معرفی سرویس NAT
راه اندازی NAT یک سرویس برای ارتباط کاربران با خارج از شبکه است . در این محتوا قصد داریم به بررسی پیکربندی wsus در شبکه بپردازیم و پس از بررسی آن با نحوه نصب و راه اندازی nat (Network address translation) آشنا شویم. در این آموزش تصویری همراه Goexam باشید.
زمانی که می خواهید محل قرارگری یک کامپیوتر را معرفی کنید به این صورت مطرح می کنید که یک کلاینت در Network یا Subnet با مشخصات 192.168.0.0 یا 172.16.0.0 مواردی از این قبیل. هیچ گاه IP یک کلاینت برای معرفی محل قرار گیری آن ارائه نمی شود.با توجه به این تعاریف متوجه می شوید که در بستر اینترنت Network ها می باشند که یکدیگر ارتباط برقرار می کنند.از طرف دیگر اشاره شد که به دلیل محدودیت IPv.4 مجبور به Subnet نمودن آن شده اند. از طرف دیگر با توجه به اینکه یک سری شبکه ها نیازی به برقراری با بستر اینترنت نداشتند یک رنج IP آدرس را به عنوان Private یا Invalid ارائه شد.
این IP ها در کلاس A,B وC به ترتیب به شرح زیر می باشد:
- کلاس A از 0.0.0 الی 10.255.255.255
- کلاس B از 16.0.0 الی 172.31.255.255
- کلاس C از 168.0.0 الی 192.168.255.255
- کلاس APIPA از 254.0.0 الی 169.254.255.255
بعد از این تقسیم بندی برای اینکه این کلاس های IP بتوانند با بستر اینترنت ارتباطی را برقرار کنند تنها Solution موجود این بود که آدرس Private را به آدرس Public تغییر دهند.اما مشکل این است که اگر IP یک کامپیوتری که از نوع Private بود به Public تغییر داده می شد ارتباط این کامپیوتر با شبکه داخلی قطع می شود و به منابع شبکه دسترسی نداشت.برای اینکه یک کامپیوتر در شبکه داخلی بتواند با کامپیوترهای شبکه ارتباط داشته باشد و در کنار آن بتواند با بستر اینترنت هم در ارتباط باشد مجبور بودن که برای تمامی کلاینت های همان شبکه آدرس های Public تنظیم کنند، در این شرایط همچنان مشکلاتی وجود داشت که به شرح زیر می باشد:
کاهش امنیت شبکه به این دلیل که تمامی کاربران به اینترنت دسرسی داشتند و امکان هک شدن کلاینت و یا آلوده شدن کلاینت ها به ویروس پابرجا بود.
مشکل اصلی پرداخت هزینه شرکت شما برای خرید Public IP آدرس بود.
به عنوان یکی از بزرگترین مشکلاتی که وجود داشت می توان به عدم تنظیم Policy بر روی آن اشاره کرد. به این معنی که نمی توانستید تنظیم کنید که یک کلاینت بتواند به اینترنت متصل شود و یک کلاینت نتواند.
جهت برطرف نمودن تمامی این مشکلات مایکروسافت سروری به نام NAT را Publish نمود. با استفاده از این سرور می توانید ارتباط یک شبکه از نوع Private با تعداد نامحدودی کلاینت را با کمک یکPublic IP Address با بستر اینترنت فراهم کنید.
مکانیزم عملکرد NAT همانند تصویرزیر است به این صورت می باشد که دارای یک جدولی همانندRouting Table می باشد با این تفاوت که به آن NAT Table گفته می شود.
تمامی موارد که در شکل اشاره شد است به یک مفهوم یکسان می باشد که در هر کتابی از یکی از اصطلاحات فوق استفاده شده است.
نمونه سناریویی که برای پیاده سازی NAT استفاده شده است را می توانید در تصویرزیر مشاهده کنید.
اما به جهت درک بهتر یک سناریو ارائه می شود که به تصویرزیر دقت کنید.
سناریو NAT
اگر هر کامپیوتری بخواهد با یک Network دیگری ارتباط برقرار کند به پارامتری به نام Socket سوکت نیاز دارد. اصطلاح سوکت به مجموع IP Address و Port Number گفته می شود.
هر یک از دو اصطلاح فوق متشکل از دو بخش است که به شرح زیر می باشد:
Port Number شامل Source Port Number است و Destination Port Number وIP Address به این شکل که شامل Source IP Address و Destination IP Address می باشد. به این مورد توجه داشته باشید که اگر یک کامپیوتری بخواهد با بستر اینترنت و یک Host ارتباط برقرار کند در این شرایطSource Port Number مختص به Host همیشه کوچکتر از 1023 است و کلاینت همیشه از یک Port Number بزرگتر از 1024 را استفاده می کند.با توجه به این موارد دریافتید که یک کلاینت برای برقرای ارتباط یک Port و IP Address را در اختیار دارد. Nat در سمت طرف اول خود به این شکل می نویسد 192.168.0.1:17500از طرف دیگر این کلاینت می خواهد با یک سروری با آدرس 65.10.0.1:80 ارتباط داشته باشد. با توجه به این پورت متوجه می شود که این سرور یک سایتی را میزبانی می کند که با پروتکل Http میزبانی می شود و این کلاینت می خواهد این وب سایت را مشاهده کند.
به این ترتیب در طرف دوم اطلاعات مختص به سرور Host را یاداشت می کند.بسته ای که از طرف کلاینت به NAT میرسد Source و Destination آن به همانند تصویر زیر می باشد.
