Комментарии 19
Я извиняюсь, а что это за странная ссылка на сайте cisco.com со странички Cisco Packet Tracer на какое-то левое, чуть ли не казино (может случайным образом перекинуть в разные места)?
Это какой-то крутой косяк у Cisco. Я отпишусь в официальным представителям Cisco по Москве, дабы они решили эту проблему. Сейчас сам залез и Eset чуть кукушечкой не крякнулся.
Попробую скинуть последнюю рабочую версию (7.1) Packet Tracer. Главное, чтобы файлообменник exe-шник перекинул.
Спасибо, что сказали об этой проблеме!
Попробую скинуть последнюю рабочую версию (7.1) Packet Tracer. Главное, чтобы файлообменник exe-шник перекинул.
Спасибо, что сказали об этой проблеме!
Overload указывает на тип NAT, а именно перегруженный NAT, то есть PAT.
Вы опять порете чушь. Почитайте, что такое PAT, и для чего он применяется.
ip access-list standard HABRAHABR – создаём стандартный access лист с именем HABRAHABR
permit 192.168.2.0 0.0.0.255 – добавляем адреса сетей с обратной маской сети
ip nat inside source list HABRAHABR int fa0/0 overload – начинаем путь NAT изнутри (из инсайда) по access листу под названием HABRAHABR на интерфейсе int fa0/0. Overload указывает на тип NAT, а именно перегруженный NAT, то есть PAT.
То, что написано у вас, это классический source NAT (source interface NAT в терминологии Juniper).
Вы опять порете чушь. Почитайте, что такое PAT, и для чего он применяется.
Почитал ещё раз здесь
Не понял что Вам не понравилось.
То, что написано у вас, это классический source NAT (source interface NAT в терминологии Juniper).
На Juniper не работал, поэтому плохой собеседник.
Как я понимаю, есть три типа NAT: статический NAT (нужен для обращения из внешней сети (к примеру, Интернет) к устройству под серыми IP (во внутренней сети)), динамический NAT (редко используется (по крайней мере, не видело ни одного проекта), но он используется для отображения незарегистрированных IP-адресов на зарегистрированные адреса), перегруженный NAT (он же PAT, описанный в лабе).
Читал по книгам Cisco. В википедии подтверждаются мои слова.
Если в чём-то не прав, пожалуйста, уточните в чём.
Не понравилось, главным образом, то, что вы используете терминологию, но при этом не описываете механизм и типы NAT (source nat, destination nat), а предлагаете приступить к выполнению лабораторной работы. В результате получается путаница (я признаю, что несколько погорячился, т.к. в 99% случаев PAT как термин использую только для обозначения DST-NAT по выбранным портам).
Статический NAT (Static NAT) — это трансляция 1-к-1 серого адреса в белый, при этом делается как source, так и destination трансляция.
Динамический NAT (Dynamic NAT) — это трансляция пула серых адресов в пул белых. При этом он тоже может быть overload (в терминах циски): т.е. пул белых адресов может быть меньше, чем пул внутренних адресов. Отсюда следует вывод, что о нём мы говорим только в контексте source-трансляции (и встречается он гораздо чаще, чем вы думаете).
Перегруженный NAT (то, что вы называете PAT) действительно использует механизм трансляции портов, и, формально, вы правы.
Но вот тут начинаются нюансы, о которых обязательно стоит рассказать.
Потому что PAT (и кстати, если уж даёте ссылку на википедию, почему не сюда?) гораздо чаще используется в контексте destination nat, когда нам нужно опубликовать наружу, например, веб-сервер.
При этом мы транслируем запросы, которые приходят на порты 80 и 443 на наш публичный адрес, в локалку, на те же (или другие) порты веб-сервера.
А если мы говорим о source nat (когда локалку необходимо выпустить в интернет с одного IP-адреса), то это уже NAT overload или маскарадинг.
Статический NAT (Static NAT) — это трансляция 1-к-1 серого адреса в белый, при этом делается как source, так и destination трансляция.
