По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Страшно секретно: чем занимается специалист по информационной безопасности, сколько зарабатывает и как им стать
По данным исследования сайта «Работа.ру» на рынке труда среди востребованных IT-вакансий за 2023 год сохраняется высокий спрос на специалистов по информационной безопасности (ИБ). Это востребованная и перспективная IT-профессия, обучиться которой сложно, но вполне реально. Работа в сфере ИБ предусматривает интересные задачи, постоянное развитие в сфере, высокий доход и карьерные возможности. В этом материале мы поделимся с вами, кто такой специалист по ИБ, что он делает, какие ключевые навыки нужны для входа в профессию и как им стать.
Специалист по информационной безопасности обеспечивает защиту данных компании и отдельных пользователей, предотвращает кражи и утечку данных, а также работает на опережение: тестирует систему на возможные баги и уязвимости.
Какие бывают специалисты по кибербезопасности
Область кибербезопасности настолько динамично развивается: здесь каждый год появляются новые системы, рядом с которыми возникают хакеры и пытаются их взломать. Выделили несколько основных направлений в работе, которые помогут сориентироваться среди наиболее востребованных профессий в области кибербезопасности.
Аналитик IT-безопасности
Работа такого специалиста – это, по сути, постоянный анализ необработанных данных из различных источников возможных угроз ИБ. Он изучает системные данные и сетевой трафик, чтобы найти и устранить бреши в системе безопасности и предотвратить будущие возможные кибератаки.
Инженер или архитектор ИБ
Отвечает за разработку и внедрение систем обеспечения информационной безопасности в компании. Архитектор налаживает системы антивирусной защиты, защиты от взлома и программы обнаружения вторжений и т.д.
Консультант по безопасности
Такой специалист-универсал оценивает угрозы и риски, а также предоставляет возможные решения проблем. Более того, консультант может обучать сотрудников и передавать свой опыт.
Этичный хакер (пентестер)
Это легальный хакер, который с разрешения заказчика взламывает информационные системы компании. Такая практика помогает найти лазейки в системе до того, как это сделали злоумышленники, и подсвечивает слабые места защиты.
Компьютерный криминалист
Или Шерлок Холмс в области киберпреступлений. Расследует причины кибератаки: когда она была совершена, при каких обстоятельствах и какие данные пострадали. При необходимости он может работать в связке с сотрудниками правоохранительных органов.
Администратор систем безопасности
В обязанности администратора систем безопасности входит техническая сторона обеспечения ИБ. Например, установка, обслуживание и настройка компьютеров и сетевого оборудования.
Охотник за привидениями ошибками (багхантер)
Для багхантера важно быстро выявлять ошибки и уязвимости в программном обеспечении. Это могут быть независимые исследователи, которые обнаруживают недочеты в работе систем и получают за это вознаграждение.
Директор по информационной безопасности (Chief Information Security Officer, CISO)
Специалист координирует всю работу компании в сфере кибербезопасности и несет личную ответственность при возникновении инцидентов. CISO работает в тесном сотрудничестве с руководителями других направлений, чтобы охватить все требования к вопросам информационной безопасности в компании. Чтобы стать директором по ИБ, специалисту необходимо получить специальную сертификацию. Она показывает, что он достиг определенного уровня компетентности.
От нас хочется добавить небольшой дисклеймер, что это далеко не весь список существующих вакансий в области кибербезопасности. Возможно, пока мы писали эту статью на рынке труда возникло еще одно направление
Какие знания и навыки нужны для специалиста по информационной безопасности
Как и в любой профессии, все навыки можно условно разделить на хард- и софт. К первой группе навыков относятся:
Высокий уровень программирования. Также для специалиста в области ИБ важно понимание принципов безопасного программирования. Тренд стал популярным из-за ужесточения требований в сфере кибербезопасности и меняющегося законодательства.
Умение работать с большими массивами данных, понимание способов защиты их от атак.
Работа с кодом, умение писать на одном или нескольких языках. Например, это могут быть языки программирования Python, PHP или JavaScript.
Базовые знания работы операционных систем Windows и Linux.
Опыт работы с разными видами атак. Умение находить скрытые источники кибератак и знание возможных путей защиты от них.
Понимание профильного законодательства в сфере ИБ. Законодательство быстро меняется, поэтому специалисту важно уметь ориентироваться и отслеживать нововведения.
Владение английским языком. Знание языка может быть полезным навыком, чтобы изучать профильную литературу и статьи, проходить обучение или найти вакансию в другой стране, где основным языком общения станет английский.
Специалист по ИБ должен обладать такими софт-скиллами, как:
Коммуникативные навыки и навыки работы в команде. Важно уметь находить общий язык с командой, делиться знаниями и опытом, не бояться обратиться за помощью.
