების წაშლა ტაიმ-აუტის ამოწურვამდე შესაძლებელია ბრძანებით clear ip

nat translation პრივილეგირებულ რეჟიმში (ნახაზი 2). სასარგებლოა დინამიური ტრანსლაციის ჩანაწერების
წაშლა NAT კონფიგურაციის შემოწმების პროცესში. როგორც ნაჩვენებია ცხრილში, ამ ბრძანების გამოყენება
შეიძლება საკვანძო სიტყვის თანხლებით და შესაძლებელია მართვა, რომელი ჩანაწერი უნდა წაიშალოს.
შესაძლებელია კონკრეტული ჩანაწერების წაშლა, რათა თავიდან ავიცილოთ აქტიური სესიის გათიშვა.
გამოიყენეთ clear ip nat translation * პრივილეგირებული რეჟიმის ბრძანება, რათა წაშალოთ ყველა
ტრანსლაცია ცხრილიდან.

შენიშვნა: ცხრილში წაიშლება მხოლოდ დინამიური ტრანსლაციის ჩანაწერები. სტატიკური ტრანსლაციების

წაშლა ცხრილიდან შეუძლებელია.

ნახაზზე, show ip nat statistics ბრძანება გამოსახავს ინფორმაციას აქტიური ტრანსლაციების ჯამური
რაოდენობის შესახებ, NAT კონფიგურაციის პარამეტრებს, პულში მისამართების რაოდენობას და
გამოყოფილ მისამართთა რაოდენობას.

ალტენატიულად, გამოიყენეთ show running-config ბრძანება და იხილეთ NAT, ACL, ინტერფეისები ან

პულის ბრძანებები მოთხოვნილი მნიშვნელობებით. საგულდაგულოდ შეამოწმეთ ეს პარამეტრები და
შეასწორეთ ყველა აღმოჩენილი შეცდომა.

დინამიური NAT-ის შემოწმება ბრძანებით show ip nat translations

R2# show ip nat translations

Pro Inside global Inside local Outside local Outside global
--- 209.165.200.226 192.168.10.10 --- ---
--- 209.165.200.227 192.168.11.10 --- ---
R2#
R2# show ip nat translations verbose
Pro Inside global Inside local Outside local Outside global
--- 209.165.200.226 192.168.10.10 --- ---
create 00:17:25, use 00:01:54 timeout:86400000, left 23:58:05, Map-Id(In): 1,
flags:
one, use_count: 0, entry-id: 32, lc_entries: 0
--- 209.165.200.227 192.168.11.10 --- ---
create 00:17:22, use 00:01:51 timeout:86400000, left 23:58:08, Map-Id(In): 1,
flags:
none, use_count: 0, entry-id: 34, lc_entries: 0
R2#
NAT ტრანსლაციათა წაშლა
R2# clear ip nat translation *
R2# show ip nat translations

R2#
დინამიური NAT-ის შემოწმება ბრძანებით show ip nat statistics
R2# clear ip nat statistics

PC1 and PC2 establish sessions with the server

R2# show ip nat statistics

Total active translations: 2 (0 static, 2 dynamic; 0 extended)
Peak translations: 6, occurred 00:27:07 ago
Outside interfaces:
Serial0/0/1
Inside interfaces:
Serial0/1/0
Hits: 24 Misses: 0
CEF Translated packets: 24, CEF Punted packets: 0
Expired translations: 4
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 pool NAT-POOL1 refcount 2
pool NAT-POOL1: netmask 255.255.255.224
start 209.165.200.226 end 209.165.200.240
type generic, total addresses 15, allocated 2 (13%), misses 0

Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
R2#
PAT-ის კონფიგურირება: მისამართთა პული

PAT (ასევე ცნობილი, როგორც გადატვირთული NAT) ახდენს მისამართთა დაზოგვას შიდა გლობალურ
მისამართთა პულში, საშუალებას აძლევს რა მარშრუტიზატორს, გამოიყენოს ერთი შიდა გლობალური
მისამართი მრავალი შიდა ლოკალური მისამართის ტრანსლირებისათვის. სხვა სიტყვებით, ერთი საჯარო
IPv4 მისამართი გამოიყენება ასობით და შესაძლოა, ათასობით კერძო მისამართის ტრანსლაციისათვის.
როდესაც გამართულია ამ ტიპის ტრანსლაცია, მარშრუტიზატორი უზრუნველყოფილია მაღალი დონის
პროტოკოლთა ინფორმაციით, TCP ან UDP პორტის ნომრებით, მაგალითად, იმისათვის, რომ მოახდინოს
შიდა გლობალური მისამართების ტრანსლაცია სწორ შიდა ლოკალურ მისამართებში. როდესაც მრავალი
შიდა ლოკალური მისამართი მეფირებულია ერთ შიდა გლობალურ მისამართთან, TCP ან UDP პორტის
ნომრები თითოეული ამ მეფირებისათვის განსხვავდება ლოკალურ მისამართებს შორის.

შენიშვნა: შიდა მისამართთა ჯამური რიცხვი, რომელთა ტრანსლირებაც შესაძლებელია ერთ გარე
მისამართში, თეორიულად შეიძლება აღწევდეს 65 536 IPv4 მისამართს. მიუხედავად ამისა, შიდა
მისამართთა რაოდენობა, რომელთა ტრანსლაციაც შეიძლება ერთ გარე მისამართში, არის 4000-მდე.

არსებობს PAT-ის გამართვის ორი სახე, რაც დამოკიდებულია ინტერნეტ პროვაიდერის მიერ მისამართთა
განაწილების წესზე. პზოდ შემთხვევაში ISP გამოუყოფს ორგანიზაციას ერთზე მეტ საჯარო მისამართს, სხვა
შემთხვევაში კი ის გამოყოფს მხოლოდ ერთ IPv4 საჯარო მისამართს.

მოახდინეთ PAT-ის კონფიგურირება IPv4 მისამართთა პულისათვის

თუ საიტმა მიიღო ერთზე მეტი საჯარო IPv4 მისამართი, ეს მისამართები ქმნიან პულს PAT-ის
კონფიგურირებისათვის. ეს არის მსაგავსი დინამიური NAT-ისა, განსხვავება ნმხოლოდ იმაშია, რომ არაა
საკმარისი საჯარო მისამართები ერთ-ერთზე შიდა და გარე მისამართთა მეფირებისათვის. მისამართთა
მცირე პული არის გაზიარებული მრავალ შიდა კერძო მისამართს შორის.

ნახაზ 1-ზე ნაჩვენებია ნაბიჯები PAT-ის კონფიგურირებისა მისამართთა პულის გამოყენებით. ძირითადი
განსხვავება ამ კონფიგურაციასა და დინამიურ, ერთი-ერთზე მეფირებულ NAT-ს შორის არის ის, რომ აქ
გამოიყენება საკვანძო სიტყვა overload. overload საკვანძო სიტყვა ახდენს PAT-ის ჩართვას.

