Содержание:
NAT (Network Address Translation, трансляция сетевых адресов) — это функция для изменения IP-адреса во время передачи пакетов Ethernet через маршрутизатор. Чаще всего используется для подключения устройств в локальной сети к сети Интернет, но может использовать и для других целей.
Всего есть 4 типа NAT:
Самый простой для понимания тип NAT, но и наименее полезный. В случае статического NAT каждому внутреннему IP адресу присваивается уникальный внешний IP адрес.
Пример статического NAT и сетевые настройки:
На картинке ниже ПЛК с локальным IP 192.168.127.1 присвоен внешний постоянный IP 10.0.0.1, по которому он всегда будет доступен из глобальной сети WAN.
Настройка сетевого адаптера на ПЛК:
IP: 192.168.127.1
Mask: 255.255.255.0
Gateway: 192.168.127.254
Обратите внимание, так как сообщение отправляется в другую подсеть, на ПЛК обязательно указывать Шлюз по умолчанию. В качестве MAC-адреса получателя ПЛК ставит адрес шлюза. При этом IP-адрес получателя в пакете остаётся 192.168.126.1.
Настройка маршрутизатора:
На маршрутизаторе создаем WAN интерфейс, через который он будет подключаться к внешней сети.
Внешний адрес WAN-интерфейса: 10.0.0.1
LAN интерфейс: 192.168.127.254
IP веб-интерфейса маршрутизатора: 192.168.127.254
Правило NAT на маршрутизаторе будет таким:
Для исходящих соединений – заменить внутренний адрес 192.168.127.1 на внешний 10.0.0.1
Для входящих соединений – переслать пакеты с адресом 10.0.0.1 на внутренний 192.168.127.1
Вот так происходит подмена IP адресов:
Особенности 1-1 NAT:
Пример настройки правил NAT на двух маршрутизаторах EDR-G903:
Bidirectional NAT является разновидностью обычного NAT 1-1 и позволяет организовать связь между разными подсетями без указания Основного шлюза в настройках сетевого адаптера.
На некоторых устройствах нельзя прописать основной шлюз по умолчанию в настройках сетевого адаптера. Как быть, если нужно соединить такое устройство с другой подсетью через маршрутизатор? В этом случае на помощь приходит Bidirectional NAT.
Вот как настраивается правило Bidirectional NAT на маршрутизаторе EDR-810:
Разница между обычным 1-1 NAT и Bidirectional NAT заключается в простом нюансе: в первом случае устройство знает, что существуют другие подсети, и для выхода на них использует шлюз умолчанию с дальнейшей подменой адресов на роутере; во втором случае устройство «обмануто» и думает, что общается внутри своей подсети. Логично, что Bidirectional NAT используется для более старых или простых приборов, а обычный 1-1 NAT работает с более умными устройствами.
В случае NAT N-к-1 через один внешний IP адрес в сеть могут выходить десятки и сотни устройств, находящиеся за NAT. Такой подход помогает экономить дефицитные IP адреса v4. Можно иметь до 65 535 одновременных активных соединений через один и тот же адрес.
Также технология позволяет скрыть реальный IP адрес и порт устройств и приложений за NAT, что повышает безопасность.
Ограничение N-1 NAT:
Главным минусом и в то же время плюсом (в зависимости от задач) этой технологии является то, что она не позволяет иметь доступ извне к внутренним узлам. Все соединения должны быть инициированы изнутри, т.е. инициатором связи всегда является устройство за NAT. Невозможно установить связь с устройством из внешней сети.
Как мы видим, роутер метит информацию от компьютеров из внутренней сети при помощи портов на 4 уровне модели OSI: он запоминает сопоставление внутренних портов источника (до WAN) и вновь сгенерированных внешних (после WAN). Когда приходят разные ответы, то, хоть они и поступают на один и тот же IP-адрес WAN-порта, роутер безошибочно распределяет их по правильным компьютерам согласно этому сопоставлению.
Проброс портов позволяет указать, что все запросы, приходящие на конкретный внешний адрес и конкретный порт маршрутизатора, должны быть перенаправлены на конкретный внутренний адрес и порт получателя.
Требуется, если TCP-сервер находится за NAT или для подключения UDP, инициированного извне. То есть, Port Forward позволяет обойти ограничение NAT N-к-1.
Функция проброса портов NAT является одним из способов подключения из внешней незащищенной зоны (WAN) во внутреннюю защищенную зону (LAN). Пользователь может инициировать подключение из внешней сети к внутренней сети, но не сможет инициировать подключение из внутренней сети к внешней сети.
Внимание: будьте осторожны, используя проброс портов в Интернет! Если злоумышленники узнают IP-адрес и TCP/UDP-порт вашего устройства, то они смогут получить к нему доступ из любой точки мира! Прежде, чем настраивать проброс портов в открытом доступе, лучше заранее подумать обо всех необходимых мерах по кибербезопасности.
Промышленные маршрутизаторы MOXA серии EDR
Модель | ![]() |
![]() |
![]() |
---|---|---|---|
EDR-G903 | EDR-G902 | EDR-810 | |
Требования | Двойное резервирование WAN | Защита между WAN and LAN | Защищенный маршрутизатор с функциями управляемого коммутатора L2; несколько портов для подключения устройств |
Порты | 2 WAN (Комбо) 1 LAN (Комбо) |
1 WAN (Комбо) 1 LAN (RJ45) |
1 WAN 15 LAN (оптика по SFP или RJ45) |
Пропускная способность | 40,000 fps | 25,000 fps | 10,000 fps |
Firewall/NAT | 512 / 256 правил | 256 / 128 правил | 256 / 128 правил |
VPN | 100 IPSec туннелей | 50 IPSec туннелей | 10 IPSec туннелей |
Резервирование WAN | 2 независимых WAN | — | — |
DMZ (демилитаризованная зона) | 1 | — | — |
Если у Вас есть вопросы по продукции МОХА, обращайтесь по телефону: +7 (495) 419-1201 или по e-mail: russia@moxa.pro