Аналитическое мышление. Способность думать на несколько шагов вперед как в шахматной игре. Ведь основная задача специалиста по кибербезопасности предотвратить будущие атаки.
Комплексный подход к устранению проблем и навыки принятия решений. Нужно не бояться принимать решения и нести за них ответственность.
Навыки тайм-менеджмента. Зачастую работа предполагает режим многозадачности и оперативное принятие решений, поэтому специалисту важно уметь распределять свои временные ресурсы и выстраивать задачи по мере приоритета.
Способность оперативно переключаться между всплывающими задачами.
Хорошо развитое критическое мышление.
Сколько зарабатывает IT-специалист в сфере информационной безопасности в 2023 году
Спрос на специалистов в сфере информационной безопасности постоянно растет. Согласно анализу карьерного портала HeadHunter, на конец 2023 года на сайте опубликовано почти 8 тыс. вакансий.
Как и в любой специальности, доход соискателя напрямую зависит от его опыта и скиллов. Также на уровень оплаты влияет регион и страна поиска вакансии. Новичок в сфере ИБ может рассчитывать на вознаграждение от 50 до 90 тыс. рублей. Зарплата специалиста с опытом от 1 года до 3 лет начинается от 100 тыс. рублей. Сотрудник со стажем от 5 лет может рассчитывать на 250-350 тыс. рублей в месяц.
Плюсы и минусы работы в сфере ИБ
Плюсы:
Востребованность специалистов на рынке труда. Область настолько быстро меняется, что гарантирует актуальность профессии.
Непрерывное развитие в сфере информационной безопасности. Постоянная актуализация знаний: специалист должен следить за последними трендами в области информационной безопасности, обновлять свои навыки и знания.
Уровень дохода
Минусы:
Высокий уровень ответственности.
Работа в условии стрессовых ситуаций требует от специалиста моментальных решений по выходу из критического положения.
Как стать специалистом по информационной безопасности
Путь к становлению специалистом в области информационной безопасности требует терпения, постоянного обучения и применения полученных знаний на практике. Можем предложить различные пути входа в профессию:
Получить профильное высшее образование. Это может быть степень бакалавра или магистра в области информационной безопасности, компьютерных наук, информационных технологий или смежной области. Однако сейчас на рынке образования представлено множество онлайн-курсов, которые помогают освоить профессию с нуля. Можно учиться самостоятельно, но это долго и требует большей мотивации.
Быстрый старт в IT – пройти профильный онлайн-курс. К примеру, наш онлайн-курс по кибербезопасности. На нем вы научитесь пользоваться ‘хакерской’ ОС Kali Linux и даже разворачивать собственную песочницу для анализа вредоносного кода! Обратите внимание, курс требует много дисциплины и самоорганизации. Мы не дадим вам скучать и уверены, что вы справитесь!
Постоянное обучение и самообразование: сфера информационной безопасности постоянно развивается, поэтому важно продолжать обучение. Например, можно участвовать в тренингах, семинарах, конференциях и чтении литературы. Практика и окружение — лучшие учителя.
Успехов!
Друг, расскажем про интерфейс телефонной статистики для IP - АТС Asterisk под названием Merion Metrics. Интерфейс показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер. По факту, это детально проработанный и красивый CDR для Astetrisk.
Про Merion Metrics
Если быть кратким:
Полная статистика - только самая важная информация: дата, время, откуда и куда был совершен вызов, аудио - запись;
Бесплатный тест - протестируйте интерфейс полностью - это бесплатно;
Установка за 10 минут - поддержка активно помогает с установкой;
Кроссплатформенность - сделано на Java. Совместимо с любой Unix платформой;
Для супервизоров - устали от CDR в FreePBX? Или CDR Viewer? мы знаем это чувство;
Удобная выгрузка в PDF и CSV - экспортируйте звонки в PDF и пересылайте/распечатывайте их для коллег;
Заказать бесплатную демо - версию можно по ссылке ниже:
Попробовать Merion Metrics
Установка Merion Metrics
Важно! На момент этого шага у вас должен быть лицензионный ключ. Закажите у нас демо доступ по ссылке https://asterisk.merionet.ru/merionmetrics
Конечно же, для удобства у нас есть пошаговое видео.
Видео - инструкция по установке Merion Metrics
Установка текстом
Системные требования
Оперативная память: 256 MB минимум
Процессор: Pentium 2 266 МГц + минимум
Java Runtime Environment (JRE): версия 8+
Браузер: Internet Explorer 9+
Подготовка
Подключитесь к серверу IP - АТС Asterisk по SSH под root пользователем.
Создание директории интерфейса
Дайте команды в консоль сервера:
mkdir /home/merionstat
Загрузите дистрибутив интерфейса MerionMonitoring-*.*.*.jar в свежесозданную директорию /home/merionstat. Через WinSCP, например.
