Пул адресов это: IP Pool | Plesk 12.5 documentation

Настройка пулов статических IP-адресов в структуре VMM

• 11/07/2017
• Чтение занимает 4 мин

В этой статье

Важно!

Поддержка этой версии Virtual Machine Manager (VMM) прекращена. Рекомендуем перейти на VMM 2019.

В этой статье описывается, как настраивать пулы статических IP-адресов для логических сетей и сетей виртуальных машин в сетевой структуре System Center Virtual Machine Manager (VMM).

При настройке логической сети необходимо настроить пул статических IP-адресов, если вы не используете DHCP. В некоторых случаях потребуется создать пулы IP-адресов только в логической сети, тогда как в других — создать пул в логической сети и в сети виртуальных машин.

• Пул в логической сети и сети виртуальных машин . При настройке логической сети для виртуализации сети потребуется создать пулы IP-адресов в логической сети и в сети виртуальных машин.
• Пул только в логической сети. Если вы используете виртуальную ЛС или не используете изоляцию, можно применить протокол DHCP или создать пулы IP-адресов только в логической сети. Они автоматически станут доступны в сетях виртуальных машин.
• Импортированные пулы адресов. Если вы используете внешние сети через консоль поставщика, ваши пулы IP-адресов будут импортированы из системы поставщика и вам не потребуется создавать их в VMM.

Создание пула статических адресов для логической сети

1. В разделе Логические сети и пулы IP-адресов

   щелкните логическую сеть и выберите Главная > Создать > Создать пул IP-адресов.

2. В мастере создания пула статических IP-адресов > Имя укажите имя и описание. Убедитесь, что указана правильная логическая сеть.

3. В поле Сетевой сайт выберите использование существующего веб-сайта и выберите IP-подсеть или создайте новый сайт.

   • Для существующего сайта выберите сайт и IP-подсеть, на основе которых нужно создать пул.
   • Для нового сайта укажите имя сайта, IP-подсеть для назначения сайту и (при необходимости) сведения о виртуальной ЛС. Выберите группы узлов, которые смогут получать доступ к этому сайту и логической сети.

4. Если применяется виртуализация сети, пул можно использовать для поддержки многоадресной или широковещательной рассылки. Для этого щелкните Создать пул IP-адресов многоадресной рассылки и выберите IP-подсеть, которую вы хотите использовать. При использовании многоадресной или широковещательной рассылки обратите внимание на следующие аспекты.

   • В логической сети должна быть включена виртуализация сети.
   • Параметры протокола IP для сети виртуальных машин должны соответствовать параметрам протокола IP для базовой логической сети. Параметры протокола не будут отображаться в консоли VMM после их создания. Чтобы просмотреть их, вам потребуется выполнить команду Get-SCVMMNEtwork -Name <VM network name> | Format -List Name, Isolation Type, PoolType.
   • После настройки этого компонента пакеты многоадресной и широковещательной рассылок в сети виртуальных машин будут использовать IP-адреса из пула адресов многоадресной рассылки. Каждая подсеть в сети виртуальных машин будет потреблять один IP-адрес из пула многоадресной рассылки.

5. В поле Диапазон IP-адресов введите начальный и конечный адрес для пула. Они должны содержаться в подсети. В поле Виртуальные IP-адреса и зарезервированные IP-адреса

   укажите диапазон IP-адресов, которые требуется зарезервировать для виртуальных IP-адресов. Виртуальные IP-адреса используются при развертывании службы на уровне службы балансировки нагрузки. VMM автоматически назначает подсистеме балансировки нагрузки виртуальный IP-адрес из диапазона зарезервированных виртуальных IP-адресов.

6. В разделе Шлюз щелкните Вставить, если вы хотите указать один или несколько шлюзов по умолчанию и метрику. Адрес шлюза по умолчанию должен находиться в том же диапазоне подсети, что пул IP-адресов, но не обязательно должен быть частью пула.

7. В разделе DNS укажите сведения о DNS, включая DNS-серверы, DNS-суффикс по умолчанию для подключения и список суффиксов поиска DNS.

8. В разделе WINS щелкните Вставить, если вы хотите ввести IP-адрес WINS-сервера. Также можно выбрать включение NetBIOS через TCP/IP. Эта конфигурация не рекомендуется, если диапазон адресов состоит из общедоступных адресов.

9. В разделе Сводка проверьте параметры и нажмите кнопку Готово. Когда задание перейдет в состояние Завершено, проверьте пул в разделе Логические сети и пулы IP-адресов.

Настройка пула IP-адресов в сети виртуальных машин

1. Щелкните Виртуальные машины и службы > Сети виртуальных машин >
   Главная > Показать > Сети виртуальных машин > Сеть виртуальных машин.
2. В разделе Сети виртуальных машин и пулы IP-адресов щелкните сеть виртуальных машин, затем Создать > Создать пул IP-адресов.
3. В мастере создания пула статических IP-адресов > Имя укажите имя и описание. Убедитесь, что указана правильная логическая сеть. Убедитесь, что выбрана правильная сеть виртуальных машин и подсеть.
4. В поле Диапазон IP-адресов введите начальный и конечный адрес для пула. Можно создать несколько пулов IP-адресов в одной подсети, однако их диапазоны не должны перекрываться. В разделе Зарезервированные IP-адреса укажите все диапазоны, которые необходимо зарезервировать для других целей.
5. В разделе Шлюз щелкните Вставить, если вы хотите указать один или несколько шлюзов по умолчанию и метрику. Адрес шлюза по умолчанию должен находиться в том же диапазоне подсети, что пул IP-адресов, но не обязательно должен быть частью пула.
6. В разделе DNS укажите сведения о DNS, включая DNS-серверы, DNS-суффикс по умолчанию для подключения и список суффиксов поиска DNS. Для виртуальных машин, которые предполагается присоединить к домену Active Directory, для настройки основного DNS-суффикса рекомендуется использовать групповую политику. Это позволит гарантировать, что, если для виртуальной машины на основе Windows задана регистрация IP-адресов в основном DNS-суффиксе, DNS-сервер, основанный на Windows, будет выполнять динамическую регистрацию IP-адреса. Дополнительно использование групповой политики позволяет создать пул IP-адресов, охватывающий несколько доменов. В этом случае, возможно, не потребуется указывать отдельный основной DNS-суффикс.
7. В разделе WINS щелкните Вставить, если вы хотите ввести IP-адрес WINS-сервера. Также можно выбрать включение NetBIOS через TCP/IP. Эта конфигурация не рекомендуется, если диапазон адресов состоит из общедоступных адресов.
8. В разделе Сводка проверьте параметры и нажмите кнопку Готово. Когда задание перейдет в состояние Завершено, проверьте пул в разделе Логические сети и пулы IP-адресов.

Освобождение неактивных адресов из пула статических адресов

Неактивные адреса можно освободить. В этом случае VMM возвращает адрес в пул статических IP- или MAC-адресов, после чего адрес считается доступным для повторного назначения. Адрес считается неактивным в следующих случаях.

• Узел, которому статический IP-адрес был назначен в процессе развертывания на компьютере без ОС, исключается из области управления VMM. При удалении узла все статически назначенные виртуальным машинам IP- и MAC-адреса также помечаются как неактивные.
• Виртуальная машина переходит в состояние «Отсутствует», поскольку она была удалена не с помощью VMM.

1. Освобождение IP-адресов

   • Чтобы освободить адреса в пуле в логической сети, в области Логические сети и пулы IP-адресов разверните логическую сеть и щелкните пул IP-адресов.
   • Чтобы освободить адреса в пуле в сети виртуальных машин, в области Логические сети и пулы IP-адресов разверните сеть виртуальных машин и щелкните пул IP-адресов.

2. Щелкните Главная > Свойства > Неактивные адреса и выберите неактивные IP-адреса, которые нужно освободить.

Дальнейшие действия

Создание сети виртуальных машин

В чем отличие «белого» и «серого» IP-адреса? – Keenetic

Все IP-адреса протокола IPv4 делятся на публичные/глобальные/внешние (их называют «белые») — они используются в сети Интернет, и частные/локальные/внутренние (их называют «серые») — используются в локальной сети.

Публичные «белые» IP-адреса

В сети Интернет используются именно публичные глобальные адреса. Публичным IP-адресом называется IP-адрес, который используется для выхода в Интернет. Публичные (глобальные) IP-адреса маршрутизируются в Интернете, в отличие от частных адресов.
Наличие публичного IP-адреса на вашем роутере или компьютере позволит организовать собственный сервер (VPN, FTP, WEB и др.), удаленный доступ к компьютеру, камерам видеонаблюдения, и получить к ним доступ из любой точки глобальной сети.

TIP: Примечание: Все публичные серверы и сайты в сети Интернет используют «белые» IP-адреса (например, сайт google.com — 172.217.22.14, DNS-сервер Google — 8.8.8.8, сайт yandex.ru — 213.180.204.11, DNS-сервер Яндекс.DNS — 77.88.8.8). 
Все публичные IP-адреса в сети Интернет уникальны и не могут повторяться.

Для домашних пользователей провайдер может предоставлять всего один или несколько публичных IP-адресов (как правило, это платная услуга).