زمانی که IP Header بسته را باز می کنید در آن نوشته است که Source IP Address 192.168.0.1 وDestination IP Address 65.10.0.1 زمانی که این بسته به NAT Server ارسال می شود با توجه به اینکه باPrivate IP آدرس خود نمی تواند به اینترنت متصل شود. در این شرایط NAT سرور IP Heard را Decapsulate می کند و در یک بسته جدید در لایه 3 آن را Encapsulate می کند. در این حالت تغییراتی که اعمال می شود به این شکل که Source IP Address 93.126.1.60 قرار می دهد و Destination IP Address 65.10.0.1:80 را قرار می دهد و بسته را Encapsulate می کند و با استفاده از کارت شبکه ای که Public IP Address بر روی آن تنظیم شده است Packet را ارسال می کند.
در این شرایط این بسته با توجه به اینکه Source و Destinationآن یکی می باشد می تواند با اینترنت ارتباط برقرار کند و این بسته به اولین Router موجود در مسیر می رسد و با توجه به منطق Routing که اشاره شده است مسیردهی می شود و نهایتاً به Host مورد نظر داده می شود. در این حالت Host جواب را برای NAT ارسال می کند به دلیل اینکه Host بسته را در لایه 3 باز می کند Source IP Address 93.126.1.60 یعنی همان NAT است و خود را موظف می داند که به همین Source جواب را بازگزداند در نهایتا جواب Respond می کند برای کارت شبکه NAT که Public IP آدرس بر روی آن تنظیم شده است.در این حالت اتفاقی که رخ می دهد به این شکل که کلاینت قصد اتصال به یک وب سایت در سروری با IP 65.10.0.1 را دارد و همزمان یک کلاینت دیگری می خواهد به همین وب سایت متصل شود. در این حالت Packet مربوط به کلاینت دوم به NAT سرور ارسال می شود و NAT آن را دریافت می کند و مراحلی که برای کلاینت اول صورت گرفت برای آن انجام می شود و Host مجدداً جواب را ارسال می کند. سوالی که در این بخش پیش می آید:
NAT از کجا متوجه می شود که کدام جواب برای کدام کلاینت می باشد؟
در جواب باید گفت از NAT Table خود به این صورت که درخواست اول برای IP 192.168.0.1 با پورت 17500 است به همان کلاینت و درخواست دوم هم بر اساس همانIP کلاینت و شماره پورت مختص به همان کلاینت برای او ارسال می گردد.
در این بین دو مورد توجه کنید:
سروری که در نقش NAT قرار داده می شود توانایی این را دارد در نقش DHCP وDNS سرور ایفای نقش کند. به این دلیل که NAT سرور توانایی Name Resolution را هم دارد.
راه اندازی NAT در ویندوز سرور
بعد از اینکه سرویس مربوط را نصب و وارد کنسول شوید و همانند دفعات قبل گزینه Configure and Enable Routing and Remote Access را انتخاب کنید مجدداً تصویر زیر را مشاهده می کنید.
با استفاده از این Wizard می توانید NAT را در دو حالت راه اندازی کنید حالت اول انتخاب گزینه دوم است که فقط NAT راه اندازی می کند و حالت دیگر انتخاب گزینه سوم است که VPN و NAT راه اندازی می کند.
در ادامه گزینه دوم که حالت NAT به تنهایی می باشد انتخاب و Next را کلیک تا تصویر زیررا مشاهده شود.
در گزینه اول می خواهد که کارت شبکه ای که به صورت Public می باشد را مشخص کنید. همان طور که اشاره شد NAT دارای دو کارت شبکه است که یک کارت شبکه با Lan داخلی در ارتباط است و کارت شبکه دوم با بستر اینترنت و Public IP بر روی آن تنظیم شده است باید همان کارت Public را انتخاب کنید.
گزینه دیگری هم وجود دارد که استفاده از این گزینه باعث می شود که NAT را بر روی یک Demand-Dial Interface فعال می کند.
مشخص می کنید که NAT از یک Connection برای دسترسی به اینترنت استفاده کند یا اینکه از Demand-Dial Connection برای دسترسی به اینترنت استفاده کند.
استفاده از این گزینه در ادامه اشاره می شود. گزینه اول را انتخاب و Next تا تصویرزیر نمایش داده شود.
گزینه Finish را کلیک تا تنظیمات و راه اندازی اولیه NAT به اتمام برسد. در ادامه در صورتی که وارد کنسول Routing and Remote Access شوید در بخش IPv.4 یک Node یا Interface به نام NAT اضافه شده است که در تصویر مشاهده می شود.
اما در صورتی که RAS سرور از قبل در نقش دیگری پیکربندی شده است برای اضافه نمودن NAT باید همانند شکل بر روی General راست کلیک و گزینه New Routing Protocol را کلیک و از میان پروتکل های موجود NAT را انتخاب کنید.
در این حالت برای معرفی کارت های شبکه باید بر روی NAT راست کلیک و گزینه New Interface را انتخاب تا تصویر را مشاهده کنید.
باید هر دو کارت شبکه Local و Publicرا مشخص کنید. برای همین اول کارت شبکه Local را انتخاب تا تصویرزیر نمایش داده شود.
باید مشخص کنید که این کارت شبکه انتخاب شده به عنوان کارت شبکه Local است یا اینکه کارت شبکه Public است.گزینه اول را انتخاب کنید. مجدداً همین مراحل را طی و این بار کارت شبکه Public را انتخاب تا تصویرزیر را مشاهده کنید.
بسیار مفید و کاربردی بود موفق وسربلند باشید
لطف دارید