По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Изначально разработанный для Unix-систем grep, является одной из наиболее широко используемых утилит командной строки в среде Linux.
grep расшифровывается как "глобальный поиск строк, соответствующих регулярному выражению и их вывод" (globally search for a regular expression and print matching lines). grep в основном ищет на основе указанного посредством стандартного ввода или файла шаблона, или регулярного выражения и печатает строки, соответствующие заданным критериям. Часто используется для фильтрации ненужных деталей при печати только необходимой информации из больших файлов журнала.
Это возможно благодаря совместной работе регулярных выражений и поддерживаемых grep параметров.
Здесь мы рассмотрим некоторые из часто используемых сисадминами или разработчиками команд grep в различных сценариях.
Синтаксис grep
Команда grep принимает шаблон и необязательные аргументы вместе со перечислять файлов, если используется без трубопровода.
$ grep [options] pattern [files]
Простой пример:
$ grep my file.txt
my_file
1. Поиск среди нескольких файлов
grep позволяет выполнять поиск заданного шаблона не только в одном, но и среди нескольких файлах. Для этого можно использовать подстановочный символ *.
$ sudo grep -i err /var/log/messages
Как видно из вывода, утилита перед результатом искомого шаблона выводит также название файла, что позволяет определить где именно было найдено совпадение.
2. Регистронезависимый поиск
grep позволяет искать шаблон без учета регистра. Чтобы указать grep игнорировать регистр используется флаг –i.
$ grep -i [pattern] [file]
3. Поиск слова
Иногда появляется необходимость поиска не части, а целого слова. В таких случаях утилита запускается с флагом -w.
$ grep -w [pattern] [file]
4. Вывод количества совпадений
Не всегда нужно выводить результат совпадения. Иногда достаточно только количества совпадений с заданным шаблоном. Эту информацию мы можем получить с помощью параметра -c.
$ grep -c [pattern] [file]
5. Поиск в поддиректориях
Часто необходимо искать файлы не только в текущей директории, но и в подкаталогах. grep позволяет легко сделать это с флагом -r.
$ grep -r [pattern] *
6. Инверсивный поиск
Если вы хотите найти что-то, что не соответствует заданному шаблону, grep позволяет сделать только это с флагом -v.
$ grep -v [pattern] [file]
Можно сравнить выходные резултаты grep для одного и того же шаблона и файла с флагом -v и без него. С параметром -v выводятся любые строки, которые не соответствуют образцу.
7. Вывод нумерации строк
grep позволяет нумеровать совпавшие строки, что позволяет легко определить, где строка находится в файле. Чтобы получить номера строк в выходных данных. используйте параметр –n:
$ grep -n [pattern] [file]
8. Ограничение вывода
Результат вывода grep для файлов вроде журналов событий и т.д. может быть длинным, и вам может просто понадобиться фиксированное количество строк. Мы можем использовать -m [num], чтобы ограничить выводимые строки.
$ grep -m[num] [pattern] [file]
Обратите внимание, как использование флага -m влияет на вывод grep для одного и того же набора условий в примере ниже:
9. Вывод дополнительных строк
Часто нам нужны не только строки, которые совпали с шаблоном, но некоторые строки выше или ниже их для понимания контекста.
С помощью флагов -A, -B или -C со значением num можно выводить строки выше или ниже (или и то, и другое) совпавшей строки. Здесь число обозначает количество дополнительных печатаемых строк, которое находится чуть выше или ниже соответствующей строки. Это применимо ко всем совпадениям, найденным grep в указанном файле или списке файлов.
$ grep -A[num] [pattern] [file]
$ grep -B[num] [pattern] [file]
$ grep -C[num] [pattern] [file]
Ниже показан обычный вывод grep, а также вывод с флагом -A, -B и -C один за другим. Обратите внимание, как grep интерпретирует флаги и их значения, а также изменения в соответствующих выходных данных. С флагом -A1 grep печатает 1 строку, которая следует сразу после соответствующей строки.
Аналогично, с флагом -B1 он печатает 1 строку непосредственно перед соответствующей строкой. С флагом -C1 он печатает 1 строку, которая находится до и после соответствующей строки.
10. Вывод списка файлов
Чтобы напечатать только имя файлов, в которых найден образец, а не сами совпадающие строки, используйте флаг -l.
$ grep -l [pattern] [file]
11. Вывод абсолютных совпадений
Иногда нам нужно печатать строки, которые точно соответствуют заданному образцу, а не какой-то его части. Флаг -x grep позволяет делать именно это.
$ grep -x [pattern] [file]
В приведенном ниже примере файл file.txt содержит строку только с одним словом «support», что соответствует требованию grep с флагом –x. При этом игнорируются строки, которые могут содержать слова «support» с сопутствующим текстом.
