Microsoft Word metodichka tarmoq Xavfsizligi
Download 37.78 Kb. Pdf ko'rish
|
7-tajriba ishi
|
8 – tajriba ishi Mavzu: Marshrutizatorlarda NAT/PAT texnologiyasini sozlash Ishdan maqsad: Manzillarni translatsiya qilish (NAT) tamoyillari va vazifalarini tadqiq qilish va amaliy ko`nikmaga ega bo’lish. Topshiriq – Cisco packet tracer muhiti asosida tarmoqni tuzilishini yarating – Tamoqdag har bir R1, R2 marshrutizatorlarining interfeyslarini sozlang va tekshiring – Statik NAT bo`yicha tarmoq konfiguratsiyalarini sozlang va tekshiring – Dinamik NAT bo`yicha tarmoq konfiguratsiyalarini sozlang va tekshiring – PAT bo`yicha tarmoq konfiguratsiyalarini sozlang va tekshiring Qisqacha nazariy ma’lumotlar NAT (Network Address Translation) - bu TCP / IP tarmoqlarida tranzit paketlarning IP-manzillarini translatsiya qilish (o’zgartirish, almashtirish) imkonini beradigan mexanizm. NAT bu TCP/IP tarmoqlarida, paketlarning IP addressini bir tarmoq segmentidan boshqa tarmoq segmentiga o'tish paytida o'zgartirish texnologiyasidir. NAT da xususiy (Private) IP manzilni ro'yxatdan o'tkazilgan ommaviy (Public) IP manzilga translatsiya qilishdan iborat. Umuman olganda, tarmoqda 2 xil ip adreslar ishlatiladi: 1.Public - ommaviy adreslar(Белый ip-аdres) 2.Private – xususiy adreslar(Серый ip-аdres) Xususiy ip adreslar – bu lokal tarmoqda ishlatiladigan ip adreslar hisoblanadi. Deyarli barcha ishxonalarda quyidagi 3 xil diapozondagi xususiy ip adreslar ishlatiladi: 10.0.0.0/8 (10 dan boshlanadigan ip adreslar) 172.16.0.0/12 (172.16.0.0 dan 172.31.255.255 gacha) 192.168.0.0/16 (192.168.0.0 dan 192.168.255.255 gacha) Public (ommaviy) adreslarga misol qilib quyidagilarni ko’rsatishimiz mumkin: Nimaga bunday bo’lingan? Lokal tarmoqdagi ip adreslar marshrutizatsiyalanmaydi. Public ip adreslar marshrutizatsiyanadi. Bu degani yuqoridagi 3 ta diapozondagi ip adreslarga internet orqali boshqa joyidan turib ulanib bo’lmaydi. Public ip adreslarga ulanib bo’ladi. Shuning uchun veb- serverlar, onlayn o’yin serverlari va boshqalar public ip adresga ega. 8.1-rasm. Manzillarni translatsiya qilish NAT texnologiyasining 2 ta asosiy vazifasi mavjud: 1. Ichki tarmoq ip adreslarini tashqi tarmoqqa ko'rsatmaslik. 2. Ipv4 adreslarning yetmay qolish muammosini ma'lum darajada hal etish. Bundan tashqari NATning bir necha nomlari bor: IP Masquerading, Network Masquerading va Native Address Translation. Translatsiya IP-manzil yoki port raqamlari bo`yicha amalga oshiriladi. Ushbu texnologiya bir tomondan, IPv4 manzillarining yetishmasligini oldini oladi hamda boshqa tomondan tarmoqning xavfsizligini oshirish imkoniyatini yaratadi. NAT ko'pincha korporativ tarmoqdagi qurilmalar uchun, Internet tarmog’iga ulanish uchun yoki aksincha Internetdan LAN tarmoq ichidagi istalgan manbaga kirish uchun qo’llaniladi. Manzillarni translatsiya qilishning uchta asosiy turi mavjud: – statik ( Static Network Address Translation ); – dinamik ( Dynamic Address Translation ); – PAT (NAPT, NAT Overload, PAT). 8.2-rasm. Manzillarni translatsiya qilish mexanizmi 1. Static Network Address Translation Statik NAT - ro'yxatdan o'tmagan IP manzilni ro'yxatdan o'tkazilgan IP manzilga yakka tartibda translatsiya qilishdan iborat, yani bitta hususiy (Private) manzilga bitta ommaviy (Public) manzil to’gri keladi. Statik NAT bo`yicha ishni bajarish tartibi Cisco IOS Routerlarida NATni sozlash quyidagi bosqichlarni o'z ichiga oladi 1. Ichki va tashqi interfeyslarni tayinlang 2. Translatsiya kim uchun (qaysi IP manzillari) amalga oshirilishini aniqlang. 