Динамический NAT (Dynamic NAT) — это трансляция пула серых адресов в пул белых. При этом он тоже может быть overload (в терминах циски): т.е. пул белых адресов может быть меньше, чем пул внутренних адресов. Отсюда следует вывод, что о нём мы говорим только в контексте source-трансляции (и встречается он гораздо чаще, чем вы думаете).
Перегруженный NAT (то, что вы называете PAT) действительно использует механизм трансляции портов, и, формально, вы правы.
Но вот тут начинаются нюансы, о которых обязательно стоит рассказать.
Потому что PAT (и кстати, если уж даёте ссылку на википедию, почему не сюда?) гораздо чаще используется в контексте destination nat, когда нам нужно опубликовать наружу, например, веб-сервер.
При этом мы транслируем запросы, которые приходят на порты 80 и 443 на наш публичный адрес, в локалку, на те же (или другие) порты веб-сервера.
А если мы говорим о source nat (когда локалку необходимо выпустить в интернет с одного IP-адреса), то это уже NAT overload или маскарадинг.
Я с Вами согласен. Информация, которую Вы выложили весьма полезна и спасибо Вам за неё, но несколько «маленьких» НО.
1. Концепция лабораторной работы подразумевает освоение небольшого количества материала. По опыту, эту лабу делают за 1,5-2,5 часа. Как Вы себе представляете объяснить неопытному сисадмину, хотя бы поверхностно, 3 типа NAT в одной лабе?
В лабораторной работе идёт разбор присвоения нескольким серым адресам одного белого. Чтобы понять эту технологию молодому специалисту потребуется не 3 минуты.
2. Не стоит высказываться в столь резких формах, как фраза «Вы опять порете чушь». Во первых, чушь я, как Вы выражаетесь, «не порол» ни в одной своей работе. Во вторых, при употреблении таких фраз теряется смысл всего Вашего текста.
3. Если есть какие-либо замечания, пожалуйста, излагайте их сразу без многозначительных фраз о том, что мне необходимо прочитать тот или иной материал. Материал я вынужден прочитать, если хочу что-то написать и выдаю его порционно, а читатели статьи с большей вероятностью запомнят Ваши замечания, если они будут высказаны сразу, а не входе длинной переписки в комментариях.
В любом случае, спасибо за проявленный интерес к моей работе.
1. Концепция лабораторной работы подразумевает освоение небольшого количества материала. По опыту, эту лабу делают за 1,5-2,5 часа. Как Вы себе представляете объяснить неопытному сисадмину, хотя бы поверхностно, 3 типа NAT в одной лабе?
В лабораторной работе идёт разбор присвоения нескольким серым адресам одного белого. Чтобы понять эту технологию молодому специалисту потребуется не 3 минуты.
2. Не стоит высказываться в столь резких формах, как фраза «Вы опять порете чушь». Во первых, чушь я, как Вы выражаетесь, «не порол» ни в одной своей работе. Во вторых, при употреблении таких фраз теряется смысл всего Вашего текста.
3. Если есть какие-либо замечания, пожалуйста, излагайте их сразу без многозначительных фраз о том, что мне необходимо прочитать тот или иной материал. Материал я вынужден прочитать, если хочу что-то написать и выдаю его порционно, а читатели статьи с большей вероятностью запомнят Ваши замечания, если они будут высказаны сразу, а не входе длинной переписки в комментариях.
В любом случае, спасибо за проявленный интерес к моей работе.
1. Концепция лабораторной работы подразумевает освоение небольшого количества материала. По опыту, эту лабу делают за 1,5-2,5 часа. Как Вы себе представляете объяснить неопытному сисадмину, хотя бы поверхностно, 3 типа NAT в одной лабе?
Да, и это довольно просто.
Тем более, что объяснить нужно всего лишь два типа (source NAT и destination NAT), а дельше уже развить мысль и рассказать о подвидах этих двух через случаи, когда они применяются. При этом в лабе можно оставить один, а вот рассказать нужно о всех.