12. Поиск совпадения в начале строки
С помощью регулярных выражений можно найти последовательность в начале строки. Вот как это сделать.
Обратите внимание, как с помощью символ каретки ^ изменяет выходные данные. Символ каретки указывает grep выводить результат, только если искомое слово находится в начале строки. Если в шаблоне есть пробелы, то можно заключить весь образец в кавычки.
13. Поиск совпадения в конце строки
Другим распространенным регулярным выражением является поиск шаблона в конце строки.
$ grep [options] "[string]$" [file]
В данном примере мы искали точку в конце строки. Поскольку точка . является значимым символом, нужно её экранировать, чтобы среда интерпретировала точку как команду. Обратите внимание, как изменяется вывод, когда мы просто ищем совпадения . и когда мы используем $ для указания grep искать только те строки, которые заканчиваются на . (не те, которые могут содержать его где-либо между ними).
14. Использования файла шаблонов
Могут возникнуть ситуации, когда у вас есть сложный список шаблонов, которые вы часто используете. Вместо записи его каждый раз можно указать список этих образцов в файле и использовать с флагом -f. Файл должен содержать по одному образцу на каждой строке.
$ grep -f [pattern_file] [file_to_match]
В нашем примере мы создали файла шаблона с названием pattern.txt со следующим содержимым:
Для его использования используйте флаг -f.
15. Поиск по нескольким шаблонам
grep позволяет задать несколько шаблонов с помощью флага -e.
$ grep -e [pattern1] -e [pattern2] -e [pattern3]...[file]
16. Указание расширенных регулярных выражений
grep также поддерживает расширенные регулярные выражения (Extended Regular Expressions – ERE) или с использованием флага -E. Это похоже на команду egrep в Linux.
Использование ERE имеет преимущество, когда вы хотите рассматривать метасимволы как есть и не хотите экранировать их. При этом использование -E с grep эквивалентно команде egrep.
$ grep -E '[Extended RegEx]' [file]
Ниже приведён пример использование ERE, для вывода не пустых и не закомментированных строк. Это особенно полезно для поиска чего-то в больших конфигурационных файлах. Здесь дополнительно использован флаг –v, чтобы НЕ выводить строки, соответствующих шаблону '^ (# | $)'.
Заключение
Приведенные выше примеры являются лишь верхушкой айсберга. grep поддерживает ряд вариантов и может быть очень полезным инструментом в руке человека, который знает, как его эффективно использовать. Мы можем не только использовать приведенные выше примеры, но и комбинировать их различными способами, чтобы получить то, что нам нужно.
Для получения дополнительной информации можно воспользоваться встроенной системой справки Linux – man.
VMware является лидером в области технологий виртуализации и облачных вычислений и предоставляет решения для виртуализации сетей и настольных ПК. VMware изменила мир технологий с физического на виртуальный на основе программного обеспечения.
Благодаря внедрению виртуальной среды для консолидации аппаратной инфраструктуры на рынке день ото дня растёт необходимость в профильных экспертах. Для управления и обслуживания бизнеса организации требуется опытный персонал. Для выбора лучших талантов на рынке проводятся несколько технических собеседований.
Ниже приведены некоторые основанные на сценариях вопросы и ответы опытных ИТ-администраторов (опыт работы до 5 лет) по технологии виртуализации центров обработки данных, которые могут быть использованы для оценки технических и практических знаний кандидата.
1. Администратор хочет подключить к ESXi хосту непосредственно с веб-клиента vSphere. Какие порты нужно открыть?
Обычно веб-клиент vSphere используется для подключения к серверу vCenter, а VClient - для подключения к хостам ESXi. Но vSphere Web Client также может использоваться для подключения к хостам. Для этого потребуется открыть порты TCP 443, TCP и UDP 902, а также TCP 903, которые должны быть открыты из Security Profile.
2. Неверное время на хосте ESXi 6.x. Что должен сделать администратор для устранения этой проблемы?
Чтобы исправить время на хосте ESXi, нужно изменить время хоста с помощью клиента vSphere и подправить настройки NTP в файле /etc/ntp.conf.
3. Администратор хочет завершить работу хоста ESXi. Какой параметр должен использоваться в Direct Console User Interface (DCUI) для выполнения этой задачи?
Для завершения работы хоста из консоли (DCUI) администратор нажимает клавишу F12.
4. Администратор подключается к хосту ESXi через vCenter Server с помощью веб-клиента vSphere, но напрямую через VClient не может. Что он должен сделать для прямого доступа к хосту ESXi?
