دسته: مقالات

در مبحث iptables شما با مفاهیم کلی و دستورات و کامند های آن و جدول های مختلف و همچنین زیر شاخه های آن آشنا می شوید.

در شكل بالا همانطور كه مشخص مي باشد Ether1  از Router1 به ISP وصل شده و Gateway شبکه های ما خواهد بود. Router2  به ether2 از Router1  متصل شده است و به عنوان یک Gateway برای مشتریانی که از LAN2 به آن متصل هستند ، عمل می کند. روتر ۲ همچنین یک كلاينت  را به ether3 متصل می کند. هدف ما ایجاد ارتباط بين شبكه هاست به گونه ای که كلاينتهاي LAN1  بتوانند به كلاينتهايLAN2  دسترسي داشته باشند برسند و همه آنها بتوانند به اینترنت متصل شوند.

نحوه كانفيگ :

بیایید در نظر بگیریم که ISP آدرس  ۱۰٫۱٫۱٫۲/۳۰ را به ما داده است و gateway آن ۱۰٫۱٫۱٫۱ است.

Router1

/ip address

add address=10.1.1.2 interface=ether1

add address=172.16.1.1/30 interface=ether2

add address=192.168.1.1/24 interface=ether3

/ip route

add gateway=10.1.1.1

add dst-address=192.168.2.0/24 gateway=172.16.1.2

Router2

/ip address

add address=172.16.1.2/30 interface=ether1

add address=192.168.2.1/24 interface=ether2

/ip route

add gateway=172.16.1.1

اگر به پیکربندی نگاه کنید می بینید که در Router1 مسیر را به مقصد ۱۹۲٫۱۶۸٫۲٫۰/۲۴ اضافه کردیم. لازم است برای مشتریان از LAN1 امکان دسترسی به مشتریان در LAN2 فراهم شود. در Router2 چنین مسیری لازم نیست زیرا LAN1 می تواند با مسيريابي پیش فرض به شبكه بعد از router1 برسد.

در این روش فرض شده است تجهیزات و روتربوردهای میکروتیک شما به اینترنت دسترسی دارند و می خواهیم همیشه روتربوردهای مورد نظر به آخرین نسخه Current  بروزرسانی شود. کافی است یک اسکجولر با بازه زمانی دلخواه ( مثلا دو هفته ) ایجاد کرده و دستورات زیر را در آن قرار دهید.

در صورتی که نسخه فعلی RouterOS دستگاه بالاتر از ۶٫۳۱ می باشد، باید از دستورات زیر استفاده کنید:

system package update/
check-for-updates once
;delay 1s:
if ( [get status] = “New version is available”) do={ install }:

برای نسخه ۶٫۳۱ و ماقبل:

system package update/
check-for-updates
;delay 1s:
if ( [get current-version] != [get latest-version]) do={ upgrade }:

نکته: بدیهی است در صورتی که نسخه فعلی شما ۶٫۳۱ و کمتر باشد، بعد از اولین آپگرید دیگر دستورات مربوطه معتبر نخواهند بود و می بایست اسکجولر را با دستورات ابتدای آموزش بروزرسانی کنید.

 

سوئیچ های Small bussines مدیریتی سسکو می توانند از راه دور از طریق رابط خط فرمان (CLI) قابل دسترسی و پیکربندی شوند. دسترسی به CLI اجازه می دهد تا دستورات در یک پنجره مبتنی بر ترمینال وارد شوند. اگر ترجیح می دهید با استفاده از دستورات ترمینال روی سوییچ خود از طریق CLI به جای ابزار مبتنی بر وب پیکربندی کنید ، این گزینه جایگزین ساده تری خواهد بود. برخی از کارها مانند فعال کردن حالت Layer 3 فقط از طریق CLI قابل انجام است.
برای دسترسی از راه دور به CLI سوئیچ خود ، باید از سرویس دهنده SSH یا Telnet استفاده کنید. همچنین قبل از دسترسی از راه دور ، ابتدا باید سرویس Telnet و SSH را در سوئیچ خود فعال کنید.
این مقاله دستورالعمل هایی درباره نحوه دسترسی به CLI سوئیچ خود را از طریق SSH یا Telnet با استفاده از روش های زیر ارائه می دهد:

PuTTY :نرم افزار سرویس گیرنده استاندارد Telnet و SSH

hyperTerminal : نرم افزار مربوط به سیستم عامل ویندوز

ترمینال : برنامه ای که در تمام سیستم های  Mac OS X از قبل نصب شده است. نکته مهم: قبل از اتصال SSH یا Telnet به سوئیچ ، باید آدرس IP را برای سوئیچ تنظیم کنید.

دستگاه های قابل استفاده :

• سری Sx300
• سری Sx350
• سری SG350X
• سری Sx500
• سری Sx550X

نسخه ی نرم افزار

• ۱٫۴٫۷٫۰۶ – Sx300 ، Sx500
• ۲٫۲٫۸٫۰۴ – Sx350، SG350X، Sx550X

از طریق SSH به CLI سوئیچ دسترسی پیدا کنید

سشن های SSH پس از گذشت زمان idle در سوئیچ به طور خودکار از هم جدا می شوند. مدت زمان پیش فرض جلسه غیرفعال برای SSH 10 دقیقه است.

برای ایجاد اتصال SSH به سوئیچ ، بستر مورد نظر خود را انتخاب کنید:

رایانه ویندوز با استفاده از PuTTY

رایانه Mac با استفاده از ترمینال

با استفاده از PuTTY به CLI از طریق SSH دسترسی پیدا کنید

توجه: تصاویر ممکن است بسته به نسخه سیستم عامل ویندوز مورد استفاده شما متفاوت باشد. در این مثال از Windows 7 Ultimate استفاده شده و نسخه PuTTY 0.63 است.

مرحله ۱٫ مشتری PuTTY را روی رایانه خود راه اندازی کنید.

 

 

 

مرحله ۲٫ نام میزبان یا آدرس IP سوئیچی را که می خواهید از راه دور به آن دسترسی داشته باشید در قسمت نام میزبان (یا آدرس IP) وارد کنید

 

 

 

 

توجه: در این مثال از آدرس IP 192.168.100.105 استفاده می شود.

مرحله ۳. شماره ۲۲ را به عنوان شماره پورت مورد استفاده برای جلسه SSH در قسمت Port قرار دهید.

 

 

 

مرحله ۴٫ در منطقه نوع اتصال ، روی دکمه رادیویی SSH کلیک کنید تا SSH را به عنوان روش اتصال خود با سوئیچ انتخاب کنید.