Важно: загруженный вами дистрибутив будет иметь версионность. В руководстве, мы обозначаем MerionMonitoring-*.*.*.jar со звездочками. У вас будет MerionMonitoring-1.1.9.jar, например.
Создание SQL пользователя
Перейдите по ссылке для генерации устойчивого к взломам пароля. Запишите его. Далее, дайте следующую последовательность команд в консоль сервера:
mysql
CREATE USER 'interface'@'localhost' IDENTIFIED BY 'ваш_пароль';
GRANT SELECT, CREATE, INSERT ON asteriskcdrdb.* TO 'interface'@'localhost' IDENTIFIED BY 'ваш_пароль';
Где ваш_пароль - сгенерированный инструментом по ссылке пароль. Например:
mysql
CREATE USER 'interface'@'localhost' IDENTIFIED BY '6nzB0sOWzz';
GRANT SELECT, CREATE, INSERT ON asteriskcdrdb.* TO 'interface'@'localhost' IDENTIFIED BY '6nzB0sOWzz';
Сохраните пароль отдельно.
Директория для записей разговоров
Чтобы интерфейс мог воспроизводить ссылки на записи разговоров, необходимо сделать следующее:
Сгенерировать зашифрованную последовательность (пароль) через онлайн инструмент генерации. Сохраните его;
Дайте команды в консоль:
mkdir /var/www/html/сгенерированный_пароль
chown asterisk:asterisk /var/www/html/сгенерированный_пароль
chmod 775 /var/www/html/сгенерированный_пароль
Например:
mkdir /var/www/html/5v9MpbtUA8
chown asterisk:asterisk /var/www/html/5v9MpbtUA8
chmod 775 /var/www/html/5v9MpbtUA8
Откройте файл /etc/fstab и добавьте туда
/var/spool/asterisk/monitor/ /var/www/html/сгенерированный_пароль/ none rbind 0 0
Например:
/var/spool/asterisk/monitor/ /var/www/html/5v9MpbtUA8/ none rbind 0 0
Сохраните изменения в файле fstab. После, дайте следующую команду в консоль:
mount -a
Старт
Запуск интерфейса
Дайте следующие команды в консоль сервера:
cd /home/merionstat
nohup java -jar MerionMonitoring-*.*.*.jar &
Сразу после выполнения команды нажмите Enter.
Настройка интерфейса
Первое подключение
После запуска .jar файла, откройте в web - браузере (рекомендуем Google Chrome) адрес http://IP_адрес:7070/#!/config и введите лицензионный ключ, который вам предоставил сотрудник технической поддержки:
Нажмите “Проверить лицензию”. В случае, если возникнут проблемы на этом этапе, обратитесь в техническую поддержку (helpdesk@merionet.ru).
Далее, необходимо пройти первичную авторизацию. На этом экране введите логин и пароль: admin/IEJu1uh32
На следующем шаге конфигурации необходимо настроить подключение к БД. Для этого, в случае настройки IP - АТС Asterisk, укажите:
База данных - mysql, mariadb, или та, в которой хранятся ваши данные;
Хост БД - ;
если БД на том же сервере, что и установка интерфейса - localhost;
если БД на внешнем сервере, что и установка интерфейса - IP_адрес_БД;
Порт БД - проставляется автоматически. Меняйте, только если ваш сервер БД слушает запросы на другом порту;
Строка для подключения к БД - оставьте без изменений;
Наименование таблицы - если Asterisk, как правило, cdr;
Схема - это название базы данных. Для Asterisk, как правило, asteriskcdrdb;
Пользователь - мы создавали его в разделе “Создание SQL пользователя”. Если вы копировали команды точь в точь, то это будет interface;
Пароль - пароль, который вы сгенерировали для SQL пользователя через онлайн инструмент;
Хост записей разговоров - конструкция вида http://IP_адрес/сгенерированный_пароль/, где сгенерированный пароль - зашифрованная, которую вы создали на этапе подготовки в разделе “Директория для записей разговоров”. Например, может выглядеть как http://192.168.1.7/5v9MpbtUA8/;
Тип станции - Asterisk;
По окончанию настроек, нажмите “Подключиться”. Если у вас не получилось, напишите в техническую поддержку (helpdesk@merionet.ru).
На следующем этапе необходимо сопоставить название поля в таблице с его действующим значением. Как правило, в случае IP - АТС Asterisk все поля выставлено по умолчанию.