ნახაზ2-ზე ნაჩვენები კონფიგურაციის მაგალითი ამყარებს გადატვირთულ ტრანსლაციას NAT პულისათვის,

რომლის დასახელებაა NAT-POOL2. NAT-POOL2 შეიცავს მისამართებს 209.165.200.226 - 209.165.200.240
დიაპაზონში. კვანძები ქსელში 192.168.0.0/16 წარმოადგენენ ტრანსლაციის ობიექტებს. S0/0/0 ინტერფეისი
იდენტიფიცირებულია, როგორც შიდა ინტერფეისი, ხოლო S0/1/0 -როგორც გარე ინტერფეისი.

ნახაზ3-ზე გამოიყენეთ სინტაქსის შემმოწმებელი, რათა მოახდინოთ PAT-ის გამართვა მარშრუტიზატორ R2-
ის მისამართთა პულის გამოყენებით.
Define a pool of public IPv4 addresses under the pool name NAT-POOL2.
R2(config)# ip nat pool NAT-POOL2 209.165.200.226
209.165.200.240 netmask 255.255.255.224

Define which addresses are eligible to be translated.

R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255

Bind NAT-POOL2 with ACL 1.

R2(config)# ip nat inside source list 1 pool NAT-POOL2 overload

Identify interface serial 0/0/0 as an inside NAT interface.

R2(config)# interface Serial0/0/0
R2(config-if)# ip nat inside

Identify interface serial 0/1/0 as the outside NAT interface.

R2(config)# interface Serial0/1/0
R2(config-if)# ip nat outside

Define a pool of public IPv4 addresses 209.165.200.241 to 209.165.200.250 with pool name NAT-POOL-OVERLOAD.
R2(config)# ip nat pool NAT-POOL-OVERLOAD 209.165.200.241 209.165.200.250 netmask 255.255.255.224
Configure ACL 3 to permit devices from 10.0.0.0/8 network to be translated by NAT.
R2(config)# access-list 3 permit 10.0.0.0 0.255.255.255
Bind NAT-POOL-OVERLOAD with ACL 3.
R2(config)# ip nat inside source list 3 pool NAT-POOL-OVERLOAD overload
Configure the proper inside NAT interface.
R2(config)# interface Serial0/0/0
R2(config-if)# ip nat inside
Configure the proper outside NAT interface.
R2(config)# interface Serial0/1/0
R2(config-if)# ip nat outside
You successfully configured PAT using an Address Pool.
PAT-ის კონფიგურირება: ერთი მისამართი

PAT-ის გამართვა ერთი საჯარო IPv4 მისამართისათვის

ნახაზი 1 აჩვენებს ტოპოლოგიას PAT-ის რეალიზაციისათვის ერთი საჯარო IPv4 მისამართის

ტრანსლაციისათვის. მოცემულ მაგალითში, 192.168.0.0/16 ქსელის ყველა კვანძი (ACL 1-თან დამთხვევით),
რომლებიც აგზავნიან ტრაფიკს R2-ის მეშვეობით ინტერნეტში, ტრანსლირდება ერთ საჯარო Pv4
მისამართში 209.165.200.225 ( S0/1/0 ინტერფეისის IPv4 მისამართი). ტრაფიკის ნაკადი იდენტიფიცირდება
პორტის ნომრით NAT ცხრილში, ვინაიდან გამოყენებულია საკვანძო სიტყვა overload.

ნახაზ 2-ზე გამოსახულია ნაბიჯები PAT -ის გამართვისათვის ერთი საჯარო IPv4 მისამართით. თუ
ხელმისაწვდომია მხოლოდ ერთი საჯარო IPv4 მისამართი, გადატვირთვის კონფიგურაცია, როგორც წესი,
ანიჭებს ამ მისამართს გარე ინტერფეისს, რომელიც უერთდება ინტერნეტ პროვაიდერს. ყველა შიდა
ლოკალური მისამართი ტრანსლირდება ერთ საჯარო IPv4 მისამართში, როდესაც ის ტოვებს გარე
ინტერფეისს.

ნაბიჯი 1. ACL-ის განსაზღვრა ტრაფიკის ტრანსლაციის დასაშვებად

ნაბიჯი 2. ტრანსლაციის წყაროს შექმნა interface და overloadსაკვანძო სიტყვების გამოყენებით. interface

საკვანძო სიტყვა განსაზღვრავს, რომელი ინტერფეისის IPv4 მისამართის გამოყენებაა საჭირო შიდა
მისამართების ტრანსლირებისას. overload საკვანძო სიტყვა კარნახობს მარშრუტიზატორს, მოახდინოს
პორტის ნომრის მოძიება თითოელი NAT ჩანაწერისათვის.

ნაბიჯი 3. განსაზღვრა, რომელი ინტერფეისია შიდა NAT-თან მიმართებაში. ეს არის ინტერფეისი, რომელიც
უერთდება შიდა ქსელს.

ნაბიჯი 4. განსაზღვრა, რომელი ინტერფეისია გარე NAT-თან მიმართებაში. ეს არის იგივე ინტერფეისი,
რომელიც განსაზღვრავს ტრანსლაციის წყაროს ნაბიჯზე 2.

კონფიგურაცია მსაგავსია დინამიური NAT-ისა, იმ განსხვავებით, რომ არაა განსაზღვრული მისამართთა

პული და საკვანძო სიტყვა interface გამოიყენება გარე საჯარო IPv4 მისამართის განსაზღვრისათვის.
შესაბამისად, არანაირი NAT პული განსაზღვრული არაა.

ნახაზ 3-ზე გამოიყენეთ სინტაქსის შემმოწმებელი, რათა გამართოთ PAT მარშრუტიზატორ 2-ზე ერთი
მისამართის გამოყენებით.
PAT Configuration Steps

Identify the outside interface serial0/1/0 as the inside global address to be overloaded using ACL 1.

R2(config)# ip nat inside source list 1 interface serial 0/1/0 overload

Configure ACL 1 to permit devices from 192.168.0.0/16 network to be translated by NAT.

R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255

Configure the proper inside NAT interface.

R2(config)# interface serial0/0/0

R2(config-if)# ip nat inside

Configure the proper outside NAT interface.

R2(config)# interface serial0/1/0

R2(config-if)# ip nat outside

You successfully configured PAT using a single address.

PAT-ის ანალიზირება

NAT-ის გადატვირთვის პროცესი ერთიდაიგივეა, მიუხედავად იმისა, გამოიყენება მისამართთა პული თუ

ერთი საჯარო მისამართი. წინა PAT მაგალითის გაგრძელებით, ერთი საჯარო IPv4 მისამართის
გამოიყენებით PC1 -სურს დაამყაროს კომუნიკაცია სერვერთან, Svr1. იმავე დროს, სხვა კლიენტს, PC2-ს სურს
დაამყაროს სესია ვებ სერვერთან Svr2. PC1 და PC2 გამართულნი არიან კერძო IPv4 მისამართებით, ხოლო R2
კონფიგურირებულია, როგორც PAT მარშრუტიზატორი.

PC - სერვერის პროცესი

1. ნახაზ1-ზე ნაჩვენებია PC1 და PC2, რომლებიც აგზავნიან პაკეტებს Svr1 -სა და Svr2-ზე, შესაბამისად. PC1-ს
აქვს გამგზავნის მისამართი IPv4 192.168.10.10 და იყენებს TCP გამგზავნის პორტს 1444. PC2 -ს აქვს
გამგზავნის IPv4 მისამართი192.168.10.11 და შემთხვევით იგივე პორტი 1444.