 

 

 

 

مرحله ۵٫ (اختیاری) برای ذخیره جلسه ، نام جلسه را در قسمت Save Sessions وارد کنید.

 

 

 

توجه: در این مثال از SSH Sessions استفاده می شود.

مرحله ۶٫ (اختیاری) برای ذخیره جلسه روی ذخیره کلیک کنید.

 

 

 

مرحله ۷. (اختیاری) در پنجره بستن در قسمت خروجی ، روی دکمه رادیویی کلیک کنید تا رفتار پنجره SSH هنگام خروج را انتخاب کنید.

 

 

 

توجه: در این مثال ، فقط Clean Exit انتخاب می شود.

مرحله ۸ :open را کلیک کنید تا جلسه شروع شود

 

 

 

 

مرحله ۹٫ اگر این اولین بار است که از SSH برای اتصال به سوئیچ استفاده می کنید ، ممکن است یک اخطار امنیتی را برای نقض امنیتی دریافت کنید. این اخطار به شما این امکان را می دهد تا بدانید که ممکن است به یک رایانه دیگر وصل شوید و وانمود شده است که سوئیچ است. پس از اطمینان از وارد کردن آدرس IP صحیح در قسمت Host Name در مرحله ۴ ، Yes را بزنید تا کلید Rivest Shamir Adleman 2 (RSA2) را به روز کنید تا سوئیچ جدید نیز درج شود.

 

 

 

مرحله ۱۰. نام کاربری و رمز عبور سوئیچ را به ترتیب در قسمت های ورود ، نام کاربری و رمز عبور وارد کنید.

 

 

 

اکنون باید با موفقیت از راه دور به CLI سوئیچ خود از طریق SSH با استفاده از PuTTY دسترسی داشته باشید.

دسترسی به سوییچ از طریق Telnet :

جلسات Telnet بطور خودکار بعد از گذشت زمان بیکار تنظیم شده در سوئیچ ، جدا می شوند. مدت زمان پیش فرض جلسه غیرفعال برای Telnet 10 دقیقه است.

برای ایجاد اتصال Telnet به سوئیچ ، بستر مورد نظر خود را انتخاب کنید:

رایانه ویندوز با استفاده از PuTTY

رایانه Mac با استفاده از ترمینال

از طریق Telnet با استفاده از PuTTY به CLI دسترسی پیدا کنید

توجه: تصاویر ممکن است بسته به نسخه سیستم عامل ویندوز مورد استفاده شما متفاوت باشد. در این مثال از Windows 7 Ultimate استفاده شده و نسخه PuTTY 0.63 است.

مرحله ۱٫ مشتری PuTTY را روی رایانه خود راه اندازی کنید.

 

 

 

مرحله ۲٫ نام میزبان یا آدرس IP سوئیچی را که می خواهید از راه دور به آن دسترسی داشته باشید در قسمت نام میزبان (یا آدرس IP) وارد کنید.

 

 

 

توجه: در این مثال از ۱۹۲٫۱۶۸٫۱۰۰٫۱۰۵ استفاده می شود.

مرحله ۳: ۲۳ را به عنوان شماره پورت مورد استفاده در جلسه Telnet در قسمت پورت وارد کنید.

 

 

 

 

مرحله ۴٫ در قسمت نوع اتصال ، روی دکمه رادیویی Telnet کلیک کنید تا Telnet را به عنوان روش اتصال خود با سوئیچ انتخاب کنید.

 

 

 

مرحله ۵٫ (اختیاری) برای ذخیره جلسه ، نام جلسه را در قسمت Save Sessions وارد کنید.

 

 

 

توجه: در این مثال از Telnet Sessions استفاده می شود.

مرحله ۶٫ (اختیاری) برای ذخیره جلسه روی ذخیره کلیک کنید.

 

 

 

مرحله ۷٫ اختیاری) در پنجره بستن در قسمت خروجی ، روی دکمه رادیو کلیک کنید تا رفتار پنجره SSH هنگام خروج را انتخاب کنید.

 

 

 

توجه: در این مثال ، Never انتخاب نمی شود.

مرحله ۸ : Open را کلیک کنید تا جلسه شروع شود.

 

 

 

مرحله ۹٫ نام کاربری و رمز عبور سوئیچ را به ترتیب در قسمت های ورود ، نام کاربری و رمز عبور وارد کنید

 

 

 

 

اکنون باید با استفاده از PuTTY با استفاده از راه دور از طریق Telnet به CLI سوئیچ خود با موفقیت دسترسی داشته باشید.

SFP  مخفف واژه های Small Form-factor Pluggable است. این عبارت در راهنمای بسیاری از تجهیزات شبکه ، به خصوص سوئیچ ها دیده می شود. برای مثال زمانی که شما قصد تهیه یک سوئیچ سیسکو را دارید یکی از معیارهای مهم تعداد پورت های SFP می باشد. SFP  یک Transceiver کوچک است که با اتصال به پورت SFP سوئیچ شبکه ، امکان اتصال کابل های فیبر نوری را فراهم می آورد. Transceiver  واژه ای تخصصی است که بیانگر یک فرستنده-گیرنده می باشد. یعنی جزئی که به تنهایی هم فرستنده و هم گیرنده است.

 

SFP  سیگنال های الکتریکی سریال را به سیگنال های نوری تبدیل می کند. البته این یک عملیات دو طرفه است. یعنی سیگنال های نوری نیز در SFP به سیگنال های الکتریکی تبدیل می شوند. ماژول های SPF همیشه از نوع Hot Swappable هستند. یعنی هر زمانی که بخواهید می توانید آن ها را از سوئیچ جدا کنید. همچنین هر ماژول یک ID و System Information را به سوئیچ ارائه می دهد. در بازار به ماژول های SFP جیبیک هم گفته می شود.

 

عبارت Combo SFP Port بر روی سوئیچ من به چه معناست؟

اگر سوئیچ شما پورت های SFP کمبو دارد ، به این معناست که برای مثال در صورت استفاده از پورت SFP شماره ۲۴ ، شما دیگر نخواهید توانست از پورت Ethernet با شماره متناظر همان سوئیچ استفاده کنید و پورت با شماره متناظر ( در اینجا ۲۴ ) غیرفعال خواهد شد ، حتی اگر کابل به آن متصل باشد.

