22.11.2024

Характеристики днат: Лампы ДНаТ: источник света, который рановато списали на пенсию

Содержание

технические характеристики, натриевая, расшифровка, срок службы

Несколько десятков лет назад лампы ДНаТ встречались вдоль всех автомобильных дорог и улиц, но сегодня их постепенно вытесняют светодиодные модели. Однако ДНаТ не сдаются. Благодаря своим свойствам цветопередачи они от намного лучше справляются с туманной и влажной погодой, а потому их по-прежнему используют вдоль пригородных шоссе и в аэропортах.

Что это такое

Одним из типов освещения является натриевая газоразрядная лампа (НЛ). Это электрическая лампочка, светящимися элементами в которой служат газовый разряд в парах натрия. Это позволяет получить яркий желто-оранжевый свет: он плохо передает цвета, но отлично справляется с уличным освещением в условиях тумана.

Лампочка ДНаТ — натриевая газоразрядная лампа высокого давления

Важно! Внутри помещения натриевые лампы применяются редко, в основном там, где нет требований к хорошей цветопередаче.

Все натриевые лампы делятся на:

  1. Источники низкого давления (НЛНД): из всех НЛ они были созданы первыми. Они были распространены в Европе, где до сих пор применяются для освещения загородных трасс. Главными отличиями ламп низкого давления являются сильная зависимость эффективности от температуры окружающей среды и производство внутренней колбы из боросиликатного стекла из-за высокой агрессивности натрия;

Лампочки делятся в зависимости от мощности и размеров

  1. Светильники высокого давления (НЛВД): их применяют для дополнительного освещения растений в промышленности. При ее создании потребовалось решить уже 2 проблемы: как нейтрализовать агрессивное воздействие натрия на стекло и что делать с высокой температурой электронной дуги. Трубки были изготовлены из оксида алюминия, внешняя колба — из термостойкого стекла. Горелка наполняется газовыми смесями и сплавом натрия с ртутью. Существуют и модели без ртути.

Лампы высокого давления также бывают нескольких типов:

  1. ДНаТ: аббревиатура расшифровывается как Дуговая Натриевая Трубчатая лампа;
  2. ДНаЗ: Дуговые Натриевые Зеркальные;
  3. ДНаС: Дуговые Натриевые в Светорассеивающей колбе;
  4. ДНаМТ: Дуговые натриевые Матированные.

Светильник ДНаЗ отличается зеркальной поверхностью

Важно отметить следующее: в Европе и Америке лампы ДНаТ называются «High-Pressure Sodium Lamp» или «HPSL», в переводе «Натриевые лампы высокого давления». Когда эти лампы появились в СССР, их производством занялись различные заводы: они разделились по мощности, прозрачности стекла, форме и другим параметрам. Самыми популярными стали модели ДНаТ различных мощностей.

Иными словами, ДНаТ — это обычная НЛВД лампа цилиндрической формы, а ДНаЗ — лампочка с зеркальным напылением.

Плюсы и минусы

Лампы ДНаТ имеют большое количество плюсов, благодаря которым они остаются востребованными и в наши дни. Среди ее достоинств:

  1. Высокий уровень светоотдачи по сравнению с другими моделями лампочек. Светильники высокого давления дают до 150-160 лм/Вт, низкого давления — до 200 лм/Вт;
  2. КПД достигает 30%;

Светильник дает сильный желтый свет

  1. Широкий спектр температур, при которых лампочки работают: от −60 до +40 градусов. При этом светильник зажигается даже при низких температурах;
  2. Длительный период эксплуатации: минимальный срок — 10-12 тысяч часов, максимальный — до 30-32 тысяч;
  3. Экономичность: ДНаТ расходуют в 1,5-2 раза меньше электричества. Производство светильников также недорого: оно давно отлажено и хорошо работает, дорогостоящие материалы не требуются;
  4. Противотуманный эффект: желтый и оранжевый цвета плохо поглощаются водой, а потому лампы с таким освещением лучше видны в дождь и туман.

Однако недостатки ДНаТ не менее существенны:

  1. Слабая цветопередача: все лампы имеют ярко выраженный желтый или оранжевый цвет. Использовать светильники в жилых помещениях нельзя;
  2. Долгое разгорание: первые 5-10 минут лампа горит слабо, пока прогревается;

В лампочке есть ртуть, что делает ее опасной

  1. Определенные требования к электросети. Применять лампы можно только в сетях с достаточно стабильным напряжением;

Важно! Второй вариант — использовать качественные дроссели.

  1. Наличие ртути: для утилизации светильники необходимо отнести в специальный пункт приема. Разбитая лампа может быть опасна, если неправильно или недостаточно тщательно убрать все;
  2. Температура: несмотря на то, что светильники ДНаТ могут работать при −60 градусах, оптимальная температура для них от −20 до +30 градусов. При более высоких или низких температурах светоотдача будет ниже, а срок службы уменьшится;
  3. Наличие довольно сильных пульсаций, они могут достигать 50 Гц. Это выражается в постоянном мерцании, утомительном для глаз.

Типы ламп

Лампы ДНаТ бывают 2 видов — низкого и высокого давления. Они различаются друг от друга в некоторых характеристиках.

Натриевой лампочке требуется несколько минут на «разогрев»

Высокого давления

Эти лампы подходят для освещения производственных комплексов, спортзалов и коммерческих объектов. Они отличаются лучшей цветопередачей, но некоторые цвета могут показаться более тусклыми, чем обычно.

Низкого давления

Они надежны в эксплуатации, потребляют мало энергии и отличаются высокой светоотдачей в течение длительного времени. Они хорошо подходят для освещения улиц, поскольку в закрытых пространствах искажают цвета.

Технические параметры

Выпускается несколько типов ДНаТ ламп разных мощностей: 70 Вт, 100, 150, 250 и 400. Ниже даны характеристики для лампочек на 70 Вт и на 400 Вт:

  1. Длина лампы: 16,5 см и 27,8 см;
  2. Диаметр: 4,2 см и 4,8 см;
  3. Мощность: 70 Вт и 400 Вт;
  4. Световой поток: 6 тысяч Лм и 45 тысяч Лм;
  5. Световая отдача: 66 лм/Вт и88 лм/Вт;
  6. Потребляемая мощность: 90 Вт и 510 Вт;
  7. Напряжение на лампе: 90 В и 100 В;
  8. Срок службы: 14 тысяч часов и 18 тысяч часов.

Принцип работы

Колба изнутри заполнена смесью газов, в ней размещена горелка из оксида алюминия. Тут протекает вся работа лампы.

Принцип подключения показан на схеме

Натриевая лампа имеет простую конструкцию и несложный принцип.

  1. После включения встроенное зажигающее устройство начинает генерировать импульсы;
  2. В парах натрия образуется дуговой электронный заряд, из-за которого пары начинают светиться. Загорается свет;
  3. Горелка постепенно разогревается, и свет становится ярче;
  4. В современных лампах в конструкцию встроен дроссель, который ограничивает силу тока дуги и обеспечивает бесперебойную подачу тока.

Из чего состоит

Прибор представляет собой колбу, сделанную из специального высокопрочного оксида алюминия, который выдерживает и высокие температуры, и действие паров натрия. На края колбы присоединяются 2 электрода, саму колбу заполняют смесью инертных газов, сплава ртути и натрия и ксенона.

ДНаТ имеет несложное устройство

Горелка располагается в колбу меньшего размера из термостойкого стекла, обычно из боросиликатного стекла. В колбе создают вакуум и снабжают цоколем, через который будет осуществляться подключение к электричеству.

Иными словами, получается колба в колбе: в центре большой внешней располагается небольшая цилиндрическая колба с горелкой внутри. Внешняя колба выполняет роль термоса, оберегая горелки от низких температур, увеличивает КПД и уменьшает потери тепла.

Цоколь

Через него светильник подключается к электросети. Чаще всего используют винтовое соединение типа Е (Эдисона) — Е27 для ДНаТ 70 и 100, и Е40 для ДНаТ 150, 250 и 400. Цифры на маркировке означают диаметр в миллиметрах: например, Е40 — это цоколь с диаметром в 40 мм.

Горелка

Это важная часть любой лампочки ДНаТ. Это тонкий стеклянный цилиндр, устойчивый к высоким температурам и химическим реакциям. По двум сторонам у него вставлены вольфрамовые электроды.

Лампочка состоит из 2 колб — одна помещена в другую

При ее изготовлении проводят глубокую вакуумизацию, то есть откачивают абсолютно весь воздух с кислородом. Это важное требование безопасности: цоколь разогревается до 1300 градусов, при попадании кислорода лампа может взорваться.

Область использования

Источники света ДНаТ не применяются в жилых помещениях из-за чрезмерной мощности и искаженной цветопередачи: например, зеленый часто «превращается» в черный или темно-синий. Однако лампочки нашли применение в других сферах:

  1. Освещения улиц и дорог. Особенно хорошо лампы проявили себя при работе в туманных областях;
  2. Подземные переходы, железнодорожные вокзалы и аэропорты, автостоянки, туннели;

Светильники хорошо работают даже в туман и дождь

  1. Промышленные помещения, склады, цеха, автостоянки, спортивные комплексы, для которых правильная передача света не важна;
  2. Подсветка памятников и зданий;
  3. Для теплиц, цветников и других комплексов, в которых выращивают растения. Это позволяет выращивать растения круглый год вне зависимости от сезона.

В теплицах используют лампы мощностью 150-250 Вт, подойдет и лампа в 400 Вт, но ее необходимо будет поставить подальше. Для улицы необходимы лампы мощностью 70-150 Вт.

Важно! Для уличного освещения важно выбирать лампы с защитой от влаги и пыли.

Как правильно подключить лампу

Подключить лампочку к обычной бытовой сети не получится, так как имеющегося напряжения на ее работу не хватит. Кроме того, требуется ограничить ток дуги, чтобы работа шла без перебоев.

Важно! У всех натриевых ламп, что у ДНаТ, что у ДНаЗ, подключение происходит по одной схеме.

Для подключения светильника необходимо следующие элементы:

  1. ИЗУ — это Импульсное Зажигающее Устройство, которое помогает повысить напряжение в сети до момента образования дуги. ИЗУ могут быть 2-выводной и 3-выводной: первые более дешевы и просты, вторые лучше проявляют себя в работе. При подключении двухвыводной ИЗУ при включении разряд подается на лампу и балласт, при подключении трехвыводной — только на лампу;

Для подключения потребуется несколько дополнительных элементов

  1. Пускорегулирующий аппарат — электронный или электромагнитный балласт, который занимается ограничением тока после запуска. Электронный балласт или ЭПРА — это электронная схема, электромагнитный — дроссель (катушка с незамкнутым магнитопроводом). При подключении дроссель необходимо включить последовательно с ДНаТ, ИЗУ — параллельно.

Схема подключения двухвыводной ИЗУ происходит в несколько шагов:

  1. ИЗУ подключается параллельно лампе;
  2. Провод «фаза» после дросселя нужно подключить к нужному клемму ИЗУ;
  3. Вторая жала подключается в оставшиеся зажимы.

Трехвыводная ИЗУ требует более длительного подключения

Схема подключения натриевой лампы высокого давления и трехвыводной ИЗУ немного сложнее:

  1. Один отрицательный провод необходимо подключить к лампочке, второй — к однотипному зажиму ИЗУ;
  2. Далее нужно разомкнуть фазу и один кабель из щитка подключить к дросселю;
  3. Средний проводник подключается к лампочке.

При подключении ДНаТ лампы необходимо пользоваться схемами. При возникновении сомнений лучше обратиться к специалисту, а не подключать самостоятельно.

Срок службы

Срок службы светильников ДНаТ довольно значительный: минимальный срок составляет 14 тысяч часов (это более 1,5 лет), максимальный — до 32 тысяч (более 3,5 лет). При этом длительность работы зависит от внешних условий (при слишком низкой температуре износ будет сильнее), напряжения в электросети и других нюансов.

Лампочки можно использовать как дополнительное освещение для теплиц

ДНаТ — это натриевые лампы высокого давления, которые не утратили популярности. Они отличаются длительный сроком службы, невысокой стоимостью и высокой светоотдачей. Несмотря на ряд недостатков (главный — плохая передача цвета), лампы такого типа все еще используют для уличного освещения.

Сравнение светильников ДРЛ, ДНаТ и светодиодных светильников

Таблица 1. Параметры типовых ламп и светильников ДРЛ и ДНаТ













ВидТипНоминальная мощность, ВтПотребляемая активная мощность, ВтСреднее время горения, часовСветовой поток лампы, Лм (начальный)Средний световой поток с учетом КПД светорассеивателя светильника, Лм (начальный) Средний световой поток светильника с лампой, Лм

(через 3 месяца эксплуатации)
Для подбора  LED аналогов*
Средний световой поток с учетом КПД светорассеивателя светильника, Лм (через 1 год эксплуатации)
ДРЛДРЛ-12512514012 0006 0004 4003 1002 600
ДРЛ-25025028012 00013 2009 6506 8005 800
ДРЛ-40040046015 00024 00017 50012 300
10 500
ДРЛ-70070082020 00041 00029 95021 000
18 000
ДНаТ
ДНаТ-5050556 0003 7002 8002 4002 200
ДНаТ-7070806 0006 0004 4003 9003 500
ДНаТ-1001001156 0009 4006 8506 0005 500
ДНаТ-15015017010 00014 50010 6009 4008 500
ДНаТ-25025030015 00026 00019 00016 700
15 200
ДНаТ-40040047015 00048 00035 10033 800
28 000


* Световой поток с учетом  потерь в отражателе светильника и первичной деградации ламп (в зависимости от их типа) при начальной эксплуатации.