2. პაკეტი PC1 -დან აღწევს R2-ს პირველი. იყენებს რა PAT-ს , R2 ცვლის გამგზავნის IPv4 მისამართს
209.165.200.225-ზე (შიდა გლობალური მისამართი). NAT ცხრილში არაა სხვა მოწყობილობა, რომელიც
იყენებს პორტის ნომერს 1444, შესაბმისად, PAT იყენებს იგივე პორტის ნომერს. შემდეგ პაკეტი
გადამისამართდება სერვერზე Svr1 მისამართით 209.165.201.1.

3. შემდეგ პაკეტი PC2-დან აღწევს მარშრუტიზატორზე R2. PAT გამართულია ისე, რომ იყენებს ერთ საჯარო
IPv4 შიდა გლობალურ მისამართს ყველა ტრანსლაციისათვის, 209.165.200.225. PC1-თან დაკავშირებული
ტრანსლაციის პროცესის მსგავსად, PAT ცვლის PC2-ის გამგზავნის IPv4 მისამართს შიდა გლობალურ
მისამართზე 209.165.200.225. თუმცა, PC2-ს აქვს იგივე პორტის ნომერი, რაც PC1-ს მიმდინარე PAT ჩანაწერში.
PAT ზრდის გამგზავნის პორტის ნომერს, სანამ ის არ მიიღებს უნიკალურ მნიშვნელობას ცხრილში.
მოცემულ შემთხვევაში გამგზავნის პორტის ნომერი NAT ცხრილში PC2-ის პაკეტისათვის იქნება 1445.

მიუხედავად იმისა, რომ PC1 და PC2 ორივე იყენებს ერთსა და იმავე შიდა გლობალურ მისამართს
(209.165.200.225) და ერთსა და იმავე პორტის ნომერს - 1444, PC2-ის შეცვლილი პორტის ნომერი (1445) ქმნის
თითოეულ ჩანაწერს NAT ცხრილში უნიკალურს. ეს ცხადი ხდება საპასუხო პაკეტების გადაგზავნისას
სერვერებიდან ისევ კლიენტებთან.

სერვერი - PC პროცესი

4. როგორც ნაჩვენებია ნახაზ2-ზე, ტიპიური სერვერი - კლიენტი მიმოცვლისას, Svr1 და Svr2 პასუხობენ
მოთხოვნებს PC1 და PC2-დან, შესაბამისად. სერვერი იყენებს გამგზავნის პორტს მიღებული პაკეტიდან,
როგორც მიმღების პორტს, და გამგზავნის მისამართს, როგორც მიმღების მისამართს, ტრაფიკის
დაბრუნებისას. ისე ჩანს, თითქოს ორივე სერვერს აქვს კომუნიკაცია ერთსა და იმავე კვანძთან მისამართით
209.165.200.225, მაგრამ ეს ასე არაა.

5. პაკეტების მოსვლისას R2 მონიშნავს თავის NAT ცხრილში უნიკალურ ჩანაწერებს, გამოიყენებს რა

მიმღების მისამართს და პორტის ნომერს თითოეული პაკეტისათვის. იმ შემთხვევაში, თუ პაკეტი მოვა Svr1-
დან, მიმღების IPv4 მისამართს 209.165.200.225 ექნება მრავალი ჩანაწერი, მაგრამ მათაგან მხოლოდ ერთი
იქნება მიმღების პორტის ნომრით 1444. თავისი ცხრილის ჩანაწერის გამოყენებით R2 შეცვლის მიმღების
IPv4 მისამართს პაკეტში 192.168.10.10-ზე და დატოვებს პორტის ნომერს უცვლელს. შემდეგ პაკეტი
გადამისამართდება PC1-ზე.

6. როდესაც პაკეტი მოვა Svr2 -დან R2-ზე, განხორციელდება ასეთივე ტრანსლაცია. მიმღების IPv4 მისამართი
209.165.200.225 მონიშნულია ასევე მრავალი ჩანაწერით. თუმცა, მიმღების პორტ 1445-ის გამოყენებით, R2 -ს
შეუძლია უნიკალურად განსაზღვროს ტრანსლაციის ჩანაწერი. მიმღების IPv4 მისამართი იცვლება
192.168.10.11-ზე. ამ შემთხვევაში, მიმღების პორტის ნომერი ასევე იცვლება ორიგინალ მნიშვნელობაზე 1444,
რაც შენახულია NAT ცხრილში. შემდეგ პაკეტი გადამისამართდება PC2-ზე.
PAT-ის შემოწმება

R2 მარშრუტიზატორი გამართულ იქნა, როგორც PAT მარშრუტიზატორი 192.168.0.0/16 ქსელისათვის.

როდესაც შიდა კვანძიდან გაგზავნილი პაკეტი მიაღწევს R2-ს ინტერნეტში გასასვლელად, ის
ტრანსლირდება IPv4 საჯარო მისამართში მისამართთა პულიდან უნიკალური გამგზავნის პორტის ნომრით.

იგივე ბრძანებები, რომლებიც გამოიყენებოდა სტატიკური და დიანმაიური NAT-ის შემოწმებისათვის,

გამოიყენება PAT-ის შესამოწმებლადაც, როგორც ნაჩვენებია ნახაზ 1-ზე. show ip nat translations ბრძანება
გამოსახავს ტრანსლაციებს, განხორციელებულს სხვადასხვა კვანძიდან სხვადასხვა ვებ სერვერებზე.
მიაქციეთ ყურადღება, რომ ორ სხვადასხვა კვანძს მინიჭებული აქვს ერთი და იგივე IPv4 მისამართი
209.165.200.226 (შიდა გლობალური მისამართი). გამგზავნის პორტის ნომერი NAT ცხრილში განასხვავებს ამ
ორ ტრანსლაციას.

როგორც ნაჩვენებია ნახაზ 2-ზე, show ip nat statistics ბრძანება ამოწმებს, რომ NAT-POOL2 ანაწილებს ერთ
მისამართს ორივე ტრანსლაციისათვის. შესრულების შედეგის ინფორმაციაში აქტიური ტრანსლაციის
ნომრისა და ტიპის შესახებ მონაცემები მოიცავს NAT კონფიგურაციის პარამეტრებს, მისამართთა ნომრებს
პულში და მონიშნულ მისამართტა რაოდენობას

PAT ტრანსლაციათა შემოწმება

R2# show ip nat translations

Pro Inside global Inside local Outside local Outside global
tcp 209.165.200.226:51839 192.168.10.10:51839 209.165.201.1:80 209.165.201.1:80
tcp 209.165.200.226:42558 192.168.11.10:42558 209.165.202.129:80 209.165.202.129:80
R2#

PAT სტატისტიკის შემოწმება

R2# clear ip nat statistics

R2# show ip nat statistics

Total active translations: 2 (0 static, 2 dynamic; 2 extended)
Peak translations: 2, occurred 00:00:05 ago
Outside interfaces:
Serial0/0/1
Inside interfaces:
Serial0/1/0
Hits: 4 Misses: 0
CEF Translated packets: 4, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 3] access-list 1 pool NAT-POOL2 refcount 2
pool NAT-POOL2: netmask 255.255.255.224
start 209.165.200.226 end 209.165.200.240
type generic, total addresses 15, allocated 1 (6%), misses 0

Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
R2#
პორტის გადაცემა (Port Forwarding)

პორტის გადაცემა წარმოადგენს ტრაფიკის გადამისამართების აქტს, მიმართულს კონკრეტული ქსელის

პორტისაკენ ქსელის ერთი კვანძიდან მეორეზე. ეს ტექნიკა საშუალებას აძლევს მომხმარებელს გარე
ქსელიდან, მოიპოვოს წვდომა პორტზე კერძო IPv4 მისამართით (შიდა LAN), NAT მარშრუტიზატორის
საშუალებით.