Если хост ESXi, доступен через vSphere Web Client, и не доступен напрямую, следует проверить не включена ли блокировка (Lockdown). Если включена, нужно его отключить. Поскольку при включённой функция блокировки доступ к хостам ESXi возможен только через сервер vCenter; получить прямой доступ ни к одному хосту невозможно.
5. Администратор хочет использовать центр сертификации VMware (VMCA) в качестве промежуточного центра сертификации (Intermediate CA). Он уже заменил корневой сертификат и сертификаты машин (Intermediate CA). Что ему делать дальше?
После замены корневого сертификата и сертификата машины (Intermediate CA) необходимо выполнить следующие два шага:
Замена Solution User Certificate (Intermediate CA)
Замена сертификата службы каталогов VMware.
6. Если на хосте ESXi включен режим строгой блокировки, какое действие должен выполнить администратор, чтобы пользователям с правами администратора разрешить доступ к оболочке ESXi или SSH?
Администратор должен добавить пользователей в список исключений и включить службу, чтобы разрешить доступ к оболочке ESXi или SSH.
7. SSO является важным компонентом сервера vCenter. Какой компонент SSO выдает токены SAML (Security Assertion Markup Language)?
Токены SAML предоставляет компонент VMware Security Token Service службы SSO.
8. Какой допустимый источник удостоверений используется для настройки SSO vCenter?
Допустимым источником удостоверений для настройки vCenter SSO является OpenLDAP.
9. Что происходит с файлами в общем хранилище при удалении библиотеки компонентов?
При удалении библиотеки компонентов все хранящиеся в ней файлы будут удалены.
10. Какое максимальное количество процессоров vCPU может быть выделено для виртуальной машины в vSphere 6.0?
Для виртуальной машины vSphere 6.0 может быть выделено не более 128 vCPU.
11. Пользователь домена Windows может войти в систему vSphere с помощью веб-клиента vSphere. Каковы требования к доступности и функциональности этой функции?
Администратор может разрешить пользователям входить в vSphere Web Client используя сеанс Windows. Для этого нужно установить подключаемый модуль браузера vSphere Web Client Integration на каждом компьютере, с которого будет выполняться вход пользователя. Пользователи должны войти в Windows с помощью учетных записей Active Directory. Кроме того, администратор должен создать допустимый источник удостоверений SSO для домена пользователей.
12. Администратор хочет клонировать виртуальную машину с помощью клиента vSphere. Чем можно объяснить отсутствие опции Clone в контекстном меню?
Клонирование виртуальной машины может быть выполнена с сервера vCenter, к которому подключены через веб-клиент vSphere или VClient. При прямом подключении к хосту ESXi клонирование виртуальной машины невозможно.
13. Что произойдет, если файл .nvram будет случайно удален из виртуальной машины?
NVRAM-файл используется для сохранения состояния BIOS виртуальной машины. Если он будет удален по какой-либо причине, то файл .nvram будет создан снова при включении виртуальной машины.
14. Администратор хочет подключиться к хосту ESXi 6.x через клиент vSphere 5.5. Что произойдет?
Если администратор попытается подключиться к хосту ESXi 6.x с клиента vSphere 5.5, система предложит администратору запустить скрипт для обновления клиента vSphere.
15. Какой из дополнительных частных сетей VLAN (PVLAN) может отправлять пакеты в изолированную сеть PVLAN?
Неразборчивый тип PVLAN может передавать пакеты в изолированную PVLAN.
16. При установке vCenter какие роли предлагаются по умолчанию?
При установке vCenter предлагаются роли пользователя виртуальной машины и администратора сети.
17. Что произойдет, если для программного хранилища FCoE произойдет ошибка отказа всех путей (APD)?
Если все пути находятся в нерабочем состоянии, на сетевых портах активируется протокол связующего дерева.
18. Какие методы доступны для обновления ESXi 5.x до ESXi 6.x?
Для обновления могут использоваться vSphere Update Manager (VUM), средство командной строки esxcli и vSphere Auto Deployment.
19. Что должен сделать администратор перед обновлением оборудования виртуальной машины?
Перед обновлением оборудования виртуальной машины необходимо создать резервную копию или моментальный снимок виртуальной машины, обновить VMware Tools до последней версии и убедиться, что виртуальная машина хранится в хранилище данных VMFS или NFS.
20. При установке vCenter Single Sign-On не удается выполнить обновление сервера vCenter. Что необходимо сделать для завершения процесса обновления?
Перед обновлением vCenter Server убедитесь, что служба VMware Directory может остановиться, перезапустив ее вручную. Если сервис может быть остановлен вручную, можно запустить процесс обновления сервера vCenter.