 

XFP  و  SFP+

از آن جایی که SFP تنها سرعت ۴.۲۵ Gbps را پشتیبانی می کند ، نوع دیگری از این ماژول ها به وجود آمدند که به آن ها XFP گفته می شود. XFP ها سرعت تا ۱۰ گیگابیت در ثانیه را نیز پشتیبانی می کنند. بعد ترSFP+  نیز معرفی شد که سرعت ۱۰ گیگابیت را پشتیبانی می کند ، اما نیاز به شدت جریان بیشتری نیز دارد. به همین دلیل پورت های  SFP+ را بیشتر در سوئیچ های Enterprise و در کارت های جداگانه که به هاست متصل می شوند مشاهده می کنید.

ماژول های XFP بزرگ تر از SFP+ هستند اما با شدت جریان کم تر همان مقدار Throughput را محیا می کنند.

 

 ایزابل چیست؟

سیستم تلفنی ایزابل در حال حاضر جانشین قدرتمند سیستم تلفنی الستیکس و در صدر محبوب ترین سیستم تلفنی های کدباز جهانی مطرح می باشد. این سیستم جامع در واقع پیشرو نوین و ثابت قدم دستاوردهای اخیر در حوزه ارتباطات مبتنی بر ویپ می باشد و توانسته ظرف مدت کوتاهی مخاطبان خود را در اقصی نقاط جهان بخصوص داخل ایران جلب نماید. در حقیقت ایزابل با هدف ارائه جدیدترین و منعطف ترین سرویس های تلفنی که فاکتور اصلی یک سیستم ارتباطی حرفه ای و یکپارچه می باشد، عرضه گردیده است.

سیستم تلفنی ایزابل در بدو ورود عملکرد حرفه ای خود را با معرفی دو نسخه 2.5 و 4 آغاز نموده است. نسخه 2.5 که در واقع اولین نسخه انتشار ایزابل با عنوان بتا یا نسخه آزمایشی بود و طی مدت کوتاهی نسخه اصلی و پایدار ایزابل 4  منتشر و در معرض دسترس عموم قرار گرفت. هم اکنون طیف وسیعی از متخصصان و فعالان این حوزه با تکیه و اعتماد به این سیستم تلفنی نوپا ساختار های گسترده ی ارتباطی را برنامه ریزی و به مرحله اجرا در آورده اند.

سیستم تلفنی ایزابل با طراحی یک پلتفرم آسان، سهولت کارکرد را در حیطه مدیریت ارتباطات هر نوع سازمان و مجموعه کاری به ارمغان آورده است. قابلیت ها و سرویس های سیستم تلفنی ایزابل مشتمل بر ارتباطات گسترده و نامحدود تلفنی، ارتباط با CRM های درون سازمانی، فکس، ویدئو کنفرانس، ضبط مکالمات، گزارش گیری و امکانات بی نظیر دیگر می باشد.

این مقاله با هدف ارائه راهکار و شیوه مناسب جهت ارتقای سیستم تلفنی از الستیکس نسخه 2.5 به ایزابل نسخه 4 تهیه و منتشر گردیده است.

انجام تنظیمات

در این راهکار پیشنهادی عملیات بروزرسانی به سادگی فشردن تنها یک دکمه پایان می پذیرد. تیم توسعه دهنده سیستم تلفنی ایزابل با ایجاد ماژول به روزرسانی کلیه موانع و محدودیت های اقدام به عملیات مهاجرت از نسخه 2.5 الستیکس به نسخه 4 ایزابل را مرتفع نموده است.

توصیه می شود آخرین نسخه ایزابل را همیشه از سایت issabel.ir دریافت نمایید.

پیش از انجام هرگونه تنظیمات، اقدام به تهیه نسخه پشتیبان از تنظیمات فعلی سیستم خود نمایید. فرآیند زمانی تنظیمات مهاجرت حداکثر 3 دقیقه به طول می انجامد. طبق رویه و ساختار زیر اقدامات را پیروی نمایید:

1- از کلیه بخش ها و تنظیمات موجود در سیستم الستیکس 2.5 یک نسخه پشتیبان تهیه و دانلود نمایید.

2- سیستم تلفنی ایزابل را بواسطه فایل ISO برروی سرور خود نصب نمایید.

3- پس از پشت سرگذاردن مراحل نصب، دسترسی به پنل مدیریت تحت وب سیستم ایزابل را فراهم نمایید.

4- وارد بخش Backup/Restore از تنظیمات System شده، نسخه پشتیبان دانلود شده از تنظیمات الستیکس را در این قسمت آپلود و گزینه “Migrate from Elastix” را انتخاب نمایید.

5- با گذشت چند دقیقه و با مشاهده پیغام “Migration Complete!” عملیات به روزرسانی به اتمام رسیده است.

پس از اعمال تغییرات وارد بخش تنظیمات شده، وضعیت به روزرسانی را بررسی و از نتیجه موفقیت آمیز عملیات اطمینان حاصل فرمایید.

کمپانی میکروتیک بیان میکند که برای باز گرداندن رمز عبور میکروتیک، به ناچار تنظیمات پیکربندی نیز حذف میشوند. اما اگر بکاپی از فایل پیکربندی که رمزنگاری شده نباشد، داشته باشید، میتوانید رمز عبور را با ابزارهای میکروتیک بازگردانی کنید.

در این آموزش به نحوه بازگردانی رمز عبور فراموش شده با استفاده از فایل پیکربندی میکروتیک میپردازیم.

 

بازگردانی رمز عبور میکروتیک با استفاده از فایل پیکربندی بکاپ

اگر به صورت مداوم از فایل پیکربندی بکاپ میگیرید، قادر خواهید بود که رمز عبور میکروتیک را در صورت فراموشی بازگردانی کنید. دو روش برای بازگردانی رمز عبور میکروتیک با استفاده از بکاپ فایل پیکربندی که رمزنگاری نشده است وجود دارد:

• بازگردانی رمز عبور میکروتیک با استفاده از ابزار آنلاین بازگردانی رمز عبور
• بازگردانی رمز عبور میکروتیک با استفاده از ابزار لینوکسی بازگردانی رمز عبور

 

نحوه بازگردانی رمز عبور میکروتیک با استفاده از ابزار آنلاین بازگردانی رمز عبور

اگر فایل بکاپ رمزنگاری شده نباشد میتوانید از ابزار آنلاین بازگردانی رمز عبور استفاده کنید. در زیر مراحل بازگردانی رمز عبور میکروتیک با استفاده از ابزار بازگردانی رمز عبور آنلاین میکروتیک را نشان میدهد.