Маршрутизатор (роутер, интернет-центр) позволяет устройствам домашней сети использовать для выхода в Интернет один публичный IP-адрес, установленный на WAN-интерфейсе устройства, через который осуществляется подключение к Интернету. Именно этот внешний публичный IP-адрес может быть использован для доступа из Интернета к компьютеру домашней сети, но для этого необходимо использовать проброс портов на роутере (пример приведен в статье: «Переадресация портов»).

В связи с тем что «белых» IP-адресов существует ограниченное количество, а рост числа пользователей Интернета увеличивается, интернет-провайдеры всё чаще используют частные («серые») IP-адреса, назначаемые абонентам.

Частные «серые» IP-адреса

Частные внутренние адреса не маршрутизируются в Интернете и на них нельзя отправить трафик из Интернета, они работают только в пределах локальной сети.
К частным «серым» адресам относятся IP-адреса из следующих подсетей:

• От 10.0.0.0 до 10.255.255.255 с маской 255.0.0.0 или /8
• От 172.16.0.0 до 172.31.255.255 с маской 255.240.0.0 или /12
• От 192.168.0.0 до 192.168.255.255 с маской 255.255.0.0 или /16
• От 100.64.0.0 до 100.127.255.255 с маской подсети 255.192.0.0 или /10; данная подсеть рекомендована согласно rfc6598 для использования в качестве адресов для CGN (Carrier-Grade NAT)

Это зарезервированные IP-адреса. Такие адреса предназначены для применения в закрытых локальных сетях, распределение таких адресов никем не контролируется.
Напрямую доступ к сети Интернет, используя частный IP-адрес, невозможен. В этом случае связь с Интернетом осуществляется через NAT (трансляция сетевых адресов заменяет частный IP-адрес на публичный). Частные IP-адреса в пределах одной локальной сети должны быть уникальны и не могут повторяться.

NOTE: Важно! Если ваш интернет-провайдер предоставляет вам IP-адрес из вышеприведенного списка, то вы не сможете настроить подключение из Интернета к компьютерам и серверам вашей домашней сети (кроме VPN-сервера SSTP и файлового облачного сервера WebDAV), т.к. частные IP-адреса не маршрутизируются (не видны) в сети Интернет. При необходимости доступа к компьютерам вашей домашней сети из Интернета нужно обратиться к интернет-провайдеру для получения публичного «белого» IP-адреса.
Но тем не менее, с «серым» IP-адресом вы можете настроить удаленный доступ к веб-конфигуратору интернет-центра и ресурсам (сервисам) домашней сети или интернет-центра через наш сервис доменных имен KeenDNS. Например, доступ к устройству с веб-интерфейсом — сетевому накопителю, веб-камере, серверу, или к интерфейсу торрент-клиента Transmission, работающего в интернет-центре.

Что касается безопасности в Интернете, то использование «серого» IP-адреса более безопасно, чем использование «белого» IP-адреса, т.к. «серые» IP-адреса не видны напрямую в Интернете и находятся за NAT, который также обеспечивает безопасность домашней сети. При использовании «белого» IP-адреса необходимы меры для обеспечения дополнительной безопасности компьютера или сервера (например, использование межсетевого экрана для блокирования портов и протоколов, которые не используются сервером; применение сегмента сети DMZ для отделения общедоступных сервисов от локальной сети и т.п.).

Полный список описания сетей для протокола IPv4 представлен в документе RFC6890.

Как проверить, является ли мой IP-адрес «белым»?

Чтобы самостоятельно проверить, является ли ваш IP-адрес публичным «белым», можно воспользоваться сервисом myip.ru, myip.com (или любым подобным). Вам будет показан IP-адрес, под которым был произведен запрос на сайт; если он совпадает с IP-адресом, выданным интернет-провайдером на WAN-интерфейсе интернет-центра, значит, вам выдан публичный «белый» IP-адрес. Например:

IP-адрес на WAN-интерфейсе интернет-центра можно посмотреть в его веб-конфигураторе. На стартовой странице «Системный монитор» в разделе «Интернет» нажмите «Подробнее о соединении». В поле «IP-адрес» вы увидите адрес интернет-центра, используемый для выхода в Интернет.

В нашем примере IP-адреса совпадают и этот адрес не входит в диапазон частных подсетей, значит внешний WAN IP-адрес интернет-центра является публичным «белым».

Если вы увидите, что IP-адреса не совпадают, и внешний WAN IP-адрес Keenetic в веб-конфигураторе принадлежит к одному из диапазонов частной сети, значит роутер имеет «серый» IP-адрес.

IP-адресация и создание подсетей для новых пользователей

Введение

В этом документе приведена основная информация, необходимая для настройки маршрутизатора для IP-маршрутизации, в том числе сведения о повреждении адресов и работе подсетей. Здесь содержатся инструкции по настройке для каждого интерфейса маршрутизатора IP-адреса и уникальной подсети. Приведенные примеры помогут объединить все сведения.

Предварительные условия

Требования

Рекомендуется иметь хотя бы базовое представление о двоичной и десятичной системах счисления.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Дополнительные сведения

Если определения помогают вам, воспользуйтесь следующими терминами словаря, чтобы начать работу:

• Адрес — Уникальный ID-номер, назначенный одному узлу или интерфейсу в сети.

• Подсеть — это часть сети, в которой совместно используется определенный адрес подсети.

• Маска подсети — 32-битная комбинация, используемая для того, чтобы описать, какая часть адреса относится к подсети, а какая к узлу.

• Интерфейс — сетевое подключение.

Если уже имеются адреса в Интернете, официально полученные из центра сетевой информации InterNIC, то можно приступать к работе. Если подключение к Интернету не планируется, настоятельно рекомендуется использовать зарезервированные адреса, как описано в документе RFC 1918.

Изучение IP-адресов

IP-адрес — это адрес, который используется для уникальной идентификации устройства в IP-сети. Адрес состоит из 32 двоичных разрядов и с помощью маски подсети может делиться на часть сети и часть главного узла. 32 двоичных разряда разделены на четыре октета (1 октет = 8 битов). Каждый октет преобразуется в десятичное представление и отделяется от других октетов точкой. Поэтому принято говорить, что IP-адрес представлен в десятичном виде с точкой (например, 172.16.81.100). Значение в каждом октете может быть от 0 до 255 в десятичном представлении или от 00000000 до 11111111 в двоичном представлении.

Ниже приведен способ преобразования двоичных октетов в десятичное представление: ^{Самый правый бит (самый младший разряд) октета имеет значение 20.Расположенный слева от него бит имеет значение 21.И так далее — до самого левого бита (самого старшего разряда), который имеет значение 27.} Таким образом, если все двоичные биты являются единицами, эквивалентом в десятичном представлении будет число 255, как показано ниже:

    1  1  1  1 1 1 1 1
  128 64 32 16 8 4 2 1 (128+64+32+16+8+4+2+1=255)

Ниже приведен пример преобразования октета, в котором не все биты равны 1.

  0  1 0 0 0 0 0 1
  0 64 0 0 0 0 0 1 (0+64+0+0+0+0+0+1=65)

В этом примере показан IP-адрес, представленный в двоичном и десятичном форматах.

        10.       1.      23.      19 (decimal)
  00001010.00000001.00010111.00010011 (binary)

Эти октеты разделены таким образом, чтобы обеспечить схему адресации, которая может использоваться как для больших, так и для малых сетей. Существует пять различных классов сетей: от A до E (используются буквы латинского алфавита). Этот документ посвящен классам от A до C, поскольку классы D и E зарезервированы и их обсуждение выходит за рамки данного документа.

Примечание: Также обратите внимание, что сроки «Класс A, Класс B» и так далее используется в этом документе, чтобы помочь упрощать понимание IP-адресации и выделения подсети. Эти термины фактически уже не используются в промышленности из-за введения бесклассовой междоменной маршрутизации (CIDR).

Класс IP-адреса может быть определен из трех старших разрядов (три самых левых бита первого октета). На рис. 1 приведены значения трех битов старшего разряда и диапазон адресов, которые попадают в каждый класс. Для справки показаны адреса классов D и Е.

Рисунок 1

В адресе класса A первый октет представляет собой сетевую часть, поэтому пример класса A на рис. 1 имеет основной сетевой адрес 1.0.0.0 – 127.255.255.255. Октеты 2,3 и 4 (следующие 24 бита) предоставлены сетевому администратору, который может разделить их на подсети и узлы. Адреса класса A используются в сетях с количеством узлов, превышающим 65 536 (фактически до 16777214 узлов!)!.

В адресе класса B два первых октета представляют собой сетевую часть, поэтому пример класса B на рис. 1 имеет основной сетевой адрес 128.0.0.0 – 191.255.255.255. Октеты 3 и 4 (16 битов) предназначены для локальных подсетей и узлов. Адреса класса B используются в сетях с количеством узлов от 256 до 65534.

В адресе класса C первые три октета представляют собой сетевую часть. Пример класса C на рис. 1 имеет основной сетевой адрес 192.0.0.0 – 223.255.255.255. Октет 4 (8 битов) предназначен для локальных подсетей и узлов. Этот класс идеально подходит для сетей, в которых количество узлов не превышает 254.