21. Какие предварительные условия следует учитывать перед обновлением vCenter Server Appliance?
И в случае повышения категории vCenter Server Appliance (vCSA) и после новой установки будет установлен подключаемый модуль интеграции клиентов (CIP).
22. После развертывания PSC сервер vCenter Server не устанавливается и выдает следующую ошибку:
Could not contact Lookup Service. Please check VM_ssoreg.log. (Не удалось связаться со службой поиска. Проверьте VM_ssoreg.log).
При появлении этой ошибки убедитесь, что часы на хост-компьютерах, на которых работают PSC, vCenter Server и веб-клиент vSphere синхронизированы. Кроме того, убедитесь, что порт 7444 между PSC и сервером vCenter не блокируется межсетевым экраном.
23. Администратор установил Windows Server 2008 и хочет установить на него vCenter Server, но при установке на виртуальную машину Windows произошел сбой?
Для установки vCenter Server требуется 64-разрядная ОС Windows. Если вы попытаетесь установить его в Windows Server 2008 ничего не получится. vCenter Server может быть установлен на ОС Windows Server 2008 R2 или более поздней версии.
24. Какова минимальная версия виртуального оборудования, необходимая для vFlash Read Cache?
vFlash Read Cache был первым в vSphere 5.5, а минимальная версия виртуального оборудования для vSphere 5.5 - 10.
25. Узел ESXi добавлен в vCenter Server, но не отвечает в vSphere Web Client. Какой порт должен быть открыть в брандмауэре?
Если администратор не получает от хоста ESXi 6.x в vCenter Server, проблема вызвана блокировкой трафика сетевым брандмауэром. Поэтому он должен проверить, что порт 902 (UDP) не заблокирован брандмауэром. В случае блокировки включите порт из профиля безопасности с помощью веб-клиента vSphere, выбрав указанный хост ESXi в vCenter Server.
26. Предположим, что виртуальная машина неожиданно выключилась. Какие файлы журналов виртуальной машины следует просмотреть для выявления причины и устранения этой проблемы?
В данном случае администратор должен проверить файлы журнала vmware.log и hostd.log.
27. В чем может быть причина orphaned (осиротевший) состояния виртуальной машины?
Если виртуальная машина находится в состоянии orphaned, это может по причине ошибки в работе функции отказоустойчивости. Виртуальная машина не была зарегистрирована непосредственно на хосте ESXi.
28. При обновлении хоста ESXi 5.5 до ESXi 6.x появляется следующая ошибка: MEMORY_SIZE. Как устранить проблему?
Это указывает на нехватку памяти на хосте ESXi для завершения процесса обновления хоста ESXi с ESXi 5.5 до ESXi 6.x.
29. При удалении хоста из распределенного коммутатора vSphere (vDS) возникает следующее сообщение об ошибке: Ресурс «10» используется (The resource ’10’ is in use)
Перед удалением vDS убедитесь, что сетевые адаптеры VMkernel на vDS не используются. Если используется какой-либо из ресурсов vDS, появится вышеупомянутое сообщение об ошибке с идентификатором ресурса.
30. Администратор хочет захватить и отследить сетевой трафик для виртуальной машины, но не получает ожидаемого трафика в средстве захвата пакетов. Что он должен сделать, чтобы решить проблему?
Если администратору необходимо захватить сетевой трафик для виртуальной машины, он должен включить режим неразборчивости для соответствующей группы портов. Затем можно захватить сетевой трафик с помощью любого инструмента сбора сетевого трафика.
31. Кластер vSAN создается с шестью узлами вместе с доменом отказа, и три из них перемещаются в домен отказа. Один узел отказоустойчивого домена отказал. Что произойдет с оставшимися двумя узлами в домене отказа?
При отказе узла-члена отказоустойчивого домена оставшиеся два узла будут считаться недоступными.
32. На каком уровне строится отказоустойчивый домен vSAN?
Отказоустойчивый домен настроен на уровне кластера vSAN, и узлы будут добавлены в этот домен. Если какой-либо узел-член отказывает по какой-либо причине, остальные члены также будут рассматриваться как отказавшие.
33. Обнаружено, что активность хранилища виртуальных машин на хосте ESXi 6.x негативно влияет на активность хранилища виртуальных машин на другом хосте, который получает доступ к тому же хранилищу данных VMFS. Какие действия могли бы устранить эту проблему?
Для устранения воздействия работы хранилища одной виртуальной машины на работу другой виртуальной машины необходимо включить контроль ввода-вывода хранилища данных (SIOC). Данная технология обеспечивает столь необходимое управление вводом-выводом систем хранения данных и должно использоваться для обеспечения того, чтобы производительность критически важных виртуальных машин не влияла на работу виртуальных машин других хостов, когда возникает конкуренция за ресурсы ввода-вывода.