Таблица 2. Сравнительные характеристики светильников с лампами ДРЛ, ДНАТ и LED(светодиодный)












Тип лампыДРЛДНаТСветодиодный светильник, модификаций 2014 года
Начальная светоотдача
с учетом КПД светильника 
(только лампы)
33 Лм/Вт
(46 Лм/Вт)
60 Лм/Вт
(83 Лм/Вт)
115 Лм/Вт
(130 Лм/Вт, варьируется 90-135 Лм/Вт
от типа светодиодов)
Снижение
светового потока
через 3 месяца (1 год эксплуатации)
30%
( 40% )
12%
 ( 20% )
2%
( 4% )
Светоотдача
с учетом КПД светильника
через 3 месяца /1 год эксплуатации
23 Лм/Вт
( 20 Лм/Вт )
51 Лм/Вт
( 48 Лм/Вт )
112 ЛМ/Вт
( 110 Лм/Вт )
Срок службы, часов12 000
(3 года*)
10 000
(2,5 года*)
80 000 
(21 год*)
Контрастность и цветопередачаслабаяочень слабаявысокая
Механическая
 прочность
средняясредняяотличная
Температурная устойчивостьслабаяочень слабаяотличная
Устойчивость к перепадамслабаяслабаяотличная
Время выхода
в рабочий режим
10-15 мин10-15 мин1-2 секунды
Нагреваетсясильносильноумеренно
Экологическая безопасностьлампа содержит до 100 мг паров ртутилампа содержит натриево-ртутную амальгаму и ксенонабсолютно безвредна

* Среднее время работы уличного освещения  3800 часов в год (Моссвет, Ленсвет)

МИФЫ, которые вызывают ошибки при выборе светодиодного аналога светильникам ДРЛ и ДНаТ

МИФ №1. Производители светодиодных светильников завышают характеристики при подборе аналогов для ДРЛ и ДНаТ.
Возможно
есть и недобросовестные производители и поставщики, завышающие параметры
своих светильников, но не надо путать это с тем, когда вы сталкиваетесь с
не соответствием  светового потока ламп ДРЛ и ДНаТ и предлагаемого светодиодного аналога!
Если мы действительно подбираем «аналог»,
то они и не могут совпадать по определению этого слова. Нужно учесть не
только заявленные начальные значения этого параметра (светового потока),
но и понять какой он будет реальный с учетом установки ламп в светильник и начала эксплуатации. Обычно эти значения  расходятся до 30…60% и это все обосновано!
Обоснование читайте далее


МИФ №2. Световой поток светильников ДРЛ и ДНаТ примерно равен справочным данным ламп
ДРЛ и ДНаТ .
    
Как правило справочные таблицы светового потока приведены НЕ для светильников ДРЛ и ДНАТ, а для ламп
ДРЛ и ДНАТ. Только часть светового потока лампы светит прямо из
светильника , остальная часть светового потока должна отразится от
светорассеивателя. Отражатель-рассеиватель светильника имеет большие потери,
связанные с невозможностью собрать и сформировать весь световой поток
из оптико-геометрических сложностей в изготовлении отражателя, а также
из больших потерь отражающего материала, для которого ключевым
параметром является надежность и цена, а не оптические свойства. Таким
образом потери из-за отражателя составляют около 20-25%. Если в светильники есть защитное стекло, оно также вноси потери до 10%
Вывод: реальная разница между  световым потоком светильника ДРЛ и ДНаТ и паспортным лампы составляет около 27% (25..35%)

МИФ №3. При 
световых расчетах можно ориентироваться на паспортный световой поток светильника (световой поток ламп ДРЛ и ДНаТ  с учетом потерь отражателя
светильника).

 
    Лампы ДРЛ и ДНаТ имеют сильную деградацию в процессе первичной эксплуатации, которую необходимо учитывать сразу при световых расчетах!
      Лампы ДРЛ через три месяца теряют порядка 30%
светового потока, а через 1 год эксплуатации 40% светового потока!
      Лампы ДНаТ через три месяца теряют порядка 15% светового потока, а через 1 год эксплуатации 20% светового потока!
Вывод: для расчетов освещенности  для светильников с лампами ДРЛ и ДНаТ  необходимо учитывать НЕ начальный (паспортный) световой поток, а световой поток после начальной эксплуатации , например через 3 месяца, а лучше 1 год эксплуатации!

Примечание: В реальности светодиоды
тоже не идеальны, и есть факторы которые тоже вызывают деградацию светового потока. Но для качественных светильников с правильно рассчитанным теплоотводом и стабилизаторами тока, деградация является незначительной и ей можно пренебречь.

Светодиоды через три месяца теряют порядка 2%
светового потока, а через 1 год эксплуатации  4% светового потока! 

МИФ №4. Эксплуатация светильников ДРЛ и ДНАТ, дороже светодиодных на стоимость ламп и работ по их замене.
 
    Эксплуатация светильников ДРЛ и ДНаТ,
конечно в основном это недешевые работы по замене перегоревших и быстро
деградирующих ламп, где нужно учесть не только закупку самих ламп, но и
в основном стоимость дорогих высотных работ с вышкой
 Также следует
учитывать существенные дополнительные работы в процессе эксплуатации по
удалении пыли и грязи с рассеивателей и отражателей светильников. Нужно
достаточно часто протирать
светильники
, причем аккуратно, учитывая хрупкость ламп. Это является достаточно дорогим  и НЕОБХОДИМЫМ обслуживанием. Если вовремя не протирать отражатель и рассеиватель светильника, потери светового потока могут составить до 50%!
Вывод: Светодиодные светильники
тоже пылятся, но их конструкция (за счет плоского стекла и герметичного
корпуса, а также отсутствия отражателя, которому предъявляются
повышенные требования по чистоте), нуждается в  существенно более редком и простом обслуживания в процессе эксплуатации.

Дуговые ртутные лампы (ДРЛ)

 

     Распространенный в настоящее время тип ламп используемых в уличном и промышленном освещении. Разработанные ранее других ламп и наименее трудоемкие в изготовлении лампы ДРЛ широко применяются для освещения внутри и вне помещений. Лампы ДРЛ обладают меньшей светоотдачей по сравнению с лампами ДНаТ, но в отличие от них не требуют для зажигания дополнительных высоковольтных запускающих устройств. Эргономические показатели освещения ламп ДРЛ (коэффициент пульсаций светового потока, соответствие спектра излучения солнечному спектру) немного хуже, чем, например, у ламп ДРИ, но гораздо лучше, чем у ламп ДНаТ.

 

Дуговые натриевые трубчатые лампы (ДНаТ)

     В настоящее время широко применяются для освещения улиц, транспортных магистралей, общественных сооружений и т.д. Лампы ДНаТ обладают самой высокой светоотдачей среди газоразрядных ламп и меньшим значением снижения светового потока при длительных сроках службы. В связи с очень высоким коэффициентом пульсаций и большим отклонением спектра излучения лампы в область красного цвета, что нарушает цветопередачу объектов, не рекомендуется применять лампы ДНаТ для освещения внутри производственных и жилых помещений. Большая зависимость светоотдачи и напряжения зажигания у ламп ДНаТ от состава и давления внутреннего газа, от проходящего через лампу тока и от температуры горелки предъявляют очень высокие требования к качеству изготовления и условиям эксплуатации ламп ДНаТ. Поэтому для эффективной работы ламп ДНаТ необходимо обеспечивать «комфортные» условия эксплуатации — высокую стабильность напряжения питания, температуру окружающей среды от -20С до +30С. Отклонение от «комфортных» условий эксплуатации приводит к резкому сокращению срока службы ламп и уменьшению светоотдачи. На срок службы ламп ДНаТ также влияет качество используемых импульсных запускающих устройств. В настоящее время существует широко распространенное заблуждение, что замена ламп ДРЛ на более эффективные лампы ДНаТ приводит к улучшению качества освещения и экономии электроэнергии. При этом не учитывается, что лампа ДНаТ аналогичной мощности при большем световом потоке имеет и больший потребляемый ток. Помимо этого, преобладание красного спектра от ламп ДНаТ ухудшает общую картину видимости освещаемых объектов, что особенно опасно для освещения скоростных автомобильных магистралей.

 

Светодиодные светильники LED

      Сами по себе светодиоды используются достаточно давно, в основном для индикации. Излучение света светодиодом происходит путём рекомбинации фотонов в области p-n перехода полупроводника при прохождении тока. Прорыв в области светодиодов, произошедший несколько лет назад, был связан в первую очередь с получением новых полупроводниковых материалов, повышающих яркость светодиодов более чем в 20 раз. В отличие от других технологий у светодиодов очень высокое КПД – не менее 90% (95-98%). В большинстве существующих технологий присутствует разогрев какого-либо тела или области, на что требуется приличные затраты энергии. Благодаря высокому КПД светодиодная технология обеспечивает низкое энергопотребление и малое тепловыделение. Помимо этого, в силу самой природы получения излучения, светодиоды обладают совокупностью характеристик, недостижимой для других технологий. Механическая и температурная устойчивость, устойчивость к перепадам напряжения, продолжительный срок службы, отличная контрастность и цветопередача. Плюс экологичность, отсутствие мерцания и ровный свет. Это и есть качество современной технологии.

Анализ:

Важно обозначить ещё один момент, о котором не сказано выше. У ламп ДРЛ и ДНаТ присутствует эффект старения. Достоверно известно, что после 400 часов работы падение светового потока у ламп ДРЛ составляет более 20%, а к концу срока жизни более 50%. Большую часть срока службы лампа излучает всего 50-60% от номинального светового потока. Это хорошо видно по кривой спада светового потока. С ДНаТами ситуация ещё печальней, ввиду их меньшей температурной устойчивости. У светодиодов подобного нет. Светодиоды в течение всего своего срока службы сохраняют свои параметры на первоначальном уровне. Лишь к концу срока может наблюдаться незначительное падение. Вот здесь-то и выявляется интересный и важный момент. Получается, что если проводить замеры параметров, например, каждый месяц в течение всего срока службы, а затем вычислить среднее, то оно будет составлять порядка (!) 60% от номинала. Заявленные значения параметров касаются лишь начального периода эксплуатации и будут постоянно падать по кривой с самого начала. Это ни что иное как  издержки существующих технологий. Можно вышесказанное интерпретировать следующим образом. За заявленные характеристики(в первую очередь имеется ввиду световой поток) вы платите больше или платите 100% за характеристики в реальности на ~40% ниже.
 

Эффективность использования данных типов светильников.

ДРЛ. Наиболее простая и доступная по цене технология. Низкие начальные затраты при условии отсутствия жёстких требований к освещению оправдывают её использование.
ДНаТ. Лучшая светоотдача среди газоразрядных ламп – единственное серьёзное преимущество перед ДРЛ. Но очень слабый показатель цветопередачи и большая чувствительность к температуре ставит под сомнение целесообразность замены. ДНаТ не рекомендуется использовать для внутреннего освещения, а в некоторых странах даже существует запрет. Освещение дорог, особенно скоростных, также не рекомендуется. При освещении любых других зон использование ламп ДНаТ можно считать оправданным по сравнению с ДРЛ.
Светодиодные светильники. Может показаться невероятным, но у светодиодных ламп нет технических недостатков. Они лучше во всём. В дополнение к сказанному выше можно добавить, что светодиодным лампам не требуются пусковые токи, а соответственно требуется меньшее сечение кабеля. Единственный минус это то, что в цене они прилично впереди. Насколько же оправдано их использование? С учётом всех факторов, касающихся издержек эксплуатации ламп ДРЛ или ДНаТ, срок окупаемости светодиодных аналогов начинается с 3-х лет. То есть – 3 года (или более) светодиодная лампа окупает себя, а во все последующие года приносит прибыль. При этом всё время выдавая самый качественный свет по сравнению с другими технологиями.

Перенапряжение и светодиоды.
На светодиод как на таковой подавать напряжение нельзя из-за его ВАХ(вольт-амперная характеристика). Либо он не загорится, либо сгорит, поэтому светодиод управляется током. Самый простой способ – через резистор. В светильнике для подачи «съедобного» тока на светодиодную цепь предусмотрен так называемый драйвер. Драйвер не только выступает в роли преобразователя (адаптера), но также предохраняет светодиоды от перенапряжения и скачков в электросети. В случае удар на себя принимает именно драйвер, что существенно  снижает стоимость не гарантийного  ремонта светильника.

Лампы ДНаТ. цена 185 руб.