Маски сети

Маска сети позволяет определить, какая часть адреса является сетью, а какая часть адреса указывает на узел. Сети класса A, B и C имеют маски по умолчанию, также известные как естественные маски:

Class A: 255.0.0.0
Class B: 255.255.0.0
Class C: 255.255.255.0

IP-адрес в сети класса A, которая не была разделена на подсети, будет иметь пару «адрес/маска», аналогичную: 8.20.15.1 255.0.0.0. Чтобы понять, как маска помогает идентифицировать сетевую и узловую части адреса, преобразуйте адрес и маску в двоичный формат.

8.20.15.1 = 00001000.00010100.00001111.00000001
255.0.0.0 = 11111111.00000000.00000000.00000000

Когда адрес и маска представлены в двоичном формате, идентификацию сети и хоста выполнить гораздо проще. Все биты адреса, для которых соответствующие биты маски равны 1, представляют идентификатор сети. Все биты адреса, для которых соответствующие биты маски равны 0, представляют идентификатор узла.

8.20.15.1 = 00001000.00010100.00001111.00000001
255.0.0.0 = 11111111.00000000.00000000.00000000
            -----------------------------------
             net id |      host id             

netid =  00001000 = 8
hostid = 00010100.00001111.00000001 = 20.15.1

Изучение организации подсетей

Подсети позволяют создавать несколько логических сетей в пределах одной сети класса А, В или С. Если не использовать подсети, то можно будет использовать только одну сеть из сети класса A, B или C, что представляется нереалистичным.

Каждый канал передачи данных в сети должен иметь уникальный идентификатор сети, при этом каждый узел в канале должен быть членом одной и той же сети. Если разбить основную сеть (класс A, B или C) на небольшие подсети, это позволит создать сеть взаимосвязанных подсетей. Каждый канал передачи данных в этой сети будет иметь уникальный идентификатор сети или подсети. Какое-либо устройство или шлюз, соединяющее n сетей/подсетей, имеет n различных IP-адресов — по одному для каждой соединяемой сети/подсети.

 Чтобы организовать подсеть в сети, расширьте обычную маску несколькими битами из части адреса, являющейся идентификатором хоста, для создания идентификатора подсети. Это позволит создать идентификатор подсети. Пусть, например, используется сеть класса C 204.17.5.0, естественная сетевая маска которой равна 255.255.255.0. Подсети можно создать следующим образом:

204.17.5.0 -      11001100.00010001.00000101.00000000
255.255.255.224 - 11111111.11111111.11111111.11100000
                  --------------------------|sub|----

Расширение маски до значения 255.255.255.224 произошло за счет трех битов (обозначенных «sub») исходной части узла в адресе, которые были использованы для создания подсетей. С помощью этих трех битов можно создать восемь подсетей. Оставшиеся пять битов идентификаторов хоста позволяют каждой подсети содержать до 32 адресов хостов, 30 из которых фактически можно присвоить устройствам, поскольку идентификаторы хостов, состоящие из одних нулей или одних единиц, не разрешены (это очень важно, запомните это). С учетом всех изложенных факторов были созданы следующие подсети.

204.17.5.0 255.255.255.224     host address range 1 to 30
204.17.5.32 255.255.255.224    host address range 33 to 62
204.17.5.64 255.255.255.224    host address range 65 to 94
204.17.5.96 255.255.255.224    host address range 97 to 126
204.17.5.128 255.255.255.224   host address range 129 to 158
204.17.5.160 255.255.255.224   host address range 161 to 190
204.17.5.192 255.255.255.224   host address range 193 to 222
204.17.5.224 255.255.255.224   host address range 225 to 254

Примечание. Существует два метода обозначения этих масок. Первый: поскольку используется на три бита больше, чем в обычной маске класса C, можно обозначить эти адреса как имеющие 3-битовую маску подсети. Вторым методом обозначения маски 255.255.255.224 является /27, поскольку в маске задано 27 битов. Второй способ используется с методом адресации CIDR. При использовании данного способа одна из этих сетей может быть описана с помощью обозначения префикса или длины. Например, 204.17.5.32/27 обозначает сеть 204.17.5.32 255.255.255.224. Если применяется, записи префикса/длины используются для обозначения маски на протяжении этого документа.

Схема разделения на подсети в этом разделе позволяет создать восемь подсетей, и сеть может выглядеть следующим образом:

Рис. 2

Обратите внимание, что каждый из маршрутизаторов на рис. 2 подключен к четырем подсетям, причем одна подсеть является общей для обоих маршрутизаторов. Кроме того, каждый маршрутизатор имеет IP-адрес в каждой подсети, к которой он подключен. Каждая подсеть может поддерживать до 30 адресов узлов.

Из этого можно сделать важный вывод. Чем больше битов используется для маски подсети, тем больше доступно подсетей. Однако чем больше доступно подсетей, тем меньше адресов узлов доступно в каждой подсети. Например, в сети класса C 204.17.5.0 при сетевой маске 255.255.255.224 (/27) можно использовать восемь подсетей, в каждой из которых будет содержаться 32 адреса узлов (30 из которых могут быть назначены устройствам). Если использовать маску 255.255.255.240 (/28), разделение будет следующим:

204.17.5.0 -      11001100.00010001.00000101.00000000
255.255.255.240 - 11111111.11111111.11111111.11110000
                  --------------------------|sub |---

Поскольку теперь имеются четыре бита для создания подсетей, остаются только четыре бита для адресов узлов. В этом случае можно использовать до 16 подсетей, в каждой из которых может использоваться до 16 адресов узлов (14 из которых могут быть назначены устройствам).

Посмотрите, как можно разделить на подсети сеть класса B. Если используется сеть 172.16.0.0, то естественная маска равна 255.255.0.0 или 172.16.0.0/16. При Расширение маски до значения выше 255.255.0.0 означает разделение на подсети. Можно быстро понять, что можно создать гораздо больше подсетей по сравнению с сетью класса C. Если использовать маску 255.255.248.0 (/21), то сколько можно создать подсетей и узлов в каждой подсети?

172.16.0.0  -   10101100.00010000.00000000.00000000
255.255.248.0 - 11111111.11111111.11111000.00000000
                -----------------| sub |-----------

Вы можете использовать для подсетей пять битов из битов оригинального хоста. ^{Это позволяет получить 32 подсети (25).} После использования пяти битов для подсети остаются 11 битов, которые используются для адресов узлов. ^{Это обеспечивает в каждой подсети 2048 адресов хостов (211), 2046 из которых могут быть назначены устройствам.}

Примечание. В прошлом существовали ограничения на использования подсети 0 (все биты подсети равны нулю) и подсети «все единицы» (все биты подсети равны единице). Некоторые устройства не разрешают использовать эти подсети. Устройства Cisco Systems позволяют использование этих подсетей когда ip subnet zero команда настроена.

Примеры

Упражнение 1

После ознакомления с концепцией подсетей, примените новые знания на практике. В этом примере предоставлены две комбинации «адрес/маска», представленные с помощью обозначения «префикс/длина», которые были назначены для двух устройств. Ваша задача — определить, находятся эти устройства в одной подсети или в разных. С помощью адреса и маски каждого устройства можно определить, к какой подсети принадлежит каждый адрес.

DeviceA: 172.16.17.30/20
DeviceB: 172.16.28.15/20

Определим подсеть для устройства DeviceA:

172.16.17.30  -   10101100.00010000.00010001.00011110
255.255.240.0 -   11111111.11111111.11110000.00000000
                  -----------------| sub|------------
subnet =          10101100.00010000.00010000.00000000 = 172.16.16.0

Рассмотрение битов адресов, соответствующие биты маски для которых равны единице, и задание всех остальных битов адресов, равными нулю (аналогично выполнению логической операции И между маской и адресом), покажет, к какой подсети принадлежит этот адрес. В рассматриваемом случае устройство DeviceA принадлежит подсети 172.16.16.0.

Определим подсеть для устройства DeviceB:

172.16.28.15  -   10101100.00010000.00011100.00001111
255.255.240.0 -   11111111.11111111.11110000.00000000
                  -----------------| sub|------------
subnet =          10101100.00010000.00010000.00000000 = 172.16.16.0

Следовательно, устройства DeviceA и DeviceB имеют адреса, входящие в одну подсеть.

Пример упражнения 2

Если имеется сеть класса C 204.15.5.0/24, создайте подсеть для получения сети, показанной на рис. 3,с указанными требованиями к хостам.

Рис. 3

Анализируя показанную на рис. 3 сеть, можно увидеть, что требуется создать пять подсетей. Самая большая подсеть должна содержать 28 адресов узлов. Возможно ли это при использовании сети класса C? И если да, то каким образом следует выполнить разделение на подсети?

Можно начать с оценки требования к подсетям. Чтобы создать пять подсетей, необходимо использовать три бита из битов узла класса C. ^{Два бита позволяют создать только четыре подсети (22).}

Так как понадобится три бита подсети, для части адреса, отвечающей за узел, останется только пять битов. Сколько хостов поддерживается в такой топологии? ^{25 = 32 (30 доступных).} Это отвечает требованиям.