Внизу страницы нажмите кнопку “Установить соответствия”. После этого, нажмите “Запустить приложение”. Интерфейс сделает редирект на стартовую страницу. По умолчанию, логин и пароль администратора - admin/admin
Известные проблемы
Приложение уже запущено
Если вы не можете открыть приложение по адресу http://IP_адрес:7070/#!/config, то проверьте, не запущено ли оно ранее. Для этого дайте следующую команду в консоль:
ps aux | grep Merion
Проанализируйте вывод. Если он содержит строку вида:
root 4919 0.1 13.1 2120384 801784 ? Sl Dec11 19:12 java -jar MerionMonitoring-*.*.*.jar
То необходимо сделать следующее: вторым слева числом (после root, выделено оранжевым цветом) является PID процесса. Его нужно принудительно завершить. Для этого, копируем ID процесс в команду:
kill -9 4919
Делаем снова проверку ps aux | grep Merion
Если вывод более не содержит строку, как показано ранее - значит можете заново попробовать запустить команды:
cd /home/merionstat
nohup java -jar MerionMonitoring-*.*.*.jar &
База данных на внешнем сервере
Если вы выполняете подключение к удаленной базе данных, необходимо внести дополнительную конфигурацию в настройки MySQL, которые выполнялись на этапе “Создание SQL пользователя”. Например, это может понадобиться, если сервер с IP - АТС Asterisk находится на одной платформе, а сервер, где устанавливается интерфейс - на другой.
В таком случае, на сервере, где установлена БД (сервер IP - АТС Asterisk, как правило) необходимо выполнить следующие команды:
mysql
GRANT SELECT, CREATE, INSERT ON asteriskcdrdb.* TO 'interface'@'IP_адрес_интерфейса' IDENTIFIED BY 'ваш_пароль';
Где:
ваш_пароль - сгенерированный инструментом по ссылке пароль;
IP_адрес_интерфейса - IP - адрес машины, на котором вы устанавливаете дистрибутив интерфейса статистики.
Например:
mysql
GRANT SELECT, CREATE, INSERT ON asteriskcdrdb.* TO 'interface'@'192.168.1.78' IDENTIFIED BY '6nzB0sOWzz';
Помимо прочего, удостоверьтесь, что между узлами открыты порты:
3306 - для MySQL и MariaDB;
5432 - для PostgreSQL.
Медленная загрузка данных
Если вы наблюдаете проблемы с выгрузкой данных (долгая загрузка) - это связано с большим объемом базы данных.
Мы рекомендуем запускать интерфейс (.jar файл) с дополнительными ключами. Согласно пункта “Запуск интерфейса”, выполните следующую команду:
cd /home/merionstat
nohup java -jar MerionMonitoring-*.*.*.jar -Xms128m -Xmx256m &
Где:
-Xms128m - количество оперативной памяти, выделяемое приложению на старте. 128 мегабайт в данном примере;
-Xmx256m - максимально доступное количество оперативной памяти для приложения. 256 мегабайт в данном примере.
Как обратиться в поддержку?
Если вы испытываете технические трудности с настройкой интерфейса - мы поможем. Нам понадобятся файлы из директории /home/merionstat в которую вы разместили дистрибутив MerionMonitoring-*.*.*.jar, согласно пункта “Создание директории интерфейса”.
В зависимости от этапа возникновения сложности, там могут быть следующие файлы (помимо файла с расширением .jar):
columns_mapping.cfg
configuration.properties
nohup.out
Присылайте нам эти файлы с описанием проблемы и указывайте лицензионный ключ.
Связаться с нами можно следующим образом:
Telegram бот - @merion_support_bot
Электронная почта - helpdesk@merionet.ru
Мы рассказали про принципы работы протокола NAT (Network Address Translation) и теперь настало время рассмотреть его настройку на оборудовании Cisco.
Настройка статического NAT (Static NAT)
Напомним, что статический NAT представляет собой сопоставление внутреннего и внешнего адреса один к одному. Он позволяет внешним устройствам инициировать подключения к внутренним с использованием статически назначенного общего адреса.
Например, внутренний веб-сервер может быть сопоставлен с определенным внутренним глобальным адресом, чтобы он был доступен из внешних сетей.
На схеме показана внутренняя сеть, содержащая веб-сервер с частным адресом IPv4. Маршрутизатор сконфигурирован со статическим NAT, чтобы позволить устройствам из внешней сети обращаться к веб-серверу. Клиент из внешней сети обращается к веб-серверу с использованием общедоступного IPv4-адреса. Статический NAT переводит общедоступный IPv4-адрес в частный.
При настройке статических трансляций NAT выполняются две основные задачи:
Создание сопоставления между внутренним локальным (inside local) адресом и внутренними глобальными (inside global) адресами. Например, внутренний локальный адрес 192.168.1.5 и внутренний глобальный адрес 208.165.100.5 на схеме настроены как статическая NAT трансляция.