• وارد سایت net شوید و روی Mikrotik Password Recovery Online Tool کلیک کنید.
• فایل بکاپی که رمزنگاری نشده است را آپلود کنید.
• کپچای نشان داده شده را وارد کید.
• روی Upload و کلید show me passwords کلیک کنید که حالا میتوانید نام کاربری و رمز عبور فراموش شده را پیدا کنید.

 

 

بازگردانی رمز عبور میکروتیک با استفاده از ابزار لینوکسی بازگردانی رمز عبور

علاوه بر روش فوق، میتوانید از سیستم عامل لینوکس برای بازگرداندن رمز عبور فراموش شده میکروتیک استفاده کنید. اگر نحوه نصب و راه اندازی سیستم عامل لینوکس CentOS را نمیدانید، میتوانید در آموزش های قبلی ما نحوه انجام این کار را مشاهده کنید. مراحل زیر نحوه بازگردانی رمز عبور میکروتیک را نشان میدهد.

• با استفاده از Putty یا SSH Secure Shell Client وارد سیستم عامل لینوکس شوید.
• پکیج های wget و openssl-devel را در صورتی که قبلا نصب نشده اند را با استفاده از دستور yum نصب کنید. (yum install wget openssl-devel –y). البته توصیه میکنیم که ابتدا سیستم عامل را با استفاده از دستور yum update، بروز رسانی کنید.
• یک پوشه موقت (temp) ایجاد کنید (mkdir /temp) و با استفاده از دستور cd /temp وارد این پوشه شوید.
• وارد مسیر skyboo.net/Mikrotik شوید و جدیدترید پکیج mtpass را دانلود و ذخیره کنید. البته میتوانید با استفاده از دستور wget http://manio.skyboo.net/mikrotik/mtpass-0.9.tar.bz2 نیز همین کار را انجام دهید.
• این پکیج دانلود شده را با استفاده از دستور tar jxvf mtpass-0.9.tar.bz2 از حالت فشرده خارج کنید.
• سپس وارد پوشه استخراج شده شوید و دستور make را وارد کنید تا این پکیج را اجرا کنید.
• سپس فایل بکاپ بدون رمز را در پوشه temp آپلود کنید و دستور ./mtpass /temp/MikroTikBackup.backup را اجرا کنید. اگر همه چیز اوکی باشد، نام کاربری و رمز عبور میکروتیک را دریافت خواهید کرد.

در زیر میتوانید لیست تمامی دستورات لازم برای بازگرداندن رمز عبور میکروتیک را مشاهده کنید.

[root@localhost ~]# yum install wget openssl-devel –y

[root@localhost ~]# mkdir /temp

[root@localhost ~]# cd /temp

[root@localhost temp]# wget http://manio.skyboo.net/mikrotik/mtpass-0.9.tar.bz2

[root@localhost temp]# tar jxvf mtpass-0.9.tar.bz2

[root@localhost temp]# cd mtpass-0.9

[root@localhost mtpass-0.9]# make

[root@localhost mtpass-0.9]# ./mtpass /temp/MikroTikBackup.backup

یکی از تاثیر گزارترین پارامتر ها در داشتن کیفیت خوب صوتی بر روی تماس های خارج از شرکت، بحث کیفیت پهنای باند و یا اینترنت است، در ادامه ابزاری را معرفی می کنیم که در لایه سیستم عامل Centos و البته سیستم تلفنی ایزابل Issable بتوانید کیفیت اینترنت خود را بررسی کنید.

با استفاده از ابزاری (script) به نام speedtest-cli که با زبان پایتون نوشته شده میتوانید سرعت اینترنت خود را در محیط Terminal ایزابل ببینید.

برای نصب به ترتیب زیر عمل میکنیم:

ابتدا باید Python و سپس Package Manager به نام PIP را نصب کنیم  :

sudo yum install python3     

حال چک میکنیم که آیا Python  یا PIP به درستی نصب شده اند یا خیر :

Python3 –versionPip-3 --version

حال برنامه speedtest-cli را نصب میکنیم :

pip install speedtest-cli

برای تست سرعت کافیست دستور زیر را اجرا کنید :

Speedtest-cli

در راه اندازي ترانک شهري به حداقل دو کارت شبکه بر روي ايزابل نياز است ، يک کارت شبکه براي ارتباط با شبکه Lan داخلي و يک کارت شبکه براي اينکه تنظيمات مربوط به سرويس دهنده را روي آن انجام دهيم .

 

 

 

 

 

آی‌پی آدرس (IP Address) :

آی‌پی (IP)  کلمه‌ای که روزانه بارها آن را شنیده و شاید به سادگی از کنار آن می‌گذریم، آدرس آی‌پی یکی از مهم‌ترین پروتکل‌های موجود در دنیای شبكه  است ، به جرئت می‌توان گفت، اگر IP وجود نداشت اینترنت کنونی نیز به هیچ عنوان برای ما قابل استفاده نبود، چرا که یکی از مهم‌ترین راه‌های شناسایی دستگاه‌های موجود در شبکه استفاده از آدرس آی‌پی آن‌هاست، در این آموزش  قصد داریم در ابتدا با زبانی ساده آی‌پی و عملکرد آن را برای شما شرح داده و در ادامه انواع گوناگون IP را بررسی کنیم.

بدیهی‌ است که دانستن تمامی مفاهیم دنیا‌ی گسترده‌ی وب و اینترنت برای همه لازم و امکان‌پذیر نیست، ولی درک برخی از مفاهیم عمومی و کاربردی آن جهت شناخت و استفاده‌ی بهتر از این تکنولوژی محبوب خالی از لطف نیست، چه بسا هر یک از ما روزانه چندین بار از آن استفاده می‌کنیم، بنابراین در ابتدا به تعریف عمومی آی‌پی می‌پردازیم.

آدرس IP چیست؟

در واقع IP  مخفف عبارت Internet Protocol Address  بوده که معادل فارسی آن “آدرس پروتکل اینترنت” می‌باشد، در بستر اینترنت هزاران دستگاه، گجت، سیستم و… در حال فعالیت بوده که در اکثر مواقع نیازمند برقراری ارتباط و تبادل اطلاعات برای پایدار ماندن اینترنت و رفع نیاز کاربران هستند، ولی آیا تا کنون از خود پرسیده‌اید این دستگاه‌ها چگونه یکدیگر را در شبکه یافته و دچار خطا نمی‌شوند؟

در حقیقت IP آدرس از  یک سری عدد و رقم تشکیل شده که با قاعده و گرامر خاصی کنار یکدیگر قرار گرفته‌اند تا شماره‌‌های شناسایی یکتایی برای دستگاه‌های فعال در بستر اینترنت فراهم آورند، به زبان ساده‌تر IP یک شماره شناسایی است که با استفاده از آن می‌توانیم بین دستگاه‌های فعال در شبکه تمایز ایجاد کرده و آن‌ها را از یکدیگر تشخیص دهیم.