Следовательно, можно создать эту сеть, используя сеть класса C. Пример назначения подсетей:

netA: 204.15.5.0/27      host address range 1 to 30
netB: 204.15.5.32/27     host address range 33 to 62
netC: 204.15.5.64/27     host address range 65 to 94
netD: 204.15.5.96/27     host address range 97 to 126
netE: 204.15.5.128/27    host address range 129 to 158

Пример VLSM

Следует обратить внимание на то, что в предыдущих примерах разделения на подсети во всех подсетях использовалась одна и та же маска подсети. Это означает, что каждая подсеть содержала одинаковое количество доступных адресов узлов. Иногда это может понадобиться, однако в большинстве случаев использование одинаковой маски подсети для всех подсетей приводит к неэкономному распределению адресного пространства. Например, в разделе «Пример упражнения 2» сеть класса C была разделена на восемь одинаковых по размеру подсетей; при этом каждая подсеть не использует все доступные адреса хостов, что приводит к бесполезному расходу адресного пространства. На рис. 4 иллюстрируется бесполезный расход адресного пространства.

Рис. 4

На рис. 4 показано, что подсети NetA, NetC и NetD имеют большое количество неиспользованного адресного пространства. Это могло быть сделано преднамеренно при проектировании сети, чтобы обеспечить возможности для будущего роста, но во многих случаях это просто бесполезный расход адресного пространства из-за того, что для всех подсетей используется одна и та же маска подсети .

Маски подсетей переменной длины (VLSM) позволяют использовать различные маски для каждой подсети, что дает возможность более рационально распределять адресное пространство.

Пример VLSM

Если имеется точно такая сеть и требования, как в разделе «Пример упражнения 2», подготовьте схему организации подсетей с использованием адресации VLSM, учитывая следующее:

netA: must support 14 hosts
netB: must support 28 hosts
netC: must support 2 hosts
netD: must support 7 hosts
netE: must support 28 host

Определите, какую маску подсети следует использовать, чтобы получить требуемое количество узлов.

netA: requires a /28 (255.255.255.240) mask to support 14 hosts
netB: requires a /27 (255.255.255.224) mask to support 28 hosts
netC: requires a /30 (255.255.255.252) mask to support 2 hosts
netD*: requires a /28 (255.255.255.240) mask to support 7 hosts
netE: requires a /27 (255.255.255.224) mask to support 28 hosts

* a /29 (255.255.255.248) would only allow 6 usable host addresses
  therefore netD requires a /28 mask.

Самым простым способом разделения на подсети является назначение сначала самой большой подсети. Например, подсети можно задать следующим образом:

netB: 204.15.5.0/27  host address range 1 to 30
netE: 204.15.5.32/27 host address range 33 to 62
netA: 204.15.5.64/28 host address range 65 to 78
netD: 204.15.5.80/28 host address range 81 to 94
netC: 204.15.5.96/30 host address range 97 to 98

Графическое представление приведено на рис. 5:

Рис. 5

На рис. 5 показано, как использование адресации VLSM помогает сохранить более половины адресного пространства.

Маршрутизация CIDR

Бесклассовая междоменная маршрутизация (CIDR) была предложена в целях улучшения использования адресного пространства и масштабируемости маршрутизации в Интернете. Необходимость в ней появилась вследствие быстрого роста Интернета и увеличения размера таблиц маршрутизации в маршрутизаторах сети Интернет.

CIDR переезжает от традиционных классов IP (Класс A, Класс B, Класс C, и так далее). IP-сеть представлена префиксом, который является IP-адресом, и каким-либо обозначением длины маски. Длиной называется количество расположенных слева битов маски, которые представлены идущими подряд единицами. Так сеть 172.16.0.0 255.255.0.0 может быть представлена как 172.16.0.0/16. Кроме того, CIDR служит для описания иерархической структуры сети Интернет, где каждый домен получает свои IP-адреса от более верхнего уровня. Это позволяет выполнять сведение доменов на верхних уровнях. Если, к примеру, поставщик услуг Интернета владеет сетью 172.16.0.0/16, то он может предлагать своим клиентам сети 172.16.1.0/24, 172.16.2.0/24 и т. д. Однако при объявлении своего диапазона другим провайдерам ему достаточно будет объявить сеть 172.16.0.0/16.

Дополнительные сведения о маршрутизации CIDR см. в документах RFC 1518 и RFC 1519 .

Специальные подсети

31-разрядные Подсети

30-битная маска подсети допускает четыре IPv4 адреса: два адреса узла, одна сеть с нулями и один широковещательный адрес с единицами. Двухточечное соединение может иметь только два адреса узла. Нет реальной необходимости иметь широковещательные и нулевые адреса с каналами «точка-точка». 31-битная маска подсети допускает ровно два адреса узла и исключает широковещательные и нулевые адреса, таким образом сохраняя использование IP-адресов до минимума для двухточечных соединений.

См. RFC 3021 — Using 31-bit Prefixes on IPv4 Point-to-Point Links.

Маска 255.255.255.254 или/31.

Подсеть/31 может использоваться в реальных двухточечных соединениях, таких как последовательные интерфейсы или интерфейсы POS. Однако они также могут использоваться в широковещательных интерфейсах, таких как интерфейсы Ethernet. В этом случае убедитесь, что в этом сегменте Ethernet требуется только два IPv4 адреса.

Пример

192.168.1.0 и 192.168.1.1 находятся на подсети 192.168.1.0/31.

R1(config)#int gigabitEthernet 0/1
R1(config-if)#ip address 192.168.1.0 255.255.255.254
% Warning: use /31 mask on non point-to-point interface cautiously

Предупреждение печатается, так как gigabitEthernet является широковещательным сегментом.

32-разрядные Подсети

Маска подсети 255.255.255.255 (a/32 subnet) описывает подсеть только с одним IPv4 адресом узла. Эти подсети не могут использоваться для назначения адресов сетевым каналам связи, поскольку им всегда требуется более одного адреса на канал. Использование/32 строго зарезервировано для использования на каналах, которые могут иметь только один адрес. Примером для маршрутизаторов Cisco является интерфейс обратной связи. Эти интерфейсы являются внутренними и не подключаются к другим устройствам. Таким образом, они могут иметь подсеть/32.

Пример

interface Loopback0
ip address 192.168.2.1 255.255.255.255

Приложение

Пример конфигурации

Маршрутизаторы A и B соединены через последовательный интерфейс.

Маршрутизатор А

  hostname routera
  !
  ip routing
  !
  int e 0
  ip address 172.16.50.1 255.255.255.0
  !(subnet 50)
  int e 1 ip address 172.16.55.1 255.255.255.0
  !(subnet 55)
  int s 0 ip address 172.16.60.1 255.255.255.0
  !(subnet 60) int s 0
  ip address 172.16.65.1 255.255.255.0 (subnet 65)
  !S 0 connects to router B
  router rip
  network 172.16.0.0

Маршрутизатор В

  hostname routerb
  !
  ip routing
  !
  int e 0
  ip address 192.1.10.200 255.255.255.240
  !(subnet 192)
  int e 1
  ip address 192.1.10.66 255.255.255.240
  !(subnet 64)
  int s 0
  ip address 172.16.65.2 (same subnet as router A's s 0)
  !Int s 0 connects to router A
  router rip
  network 192.1.10.0
  network 172.16.0.0

Таблица количество узлов/подсетей

Class B                   Effective  Effective
# bits        Mask         Subnets     Hosts
-------  ---------------  ---------  ---------
  1      255.255.128.0           2     32766
  2      255.255.192.0           4     16382
  3      255.255.224.0           8      8190
  4      255.255.240.0          16      4094
  5      255.255.248.0          32      2046
  6      255.255.252.0          64      1022
  7      255.255.254.0         128       510
  8      255.255.255.0         256       254
  9      255.255.255.128       512       126
  10     255.255.255.192      1024        62
  11     255.255.255.224      2048        30
  12     255.255.255.240      4096        14
  13     255.255.255.248      8192         6
  14     255.255.255.252     16384         2

Class C                   Effective  Effective
# bits        Mask         Subnets     Hosts
-------  ---------------  ---------  ---------
  1      255.255.255.128      2        126 
  2      255.255.255.192      4         62
  3      255.255.255.224      8         30
  4      255.255.255.240     16         14
  5      255.255.255.248     32          6
  6      255.255.255.252     64          2

  
*Subnet all zeroes and all ones included. These 
 might not be supported on some legacy systems.
*Host all zeroes and all ones excluded.

Дополнительные сведения

Настройка трансляции сетевых адресов: Начало работы

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Краткое описание работ по конфигурации и развертыванию NAT
Определение трансляции сетевых адресов внутри и вне интерфейсов
Пример: Разрешение доступа в Интернет внутренним пользователям
      Настройка NAT для разрешения доступа в Интернет внутренним пользователям
      Настройка NAT для разрешения доступа в Интернет внутренним пользователям с помощью функции перегрузки
Пример: Разрешение доступа к внутренним устройствам из Интернета
      Настройка NAT, разрешающая доступ из Интернета к внутренним устройствам
Пример: Переадресация трафика TCP на другой TCP-порт или адрес
      Настройка NAT для того, чтобы перенаправить трафик TCP на другой порт или адрес TCP
Пример: Использование NAT во время сетевых переходов
      Настройка NAT для использования при сетевых переходах
Пример: Использование NAT в перекрывающихся сетях
Проверка работы NAT
Заключение
Дополнительные сведения

В данном документе описывается настройка трансляции сетевых адресов (NAT) в маршрутизаторах Cisco для использования в стандартных сетевых сценариях. Целевая группа данного документа – это пользователи, только начавшие работу с NAT.