После того как сопоставление настроено, интерфейсы, участвующие в трансляции должны быть настроены как внутренние (inside) и наружные (outside) относительно NAT. На схеме интерфейс маршрутизатора Serial 0/0/0 является внутренним, а Serial 0/1/0 – внешним.
Пакеты, поступающие на внутренний интерфейс маршрутизатора Serial 0/0/0 из настроенного внутреннего локального адреса IPv4 (192.168.1.5), транслируются и затем перенаправляются во внешнюю сеть. Пакеты, поступающие на внешний интерфейс Serial 0/1/0, адресованные настроенному внутреннему глобальному адресу IPv4 (208.165.100.5), переводятся на внутренний локальный адрес (192.168.1.5) и затем перенаправляются внутрь сети.
Настройка проходит в несколько шагов:
Создать статическую трансляцию между внутренним локальным и внешним глобальным адресами. Для этого используем команду ip nat inside source static [локальный _IP глобальный_IP]. Чтобы удалить трансляцию нужно ввести команду no ip nat inside source static. Если нам нужно сделать трансляцию не адреса в адрес, а адреса в адрес интерфейса, то используется команда ip nat inside source static [локальный _IP тип_интерфейса номер_интерфейса].
Определим внутренний интерфейс. Сначала зайти в режим конфигурации интерфейса, используя команду interface[тип номер] и ввести команду ip nat inside
Таким же образом определить внешний интерфейс, используя команду ip nat outside
Пример:
Router(config)# ip nat inside source static 192.168.1.5 208.165.100.5
Router(config)# interface serial0/0/0
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)# interface serial0/1/0
Router(config-if)#ip nat outside
В результате трансляции будут проходить так:
Клиент хочет открыть соединение с веб-сервером. Клиент отправляет пакет на веб-сервер, используя общедоступный IPv4-адрес назначения 208.165.100.5. Это внутренний глобальный адрес веб-сервера.
Первый пакет, который роутер получает от клиента на внешнем интерфейсе NAT, заставляет его проверять свою таблицу NAT. Адрес IPv4 адресата находится в таблице NAT он транслируется.
Роутер заменяет внутренний глобальный адрес назначения 208.165.100.5 внутренним локальным 192.168.1.5 и пересылает пакет к веб-серверу.
Веб-сервер получает пакет и отвечает клиенту, используя внутренний локальный адрес источника 192.168.1.5.
Роутер получает пакет с веб-сервера на свой внутренний интерфейс NAT с адресом источника внутреннего локального адреса веб-сервера, 192.168.1.5. Он проверяет NAT таблицу для перевода внутреннего локального адреса во внутренний глобальный, меняет адрес источника с 192.168.1.5 на 208.165.100.5 и отправляет его из интерфейса Serial 0/1/0 в сторону клиента
Клиент получает пакет, и обмен пакетами продолжается. Роутер выполняет предыдущие шаги для каждого пакета.
Проверка статического NAT
Полезной командой для проверки работы NAT является команда show ip nat translations. Эта команда показывает активные трансляции NAT. Статические переводы, в отличие от динамических переводов, всегда находятся в таблице NAT.
Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 208.165.100.5 192.168.1.5 208.165.100.70 208.165.100.70
Другой полезной командой является команда show ip nat statistics. Она отображает информацию об общем количестве активных переводов, параметрах конфигурации NAT, количестве адресов в пуле и количестве адресов, которые были выделены.
Router#show ip nat statistics
Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Peak translations: 2, occurred 00:00:21 ago
Outside interfaces:
Serial0/1/0
Inside interfaces:
Serial0/0/0
Hits:7 Misses:0
Чтобы убедиться, что трансляция NAT работает, лучше всего очистить статистику из любых прошлых переводов, используя команду clear ip nat statistics перед тестированием.
Настройка динамического NAT (Dynamic NAT)
В то время пока статический NAT постоянное сопоставление между внутренним локальным и внутренним глобальным адресом, динамический NAT позволяет автоматически сопоставлять внутренние локальные и глобальные адреса (которые обычно являются публичными IP-адресами). Динамический NAT использует группу или пул публичных адресов IPv4 для перевода. Динамический NAT, как и статический NAT, требует настройки внутреннего и внешнего интерфейсов, участвующих в NAT.
Рассмотрим на примере этой схемы. Мы тут имеем внутреннюю сеть с двумя подсетями 192.168.1.0/24 и 192.168.2.0/24 и пограничным маршрутизатором, на котором настроен динамический NAT с пулом публичных адресов 208.165.100.5 - 208.165.100.15.