Не стоит высказываться в столь резких формах, как фраза «Вы опять порете чушь». Во первых, чушь я, как Вы выражаетесь, «не порол» ни в одной своей работе. Во вторых, при употреблении таких фраз теряется смысл всего Вашего текста.
Ну да, вы просто вырываете одно из определений из контекста и начинаете о нём рассказывать, как будто остальных и нет вовсе. Так что с первого взгляда это выглядит как полная чушь.
Если есть какие-либо замечания, пожалуйста, излагайте их сразу без многозначительных фраз о том, что мне необходимо прочитать тот или иной материал. Материал я вынужден прочитать, если хочу что-то написать и выдаю его порционно, а читатели статьи с большей вероятностью запомнят Ваши замечания, если они будут высказаны сразу, а не входе длинной переписки в комментариях.
Замечания у меня есть, и я их высказал. Кратко или подробно — это уже мне решать. И ссылаться на тексты начали вы, я лишь уточнил, что в данном случае вы использовали не ту страницу википедии =).
Ну и последнее — учебный материал, коль вы его выдаёте в виде лабораторных, предполагает а)некую целостность, когда часть связаны между собой логически и идут последовательно. б)материал (даже лабораторная работа) содержит какую-то теоретическую часть, которая отвечает на вопрос «а что это я тут буду делать». Так вот, если с последовательностью у вас ещё более-менее хорошо, то вот с теорией — полный швах.
Да, и это довольно просто
Вам — возможно, но не начинающему инженеру сетей.
вы просто вырываете одно из определений из контекста и начинаете о нём рассказывать, как будто остальных и нет вовсе.
Никакого контекста не было. Если бы я написал «Лабораторная работа по NAT», я бы согласился с Вами на 100%, а так что обещал, то разобрал (технологию PAT).
Замечания у меня есть, и я их высказал. Кратко или подробно — это уже мне решать
Бесспорно. Я лишь попросил говорить о конкретике с первого комментария, а не со 2, 3 или 4, как это было и в предыдущей статье. Это моя просьба, а уж выполнять её или нет — дело исключительно Ваше.
Ваше мнение все услышали. Не сомневайтесь. Но прорываться к нему через фразы, которые зависают в воздухе, типа: «почитайте», «вы порете чушь», «у вас с теорией швах», лично мне уже надоело, да и пользователям читать все эти комментарии, думаю, тоже.
я лишь уточнил, что в данном случае вы использовали не ту страницу википедии =)
Я использовал более расширенный материал. Посмотрите пункт 5 в содержании и на его схему, а вот статья, которую бросили Вы, ссылается на скомканный и не разобранный материал моей статьи. Ссылаться на неё нет никакого смысла, чего я и не делал.
Вы заговорили обо всех типах NAT, я и скинул статью обо всех типах.
Ну и последнее — учебный материал, коль вы его выдаёте в виде лабораторных, предполагает а)некую целостность, когда часть связаны между собой логически и идут последовательно. б)материал (даже лабораторная работа) содержит какую-то теоретическую часть, которая отвечает на вопрос «а что это я тут буду делать». Так вот, если с последовательностью у вас ещё более-менее хорошо, то вот с теорией — полный швах.
Концепция лабораторной работы подразумевает освоение небольшого количества материала. Если Вы начнёте читать теорию к каждой лабе от вопроса «Что такое сеть?» и описывая все технологии от TCP/IP, то эту работу не поймут юниоры, что сейчас и происходит с большинством работ.
немного интересного
Я делая лабу по Wi-Fi и понял, что без PAT получиться не очень. Решил описать. Так вот чтобы сделать данную лабу мне потребовалось написать ещё 2 статьи, на которые я сослался.
Я не хочу вызвать у читающих людей отравление информацией, скинув всю информацию по теме.
В статье, например, об IP я описывал только IPv4, но не потому что я не знаю что есть IPv6, а потому что не надо наваливать всё и сразу.