როგორც წესი, ერთი-ერთზე ფაილის გაზიარების ოპერაციები, როგორიცაა ვებ-მომსახურება და გამავალი

FTP, მოითხოვენ პორტების გადაცემას ან გახსნას ამ აპლიკაციათა დასაშვებად, როგორც ნაჩვენებია ნახაზ 1-
ზე. ვინაიდან NAT მალავს შიდა მისამართებს, peer-to-peer შიგნიდან მუშაობს მხოლოდ იქ, სადაც NAT -ს
შეუძლია მოახდინოს მეფირება გამავალი მოთხოვნებისა შემომავალ პასუხებთან.

პრობლემა იმაშია, რომ NAT -ს არ შეუძლია დაუშვას გარედან ინიციირებული მოთხოვნები. ამ პრობლემის
გადაჭრა შესაძლებელია ადმინისტრატორის მიერ ხელით ჩარევით. პორტის გადაცემა შეიძლება იქნას
გამართული სპეციფიური პორტის განსაზღვრით, რომელიც შეიძლება იქნას გადამისამართებული შიდა
კვანძზე.

გაიხსენეთ, რომ ინტერნეტის პროგრამულ აპლიკაციებს შეუძლიათ კომუნიკაცია მომხმარებელთა

პორტებთან მხოლოდ მათი გახსნის ან მათზე ამ აპლიკაციის დაშვების შემთხვევაში. სხვადასხვა
აპლიკაციები იყენებენ სხვადასხვა პორტებს. ეს ქმნის აპლიკაციებისა და მარშრუტიზატორებისათვის
ქსელური სერვისების იდენტიფიცირების პროგნოზირების შესაძლებლობას. მაგალითად, HTTP ოპერირებს
მე-80 პორტის მეშვეობით. როდესაც ვინმეს შეაქვს http://cisco.com მისამართი, ბრაუზერი გამოსახავს Cisco
Systems, Inc. ვებ-საიტს. მიაქციეთ ყურადღება, რომ ისინი არ განსაზღვრავენ HTTP პორტის ნომერს გვერდის
მოთხოვნისათვის, ვინაიდან აპლიკაცია მიმართავს მე-80 პორტს.

თუ იქნა მოთხოვნილი განსხვავებული პორტის ნომერი, მაშინ URL -ს უნდა დაერთოს განმაცალკევებელი
ნიშანი (:). მაგალითად, თუ ვებ გვერდი "უსმენს" პორტს 8080, მომხმარებელმა უნდა შეიტანოს
http://www.example.com:8080.

პორტის გადაცემა საშუალებას აძლევს მომხმარებლებს ინტერნეტიდან მოახდინონ წვდომა შიდა სერვერზე
მარშრუტიზატორის WAN პორტის მისამართისა და შესაბამისი გარე პორტის ნომრის მეშვეობით. შიდა
სერვერები, როგორც წესი, გამართულნი არიან RFC 1918-ით განსაზღვრული კერძო IPv4 მისამართებით.
როდესაც მოთხოვნა იგზავნება WAN პორტის IPv4 მისამართზე ინტერნეტით, მარშრუტიზატორი
გადაამისამართებს მას შესაბამის სერვერზე ლოკალურ ქსელში. უსაფრთხოების მიზნებიდან გამომდინარე,
ფართომაუწყებლური მარშრუტიზატორები ნაგულისხმევად არ უშვებენ ნებისმიერი გარე ქსელური
მოთხოვნის გადამისამართებას შიდა კვანძზე.

ნახაზ 2-ზე გამოსახულია მცირე ბიზნესის მფლობელი, რომელიც იყენებს PoS სერვერს გაყიდვების
თვალყურის სადევნებლად მაღაზიაში. სერვერზე წვდომა შესაძლებელია მაღაზიაში, მაგრამ ვინაიდან მას
გააჩნია კერძო IPv4 მისამართი, მასზე საჯარო წვდომა ვერ განხორციელდება ინტერნეტიდან. ლოკალურ
მარშრუტიზატორზე პორტის გადაცემის ფუნქციის ჩართვა შესაძლებლობას მისცემს მფლობელს, მოიპოვოს
სერვერზე წვდომა ნებისმიერი ადგილიდან ინტერნეტის საშუალებით. პორტის გადაცემა
მარშრუტიზატორზე გამართულია მიმღების პორტის ნომრისა და სერვერის კერძო მისამართის
გამოყენებით. სერვერზე წვდომისათვის კლიენტის პროგრამული უზრუნველყოფა გამოიყენებს
მარშრუტიზატორის საჯარო IPv4 მისამართს და სერვერის მიმღების პორტს.
უსადენო მარშრუტიზატორის მაგალითი

ნახაზზე ნაჩვენებია ერთი პორტის გადაცემის კონფიგურაციის ფანჯარა პაკეტ ტრეისერის უსადენო
მარშრუტიზატორისათვის. ნაგულისხმევად პორტის გადაცემა არაა გამართული მარშრუტიზატორზე.

პორტის გადაცემა შეიძლება ჩაირთოს აპლიკაციებისათვის შიდა ლოკალური მისამართის განსაზღვრით,

რომლის მოთხოვნების გადამისამართებაცაა საჭირო. ნახაზზე, HTTP სერვისის მოთხოვნები, რომლებიც
მოემართებიან უსადენო მარშრუტიზატორიდან, გადამისამართდებიან ვებ სერვერზე შიდა ლოკალური
მისამართით 192.168.1.254. თუ უსადენო მარშრუტიზატორის გარე WAN IPv4 მისამართი არის
209.165.200.225, გარე მომხმარებელს შეუძლია შევიდეს http://www.example.com საიტზე და უსადენო
მარშრუტიზატორი გადაამისამართებს HTTP მოთხოვნას შიდა ვებ სერვერზე მისამართით 192.168.1.254,
გამოიყენებს რა ნაგულისხმევ პორტის ნომერს 80.

სხვა პორტი, განსხვავებული ნაგულისხმევი პორტი 80-ის გარდა, სპეციალურად უნდა განისაზღვროს.
თუმცა, გარე მომხმარებელმა უნდა იცოდეს ამ პორტის ნომერი. სხვა პორტის განსასაზღვრად პორტის
გადამისამართების ფანჯარაში გარე პორტის მნიშვნელობა უნდა შეიცვალოს.