34. При обновлении хоста ESXi с версии 5.5 до версии 6.0 администратор выполняет следующую команду: esxcli software vib list --rebooting-image. Что делает данная команда?
Эта команда отображает все активные VIB (vSphere Installation Bundle). VIB представляет собой коллекцию файлов, таких как tarball или zip, упакованных в единый архив для облегчения распространения.
35. Какие счетчики будут использоваться для устранения проблем с производительностью ЦП виртуальной машины, чтобы продемонстрировать конкуренцию ЦП?
Для тестирования производительности хоста ESXi в виде памяти, ЦП и использования сети используется средство ESXTOP. Это отличный инструмент, доступный администраторам VMware для устранения проблем с производительностью. Для настройки ESXTOP потребуется vSphere Client, а также должны быть включены сеансы putty и SSH. Для тестирования производительности ЦП используются счетчики %RDY, %MLMTD и %CSTP.
36. Администратор пытается запустить esxtop, включив SSH и используя putty для устранения проблем с производительностью ЦП, но выходные данные не отображаются. Как решить эту проблему?
Для отображения выходных данных в ESXTOP нажмите f и установите звездочку рядом с каждым полем, которое должно отображаться.
37. Администратор хочет отслеживать виртуальные машины на хосте с помощью vCenter Server и отправлять уведомления, когда использование памяти превышает 80%. Что должен сделать администратор на сервере vCenter для выполнения этой задачи?
Для мониторинга использования памяти виртуальной машины и получения уведомления при достижении определённого порога, нужно создать уведомление в vCenter Server и привязать действие по отправке уведомлений по электронной почте.
38. Администратор создал кластер DRS, и он стал несбалансированным. Что может быть причиной этому?
Кластер DRS может стать несбалансированным, когда правила Affinity препятствуют перемещению виртуальных машин. Кроме того, устройство, подключенное к виртуальной машине, предотвращает миграцию с одного хоста на другой.
39. ИТ-администратор настроил два сервера vCenter в пределах PSC и должен предоставить пользователю право доступа ко всем средам. Какой уровень доступа нужно выдать для этого?
Для доступа к нескольким серверам vCenter в пределах PSC требуется глобальное разрешение на доступ ко всем средам.
40. Администратор создал 10 хостов ESXi 6.x с помощью функции автоматического развертывания для нового кластера Test/Dev, и все хосты настроены на получение своего IP-адреса через DHCP. Какой параметр DCUI должен использоваться администратором для продления аренды DHCP для хостов?
Для возобновления аренды DHCP для хостов используется опция «Reset Management Network» в консоли ESXi (DCUI).
232 или 4 294 967 296 IPv4 адресов это много? Кажется, что да. Однако с распространением персональных вычислений, мобильных устройств и быстрым ростом интернета вскоре стало очевидно, что 4,3 миллиарда адресов IPv4 будет недостаточно. Долгосрочным решением было IPv6, но требовались более быстрое решение для устранения нехватки адресов. И этим решением стал NAT (Network Address Translation).
Что такое NAT
Сети обычно проектируются с использованием частных IP адресов. Это адреса 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Эти частные адреса используются внутри организации или площадки, чтобы позволить устройствам общаться локально, и они не маршрутизируются в интернете. Чтобы позволить устройству с приватным IPv4-адресом обращаться к устройствам и ресурсам за пределами локальной сети, приватный адрес сначала должен быть переведен на общедоступный публичный адрес.
И вот как раз NAT переводит приватные адреса, в общедоступные. Это позволяет устройству с частным адресом IPv4 обращаться к ресурсам за пределами его частной сети. NAT в сочетании с частными адресами IPv4 оказался полезным методом сохранения общедоступных IPv4-адресов. Один общедоступный IPv4-адрес может быть использован сотнями, даже тысячами устройств, каждый из которых имеет частный IPv4-адрес. NAT имеет дополнительное преимущество, заключающееся в добавлении степени конфиденциальности и безопасности в сеть, поскольку он скрывает внутренние IPv4-адреса из внешних сетей.
Маршрутизаторы с поддержкой NAT могут быть настроены с одним или несколькими действительными общедоступными IPv4-адресами. Эти общедоступные адреса называются пулом NAT. Когда устройство из внутренней сети отправляет трафик из сети наружу, то маршрутизатор с поддержкой NAT переводит внутренний IPv4-адрес устройства на общедоступный адрес из пула NAT. Для внешних устройств весь трафик, входящий и выходящий из сети, выглядит имеющим общедоступный IPv4 адрес.
