Подключение через NAT (IP-маскарадинг)
Лабораторная работа № 3 «Настройка Интернет-соединений на ПК. Настройка параметров Internet Explorer. Выход в Интернет с мобильного телефона. Мобильный Интернет и КПК»
Цель работы: получить навыки подключения к сети Интернет локальной сети, использую различные технологии и программные средства. Освоить создание простейшей сети Wi-Fi на примере подключения ноутбуков к точке доступа Wi-Fi с использованием статической и динамической IP-адресации
В процессе занятия решаются следующие задачи:
1. получить базовые навыки Настройки Интернет-соединений на ПК, КПК;
2. получить базовые навыки монтажа и настройки беспроводной сети Wi-Fi
Краткие теоретические и справочно-информационные материалы по теме занятия.
Часть 1.
Рассмотрим локальную сеть (Workstantion 1 – Workstantion 2) (см. рис). На компьютере (шлюзе), через имеется два сетевых адаптера (подключений).
Имеются три основных варианта подключения локальной сети к Интернет:
1. «прямое» IP-подключение,
2. подключение через NAT,
3. подключение через прокси-сервер.
Рассмотрим преимущества, недостатки и область применения каждого метода, а также некоторые возникающие нюансы. Выбор конкретного способа подключения зависит от потребностей пользователей, цели подключения и, в некоторой степени, финансовых возможностей.
Итак, компьютер Workstantion 1. У него есть доступ, как к Интернету, так и к локальной сети. Наша задача - дать компьютерам локальной сети доступ к Интернет через подключенный к нему компьютер. Далее этот компьютер мы будем называть шлюзом или маршрутизатором.
Рассмотрение способов мы начнем с наименее часто использующегося, наиболее дорогого, но также наиболее «правильного» и естественного способа, дающего наибольшие по сравнению с другими способами возможности.
«Прямое» IP-подключение к Internet. Для того, чтобы Ваша локальная сеть была полноценно подключена к Интернету, должны соблюдаться, как минимум, три условия:
1. Каждая машина в локальной сети должна иметь "реальный", интернетовский IP-адрес;
2. Эти адреса должны быть не любыми, а выделенными Вашим провайдером для Вашей локальной сети (скорее всего, это будет подсеть класса C);
3. На компьютере-шлюзе, подключенном к двум сетям - локальной сети и сети провайдера, должна быть организована IP-маршрутизация, т.е. передача пакетов из одной сети в другую.
В этом случае Ваша локальная сеть становится как бы частью Интернета. Собственно, это тот способ подключения, которым подключены к Интернету сами Интернет-провайдеры и хостинг-провайдеры.
В отличие от обычного подключения, рассчитанного на один компьютер, при таком подключении "под клиента" выделяется не один IP-адрес, а несколько, так называемая "IP-подсеть".
При таком способе подключения Вы можете организовать в своей сети сервисы, доступные из Интернета - ведь при данном подключении не только Интернет полностью доступен из Вашей сети, но и Ваша сеть - из Интернета, т.к. является его частью.
Однако такая "прозрачность" Вашей сети резко снижает ее защищенность - ведь любые сервисы в локальной сети, даже предназначенные для "внутреннего" использования, станут доступными извне через Интернет. Чтобы это не имело места, доступ в локальную сеть извне несколько ограничивают. Обычно это делается установкой на шлюзе программы-firewall. Это своеобразный фильтр пакетов, проходящих из одной сети в другую. Путем его настройки можно запретить вход-выход из локальной сети пакетов, соответствующих определенным критериям - типу IP-пакета, IP-адресу назначения, TCP/UDP-порту и т.п.
Firewall решает такие задачи, как:
· блокировку доступа извне к определенным TCP/IP-сервисам локальной сети.
· блокировку доступа к определенным компьютерам локальной сети. Таким образом, можно запретить доступ извне ко всем машинам, кроме определенных серверов, предназначенных для доступа из Интернет.
· защиту от троянских программ на сетевом уровне.
Несмотря на универсальность такого метода подключения локальной сети к Интернет, этот метод имеет недостатки. Благодаря им, его реально и используют только лишь те организации, которым надо сделать свои сервера доступными из Интернет - в основном, те же интернет-провайдеры и хостинг-провайдеры, а также информационные службы. Самый главный недостаток заключается в дороговизне выделения IP-адресов и уж тем более IP-подсетей, к тому же эту плату надо вносить периодически.
Поэтому на практике рассмотрим другие, описанные далее способы, не требующие больших затрат и, что самое главное, позволяющие подключить локальную сеть через обычное подключение с одним внешним IP-адресом.
Подключение через NAT (IP-маскарадинг)
Технология Network Address Translation (NAT) - "трансляция сетевых адресов" позволяет нескольким машинам локальной сети иметь доступ к Интернет через одно подключение и один реальный внешний IP-адрес.
Для того, чтобы компьютера локальной сети могли устанавливать соединения с серверами сети Интернет, нужно, чтобы:
· IP-пакеты, адресованные серверу в Интернет, смогли его достигнуть;
· ответные IP-пакеты, идущие от сервера Интернет на машину в локальной сети, также смогли ее достигнуть.
С первым условием проблем не возникает, а как быть со вторым? Ведь компьютера локальной сети не имеют своего "реального" интернетовского IP-адреса! Как же они могут получать IP-пакеты из Интернет?!
А работает это следующим образом - на компьютере-шлюзе стоит программа NAT-сервера. Компьютер-шлюз прописан на машинах локальной сети как "основной шлюз", и на него поступают все пакеты, идущие в Интернет (не адресованные самой локальной сети). Перед передачей этих IP-пакетов в Интернет NAT-сервер заменяет в них IP-адрес отправителя на свой, одновременно запоминая у себя, с какой машины локальной сети пришел этот IP-пакет. Когда приходит ответный пакет (на адрес шлюза, конечно), NAT определяет, на какую машину локальной сети его надо направить. Затем в полученном пакете меняется адрес получателя на адрес нужной машины, и пакет доставляется этой машине через локальную сеть.
Как видим, работа NAT-сервера прозрачна для машин локальной сети (как и работа обычного IP-маршрутизатора). Единственным принципиальным ограничением этого метода подключения локальной сети к Internet является невозможность установить _входящее_ TCP-соединение из Интернет на машину локальной сети. Однако для "клиентских" сетей этот недостаток превращается в достоинство, резко увеличивающее (по сравнению с первым методом подключения) их защищенность и безопасность. Администраторы некоторых провайдеров даже употребляют слова NAT и Firewall как синонимы.