პორტის გადამისამართების კონფიგურირების ცვლილება დამოკიდებულია მარშრუტიზატორის

მწარმოებელსა და მოდელზე. თუმცა არსებობს რამდენიმე საერთო ნაბიჯი, რომელთა გადადგმაცაა საჭირო:
თუ ISP-ს მიერ მოცემული ინსტრუქციები ან მარშრუტიზატორის დოკუმენტაციის ინსტრუქციები არ
იძლევიან შესაბამის სახელმძღვანელოს, ვებ-საიტი http://www.portforward.com უზრუნველყოფს ინფორმაციას
რამდენიმე გავრცელებული მარშრუტიზატორისათვის. შეგიძლიათ მიჰყვეთ მოცემულ ინსტრუქციებს და
დაამატოთ ან გამორთოთ პორტი საჭიროების მიხედვით, როგორც ამას მოითხოვს რომელიმე აპლიკაცია.
პორტის გადამისამართების გამართვა IOS-ში.

IOS-ის ბრძანებების მეშვეობით პორტის გადამისამართების რეალიზაცია მსგავსია ბრძანებებისა,

რომლებითაც კონფიგურირდება სტატიკური NAT. პორტის გადამისამართება წარმოადგენს სტატიკურ
NAT-ის ტრანსლაციას განსაზღვრული TCP ან UDP პორტის ნომრებით.

ნახაზ 1-ზე გამოსახულია სტატიკური NAT-ის ბრძანებები, რომლებიც გამოიყენება IOS-ში პორტის
გადასამისამართებლად.

ნახაზ 2-ზე ნაჩვენებია მაგალითი პორტის გადამისამართების გამართვისათვის IOS-ის ბრძანებებით

მარშრუტიზატორზე R2. 192.168.10.254 არის შიდა ლოკალური IPv4 მისამართი ვებ სერვერისა, რომელიც
"უსმენს" მე-80 პორტს. მომხმარებლები მოიპოვებენ წვდომას ვებ სერვერზე გლობალური IPv4 მისამართით
209.165.200.225, რომელიც არის გლობალური უნიკალური IPv4 მისამართი. ამ შემთხვევაში, ეს არის Serial
0/1/0 ინტერფეისის მისამართი R2-ზე. გლობალური პორტი გამართულია როგორც 8080. ამ მიმღების პორტის
გამოყენებით და გლობალური IPv4 მისამართით 209.165.200.225 მოხდება წვდომა შიდა ვებ სერვერზე.
მიაქციეთ ყურადღება NAT-ის გამართვისას შემდეგ ბრძანებათა პარამეტრებს:

 local-ip = 192.168.10.254

 local-port = 80

 global-ip = 209.165.200.225

 global-port = 8080

როდესაც ე.წ. კარგად ცნობილი პორტები არაა გამოყენებული, კლიენტმა თვითონ უნდა განსაზღვროს
აპლიკაციის პორტის ნომერი.

NAT-ის სხვა ტიპების კონფიგურირების მსგავსად, პორტის გადაცემის დროს მოითხოვება შიდა და გარე
NAT ინტერფეისების განსაზღვრა.

სტატიკური NAT-ის მსგავსად, show ip nat translations ბრძანება შეიძლება იქნას გამოყენებული პორტის
გადაცემის შესამოწმებლად, როგორც ნაჩვენებია ნახაზ 3-ზე.

მოცემულ შემთხვევაში, როდესაც მარშრუტიზატორი იღებს პაკეტს შიდა გლობალური IPv4 მისამართით
209.165.200.225 და TCP მიმღების პორტით 8080, ის ახდენს NAT ცხრილის მოკვლევას მიმღების IPv4
მისამართისა და პორტის ნომრის მოძიების მიზნით. შემდეგ მარშრუტიზატორი ახდენს მის ტრანსლაციას
შიდა ლოკალურ კვანძის მისამართში 192.168.10.254 და მიმღების პორტში 80. შემდეგ R2 გადაამისამართებს
პაკეტს ვებ სერვერზე. ვებ სერვერის მიერ კლიენტისათვის პაკეტის დაბრუნებისას ეს პროცესი ხდება
რევერსულად.

პორტის გადაცემა IOS-ის გამოყენებით

ip nat inside source {static {tcp | udp local-ip local-port

global-ip global-port} [extendable]
R2# show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 209.165.200.225:8080 192.168.10.254:80 209.165.200.254:46088
209.165.200.254:46088
tcp 209.165.200.225:8080 192.168.10.254:80 --- ---
R2#
NAT IPv6-სათვის?

ადრეული 1990-იანი წლებიდან მოყოლებული, IPv4 მისამართების განლევის შესახებ საზრუნავი

პრიორიტეტული იყო IETF-სათვის. RFC 1918 კერძო IPv4 მისამართებისა და NAT-ის გამოყენებით
ცდილობდნენ გადაეწყვიტათ ეს პრობლემა. NAT-ს გააჩნია მნიშვნელოვანი ნაკლოვანებები და 2011 წლის
იანვარში IANA-მ განაცხადა ბოლო IPv4 მისამართის გაცემის შესახებ.

NAT-ის ერთ-ერთი სარგებელი მდგომარეობს იმაში, რომ ის მალავს შიდა კერძო ლოკალურ IPv4
მისამართებს ინტერნეტში. NAT-ს გააჩნია ის უპირატესობა, რომ ქმნის უსაფრთხოებას ლოკალური
ქსელისათვის გარე მომხმარებლებისათვის მასზე წვდომის აკრძალვის საშუალებით. მიუხედავად ამისა, ის
არ შეიძლება იქნას განხილული სრულფასოვანი ქსელური უსაფრთხოების ისეთი სისტემების შემცვლელად,
როგორიცაა ფაიერვოლი ( firewall).

RFC 5902-ში ინტერნეტის არქიტექტურის ბორდის (IAB) მიერ ჩართული იქნა შემდეგი ციტატა IPv6
ქსელური მისამართების ტრანსლაციის შესახებ:

"ძირითადად გავრცელებულია, რომ NAT უზრუნველყოფს დაცვის გარკვეულ დონეს, ვინაიდან გარე
კვანძებს არა აქვთ შესაძლებლობა, მოახდინონ წვდომა NAT-ის უკან მდგარ კვანძებზე". მიუხედავად ამისა,
არ შეიძლება NAT ავურიოთ ფაიერვოლთან. როგორც განხილულია RFC4864-ის 2.2 პარაგრაფში,
ტრანსლაციის აქტი არ უზრუნველყოფს უსაფრთხოებას. stateful ფილტრაციის ფუნქციას შეუძლია
უზრუნველყოს უსაფრთხოება თვით ტრანსლაციის აქტის მოთხოვნის გარეშე.

