Static NAT ו-Dynamic NAT

Static NAT ו-Dynamic NAT הם הגדרות NAT אשר משתמשים בהם בעולם העסקי. לפני שניגש לנושא, לאלה שהפסידו, אני ממליץ בחום לקרוא את הפרק על PAT.

Static NAT
Static NAT היא הגדרה אשר מסייעת לנו כאשר יש לנו שרת (דואר, קבצים, web וכו') אשר אנחנו רוצים לתת לו גישה בלעדית. באופן כללי ניתן לרכוש מהספקית כתובות IP חוקיות ולהגדיר לשרת שלנו כתובת IP חוקית ללא תרגום – בכך ולמנוע את הטרחה הקשורה ב-NAT. אולם, לעיתים ישנם אילוצים שמונעים מאיתנו את האפשרות הזו (למשל כאשר יש לנתב שלנו רק שני כרטיסי רשת שלא ניתן להגדיר להם secondary)

בתמונה מתואר רשת של בית עסק שבו נשתמש ב-PAT וגם ב-Static NAT:
static.JPG

נסביר את התמונה:

יש לנו רשת של מחשבים שכתובתם נע בין 192.168.0.100 ל-192.168.0.199.

יש לנו שרת ברשת וכתובתו היא 192.168.0.1. על השרת הזה יש אתר אינטרנט, קבצים ושרת דואר.

לנתב שלנו (העיגול הכחול עם החצים) יש כרטיס רשת שפונה פנימה, לרשת הפנימית והלא חוקית, שכתובתו 192.168.0.254.

בנוסף, לנתב שלנו יש כרטיס רשת שפונה החוצה, שמחבר את העסק לאינטרנט. כתובת ה-IP שמוגדרת על כרטיס הרשת היא 88.104.86.2.

אם נשים לב, נראה כי לאחר הכתובת IP של כרטיס הרשת שפונה לאינטרנט מופיע /29. הסימון /29 מציין כי בית העסק שלנו רכש מספקית האינטרנט 8 כתובות IP חוקיות (88.104.86.0 עד 88.104.86.7). כפי שציינתי בעבר, כתובת IP אחת מייצגת את הרשת בין העסק לספקית האינטרנט (88.104.86.0), כתובת אחת עבור ה-broadcast (רשימת התפוצה, 88.104.86.7), כתובת אחת מייצגת את הספקית (88.104.86.1) והיא גם ה-Default gateway של הנתב (מבחינת העסק, 88.104.86.1 הוא השער לאינטרנט). כלומר, לעסק שלנו יש בעצם 5 כתובות שהוא יכול להשתמש בהם (מתוכם אחת מנוצלת לכתובת של הנתב: 88.104.86.2). כעת, ברצוננו להגדיר שהכתובת 88.104.86.3 תייצג את השרת שלנו באמצעות NAT. מה נגדיר?

א. נגדיר PAT על הרשת 192.168.0.100-199 באמצעות הכתובת 88.104.86.2. מבחינת האינטרנט, המחשבים ברשת הפנימית ייראו כאילו שהם יצאו מכתובת זו.

ב. נגדיר Static NAT על השרת (192.168.0.1) באמצעות הכתובת 88.104.86.3.

כעת, אם ניגש לכתובת 88.104.86.3 בפורט 80, נגיע לנתב, בטבלת ה-NAT בנתב יהיה רשום ש:
"192.168.0.1 = 88.104.86.3 בכל פורט"
והנתב שלנו ינתב את התקשורת לכתובת 192.168.0.1. מסיבה זו Static NAT הוא One-to-One NAT. מכאן, השרת שלנו יחזיר תשובה ל-192.168.0.254 (הנתב) שיתרגם את כתובת המקור ל-88.104.86.3.

בנתב סיסקו ההגדרות ייראו כך.

Dynamic NAT
Dynamic NAT מאוד דומה ל-PAT. ההבדל הוא בגודל הרשת הפנימית שלנו. ברשת של עסק ענק יתכן ויהיו יותר מידי מחשבים ולא נוכל לתרגם את כל הפורטים של כל המחשבים על כתובת IP אחת. הסיבה היא שבכל IP יש כ-65,000 פורטים וכל מחשב בד"כ משתמש ביותר מפורט אחד. Dynamic NAT מציע לתרגם את הרשת הלא חוקית למספר כתובות חוקיות (בניגוד ל-PAT שבו יש כתובת חוקית אחת). מסיבה זו, Dynamic NAT הוא Many-to-Many NAT.