آی‌پی را می‌توان به تمام شماره شناسایی‌هایی که تا‌به‌حال دیده‌اید نسبت داد، به عنوان مثال کد ملی که شماره شناسایی هویتی یک فرد است را تصور کنید، ما با این شماره افراد را از یکدیگر تشخیص می‌دهیم، شماره‌ای که برای هر شخص منحصربه‌فرد بوده و هیچگاه با دو کد ملی یکسان رو‌به‌رو نخواهیم شد، این مثال قابل تعمیم برای بقیه شماره شناسایی‌های مورد استفاده ما در زندگی است، به عنوان مثال شماره‌ی پلاک خودرو‌ها، شماره‌ی پلاک خانه‌ها و…

تمام مثال‌های ذکر شده دارای یک ویژگی خاص هستند و آن یکتا بودن این شماره‌ها است، آی‌پی نیز در شبکه‌هایی مانند اینترنت خاصیت یکتا بودن را دارد. در واقع آی پی اختصاص داده شده به هر دستگاه با دستگاه دیگر متفاوت است در صورت اختصاص یک آی‌پی یکسان به دو دستگاه مختلف، شبکه دچار اختلال خواهد شد.

انواع گوناگون آدرس آی‌پی

آی‌پی‌ها در دسته‌بندی‌های متفاوتی گروه‌بندی می‌شوند که در ادامه تمام آن‌ها را بررسی می‌کنیم، اما یکی از معروف‌ترین این دسته‌بندی‌ها که شاید بیشتر با آن برخورد داشته باشیم، تفاوت در شماره‌ی نسخه‌ی آی‌پی است، به طور کلی در حال حاضر دو نسخه‌ی مختلف از IP را در اختیار داریم:

• آی‌پی نسخه‌ی ۴ (IPv4)
• آی‌پی نسخه‌ی ۶ (IPv6)

جالب است بدانید، فرایند شکل‌گیری آی‌پی نسخه‌ی ۶ داستان جالبی دارد، هنگامی که دستگاه‌های موجود در شبکه افزایش یافتند، به دلیل کمبود تعداد آدرس‌های منحصر‌به‌فرد استفاده شده در شبکه، متخصصین در پی حل این مشکل بر‌آمده و پس از تحقیقات فراوان تصمیم گرفتند یک نسخه‌‌ی جدید از IP را معرفی کنند که تعداد آدرس‌های بیشتری را در خود داشته باشد و بدین ترتیب پای آدرس IP نسخه‌ی ۶ به میان آمد، در ادامه به طور دقیق این دو مورد را بررسی کرده و تفاوت‌های هریک را برای شما شرح می‌دهیم.

ساختار IPv4

برای نمایش دادن آدرس IPv4 سه صورت نمایش مرسوم است:

• دسیمال (عدد در مبنای ۱۰)
• هگزادسیمال (عدد در مبنا ۱۶)
• باینری (عدد در مبنا ۲)

راحت‌ترین و ساده‌ترین نوع نمایش آدرس آی‌پی، برای ما انسان‌ها نوع دسیمال آن است، یعنی نمایش در مبنای ۱۰ که به صورت اعداد معمولی روزانه با آن‌ها سروکار داریم.

طول آی پی ورژن چهار، ۳۲ بیت بوده که به صورت ۸ بیت  ۸ بیت و به وسیله نقطه (.) از یکدیگر  جدا شده‌اند، قالب کلی آی‌پی نسخه‌ی ۴ به صورت زیر است:

___ . ___ . ___ . ___

هر کدام از قسمت‌های آی‌پی بالا که با نقطه از یکدیگر جدا شده‌اند را یک Octa (به معنای ۸تایی) می‌نامیم زیرا هر کدام از بخش‌های جدا شده برابر با ۸ بیت (معادل یک بایت) می‌باشد و می‌تواند عددی را در بازه ی ۰ تا ۲۵۵ به خود بگیرد، بنابراین محدوده‌ی آی‌پی ورژن ۴ از ۰.۰.۰.۰ تا ۲۵۵.۲۵۵.۲۵۵.۲۵۵ است.

با دقت در تصویر بالا، می‌توانید دلیل محدودیت ورژن ۴ آی‌پی را مشاهده کنید، با یک محاسبه‌ی سر انگشتی تعداد آدرس‌های یکتای IPv4 را ۲^۳۲ عدد به‌دست می‌آوریم که این یعنی تقریبا ۴۲۹۴۹۶۷۲۹۶ آدرس یکتا که با توجه به افزایش روز افزون دستگاه‌های موجود در بستر شبکه با کمبود تخصیص آدرس یکتا برای تمام دستگاه‌ها روبه‌رو خواهیم بود، بنابراین برای حل این مشکل از IPv6 کمک خواهیم گرفت!

ساختار IPv6

در نسخه‌ی ۶ از IP با ساختاری پیچیده‌تر، یعنی یک عبارت ۱۲۸ بیتی روبرو هستیم که اعداد به صورت ۸ بخش ۱۶ بیتی و به کمک علامت دونقطه (:) از یکدیگر جدا شده‌اند.

در IPv6 از مبنای ۱۶ یا هگزادسیمال اعداد استفاده شده است پس علاوه بر اعداد ۰ تا ۹ که به صورت معمول در آی‌پی استفاده می‌شوند، به‌جای اعداد ۱۰ تا ۱۵ نیز به ترتیب حروف A تا F جایگذاری می‌شوند، هر بخش ۱۶ بیتی محدوده‌ای از ۰۰۰۰ تا FFFF را در خود جای می‌دهد.

همچنین ذکر این نکته حائز اهمیت است که برای سادگی در خواندن IPv6 در بخش‌هایی که هر ۱۶ بیت، برابر با ۰ هستند، کل بخش قابل حذف است، به عنوان مثال آدرس‌های زیر دقیقا باهم برابرند:

BA:D3:۰:CA23:9C5A

BA:D3:۰:۰:۰:۰:CA23:9C5A

همانطور که گفتیم، متخصصان شبکه به دلیل محدودیت در تعداد آی‌پی نسخه‌ی ۴ تصمیم بر به‌کارگیری IPv6 گرفتند، پس با این توصیف میتوان تعداد آدرس‌های یکتا را در نسخه شش از آی‌پی محاسبه کرد که تعداد آن، یک عدد تقریبا نجومی خواهد بود، تعداد کل آدرس‌های یکتای موجود در آی‌پی نسخه‌ی ۶ برابر با ۲^۱۲۸ عدد آی‌پی منحصر به‌فرد می‌باشد!