Маршрутизатор NAT обычно работает на границе Stub-сети. Stub-сеть – это тупиковая сеть, которая имеет одно соединение с соседней сетью, один вход и выход из сети.
Когда устройство внутри Stub-сети хочет связываться с устройством за пределами своей сети, пакет пересылается пограничному маршрутизатору, и он выполняет NAT-процесс, переводя внутренний частный адрес устройства на публичный, внешний, маршрутизируемый адрес.
Терминология NAT
В терминологии NAT внутренняя сеть представляет собой набор сетей, подлежащих переводу. Внешняя сеть относится ко всем другим сетям.
При использовании NAT, адреса IPv4 имеют разные обозначения, основанные на том, находятся ли они в частной сети или в общедоступной сети (в интернете), и является ли трафик входящим или исходящим.
NAT включает в себя четыре типа адресов:
Внутренний локальный адрес (Inside local address);
Внутренний глобальный адрес (Inside global address);
Внешний местный адрес (Outside local address);
Внешний глобальный адрес (Outside global address);
При определении того, какой тип адреса используется, важно помнить, что терминология NAT всегда применяется с точки зрения устройства с транслированным адресом:
Внутренний адрес (Inside address) - адрес устройства, которое транслируется NAT;
Внешний адрес (Outside address) - адрес устройства назначения;
Локальный адрес (Local address) - это любой адрес, который отображается во внутренней части сети;
Глобальный адрес (Global address) - это любой адрес, который отображается во внешней части сети;
Рассмотрим это на примере схемы.
На рисунке ПК имеет внутренний локальный (Inside local) адрес 192.168.1.5 и с его точки зрения веб-сервер имеет внешний (outside) адрес 208.141.17.4. Когда с ПК отправляются пакеты на глобальный адрес веб-сервера, внутренний локальный (Inside local) адрес ПК транслируется в 208.141.16.5 (inside global). Адрес внешнего устройства обычно не переводится, поскольку он является общедоступным адресом IPv4.
Стоит заметить, что ПК имеет разные локальные и глобальные адреса, тогда как веб-сервер имеет одинаковый публичный IP адрес. С его точки зрения трафик, исходящий из ПК поступает с внутреннего глобального адреса 208.141.16.5. Маршрутизатор с NAT является точкой демаркации между внутренней и внешней сетями и между локальными и глобальными адресами.
Термины, inside и outside, объединены с терминами local и global, чтобы ссылаться на конкретные адреса. На рисунке маршрутизатор настроен на предоставление NAT и имеет пул общедоступных адресов для назначения внутренним хостам.
На рисунке показано как трафик отправляется с внутреннего ПК на внешний веб-сервер, через маршрутизатор с поддержкой NAT, и высылается и переводится в обратную сторону.
Внутренний локальный адрес (Inside local address) - адрес источника, видимый из внутренней сети. На рисунке адрес 192.168.1.5 присвоен ПК – это и есть его внутренний локальный адрес.
Внутренний глобальный адрес (Inside global address) - адрес источника, видимый из внешней сети. На рисунке, когда трафик с ПК отправляется на веб-сервер по адресу 208.141.17.4, маршрутизатор переводит внутренний локальный адрес (Inside local address) на внутренний глобальный адрес (Inside global address). В этом случае роутер изменяет адрес источника IPv4 с 192.168.1.5 на 208.141.16.5.
Внешний глобальный адрес (Outside global address) - адрес адресата, видимый из внешней сети. Это глобально маршрутизируемый IPv4-адрес, назначенный хосту в Интернете. На схеме веб-сервер доступен по адресу 208.141.17.4. Чаще всего внешние локальные и внешние глобальные адреса одинаковы.
Внешний локальный адрес (Outside local address) - адрес получателя, видимый из внутренней сети. В этом примере ПК отправляет трафик на веб-сервер по адресу 208.141.17.4
Рассмотрим весь путь прохождения пакета. ПК с адресом 192.168.1.5 пытается установить связь с веб-сервером 208.141.17.4. Когда пакет прибывает в маршрутизатор с поддержкой NAT, он считывает IPv4 адрес назначения пакета, чтобы определить, соответствует ли пакет критериям, указанным для перевода. В этом пример исходный адрес соответствует критериям и переводится с 192.168.1.5 (Inside local address) на 208.141.16.5. (Inside global address). Роутер добавляет это сопоставление локального в глобальный адрес в таблицу NAT и отправляет пакет с переведенным адресом источника в пункт назначения. Веб-сервер отвечает пакетом, адресованным внутреннему глобальному адресу ПК (208.141.16.5). Роутер получает пакет с адресом назначения 208.141.16.5 и проверяет таблицу NAT, в которой находит запись для этого сопоставления. Он использует эту информацию и переводит обратно внутренний глобальный адрес (208.141.16.5) на внутренний локальный адрес (192.168.1.5), и пакет перенаправляется в сторону ПК.