Пул публичных адресов (inside global address pool) доступен для любого устройства во внутренней сети по принципу «первым пришел – первым обслужили». С динамическим NAT один внутренний адрес преобразуется в один внешний адрес. При таком типе перевода должно быть достаточно адресов в пуле для одновременного предоставления для всех внутренних устройств, которым необходим доступ к внешней сети. Если все адреса в пуле были использованы, то устройство должно ждать доступного адреса, прежде чем оно сможет получить доступ к внешней сети.
Рассмотрим настойку по шагам:
Определить пул которые будут использоваться для перевода, используя команду ip nat pool [имя начальный_ip конечный_ip]. Этот пул адресов обычно представляет собой группу публичных общедоступных адресов. Адреса определяются указанием начального IP-адреса и конечного IP-адреса пула. Ключевые слова netmask или prefix-length указывают маску.
Нужно настроить стандартный access-list (ACL), чтобы определить только те адреса, которые будут транслироваться. Введем команду access-list [номер_ACL] permit source [wildcard_маска]. Про стандартные access-list’ы можно прочитать в этой статье (а про расширенные в этой). ACL который разрешает очень много адресов может привести к непредсказуемым результатам, поэтому в конце листа есть команда deny all.
Необходимо привязать ACL к пулу, и для этого используется команду ip nat inside source list [номер_ACL] number pool [название_пула]. Эта конфигурация используется маршрутизатором для определения того, какие устройства (список) получают адреса (пул).
Определить, какие интерфейсы находятся внутри, по отношению к NAT, то есть любой интерфейс, который подключен к внутренней сети.
Определить, какие интерфейсы находятся снаружи, по отношению к NAT, то есть любой интерфейс, который подключен к внешней сети.
Пример:
Router(config)# ip nat pool MerionNetworksPool 208.165.100.5 208.165.100.15 netmask 255.255.255.0
Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255
Router(config)#ip nat inside source list 1 pool MerionNetworksPool
Router(config)# interface serial0/0/0
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)# interface serial0/1/0
Router(config-if)#ip nat outside
Как это будет работать на нашей схеме:
Компьютеры с адресами 192.168.1.10 и 192.168.2.10 отправляют пакеты в сторону сервера по публичному адресу 208.165.100.70
Маршрутизатор принимает первый пакет от хоста 192.168.1.10. Поскольку этот пакет был получен на интерфейсе, сконфигурированном как внутренний интерфейс NAT, маршрутизатор проверяет конфигурацию NAT, чтобы определить, должен ли этот пакет быть транслирован. ACL разрешает этот пакет, и роутер проверяет свою таблицу NAT. Поскольку для этого IP-адреса нет записи трансляции, роутер определяет, что исходный адрес 192.168.1.10 должен быть переведен динамически. R2 выбирает доступный глобальный адрес из пула динамических адресов и создает запись перевода, 208.165.200.5. Исходный IPv4-адрес источника (192.168.1.10) является внутренним локальным адресом, а переведенный адрес является внутренним глобальным адресом (208.165.200.5) в таблице NAT. Для второго хоста 192.168.2.10 маршрутизатор повторяет эту процедуру, выбирая следующий доступный глобальный адрес из пула динамических адресов, создает вторую запись перевода - 208.165.200.6.
После замены внутреннего локального адреса источника в пакетах маршрутизатор перенаправляет пакет.
Сервер получает пакет от первого ПК и отвечает, используя адрес назначения 208.165.200.5. Когда сервер получает пакет от второго ПК, то в ответе в адресе назначения будет стоять 208.165.200.6.
Когда роутер получает с адресом назначения 208.165.200.5, то он выполняет поиск в таблице NAT и переводит адрес назначения во внутренний локальный адрес 192.168.1.10 и направляет в сторону ПК. То же самое происходит с пакетом, направленным ко второму ПК.
Оба ПК получают пакеты, и обмен пакетами продолжается. Для каждого следующего пакета выполняются предыдущие шаги.
Проверка динамического NAT
Для проверки также используется команда show ip nat отображает все статические переводы, которые были настроены, и любые динамические переводы, которые были созданы трафиком. Добавление ключевого слова verbose отображает дополнительную информацию о каждом переводе, включая то, как давно запись была создана и использовалась. По умолчанию данные о переводах истекают через 24 часа, если таймеры не были переконфигурированы с помощью команды ip nat translation timeout [время_в_секундах] в режиме глобальной конфигурации.
Чтобы очистить динамические записи до истечения времени ожидания, можно использовать команду clear ip nat translation. Полезно очищать динамические записи при тестировании конфигурации NAT. Эту команду можно использовать с ключевыми словами и переменными, чтобы контролировать, какие записи очищаются. Конкретные записи можно очистить, чтобы не прерывать активные сеансы. Только динамические переводы удаляются из таблицы. Статические переводы не могут быть удалены из таблицы.
