Развертывание механизма NAT в корпоративной сети. Выбор схемы адресации.
Рассмотрим процесс развертывания в корпоративной среде механизма NAT. Прежде чем приступить к конфигурированию службы маршрутизации и удаленного доступа (Routing and Remote Access Service), администратор должен выполнить ряд подготовительных операций.
Для функционирования механизма NAT очень важен выбор правильной схемы адресации хостов в корпоративной сети. В процессе развертывания механизма NAT может потребоваться пересмотреть существующую схему адресации, изменив внутренние адреса локальной сети. С другой стороны, может потребоваться выделение дополнительных действительных адресов Интернета.
Частные адреса
Внутри корпоративной сети необходимо использовать IP-адреса, специально зарезервированные организацией InterNIC для частных IP-сетей (см. выше). По умолчанию механизм NAT выбирает адреса для частной сети из диапазона с идентификатором 192.168.0.0 и маской 255.255.255.0.
Если внутри корпоративной сети использовать адреса, не принадлежащие к диапазонам, определенным InterNIC, вполне может оказаться, что используется идентификатор IP-сети другой организации, имеющей выход в Интернет. Этот случай называется некорректной или накладывающейся (overlapping) IP-адресацией. В случае накладывающейся адресации доступ к ресурсам Интернета, использующим аналогичные адреса, становится невозможным. Например, если для адресации хостов в локальной сети используется подсеть 1.0.0.0 с маской подсети 255.0.0.0, то пользователи сети не смогут получить через NAT доступ к ресурсам Интернета с адресами из этого же диапазона.
Действительные адреса
Самая простая конфигурация механизма NAT предполагает использование одного действительного IP-адреса, предоставленного интернет-провайдером. В этом случае от администратора не требуется какой-либо дополнительной настройки. В более сложной конфигурации для функционирования механизма NAT используется несколько действительных IP-адресов. Прежде всего, в случае диапазона IP-адресов необходимо определить, может ли указанный диапазон действительных адресов быть выражен при помощи одного IP-адреса и маски подсети.
Если был выдан ряд адресов, количество которых является степенью 2 (2, 4, 8, 16 и т. д.), имеется вероятность, что диапазон можно выразить при помощи одного IP-адреса и маски подсети. Например, если организации провайдером были выделены четыре действительных адреса 200.100.100.212, 200.100.100.213, 200.100.100.214 и 200.100.100.215, то их можно представить как один адрес 200.100.100.212 с маской подсети 255.255.255.252. В ситуации, когда IP-адреса нельзя выразить в виде IP-адреса и маски подсети, необходимо ссылаться на них как на диапазон или ряд диапазонов, указывая начальный и конечный IP-адреса.