Как работает NAT
Система NAT работает путем реконструкции заголовков IP внутренних пакетов, покидающих сеть, делая каждый IP-адрес источника одним и тем же. Пакеты ответа, приходящие "извне" сети, транслируются и пересылаются соответствующей внутренней системе. Фактически внешние системы в Интернете знают только один IP-адрес — адрес системы, выполняющей NAT. На иллюстрации ниже показан принцип работы NAT.
На рисунке всем внутренним системам были присвоены зарезервированные IP-адреса в диапазоне IP от 10.0.0.0 до 10.255.255.255. Эти незарегистрированные IP-адреса не могут использоваться в Интернете. Если система А с IP-адресом 10.0.0.2 соединяется с Web-сервером в Интернете, Web-сервер запишет источник соединения как IP 206.135.57.16. Это связано с тем, что маршрутизатор использует NAT. Все пакеты, исходящие из частной сети, будут иметь IP-адрес источника 206.135.57.16, когда они выполняет команду трансляции show ip nat и перехватывает снимки выделенных адресов NAT. Это не очень хорошее решение (но единственное, которое мы имеем). Скорее всего вы найдете контрольный след, когда для выполнения NAT будут использоваться брандмауэры. Система Linux может также использовать свою встроенную программу фильтрации пакетов, называемую IPChains (или IP Filter) или некоторый другой механизм межсетевого экрана для записи соединений NAT.
ВНИМАНИЕIP-masquerading является сетевой схемой, аналогичной NAT (типа один-много), которые существуют во многих коммерческих брандмауэрах и сетевых маршрутизаторах.
Вопрос 3. Исследование адресов MAС.
IP работает на третьем, или сетевом, уровне модели OSI (Open Systems Interconnection). IP работает независимо от уровня канала данных или выбранной физической реализации сети. Независимо от того, используется ли сетевой адаптер Token Ring, Ethernet или FDDI, IP все равно работает. Однако, чтобы сетевые адаптеры общались друг с другом, они должны иметь свои собственные схемы адресации. Адаптер Ethernet не понимает кадры, посланные из адаптера Token Ring, и наоборот. Таким образом, компьютеры применяют для коммуникации уникальный адрес на сетевом адаптере. Он называется адресом протокола управления доступом к среде (MAC) компьютера. Проще всего представлять адрес MAC как физический, аппаратный адрес системы.
Протокол разрешения адреса (ARP) является протоколом на основе TCP/IP (другие пакеты протоколов также могут использовать ARP), который отображает логический IP-адрес в физический МАС-адрес. ARP используется, когда машина знает IP-адрес машины, с которой она хочет общаться. Однако она должна знать ее МАС-адрес, чтобы создать правильные кадры уровня канала данных. Важно понимать, что ARP используется для контакта машин в той же локальной сети (LAN). МАС-адрес никому не виден вне вашего шлюза.
Просмотр таблицы ARP
Каждая машина поддерживает таблицу ARP, которая отображает адреса MAC в соответствующие IP-адреса. Эта таблица обновляется примерно каждые 30 с на большинстве систем при условии, что не существует исходящих соединений с удаленной машиной, которые находятся в таблице ARP. Можно представлять таблицу ARP как таблицу, содержащую МАС-адреса машин, с которыми ваша система общалась за последние 30 с.
Можно использовать команду агр -а для перечисления содержимого таблицы ARP системы (называемой обычно кэш-памятью агр). На рис. А.5 показаны примеры использования агр -а. Отметим, что начальная команда агр -а в примере не показывает никаких записей в кэш-памяти агр. Затем выполняется ping 10.1.1.1 и посылаются четыре пакета эхо-запроса ICMP по адресу 10.1.1.1. Однако, чтобы система общалась с системой 10.1.1.1, необходимо
Рис. А.5.Использование агр -а для просмотра содержимого таблицы ARP
получить ее МАС-адрес. Поэтому, прежде чем наша система сможет послать пакеты ping, необходимо получить МАС-адрес для 10.1.1.1. Вторая команда агр -а показывает теперь МАС-адрес для 10.1.1.1 в кэш-памяти агр.