Как работает NAT

Система NAT работает путем реконструкции заголовков IP внутренних пакетов, покидающих сеть, делая каждый IP-адрес источника одним и тем же. Пакеты ответа, приходящие "извне" сети, транслируются и пере­сылаются соответствующей внутренней системе. Фактически внешние системы в Интернете знают только один IP-адрес — адрес системы, вы­полняющей NAT. На иллюстрации ниже показан принцип работы NAT.

На рисунке всем внутренним системам были присвоены зарезервиро­ванные IP-адреса в диапазоне IP от 10.0.0.0 до 10.255.255.255. Эти незаре­гистрированные IP-адреса не могут использоваться в Интернете. Если система А с IP-адресом 10.0.0.2 соединяется с Web-сервером в Интернете, Web-сервер запишет источник соединения как IP 206.135.57.16. Это свя­зано с тем, что маршрутизатор использует NAT. Все пакеты, исходящие из частной сети, будут иметь IP-адрес источника 206.135.57.16, когда они выполняет команду трансляции show ip nat и перехватывает снимки выде­ленных адресов NAT. Это не очень хорошее решение (но единственное, ко­торое мы имеем). Скорее всего вы найдете контрольный след, когда для вы­полнения NAT будут использоваться брандмауэры. Система Linux может также использовать свою встроенную программу фильтрации пакетов, назы­ваемую IPChains (или IP Filter) или некоторый другой механизм межсетевого экрана для записи соединений NAT.

ВНИМАНИЕ IP-masquerading является сетевой схемой, аналогичной NAT (типа один-много), которые существуют во многих коммерческих бранд­мауэрах и сетевых маршрутизаторах.

Вопрос 3. Исследование адресов MAС.

IP работает на третьем, или сетевом, уровне модели OSI (Open Systems In­terconnection). IP работает независимо от уровня канала данных или вы­бранной физической реализации сети. Независимо от того, используется ли сетевой адаптер Token Ring, Ethernet или FDDI, IP все равно работает. Однако, чтобы сетевые адаптеры общались друг с другом, они должны иметь свои собственные схемы адресации. Адаптер Ethernet не понимает кадры, посланные из адаптера Token Ring, и наоборот. Таким образом, компьютеры применяют для коммуникации уникальный адрес на сетевом адаптере. Он называется адресом протокола управления доступом к среде (MAC) компьютера. Проще всего представлять адрес MAC как физический, аппа­ратный адрес системы.

Протокол разрешения адреса (ARP) является протоколом на основе TCP/IP (другие пакеты протоколов также могут использовать ARP), кото­рый отображает логический IP-адрес в физический МАС-адрес. ARP испо­льзуется, когда машина знает IP-адрес машины, с которой она хочет обща­ться. Однако она должна знать ее МАС-адрес, чтобы создать правильные кадры уровня канала данных. Важно понимать, что ARP используется для контакта машин в той же локальной сети (LAN). МАС-адрес никому не ви­ден вне вашего шлюза.

Просмотр таблицы ARP

Каждая машина поддерживает таблицу ARP, которая отображает адреса MAC в соответствующие IP-адреса. Эта таблица обновляется примерно каж­дые 30 с на большинстве систем при условии, что не существует исходящих соединений с удаленной машиной, которые находятся в таблице ARP. Мож­но представлять таблицу ARP как таблицу, содержащую МАС-адреса машин, с которыми ваша система общалась за последние 30 с.

Можно использовать команду агр -а для перечисления содержимого таб­лицы ARP системы (называемой обычно кэш-памятью агр). На рис. А.5 пока­заны примеры использования агр -а. Отметим, что начальная команда агр -а в примере не показывает никаких записей в кэш-памяти агр. Затем выполня­ется ping 10.1.1.1 и посылаются четыре пакета эхо-запроса ICMP по адресу 10.1.1.1. Однако, чтобы система общалась с системой 10.1.1.1, необходимо

Рис. А.5. Использование агр -а для просмотра содержимого таблицы ARP

получить ее МАС-адрес. Поэтому, прежде чем наша система сможет по­слать пакеты ping, необходимо получить МАС-адрес для 10.1.1.1. Вторая команда агр -а показывает теперь МАС-адрес для 10.1.1.1 в кэш-памяти агр.

Дата добавления: 2014-01-07; Просмотров: 682; Нарушение авторских прав?; Мы поможем в написании вашей работы!