Также можно использовать команду show ip nat statistics которая отображает информацию об общем количестве активных переводов, параметрах конфигурации NAT, количестве адресов в пуле и количестве переведенных адресов.
Поскольку у нас здесь используются листы контроля доступа ACL, то для их проверки можно использовать команду show access-lists.
Настройка Port Address Translation (PAT)
PAT (также называемый NAT overload) сохраняет адреса во внутреннем глобальном пуле адресов, позволяя маршрутизатору использовать один внутренний глобальный адрес для многих внутренних локальных адресов. Другими словами, один открытый IPv4-адрес может использоваться для сотен и даже тысяч внутренних частных IPv4-адресов. Когда несколько внутренних локальных адресов сопоставляются с одним внутренним глобальным адресом, номера портов TCP или UDP каждого внутреннего узла различают локальные адреса.
Общее количество внутренних адресов, которые могут быть переведены на один внешний адрес, теоретически может составлять 65 536 на каждый IP-адрес. Однако на практике число внутренних адресов, которым может быть назначен один IP-адрес, составляет около 4000.
Существует два способа настройки PAT, в зависимости от того, как провайдер выделяет общедоступные IPv4-адреса. В первом случае интернет-провайдер выделяет более одного публичного IPv4-адреса организации, а в другом он выделяет один общедоступный IPv4-адрес, который требуется для организации для подключения к интернет-провайдеру.
Настройка PAT для пула публичных IP-адресов
Если нам доступно более одного общедоступного IPv4-адреса, то эти адреса могут быть частью пула, который используется PAT. Это похоже на динамический NAT, за исключением того, что в этом случае недостаточно общих адресов для взаимного сопоставления внутренних адресов. Небольшой пул адресов распределяется между большим количеством устройств.
Основное различие между этой конфигурацией и конфигурацией для динамического NAT, заключается в том, что используется ключевое слово overload, которое включает PAT.
Рассмотрим настойку PAT для пула адресов по шагам:
Определить пул адресов глобальных адресов, которые будут использоваться для PAT трансляции, используя команду ip nat pool [имя начальный_ip конечный_ip] netmask [маска] | prefix-length [длина_префикса].
Создать стандартный access-list, разрешающий адреса, которые должны быть переведены. Используется команда access-list [номер_ACL] permit source [wildcard_маска].
Включим PAT, используя волшебное слово Overload. Вводим команду ip nat inside source list [номер_ACL] number pool [название_пула] overload.
Определяем, какие интерфейсы находятся внутри, по отношению к NAT, а какие снаружи. Используем команду ip nat inside и ip nat outside
Пример настройки для схемы, что использовалась ранее, только теперь мы будем использовать PAT:
Router(config)# ip nat pool MerionNetworksPool2 208.165.100.5 208.165.100.15 netmask 255.255.255.0
Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255
Router(config)#ip nat inside source list 1 pool MerionNetworksPool2 overload
Router(config)# interface serial0/0/0
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)# interface serial0/1/0
Router(config-if)#ip nat outside
Настройка PAT для одного публичного IPv4-адреса
На схеме показана топология реализации PAT для трансляции одного IP публичного адреса. В этом примере все хосты из сети 192.168.0.0/16 (соответствующие ACL), которые отправляют трафик через маршрутизатор, будут переведены на адрес IPv4 208.165.99.225 (адрес IPv4 интерфейса S0 /1/0). Трафик будет идентифицироваться по номерам портов в таблице NAT.
Настройка:
Создать лист access-list разрешающий адреса, которые нужно транслировать – access-list [номер_ACL] permit source [wildcard_маска].
Настроить преобразование адреса источника в адрес интерфейса, через команду ip nat inside source list [номер_ACL] interface [тип номер] overload
Определить внешние и внутренние интерфейсы через команды ip nat inside и ip nat outside.
Конфигурация похожа на динамический NAT, за исключением того, что вместо пула адресов мы используем адрес интерфейса с вешним IP адресом. NAT пул не определяется.
Пример:
Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255
Router(config)# ip nat source list 1 interface serial0/1/0 overload
Router(config)# interface serial0/0/0
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)# interface serial0/1/0
Router(config-if)#ip nat outside
Процесс PAT не изменятся при использовании одного адреса, или пула адресов.
Рассмотрим процесс PAT по шагам:
На схеме два разных ПК связываются с двумя разными веб-серверами. Первый ПК имеет адрес источника 192.168.1.10 и использует TCP порт 1444, а второй ПК имеет адрес источника 192.168.2.10 и по совпадению использует то же TCP порт 1444
Пакет с первого ПК сначала достигает роутера и он, используя PAT, изменяет исходный IPv4-адрес на 208.165.99.225 (inside global address). В таблице NAT нет других устройств с портом 1444, поэтому PAT использует тот же номер порта и пакет отправляется в направлении сервера по 208.165.101.20.