آشنایی با مفهوم کلاس‌بندی در آی‌پی‌ها

هر آدرس IP از یک شناسه‌ی میزبان (Host ID) و یک شناسه‌ی شبکه (Net ID) تشکیل شده است.

برای درک بهتر این مفهوم میتوان Net ID را مانند نام خیابان و Host ID را همانند شماره‌ی پلاک خانه‌های آن خیابان فرض کرد، به این نکته توجه داشته باشید که دستگاه‌هایی که در یک شبکه قرار دارند و می‌توانند با یکدیگر ارتباط برقرار کنند دارای Net ID یکسان ولی دارای Host ID متفاوتی هستند، اگر دستگاه‌ها در یک شبکه‌ی یکسان قرار نداشتند امکان برقراری ارتباط میان آن‌ها وجود نداشت.

به‌طور کلی، سه کلاس پایه‌ی A و B و C برای آی‌پی‌ها وجود دارد که به ترتیب برای شبکه‌های بزرگ، متوسط و کوچک به‌کار می‌رود (این تقسیم‌‌بندی بر اساس تعداد ‌آدرس موجود در آنها انجام شده است)

از کلاس D برای عمل Multi Cast  در شبکه استفاده می‌شود و کلاس E نیز برای مقاصد علمی و تحقیقات رزرو شده است، همچنین توجه داشته باشید که از آدرس ۱۲۷.۰.۰.۱ به عنوان آدرس Loop Back  نیز یاد می‌شود زیرا در صورت فراموشی یا ندانستن آی‌پی خود میتوان از آن استفاده کرد که دقیقا معادل با آی‌پی سیستمی است که در آن وارد شده است.

آشنایی با آی‌پی‌های پویا و آی‌پی‌های ایستا

تفاوت این دو آی‌پی در مدت زمان در اختیار داشتن آن توسط دستگاه است و در ساختار و باطن و اصل آنها هیچ تفاوتی وجود ندارد، شرکت‌های ارائه‌دهنده اینترنت (ISP) معمولا از آی‌پی‌های پویا (Dynamic IP) استفاده می‌کنند، به این‌صورت که پس از هربار خارج شدن از شبکه و ورود مجدد، شرکت به وسیله‌ی سرویسی به نام DHCP  یک آی‌پی جدید به شما تخصیص می‌دهد.

در سمت مقابل، آی‌پی‌های ایستا یا ثابت (Static IP) وجود دارند، این دستگاه‌ها معمولا سرویس‌دهنده (سرور) بوده یا دستگاه‌هایی هستند که نیازمند سرعت بالای پاسخگویی در شبکه هستند، آیا تا به حال از خود پرسیده‌اید چرا سازمان‌های بزرگ و مهم که باید در دسترس عموم باشند دارای آدرس‌های ثابت بوده و به ندرت جابه‌جا می‌شوند؟

آشنایی با آی‌پی‌های معتبر (Valid) و نامعتبر (Invalid)

اصطلاح دیگری که در تقسیم‌بندی آی‌پی‌ها به آن برمی‌خوریم Valid و Invalid بودن آن‌هاست، در واقع به آی‌پی‌هایی Valid یا معتبر می‌گوییم که بتوان از آن‌ها برای برقراری ارتباط دستگاه‌های موجود در بستر اینترنت استفاده کرد، در طرف مقابل این تعریف، به آی‌پی‌هایی که نمی‌توان از آن‌ها در بستر اینترنت استفاده کرد و معمولا در شبکه‌های محلی و کوچک مورد استفاده قرار می‌گیرند Invalid یا نامعتبر می‌گوییم.

از جمله گروه‌هایی که می‌توان معتبر و غیر معتبر بودن آن ها را مورد بررسی قرار داد به شرح زیر است:

آدرس‌های ایجاد کننده تداخل

در قسمت‌های قبلی به این نکته‌ی مهم اشاره کردیم که آدرس آی‌پی باید در شبکه یکتا باشد، پس اگر احیانا و به صورت تصادفی دو دستگاه در یک شبکه آدرس IP تکراری داشته باشند به اصطلاح می‌گوییم Conflict (تداخل) رخ داده و به همین دلیل آدرس آی‌پی نامعتبر می‌شود، معمولا این مشکل زمانی رخ می‌دهد که شبکه کوچک بوده و محدوده‌ی آدرس‌دهی DHCP به صورت محدود تنظیم شده باشد.

آدرس‌های رزرو شده

سازمان Internet Assigned Numbers Authority) IANA) که مسئولیت ارائه و اجرای پروتکل‌های اینترنتی را برعهده دارد، برخی آدرس‌ها را به منظور مصارفی خاص رزرو کرده است و افراد مجاز به استفاده از آن‌ها در شبکه‌ی جهانی اینترنت و شبکه‌های داخلی نیستند، نمونه‌ای از این آی‌پی‌های رزرو شده عبارتند از:

• آدرس‌هایی که با ۱۲۷ شروع می‌شوند، مانند ۱۲۷.۰.۰.۰
• محدوده‌ی آدرس ۱۶۹.۲۵۴.۰.۱ تا ۱۶۸.۲۵۴.۲۵۵

محدوده‌ی آدرس ۱۶۹.۲۵۴.۰.۱ تا ۱۶۸.۲۵۴.۲۵۵ که اصطلاحا آن را Automatic Private IP Address) APIPA) می‌نامیم، ویژگی در سیستم‌عامل‌های ویندوزی است، که در این حالت اگر سیستمی در شبکه نتوانست از سیستم DHCP آی‌پی دریافت کند سیستم عامل یک آی‌پی از رنج APIPA به آن تخصیص می‌دهد.