Типы NAT
Существует три типа трансляции NAT:
Статическая адресная трансляция (Static NAT) - сопоставление адресов один к одному между локальными и глобальными адресами;
Динамическая адресная трансляция (Dynamic NAT) - сопоставление адресов “многие ко многим” между локальными и глобальными адресами;
Port Address Translation (PAT) - многоадресное сопоставление адресов между локальными и глобальными адресами c использованием портов. Также этот метод известен как NAT Overload;
Static NAT
Статический NAT использует сопоставление локальных и глобальных адресов один к одному. Эти сопоставления настраиваются администратором сети и остаются постоянными. Когда устройства отправляют трафик в Интернет, их внутренние локальные адреса переводятся в настроенные внутренние глобальные адреса. Для внешних сетей эти устройства имеют общедоступные IPv4-адреса. Статический NAT особенно полезен для веб-серверов или устройств, которые должны иметь согласованный адрес, доступный из Интернета, как например веб-сервер компании. Статический NAT требует наличия достаточного количества общедоступных адресов для удовлетворения общего количества одновременных сеансов пользователя.
Статическая NAT таблица выглядит так:
Dynamic NAT
Динамический NAT использует пул публичных адресов и назначает их по принципу «первым пришел, первым обслужен». Когда внутреннее устройство запрашивает доступ к внешней сети, динамический NAT назначает доступный общедоступный IPv4-адрес из пула. Подобно статическому NAT, динамический NAT требует наличия достаточного количества общедоступных адресов для удовлетворения общего количества одновременных сеансов пользователя.
Динамическая NAT таблица выглядит так:
Port Address Translation (PAT)
PAT транслирует несколько частных адресов на один или несколько общедоступных адресов. Это то, что делают большинство домашних маршрутизаторов. Интернет-провайдер назначает один адрес маршрутизатору, но несколько членов семьи могут одновременно получать доступ к Интернету. Это наиболее распространенная форма NAT.
С помощью PAT несколько адресов могут быть сопоставлены с одним или несколькими адресами, поскольку каждый частный адрес также отслеживается номером порта. Когда устройство инициирует сеанс TCP/IP, оно генерирует значение порта источника TCP или UDP для уникальной идентификации сеанса. Когда NAT-маршрутизатор получает пакет от клиента, он использует номер своего исходного порта, чтобы однозначно идентифицировать конкретный перевод NAT. PAT гарантирует, что устройства используют разный номер порта TCP для каждого сеанса. Когда ответ возвращается с сервера, номер порта источника, который становится номером порта назначения в обратном пути, определяет, какое устройство маршрутизатор перенаправляет пакеты.
Картинка иллюстрирует процесс PAT. PAT добавляет уникальные номера портов источника во внутренний глобальный адрес, чтобы различать переводы.
Поскольку маршрутизатор обрабатывает каждый пакет, он использует номер порта (1331 и 1555, в этом примере), чтобы идентифицировать устройство, с которого выслан пакет.
Адрес источника (Source Address) - это внутренний локальный адрес с добавленным номером порта, назначенным TCP/IP. Адрес назначения (Destination Address) - это внешний локальный адрес с добавленным номером служебного порта. В этом примере порт службы 80: HTTP.
Для исходного адреса маршрутизатор переводит внутренний локальный адрес во внутренний глобальный адрес с добавленным номером порта. Адрес назначения не изменяется, но теперь он называется внешним глобальным IP-адресом. Когда веб-сервер отвечает, путь обратный.
В этом примере номера портов клиента 1331 и 1555 не изменялись на маршрутизаторе с NAT. Это не очень вероятный сценарий, потому что есть хорошая вероятность того, что эти номера портов уже были прикреплены к другим активным сеансам. PAT пытается сохранить исходный порт источника. Однако, если исходный порт источника уже используется, PAT назначает первый доступный номер порта, начиная с начала соответствующей группы портов 0-511, 512-1023 или 1024-65535. Когда портов больше нет, и в пуле адресов имеется более одного внешнего адреса, PAT переходит на следующий адрес, чтобы попытаться выделить исходный порт источника. Этот процесс продолжается до тех пор, пока не будет доступных портов или внешних IP-адресов.
