NAT - ce e asta? NAT Setup

Network Address Translation (NAT) este o metodă de reordonare un spațiu de adrese la alta prin schimbarea informațiilor adresa de rețea în IP (Internet Protocol). Aceasta este, header-ul pachetului se schimbă în momentul în care acestea sunt în tranzit prin dispozitivul de rutare. Această metodă a fost folosită inițial pentru ușurința de trafic de rutare în IP-rețele, fiecare gazdă fără renumerotare. El a devenit un instrument popular și important pentru conservarea și distribuirea spațiului de adrese la nivel mondial, în condițiile lipsei de adrese IPv4.

NAT - ce e asta?

Utilizarea originală a traducere adresă de rețea este de a mapa fiecare adresă de la un spațiu de adrese la o adresă corespunzătoare în celălalt spațiu. De exemplu, este necesar în cazul în care furnizorul de servicii de Internet sa schimbat, iar utilizatorul nu este în măsură să anunțe public o nouă rută către rețea. În condițiile previzibile de epuizare la nivel mondial adresa IP tehnologia spațială NAT este din ce în ce folosit încă de la sfârșitul anilor 1990, împreună cu IP-criptare (care este metoda de transport mai multe adrese IP în același spațiu). Acest mecanism este pus în aplicare într-un dispozitiv de rutare care utilizează tabele de traducere statefull pentru a afișa adresele „ascunse“ la o adresă IP, și transmite mai departe de ieșire IP-pachetele la ieșire. Astfel, ele sunt prezentate iese din dispozitivul de rutare. În ordine inversă de comunicații de canal răspunsurile sunt afișate în sursa adresei IP utilizând regulile stocate în tabelele de traducere. Reguli de tabel de translatare, la rândul său, eliminate după o perioadă scurtă de timp în cazul în care noul trafic nu actualizează statutul său. Acesta este mecanismul de bază al NAT. Este asta înseamnă?

Această metodă vă permite să comunicați prin intermediul router-ul numai atunci când o conexiune este făcută la o rețea criptată, deoarece creează un tabel de traducere. De exemplu, un browser web în cadrul rețelei poate naviga pe site-ul în străinătate, dar, în cazul în care nu sunt instalate în afara, nu se poate deschide o resursă, poziționat în interiorul acesteia. Cu toate acestea, cele mai multe dispozitive NAT astăzi permit un administrator de rețea pentru a configura o intrare de tabel de traducere pentru utilizare permanentă. Această caracteristică este adesea menționată ca statică NAT sau port de redirecționare și permite traficul care provine din rețeaua „afară“ pentru a ajunge la gazda de destinație într-o rețea criptată.

Datorită popularității acestei metode este utilizată pentru a păstra spațiul de adrese IPv4, termenul NAT (aceasta este ceea ce este de fapt - de mai sus), a devenit aproape sinonim cu metoda de criptare.

Deoarece NAT modifică informațiile despre adresa de IP-pachet, are implicații serioase pentru calitatea unei conexiuni la internet, și necesită o atenție deosebită la detalii punerii sale în aplicare.

Metode de utilizare NAT diferă unul de altul, în special, comportamentul lor în diferite cazuri care implică un impact asupra traficului de rețea.

Basic NAT

Cel mai simplu tip de Network Address Translation (NAT) asigură difuzare adreselor IP de „unu-la-unu.“ RFC 2663 este principalul tip de difuzare. În acest tip de schimbare numai adresa IP și control IP-antet. Principalele tipuri de traducere pot fi folosite pentru a conecta cele două IP-rețelele care sunt incompatibile adresează.

NAT - este că conectarea „unu-la-mulți“?

Cele mai multe soiuri de NAT pot cartografia mai multe gazde private de la o singură adresă IP desemnate în mod public. Într-o configurație tipică, o rețea locală utilizează una dintre cele desemnate adrese IP-subrețea „private“ (RFC 1918). Router-ul de pe acea rețea are o adresă privată în acest spațiu.

Router-ul se conectează, de asemenea, la Internet prin utilizarea unei adrese „publice“ desemnat de ISP. Deoarece traficul trece de la rețeaua locală la adresa de Internet a sursei de fiecare pachet este tradus pe zbor de la adresele private de către public. Router-ul urmărește date de bază despre fiecare conexiune activă (în special adresa de destinație și portul). În cazul în care răspunsul revine la el, el folosește datele de conectare, care sunt stocate în timpul fazei de ieșire pentru a determina adresa privată a rețelei interne pentru a trimite răspunsul.