گروه کلاسی برخی از آی‌پی‌ها

دسته‌ی آخر که امکان استفاده از آن‌ها وجود ندارد، برخی از کلاس‌های آی‌پی هستند که در قسمت قبل به آن‌ها اشاره کردیم، آدرس‌های زیر نا‌معتبر بوده و اجازه‌ی استفاده از آن‌ها در شبکه وجود ندارد:

• کلاس A از آدرس ۱۰.۰.۰.۰ تا ۱۰.۲۵۵.۲۵۵.۲۵۵
• کلاس B از آدرس ۱۷۲.۱۶.۰.۰  تا ۱۷۲.۳۵.۰.۰
• کلاس C از آدرس ۱۹۲.۱۶۸.۰.۰ تا ۱۹۲.۱۶۸.۲۵۵.۲۵۵

آشنایی با آی‌پی‌های عمومی و خصوصی

به صورت کوتاه و قابل فهم، آدرس آی‌پی عمومی (Public) به آی‌پی‌هایی گفته می‌شود که بنابر احتیاجات شبکه از آن‌ها در شبکه‌ی اینترنت نیز می‌توان استفاده کرد و مالکیت عمومی دارند، در طرف مقابل آی‌پی‌هایی که به صورت خصوصی در شبکه‌های داخلی مورد استفاده قرار می‌گیرند، آی‌پی خصوصی (Private) نامیده می‌شوند.

به عنوان مثال شبکه‌ی داخلی سازمانی را در نظر بگیرید که دارای ۴۰ کلاینت بوده و آدرس کلاینت‌ها از محدوده‌ی ۱۹۲.۱۶۸.۱۰.۲۰ تا ۱۹۲.۱۶۸.۱۰.۸۰ (در کلاس B) هستند و در عوض برای دسترسی به شبکه‌ی اینترنت هر ۴۰ کلاینت باید به دستگاهی که اینترنت بر روی آن وجود دارد متصل شده و با یک آی‌پی‌ عمومی به شبکه‌ی اینترنت متصل شوند، در این مثال ۴۰ آدرس در فضای خصوصی بوده و تنها یک آدرس عمومی برای دسترسی به اینترنت وجود دارد.

دلایل بسیاری وجود دارد که برای دسترسی به سرویس تلفنی ایزابل Issabel از دامنه استفاده کنید حتی در درون مجموعه خود.
زیباتر شدن و راحتی دسترسی و مهم تر از همه راحتی تغییرات در آینده، به طور مثال اگر IP سیستم تلفنی شما تغییر کند دیگر لازم نیست تمامی Ipphone ها را تغییر دهید، کافی است در تنظیات DNS server خود آی پی جدید ایزابل را بروز رسانی کنید.

به منظور فعال سازی این قابلیت بر روی میکروتیک می بایست از مسیر IP -> DNS وارد صفحه DNS Settings شویم.

در این صفحه ابتدا آدرس یک DNS سرور پابلیک نظیر 4.2.2.4 یا 8.8.8.8 را وارد می کرده و تیک Allow Remote Requests را فعال می کنیم.

با این کار افرادی که IP میکروتیک را به عنوان DNS سرور خود وارد کنند، کوئری های DNS به سمت میکروتیک هدایت می گردد. آنهایی که در میکروتیک Cache شده باشند و یا دارای A Record باشند، خود میکروتیک به آنها پاسخ می دهد و در صورتیکه میکروتیک پاسخ را نداند از سرور 4.2.2.4 پرسیده و ضمن Cache کردن در خود به کاربر نیز پاسخ را برمیگرداند.
ما برای مرکز تماس ایزابل Issabel دامین دامین مورد نظر را استفاده کرده و آدرس مرکز تماس ما 192.168.2.100 است. در منوی DNS Settings وارد منو Static شده و مطابق تصویر زیر یک A Record برای این مرکز تماس ایجاد می نماییم.

اکنون لازم است در DHCP Server خود آدرس IP میکروتیک را به عنوان DNS Server در شبکه معرفی نمایید.

در این آموزش ما از DHCP Server میکروتیک استفاده می کنیم و بدین منظور باید مطابق تصویر زیر به منوی DHCP Server مراجعه کرده و در سربرگ Network سطر مربوط به DHCP Server مد نظر را باز کرده و در فیلد DNS Server آدرس IP میکروتیک را وارد کنید.

اکنون کافیست کاربرانی که از قبل پارامترهای TCP/IP را از DHCP Server دریافت کرده اند با اجرای دستور زیر در پنجره CMD آدرس DNS سرور خود را بروز نمایند.

اکنون دامین مربوط به مرکز تلفن ایزابل Issabel را پینگ کرده تا از تنظیمات جدید و برقرار بودن ارتباط مطمئن شویم.

خب تا اینجای آموزش شما با موفقیت DNS سرور میکروتیک را راه اندازی کرده و A Record مربوط به مرکز تماس خود را ساخته اید.

توجه داشته باشید چنانچه میکروتیک شما در لبه شبکه قرار گرفته است باید این سرویس را نسبت به محیط اینترنت امن نمایید. در غیراینصورت IP Public روتر شما توسط ربات ها به عنوان DNS سرور مورد استفاده قرار خواهد گرفت و روزانه میزان قابل توجه ای از ترافیک تان را مصرف خواهد کرد.
بدین منظور مطابق تصویر زیر به منو IP -> Firewall -> Filter Rules رفته و یک رول جدید اضافه نمایید.
می بایست ترافیک های UDP و TCP به مقصد 53 روتر که از کانکشن PPPoE ما وارد می شوند و Connection State آنها New می باشد را دراپ نماییم. سپس این دو رول را از طریق Drag & Drop به ابتدای رول های فایروال خود منتقل می کنیم. برای نمونه این کار را برای ترافیک UDP 53 طبق تصویر انجام شده است.

حال ایزابل Issabel شما با دامنه مورد نظر در دسترس است.

Destination NAT

 

ترجمه آدرس شبکه (NAT)با تغییر اطلاعات آدرس شبکه در پکت های هدر IP کار می کند. بیایید نگاهی به مثالی بیاندازیم :در جایی مدیر شبکه می خواهد از اینترنت به یک سرور در دفتر کار خود  دسترسی پیدا کند تنظیمات به چه صورت خواهد بود؟

ما می خواهیم اجازه بدهیم که مدیر از طریق اینترنت به سرور داخل دفتر که IP محلی آن ۱۰٫۰٫۰٫۳ است ارتباط برقرار کند. در این حالت ، ما باید  ترجمه آدرس مقصد (destination NAT) را در روتر سمت دفتر پیکربندی کنیم:

/ip firewall nat add chain=dstnat action=dst-nat dst-address=172.16.16.1 dst-port=22 to-addresses=10.0.0.3 protocol=tcp

 

قانون فوق به این صورت  ترجمه می شود:

هنگامی که کانکشن ورودی پورت ۲۲ TCP را با آدرس مقصد ۱۷۲٫۱۶٫۱۶٫۱ درخواست می کند ، از عملکرد dst-nat استفاده کرده و بسته ها را به آدرس IP محلی ۱۰٫۰٫۰٫۳٫۳ و پورت ۲۲ به دستگاه بفرستید.

