Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
50
Rozdział2:Planowanieusługinfrastruktury
ZewnętrznyadresjestmaskowanypoprzezstosowanieXORadresuzewnętrznego
z0xffffffff.NaprzykładutajnionawersjapublicznegoadresuIPv4131.107.0.1wforma-
cieszesnastkowymporozdzielanymdwukropkamito7c94:fffe(131.107.0.1równasię
0x836b0001,a0x836b0001XOR0xffffffffrównasię0x7c94fffe).Maskowaniezewnętrz-
negoadresuzapobiegaichtłumaczeniuprzezNATwewnątrzładunkupakietów.
Przyjrzyjmysięprzykładowi.NorthwindTradersużytkujeobecnienastępującesieci
prywatneIPv4wcentraliibiurachoddziałowych:
nCentrala:10.0.100.0/24
nOddział1:10.0.0.0/24
nOddział2:10.0.10.0/24
nOddział3:10.0.20.0/24
FirmachceustanowićpołączeniaIPv6pomiędzyklientamiTeredoiinnymiklientami
TeredoorazpomiędzyTeredoihostamistosówIPv6.ObecnośćserwerówTeredowsieci
InternetuIPv4pozwalanastworzenietakiejkomunikacji.SerwerTeredojestwęzłemIPv6/
IPv4podłączonymdoobusieciInternetuIPv4iIPv6,obsługującyminterfejstunelowania
Teredo.AdresyTeredosieciNorthwindTraderszależąodwieluczynników,takichjakport
irodzajużywanegoserweraNAT,leczmogłybybyćnastępujące:
nCentrala:2001::ce49:7601:e866:efff:f5ff:9bfedo2001::0a0a:64fe:e866:efff:f5ff:9b01
nOddział1:2001::ce49:7601:e866:efff:f5ff:fffedo2001::0a0a:0afe:e866:efff:f5ff:ff01
nOddział2:2001::ce49:7601:e866:efff:f5ff:f5fedo2001::0a0a:14fe:e866:efff:f5ff:f501
nOddział3:2001::ce49:7601:e866:efff:f5ff:ebfedo2001::0a0a:1efe:e866:efff:f5ff:ebfe
Zauważmy
,że,dlaprzykładu,10.0.100.1jestodpowiednikiem0a00:6401,a0a00:6401
zzastosowanymXORzffff:fffftof5ff:9bfe.
StożkowatranslacjanazwNAT
StożkowatranslacjanazwNATobejmujetrzygłównerodzaje:fullcone(pełnysto-
żek),restrictedcone(ograniczonystożek)orazportrestrictedcone(stożekzograni-
czonymiportami).WprzypadkuFullconeNATwszystkieżądaniaztegosamego
wewnętrznegoadresuIPiportusąmapowanedotegosamegozewnętrznegoadresu
IPiportu.Ponadtodowolnyzewnętrznyhostmożewysłaćpakietdowewnętrznego
hosta,wysyłającgonamapowanyadreszewnętrzny
.
WprzypadkuRestrictedconeNATwszystkieżądaniaztegosamegowewnętrznego
adresuIPiportusąmapowanedotegosamegozewnętrznegoadresuIPiportu,
leczzewnętrznyhostmożewysłaćpakietdowewnętrznegohostatylkowtedy
,gdy
wewnętrznyhostwysłałwcześniejpakietdotegozewnętrznegohosta.
WprzypadkuPort-restrictedconeNATograniczeniedotyczynumerówportów.
ZewnętrznyhostzkonkretnymadresemIPorazportemźródłowymmożewysłać
pakietdowewnętrznegohostatylkowówczas,gdywewnętrznyhostwysłałwcze-
śniejpakietnatenadresIPiport.