Примечание. В данном документе под Интернет-устройством понимается устройство в любой внешней сети.

Требования

Чтобы использовать данный документ, необходимо знание терминов, использующихся в связи с NAT. Некоторые определения можно найти в документе NAT: Локальные и глобальные определения.

Используемые компоненты

Сведения, содержащиеся в данном документе, относятся к следующим версиям программного и аппаратного обеспечения:

Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученные от устройств с конфигурацией по умолчанию. При работе с реально функционирующей сетью необходимо полностью осознавать возможные последствия выполнения команд до их применения.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в разделе Технические советы Cisco. Условные обозначения.

При настройке NAT иногда сложно определить, с чего начать, особенно если пользователь только начал работу с NAT. Данное руководство поможет определить, чего ждать от NAT и каким образом провести его настройку.

1. Определите NAT внутри и вне интерфейсов.

2. Определите, чего вы пытаетесь достичь с помощью NAT.

3. Чтобы выполнить описанные выше действия, настройте NAT. На основании изменений на этапе 2 необходимо определить, какие функции использовать из представленных далее:

4. Проверка работы NAT.

В каждом из следующих примеров настройки NAT выполняются этапы 1-3 данного краткого руководства. В этих примерах описаны некоторые стандартные сценарии, по которым Cisco рекомендует развертывание NAT.

Первый этап развертывания NAT — определение внутренних и внешних интерфейсов NAT. Самым простым способом будет определить внутреннюю сеть как «inside», а внешнюю – как «outside». В то же время термины «внутренний» и «внешний» также являются условными. На следующем рисунке показан пример.

Возможно, вы хотите предоставить доступ в Интернет внутренним пользователям, но у вас нет достаточного количества допустимых адресов. Если все взаимодействия с Интернет-устройствами возникают из внутренних устройств, то нужен один допустимый адрес или пул допустимых адресов.

На следующем рисунке показана схема простой сети с внутренним и внешним интерфейсами маршрутизатора:

В этом примере NAT нужен затем, чтобы разрешить определенным внутренним устройствам (первым 31 из каждой подсети) создать связь с устройствами снаружи, преобразуя их недопустимый адрес в допустимый адрес или пул адресов. Пул задан как диапазон адресов от 172.16.10.1 до 172.16.10.63.

Теперь можно приступить к настройке NAT. Для выполнение описанных выше действий используйте функцию динамического NAT. При динамической трансляции сетевых адресов таблица трансляции в маршрутизаторе исходно является пустой и начинает заполняться после того, как трафик для трансляции проходит через маршрутизатор. (В отличие от функции статического NAT, где трансляция настраивается статически и помещается в таблицу трансляции без присутствия трафика).

В этом примере можно настроить NAT для трансляции каждого внутреннего устройства на уникальный допустимый адрес или для трансляции всех внутренних устройств на один допустимый адрес. Второй метод известен как перегрузка. Пример настройки каждого метода приведен ниже.

Настройка NAT для разрешения доступа в Интернет внутренним пользователям

interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Определяет Ethernet 0 с помощью IP-адреса в качестве внутреннего интерфейса NAT.


interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Определяет Ethernet 1 с помощью IP-адреса в качестве внутреннего интерфейса NAT.


interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Определяет serial 0 с помощью IP-адреса в качестве внешнего интерфейса NAT.

 
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
 !

!--- Определяет пул NAT под названием "no-overload" с помощью ряда адресов !--- 172.16.10.1 - 172.16.10.63.


ip nat inside source list 7 pool no-overload 
 !
 !

!--- Указывает на то, что адреса источников любых пакетов, полученных на внутреннем интерфейсе, !--- допускаемых в списке доступа 7, !--- преобразованы в адрес "no-overload" !--- вне пула NAT.


access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Список доступа 7 открывает доступ пакетам с адресами источника от !--- 10.10.10.0 до 10.10.10.31 и от 10.10.20.0 до 10.10.20.31.
 

Примечание. Cisco настоятельно рекомендует не настраивать списки доступа, упоминаемые в командах NAT, с помощью команды permit any. Использование команды permit any может привести к тому, что NAT будет потреблять слишком большое количество ресурсов маршрутизатора, что вызовет проблемы с сетью.

В приведенной выше конфигурации следует отметить, что только первые 32 адреса из подсети 10.10.10.0 и первые 32 адреса из подсети 10.10.20.0 разрешены списком доступа 7 Таким образом, выполняется преобразование только этих исходных адресов. Внутренняя сеть может содержать другие устройства с другими адресами, которые не транслируются.

Последнее, что нужно сделать — это убедиться в надлежащей работе NAT.

Настройка NAT для разрешения доступа в Интернет внутренним пользователям с помощью функции перегрузки

interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Определяет Ethernet 0 с помощью IP-адреса в качестве внутреннего интерфейса NAT.


interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Определяет Ethernet 1 с помощью IP-адреса в качестве внутреннего интерфейса NAT.


interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Определяет serial 0 с помощью IP-адреса в качестве внешнего интерфейса NAT.


ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
 !

!--- Определяет пул NAT под названием "ovrld" с помощью одиночного IP-адреса !--- 172.16.10.1.


ip nat inside source list 7 pool ovrld overload
 !
 !
 !
 !

!--- Указывает на то, что адреса источников любых пакетов, полученных на внутреннем интерфейсе, !--- допускаемых в списке доступа 7, будут транслированы в !--- адреса, вне пула NAT под названием "ovrld". !--- Трансляции будут перегружены, что позволит нескольким внутренним устройствам !--- транслироваться на один и тот же допустимый IP-адрес. 

access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Список доступа 7 открывает доступ пакетам с адресами источника от !--- 10.10.10.0 до 10.10.10.31 и от 10.10.20.0 до 10.10.20.31.
 

Заметьте, что выше во второй конфигурации пул NAT «ovrld» имеет диапазон только из одного адреса. Ключевое слово overload, используемое в команде ip nat inside source list 7 pool ovrld overload, позволяет NAT транслировать несколько внутренних устройств на один адрес в пуле.

Еще одной формой данной команды является команда ip nat inside source list 7 interface serial 0 overload, которая настраивает NAT для перегрузки по адресу, присвоенному последовательному интерфейсу 0.

После настройки перегрузки в маршрутизаторе накапливается достаточное количество данных протоколов высокого уровня (к примеру, номера портов TCP или UDP) для обратной трансляции глобального адреса на правильный локальный адрес. Определения глобального и локального адреса см. в NAT: Локальные и глобальные определения.

Последним действием является проверка работы NAT в должном порядке.

Может понадобиться обеспечить информационный обмен между устройствами внутренней сети и устройствами в Интернете, при котором соединение инициируется внешним устройством, например обмен сообщениями электронной почты. Для устройств в Интернете типично отправлять почту на почтовый сервер, находящийся во внутренней сети.

Настройка NAT, разрешающая доступ из Интернета к внутренним устройствам

В этом примере в первую очередь происходит определение внутренних и внешних интерфейсов NAT, как показано на сетевой диаграмме выше.

Во-вторых, определяется, что внутренние пользователи могут создавать связь с внешними устройствами. Необходимо, чтобы внешние устройства могли устанавливать связь только с внутренним почтовым сервером.

Третий этап — настройка NAT. Чтобы завершить начатый процесс, можно настроить статический и динамический NAT вместе. Дополнительная информация о настройке, описанной в данном примере, содержится в документе Одновременная настройка статического и динамического NAT.

Последним действием является проверка работы NAT в должном порядке.

Наличие веб-сервера во внутренней сети – это еще один пример, когда для устройств в Интернете может оказаться необходимым инициировать взаимодействие с внутренними устройствами. В некоторых случаях внутренний веб-сервер может быть настроен для взаимодействия с веб-трафиком через порт TCP, а не порт 80. К примеру, внутренний веб-сервер может устанавливать соединение через порт TCP 8080; в этом случае можно использовать NAT для перенаправления трафика, предназначенного для порта TCP 80 к порту TCP 8080.

После определения интерфейсов, как показано на схеме сети выше, NAT может перенаправлять внешние пакеты, предназначенные для адресов от 172.16.10.8:80 до 172.16.10.8:8080. Для этого можно транслировать номер порта TCP с помощью команды «static nat». Пример конфигурации приведен ниже.

Настройка NAT для того, чтобы перенаправить трафик TCP на другой порт или адрес TCP

interface ethernet 0 
 ip address 172.16.10.1 255.255.255.0
 ip nat inside

!--- Определяет Ethernet 0 с помощью IP-адреса в качестве внутреннего интерфейса NAT.


interface serial 0
 ip address 200.200.200.5 255.255.255.252
 ip nat outside

!--- Определяет serial 0 с помощью IP-адреса в качестве внешнего интерфейса NAT.


ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80

!--- Команда статического NAT, которая задает, чтобы все пакеты, полученные внутренним !--- интерфейсом с IP-адресом источника 172.16.10.8:8080, были преобразованы в !--- 172.16.10.8:80. 

Учтите, что описание настройки статической команды NAT указывает, что все пакеты, полученные внутренним интерфейсом с адресом источника 172.16.10.8:8080, будут преобразованы в 172.16.10.8:80. Это также подразумевает, что все пакеты, полученные внешним интерфейсом с адресом назначения 172.16.10.8:80, будут преобразованы в 172.16.10.8:8080.

Последним действием является проверка работы NAT в должном порядке.

Развертывание NAT может потребоваться для переадресования устройств сети или при замене одного устройства другим. Например, если все устройства в сети используют определенный сервер и этот сервер необходимо заменить новым сервером с новым IP-адресом, то перенастройка всех сетевых устройств, использующих новый адрес сервера, займет определенное время. Однако можно использовать NAT для настройки устройств, использующих старые адреса, чтобы транслировать их пакеты для связи с новым сервером.

После определения интерфейсов NAT, как показано выше, NAT может транслировать внешние пакеты, направленные на адреса старого сервера (172.16.10.8), и направлять их на новый адрес сервера. Обратите внимание, что новый сервер относится к другой сети LAN и устройства, находящиеся в этой сети или достижимые через нее (устройства из внутренней части сети), следует настроить на (по возможности) IP-адрес нового сервера.

Для этого можно использовать статическое преобразование сетевых адресов (NAT). Пример конфигурации приведен ниже.

Настройка NAT для использования при сетевых переходах

interface ethernet 0
 ip address 172.16.10.1 255.255.255.0
 ip nat outside

!--- Определяет Ethernet 0 с помощью IP-адреса в качестве внешнего интерфейса NAT.


interface ethernet 1
 ip address 172.16.10.64 255.255.255.0
 ip nat inside

!--- Определяет Ethernet 1 с помощью IP-адреса в качестве внутреннего интерфейса NAT.


interface serial 0
 ip address 200.200.200.5 255.255.255.252

!--- Определяет интерфейс serial 0 с помощью IP-адреса. Этот интерфейс !--- не участвует в NAT.


ip nat inside source static 172.16.50.8 172.16.10.8

!--- Указывает на то, что IP-адреса источников 172.16.50.8 любых пакетов, полученных на внутреннем интерфейсе, !--- будут преобразованы в 172.16.10.8.

Обратите внимание на то, что команда внутреннего источника NAT в данном примере также подразумевает, что адрес назначения пакетов, полученных на внешнем интерфейсе, 172.16.10.8, будет преобразован в адрес 172.16.50.8.

Последним действием является проверка работы NAT в должном порядке.

Перекрытие сетей возникает, когда внутренним устройствам присваиваются IP-адреса, уже используемые другими устройствами в Интернете. Также перекрытие происходит, когда сливаются две компании, использующие в своих сетях IP-адреса RFC 1918 . Эти две сети должны общаться, желательно без необходимости переадресации своих устройств. Дополнительная информация о настройке NAT для этой цели содержится в документе Использование NAT в перекрывающихся сетях.

После настройки NAT убедитесь, что он работает, как нужно. Это можно сделать несколькими способами: с помощью сетевого анализатора, команд show или debug. Подробный пример проверки NAT содержится в документе Проверка работы и устранение основных неисправностей NAT.

В примерах в данном документе содержится краткое руководство, которое поможет настроить и развернуть NAT. К действиям, описанным в руководстве, относится следующее:

1. Определение NAT внутри интерфейсов и за их пределами.

2. Определение, чего вы пытаетесь достичь с помощью NAT.

3. Настройка NAT для выполнения задачи, сформулированной на этапе 2.

4. Проверка работы NAT.

В каждом из вышеуказанных примеров были использованы различные формы команды ip nat inside. Для этого также можно использовать команду ip nat outside, не забывая о порядке работы NAT. Примеры настройки с помощью команд ip nat outside содержатся в документе Пример настройки с использованием команды ip nat outside source list и ip nat outside source static.

Также в примерах выше представлено следующее:

ip nat inside source

Команда ip nat outside source

Вопросы и ответы по Amazon VPC

Вопрос: Что такое VPC по умолчанию?

VPC по умолчанию – это логически изолированная виртуальная сеть в облаке AWS, которая автоматически создается для аккаунта AWS при первом выделении ресурсов Amazon EC2. Если инстанс будет запущен без указания идентификатора подсети, он запустится в VPC по умолчанию.

Вопрос: Каковы преимущества VPC по умолчанию?

При запуске ресурсов в VPC по умолчанию клиенты получают преимущества использования расширенных сетевых возможностей Amazon VPC (EC2‑VPC) и простоту эксплуатации облака Amazon EC2 (EC2‑Classic). Это позволяет менять группы безопасности на лету, выполнять фильтрацию исходящих данных с помощью групп безопасности, использовать несколько IP‑адресов и несколько сетевых интерфейсов без необходимости явно создавать VPC и запускать инстансы в рамках VPC.

Вопрос: Для каких аккаунтов доступно VPC по умолчанию?

Если аккаунт AWS был создан 18 марта 2013 г. или позднее, запускать ресурсы можно в облаке VPC по умолчанию. Ознакомьтесь с этим сообщением на форуме, чтобы узнать список регионов, в которых доступен набор возможностей облака VPC по умолчанию. Аккаунты, созданные до указанной даты, могут также использовать облака VPC по умолчанию в любых поддерживаемых регионах, где ранее не запускались инстансы EC2 или не выделялись ресурсы сервисов Elastic Load Balancing, Amazon RDS, Amazon ElastiCache или Amazon Redshift.

Вопрос: Как определить, настроен ли мой аккаунт на работу с облаком VPC по умолчанию?

Консоль Amazon EC2 отображает платформы, на которых можно запускать инстансы в выбранном регионе, а также наличие доступа к VPC по умолчанию в этом регионе. Убедитесь в том, что регион, который вы планируете использовать, выбран в навигационной панели. В панели управления консоли Amazon EC2 найдите пункт «Supported Platforms» (Поддерживаемые платформы) в разделе «Account Attributes» (Атрибуты аккаунта). Если в нем указаны два значения, EC2‑Classic и EC2‑VPC, можно запускать инстансы на любой из этих платформ. Если указано только одно значение, EC2‑VPC, запускать инстансы можно только на платформе EC2‑VPC. Идентификатор VPC по умолчанию будет указан в разделе «Account Attributes» (Атрибуты аккаунта), если аккаунт настроен на использование VPC по умолчанию. Чтобы получить описание поддерживаемых платформ, можно также использовать API EC2 DescribeAccountAttributes или интерфейс командной строки.

Вопрос: Нужны ли какие‑либо специальные знания об облаке Amazon VPC, чтобы использовать VPC по умолчанию?

Нет. Для запуска инстансов EC2, а также других ресурсов AWS в облаке VPC по умолчанию и управления ими можно использовать Консоль управления AWS, интерфейс командной строки AWS EC2 или API Amazon EC2. Сервис AWS автоматически создаст VPC по умолчанию и подсеть по умолчанию в каждой из зон доступности региона AWS. VPC по умолчанию подключается к интернет‑шлюзу, а инстансы автоматически получают публичные IP‑адреса, как и в случае с EC2‑Classic.

Вопрос: Какие различия существуют между инстансами, запущенными на платформах EC2‑Classic и EC2‑VPC?

См. раздел «Differences between EC2‑Classic and EC2‑VPC» Руководства пользователя EC2.

Вопрос: Обязательно ли создавать VPN‑подключение, чтобы использовать VPC по умолчанию?

Нет. VPC по умолчанию получает доступ в Интернет, а все инстансы, запущенные в подсетях по умолчанию в рамках VPC по умолчанию, автоматически получают публичные IP‑адреса. При желании к VPC по умолчанию можно добавить VPN‑подключение.

Вопрос: Можно ли создавать другие VPC и использовать их совместно с VPC по умолчанию?

Да. Чтобы запустить инстанс в VPC, отличном от доступного по умолчанию, необходимо указать в процессе запуска инстанса идентификатор подсети.

Вопрос: Можно ли создавать дополнительные подсети в VPC по умолчанию, например частные подсети?

Да. Чтобы запускать инстансы в подсетях, отличных от доступных по умолчанию, необходимо инициировать их запуск с помощью консоли или опции —subnet в интерфейсе командной строки, API или SDK.

Вопрос: Сколько облаков VPC по умолчанию мне доступно?

Клиенту предоставляется по одному облаку VPC по умолчанию в каждом из регионов AWS, где атрибут Supported Platforms имеет значение EC2‑VPC.

Вопрос: Какой диапазон IP‑адресов принадлежит VPC по умолчанию?

CIDR VPC по умолчанию – 172.31.0.0/16. Подсети по умолчанию используют CIDR /20 в рамках CIDR VPC по умолчанию.