IPv6, 128-თანრიგიანი დამისამართებით, უზრუნველყოფს 340 ანდეცილიონ მისამართს. შესაბამისად,

სამისამართო სივრცის საკითხი საბოლოოდ გადაწყვეტილია. IPv6 განვითარებული იქნა იმ მიზნით, რომ
NAT ტრანსლაციის აქტის განხორციელება IPv4 კერძო და საჯარო მისამართებს შორის აღარ ყოფილიყო
აუცილებელი. შესაბამისად, IPv6 ვერსიაში აღარ მოხდა NAT-ის რეალიზაცია. IPv6 შეიცავს თავის საკუთარ
IPv6 კერძო მისამართებსა და NAT-ს, თუმცა ეს რეალიზაცია განხორციელებულია IPv4-ისგან
განსხვავებულად .
IPv6 უნიკალური ლოკალური მისამართები

IPv6 უნიკალური ლოკალური მისამართები მსგავსია RFC 1918 კერძო მისამართებისა IPv4-ში, მაგრამ არის
მნიშვნელოვანი განსხვავებებიც. ULA-ს მიზანია უზრუნველყოს IPv6 სამისამართო სივრცე ლოკალური
საიტის შიგნით; ეს არ ნიშნავს დამატებითი IPv6 სივრცის შექმნას, არამედ უსაფრთხოების დონის გაზრდას.

როგორც ნახაზზეა გამოსახული, ULA-ს აქვს პრეფიქსი FC00::/7, რაც განსაზღვრავს პირველ ჰექსტეტს
დიაპაზონში FC00 - FDFF. შემდეგი 1 თანრიგის მნიშვნელობაა 1, თუ პრეფიქსი ლოკალურადაა
მინიჭებული. მისი ნულოვანი მნიშვნელობა განსაზღვრულია მომავალი მიზნებისათვის. შემდეგი 40
თანრიგი არის გლობალური ID, რომელსაც მოჰყვება 16-თანრიგიანი ქვექსელის ID. ამ 64 თანრიგის
კომბინაცია ქმნის ULA-ს პრეფიქსს. დანარჩენი 64 თანრიგი მოიცავს ინტერფეისის ID-ს ან IPv4-ის
ტერმინებში, კვანძის ნაწილის მისამართებს.

უნიკალური ლოკალური მისამართების განსაზღვრულია RFC 4193-ში. ULA ასევე ცნობილია, როგორც
ლოკალური IPv6 მისამართები (არ აურიოთ IPv6 ლინკ-ლოკალურ მისამართებში) და გააჩნია რამდენიმე
მახასიათებელი, მათ შორის:

 საშუალებას აძლევს საიტებს, იქნან კომბინირებულნი ან კერძოდ ურთიერთშეერთებულნი ,

ყოველგვარი სამისამართო კონფლიქტის წარმოქმნის გარეშე ან ინტერფეისების თავიდან
დანომვრის გარეშე, რომლებიც იყენებენ პრეფიქსებს.

 დამოუკიდებელნი არიან ISP-ის მიმართ და შეიძლება იქნენ გამოყენებულნი საიტის შიგნით

ინტერნეტ შეერთების გარეშეც.

 არამარშრუტირებადნი ინტერნეტში, თუ შემთხვევით მოხდა მათი მარშრუტირება ან DNS

მიმართვა, არ ქმნიან სამისამართო კონფლიქტს.

ULA არ არის უშუალოდ-გადამისამართებადი (straight-forward), როგორც RFC 1918 მისამართები. კერძო IPv4
მისამართებისაგან განსხვავებით, IETF-ის განზრხვა არ ყოფილა ტრანსლაცია უნიკალურ ლოკალურ
მისამართებსა და IPv6 გლობალურ უნიკასტ მისამართებს შორის.

IPv6 უნიკალური ლოკალური მისამართების რეალიზაცია და პოტენციური გამოყენება ჯერ კიდევ

შესწავლის პროცესშია ინტერნეტ-საზოგადოების მიერ. მაგალითად, IETF განიხილავს 40-თანრიგიანი
გლობალური ID-ის ოფციის მინიჭებას, როდესაც გამოიყენება FC00::/8 ULA პრეფიქსი, და 40 თანრიგიანი
გლობალური ID-ის შემთხვევით გენერირებას ან შესაძლოა, მის ხელით გაწერას, როდესაც გამოიყენება ULA
-ს პრეფიქსი FD00::/8. დანარჩენი მისამართები რჩებიან უცვლელნი. ჩვენ ჯერ კიდევ ვიყენებთ ქვექსელის ID-
სათვის 16 თანრიგს და 64 თანრიგს ინტერფეისის ID-სათვის.

შენიშვნა: ორიგინალური IPv6 სპეციფიკაცია, გამოყოფილი საიტ-ლოკალური მისამართებისათვის

განსაზღვრულია RFC 3513-ში. საიტ-ლოკალური (Site-local) მისამართები გაპროტესტებულ იქნა IETF -ს მიერ
RFC 3879-ში, ვინაიდან ტერმინი "საიტი" ჟღერდა საეჭვოდ. საიტ-ლოკალური (Site-local) მისამართები
იყენებენ პრეფიქსს დიაპაზონში FEC0::/10 და შეიძლება ჯერ კიდევ შეგვხვდნენ ძველ IPv6 დოკუმენტაციაში.
NAT IPv6-სათვის

NAT IPv6-სათვის გამოიყენება სხვა კონტექსტით, ვიდრე NAT IPv4-სათვის NAT IPv6-სათვის ვარიანტები
გამოიყენებიან წვდომის უზრუნველყოფისათვის მხოლოდ - IPv6 და მხოლოდ - IPv4 ქსელებს შორის. ის არ
გამოიყენება კერძო IPv6 მისამართების გლობალურ IPv6 მისამართებში ტრანსლაციისათვის.

იდეალურ შემთხვევაში, IPv6 უნდა გაიმართოს ყველგან, სადაც შესაძლებელია. ეს გულისხმობს, რომ IPv6
მოწყობილობებს უნდა შეეძლოთ კომუნიკაცია ერთმანეთთან IPv6 ქსელების მეშვეობით. IPv4 -დან IPv6
ვერსიაზე გადასვლისას IETF-ის მიერ შემუშავებულ იქნა რამდენინე გადასვლის ტექნიკა, რომელიც
შეესბამებს სხვადასხვა IPv4-IPv6 სცენარს, მათ შორის ორმაგი სტეკი, ტუნელირება და ტრანსლაცია.

ორმაგი სტეკი გულისხმობს მოწყობილობათა მიერ პროტოკოლთა გამოყეება, რომლებიც ასოცირდებიან

როგორც IPv4, ასევე IPv6 ვერსიასთან. ტუნელირება IPV6-სათვის ნიშნავს ინკაფსუალციის პროცესს IPV6
პაკეტებისა IPV4 პაკეტებში. ეს საშუალებას აძლევს IPV6 პაკეტს, იქნას გადაცემული IPV4 ქსელში.

NAT IPv6-სათვის არ შეიძლება განხილულ იქნას, როგორც ხანგრძლივი სტრატეგია, მაგრამ როგორც
დროებითი მექანიზმი, ის სასარგებლოა IPv4 - IPv6 მიგრაციისათვის. წლების განმავლობაში გამოიყენებოდა
NAT IPv6 -სათვის რამდენიმე პროტოკოლი, მათ შორის NAT-PT. NAT-PT გაპროტესტებულ იქნა IETF-ის
მიერ და შეცვლილი იქნა NAT64-ით. NAT64 არ განიხილება ამ სასწავლო კურსში.
show ip nat ბრძანებები

ნახაზ 1-ზე გამოსახულია R2, გამართული PAT-ით, რომელიც იყენებს მისამართთა დიაპაზონს
209.165.200.226 - 209.165.200.240.