 

Цены на лампы >>

  

цены от 02. 08.2016

  

Мощность лампы ДНаТед.цена с НДС
Лампа натриевая ДНаТ 70 Е27 БрестШтука312,76
Лампа натриевая ДНаТ 100 Е40 БрестШтука319,94
Лампа натриевая ДНаТ 150  ЛисмаШтука314,14
Лампа натриевая ДНаТ 150 Reflux Штука314,14
Лампа натриевая ДНаТ 150 Е40 БрестШтука336,34
Лампа натриевая ДНаТ 250 Е40 БрестШтука365,04
Лампа натриевая ДНАТ 250 ЛисмаШтука327,58
Лампа натриевая ДНАТ 400 ЛисмаШтука349,04
Лампа натриевая ДНаТ 400  БрестШтука394,80

  

Натриевые лампы ДНаТ являются одной из самых эффективных групп источников водимого излучения: они обладают самой высокой световой отдачей среди всех известных газоразрядных ламп и незначительным снижением светового потока при длительном сроке службы.

 

Поэтому эти источники света широко применяются для экономичного наружного освещения территорий депо, заводов, тоннелей, подъездных путей, строительных площадок, вокзалов и т.д.

Лампы ДНаТ работают в электрических сетях переменного тока напряжением 127-220 В, частотой 50 Гц и включаются в сеть вместе с пускорегулирующей аппаратурой, обеспечивающей зажигание ламп, нормальный режим работы и устранение радиопомех.

 

 

Технические характеристики:

 

Параметр

лампа ДНаТ 250-01

лампа ДНаТ 400-10

Номинальная мощность лампы, Вт

250

400

Световой поток, лм

22000

36000

Диаметр, среднее значение d, мм

48

48

Площадь освещения (0,5 лк; 3,0 лк), Га

1,2; 0,08

4,0; 0,25

Максимальная длина I, мм

260

280

Цоколь

Е40

Е40

 

 

Из изготовляемых в настоящее время Ламп ДНАТ  высокая доля приходится на ДНАТы мощностью 250Вт и 400 Вт. Именно на этих мощностях полезная эффективность ламп ДНаТ считается максимальной. В тоже время в последнее время сильно вырос интерес к натриевым лампам высокого давления не очень большей  мощности из-за рекомендаций к экономии электроэнергии при замене ламп ЛОН на газоразрядные лампы  мощностей 100, 70 и 50 Вт во внутреннем освещении.
Минимальная мощность ламп ДНАТ , достигнутая зарубежными изготовителями, составляет 30 — 50 Вт. На Украине на Полтавском заводе газоразрядных ламп освоен выпуск маломощных натриевых ламп высокого давления мощностью 70, 100 и 150 Вт. Некоторые трудности в разработкеи производстве маломощных натриевых ламп ДНАТ  связаны с переходом на малые токи и диаметры газоразрядных трубок, а также с увеличением относительной длины электродных областей в лампах ДНАТ по сравнению с межэлектродным расстоянием, что приводит к очень высокой отзывчивости лампы ДНАТ на режим электропитания, на отклонения в конструктивных размерах разрядной трубки и качество материалов. Поэтому при производстве ламп ДНАТ малой мощности кинескоп тнлевизора возрастают требования к предустановленной соблюденкой парадопусков на геометрические размеры прототипов схем разрядных колб, к химической чистоте ЧДА  материалов и точности дозировки наполняющих паров. Уже существуют ДНАТ  принципиальные технологии, позволяющие освоить массовый выпуск ламп ДНАТ  этих экономичных, долговечных источников света. Фирма ОСРАМ  предлагает также линейку маломощных ламп, кстати и не требующих зажигающего устройства (горелки содержат смесь Пчелкина). Однако их световая и качественная отдача на 14 — 15 % ниже, чем у обычных мощных ламп. Несомненно есть из достоинств ламп, не требующих импульсного зажигающего устройства, — возможность их установки таких ДНАТ в светильники для ртутных ламп (при прочих необходимых условиях). Например, лампа NAV E 110 со световым потоком 8000 лм вполне взаимозаменяема со ртутной лампой типа ДРЛ-125  имеющей номинальный световой поток 6000 — 6600 лм. Подобные отечественные разработки давно применяются в нашей стране. В настоящее время ОАО ЛИСМА, например, выпускает лампы ДНаТ 210 и ДНаТ 360, предназначенные для прямой замены ДРЛ 250 и ДРЛ 400 соответственно.

Лампа ДНАТ 400

Полное описание

Считается, что натриевые лампы ДНаТ высокого давления на сегодняшний день — один из наиболее экономичных источников света. Их широкое, повсеместное применение подтверждает этот факт — лампы ДНаТ различной мощности (70, 150, 250 или 400 Вт) используются, как правило, для уличного освещения, в том числе для освещения транспортных магистралей, туннелей, вокзалов, аэродромов, промышленных территорий — т.е. везде, где требуется обеспечить кoнтрaстную видимoсть oбъeктoв в любых погодных условиях. Еще одна распространенная область применения лампы ДНаТ — освещение в теплицах, цветниках или питомниках для растений.
Аббревиатура ДНаТ расшифровывается как «дуговая натриевая трубчатая лампа». Конструкция и принцип работы лампы ДНаТ довольно просты. Во внешнем стеклянном баллоне лампы ДНаТ есть специальная «горелка», которая представляет собой цилиндрическую разрядную трубку из особого материала — чистой окиси алюминия. Трубка заполнена смесью паров натрия и ртути, здесь присутствует также зажигающий газ ксенон. Электрический разряд (дуга) создается в парах натрия высокого давления. При этом лампа ДНаТ (70, 150, 250 или 400 Вт) имеет, как правило, специфический цвет излучения с золотисто-белым или оранжево-желтым оттенком.

Натриевые лампы ДНаТ подключаются специальным образом: в первую очередь, для этого необходимы специальный пускорегулирующий аппарат (или иначе — электромагнитный/электронный балласт) и импульсно-зажигающее устройство (ИЗУ).

Технические характеристики и особенности

Несмотря на очевидные достоинства лампы ДНаТ (экономичность, высокая светоотдача — до 130 лм/Вт, длительный срок службы — в среднем от 12 000 до 25 000 часов), некоторые технические характеристики таких ламп существенно ограничивают сферу их применения. Если учитывать такую характеристику, как, например, цветопередача, то лампа ДНаТ (250, 400 или иной мощности) является оптимальным выбором далеко не всегда. Дело в том, что использование ламп такого типа целесообразно только при невысоких требованиях к цветопередаче. Кроме того, лампа ДНаТ (70, 150, 250 или 400 Вт) предполагает, как правило, длительное время включения — до 6-10 минут.

Эффективность натриевых ламп прямо зависит от температуры окружающей среды, что также ограничивает их применение — в холодную погоду они светят хуже. Не совсем однозначно и утверждение, что они экологичнее ртутных ламп, так как в качестве наполнителя в большинстве ламп ДНаТ применяется соединение натрия с ртутью (амальгама натрия).

Натриевые лампы высокого давления обладают высоким КПД (примерно 30%). Исходя из спектрального анализа света, излучаемого лампами ДНаТ, на длины волн 550-640 нм приходится наибольшее излучение, что наиболее близко для восприятия человеком. Цветопередачу можно улучшить используя разнообразные газовые смеси и люминесцирующие материалы, а также изменяя давление в лампе. Однако подобные приемы уменьшают КПД и световой поток лампы.

Технические характеристики
Тип лампы    Мощность, Вт    Световой поток, лм    Световая отдача, лм/Вт    Средняя продолжительность горения, ч
ДНаТ 70    70    5800    80    6000
ДНаТ 100    100    9500    95    6000
ДНаТ 150    100    14500    100    6000
ДНаТ 250    250    25000    100    10000
ДНаТ 400    400    47000    125    15000
Стоит отметить, что при изменении питающего напряжения у ламп ДНаТ значительно меняется не только напряжение работы лампы, но и другие ее параметры. Поэтому нужно учесть, что производители рекомендуют эксплуатировать их при незначительных изменениях питающего напряжения (+/- 5% от номинального значения).

Применение

Мощность является важнейшей технической характеристикой лампы ДНаТ — выбор ламп определенной мощности должен обязательно соответствовать сфере ее применения. Известно, например, что лампа ДНаТ 70, 150, 250, 400 Вт является очень эффективной в случае искусственного освещения теплиц, цветников, питомников для растений. Для выращивания растений оптимальным вариантом является лампа ДНаТ 150, или же 250 Вт. В большинстве случаев для этих целей подойдет также лампа ДНаТ 400 Вт (но такие лампы ни в коем случае нельзя помещать ближе, чем в 50 см от растений). Более мощные лампы опасно устанавливать в теплицах и цветниках — они могут просто сжечь растения.

Что касается освещения улиц, подземных переходов, закрытых спорткомлексов, то для этих целей обычно используется лампа ДНаТ 150 или же лампа ДНаТ 70 Вт. Важно учитывать также степень защиты ламп от пыли и влаги: для уличного освещения подойдут лампы ДНАТ с параметром IP 65.

Лампа ДНаТ 150 Вт Е40 натриевая, высокого давления

Лампа ДНаТ 150 Вт Е40 натриевая, высокого давления

Лампа ДНаТ 150 Вт.

Техническая характеристика:

Тип лампы: ДНаТ 150

Мощность, Вт.: 150

Цоколь: Е40

Световой поток, лм.: 14500

Световая отдача, лм/Вт.: 100

Срок службы, Ч.: 6000

Рабочий ток А: 1.8

Пусковой ток, max: 2.9

Ёмкость конденсатора: 20-25 мкф. (устанавливается по желанию)

Описание:

Считается, что натриевые лампы ДНаТ высокого давления на сегодняшний день — один из наиболее экономичных источников света. Их широкое, повсеместное применение подтверждает этот факт — лампы ДНаТ различной мощности используются, как правило, для уличного освещения, в том числе для освещения транспортных магистралей, туннелей, вокзалов, аэродромов, промышленных территорий — т. е. везде, где требуется обеспечить кoнтрaстную видимoсть oбъeктoв в любых погодных условиях. Еще одна распространенная область применения лампы ДНаТ — освещение в теплицах, цветниках или питомниках для растений.

Аббревиатура ДНаТ расшифровывается как «дуговая натриевая трубчатая лампа». Конструкция и принцип работы лампы ДНаТ довольно просты. Во внешнем стеклянном баллоне лампы ДНаТ есть специальная «горелка», которая представляет собой цилиндрическую разрядную трубку из особого материала — чистой окиси алюминия. Трубка заполнена смесью паров натрия и ртути, здесь присутствует также зажигающий газ ксенон. Электрический разряд (дуга) создается в парах натрия высокого давления. При этом лампа ДНаТ имеет, как правило, специфический цвет излучения с золотисто-белым или оранжево-желтым оттенком.

Натриевые лампы ДНаТ подключаются специальным образом: в первую очередь, для этого необходимы специальный пускорегулирующий аппарат (или иначе — электромагнитный/электронный балласт) и импульсно-зажигающее устройство (ИЗУ). Все это приобретается обычно вместе с лампами, в нашем магазине.

Технические особонности:

Несмотря на очевидные достоинства лампы ДНаТ (экономичность, высокая светоотдача — до 130 лм/Вт, длительный срок службы — в среднем от 6 000 до 25 000 часов), некоторые технические характеристики таких ламп существенно ограничивают сферу их применения. Если учитывать такую характеристику, как, например, цветопередача, то лампа ДНаТ является оптимальным выбором далеко не всегда. Дело в том, что использование ламп такого типа целесообразно только при невысоких требованиях к цветопередаче. Кроме того, лампа ДНАт предполагает, как правило, длительное время включения — до 6-10 минут.

Эффективность натриевых ламп прямо зависит от температуры окружающей среды, что также ограничивает их применение — в холодную погоду они светят хуже. Не совсем однозначно и утверждение, что они экологичнее ртутных ламп, так как в качестве наполнителя в большинстве ламп ДНаТ применяется соединение натрия с ртутью (амальгама натрия).

Натриевые лампы высокого давления обладают высоким КПД (примерно 30%). Исходя из спектрального анализа света, излучаемого лампами ДНаТ, на длины волн 550-640 нм приходится наибольшее излучение, что наиболее близко для восприятия человеком. Цветопередачу можно улучшить используя разнообразные газовые смеси и люминесцирующие материалы, а также изменяя давление в лампе. Однако подобные приемы уменьшают КПД и световой поток лампы.

Стоит отметить, что при изменении питающего напряжения у ламп ДНаТ значительно меняется не только напряжение работы лампы, но и другие ее параметры. Поэтому нужно учесть, что производители рекомендуют эксплуатировать их при незначительных изменениях питающего напряжения (+/- 5% от номинального значения).