בנתב סיסקו ההגדרות ייראו כך.

<<לעמוד הקודם ראשי פרקים לעמוד הבא>>

15 תגובות to “Static NAT ו-Dynamic NAT”

  1. דני Says:
    אפריל 24, 2010 ב- 10:18 am | להגיב

    ראשית, תודה על המדריך.

    יש לי שאלה, למה אם רוכשים פול של 8 כתובות נשאר לנו רק 5 כתובות? כתובת אחת הולך לנתב, את זה הבנתי. אבל לאן הולכות שתי הכתובות האחרות? מה זה רשומת תפוצה וייצוג הספקית? למה כשמקבלים IP אחת מהספקית לא צריך עוד 2 כתובות אחת לרשומת תפוצה ואחת לייצוג הספקית. בקיצור מה זה אומר?

    תודה רבה 🙂

    • mymodemsux2 Says:
      אפריל 24, 2010 ב- 4:50 pm | להגיב

      ניקח לדוגמה את הפול 1.1.1.0/29.
      הכתובות שיש לרשותנו הם 1.1.1.0-1.1.1.7.
      0 – הוא השם של הרשת. כאשר נתבים יירצו לתאר את הפול שהקצו לך, הם יקראו לפול שלך בשם של הכתובת הראשונה.
      7 – הוא הכתובת של כל המחשבים ברשת. כלומר, מידע שישלח ל-1.1.1.7, יישלח בפועל לכל ציוד שנמצא בפול (1 עד 6).

      עד פה תיארתי תקן. זה לא נתון לבחירה.

      בנוסף, אם שמת מחשבים ברשת, והקצת להם את הפול, אתה צריך לשים ברשת הזו גם נתב בשביל שיוציא אותם לאינטרנט, נכון?
      אם אלו כתובות ה-LAN, אתה צריך להקצות כתובת לנתב שלך.
      אם אלו כתובות ה-WAN, אתה צריך להקצות כתובת לנתב של ספקית האינטרנט.

      כלומר, בסופו של דבר, נותרו לך 5 כתובות שאתה יכול להקצות אותם למחשבים (או לכל ציוד קצה אחר כמו טלפוני IP, מצלמות וכו')

  2. דני Says:
    אפריל 24, 2010 ב- 5:22 pm | להגיב

    האמת שלא הבנתי עדיין מהתשובה שלך, אבל אני ינסה להתעמק לאחר מכן ואולי אבין. לא הבנתי למשל
    1) למה הנתבים צריכים לבזבז IP כדי לתאר את הפול שלי, למה שלא יקבלו את טווח הכתובות בצורה כזו 111.0-111.7?
    2) למה צריך את הכתובת 7 כדי לתאר את כל המחשבים ברשת, הרי ברגע ששולחים ל-IP של הרגל החיצוני של הראוטר, הראוטר עצמו כבר מנתב את המידע לפי ה-NAT. או שאנשים ישלחו לפי מספר IP של הציוד, ולמה לשלוח מידע לכל הציוד במכה?

    יש מצב שאתה מראה לי את הדברים בדיאגרמה?

    עכשיו יש לי עוד שאלה, למה שמישהו ירצה כתובת IP למצלמה שלו אם הוא יכול פשוט להשתמש ב-NAT ולהפנות את הפורט הרלוונטי למצלמה.

  3. mymodemsux2 Says:
    אפריל 24, 2010 ב- 8:24 pm | להגיב

    1. זה פשוט התקן. כתובת זו שמורה עבור הנתבים, כדי לתאר את הפול כולו. עבור החלטות ניתוב.