როდესაც წარმოიქმნება IPv4 შეერთების პრობლემა NAT გარემოში, ხშირად რთულია პრობლემის არსის
დადგენა. ამ შემთხვევაში პირველი ნაბიჯი უნდა იყოს NAT -ის, როგორც გაუმართაობის მიზეზის,
გამორიცხვა. მიჰყევით ამ ნაბიჯებს, რათა დარწმუნდეთ NAT -ის სათანადო ოპერირებაში:

ნაბიჯი 1. გამომდინარე კონფიგურაციიდან, მკაფიოდ განსაზღვრეთ, რისი მიღწევა იგეგმება NAT -ით. ამან
შეიძლება გამოავლინოს კონფიგურაციის პრობლემები.

ნაბიჯი 2. შეამოწმეთ ტრანსლაციის ცხრილი სწორი ტრანსლაციების არსებობაზე ბრძანებით show ip nat
translations.

ნაბიჯი 3. გამოიყენეთ clear და debug ბრძანებები, რათა შეამოწმოთ, ოპერირებს თუ არა NAT ისე, როგორც
იყო მოსალოდნელი. შეამოწმეთ, შეიქმნა თუ არა დინამიური ჩანაწერები მათი წაშლის შემდეგ.

ნაბიჯი 4. დეტალურად შეამოწმეთ, როგორ მუშავდება პაკეტი და გააჩნიათ თუ არა მარშრუტიზატორებს

სწორი მარშრუტიზაციის ინფორმაცია პაკეტთა გადასამისამართებლად.

ნახაზ 2-ზე გამოსახულია show ip nat statistics და show ip nat translations ბრძანებების შესრულებათა
შედეგები. show ბრძანების შესრულებამდე, NAT ჩანაწერები და სტატისტიკა იქნა წაშლილი clear ip nat
statistics და clear ip nat translation * ბრძანებებით. მას შემდეგ, რაც კვანძმა 192.168.10.10 მიმართა ტელნეტით
სერვერს მისამართზე 209.165.201.1, NAT სტატისტიკა და NAT ცხრილია გამოსახული, რათა შევამოწმოთ,
ოპერირებს თუ არა NAT სათანადოდ.

მარტივ ქსელურ გარემოში სასარგებლოა NAT-ის მონიტორინგი ბრძანებით show ip nat statistics. show ip nat
statistics ბრზანებას გამოჰყავს ინფორმაცია აქტიური ტრანსლაციების ჯამური რიცხვის შესახებ, NAT -ის
კონფიგურაციის პარამეტრებზე, პულში მისამართების რაოდენობაზე და სხვა. თუმცა შედარებით რთულ
NAT გარემოში, სადაც რამდენიმე ტრანსლაციას აქვს ადგილი, ამ ბრძანებებმა, შესაძლოა, ვერ შეძლონ
პრობლემის მიზეზის ნათლად მითითება. შესაძლოა აუცილებელი გახდეს debug ბრძანების გაშვება
მარშრუტიზატორზე.
R2# clear ip nat statistics
R2# clear ip nat translation *
R2#

R2# show ip nat statistics

Total active translations: 1 (0 static, 1 dynamic; 1 extended)
Peak translations: 1, occurred 00:00:09 ago
Outside interfaces:
Serial0/0/1
Inside interfaces:
Serial0/0/0
Hits: 31 Misses: 0
CEF Translated packets: 31, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 5] access-list 1 pool NAT-POOL2 refcount 1
pool NAT-POOL2: netmask 255.255.255.224
start 209.165.200.226 end 209.165.200.240
type generic, total addresses 15, allocated 1 (6%), misses 0

R2# show ip nat translations

Pro Inside global Inside local Outside local Outside global
tcp 209.165.200.226:19005 192.168.10.10:19005 209.165.201.1:23
209.165.201.1:23
R2#
debug ip nat ბრძანება

გამოიყენეთ debug ip nat ბრძანება NAT-ის ოპერირების შესამოწმებლად ინფორმაციის გამოსახვით

თითოეული პაკეტის შესახებ, რომლებიც ტრანსლირებულნი იქნენ მარშრუტიზატორის მიერ. debug ip nat
detailed ბრძანება ახდენს გენერირებას თითოეული იმ პაკეტის აღწერისა, რომლის ტრანსლირებაც
განიხილება. ეს ბრძანება ასევე უზრუნველყოფს ინფორმაციას შეცდომების შესახებ განსაკუთრებულ
პირობებში, როგორიცაა გლობალური მისამართის მინიჭების მტყუნება. debug ip nat detailed ბრძანება
ახდენს გენერირებას უფრო მეტი გადატვირთვისა, ვიდრე ბრძანება debug ip nat, მაგრამ ის იძლევა
შედარებით მეტ დეტალურ ინფორმაციას NAT-ის პრობლემების აღმოფხვრისათვის. ოპერაციის
დასრულების შემდეგ ყოველთვის გამორთეთ დებაგირების პროხესი.

ნახაზ 1-ზე გამოსახულია debug ip natბრძანების შესრულების შედეგის მაგალითი. ტექსტში ჩანს, რომ შიდა
კვანძი (192.168.10.10) ახდენს ტრაფიკის ინიცირებას გარე კვანძის მიმართულებით (209.165.201.1) და
გამგზავნის მისამართი იქნა ტრანსლირებული გლობალურ მისამართში 209.165.200.226.

დებაგის პროცესის შესრულების შედეგის დეკოდირებისას მიაქციეთ ყურადღება შემდეგ გამოსახულ

სიმბოლოებს და მნიშვნელობებს:

 * (asterisk) - ეს სიმბოლო NAT-ის შემდეგ გამოსახავს, რომ ტრანსლაცია მოხდა სწრაფად-

კომუტირებად (fast-switched) მარშრუტზე. პირველი პაკეტი მოლაპარაკების დროს ყოველთვის
კომუტირდება დამუშავების შემდეგ, რაც ანელებს პროცესს. დანარჩენი პაკეტები ტრანსლირდებიან
სწრაფად-კომუტირებად (fast-switched) მარშრუტზე, თუ არსებობს ჩანაწერი ქეშში.

 s= - ეს სიმბოლო ეხება გამგზავნის IPv4 მისამართს.

 a.b.c.d--->w.x.y.z - ეს მნიშვნელობები გამოხატავენ გამგზავნის მისამართებს a.b.c.d, ტრანსლირებულს

w.x.y.z-ში.

 d= - ეს სიმბოლო ეხება მიმღების IPv4 მისამართს.

 [xxxx] - ფრჩხილებში მოქცეული მნიშვნელობა წარმოადგენს IPv4 იდენტიფიცირების ნომერს. ეს

ინფორმაცია შეიძლება იყოს სასარგებლო დებაგირების დროს, როდესაც ხდება ნებადართვა
კორელაციისა სხვა პაკეტებთან პროტოკოლთა ანალიზატორის მიერ.