Un avantaj al acestei funcționalități este că aceasta servește ca o soluție practică la epuizarea iminentă a spațiului de adrese IPv4. Chiar și rețele mari pot fi conectate la Internet printr-un singur adresa IP.

Toate pachetele datagrama rețelele bazate pe IP au 2 adresa IP - sursa și destinație. De obicei, pachetele care trec de la rețeaua privată la rețeaua publică, va avea adresa sursa de pachete, schimbare în timpul tranziției de la o rețea publică la un spate privat. Mai multe configurații complexe, de asemenea, sunt posibile.

caracteristici

NAT poate avea unele caracteristici speciale. Pentru a evita dificultățile este modul de a traduce pachetele returnate necesită modificări lor ulterioare. Marea majoritate a traficului pe Internet trece prin TCP și UDP protocoale și numere de porturi sunt schimbate, astfel încât combinația de IP-adresa și numărul de port în direcția inversă începe să fie cartografiate de date.

Protocoalele care nu se bazează pe TCP sau UDP, necesită diferite metode de traducere. Internet Control Message Protocol (ICMP), de regulă, se corelează datele transmise cu o conexiune existentă. Acest lucru înseamnă că acestea ar trebui să fie afișate folosind aceeași adresă IP și numărul stabilit inițial.

Ce ar trebui să ia în considerare?

Configurarea NAT pe router nu-i dea posibilitatea de conexiuni „de la un capăt la altul.“ Prin urmare, aceste routere nu pot participa la unele protocoale Internet. Serviciile care necesită inițierea TCP-conexiuni de la rețeaua externă sau utilizatorii fără protocoale pot fi indisponibile. În cazul în care router NAT nu face mult efort pentru a sprijini astfel de protocoale, pachetele primite nu pot ajunge la destinație. Unele protocoale pot găzdui o traducere între gazde ( „modul pasiv» FTP, de exemplu) care participă, uneori cu ajutorul gateway-ului de aplicații, dar conexiunea este stabilită atunci când ambele sisteme sunt separate de Internet folosind NAT. Utilizarea NAT complică, de asemenea, astfel de protocoale „tunelare“, cum ar fi IPsec, deoarece se schimbă valorile din antet, care interacționează cu integritatea cerere de revizuire.

Problema actuală

Compusul „de la un capăt la altul“ este principiul de bază al internetului, existente din moment ce dezvoltarea sa. Starea actuală a rețelei arată că NAT este o încălcare a acestui principiu. Specialiștii există preocupări serioase cu privire la utilizarea pe scară largă a IPv6 adresa traducere de rețea, și ridică problema cum să-l elimine în mod eficient.

Din cauza naturii efemere a tabelelor Stateful difuzate routere NAT, dispozitivele interne de rețea pierd IP-conexiune, de regulă, într-o perioadă foarte scurtă de timp. În afară de faptul că o astfel de NAT în router, nu puteți uita acest lucru. Acest lucru reduce serios timpul de funcționare a dispozitivelor compacte, care funcționează pe baterii și acumulatori.

scalabilitate

În plus, atunci când se utilizează NAT urmarite doar porturi care pot fi epuizate rapid aplicațiile interne folosind mai multe conexiuni simultane (de exemplu, HTTP-cererile de pagini web cu un număr mare de obiecte încorporate). Această problemă poate fi atenuată prin monitorizarea de destinație adresa IP, în plus față de un port (astfel, un port local, este împărțit gazdele mai îndepărtate).

unele dificultăți

Deoarece toate adresele interne deghizat ca public, gazde externe devine imposibil de a iniția o conexiune la un nod intern specific, fără nici o configurație specială pe firewall-ul (care este de a redirecționa conexiunea la un port specific). Aplicații, cum ar fi IP-telefonie, video conferințe, și aceste servicii trebuie să utilizeze tehnici NAT traversal pentru a funcționa în mod normal.