Разобрались с одним, переходим к другому.
Я не хочу вызвать у читающих людей отравление информацией, скинув всю информацию по теме.
В статье, например, об IP я описывал только IPv4, но не потому что я не знаю что есть IPv6, а потому что не надо наваливать всё и сразу.
Разобрались с одним, переходим к другому.
Не надо забывать, что лабораторные работы, прежде всего, для не очень опытных специалистов. Сомневаюсь, что знающий эту тему специалист будет выполнять эту лабу пошагово и по инструкции.
Никакого контекста не было. Если бы я написал «Лабораторная работа по NAT», я бы согласился с Вами на 100%, а так что обещал, то разобрал (технологию PAT).
И в введении вы описываете NAT (а PAT является лишь его частным случаем).
Концепция лабораторной работы подразумевает освоение небольшого количества материала. Если Вы начнёте читать теорию к каждой лабе от вопроса «Что такое сеть?» и описывая все технологии от TCP/IP, то эту работу не поймут юниоры, что сейчас и происходит с большинством работ.
В лабораторной работе про NAT не нужно рассказывать про основы TCP/IP. В ней нужно рассказать про NAT и то, какой он бывает. Почитайте, например, про Cisco NAT на xgu. Там всё очень кратко и при этом описано всё, что нужно.
Не надо забывать, что лабораторные работы, прежде всего, для не очень опытных специалистов.
Ага, а потом эти «не очень опытные» специалисты, учась на кусочках знаний и не видя целостной картины, решают все проблемы с помощью гугла и бездумного копирования из хауту.
Я учился и учусь не по xgu, а по официальным книгам и курсам Cisco и переходить с этой формы обучения не буду.
На счёт неопытности — это Ваше мнение.
По факту вся наша дискуссия может свестись к одному и простому замечанию: есть и другие типы NAT и с ними тоже нужно работать.
Я в них не лез в лабораторной работе, но если кто-то хочет почитать больше о NAT, то ещё раз прикрепляю ссылку.
Всё это можно написать в одном комментарии под статьёй и не разводить дискуссии на день.
Далее продолжать обсуждение «на одном месте» я не буду.
На счёт неопытности — это Ваше мнение.
По факту вся наша дискуссия может свестись к одному и простому замечанию: есть и другие типы NAT и с ними тоже нужно работать.
Я в них не лез в лабораторной работе, но если кто-то хочет почитать больше о NAT, то ещё раз прикрепляю ссылку.
Всё это можно написать в одном комментарии под статьёй и не разводить дискуссии на день.
Далее продолжать обсуждение «на одном месте» я не буду.
Я учился и учусь не по xgu, а по официальным книгам и курсам Cisco
полностью согласен с вашим оппонентом. В официальных книгах и курсах — всё очень подробно и постепенно расписано. Я когда вашу статью читал то думал что Cisco свою фишку под названием PAT придумала. Но благодаря комментам вашего оппонента стало все понятно. Вам дельный совет дают — как коротко и понятно можно оформить вашу статью. Вместо того чтобы спорить, лучше бы эти усилия на улучшение статьи потратили.
В терминах Циски то, что вы называете «Динамический NAT» как раз и есть PAT, о котором говорит valerylinkov, скажем, это подтипы одного и того же механизма. Называть такой вариант оверлоадингом вполне возможно, Циски в своих документах это делают.
Таким же образом подтипом динамического NAT является и тот, что вы называете source nat. Ибо, де-факто идет шаринг и ремапинг (трансляция) исходящих TCP и UDP портов между многочисленными адресами локального пула, в ограниченный глобальный пул.
Так что по большей части вы говорите об одном и том же. Слегка вся эта путаница исходит из терминов того или иного вендора, но на понимание концепции совершенно никак не влияет. Достигается лишь опытом.