3. Qaysi translatsiya ishlatishni tanlang 4. Translatsiyani tekshiring 8.3 – rasm. Statik NAT tamoyili asosida qurilgan tarmoq tuzilishi Birinchi navbatda 8.3 - rasmdagi tarmoq topologiyasi bo’yicha Router1 va Router2 larga ixtiyoriy yo’nalishda ip route beriladi. Chunki Internetdagi qismidagi IP - adresslarni oldindan bilmaymiz. Router1(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.2 Router2(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.1 8.4-rasm. Manzillarni translatsiyasi bo’yicha olingan natijalar NAT-statik konfiguratsiyasini Router1 ga sozlash uchun birinchi navbatda translyatsiya bo’luvchi manzilar ko`rsatiladi, yani Private 192.168.1.2 IP-adres manzilni Public 195.158.1.10 manzilga yoki Private 192.168.1.3 manzil Public 195.158.1.11 manzilga translyatsiya qilinadi. Router1(config)#ip nat inside source static 192.168.1.2 195.158.1.10 Router1(config)#ip nat inside source static 192.168.1.3 195.158.1.11 Keyingi jarayon Statik NAT ni kiruvchi va chiquvchi router interfesga biriktiriladi. Router1(config)#interface fastEthernet 0/1 Router1(config-if)#ip nat outside Router1(config-if)#exit Router1(config)#interface fastEthernet 0/0 Router1(config-if)#ip nat inside Router1(config-if)#end Router1#show ip nat translations Bu yerda: 192.168.1.2 manzil-lokal tarmoqdagi PC mazili hisoblanadi. Shu Private manzilini internetga chiqishi uchun Public manziliga (195.158.1.10) o’zgartirildi. Bu jarayonda faqat bitta PC 1 manzil internetga ulana oladi, ammo boshqa PC internetga ulana olmaydi. Agar boshqa PC lar tashqi tarmoqqa chiqishi uchun shu holat qayta takrorlanadi. Manzillarni translatsiya jarayonini ko’rish uchun quyidagi komandalar orqali amalga oshiriladi: Router1# show ip nat translations Router1# show ip nat statistics 8.5-rasm. Manzillarni translatsiyasi bo’yicha olingan natijalar 2. Dynamic Address Translation Dinamik NAT - ro'yxatdan o'tmagan IP manzilni ro'yxatdan o'tgan IP- manzillar guruhiga translatsiya qilishdan iborat. Dinamik NAT ning Statik NAT dan farqi shuki, bu yerda bir nechta xususiy (Private) adresga bir nechta ommaviy (public) adreslar to‘gri keladi. Ushbu holatni amalga oshirish uchun access list va Pool dan foydalanimiz Dinamik NAT bo`yicha ishni bajarish tartibi 8.6 – rasm. Dinamik NAT tamoyili asosida qurilgan tarmoq tuzilishi Birinchi navbatda Router1 va Router2 larga statik ip route beriladi. Chunki internet qismidagi adreslarni oldindan bilmaymiz. Router1(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.2 Router2(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.1 195.158.1.1 dan 195.158.1.10 gacha public IP adreslarni tarqatishimiz uchun TATU nomli Pool yaratamiz. Router(config)#ip nat pool TATU 195.158.1.1 195.158.1.10 netmask 255.255.255.240 LAN tarmoqlar ichida aynan 192.168.1.0/24 tarmoq internetga chiqishi uchun Access list foydalanamiz Router1(config)#access-list 10 permit 192.168.1.0 0.0.0.255 Access list ni TATU nomli yaratilgan NAT ga biriktiramiz. Router1(config)#ip nat inside source list 10 pool TATU Router ning kirish va chiqish portlariga NAT ni biriktiramiz Router1(config)#interface fastEthernet 0/0 Router1(config-if)#ip nat inside Router1(config-if)#exit Router1(config)#interface fastEthernet 0/1 Router1(config-if)#ip nat outside Router1(config-if)#exit Router1# show ip nat translations Router1#show running-config 8.7-rasm. Manzillarni translatsiyasi bo’yicha olingan natijalar 3. NAPT, NAT Overload, PAT PAT- dinamik NATning bir shakli bo'lib, bir nechta ro'yxatdan o'tmagan manzillarni turli xil portlardan foydalangan holda bitta ro'yxatdan o'tgan IP manzilga translatsiya qilishdan iborat. PAT bo`yicha ishni bajarish tartibi 8.5 – rasm. PAT tamoyili asosida qurilgan tarmoq tuzilishi Router1(config)#ip route 0.0.0.0 0.0.0.0 12.12.12.2 Router1(config)#ip nat pool nad_pat 195.158.1.1 195.158.1.4 netmask 255.255.255.240 Router1(config)#access-list 10 permit 192.168.1.0 0.0.0.255 Router1(config)#ip nat inside source list 10 pool nad_pat overload Router1(config)#interface fastEthernet 0/0 Router1(config-if)#ip nat inside Router1(config-if)#exit Router1(config)#interface fastEthernet 0/1 Router(config-if)#ip nat outside Router(config-if)#exit Router(config)#end Router#copy run startup-config Router 2 konfiguratsiyasi Router(config)#ip route 0.0.0.0 0.0.0.0 12.12.12.1 LAN tarmog`idagi barcha Private adreslar bitta 195.158.1.1 Public adres orqali translatsiya bo`ladi faqat port har xil. Nazorat savollari 1. Manzillarni translatsiya qilish (NAT) usullarini keltiring? 2. Statik NAT Dinamik NAT dan qanday farqlanadi? 3. PAT ning ishlash prinsipini tushuntirib bering. 4. Tarmoqda qanday turdagi manzillar mavjud. Download 37.78 Kb. Do'stlaringiz bilan baham: 
|