შენიშვნა: შეამოწმეთ, რომ NAT-ზე "მიბმული" ACL უშვებს ყველა აუცილებელ ქსელს. ნახაზ 2-ზე მხოლოდ
192.168.0.0/16 მისამართების ტრანსლირებაა ნებადართული. შიდა ქსელიდან მომავალი პაკეტები,
რომლებიც აღწევენ ინტერნეტს გამგზავნის მისამართებით, რომლებიც არ არიან დაშვებულნი წვდომის სიის
ACL 1 მიერ, არ ტრანსლირდებიან R2-ის მიერ.

R2#debug ip nat
IP NAT debugging is on
R2#
*Feb 15 20:01:311.670: NAT*: s=192.168.10.10->209.165.200.226, d=209.165.201.1
[2817]
*Feb 15 20:01:311.682: NAT*: s=209.165.201.1, d=209.165.200.226->192.168.10.10
[4180]
*Feb 15 20:01:311.698: NAT*: s=192.168.10.10->209.165.200.226, d=209.165.201.1
[2818]
*Feb 15 20:01:311.702: NAT*: s=192.168.10.10->209.165.200.226, d=209.165.201.1
[2819]
*Feb 15 20:01:311.710: NAT*: s=192.168.10.10->209.165.200.226, d=209.165.201.1
[2820]
*Feb 15 20:01:311.710: NAT*: s=209.165.201.1, d=209.165.200.226->192.168.10.10
[4181]
*Feb 15 20:01:311.722: NAT*: s=209.165.201.1, d=209.165.200.226->192.168.10.10
[4182]
*Feb 15 20:01:311.726: NAT*: s=192.168.10.10->209.165.200.226, d=209.165.201.1
[2821]
*Feb 15 20:01:311.730: NAT*: s=209.165.201.1, d=209.165.200.226->192.168.10.10
[4183]
*Feb 15 20:01:311.734: NAT*: s=192.168.10.10->209.165.200.226, d=209.165.201.1
[2822]
*Feb 15 20:01:311.734: NAT*: s=209.165.201.1, d=209.165.200.226->192.168.10.10
[4184]
<output omitted>
R2#show access-lists
Standard IP access list 1
10 permit 192.168.0.0, wildcard bits 0.0.255.255 (29 matches)
R2#
NAT გაუმართაობის აღმოფხვრის სცენარი

შემთხვევის სწავლება

ნახაზ 1-ზე ჩანს, რომ კვანძები 192.168.0.0/16 ლოკალური ქსელიდან, PC1, და PC2, აგზავნიან წარუმატებელ
ექო- მოთხოვნებს სერვერებზე გარე ქსელში, Svr1, და Svr2.

პრობლემის აღმოფხვრის დასაწყებად გამოიყენეთ show ip nat translations ბრძანება, რათა იხილოთ, რომელი
ტრანსლაციებია ახლა ასახული NAT ცხრილში. ნახაზ 1-ზე გამოსახული შედეგი აჩვენებს, რომ ცხრილში
ტრანსლაციები საერთოდ არაა.

show ip nat statistics ბრძანებით შეიძლება დავადგინოთ, ჰქონდა თუ არა ტრანსლაციებს საერთოდ ადგილი.
ეს ბრძანება ასევე განსაზღვრავს ინტერფეისებს, რომლებზეც უნდა მომხდარიყო ეს ტრანსლაციები. როგორც
ნაჩვენებია ნახაზ 2-ზე გამოსახულ შედეგზე, NAT მთვლელის ,მიშვნელობაა 0, რაც ცხადყოფს, რომ არანაირი
ტრანსლაცია არ მომხდარა. ნახაზ 1-ზე გამოსახულ ტოპოლოგიის შედეგთან შედარებით, მიაქციეთ
ყურადღება, რომ მარშრუტიზატორის ინტერფეისები არასწორადაა განსაზღვრული, როგორც შიდა ან გარე
NAT (NAT inside or NAT outside). კონფიგურაციის სისწორე ასევე შეიძლება შემოწმდეს show running-config
ბრძანების საშუალებით.

მიმდინარე NAT ინტერფეისის კონფიგურაცია უნდა წაიშალოს ინტერფეისებიდან სწორი კონფიგურაციის

გამართვამდე.

სწორად გამართული NAT-ის რეალიზაციის შემდეგ შიდა და გარე ინტერფეისების გამოსწორების მერე ექო-
მოთხოვნა PC1 -დან Svr1-ზე მაინც წარუმატებელია. show ip nat translations და show ip nat statistics
ბრძანებები ცხადყოფენ, რომ ტრანსლაციის პროცესი მაინც არ ხდება.

როგორც ნაჩვენებია ნახაზ 3-ზე, show access-lists ბრძანება გამოიყენება, რათა განისაზღვროს, NAT-ზე
"მიბმული" წვდომის სია დაუშვებს თუ არა აუცილებელ ქსელებს. შესრულების შედეგის გამოკვლევა
აჩვენებს, რომ გამოყენებულ იქნა არასწორი ვაილდქარდ ნიღაბი წვდომის სიაში იმ მისამართების მიმართ,
რომელთა ტრანსლაციაც იყო საჭირო. ვაილდქარდ ნიღაბი დაუშვებს მხოლოდ 192.168.0.0/24 ქსელს.
წვდომის სია უნდა წაიშალოს და თავიდან დაიწეროს სწორი ვაილდქარდის ნიღბის გასაწერად.

კონფიგურაციის შესწორების შემდეგ სხვა ექო-მოთხოვნა გენერირდება PC1-დან Svr1-ზე და ამჯერად ის

იქნება წარმატებული. როგორც ნახაზ 4-ზე ჩანს, show ip nat translations და show ip nat statistics ბრძანებები
გამოიყენება NAT ტრანსლაცისების შესამოწმებლად.

R2# show ip nat translations

R2#
***

R2# show ip nat statistics

Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Peak translations: 0
Outside interfaces:
Serial0/0/0
Inside interfaces:
Serial0/1/0
Hits: 0 Misses: 0

R2(config)# interface serial 0/0/0

R2(config-if)# no ip nat outside
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface serial 0/0/1
R2(config-if)# no ip nat inside
R2(config-if)# ip nat outside

***

R2# show access-lists

Standard IP access list 1
10 permit 192.168.0.0, wildcard bits 0.0.0.255
R2#

R2(config)# no access-list 1
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255

***

R2# show ip nat statistics

Total active translations: 1 (0 static, 1 dynamic; 1 extended)
Peak translations: 1, occurred 00:37:58 ago
Outside interfaces:
Serial0/0/1
Inside interfaces:
Serial0/1/0
Hits: 20 Misses: 0
CEF Translated packets: 20, CEF Punted packets: 0
Expired translations: 1
Dynamic mappings:
-- Inside Source
[Id: 5] access-list 1 pool NAT-POOL2 refcount 1
pool NAT-POOL2: netmask 255.255.255.224
start 209.165.200.226 end 209.165.200.240
type generic, total addresses 15, allocated 1 (6%), misses 0

R2# show ip nat translations

Pro Inside global Inside local Outside local Outside global
icmp 209.165.200.226:38 192.168.10.10:38 209.165.201.1:38 209.165.201.1:38
R2#