Из собственного опыта 10-летней давности скажу, например, у Checkpoint и Cisco отличаются взгляды на проблему NAT, да и вообще подходы к решению определенных задач. Тогда еще новичку, у которого за плечами элементарный CCNP и пара лет ковыряния в Микротиках, мне сильно не везло в обсуждении NAT со специалистом (аудитор IT безопасности), т.к. Циски в его аудитах были представлены очень слабо, основной упор делался на Чекпоинты и Джуниперы.
Таким же образом подтипом динамического NAT является и тот, что вы называете source nat. Ибо, де-факто идет шаринг и ремапинг (трансляция) исходящих TCP и UDP портов между многочисленными адресами локального пула, в ограниченный глобальный пул.
Так что по большей части вы говорите об одном и том же. Слегка вся эта путаница исходит из терминов того или иного вендора, но на понимание концепции совершенно никак не влияет. Достигается лишь опытом.
Из собственного опыта 10-летней давности скажу, например, у Checkpoint и Cisco отличаются взгляды на проблему NAT, да и вообще подходы к решению определенных задач. Тогда еще новичку, у которого за плечами элементарный CCNP и пара лет ковыряния в Микротиках, мне сильно не везло в обсуждении NAT со специалистом (аудитор IT безопасности), т.к. Циски в его аудитах были представлены очень слабо, основной упор делался на Чекпоинты и Джуниперы.
Если вы почитаете внимательно документацию по Cisco, то увидите, что dynamic NAT и PAT — это разные вещи. Да, бывает Dynamic NAT with overload (PAT), бывает без.
Но вещи суть разные
Но вещи суть разные
А я и не говорил, что это одно и то же, если вы посмотрите внимательно, я написал о «подтипах», поясню подробнее.
1. Есть Dynamic NAT — n адресов транслируются в m других адресов, в случае n>m n-m = количество хостов, оставшихся без трансляции
2. Есть Dynamic NAT w/overload — n адресов транслируется в m других адресов, при этом все адреса будут транслированы т.к. используется замена SRC портов в TCP/UDP датаграммах, т.е. PAT
В контексте DstNAT ничего не меняется, всё те же принципы. И если уж совсем придираться к терминологии, то NAT это не обязательно серые-в-белые)
Еще раз повторюсь, valerylinkov, думаю, понял основной принцип, который не изменится, назови ты его PAT или S-NAT, а, может, еще как-то.
1. Есть Dynamic NAT — n адресов транслируются в m других адресов, в случае n>m n-m = количество хостов, оставшихся без трансляции
2. Есть Dynamic NAT w/overload — n адресов транслируется в m других адресов, при этом все адреса будут транслированы т.к. используется замена SRC портов в TCP/UDP датаграммах, т.е. PAT
В контексте DstNAT ничего не меняется, всё те же принципы. И если уж совсем придираться к терминологии, то NAT это не обязательно серые-в-белые)
Еще раз повторюсь, valerylinkov, думаю, понял основной принцип, который не изменится, назови ты его PAT или S-NAT, а, может, еще как-то.
Ну вот вы пишете
что есть неправда, потому что циска разделяет static nat, dynamic nat и PAT (он же nat overload, он же маскарадинг). Да, dynamic nat может быть с overload (как я уже говорил), но это разные операции (собственно, у всех вендоров различают src-nat в адрес (пул адресов) и masquerade в интерфейс).
Но в целом спор будет о терминах больше, а он бесполезен.
В терминах Циски то, что вы называете «Динамический NAT» как раз и есть PAT,
что есть неправда, потому что циска разделяет static nat, dynamic nat и PAT (он же nat overload, он же маскарадинг). Да, dynamic nat может быть с overload (как я уже говорил), но это разные операции (собственно, у всех вендоров различают src-nat в адрес (пул адресов) и masquerade в интерфейс).
Но в целом спор будет о терминах больше, а он бесполезен.
Создадим на этом-же роутере access лист для того, чтобы роутер «понимал» что ему маршрутизировать.
чтобы роутер понимал какие адреса ему НАТить. маршрутизировать бы он их стал и без ACL
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Что такое PAT? Лабораторная работа в Packet Tracer