برای اجازه دسترسی فقط از طریق رایانه در خانه ، می توانیم قانون dst-nat خود را با “src-address = 192.168.88.1” که یک آدرس IP عمومی PC در خانه است ، بهبود دهیم.این روش همچنین روشی ایمن تر در نظر گرفته می شود.برای اینکه یک سرور داخلی بتواند ارتباطات خود را به شبکه های خارجی با آدرس منبع ۱۰٫۰٫۰٫۳ به ۱۷۲٫۱۶٫۱۶٫۱ ترجمه شده آغاز کند ، باید قانون source-nat زیر را پیکربندی کنید:

/ip firewall nat add chain=srcnat src-address=10.0.0.3 action=src-nat to-addresses=172.16.16.1

Source NAT

اگر می خواهید دستگاه های محلی خود را در پشت آدرس IP عمومی خود که از ISP دریافت شده پنهان کنید ، باید ویژگی ترجمه آدرس منبع شبکه (masquerading) روتر MikroTik را پیکربندی کنید.

فرض کنید شما می خواهید کامپیوتر و سرور اداری را پشت IP عمومی ۱۷۲٫۱۶٫۱۶٫۱ پنهان کنید  و به سمت اینترنت بفرستید(یعنی این که یک ماسک برروی آی پی های لوکال خود بذارید و به صورت آی پی معتبر به سمت اینترنت بفرستید)، این قانون به صورت زیر خواهد بود:

/ip firewall nat add chain=srcnat src-address=10.0.0.0/24 action=src-nat to-addresses=172.16.16.1 out-interface=WAN

اکنون ISP شما تمام درخواست های ارائه شده با IP 172.16.16.1 را مشاهده می کند و آنها آدرس IP شبکه LAN شما را نمی بینند.

Masquerade

Firewall NAT action = masquerade یک براندازی منحصر به فرد از  action=srcnatاست ، این مورد برای مواقع خاص طراحی شده است که IP عمومی می تواند به طور تصادفی تغییر کند ، به عنوان مثال DHCP-server آن را تغییر می دهد ، یا تونل PPPoE پس از قطع شدن IP متفاوت ، به طور خلاصه – وقتی IP عمومی پویاست. هر بار که رابط قطع و یا آدرس IP آن تغییر می کند ، روتر تمام ورودی های ردیابی اتصال مخفی را که بسته ای را برای آن رابط ارسال می کند پاک می کند. این باعث بهبود زمان بازیابی پس از تغییر آدرس IP عمومی می شود.(منظور این است که هر آی پی داشتین با یه ماسک به سمت اینترنت فرستاده می شود.)

متأسفانه ، در تنظیمات با اتصالات / پیوندهای ناپایدار از action = masquerade استفاده می شود که این امر می تواند منجر به برخی از مشکلات شود که با قطع شدن نسخه اصلی ، از پیوندهای مختلف عبور می کند. در چنین سناریویی موارد زیر ممکن است اتفاق بیفتد:

هنگام قطع اتصال ، تمام ورودی های مربوط به ردیابی connection پاک می شوند.

packet بعدی از هر اتصال پاک شده (که قبلاً پوشانده شده بود) به عنوان اتصال وضعیت = جدید وارد فایروال می شود و اگر connection state=new باشد، بسته از طریق مسیر جایگزین (در صورت وجود) از بین می رود و در نتیجه اتصال جدید ایجاد می شود ؛

• پیوند اصلی باز می گردد ، مسیریابی از طریق پیوند اصلی بازیابی می شود ، بنابراین بسته هایی که به اتصالات موجود تعلق دارند از طریق رابط اصلی ارسال می شوند بدون اینکه از IP محلی به شبکه عمومی پوشانده شود. می توانید با ایجاد یک مسیر سیاه چاله به عنوان جایگزینی برای مسیری که ممکن است با قطع اتصال از بین برود ، در این مورد کار کنید.

/ip firewall nat add chain=srcnat src-address=10.0.0.0/24 action=masquarade out-interface=WAN

اگرچه Source NAT و mask کردن وظیفه اساسی یکسانی را انجام می دهند اما نگاشت یک فضای آدرس به فضای دیگر ، جزئیات کمی متفاوت است. از همه قابل توجه تر ، masquerading آدرس IP منبع را برای بسته خروجی از IP متصل به رابطی که بسته از طریق آن خارج می شود ، انتخاب می کند.

Hairpin NAT

ترجمه آدرس شبکه Hairpin (NAT Loopback) جایی است که دستگاه موجود در LAN قادر است از طریق آدرس IP عمومی روتر گتوی به دستگاه دیگری در LAN دسترسی پیدا کند.

 

 

 

در مثال زیر روتر گتوی از قانون پیکربندی dst-nat تشکیل شده است:

/ip firewall nat add chain=dstnat action=dst-nat dst-address=172.16.16.1 dst-port=443 to-addresses=10.0.0.3 to-ports=443 protocol=tcp

هنگامی که مشتری از طریق رایانه در خانه ارتباطی با سرور وب برقرار می کند ، روتر NAT را به صورت پیکربندی شده زیر انجام می دهد:

1. مشتری بسته ای را با آدرس IP منبع ۱۹۲٫۱۶۸٫۸۸٫۱ به آدرس IP مقصد ۱۷۲٫۱۶٫۱۶٫۱ در پورت ۴۴۳ برای درخواست برخی از منابع وب می فرستد.
2. روتر destination nat را به ۱۰٫۰٫۰٫۳ بسته و آدرس IP مقصد را بر اساس آن جایگزین می کند. آدرس IP منبع همان ثابت می ماند: ۱۹۲٫۱۶۸٫۸۸٫۱؛
3. سرور به درخواست مشتری پاسخ می دهد و بسته پاسخ دارای آدرس IP منبع ۱۰٫۰٫۰٫۳ و آدرس IP مقصد ۱۹۲٫۱۶۸٫۸۸٫۱ است.

۴- روتر تعیین می کند که این بسته بخشی از اتصال قبلی باشد و Destination NAT را خنثی کند و آدرس IP اصلی مقصد را در قسمت آدرس منبع IP قرار دهد. آدرس IP مقصد ۱۹۲٫۱۶۸٫۸۸٫۱ و آدرس IP منبع ۱۷۲٫۱۶٫۱۶٫۱ است.

۵- مشتری بسته پاسخی را که انتظار دارد دریافت می کند و اتصال برقرار می شود.