Вопрос: Сколько подсетей по умолчанию доступно в облаке VPC по умолчанию?

Для каждой из зон доступности в облаке VPC по умолчанию создается одна подсеть по умолчанию.

Вопрос: Можно ли назначить какое‑либо из имеющихся VPC в качестве VPC по умолчанию?

В настоящий момент нет.

Вопрос: Можно ли назначить какую‑либо из имеющихся подсетей подсетью по умолчанию?

В настоящий момент нет.

Вопрос: Можно ли удалить VPC по умолчанию?

Да, VPC по умолчанию можно удалить. После удаления можно создать новое облако VPC по умолчанию непосредственно из консоли VPC или с помощью интерфейса командной строки (CLI). Это создаст новое VPC по умолчанию в конкретном регионе. При этом предыдущее VPC, которое было удалено, не восстанавливается.

Вопрос: Можно ли удалить подсеть по умолчанию?

Да, подсеть по умолчанию можно удалить. После удаления можно создать новую подсеть по умолчанию в зоне доступности с помощью интерфейса командной строки или SDK. При этом будет создана новая подсеть по умолчанию в указанной зоне доступности. При этом удаленная подсеть не восстанавливается.

Вопрос: У меня есть действующий аккаунт EC2‑Classic. Как получить облако VPC по умолчанию?

Самый простой способ получить облако VPC по умолчанию – создать новый аккаунт в регионе, где активировано облако VPC по умолчанию, или использовать существующий аккаунт в регионе, где вы ранее не были представлены, когда атрибут Supported Platforms для этого аккаунта в этом регионе имеет значение EC2‑VPC.

Вопрос: Я хочу активировать VPC по умолчанию для действующего аккаунта EC2. Это возможно?

Да. Однако мы можем активировать VPC по умолчанию для действующего аккаунта только в том случае, если у аккаунта нет ресурсов EC2‑Classic в данном регионе. Кроме того, требуется завершить в данном регионе работу всех выделенных ресурсов Elastic Load Balancing, Amazon RDS, Amazon ElastiCache и Amazon Redshift, не имеющих отношения к VPC. После того как аккаунт будет настроен на работу с VPC по умолчанию, все запуски ресурсов, выполняемые в будущем, включая инстансы, запускаемые сервисом Auto Scaling, будут происходить в облаке VPC по умолчанию. Чтобы запросить настройку существующего аккаунта на работу с VPC по умолчанию, перейдите в раздел «Account and Billing» (Аккаунт и счета), выберите «Service: Account -> Category: Convert EC2 Classic to VPC» (Сервис: аккаунт > Категория: преобразование EC2 Classic в VPC) и сформируйте запрос. Мы проверим запрос, существующие сервисы AWS, наличие EC2‑Classic и предоставим руководство по дальнейшим шагам.

Вопрос: Какое воздействие оказывает VPC по умолчанию на аккаунты IAM?

Если аккаунт AWS использует облако VPC по умолчанию, все аккаунты IAM, связанные с аккаунтом AWS, используют то же VPC по умолчанию, что и аккаунт AWS.

Технология преобразования сетевых адресов NAT

Одной из проблем в развитии сетей является ограниченное количество существующих IPv4 адресов — их около 4,3 миллиарда. С повсеместным распространением интернета и взрывообразным ростом количества пользователей, стало очевидно, что этого недостаточно. Возникла потребность в инструменте, способном решить эту проблему (по крайней мере до момента, когда будут внедрены IPv6) — и одним из таких инструментов стала технология NAT (Network Address Translation).

Что такое NAT

При проектировании сетей обычно применяются частные IP-адреса 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Их используют внутри сети площадки или организации для поддержания локального взаимодействия между устройствами, а не для маршрутизации во всемирной сети. Чтобы устройство с адресом IPv4 могло обратиться к другим устройствам или ресурсам через интернет, его частный адрес должен быть преобразован в публичный и общедоступный. Такое преобразование — это главное, что делает NAT, специальный механизм преобразования приватных адресов в общедоступные.

Поддержка NAT в сочетании с приватными IPv4 адресами стала эффективным способом сохранения общедоступных адресов IPv4. Механизм дает возможность многочисленным устройствам, каждое из которых имеет собственный приватный адрес, использовать единый общедоступный адрес IPv4. Дополнительным плюсом NAT является повышение уровня безопасности и конфиденциальности сети, за счет того, что он скрывает приватные адреса IPv4.

Маршрутизатор NAT можно настроить с одним или несколькими общедоступными IPv4-адресами, которые называют пулом NAT. При отправке трафика устройством из внутренней сети во внешнюю сеть, маршрутизатор преобразует его внутренний IPv4-адрес в один из адресов, входящих в состав пула. В результате действия такого механизма весь, исходящий из сети трафик внешние устройства «видят» с общедоступным адресом IPv4, который можно назвать NAT IP адресом.

Действие маршрутизатора NAT осуществляется на границе тупиковой сети, получившей название Stub-сети. Она связана с соседней сетью одним соединением, имеет один вход и один выход. При установлении связи между устройствами внутри и снаружи Stub-сети пакет отправляется пограничному маршрутизатору, который исполняет процесс NAT. В результате этого процесса внутренний приватный адрес устройства преобразуется в публичный наружный адрес, поддающийся маршрутизации.

Терминология NAT

В соответствии с принятой терминологией NAT внутренняя сеть понимается как набор сетей, которые подлежат терминологии. Под внешней понимают все другие сети.

Чтобы определить, что такое NAT-адрес, нужно учитывать его нахождение в частной сети или в интернете, а также тип трафика (входящий или исходящий). В зависимости от этих факторов устанавливаются следующие четыре обозначения:

• Inside local address (внутренний локальный) — видимый во внутренней сети адрес источника, собственный локальный адрес устройства.
• Inside global address (внутренний глобальный) — видимый из внешней сети адрес источника. При передаче трафика, например, с локального компьютера на веб-сервер, его Inside local address преобразуется маршрутизатором во внутренний глобальный адрес.
• Outside local address (внешний локальный) — видимый из внешней сети адрес получателя. Присвоенный хосту глобально маршрутизируемый адрес IPv4.
• Outside global address (внешний глобальный) — видимый из внутренней сети адрес получателя. Часто совпадает с локальным внешним адресом.

Нужно учитывать, что терминология NAT всегда строится с позиции устройства с транслируемым адресом.

Типы NAT

Для понимания, что такое NAT в сети, необходимо разобраться с классификацией трансляции. В частности, по способу сопоставления адресов, бывают такие типы трансляции NAT:

• Static NAT — статическая адресная трансляция. Предусматривает сопоставление между глобальными и локальными адресами «один к одному».
• Dynamic NAT — динамическая адресная трансляция. Сопоставление адресов осуществляется по принципу «многие ко многим».
• Port Address Translation (NAT Overload) — трансляция с использованием портов. Предусматривается многоадресное сопоставление.

Рассмотрим подробнее, что такое каждый из этих типов NAT.

Статический NAT

Этот тип NAT использует принцип «один к одному» при сопоставлении локальных и глобальных адресов. Настройки сопоставлений, установленные сетевым администратором, остаются неизменными. При отправке сетевыми устройствами трафика в интернет выполняется преобразование их внутренних локальных адресов в настроенные администратором глобальные внутренние адреса. Для внешних сетей устройства, которые работают во внутренней сети со статическим NAT, имеют общедоступные адреса IPv4.

Static NAT Type — это то, что хорошо подходит для веб-серверов, а также для устройств, которым необходим доступный из интернета согласованный адрес. Реализация статистического NAT требует наличия числа общедоступных адресов, достаточного для удовлетворения общего числа одновременных пользовательских сеансов.

Пример статической NAT таблицы:

Динамический NAT

Тип динамического NAT работает с пулом публичных адресов, которые назначаются на основе принципа «первым пришел, первым обслужен». При запросе внутренним устройством доступа к интернету динамическим NAT производится назначение из пула общедоступного адреса IPv4. Как и в случае со статическим, для динамического типа NAT необходимо достаточное число общедоступных адресов, чтобы удовлетворить совокупное число одновременных пользовательских сеансов.

Пример динамической NAT таблицы:

Port Address Translation (PAT)

Это наиболее распространенный тип NAT. При использовании Port Address Translation NAT подключение осуществляет трансляцию нескольких приватных адресов на один или несколько общедоступных. Этот принцип используется в большинстве маршрутизаторов, которые устанавливаются дома у частных абонентов. Адрес назначается провайдером маршрутизатором. При этом одновременный доступ к интернету могут получать несколько домашних пользователей.

Применение PAT позволяет сопоставлять несколько адресов с одним или несколькими. Это возможно благодаря отслеживанию каждого приватного адреса по номеру порта. После начала сеанса TCP/IP устройство генерирует номер порта источника TCP или UDP, что позволяет идентифицировать сеанс. При получении пакета от клиента NAT-маршрутизатором, он однозначно идентифицирует перевод NAT, используя номер собственного исходного порта. Схема PAT гарантирует использование разных портов TCP устройствами для каждого сеанса. При поступлении ответа от сервера при этом типе NAT номер порта источника уже используется как номер порта получателя. Это позволяет маршрутизатору однозначно правильно передавать пакеты.