Применение:

Мощность является важнейшей технической характеристикой лампы ДНаТ — выбор ламп определенной мощности должен обязательно соответствовать сфере ее применения. Известно, например, что лампа ДНаТ, является очень эффективной в случае искусственного освещения теплиц, цветников, питомников для растений. Для выращивания растений оптимальным вариантом является лампа ДНаТ 150, или же 250 Вт. В большинстве случаев для этих целей подойдет также лампа ДНаТ 400 Вт (но такие лампы ни в коем случае нельзя помещать ближе, чем в 50 см от растений). Более мощные лампы опасно устанавливать в теплицах и цветниках — они могут просто сжечь растения.

Что касается освещения улиц, подземных переходов, закрытых спорткомлексов, то для этих целей обычно используется лампа ДНаТ 150. Важно учитывать также степень защиты ламп от пыли и влаги: для уличного освещения подойдут лампы ДНАТ с параметром IP 65. 

Характеристики NAT — удаленный доступ

NAT

позволяет использовать незарегистрированные IP-адреса или частное адресное пространство RFC 1918 внутри частной сети и получать доступ к общедоступной сети, такой как World Wide Web. Пограничный маршрутизатор, подключенный к общедоступной сети, использует NAT для преобразования адресов частной сети в зарегистрированный общедоступный адрес. Перевод может быть статическим или динамическим.

В случае простого преобразования каждый незарегистрированный IP-адрес преобразуется в уникальный общедоступный адрес.Это обеспечивает доступ из сетей, использующих незарегистрированную адресацию (или частное адресное пространство), к WWW. В этом сценарии администратор должен сначала найти поставщика услуг Интернета (ISP), чтобы предоставить блок адресов для использования. Это может быть сложно с финансовой точки зрения для всех, кроме самых крупных компаний.

Чтобы сэкономить адресное пространство, частное пространство можно «перегрузить» до одного или небольшого числа адресов, используя исходный IP-адрес плюс исходный порт пакета, чтобы дополнительно различать адрес отправителя.Рисунок 11-2 иллюстрирует заголовок пакета.

Рисунок 11-2 Информация заголовка пакета

Пункт назначения

Источник

IP-адрес назначения

IP-адрес источника

Порт

Порт

Адрес

Адрес

Заголовок транспортного уровня

Заголовок сетевого уровня

Заголовок транспортного уровня

Заголовок сетевого уровня

Недостатками реализации NAT являются повышенная задержка, учет адресов и потеря некоторых функций приложений, как указано в следующем списке:

• Задержка — повышенная задержка связана с введением шага преобразования (приложение уровня 7, используемое для преобразования) в пути коммутации.

• Подотчетность — некоторые могут счесть выгодным сокрытие внутренних адресов от внешнего мира. Однако это может быть проблематично при попытке определить, какой внутренний IP-адрес отвечает за какой трафик. Постоянный мониторинг подключений NAT или предоставление только статических трансляций NAT улучшит вашу рабочую нагрузку, но также уменьшит простоту использования, обеспечиваемую динамической реализацией NAT.

• Функциональность — некоторые приложения, которым требуется определенный исходный порт или исходный адрес, не смогут работать в среде NAT, которая предоставляет случайно выбранные адреса и назначения портов.Например, специализированная база данных, которая использует IP-адреса для доступа к определенным записям, не будет работать. Однако функциональность может быть восстановлена ​​с помощью статически сопоставленных трансляций, но опять же динамическая функциональность NAT будет потеряна.

Еще одна причина, по которой определенный исходный порт или исходный адрес не сможет функционировать в среде NAT, заключается в том, что некоторые приложения внедряют информацию об IP-адресе на прикладном уровне в дополнение к адресации IP-пакетов; когда это происходит, NAT не может идентифицировать ситуацию, которая приводит к несоответствию между информацией, включенной в IP-пакет, и информацией, включенной на прикладном уровне. Oracle и другие реляционные базы данных являются типичными примерами приложений, которые встраивают информацию об IP-адресах.

NAT сохраняет юридические адреса, уменьшает перекрытие, повышает гибкость Интернета и устраняет перенумерацию сети в измененной среде, как описано в следующем списке:

• Сохранение — юридически зарегистрированные адреса могут быть сохранены с использованием частного адресного пространства и NAT для получения доступа к Интернету.

• Дисфункция перекрытия — в ситуации с перекрытием сети NAT может обеспечить немедленное подключение без перенумерации.В случае, когда две компании объединились и используют одно и то же частное адресное пространство, проблему перекрытия можно временно устранить с помощью NAT. Ключевым здесь является слово временное. Это решение не пример дизайна, а пластырь для быстрого решения проблемы. Кроме того, если поставщик услуг имеет возможность подключения к нескольким клиентам, использующим одно и то же частное адресное пространство, может потребоваться разрешить подключение к нескольким клиентам, которые решили использовать одно и то же частное адресное пространство.

• Гибкость — подключение к Интернет-провайдеру или смена провайдера могут быть выполнены с помощью лишь незначительных изменений в конфигурации NAT. Недовольство или нелюбовь к провайдеру интернет-провайдера не редкость. При использовании NAT смена провайдера — это просто изменение пула назначенных адресов. Поскольку функция NAT выполняется на границе сети, маршрутизатор является единственным устройством, требующим перенастройки. Если клиент принимает нечастный блок адресов от провайдера и использует его во внутренней сети, смена интернет-провайдера потребует перенумерации всей сети.

• Устранение перенумерации — при внесении изменений в сеть стоимость немедленной перенумерации может быть устранена за счет использования NAT, позволяющего сохранить существующую схему адресов. Усилия по перенумерации могут быть реализованы постепенно или переданы DHCP-серверу поэтапно, а не все сразу.

Продолжить чтение здесь: Простой перевод NAT

Была ли эта статья полезной?

▷ Характеристики NAT » CCNA 200-301

Характеристики NAT

Сводка

В этом разделе объясняются назначение и функции NAT. Начните изучать CCNA 200-301 бесплатно прямо сейчас!

Примечание : Добро пожаловать. Эта тема является частью Модуля 6 курса Cisco CCNA 3. Чтобы лучше понять курс, вы можете перейти к разделу CCNA 3, где вам помогут оформить заказ.

Частное адресное пространство IPv4

Как вы знаете, общедоступных IPv4-адресов недостаточно для присвоения уникального адреса каждому устройству, подключенному к Интернету. Сети обычно реализуются с использованием частных адресов IPv4, как определено в RFC 1918.Диапазон адресов, включенных в RFC 1918, приведен в следующей таблице. Вполне вероятно, что компьютеру, который вы используете для просмотра этого курса, присвоен частный адрес.

Частные интернет-адреса определены в RFC 1918

Класс RFC 1918 Диапазон внутренних адресов Префикс
А 10.0.0.0 – 10.255.255.255 10. 0.0.0/8
Б 172.16.0.0 – 172.31.255.255 172.16.0.0/12
С 192.168.0.0 – 192.168.255.255 192.168.0.0/16

Эти частные адреса используются в организации или на сайте, чтобы устройства могли обмениваться данными локально. Однако, поскольку эти адреса не идентифицируют какую-либо отдельную компанию или организацию, частные IPv4-адреса не могут маршрутизироваться через Интернет. Чтобы разрешить устройству с частным IPv4-адресом доступ к устройствам и ресурсам за пределами локальной сети, частный адрес должен быть сначала преобразован в общедоступный адрес.

NAT обеспечивает преобразование частных адресов в публичные адреса, как показано на рисунке. Это позволяет устройству с частным IPv4-адресом получать доступ к ресурсам за пределами их частной сети, например к тем, которые находятся в Интернете. NAT в сочетании с частными IPv4-адресами был основным методом сохранения общедоступных IPv4-адресов. Один общедоступный IPv4-адрес может использоваться сотнями и даже тысячами устройств, каждое из которых настроено на уникальный частный IPv4-адрес.

Частные интернет-адреса RFC 1918

Без NAT исчерпание адресного пространства IPv4 произошло бы задолго до 2000 года.Однако NAT имеет ограничения и недостатки, которые будут рассмотрены далее в этом модуле. Решением проблемы исчерпания адресного пространства IPv4 и ограничений NAT является возможный переход на IPv6.

Что такое NAT

NAT имеет множество применений, но его основное применение — сохранение общедоступных IPv4-адресов. Он делает это, позволяя сетям использовать частные IPv4-адреса внутри и предоставляя преобразование в публичный адрес только при необходимости. Преимущество NAT заключается в повышении степени конфиденциальности и безопасности сети, поскольку он скрывает внутренние IPv4-адреса от внешних сетей.

Маршрутизаторы

с поддержкой NAT можно настроить с одним или несколькими действительными общедоступными IPv4-адресами. Эти общедоступные адреса известны как пул NAT. Когда внутреннее устройство отправляет трафик из сети, маршрутизатор с поддержкой NAT преобразует внутренний IPv4-адрес устройства в общедоступный адрес из пула NAT. Для внешних устройств весь трафик, входящий и исходящий из сети, выглядит как общедоступный IPv4-адрес из предоставленного пула адресов.

Маршрутизатор NAT обычно работает на границе тупиковой сети.Шлейфовая сеть — это одна или несколько сетей с одним соединением с соседней сетью, одним входом и одним выходом из сети. В примере на рисунке R2 является граничным маршрутизатором. Как видно из интернет-провайдера, R2 образует тупиковую сеть.

Что такое NAT

Когда устройство внутри тупиковой сети хочет связаться с устройством за пределами своей сети, пакет перенаправляется на граничный маршрутизатор. Пограничный маршрутизатор выполняет процесс NAT, преобразуя внутренний частный адрес устройства в общедоступный внешний маршрутизируемый адрес.

Примечание : Для подключения к провайдеру может использоваться частный или общедоступный адрес, который используется клиентами. Для целей этого модуля показан публичный адрес.

Как работает NAT

В этом примере ПК1 с частным адресом 192.168.10.10 хочет связаться с внешним веб-сервером с общедоступным адресом 209.165.201.1.

Нажмите кнопку Play на рисунке, чтобы запустить анимацию.

Как работает NAT

Терминология NAT

В терминологии NAT внутренняя сеть — это набор сетей, подлежащих трансляции.Внешняя сеть относится ко всем другим сетям.

При использовании NAT адреса IPv4 имеют разные обозначения в зависимости от того, находятся ли они в частной сети или в общедоступной сети (Интернет), а также от того, является ли трафик входящим или исходящим.

NAT включает четыре типа адресов:

  • Внутренний локальный адрес
  • Внутренний глобальный адрес
  • Внешний локальный адрес
  • Внешний глобальный адрес

При определении используемого типа адреса важно помнить, что терминология NAT всегда применяется с точки зрения устройства с переведенным адресом:

  • Внутренний адрес — адрес устройства, который транслируется NAT.
  • Внешний адрес — адрес целевого устройства.

NAT также использует понятие локального или глобального по отношению к адресам:

  • Локальный адрес  — локальный адрес — это любой адрес, который появляется во внутренней части сети.
  • Глобальный адрес  – глобальный адрес – это любой адрес, который появляется во внешней части сети.

Термины внутренний и внешний объединяются с терминами локальный и глобальный для обозначения конкретных адресов.Маршрутизатор NAT, R2 на рисунке, является точкой разграничения между внутренней и внешней сетями. R2 настроен с пулом общедоступных адресов для назначения внутренним хостам. Обратитесь к таблице сети и NAT на рисунке для дальнейшего обсуждения каждого из типов адресов NAT.

Терминология NAT

Щелкните каждую кнопку для получения дополнительной информации о различных типах адресов.

ПК1 имеет внутренний локальный адрес 192. 168.10.10. С точки зрения ПК1 веб-сервер имеет внешний адрес 209.165.201.1. Когда пакеты отправляются с ПК1 на глобальный адрес веб-сервера, внутренний локальный адрес ПК1 преобразуется в 209.165.200.226 (внутренний глобальный адрес). Адрес внешнего устройства обычно не транслируется, поскольку этот адрес обычно является общедоступным IPv4-адресом.

Обратите внимание, что ПК1 имеет разные локальные и глобальные адреса, тогда как веб-сервер имеет один и тот же общедоступный IPv4-адрес для обоих. С точки зрения веб-сервера трафик, исходящий от ПК1, выглядит как исходящий от 209.165.200.226, внутренний глобальный адрес.

Готов к работе! Продолжайте посещать наш блог курса по нетворкингу, ставьте лайк нашей фан-странице; и вы найдете больше инструментов и концепций, которые сделают вас профессионалом в области сетей.

Использование функции DNAT шлюза NAT в Интернете для предоставления услуг с выходом в Интернет — быстрый запуск

Выбор общедоступного IP-адреса Выберите EIP из раскрывающегося списка. EIP используется для связи с Интернетом. Примечание

  • Для стандартных шлюзов NAT нельзя указывать EIP как в записи SNAT, так и в DNAT.
    Вход.
  • Для расширенных шлюзов NAT можно указать EIP как в записи SNAT, так и в DNAT.
    Вход.
Выберите частный IP-адрес Выберите экземпляр ECS, который использует запись DNAT для связи с Интернетом.
Вы можете использовать один из следующих методов, чтобы указать частный IP-адрес
Экземпляр ECS:

  • Выбрать по ECS или ENI: выберите экземпляр ECS или эластичный сетевой интерфейс (ENI), связанный с
    Экземпляр ECS из раскрывающегося списка.
  • Ручной ввод: введите частный IP-адрес экземпляра ECS.
Настройки порта Выберите метод сопоставления DNAT:

  • Любой порт: указывает сопоставление IP-адресов.Запросы, предназначенные для EIP, перенаправляются на указанный
    Экземпляр ЭКС. Указанный экземпляр ECS может использовать EIP для доступа в Интернет.

