De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Om een heel bedrijf een apart Internet IP adres te geven kan zeer kostig zijn. Tevens elke bedrijfsPC direct op het internet niet erg veilig Om een heel.

Verwante presentaties


Presentatie over: "Om een heel bedrijf een apart Internet IP adres te geven kan zeer kostig zijn. Tevens elke bedrijfsPC direct op het internet niet erg veilig Om een heel."— Transcript van de presentatie:

1 Om een heel bedrijf een apart Internet IP adres te geven kan zeer kostig zijn. Tevens elke bedrijfsPC direct op het internet niet erg veilig Om een heel netwerk op Internet te zetten via het LAN is een systeem bedacht Deze werkwijze maakt het mogelijk om via 1 IP adres een heel netwerk op het internet te zetten. Dit heet NAT (Network Address Translation)

2 Network Address Translation Static NAT z Static NAT y one-to-one-mapping. Je hebt zodoende een echt IP-adres nodig voor iedere host van je netwerk Dynamic NAT z Dynamic NAT y ieder ongeregistreerd adres heeft een geregistreerd adres uit een pool van adressen NAT overload z NAT overload y alle ongeristreerde adressen maken gebruik van één geregistreerd adres

3 Network Address Translation: lokaal netwerk (bvb., huis netwerk) /24 rest van Internet Datagrammen met bron of doel in dit netwerk hebben /24 adres als bron, doel (als gewoonlijk) Alle datagrammen die het lokale netwerkverlaten hebben het zelfde bron NAT IP adres: , verschillende bron poort nummers Een lokaal netwerk gebruikt slechts één publiek IP adres, voor zover het de buitenwereld betreft. Ieder toestel in het lokale netwerk krijgt een privaat adres toegewezen.

4 Network Address Translation S: , 3345 D: , : host zendt datagram naar , 80 NAT translatie tabel WAN-kant adres LAN-kant adres , , 3345 …… S: , 80 D: , S: , 5001 D: , : NAT router verandert datagram bronadres van , 3345 naar , 5001, update de tabel S: , 80 D: , : Antw komt aan doeladres: , : NAT router verandert datagram doeladres van , 5001 naar ,

5 DA BA BA ProtocolInterne lokale IP adres: poort Interne globale IP adres: poort Externe globale IP adres: poort TCP : : :23 TCP : : :23 TCP : : :23 NAT tabel

6 DA BA BA ProtocolInterne lokale IP adres: poort Interne globale IP adres: poort Externe globale IP adres: poort TCP : : :23 TCP : : :23 TCP : : :23 ip nat pool globalnet netmask ip nat inside source list 1 pool globalnet overload ! interface Ethernet 0/0 ip address ip nat inside ! interface Serial 0/0 ip address ip nat outside ! access-list 1 permit PROGRAMMERING

7 NAT Port forwarding Het kan voorkomen dat een bedrijf zelf een webserver heeft staan Een mogelijkheid is dan hiervoor een apart IP adres aan te vragen, aangezien de router op het huidige IP adres staat. Nadeel is natuurlijk wel dat dit extra kosten meebrengt Een andere mogelijkheid is om al het INKOMENDE verkeer van de webserver (al het inkomende verkeer op poort 80, de WWW poort) door te sturen naar de webserver. Zo is het mogelijk op het interne LAN servers te hebben die met 1 of meer poorten gelijk op het buitennetwerk staat (virtueel gezien dan) Eenvoudiger gezegd: De router zal een directe link leggen tussen het Internet en de Webserver op poort 80

8 NAT Port forwarding Voorbeeld Tikt in (poort 80 verzoek) Virtuele link op poort 80 Antwoord op poort 80 En dus krijgt de PC de site van het bedrijf te zien De ROUTER heeft het IP adres van niet de webserver

9 Firewalls Een firewall zorgt ervoor dat ongewenst verkeer vanaf het Internet niet op het LAN terecht komt, maar deze zorgt er ook voor dat bepaalde gegevens niet op het Internet komen. Een firewall kan worden gezien als een filter, alles wat er niet door mag word eruit gefilterd Als er op een netwerk bijvoorbeeld geen IRC (Chat) naar het internet mag worden gebruikt, is het mogelijk om de uitgaande IRC poort (6667) dicht te zetten voor verkeer. De instelbare firewall regels zijn erg flexibel, het is bijvoorbeeld mogelijk om een bepaalde Interne IP range alleen maar toegang tot het chatten te geven. Een ander voorbeeld is dat een bepaalde IP range niet op de webserver mag kijken en dus wordt geblokkeerd De meeste tegenwoordige routers hebben een ingebouwde firewall functie

10 TCP- en UDP-poorten zWerking y Eén enkele computer kan meerdere sessies tegelijkertijd onderhouden die verbonden zijn met verschillende andere computers. Elke sessie wordt gedefinieerd met een bepaalde poortnummer. Al deze sessies worden dan via multiplexing door dezelfde netwerkaansluiting gestuurd.

11 TCP- en UDP-poorten zWerking y In TCP en UDP is een poort een 16-bit-waarde. Er zijn dus in principe mogelijke TCP- of UDP-poorten. Een bepaald soort programma's (server of daemon genaamd) kan luisteren op een bepaalde poort, dit betekent wachten tot ze een aanvraag krijgen op die poort. Vervolgens kunnen ze op deze aanvraag reageren, bijvoorbeeld door het verzenden van een antwoord aan het programma dat de aanvraag heeft gestuurd. Een webserver werkt op deze manier, met name door te luisteren op TCP-poort 80 (HTTP).

12 TCP- en UDP-poorten zPoort types y Bekende poorten: Gaande van 0 tot en met 1023, worden gebruikt voor fundamentele applicaties en worden toegekend door IANA. yGeregistreerde poorten: Gaande van 1024 tot en met 49151, worden gebruikt door applicaties en moeten geregistreerd worden bij IANA. yDynamisch geassigneerde poorten: Gaande van tot en met 65535, worden dynamisch toegekend voor de duur van een bepaalde sessie en mogen vrij gebruikt worden.

13 TCP- en UDP-poorten zVaak gebruikte poorten y Een aantal vaak gebruikte poortnummers zijn: 21/TCP : FTP (File Transfer Protocol) 22/TCP : SSH 23/TCP : Telnet 25/TCP : SMTP (Simple Mail Transfer Protocol) 53/UDP : DNS (Domain Name Service) 53/TCP : (idem) 80/TCP : HTTP (Hyper Text Transfer Protocol) 110/TCP: POP3 (Post Office Protocol versie 3) 119/TCP: NNTP (Network News Transfer Protocol) 443/TCP: HTTPS


Download ppt "Om een heel bedrijf een apart Internet IP adres te geven kan zeer kostig zijn. Tevens elke bedrijfsPC direct op het internet niet erg veilig Om een heel."

Verwante presentaties


Ads door Google