ГлавнаяИнтернет NAT. Безопасность и администрирование. Множественных интерфейсов
NAT. Безопасность и администрирование. Множественных интерфейсов
Продолжение статьи «Преобразование сетевых адресов (NAT)»
Безопасность и администрирование
При внедрении динамического NAT между внутренней сетью и внешними сетями либо между внутренней сетью и Интернетом автоматически создается брандмауэр. Система преобразования сетевых адресов только разрешает осуществлять соединения, инициируемые компьютерами тупикового домена. По сути это означает, что компьютер из внешней сети не может подключиться к компьютеру тупикового домена, пока компьютер тупикового домена не инициирует контакт. Пользуясь компьютером в тупиковом домене, можно путешествовать по Интернету, обмениваться информацией с сайтами и скачивать файлы, но кто-либо посторонний не может воспользоваться вашим IP-адресом для подключения к какому-либо порту вашего компьютера.
В определенных обстоятельствах статическое преобразование сетевых адресов позволяет внешним устройствам инициировать соединения с компьютерами тупикового домена. Например, если вы хотите перейти от внутреннего глобального адреса к определенному внутреннему локальному адресу, выделенному для вашего веб-сервера, статический NAT осуществит такое соединение.
Некоторые маршрутизаторы NAT используются для широкомасштабной фильтрации и регистрации трафика. Фильтрация позволяет компании контролировать, какие типы сайтов служащие посещают в Интернете, и не допускать просмотра неразрешенного материала. Регистрацию трафика можно использовать для создания журнала учета посещавшихся сайтов и формирования на его основе различных отчетов.
Иногда систему преобразования сетевых адресов путают с прокси-серверами, но между ними есть существенная разница. Система NAT прозрачна для инициирующих компьютеров и для компьютеров-адресатов. Ни та, ни другая сторона не замечает, что информационный обмен осуществляется через стороннее устройство. В то же время прокси-сервер не является прозрачным. Инициирующий компьютер получает информацию о том, что он отправляет запрос прокси-серверу, и его нужно соответствующим образом настроить. С точки зрения компьютера-адресата кажется, что прокси-сервер ЯВЛЯЕТСЯ инициирующим компьютером, и что взаимодействие осуществляется непосредственно с ним. Кроме того, прокси-серверы обычно работают на 4 уровне (транспортном) эталонной модели OSI, в то время как NAT является протоколом 3 (сетевого) уровня. Работа на более высоком уровне приводит к тому, что в большинстве случаев прокси-серверы действуют медленнее, чем устройства NAT.
Реальные выгоды системы NAT проявляются при администрировании сети. Например, можно перенести веб-сервер или FTP-сервер на другой хост-компьютер, не тревожась о том, что это приведет к образованию нерабочих ссылок. Произошедшие изменения, связанные с переносом на новый хост-компьютер, должны сопровождаться всего лишь простой заменой входного мапинга (inbound mapping) на маршрутизаторе. Кроме того, можно с легкостью изменять свою внутреннюю сеть, поскольку присваивается маршрутизатору или выдается из фонда глобальных адресов лишь единственный внешний IP-адрес.
NAT и DHCP (протокол динамической конфигурации сетевого узла, dynamic host configuration protocol) осуществляют естественную подгонку. Вы можете выбрать ряд незарегистрированных IP-адресов для своего тупикового домена, а сервер DHCP будет выдавать их по мере необходимости. Кроме того, в этих условиях значительно легче осуществлять масштабирование своей сети по мере роста потребностей. Не требуется запрашивать у IANA больше IP-адресов. Вместо этого, вам лишь нужно увеличить количество доступных IP-адресов, которые выдает DHCP, после чего можно сразу же получить возможность подключать к вашей сети дополнительные компьютеры.
Использование множественных интерфейсов
По мере все большего использования Интернета коммерческими предприятиями использование нескольких точек подключения к Интернету быстро становится составной частью их сетевой стратегии. Технология использования множественных интерфейсов (multi-homing) позволяет уменьшить вероятность возможного обрыва связи, если произойдет отказ одного из соединений.
В дополнение к тому, что создается надежное соединение, технология multi-homing позволяет компании осуществлять балансирование нагрузки, уменьшая количество компьютеров, подключенных к Интернету по каждому из отдельных соединений. Распределение нагрузки по многим соединениям оптимизирует производительность и может существенно уменьшить время ожидания.
Сети с множественными интерфейсами часто подключаются к нескольким различным поставщикам услуг Интернета (ISP, Internet Service Provider). Каждый из поставщиков услуг Интернета предоставляет компании один или несколько IP-адресов. В маршрутизаторах для маршрутизации между сетями с различными протоколами используется протокол граничного шлюза (BGP, Border Gateway Protocol), часть набора протоколов TCP/IP. В сети с множественными интерфейсами маршрутизатор использует на стороне тупикового домена протокол IBGP (Internal Border Gateway Protocol, внутренний протокол граничного шлюза), а для обмена информацией с другими маршрутизаторами – протокол EBGP (External Border Gateway Protocol, внешний протокол граничного шлюза).
Технология Multi-homing показывает свою реальную эффективность, если одно из соединений с поставщиком услуг Интернета выходит из строя. Как только маршрутизатор, ответственный за отказавшее соединение, обнаружит аварию, он перераспределяет все данные через один из других маршрутизаторов.
Для обеспечения масштабируемой маршрутизации с несколькими интерфейсами и несколькими интернет-провайдерами можно использовать преобразование сетевых адресов.
Источник:
Просмотров: 764
Ваш коментарий будет первым
Только зарегистрированные пользователи могут оставлять коментарии. Пожалуйста зарегистрируйтесь или войдите в ваш аккаунт.
Продолжение статьи «Преобразование сетевых адресов (NAT)»
Ваш коментарий будет первым