    Примечание

    • Если сопоставление IP-адресов настроено для EIP в записи DNAT, EIP нельзя использовать в
      другая запись DNAT или запись SNAT.
    • Если шлюз Интернета NAT настроен с записью SNAT и записью DNAT,
      использует сопоставление IP-адресов, экземпляр ECS предпочтительно использует DNAT для доступа к Интернету.

  • Конкретный порт: указывает сопоставление портов.Интернет-шлюз NAT перенаправляет запросы на выбранный
    Экземпляр ECS на основе указанного протокола и портов.
    После указания порта задайте следующие параметры в соответствии с вашими бизнес-требованиями:

    • Общедоступный порт: внешний порт или диапазон портов, который используется для переадресации портов.
      • Допустимые значения: от 1 до 65535.
      • Чтобы указать диапазон портов, разделите первый порт и последний порт прямым
        косая черта (/), например 10/20 .
      • Если для общедоступного порта задан диапазон портов, необходимо также задать для частного порта диапазон портов. Кроме того, диапазон общедоступных портов и диапазон частных портов должны указывать
        одинаковое количество портов.Например, если вы установите для общего порта значение 10/20 , вы можете установить для частного порта значение 80/90 .

      Если для выбранного EIP созданы записи SNAT, и вы хотите указать
      общедоступный порт, номер которого больше 1024 , щелкните Удалить ограничения для диапазона портов. В появившемся сообщении нажмите ОК.Эта операция может временно прервать существующие соединения SNAT. Вы можете решить
      эту проблему, восстановив соединения. Действовать с осторожностью.

    • Частный порт: частный порт или диапазон портов, который используется для переадресации портов.
    • Тип протокола: протокол, используемый портами.
Имя записи Введите имя записи DNAT.

Имя должно иметь длину от 2 до 128 символов и может содержать цифры, символы подчеркивания.
(_) и дефис (-).Оно должно начинаться с буквы.

Преобразование сетевых адресов — обзор

Протокол преобразования сетевых адресов IP (NAT) — это протокол маршрутизатора, который позволяет узлам в частной сети прозрачно взаимодействовать с узлами во внешней сети и наоборот. Узлам в частной сети не был назначен глобально уникальный IP-адрес; следовательно, в противном случае связь с внешней сетью была бы невозможна.Эта прозрачная связь достигается путем изменения IP-адресов и заголовков протоколов пакетов, поступающих в частную сеть и из нее. NAT решает три общие проблемы с растущими сетями: нехватку глобально уникальных IP-адресов, защиту частной сети наподобие брандмауэра и гибкость сетевого администрирования.

8.6.1 Объяснение NAT

Существует множество разновидностей NAT. Базовый NAT сопоставляет IP-адрес в частной сети с глобальным уникальным IP-адресом. Базовый NAT выполняет преобразование только IP-адреса и требует, чтобы маршрутизатор NAT имел пул глобально уникальных IP-адресов, которые можно сопоставить. Базовый NAT также ограничивает количество узлов в частной сети, которые могут обмениваться данными с внешней сетью, количеством доступных глобально уникальных IP-адресов. Это означает, что для того, чтобы пять узлов в частной сети могли одновременно обмениваться данными с внешней сетью, должно быть пять глобально уникальных IP-адресов, доступных для трансляции.Пока эти пять адресов используются, никакие другие узлы в частной сети не могут взаимодействовать с внешней сетью.

NAPT (транслятор сетевых адресов и портов) решает некоторые проблемы с базовым NAT и гораздо лучше решает проблему нехватки глобально уникальных IP-адресов, позволяя всем узлам в частной сети связываться с внешней сетью с помощью совместное использование единого глобального уникального внешнего IP-адреса. Это выгодно для домов и предприятий с ограниченным числом уникальных IP-адресов в глобальном масштабе, поскольку все пользователи могут одновременно получать доступ к внешней сети. NAPT выполняет это, заменяя в заголовках протокола IP-адрес и номер порта TCP/UDP частного узла на глобально уникальный внешний IP-адрес и номер порта TCP/UDP. Другими словами, NAPT выполняет преобразование номеров портов UDP/TCP, а также IP-адресов. При использовании NAPT теоретический предел составляет до 64 000 одновременных сеансов (комбинаций адрес/порт) за раз. NAPT также известен как IP-маскарад .

Двунаправленный NAT позволяет инициировать соединения с хостов во внешней сети, а также в частной сети.Определенные порты на маршрутизаторе NAT сопоставляются со службами на частном узле или сервере через службу карты портов (см. раздел «Служба карты портов» далее в этой статье). Маршрутизатор NAT ретранслирует все соответствующие запросы из внешней сети на определенный частный сервер. Это позволяет серверам в частной сети быть доступными для узлов во внешней сети. Например, FTP-клиент во внешней сети может установить соединение с FTP-сервером в частной сети. Без двунаправленной поддержки NAT все соединения должны инициироваться с узлов в частной сети.

Поскольку все подключения должны инициироваться из частной сети или регистрироваться в службе карты портов, NAT обеспечивает защиту частной сети наподобие брандмауэра. Злоумышленник должен сначала получить доступ к маршрутизатору NAT, чтобы проникнуть в частную сеть. Кроме того, размер и топология частной сети скрыты за NAT-маршрутизатором. Обратите внимание, что NAT не обязательно исключает необходимость в реальном брандмауэре.

Нет необходимости вносить изменения в маршрутизатор NAT при добавлении нового узла или удалении или изменении конфигурации существующих узлов.Это обеспечивает гибкость администрирования сети.

Принцип работы NAT показан на рис. 8.6.

Рисунок 8.6. Теория работы NAT

Частная сеть 192.168.16.x скрыта от внешней сети за маршрутизатором NAT. Маршрутизатор NAT имеет один внешний интерфейс (201.100.67.1), используемый для связи с внешней сетью и для защиты анонимности частных узлов. Маршрутизатор NAT имеет один частный интерфейс (192. 168.16.1), используемый для связи с частной сетью.

Когда частный узел отправляет пакет во внешнюю сеть, маршрутизатор NAT перехватывает пакет и заменяет все экземпляры частного исходного IP-адреса (192.168.16.xxx) и исходного порта TCP/UDP внешним IP-адресом (201.100 .67.1) и назначенный внешний исходный порт TCP/UDP. NAT назначает номер порта. Для того чтобы частные узлы инициировали связь с внешними узлами, вмешательство пользователя или настройка не требуются. Однако, если серверу в частной сети необходимо обслуживать клиентов, находящихся во внешней сети, то порт сервера должен быть зарегистрирован в NAT через службу portmap.

Когда внешний узел отвечает частному узлу или инициирует приемлемое соединение с частным узлом, маршрутизатор NAT перехватывает пакет и заменяет все экземпляры внешнего IP-адреса назначения (201.100.67.1) и назначенного порта TCP/UDP внешнего назначения с частным IP-адресом (192.168.16.xxx) и TCP/UDP-портом назначения.

Служба карты портов

Как упоминалось ранее, NAT может быть двунаправленным. Это означает, что серверы могут поддерживаться в частной сети.NAT достигает этого с помощью службы portmap, которая используется для регистрации служб (серверов) в частной сети как доступных для внешней сети.

Несколько узлов в частной сети могут быть зарегистрированы на одном и том же порту с использованием одного и того же протокола. Например, несколько узлов могут быть зарегистрированы как FTP-серверы. Когда запросы на подключение поступают через маршрутизатор NAT из внешней сети, NAT будет циклически пересылать эти запросы на соответствующие серверы в частной сети.Это сделано для равномерного распределения работы между несколькими серверами.

Обратите внимание: поскольку внешняя сеть видит маршрутизатор NAT как единственное конечное место назначения, невозможно указать, какому из нескольких частных серверов может быть предназначен пакет. Например, если определенный файл хранится на одном из трех частных серверов, и внешний пользователь использует FTP для извлечения этого файла, не гарантируется, что запрос будет отправлен на нужный сервер. Если несколько серверов одного типа должны эффективно использоваться в частной сети, они должны быть зеркалированы.

8.6.3 Поддержка протоколов

NAT может поддерживать широкий спектр сетевых протоколов. Обратите внимание, что поддерживает , в данном случае это означает, что NAT может пересылать данные, отправленные этими протоколами, из частной сети во внешнюю сеть. Любой сетевой протокол может выполняться на самом NAT-маршрутизаторе. Например, если клиент TFTP не указан в списке как поддерживаемый конкретной реализацией NAT, это означает, что NAT не поддерживает клиент TFTP в частной сети, взаимодействующий с сервером TFTP во внешней сети.Однако клиент TFTP может выполняться на маршрутизаторе NAT. Этот TFTP-клиент может взаимодействовать с TFTP-серверами как в частной, так и во внешней сети. Примеры протоколов, которые могут поддерживаться, включают IP, TCP, UDP, DNS, ICMP, клиент-сервер HTTP, клиент-сервер Telnet, клиент-сервер TFTP и клиент-сервер FTP.

Шлюзы NAT — Amazon Virtual Private Cloud

Шлюз NAT — это служба преобразования сетевых адресов (NAT). Вы можете использовать шлюз NAT
чтобы экземпляры в частной подсети могли подключаться к службам за пределами вашего VPC, но к внешним
службы не могут инициировать соединение с этими экземплярами.

При создании шлюза NAT вы указываете один из следующих типов подключения:

  • Общий — (по умолчанию)
    Экземпляры в частных подсетях могут подключаться к Интернету через общедоступный шлюз NAT, но
    не может получать нежелательные входящие подключения из Интернета. Вы создаете публичный NAT
    шлюз в общедоступной подсети и должен связать эластичный IP-адрес со шлюзом NAT.
    при создании.Вы направляете трафик от шлюза NAT к интернет-шлюзу для VPC.
    Кроме того, вы можете использовать общедоступный шлюз NAT для подключения к другим VPC или к вашей локальной сети.
    сеть. В этом случае вы маршрутизируете трафик от шлюза NAT через транзитный шлюз или
    виртуальный частный шлюз.

  • Частный
    Экземпляры в частных подсетях могут подключаться к другим VPC или вашей локальной сети через
    частный шлюз NAT. Вы можете маршрутизировать трафик от шлюза NAT через транзитный шлюз
    или виртуальный частный шлюз. Вы не можете связать эластичный IP-адрес с частным NAT
    шлюз. Вы можете подключить интернет-шлюз к VPC с частным шлюзом NAT, но если вы
    маршрутизировать трафик с частного шлюза NAT на интернет-шлюз, интернет-шлюз
    сбрасывает трафик.

Шлюз NAT заменяет исходный IP-адрес экземпляров IP-адресом
NAT-шлюз.Для общедоступного шлюза NAT это эластичный IP-адрес шлюза NAT. Для
частный шлюз NAT, это частный IP-адрес шлюза NAT. При отправке ответа
трафик к экземплярам, ​​устройство NAT преобразует адреса обратно в исходный исходный IP-адрес.
адрес.

Цены

Когда вы предоставляете шлюз NAT, с вас взимается плата за каждый час, в течение которого ваш шлюз NAT
доступных и каждый гигабайт данных, которые он обрабатывает.Дополнительные сведения см. в разделе Цены на Amazon VPC.

Следующие стратегии могут помочь вам снизить расходы на передачу данных для вашего шлюза NAT:

  • Если ваши ресурсы AWS отправляют или получают значительный объем трафика через
    Зоны доступности, убедитесь, что ресурсы находятся в той же зоне доступности, что и NAT.
    шлюз или создайте шлюз NAT в той же зоне доступности, что и ресурсы.

  • Если большая часть трафика через шлюз NAT направлена ​​на сервисы AWS, поддерживающие интерфейс
    конечные точки или конечные точки шлюза, рассмотрите возможность создания конечной точки интерфейса или конечной точки шлюза
    для этих услуг.Дополнительные сведения о потенциальной экономии средств см. в разделе Цены на AWS PrivateLink.

Основные сведения о шлюзе NAT

Каждый шлюз NAT создается в определенной зоне доступности и реализуется с
избыточность в этой зоне. Существует квота на количество шлюзов NAT, которые вы можете
создать в каждой зоне доступности. Дополнительные сведения см. в разделе Квоты Amazon VPC.

Если у вас есть ресурсы в нескольких зонах доступности, и они используют один шлюз NAT, и если
Зона доступности шлюза NAT не работает, ресурсы в других зонах доступности теряются
доступ в Интернет. Чтобы создать архитектуру, независимую от зоны доступности, создайте NAT.
шлюз в каждой зоне доступности и настройте маршрутизацию, чтобы обеспечить использование ресурсов
шлюз NAT в той же зоне доступности.