То есть если другой хост может выбрать тот же номер порта 1444. Это приемлемо для внутреннего адреса, потому что хосты имеют уникальные частные IP-адреса. Однако на маршрутизаторе NAT номера портов должны быть изменены - в противном случае пакеты из двух разных хостов выйдут из него с тем же адресом источника. Поэтому PAT назначает следующий доступный порт (1445) на второй адрес хоста.
Подведем итоги в сравнении NAT и PAT. Как видно из таблиц, NAT переводит IPv4-адреса на основе 1:1 между частными адресами IPv4 и общедоступными IPv4-адресами. Однако PAT изменяет как сам адрес, так и номер порта. NAT перенаправляет входящие пакеты на их внутренний адрес, ориентируясь на входящий IP адрес источника, заданный хостом в общедоступной сети, а с PAT обычно имеется только один или очень мало публично открытых IPv4-адресов, и входящие пакеты перенаправляются, ориентируясь на NAT таблицу маршрутизатора.
А что относительно пакетов IPv4, содержащих данные, отличные от TCP или UDP? Эти пакеты не содержат номер порта уровня 4. PAT переводит наиболее распространенные протоколы, переносимые IPv4, которые не используют TCP или UDP в качестве протокола транспортного уровня. Наиболее распространенными из них являются ICMPv4. Каждый из этих типов протоколов по-разному обрабатывается PAT. Например, сообщения запроса ICMPv4, эхо-запросы и ответы включают идентификатор запроса Query ID. ICMPv4 использует Query ID. для идентификации эхо-запроса с соответствующим ответом. Идентификатор запроса увеличивается с каждым отправленным эхо-запросом. PAT использует идентификатор запроса вместо номера порта уровня 4.
Преимущества и недостатки NAT
NAT предоставляет множество преимуществ, в том числе:
NAT сохраняет зарегистрированную схему адресации, разрешая приватизацию интрасетей. При PAT внутренние хосты могут совместно использовать один общедоступный IPv4-адрес для всех внешних коммуникаций. В этом типе конфигурации требуется очень мало внешних адресов для поддержки многих внутренних хостов;
NAT повышает гибкость соединений с общедоступной сетью. Многочисленные пулы, пулы резервного копирования и пулы балансировки нагрузки могут быть реализованы для обеспечения надежных общедоступных сетевых подключений;
NAT обеспечивает согласованность для внутренних схем адресации сети. В сети, не использующей частные IPv4-адреса и NAT, изменение общей схемы адресов IPv4 требует переадресации всех хостов в существующей сети. Стоимость переадресации хостов может быть значительной. NAT позволяет существующей частной адресной схеме IPv4 оставаться, позволяя легко изменять новую схему общедоступной адресации. Это означает, что организация может менять провайдеров и не нужно менять ни одного из своих внутренних клиентов;
NAT обеспечивает сетевую безопасность. Поскольку частные сети не рекламируют свои адреса или внутреннюю топологию, они остаются достаточно надежными при использовании в сочетании с NAT для получения контролируемого внешнего доступа. Однако нужно понимать, что NAT не заменяет фаерволы;
Но у NAT есть некоторые недостатки. Тот факт, что хосты в Интернете, по-видимому, напрямую взаимодействуют с устройством с поддержкой NAT, а не с фактическим хостом внутри частной сети, создает ряд проблем:
Один из недостатков использования NAT связан с производительностью сети, особенно для протоколов реального времени, таких как VoIP. NAT увеличивает задержки переключения, потому что перевод каждого адреса IPv4 в заголовках пакетов требует времени;
Другим недостатком использования NAT является то, что сквозная адресация теряется. Многие интернет-протоколы и приложения зависят от сквозной адресации от источника до места назначения. Некоторые приложения не работают с NAT. Приложения, которые используют физические адреса, а не квалифицированное доменное имя, не доходят до адресатов, которые транслируются через NAT-маршрутизатор. Иногда эту проблему можно избежать, реализуя статические сопоставления NAT;
Также теряется сквозная трассировка IPv4. Сложнее трассировать пакеты, которые подвергаются многочисленным изменениям адресов пакетов в течение нескольких NAT-переходов, что затрудняет поиск и устранение неполадок;
Использование NAT также затрудняет протоколы туннелирования, такие как IPsec, поскольку NAT изменяет значения в заголовках, которые мешают проверкам целостности, выполняемым IPsec и другими протоколами туннелирования;
Службы, требующие инициирования TCP-соединений из внешней сети, или stateless протоколы, например, использующие UDP, могут быть нарушены. Если маршрутизатор NAT не настроен для поддержки таких протоколов, входящие пакеты не могут достичь своего адресата;
Мы разобрали основные принципы работы NAT. Хотите больше? Прочитайте нашу статью по настройке NAT на оборудовании Cisco.