Маршрутизатор выполняет обработку каждого пакета и определяет устройство, с которого он выслан, используя номер порта. Адресом источника (Source Address) в этой схеме будет локальный адрес устройства с добавлением номера порта, который был назначен TCP/IP. Адресом назначения (Destination Address) при использовании TAP будет внешний локальный адрес с добавлением номера служебного порта, например, порта службы 80: HTTP. При ответе веб-сервера производится обратная трансформация адресов.

Часто на маршрутизаторе порты клиента изменяются, поскольку ранее назначенные порты могут закрепляться за другими работающими сеансами. В процессе NAT сессии PAT стремится сохранить исходный порт источника. Если же этот порт уже занят, выполняется назначение первого из доступных номеров. Поиск свободного номера начинается с начала группы портов 0–511, 512–1023 или 1024–65535. В случае если свободных портов не остается и имеется больше одного внешнего адреса в пуле адресов, PAT переходит на новый адрес для поиска исходного порта источника.

Между традиционным NAT и PAT есть существенные отличия. NAT осуществляет перевод IPv4-адреса на основе принципа «один к одному» между приватными и общедоступными IPv4-адресами. С другой стороны, PAT трансформирует и адрес, и номер порта. Перенаправление входящих пакетов в NAT интернете выполняется на заданный хостом IP-адрес источника. В схеме PAT предусматривается только один или небольшое число публично открытых адресов IPv4, поэтому перенаправление входящих данных осуществляется на основе NAT таблицы маршрутизатора.

Преимущества и недостатки NAT

Понимая, как работает NAT, можно выделить комплекс серьезных преимуществ, которые предоставляет этот механизм при организации сетей. В том числе к основным плюсам относятся такие свойства Network Address Translation:

• Сохранение зарегистрированной схемы адресации благодаря разрешению на приватизацию внутренних сетей. При использовании PAT возможно использование для внешних соединений одного общедоступного адреса IPv4 внутренними хостами. Эта схема требует малого количества внешних адресов для поддержки значительного числа внутренних хостов.
• Повышение гибкости коммуникации с интернетом. Обеспечение надежных сетевых подключений достигается благодаря многочисленным пулам адресов, пулам балансировки нагрузки и резервному копированию.
• Поддержка согласованной работы внутренних схем сетевой адресации. Если сеть не использует NAT и приватные адреса IPv4, то для изменения общей схемы адресов приходится проводить переадресацию всего комплекса хостов. Это может значительно повышать стоимость переадресации. При использовании NAT обеспечивается возможность сохранения действующей частной схемы адресов, что позволяет намного легче вносить изменения в общедоступную схему адресации. На практике это означает, например, возможность смены провайдера компании без внесения изменений в собственные внутренние клиенты.
• Поддержание высокого уровня сетевой безопасности. При использовании NAT частные сети не транслируют свою внутреннюю топологию и адреса, что повышает их надежность. При этом нужно учитывать, что NAT не является заменой решений сетевой безопасности, например, брандмауэра.

Особенностью NAT является организация прямого взаимодействия хостов в интернете с устройством, поддерживающим Network Address Translation, а не с фактическим хостом в локальной сети.

Тут выявляются некоторые недостатки механизма, в том числе:

• Определенное снижение производительности сети из-за увеличения задержке переключения при трансформации в пакетах каждого IPv4-адреса. Снижение производительности может быть чувствительным для VoIP и других протоколов реального времени.
• Потеря сквозной адресации, необходимой для работы ряда приложений и протоколов. Если приложение использует не квалифицированное доменное имя, а физические адреса, то пакеты не попадают к получателям через NAT-маршрутизатор. В некоторых случаях проблема устраняется при помощи статических сопоставлений NAT.
• Потеря сквозной трассировки IPv4. Из-за множества изменений адресов пакетов осложняется трассировка, определение и устранение неполадок.
• Осложнение работы IPsec и других протоколов туннелирования в результате изменения значений в заголовках, что затрудняет проверки целостности.
• Возможность нарушения работы stateless протоколов или служб, которые требуют инициирования TCP-соединений из внешней сети, если NAT-маршрутизатор не настроен для их поддержки.

В то же время NAT остается эффективным и удобным механизмом, применяемым для организации работы сетей с использованием адресов IPv4.

Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку

За подписку мы также пришлем вам white paper «Основы кибербезопасности в коммерческой компании».

Email*

Подписаться

Адрес выбыл в известном направлении – Газета Коммерсантъ № 225 (6705) от 06.12.2019

Как стало известно “Ъ”, незадолго до прекращения деятельности по распределению IP-адресов Российский научно-исследовательский институт развития общественных сетей (РосНИИРОС) перевел внушительный их массив в пользу чешской компании с российскими корнями. По данным регистратора RIPE NCC, Reliable Communications получила от РосНИИРОС примерно 490 тыс. IPv4-адресов. На рынке такой пул оценивается в $9,8–12,25 млн.

РосНИИРОС, в сентябре объявивший о прекращении деятельности локального интернет-регистратора (Local Internet Registry, LIR), за полгода до этого переписал несколько сотен тысяч этих адресов на чешскую компанию Reliable Communications s.r.o., рассказал собеседник “Ъ”, знакомый с ситуацией. Факт передачи пула IP-адресов подтверждается записями в реестре RIPE NCC — регионального интернет-регистратора.

Reliable Communications s.r.o. получила от РосНИИРОС примерно 490 тыс. IPv4-адресов, подсчитал “Ъ”.

Reliable Communications s.r.o., согласно чешскому реестру юридических лиц, учреждена в 2014 году, а в 2018-м получила статус LIR, свидетельствуют данные RIPE NCC. По последним данным, 50% в чешской компании принадлежат Алексею Солдатову, еще 50% — структуре Private Equity Center s.r.o., принадлежащей Алексею Шкиттину. Эта структура также владеет российским ООО «Релком Групп», которое предлагает ряд услуг, в том числе продажу IPv4-адресов.

Алексей Солдатов, совладелец Reliable Communications s.r.o.,— полный тезка одного из пионеров рунета Алексея Солдатова, совпадает и дата рождения. Алексей Солдатов возглавлял вычислительный центр ИАЭ им. И. В. Курчатова, в котором зарождался советский и российский интернет и на базе которого возникла компьютерная сеть «Релком», позднее ставшая акционерным обществом.

С 2008 по 2010 год господин Солдатов занимал пост замглавы Минкомсвязи, он отказался от комментариев по телефону. В «Релком Групп», преемнике АО «Релком», не ответили “Ъ”. «РосНИИРОС должен был ликвидироваться в мае 2019 года, с момента начала ликвидации весь LIR замораживается и передается в общий пул RIPE NCC. Учитывая эту ситуацию, руководство РосНИИРОС приняло решение передать клиентов и адреса другим LIR»,— сообщил “Ъ” Алексей Шкиттин. IP Адреса переданы по стандартной процедуре трансфера, предусмотренной соглашением с RIPE NCC, утверждает он.

IPv4-адреса — ценный ресурс, учитывая их исчерпание в RIPE NCC 25 ноября. На вторичном рынке стоимость одного адреса составляет $20-$25. Таким образом, весь пул IP-адресов, полученный Reliable Communications s.r.o. от РосНИИРОС, может стоить $9,8–12,25 млн.

Учрежденный в 1992 году РосНИИРОС долгое время был почти монополистом по многим вопросам, связанным с интернетом. Позднее институт начал передавать полномочия другим структурам, в числе которых Ru-Center и компания MSK-IX (контролируется структурой «Ростелекома»). В сентябре институт объявил, что с 1 ноября прекращает деятельность как LIR (см. “Ъ” от 27 сентября).

После передачи адресов и прекращения деятельности РосНИИРОС в качестве LIR его бывшие клиенты, среди которых госструктуры, оказались вынуждены платить за использование IPv4 по более высоким тарифам, утверждает собеседник “Ъ”.

Этот факт подтвердил источник “Ъ” в одной из таких компаний, сама она отказалась от официальных комментариев. Условия, на которых состоялась передача, неизвестны, это могла быть и продажа. Кроме того, как слышал собеседник “Ъ” в интернет-отрасли, по документам РосНИИРОС якобы предоставлял «провайдеро-независимые блоки IP-адресов», тогда как на деле они продолжали быть закрепленными за LIR, то есть РосНИИРОС. Именно поэтому клиенты вынуждены платить Reliable Communications s.r.o. «аренду» за их использование, поясняет собеседник “Ъ”. Другие источники “Ъ” в интернет-отрасли слышали об этой ситуации.

По рынку давно ходила информация о скором закрытии LIR РосНИИРОС, и было неясно, что делать с его клиентами, рассказывает исполнительный директор Общества защиты интернета Михаил Климарев: «Передача в чешский LIR как бы решает эту проблему, но, с другой стороны, ситуация выглядит не очень красиво по отношению к клиентам». Оценка переданного пула адресов в $9,8–12,25 млн «несколько лукавая», считает он: вряд ли провайдер сможет продать адреса по рыночным ценам.

Дмитрий Шестоперов