К шлюзам NAT применяются следующие характеристики и правила:

  • Шлюз NAT поддерживает следующие протоколы: TCP, UDP и ICMP.

  • Шлюзы

    NAT поддерживаются для трафика IPv4 или IPv6. Для трафика IPv6 шлюз NAT выполняет NAT64.
    Используя это в сочетании с DNS64 (доступно на распознавателе Route 53), ваши рабочие нагрузки IPv6 в подсети в Amazon VPC могут
    общаться с ресурсами IPv4. Эти сервисы IPv4 могут присутствовать в одном и том же VPC (в отдельной подсети) или в другом VPC.
    в локальной среде или в Интернете.

  • Шлюз NAT поддерживает пропускную способность 5 Гбит/с и автоматически масштабируется до
    45 Гбит/с. Если вам требуется большая пропускная способность, вы можете разделить свои ресурсы на несколько
    подсети и создайте шлюз NAT в каждой подсети.

  • Шлюз NAT может обрабатывать один миллион пакетов в секунду и автоматически масштабируется
    до четырех миллионов пакетов в секунду. При превышении этого предела шлюз NAT будет отбрасывать пакеты. К
    предотвратите потерю пакетов, разделите свои ресурсы на несколько подсетей и создайте отдельный NAT
    шлюз для каждой подсети.

  • Шлюз NAT может поддерживать до 55 000 одновременных подключений к каждому
    уникальное место назначения.Это ограничение также применяется, если вы создаете примерно 900
    подключений в секунду к одному пункту назначения (около 55 000 подключений в секунду).
    минута). Если IP-адрес назначения, порт назначения или
    изменения протокола (TCP/UDP/ICMP), вы можете создать дополнительные 55 000
    соединения. Для более чем 55 000 подключений существует повышенный шанс
    ошибок подключения из-за ошибок распределения портов. Эти ошибки могут быть
    отслеживаться путем просмотра метрики ErrorPortAllocation CloudWatch для
    ваш NAT-шлюз.Дополнительные сведения см. в разделе Мониторинг шлюзов NAT с помощью Amazon CloudWatch.

  • С общедоступным шлюзом NAT можно связать только один эластичный IP-адрес.
    Вы не можете отменить связь эластичного IP-адреса со шлюзом NAT после того, как он
    созданный. Чтобы использовать другой эластичный IP-адрес для шлюза NAT,
    необходимо создать новый шлюз NAT с требуемым адресом, обновить маршрут
    таблицы, а затем удалите существующий шлюз NAT, если он больше не
    обязательный.

  • Частный шлюз NAT получает доступный частный IP-адрес от
    подсеть, в которой он настроен. Вы не можете отключить этот частный IP-адрес
    и вы не можете прикрепить дополнительные частные IP-адреса.

  • Вы не можете связать группу безопасности со шлюзом NAT. Вы можете связать
    группы безопасности с вашими экземплярами для управления входящим и исходящим трафиком.

  • Вы можете использовать сетевой ACL для управления входящим и исходящим трафиком в подсети для
    ваш NAT-шлюз.Шлюзы NAT используют порты 1024–65535. Для получения дополнительной информации см.
    Контролируйте трафик в подсети с помощью сетевых ACL.

  • Шлюз NAT получает сетевой интерфейс, которому автоматически назначается
    частный IP-адрес из диапазона IP-адресов подсети. Вы можете просмотреть
    сетевой интерфейс для шлюза NAT с помощью консоли Amazon EC2. Чтобы получить больше информации,
    см. Подробности просмотра
    о сетевом интерфейсе. Вы не можете изменить атрибуты этого
    сетевой интерфейс.

  • Невозможно получить доступ к шлюзу NAT через подключение ClassicLink,
    связанные с вашим VPC.

  • Вы не можете направить трафик на шлюз NAT через пиринг VPC
    соединение, VPN-подключение Site-to-Site или AWS Direct Connect. Шлюз NAT не может использоваться
    ресурсы по другую сторону этих соединений.

Контроль использования шлюзов NAT

По умолчанию пользователи IAM не имеют разрешения на работу со шлюзами NAT.Вы можете создать
пользовательская политика IAM, которая предоставляет пользователям разрешения на создание, описание и удаление шлюзов NAT.
Дополнительные сведения см. в разделе Управление идентификацией и доступом для Amazon VPC.

Работа с NAT-шлюзами

Консоль Amazon VPC можно использовать для создания шлюзов NAT и управления ими. Вы также можете использовать
мастер Amazon VPC для создания VPC с общедоступной подсетью, частной подсетью и шлюзом NAT.
Дополнительные сведения см. в разделе VPC с общедоступными и частными подсетями (NAT).

Создать шлюз NAT

Чтобы создать шлюз NAT, введите необязательное имя, подсеть и необязательный тип подключения.
Для общедоступного шлюза NAT необходимо указать доступный эластичный IP-адрес. Частный NAT
шлюз получает первичный частный IP-адрес, выбранный случайным образом из его подсети. Тебе нельзя
отсоедините первичный частный IP-адрес или добавьте вторичные частные IP-адреса.

Чтобы создать шлюз NAT

  1. Откройте консоль Amazon VPC по адресу
    https://консоль.aws.amazon.com/vpc/.

  2. На панели навигации выберите Шлюзы NAT .

  3. Выберите Создать шлюз NAT и выполните следующие действия:

    1. (Необязательно) Укажите имя шлюза NAT. Это создает тег, в котором ключ
      Имя , а значением является указанное вами имя.

    2. Выберите подсеть, в которой нужно создать шлюз NAT.

    3. Для Тип подключения выберите Private для
      создать частный шлюз NAT или общедоступный (по умолчанию), чтобы создать
      публичный NAT-шлюз.

    4. (только общедоступный шлюз NAT) Для Идентификатор распределения эластичных IP-адресов выберите
      эластичный IP-адрес для связи со шлюзом NAT.

    5. (необязательно) Для каждого тега выберите Добавить новый тег и введите имя ключа.
      и значение.

    6. Выберите Создать шлюз NAT .

  4. Начальное состояние шлюза NAT: Pending . После статуса
    изменяется на Доступно , шлюз NAT готов к использованию. Добавить маршрут
    к шлюзу NAT в таблицы маршрутизации для частных подсетей и добавить маршруты в
    таблица маршрутов для шлюза NAT.

    Если статус шлюза NAT изменится на Failed , произошла ошибка
    во время создания.Дополнительные сведения см. в разделе Сбой при создании шлюза NAT.

Пометить шлюз NAT

Вы можете пометить свой шлюз NAT, чтобы упростить его идентификацию или классификацию в соответствии с вашими потребностями.
потребности организации. Информацию о работе с тегами см. в разделе Тегирование ресурсов Amazon EC2 в
Руководство пользователя Amazon EC2 для инстансов Linux .

Теги распределения затрат поддерживаются для шлюзов NAT. Таким образом, вы также можете использовать теги для
организуйте свой счет за AWS и отразите собственную структуру затрат.Для получения дополнительной информации см.
Использование тегов распределения затрат
в Руководстве пользователя AWS Billing and Cost Management . Для получения дополнительной информации о настройке
отчет о распределении затрат с тегами, см. Ежемесячное распределение затрат
отчет в О выставлении счетов за учетную запись AWS .

Удалить шлюз NAT

Если вам больше не нужен шлюз NAT, вы можете удалить его. После удаления NAT
шлюз, его запись остается видимой в консоли Amazon VPC около часа, после
который автоматически удаляется.Вы не можете удалить эту запись самостоятельно.

Удаление шлюза NAT отключает его эластичный IP-адрес, но не освобождает
адрес из вашего аккаунта. Если вы удалите шлюз NAT, шлюз NAT направляет
оставаться в статусе blackhole , пока вы не удалите или не обновите маршруты.

Чтобы удалить шлюз NAT

  1. Откройте консоль Amazon VPC по адресу
    https://console.aws.amazon.com/vpc/.

  2. На панели навигации выберите Шлюзы NAT .

  3. Выберите переключатель для шлюза NAT, а затем выберите
    Действия , Удалить шлюз NAT .

  4. При запросе подтверждения введите , удалите , а затем
    выбрать Удалить .

  5. Если вам больше не нужен эластичный IP-адрес, связанный с общедоступным
    Шлюз NAT, мы рекомендуем вам освободить его.Для получения дополнительной информации см.
    Освободите эластичный IP-адрес.

Сценарии шлюза NAT

Ниже приведены примеры использования общедоступных и частных шлюзов NAT.

Сценарий: доступ к Интернету из частной подсети

Вы можете использовать общедоступный шлюз NAT, чтобы разрешить экземплярам в частной подсети отправлять исходящие
трафик в Интернет, но Интернет не может установить соединения с экземплярами.

На следующей диаграмме показана архитектура для этого варианта использования. Общедоступная подсеть
в зоне доступности A находится шлюз NAT. Частная подсеть в зоне доступности B
содержит экземпляры. Маршрутизатор отправляет связанный с Интернетом трафик от экземпляров в
частную подсеть к шлюзу NAT. Шлюз NAT отправляет трафик в Интернет
шлюза, используя эластичный IP-адрес шлюза NAT в качестве исходного IP-адреса.

Ниже приведена таблица маршрутов, связанная с общедоступной подсетью в зоне доступности.
А.Первая запись — это запись по умолчанию для локальной маршрутизации в VPC; это позволяет
экземпляров в VPC для связи друг с другом. Вторая запись отправляет все другие подсети
трафик к интернет-шлюзу; это позволяет шлюзу NAT получить доступ к Интернету.

Пункт назначения Цель
10.0.0.0/16 местный
0.0.0.0/0 идентификатор интернет-шлюза

Ниже приведена таблица маршрутов, связанная с частной подсетью в зоне доступности.
B. Первая запись является записью по умолчанию для локальной маршрутизации в VPC; это позволяет
экземпляров в VPC для связи друг с другом. Вторая запись отправляет все другие подсети
трафик, например интернет-трафик, к шлюзу NAT.

Пункт назначения Цель
10.0.0.0/16 местный
0.0.0.0/0 идентификатор шлюза
Проверка общедоступного шлюза NAT

После того, как вы создали шлюз NAT и обновили таблицы маршрутизации, вы можете пропинговать
удаленные адреса в Интернете из экземпляра в вашей частной подсети, чтобы проверить,
он может подключаться к Интернету.Пример того, как это сделать, см. в разделе Проверка подключения к Интернету.

Если вы можете подключиться к Интернету, вы также можете проверить,
маршрутизируется через шлюз NAT:

  • Проследите маршрут трафика от экземпляра в вашей частной подсети. Сделать это,
    запустите команду traceroute из экземпляра Linux в вашей частной подсети.
    В выводе вы должны увидеть частный IP-адрес шлюза NAT в одном из
    хмель (обычно первый хмель).

  • Используйте сторонний веб-сайт или инструмент, который отображает исходный IP-адрес, когда вы
    подключитесь к нему из экземпляра в вашей частной подсети. Исходный IP-адрес должен быть
    эластичный IP-адрес шлюза NAT.

Если эти тесты не пройдены, см. раздел Устранение неполадок со шлюзами NAT.

Проверить интернет-соединение

В следующем примере показано, как проверить, является ли экземпляр в частном
подсеть может подключаться к Интернету.

  1. Запустите экземпляр в вашей общедоступной подсети (используйте его в качестве хоста-бастиона). Для большего
    информацию см. в разделе Запуск экземпляра в вашей подсети. В мастере запуска убедитесь, что вы
    выберите Amazon Linux AMI и назначьте общедоступный IP-адрес своему экземпляру. Обеспечить, что
    правила вашей группы безопасности разрешают входящий SSH-трафик из диапазона IP-адресов
    для вашей локальной сети и исходящий SSH-трафик на диапазон IP-адресов вашего
    частная подсеть (также можно использовать 0.0.0.0/0 как для входящего, так и для
    исходящий SSH-трафик для этого теста).

  2. Запустите экземпляр в вашей частной подсети. В мастере запуска убедитесь, что вы
    выберите Amazon Linux AMI. Не назначайте общедоступный IP-адрес своему экземпляру.
    Убедитесь, что правила вашей группы безопасности разрешают входящий SSH-трафик из
    частный IP-адрес вашего экземпляра, который вы запустили в общедоступном
    подсеть и весь исходящий трафик ICMP. Вы должны выбрать ту же пару ключей
    который вы использовали для запуска своего экземпляра в общедоступной подсети.

  3. Настройте переадресацию агента SSH на локальном компьютере и подключитесь к своему бастиону.
    хост в общедоступной подсети. Дополнительные сведения см. в разделе Настройка переадресации агента SSH для Linux или
    macOS или Чтобы настроить переадресацию агента SSH для Windows (PuTTY).

  4. Со своего узла-бастиона подключитесь к своему экземпляру в частной подсети, а затем
    проверьте интернет-соединение с вашего экземпляра в частной подсети.Дополнительные сведения см. в разделе Проверка подключения к Интернету.

Чтобы настроить переадресацию агента SSH для Linux или
macOS

  1. С локального компьютера добавьте свой закрытый ключ в агент аутентификации.