Далее пакет со второго компьютера поступает в маршрутизатор, где PAT настроен на использование одного глобального IPv4-адреса для всех переводов - 208.165.99.225. Подобно процессу перевода для первого ПК, PAT изменяет исходящий адрес второго ПК на внутренний глобальный адрес 208.165.99.225. Однако второй ПК имеет тот же номер порта источника, что и текущая запись PAT первого ПК, поэтому PAT увеличивает номер порта источника до тех пор, пока он не станет уникальным в своей таблице. В этом случае запись исходного порта в таблице NAT и пакет для второго ПК получает 1445 порт. Хотя оба ПК используют один и тот же внутренний глобальный адрес 208.165.99.225 и тот же номер порта источника – 1444, измененный номер порта для второго ПК (1445) делает каждую запись в таблице NAT уникальной. Это станет очевидным при отправке пакетов с серверов обратно клиентам.
Сервера отвечают на запросы от компьютеров, и используют исходный порт из принятого пакета в качестве порта назначения и исходный адрес как адрес назначения. Может казаться, что они общаются одним и тем же хостом по адресу 208.165.99.225, однако, это не так – они имеют разные порты.
Когда пакеты возвращаются на роутер, он находит уникальную запись в своей таблице NAT с использованием адреса назначения и порта назначения каждого пакета. В случае пакета от первого сервера адрес назначения 208.165.99.255 имеет несколько записей, но только одну с портом назначения 1444. Используя эту запись в своей таблице, роутер изменяет адрес IPv4 адресата пакета на 192.168.1.10, не меняя порт назначения. Затем пакет перенаправляется на первый ПК
Когда пакет от второго сервера прилетает на маршрутизатор, он выполняет аналогичный перевод. Адрес IPv4 назначения 208.165.99.225 имеет несколько записей, однако используя порт назначения 1445, роутер может однозначно идентифицировать запись трансляции. Адрес IPv4 назначения будет изменен на 192.168.2.10 и в этом случае порт назначения также должен быть изменен до исходного значения 1444, которое хранится в таблице NAT. После этого пакет высылается на второй ПК
Проверка Port Address Translation (PAT)
Для проверки PAT используются такие же команды, что и для обычного NAT. Команда show ip nat translations отображает переводы IP адресов вместе с портами и команда show ip nat statistics показывает информацию о количестве и типе активных переводов, параметрах конфигурации NAT, количестве адресов в пуле и количестве выделенных адресов.
Router#show ip nat statistics
Total active translations: 2 (0 static, 2 dynamic; 2 extended)
Peak translations: 2, occurred 00:00:07 ago
Outside interfaces:
Serial0/1/0
Inside interfaces:
Serial0/0/0
Hits:4 Misses:0
CEF Translated packets: 4, CEF Punted packets:0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 3] access-list 1 pool MerionNetworksPool2 refcount 2
pool MerionNetworksPool2: netmask 255.255.255.0
start 208.165.100.5 end 208.165.100.15
type generic, total addressers 10, allocated 1(10%),
misses 0
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
Также для поиска проблем можно использовать дебаг, который запускается командой debug ip nat, который отображает информацию о каждом пакете, который транслируется маршрутизатором. Также можно использовать команду debug ip nat detailed, которая генерирует описание каждого пакета. Эта команда также предоставляет информацию о различных ошибках, например, таких как неспособность выделить глобальный адрес. Однако эта команда более требовательна к ресурсам устройства.
Router#debug ip nat
IP NAT debugging is on
Router#
*Aug 24 16:20:331:670: NAT*: s=192.168.1.10->208.165.99.225 d=208.165.101.20 [3730]
*Aug 24 16:20:331:682: NAT*: s=208.165.101.20 d=208.165.99.225 ->192.168.1.10 [4156]
*Aug 24 16:20:331:698: NAT*: s=192.168.1.10->208.165.99.225 d=208.165.101.20 [3731]
*Aug 24 16:20:331:702: NAT*: s=192.168.1.10->208.165.99.225 d=208.165.101.20 [3732]
*Aug 24 16:20:331:710: NAT*: s=208.165.101.20 d=208.165.99.225 ->192.168.1.10 [4157]
В выводе используются следующие символы и значения:
* (звездочка) – звездочка с NAT указывает, что перевод происходит по пути с быстрым переключением (fast-switched path). Первый пакет в разговоре всегда медленнее, остальные пакеты проходят путь с быстрым переключением.
s= - IP адрес источника
a.b.c.d ? w.x.y.z - это значение указывает, что адрес источника a.b.c.d переводится на w.x.y.z.
d= - IP адрес назначения
[xxxx] - значение в скобках - это идентификационный номер IP.