    2. Broadcast מאפשר התייעלות. תחשוב על ההבדל בין ווקי טוקי לבין רדיו. אם היית רוצה לשדר הודעה לכולם. מה היית עושה אם היה לך רק ווקי טוקי? ואם כולם במילא מאזינים לרדיו? לפרטים נוספים:
    http://learn-networking.com/network-design/how-a-broadcast-address-works

    לגבי תרשים: התרשים בראש הדף מתאר בדיוק את מה שאני כותב

  4. דני Says:
    מאי 1, 2010 ב- 2:13 pm | להגיב

    הבנתי כבר (נעזרתי בחומר קריאה נוסף באינטרנט :))

  5. אריאל Says:
    יולי 30, 2010 ב- 4:24 pm | להגיב

    אני לא הבנתי את ההסבר שלכם במלואו
    אני יביא דוגמא:
    ראוטר+2 מחשבים ביתיים , משתמש בכתובת IP אחד במצב נורמלי , בשביל הראוטר ושני המחשבים עושים NAT ,
    עכשיו אם יש לי נגיד רשת של 5 מחשבים ואני מעוניין שכל מחשב יהיה עם IP אחר אז בעצם אני צריך 6 כתובת , חמש בשביל מחשבים ואחד בשביל הראוטר ולא הבנתי לאן נעלמו לי 2 כמו שאמרת…

  6. mymodemsux2 Says:
    יולי 30, 2010 ב- 4:35 pm | להגיב

    דבר ראשון, כתובות ניתנות בחזקה של שתיים. לא ניתן לבקש מהספקית 6 כתובות או 10 כתובות.

    בכל טווח של כתובות, עפ"י התקן היום, יש שני כתובות מבוזבזות:
    1. כתובת רשת
    2. כתובת broadcast

    אני ממליץ לך לקרוא את שאר התגובות ולהרחיב בנושא בגוגל. כל נושא ה-subnetting הוא תחום בפני עצמו והוא מחוץ לטווח המאמר הזה.

  7. מור Says:
    נובמבר 18, 2012 ב- 5:26 pm | להגיב

    כלל הנושאים המוסברים פה על NETWORKING/SYSTEM מעולים !! תודה רבה, עוזר מאד להשלים תמונה כללית ומעבר לכך

  8. willow Says:
    אוקטובר 1, 2015 ב- 5:55 pm | להגיב

    נתקלתי בפוסט הזה רק עכשיו והוא באמת מצויין. השאלה שלי היא למה באמת נשארים לך 4 כתובות? הרי אחד הולך לרשת, אחד לברודקאסט, אחד לכתובת ה- DG שלך (לראוטר) ואחד לצד השני כלומר לספק.

    אפילו בהסבר שלך אתה אומר את זה: כתובת אחת הולכת לספק (1.) וכתובת אחת לראוטר (2.) – כך שיש לך רק 4 כתובות ולא 5..:)

    • mymodemsux2 Says:
      אוקטובר 1, 2015 ב- 10:35 pm | להגיב

      כמו שכתבתי:

      (מתוכם אחת מנוצלת לכתובת של הנתב…

      כולל הנתב – 5. לא כולל – 4

      • willow klan Says:
        אוקטובר 1, 2015 ב- 11:04 pm | להגיב

        היי, לא רציתי לכתוב את זה בדף עצמו אבל יש לך טעות בהסבר על ה- NAT. אני לא יודע אם המייל הזה טוב ל REPLY אז אני לא אתחיל לפרט כאן שעה מה הטעות ובסוף זה בכלל לא יגיע… אם תציין שהמייל תקין אשמח לפרט. תודה על התשובה

  9. צבי Says:
    נובמבר 28, 2015 ב- 10:34 am | להגיב

    .

  10. אורן Says:
    מרץ 25, 2016 ב- 9:54 am | להגיב

    בצילומי המסך של נתב הסיסקו, כתוב שהקבוצה נקראת ACCESS-LIST 1 (או 2 בדוגמא השנייה)
    אבל בהגדרת הNAT כתוב SOURCE LIST 1 .
    האם מדובר בשגיאת כתיב ? או שכך מוגדר המינוח הנכון של קבוצה בהגדרה של הNAT ?

    • mymodemsux2 Says:
      מרץ 30, 2016 ב- 1:37 pm | להגיב

      אתה שואל למה מגדירים access-list ואח"כ מתייחסים לאותו access-list בשם source list? אין לי הסבר חכם. ה-CLI (ממשק) לא תמיד עיקבי. הרבה פעמים הפקודות יקראו ל-access-list בשמות כאלה ואחרים (access-group למשל)

כתיבת תגובה