    Для Linux используйте следующую команду.

      ssh-добавить -c mykeypair.pem  

    Для macOS используйте следующую команду.

      ssh-добавить -K mykeypair.pem  
  2. Подключитесь к своему экземпляру в общедоступной подсети, используя параметр -A , чтобы включить SSH.
    переадресацию агента и использовать публичный адрес экземпляра, как показано в следующем
    пример.

      ssh -A ec2-user@  54.0.0.123   

Чтобы настроить переадресацию агента SSH для Windows (PuTTY)

  1. Загрузите и установите Pageant со страницы загрузки PuTTY, если она еще не установлена.

  2. Преобразуйте закрытый ключ в формат .ppk. Дополнительные сведения см. в разделе Преобразование вашего
    закрытый ключ с помощью PuTTYgen в
    Руководство пользователя Amazon EC2 для инстансов Linux .

  3. Запустите Pageant, щелкните правой кнопкой мыши значок Pageant на панели задач (он может быть скрыт) и
    выберите Добавить ключ . Выберите созданный файл .ppk, введите
    парольную фразу, если необходимо, и выберите Открыть .

  4. Запустите сеанс PuTTY и подключитесь к своему экземпляру в общедоступной подсети, используя его
    общедоступный IP-адрес. Дополнительные сведения см. в разделе Подключение к вашему экземпляру Linux. В категории Auth убедитесь, что
    что вы выбрали параметр Разрешить переадресацию агента ,
    и оставьте файл закрытого ключа для аутентификации
    коробка пустая.

Чтобы проверить подключение к Интернету

  1. Из своего экземпляра в общедоступной подсети подключитесь к своему экземпляру в частной подсети с помощью
    используя свой частный IP-адрес, как показано в следующем примере.

      ssh ec2-user@  10.0.1.123   
  2. В своем частном экземпляре проверьте, можете ли вы подключиться к Интернету, запустив
    Команда ping для веб-сайта, на котором включен протокол ICMP.

      эхо-запрос ietf.org  
      PING ietf.org (4.31.198.44) 56 (84) байт данных.
    64 байта с mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86,0 мс
    64 байта от почты.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 время=75,6 мс
    ...  

    Нажмите Ctrl+C на клавиатуре, чтобы отменить ping
    команда. Если команда ping не удалась, см. раздел Экземпляры не могут получить доступ к
    интернет.

  3. (Необязательно) Если вам больше не нужны ваши экземпляры, остановите их. Для получения дополнительной информации см.
    Прекратить
    экземпляр в
    Руководство пользователя Amazon EC2 для инстансов Linux .

Сценарий: разрешите доступ к вашей сети с разрешенных IP-адресов

Вместо того, чтобы назначать каждому экземпляру отдельный IP-адрес из диапазона IP-адресов,
разрешен доступ к вашей локальной сети, вы можете создать подсеть в своем VPC с разрешенным
диапазон IP-адресов, создайте частный шлюз NAT в подсети и направьте трафик с вашего
VPC, предназначенный для вашей локальной сети через шлюз NAT.

Миграция с экземпляра NAT на шлюз NAT

Если вы уже используете экземпляр NAT, мы рекомендуем заменить его шлюзом NAT.
Вы можете создать шлюз NAT в той же подсети, что и ваш экземпляр NAT, а затем заменить
существующий маршрут в вашей таблице маршрутов, который указывает на экземпляр NAT с маршрутом, который
указывает на шлюз NAT. Чтобы использовать тот же эластичный IP-адрес для шлюза NAT, который вы
которые в настоящее время используются для вашего экземпляра NAT, вы должны сначала отключить эластичный IP-адрес.
из вашего экземпляра NAT, а затем свяжите его со шлюзом NAT при создании
шлюз.

Если вы измените маршрутизацию с экземпляра NAT на шлюз NAT или отсоедините
Эластичный IP-адрес из вашего экземпляра NAT, любые текущие соединения сбрасываются и должны
быть восстановлена. Убедитесь, что у вас нет критических задач (или любых других задач, которые
работать через экземпляр NAT).

Обзор API и интерфейса командной строки

Вы можете выполнять задачи, описанные на этой странице, с помощью командной строки или API. Для большего
информацию об интерфейсах командной строки и список доступных операций API см.
Получите доступ к Amazon VPC.

DNS64 и NAT64

Шлюз

NAT поддерживает трансляцию сетевых адресов из IPv6 в IPv4, широко известную как
НАТ64. NAT64 помогает вашим ресурсам IPv6 AWS обмениваться данными с ресурсами IPv4 в
того же VPC или другого VPC, в вашей локальной сети или через Интернет. Вы можете использовать NAT64
с DNS64 на Amazon Route 53 Resolver или используйте свой собственный сервер DNS64.

Что такое DNS64?

Ваши рабочие нагрузки только для IPv6, работающие в VPC, могут отправлять и получать только сетевые пакеты IPv6.Без DNS64 запрос DNS для службы только для IPv4 даст адрес назначения IPv4.
в ответ, и ваша служба только для IPv6 не может связаться с ним. Чтобы преодолеть это
разрыв связи, вы можете включить DNS64 для подсети, и это применимо ко всем ресурсам AWS.
внутри этой подсети. С помощью DNS64 сопоставитель Amazon Route 53 ищет запись DNS для
службу, которую вы запрашивали, и выполняет одно из следующих действий:

  • Если запись содержит адрес IPv6, возвращается исходная запись и
    соединение устанавливается без какой-либо трансляции по IPv6.

  • Если в записи DNS нет адреса IPv6, связанного с пунктом назначения,
    Route 53 Resolver синтезирует один, добавляя известный префикс /96 ,
    определенный в RFC6052 ( 64:ff9b::/96 ), на адрес IPv4 в записи. Ваш
    Служба только для IPv6 отправляет сетевые пакеты на синтезированный адрес IPv6. Вы будете тогда
    необходимо направить этот трафик через NAT-шлюз, который выполняет необходимые
    преобразование трафика, позволяющее службам IPv6 в вашей подсети получать доступ к службам IPv4.
    вне этой подсети.

Вы
может включать или отключать DNS64 в подсети, используя атрибут Modify-subnet-attribute, используя
интерфейс командной строки AWS или с помощью консоли VPC, выбрав подсеть и выбрав
Действия > Изменить настройки DNS64 .

Что такое NAT64?

NAT64 позволяет вашим сервисам только для IPv6 в Amazon VPC
взаимодействовать со службами, поддерживающими только IPv4, в одном и том же VPC (в разных подсетях) или подключенных VPC, в локальных сетях или через Интернет.

NAT64 автоматически доступен на ваших существующих шлюзах NAT или на любых новых шлюзах NAT, которые вы создаете. это не особенность
вы включаете или отключаете.

После того, как вы включили DNS64 и ваша служба только для IPv6 отправляет сетевые пакеты на
синтезировал адрес IPv6 через шлюз NAT, происходит следующее:

  • Из префикса 64:ff9b::/96 шлюз NAT распознает, что исходным пунктом назначения является IPv4, и преобразует пакеты IPv6 в IPv4, заменяя:

    • Исходный IPv6 с собственным частным IP-адресом, который преобразуется в эластичный IP-адрес
      интернет-шлюз.

    • Назначение IPv6 в IPv4 путем усечения 64:ff9b::/96
      префикс.

  • Шлюз NAT отправляет переведенные пакеты IPv4 в пункт назначения через Интернет.
    шлюз, виртуальный частный шлюз или транзитный шлюз и инициирует соединение.

  • Хост, использующий только IPv4, отправляет ответные пакеты IPv4. После установления соединения шлюз NAT принимает ответные пакеты IPv4.
    с внешних хостов.

  • Ответные пакеты IPv4 предназначены для шлюза NAT, который получает пакеты и де-NAT, заменяя свой IP (IP-адрес назначения) на
    IPv6-адрес хоста и добавление 64:ff9b::/96 к исходному IPv4-адресу. Затем пакет направляется к хосту по локальному маршруту.

Таким образом, шлюз NAT позволяет вашим рабочим нагрузкам, использующим только IPv6, в подсети Amazon VPC обмениваться данными со службами, поддерживающими только IPv4, где угодно за пределами подсети.

Настройка DNS64 и NAT64

Выполните действия, описанные в этом разделе, чтобы настроить DNS64 и NAT64 для обеспечения связи со службами, поддерживающими только IPv4.

Включить связь со службами только IPv4 в Интернете с
Интерфейс командной строки AWS

Если у вас есть подсеть с рабочими нагрузками только для IPv6, которая должна взаимодействовать со службами только для IPv4 за пределами подсети,
в этом примере показано, как разрешить этим службам, поддерживающим только IPv6, взаимодействовать со службами, поддерживающими только IPv4, в Интернете.

Сначала следует настроить шлюз NAT в общедоступной подсети (отдельно от подсети, содержащей рабочие нагрузки только для IPv6). Например,
подсеть, содержащая шлюз NAT, должна иметь маршрут 0.0/0 , указывающий на интернет-шлюз.

Выполните следующие действия, чтобы разрешить этим службам только для IPv6 подключаться к службам только для IPv4 в Интернете:

  1. Добавьте следующие три маршрута в таблицу маршрутов подсети, содержащей только IPv6.
    рабочие нагрузки:

    • Маршрут IPv4 (если есть), указывающий на шлюз NAT.

    • 64:ff9b::/96 маршрут, указывающий на шлюз NAT. Это позволит
      трафик от ваших рабочих нагрузок только для IPv6, предназначенный для служб только для IPv4,
      маршрутизируется через NAT-шлюз.

    • IPv6 ::/0 маршрут, указывающий на только исходящий интернет-шлюз (или интернет-шлюз).
      шлюз).

    Обратите внимание, что указание ::/0 на интернет-шлюз позволит использовать внешние хосты IPv6 (внешние
    VPC), чтобы инициировать подключение по IPv6.

      aws ec2 create-route --route-table-id  rtb-34056078  --destination-cidr-block
      0.0.0.0/0  --nat-шлюз-id  nat-05dba92075d71c408   
      aws ec2 create-route --route-table-id  rtb-34056078  --destination-ipv6-cidr-block
      64:ff9b::/96  ---идентификатор шлюза  nat-05dba92075d71c408   
      aws ec2 create-route --route-table-id  rtb-34056078  --destination-ipv6-cidr-block
      ::/0  --идентификатор выхода-только-интернет-шлюза  eigw-c0a643a9   
  2. Включите возможность DNS64 в подсети, содержащей рабочие нагрузки только для IPv6.

      aws ec2 изменить атрибут подсети --subnet-id  subnet-1a2b3c4d  --enable-dns64  

Теперь ресурсы в вашей частной подсети могут устанавливать соединения с отслеживанием состояния как со службами IPv4, так и со службами IPv6 на
интернет. Настройте свою группу безопасности и NACL соответствующим образом, чтобы разрешить исходящий и входящий трафик
64:ff9b::/96 трафик.

Включите связь со службами, поддерживающими только IPv4, в вашей локальной среде

Amazon Route 53 Resolver позволяет перенаправлять DNS-запросы из вашего VPC в
локальной сети и наоборот.Вы можете сделать это, выполнив следующие действия:

  • Вы создаете конечную точку исходящего трафика Route 53 Resolver в VPC и назначаете ей адреса IPv4.
    от которого вы хотите, чтобы Route 53 Resolver перенаправлял запросы. Для вашего локального DNS
    резолвер, это IP-адреса, с которых исходят DNS-запросы, и,
    следовательно, должны быть адреса IPv4.

  • Вы создаете одно или несколько правил, определяющих доменные имена DNS-запросов.
    которые вы хотите, чтобы сопоставитель Route 53 перенаправлял на ваши локальные сопоставители.Вы тоже
    укажите IPv4-адреса локальных преобразователей.

  • Теперь, когда вы настроили конечную точку исходящего трафика Route 53 Resolver, вам необходимо
    включите DNS64 в подсети, содержащей ваши рабочие нагрузки только для IPv6, и маршрутизируйте любые данные
    предназначенный для вашей локальной сети через шлюз NAT.

Как DNS64 работает для назначений только для IPv4 в локальных сетях:

  1. Вы назначаете IPv4-адрес исходящей конечной точке Route 53 Resolver в своем VPC.

  2. DNS-запрос от вашей службы IPv6 направляется к Route 53 Resolver через IPv6. Резолвер маршрута 53
    сопоставляет запрос с правилом переадресации и получает IPv4-адрес для вашего
    локальный сопоставитель.

  3. Route 53 Resolver преобразует пакет запроса из IPv6 в IPv4 и пересылает его
    исходящая конечная точка. Каждый IP-адрес конечной точки представляет собой один ENI, который пересылает
    запрос на локальный IPv4-адрес вашего преобразователя DNS.

  4. Локальный сопоставитель отправляет ответный пакет по IPv4 обратно через исходящий
    конечная точка к Route 53 Resolver.