Adresa de returnare și translatarea portului (rapt) permite gazdei, a cărei reale adresa IP variază din când în când, să rămână disponibil ca un server cu o adresă IP fixă a rețelei de domiciliu. În principiu, ar trebui să permită setarea serverelor pentru a menține conexiunea. În ciuda faptului că acest lucru nu este o soluție perfectă problema, ar putea fi un alt instrument util în arsenalul administratorului de rețea pentru a rezolva problema, cum se configurează NAT pe router.

Port Address Translation (PAT)

punerea în aplicare Cisco rapt este Port Address Translation (PAT), care prezintă mai multe privat adresa IP ca fiind unul din public. Mai multe adrese pot fi afișate ca o adresă, pentru că fiecare dintre ele este monitorizată de numărul de port. PAT utilizează numere de port sursă unică pe IP la nivel mondial în interior, pentru a distinge direcția transferului de date. Aceste numere sunt numere întregi de 16-biți. adrese interne totale care pot fi traduse în cel exterior, se poate ajunge, teoretic, 65536. Numărul real de porturi la care un singur adresă IP poate fi atribuite, este de aproximativ 4000. în mod obișnuit, PAT încearcă să salveze portul sursa „original“. Dacă este deja în uz, Port Address Translation atribuie primul număr port disponibil începând de la începutul respectivelor grupuri - 0-511, 512-1023, sau 1024-65535. Atunci când nu mai există mai multe porturi disponibile și există mai mult de un extern adresa IP, PAT, se mută la următorul pentru a încerca să identifice portul sursă. Acest proces continuă până când nu mai există date disponibile.

Afișează adresele și portul Cisco a implementat un serviciu care combina adresa portului pachetele de date a tunelurilor de traducere IPv6 peste IPv4 intranet. De fapt, o alternativă informală CarrierGrade NAT și DS-Lite, care suporta IP-adresa de traducere / port (și, prin urmare, a sprijinit setarea NAT). Astfel, se evită probleme în instalarea și întreținerea conexiunii, și oferă, de asemenea mecanism de tranziție pentru implementarea IPv6.

metode de traducere

Există mai multe modalități de a pune în aplicare traducerea adresei de rețea și portul. În unele aplicații, protocoalele pe care aplicațiile utilizează pentru a lucra cu adrese IP, care funcționează într-o rețea criptată, trebuie să definiți adresa externă NAT (care este utilizat la celălalt capăt al conexiunii), și, în plus, este adesea necesar să se studieze și să clasifice tipul de transmisie. De obicei, acest lucru se face, deoarece este de dorit să se stabilească un canal de comunicare directă (sau a salva transmitere neîntreruptă a datelor prin intermediul serverului sau pentru a îmbunătăți performanța) între cei doi clienți, ambele sunt de NAT individuale.

În acest scop, (modul de configurare NAT) în 2003, a dezvoltat un protocol de RFC specială 3489 Traversare simplă UDP oferă prin NATS. Astăzi este depășită, deoarece aceste metode în zilele noastre sunt insuficiente pentru a evalua în mod corespunzător activitatea multor dispozitive. Noi metode au fost standardizate în protocolul RFC 5389, care a fost dezvoltat în octombrie 2008. Această specificație este acum cunoscut sub numele de SessionTraversal și este un utilitar pentru NAT.

Crearea unei două căi de comunicare

Fiecare pachet conține TCP și UDP IP-source adresa și numărul de port, precum și coordonatele portului de destinație.

Pentru astfel de servicii publice, ca o funcțională servere de e-mail, numărul portului este important. De exemplu, portul 80 este conectat la software - ul, serverul de web, și 25 - la serverul de mail SMTP. publice adresa IP a serverului este de asemenea esențială, cum ar fi adresa poștală sau numărul de telefon. Ambele acești parametri ar trebui să fie autentic cunoscută pentru toate nodurile care urmează să se conecteze.

Private de la adresele IP au o semnificație numai în rețelele locale, în cazul în care acestea sunt utilizate, precum și porturile gazdă. Porturile sunt conexiune punct final unic pe gazdă, astfel încât conexiunea printr-un NAT susținut de cartografiere de port combinat și adrese IP.

PAT (Port AddressTranslation) soluționează conflictele care pot apărea între două gazde diferite, folosind același număr de port sursă pentru a stabili conexiuni unice în același timp.