  5. Предполагая, что запрос был сделан из подсети с поддержкой DNS64, Route 53 Resolver выполняет два действия.
    вещей:

    1. Проверяет содержимое ответного пакета. Если в
      запись, он сохраняет содержимое как есть, но если он содержит только запись IPv4.Это
      также синтезирует запись IPv6, добавляя 64:ff9b::/96 к записи IPv4.
      адрес.

    2. Переупаковывает содержимое и отправляет его службе в вашем VPC по IPv6.

стандартных функций брандмауэра Azure | Документы Майкрософт

  • Статья
  • 8 минут на чтение

Полезна ли эта страница?

Пожалуйста, оцените свой опыт

да

Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Azure Firewall Standard — это управляемая облачная служба безопасности сети, которая защищает ресурсы виртуальной сети Azure.

Брандмауэр Azure включает следующие функции:

  • Встроенная высокая доступность
  • Зоны доступности
  • Неограниченная облачная масштабируемость
  • Правила фильтрации полных доменных имен приложений
  • Правила фильтрации сетевого трафика
  • Теги полного доменного имени
  • Сервисные метки
  • Информация об угрозах
  • DNS-прокси
  • Пользовательский DNS
  • Полное доменное имя в сетевых правилах
  • Развертывание без общедоступного IP-адреса в режиме принудительного туннелирования
  • Поддержка исходящего SNAT
  • Входящая поддержка DNAT
  • Несколько общедоступных IP-адресов
  • Ведение журнала Azure Monitor
  • Принудительное прокладывание туннеля
  • Веб-категории
  • Сертификаты

Встроенная высокая доступность

Высокая доступность встроена, поэтому дополнительные балансировщики нагрузки не требуются, и вам не нужно ничего настраивать.

Зоны доступности

Брандмауэр Azure можно настроить во время развертывания так, чтобы он охватывал несколько зон доступности для повышения доступности. С зонами доступности ваша доступность увеличивается до 99,99% времени безотказной работы. Дополнительные сведения см. в Соглашении об уровне обслуживания брандмауэра Azure (SLA). SLA 99,99 % времени безотказной работы предлагается при выборе двух или более зон доступности.

Вы также можете связать брандмауэр Azure с определенной зоной только из соображений близости, используя стандарт службы 99.95% SLA.

Дополнительная плата за брандмауэр, развернутый в зоне доступности, не взимается. Однако существуют дополнительные расходы на передачу входящих и исходящих данных, связанных с зонами доступности. Дополнительные сведения см. в разделе Информация о ценах на пропускную способность.

Зоны доступности брандмауэра Azure доступны в регионах, поддерживающих зоны доступности. Дополнительные сведения см. в разделе Регионы, поддерживающие зоны доступности в Azure

.

Примечание

Зоны доступности можно настроить только во время развертывания.Вы не можете настроить существующий брандмауэр для включения зон доступности.

Дополнительные сведения о зонах доступности см. в разделе Регионы и зоны доступности в Azure.

Неограниченная облачная масштабируемость

Брандмауэр Azure может масштабироваться настолько, насколько вам нужно, чтобы приспособиться к меняющимся потокам сетевого трафика, поэтому вам не нужно планировать свой пиковый трафик.

Правила фильтрации полных доменных имен приложений

Вы можете ограничить исходящий трафик HTTP/S или трафик Azure SQL указанным списком полных доменных имен (FQDN), включая подстановочные знаки.Эта функция не требует завершения TLS.

Правила фильтрации сетевого трафика

Вы можете централизованно создать правила сетевой фильтрации разрешить или запретить по исходному и целевому IP-адресу, порту и протоколу. Брандмауэр Azure полностью сохраняет состояние, поэтому он может различать законные пакеты для разных типов подключений. Правила применяются и регистрируются в нескольких подписках и виртуальных сетях.

Брандмауэр Azure поддерживает фильтрацию сетевых протоколов уровней 3 и 4 с отслеживанием состояния.IP-протоколы уровня 3 можно отфильтровать, выбрав Любой протокол в правиле сети и выбрав подстановочный знак * для порта.

Теги полного доменного имени

упрощают разрешение широко известного сетевого трафика службы Azure через брандмауэр. Например, предположим, что вы хотите разрешить сетевой трафик Центра обновления Windows через брандмауэр. Вы создаете правило приложения и включаете тег Центра обновления Windows. Теперь сетевой трафик из Центра обновления Windows может проходить через брандмауэр.

Тег обслуживания представляет собой группу префиксов IP-адресов, что позволяет минимизировать сложность создания правил безопасности. Вы не можете создать свой собственный тег обслуживания или указать, какие IP-адреса включены в тег. Корпорация Майкрософт управляет префиксами адресов, заключенными в теге обслуживания, и автоматически обновляет тег обслуживания при изменении адресов.

Информация об угрозах

Для брандмауэра можно включить фильтрацию на основе аналитики угроз, чтобы предупреждать и блокировать трафик с/на известные вредоносные IP-адреса и домены. IP-адреса и домены берутся из канала Microsoft Threat Intelligence.

DNS-прокси

При включенном прокси-сервере DNS брандмауэр Azure может обрабатывать и перенаправлять DNS-запросы из виртуальных сетей на нужный DNS-сервер. Эта функциональность имеет решающее значение и требуется для надежной фильтрации полных доменных имен в сетевых правилах. Вы можете включить прокси-сервер DNS в параметрах брандмауэра Azure и политики брандмауэра. Дополнительные сведения о прокси-сервере DNS см. в разделе Параметры DNS брандмауэра Azure.

Пользовательский DNS

Пользовательский DNS

позволяет настроить брандмауэр Azure для использования вашего собственного DNS-сервера, обеспечивая при этом разрешение исходящих зависимостей брандмауэра с помощью Azure DNS. Вы можете настроить один DNS-сервер или несколько серверов в параметрах DNS брандмауэра Azure и политики брандмауэра. Дополнительные сведения о пользовательском DNS см. в разделе Параметры DNS брандмауэра Azure.

Брандмауэр Azure также может разрешать имена с помощью Azure Private DNS. Виртуальная сеть, в которой находится брандмауэр Azure, должна быть связана с частной зоной Azure. Дополнительные сведения см. в статье Использование брандмауэра Azure в качестве сервера пересылки DNS с частной ссылкой.

Полное доменное имя в сетевых правилах

Вы можете использовать полные доменные имена (FQDN) в сетевых правилах на основе разрешения DNS в брандмауэре Azure и политике брандмауэра.

Указанные полные доменные имена в ваших коллекциях правил преобразуются в IP-адреса в соответствии с настройками DNS вашего брандмауэра. Эта возможность позволяет фильтровать исходящий трафик с использованием полных доменных имен с любым протоколом TCP/UDP (включая NTP, SSH, RDP и т. д.). Поскольку эта возможность основана на разрешении DNS, настоятельно рекомендуется включить прокси-сервер DNS, чтобы обеспечить соответствие разрешения имен защищенным виртуальным машинам и брандмауэру.

Разверните брандмауэр Azure без общедоступного IP-адреса в режиме принудительного туннелирования

Службе брандмауэра Azure требуется общедоступный IP-адрес для работы.Несмотря на безопасность, некоторые развертывания предпочитают не раскрывать общедоступный IP-адрес напрямую в Интернете.

В таких случаях вы можете развернуть Брандмауэр Azure в режиме принудительного туннелирования. Эта конфигурация создает сетевую карту управления, которая используется брандмауэром Azure для своих операций. Сеть Tenant Datapath может быть настроена без общедоступного IP-адреса, а интернет-трафик может быть принудительно туннелирован через другой брандмауэр или полностью заблокирован.

Режим принудительного туннеля нельзя настроить во время выполнения.Вы можете повторно развернуть брандмауэр или использовать средство остановки и запуска, чтобы перенастроить существующий брандмауэр Azure в режиме принудительного туннелирования. Брандмауэры, развернутые в Secure Hub, всегда развертываются в режиме принудительного туннелирования.

Поддержка исходящего SNAT

Все IP-адреса исходящего виртуального сетевого трафика преобразуются в общедоступный IP-адрес брандмауэра Azure (преобразование исходного сетевого адреса). Вы можете идентифицировать и разрешить трафик, исходящий из вашей виртуальной сети, к удаленным адресатам в Интернете.Брандмауэр Azure не выполняет SNAT, если конечный IP-адрес является диапазоном частных IP-адресов в соответствии с IANA RFC 1918.

Если ваша организация использует диапазон общедоступных IP-адресов для частных сетей, брандмауэр Azure направит трафик на один из частных IP-адресов брандмауэра в AzureFirewallSubnet. Вы можете настроить брандмауэр Azure на , а не на SNAT вашего диапазона общедоступных IP-адресов. Дополнительные сведения см. в разделе диапазоны частных IP-адресов SNAT брандмауэра Azure.

Вы можете отслеживать использование порта SNAT в метриках брандмауэра Azure. Узнайте больше и ознакомьтесь с нашими рекомендациями по использованию портов SNAT в нашей документации по журналам и метрикам брандмауэра.

Входящая поддержка DNAT

Входящий сетевой трафик Интернета на общедоступный IP-адрес вашего брандмауэра транслируется (преобразование сетевого адреса назначения) и фильтруется на частные IP-адреса в ваших виртуальных сетях.

Несколько общедоступных IP-адресов

С брандмауэром можно связать несколько общедоступных IP-адресов (до 250).

Это позволяет реализовать следующие сценарии:

  • DNAT — Вы можете транслировать несколько экземпляров стандартных портов на свои внутренние серверы.Например, если у вас есть два общедоступных IP-адреса, вы можете преобразовать TCP-порт 3389 (RDP) для обоих IP-адресов.
  • SNAT — для исходящих соединений SNAT доступно больше портов, что снижает вероятность исчерпания портов SNAT. В настоящее время брандмауэр Azure случайным образом выбирает исходный общедоступный IP-адрес для подключения. Если в вашей сети есть какая-либо нисходящая фильтрация, вам необходимо разрешить все общедоступные IP-адреса, связанные с вашим брандмауэром. Рассмотрите возможность использования префикса общедоступного IP-адреса, чтобы упростить эту настройку.

Ведение журнала Azure Monitor

Все события интегрированы с Azure Monitor, что позволяет архивировать журналы в учетную запись хранения, передавать события в концентратор событий или отправлять их в журналы Azure Monitor. Примеры журналов Azure Monitor см. в разделе журналы Azure Monitor для брандмауэра Azure.

Дополнительные сведения см. в разделе Учебник. Мониторинг журналов и показателей брандмауэра Azure.

Рабочая книга брандмауэра Azure предоставляет гибкое полотно для анализа данных брандмауэра Azure. Вы можете использовать его для создания объемных визуальных отчетов на портале Azure.Дополнительные сведения см. в статье Мониторинг журналов с помощью книги брандмауэра Azure.

Принудительное прохождение туннеля

Вы можете настроить брандмауэр Azure таким образом, чтобы весь трафик, связанный с Интернетом, направлялся на указанный следующий переход, а не напрямую в Интернет. Например, у вас может быть локальный пограничный брандмауэр или другое сетевое виртуальное устройство (NVA) для обработки сетевого трафика перед его передачей в Интернет. Дополнительные сведения см. в статье о принудительном туннелировании брандмауэра Azure.

Веб-категории

Веб-категории позволяют администраторам разрешать или запрещать пользователям доступ к категориям веб-сайтов, таким как сайты азартных игр, сайты социальных сетей и другие.Веб-категории включены в брандмауэр Azure Standard, но они более точно настроены в брандмауэре Azure Premium. В отличие от возможности веб-категорий в SKU Standard, которая соответствует категории на основе полного доменного имени, SKU Premium сопоставляет категорию в соответствии со всем URL-адресом для трафика HTTP и HTTPS. Дополнительные сведения о брандмауэре Azure Premium см. в разделе Возможности брандмауэра Azure Premium.

Например, если брандмауэр Azure перехватывает запрос HTTPS для www.google.com/news , ожидается следующая классификация:

  • Firewall Standard — будет проверена только часть FQDN, поэтому www. google.com будет отнесен к категории Поисковая система .

  • Firewall Premium — будет проверен полный URL-адрес, поэтому www.google.com/news будет отнесен к категории News .

Категории организованы в соответствии с серьезностью в соответствии с Ответственность , Высокая пропускная способность , Использование в бизнесе , Потеря производительности , Общий серфинг и Без категорий .

Исключения категорий

Вы можете создавать исключения из правил веб-категорий.Создайте отдельную коллекцию разрешающих или запрещающих правил с более высоким приоритетом в группе коллекций правил. Например, вы можете настроить набор правил, который разрешает www.linkedin.com с приоритетом 100, с набором правил, который запрещает Социальные сети с приоритетом 200. Это создает исключение для предопределенного Социальные сети Интернет. категория.

Сертификаты

Брандмауэр Azure соответствует требованиям индустрии платежных карт (PCI), средств контроля сервисной организации (SOC), Международной организации по стандартизации (ISO) и ICSA Labs.Дополнительные сведения см. в разделе Сертификаты соответствия брандмауэра Azure.

Следующие шаги

Страница не найдена

Моя библиотека

раз

    • Моя библиотека

    «»

    Настройки файлов cookie
    .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *