NAT - kas tas ir? NAT iestatīšana

Network Address Translation (NAT) ir metode, pārkārtošana vienu adrešu uz citu, mainot informācijas tīkla adresi IP (Internet Protocol). Tas ir, pakešu galvenes tiek mainīti laikā, kad tie ir tranzītā caur maršrutēšanas ierīces. Šī metode sākotnēji tika izmantoti, lai novirzītu satiksmes vienkāršību IP tīklos, katras uzņēmējas bez numerācijas. Viņš kļuva populārs un nozīmīgs instruments saglabāšanai un globālās adrešu izplatīšanu apstākļos trūkumu IPv4 adreses.

NAT - kas tas ir?

Sākotnējais izmantošana tīkla adreses translēšanu ir karti katru adresi, no vienas adrešu uz attiecīgo adresi citā telpā. Piemēram, tas ir nepieciešams, ja interneta pakalpojumu sniedzējs ir mainījusies, un lietotājs nevar publiski paziņot jaunu maršrutu tīklam. Saskaņā ar nosacījumiem paredzams pasaules noplicināšana IP adrešu NAT tehnoloģija tiek arvien vairāk izmanto kopš 1990, kas kopā ar IP šifrēšanu (kas ir metode transporta vairākas IP adreses, tajā pašā telpā). Šis mehānisms ir ieviests maršrutēšanas ierīces, kas izmanto tulkošanas galdi pakešfiltrēšanas parādīt "slēpto" adreses vienas IP adresi, un nosūta izejošo IP-paketes pie izejas. Tādējādi, tie tiek parādīti nāk no maršrutēšanas ierīces. Apgrieztā sakaru kanālu atbildes tiek parādīti avota IP adresi, izmantojot noteikumus, kas glabājas tulkošanas tabulās. Noteikumi tulkošanas tabulu, savukārt, noskaidroti pēc neilga laika, ja jaunā satiksmes nav atjaunināt savu statusu. Tas ir pamata mehānisms NAT. Tas nozīmē?

Šī metode ļauj jums sazināties caur maršrutētāju tikai tad, ja savienojums tiek veikts, lai šifrētu tīklu, jo tas rada tulkošanas tabulu. Piemēram, tīmekļa pārlūkprogramma tīklā var pārlūkot vietni ārzemēs, bet, ja tas nav uzstādīts ārā, tas nevar atvērt resursu, tajā novietots. Tomēr lielākā daļa NAT ierīces šodien ļauj tīkla administrators konfigurēt ierakstu pastāvīgai lietošanai tulkošanas tabulu. Šī funkcija ir bieži sauc par statisku NAT vai portu pāradresācija, un tas ļauj satiksmes izcelsmes "ārpuses" tīklu, lai sasniegtu mērķa uzņēmējas šifrētā tīklā.

Sakarā ar popularitāti šī metode tiek izmantota, lai saglabātu IPv4 adrešu NAT termiņš (tas ir tas, kas ir reāli - iepriekš), tas ir kļuvis gandrīz par sinonīmu šifrēšanas metodi.

Jo NAT maina adresi informāciju par IP-pakete, tas ir nopietni un saistīti ar interneta pieslēgumu kvalitāti, un prasa ciešu uzmanību detaļām par tās īstenošanu.

Metodes izmantošana NAT atšķiras viens no otra savā konkrētajā uzvedību dažādās lietās, kas saistītas ietekmi uz tīkla trafiku.

Pamata NAT

Vienkāršākais Network Address Translation veids (NAT) nodrošina pārraidīt IP-adreses "viens pret vienu". RFC 2663 ir galvenais veids raidījuma. Šāda veida izmaiņas tikai IP adresi un kontrolsumma IP galvenes. Galvenie veidi tulkojumu var izmantot, lai savienotu divus IP-tīklu, kas ir saderīgs pievēršoties.

NAT - ir tas, ka savieno "viens pret daudziem"?

Vairums šķirņu NAT var kartē vairākas privātās saimniekiem uz vienu publiski norādīto IP adresi. Jo tipiskā konfigurācijā vietējais tīkls izmanto vienu no nozīmētajām "privāto" IP apakštīkla adresēm (RFC 1918). Maršrutētājs šajā tīklā ir privāta adrese šajā telpā.

Maršrutētāju arī savienojumu ar internetu, izmantojot jūsu ISP piešķirtos "publisko" adreses. Kā satiksmes iet no vietējā tīkla uz interneta adresi avota katras paciņas tiek tulkots par lidot no privātajām adresēm sabiedrībai. Maršrutētājs dziesmas pamata datus par katru aktīvo savienojumu (īpaši galamērķa adrese un ostu). Kad atbilde nāk atpakaļ uz viņu, viņš izmanto savienojuma datus, kas tiek glabāti izejošo fāzē, lai noteiktu privāto adresi iekšējā tīkla, uz kuru nosūtīt atbildi.

Viena priekšrocība šo funkcionalitāti, ir, ka tas kalpo kā praktisku risinājumu gaidāmo izsmelšanu IPv4 adrešu. Pat lieli tīkli var tikt savienots ar internetu, izmantojot vienu IP adresi.

Visi datagrammu paketes uz IP balstītu tīklu ir 2 IP-adresi - avotu un galamērķi. Parasti paketes asociētais no privātā tīkla publiskajam tīklam, būs avota adresi paketes, mainot pāreja no publisko tīklu privātai atpakaļ laikā. Vairāk sarežģītas konfigurācijas ir iespējami arī.

funkcijas

NAT funkcija var būt dažas īpašas iezīmes. Lai izvairītos no grūtībām, kā pārvērst to atpakaļ paketes prasa savas turpmākās modifikācijas. Lielākā daļa interneta satiksmes iet caur protokolu TCP un UDP, un portu numuri ir mainīti tā, ka IP adresi un porta numuru kombinācija pretējā virzienā sāk kartēt datus.

Protokoli, kas nav balstīti uz TCP vai UDP, nepieciešama dažāda metodes tulkojumu. Control Message Protocol internets (ICMP), kā likums, korelē nosūtītos datus ar esošo pieslēgumu. Tas nozīmē, ka tās ir jāparāda, izmantojot to pašu IP-adresi un numuru sākotnēji noteikto.

Ko man vajadzētu apsvērt?

Konfigurēšana NAT maršrutētāju nedod viņam iespēju savienojumus "no sākuma līdz beigām." Tādēļ šos maršrutētāji nevar piedalīties dažu interneta protokolus. Pakalpojumi, kas prasa uzsākt TCP-savienojumu no ārējā tīkla vai lietotājiem bez protokoliem var nebūt pieejama. Ja NAT maršrutētāju nepadara daudz pūļu, lai atbalstītu šādus protokolus, ienākošie paketes nevar sasniegt savu galamērķi. Daži protokoli var ievietot vienu tulkojumu starp iesaistītajām hosts ( "pasīva» FTP, piemēram), dažreiz ar palīdzību pieteikumu vārti, bet savienojums ir izveidots, ja abas sistēmas ir atdalīta no interneta, izmantojot NAT. Izmantojot NAT arī apgrūtina šādu "tunelēšanas" protokolus, piemēram, IPsec, jo tas maina vērtības galvenes, kas mijiedarbojas ar pārskatīšanas pieprasījuma integritāti.

Pašreizējā problēma

Savienojums "no sākuma līdz beigām", ir pamatprincips internetā, pastāv kopš tās attīstību. Pašreizējais stāvoklis tīkla liecina, ka NAT ir pārkāpums šī principa. Speciālisti pastāv nopietnas bažas par plaši izmantot IPv6, tīkla adreses translēšanu, un rada problēmu saistībā ar to, kā efektīvi novērst.

Sakarā ar nepastāvīgums tabulu pakešfiltrēšanas pārraidīto NAT maršrutētāju, iekšējās tīkla ierīces zaudēt IP-savienojumu, kā parasti, ļoti īsā laika periodā. Neskatoties uz to, ka šāda NAT maršrutētāju, jūs nevarat aizmirst šo faktu. Tas nopietni samazina darbības laiku kompaktās ierīces, kas darbojas uz baterijām un akumulatoriem.

mērogojamība

Turklāt, izmantojot NAT izsekot tikai porti, kas var ātri izsmelti iekšējie lietojumprogrammas, izmantojot vairāku vienlaicīgu savienojumu (piemēram, HTTP pieprasījumus tīmekļa lapām ar lielu skaitu iegulto objektu). Šo problēmu var mazināt, uzraugot galamērķa IP-adresi papildus ostā (tādējādi viena vietējā osta ir sadalīta vairāk tālvadības saimniekiem).

dažas grūtības

Tā kā visas iekšējās adreses slēpts kā sabiedrību, ārējie saimnieki kļūst neiespējami sākt savienojumu ar konkrētu iekšējo mezglu bez jebkāda īpaša konfigurācija uz ugunsmūra (kas ir novirzīt savienojumu ar konkrētu ostas). Programmas, piemēram, IP-telefonija, videokonferences, un šie pakalpojumi ir jāizmanto apvada paņēmienus, lai normāli funkcionēt.

Atgriešanās adrese un ports tulkošana (aizgrābts) ļauj uzņēmējas, reālā IP adrese, kas mainās ik pa laikam, lai paliek pieejams kā serveris ar fiksētu IP adresi mājas tīklā. Principā, tas ļaus izveidi serveriem, lai saglabātu savienojumu. Neskatoties uz to, ka tas nav ideāls risinājums problēmu, tas varētu būt vēl viens noderīgs instruments arsenālā tīkla administratoru, lai atrisinātu problēmu, kā konfigurēt NAT maršrutētāju.

Port Address Translation (PAT)

Cisco aizgrābts ieviešana ir Port Address Translation (PAT), kas parāda vairākas privātas IP-adresi, kā vienu no sabiedrības. Vairāki adreses var tikt parādītas kā adresi, jo katrs no tiem uzrauga porta numuru. PAT izmanto unikālu avots portu numurus iekšpusē globālo IP atšķirt virzienu datu pārsūtīšanu. Šie skaitļi ir 16-bitu veseli skaitļi. Kopējais iekšējās adreses, kas var tikt pārvērtēti kādā ārējā, teorētiski var sasniegt 65536. faktisko skaitu ostu, uz kuru viena IP adrese var tikt piešķirta, ir par 4000. Raksturīgi, PAT mēģina glābt avota portu "oriģināls". Ja tas jau tiek lietots, Port Address Translation piešķir pirmo pieejamo porta numuru, sākot no sākuma attiecīgo grupu - 0-511, 512-1023, vai 1024-65535. Ja ir vairs pieejamas ostas un ir vairāk nekā viena ārējā IP adrese, PAT pārceļas uz nākamo, lai mēģinātu noteikt avota portu. Šis process turpinās, kamēr nav pieejami vairāk datu.

Parāda adreses un ostas Cisco ieviesusi pakalpojumu, kas apvieno uz ostas adrese tulkošanas datu tunelēšana IPv6 paketes nekā IPv4 iekštīklā. Faktiski, neformāla alternatīva CarrierGrade NAT un DS-Lite, kas atbalsta IP adrese tulkošanas / ostu (un, tātad, atbalstīja NAT iestatījums). Tādējādi tas novērš problēmas uzstādīšanu un uzturēšanu savienojumu, kā arī nodrošina pārejas mehānismu IPv6 ieviešanu.

tulkošanas metodes

Ir vairāki veidi, kā īstenot tulkojumu tīkla adresi un portu. Dažās lietojumprogrammās, ka protokoli, kas pieteikumus izmanto, lai strādātu ar IP adresēm, kas darbojas ar šifrētu tīklu, jums jādefinē ārējo adresi NAT (kas tiek izmantota otrā galā savienojumu), un, turklāt, tas bieži vien ir nepieciešams, lai izpētītu un klasificēt transmisijas tips. Parasti tas tiek darīts tāpēc, ka tas ir vēlams, lai izveidotu tiešu komunikāciju kanālu (vai saglabāt nepārtrauktu datu pārraidi caur serveri vai uzlabotu veiktspēju) starp diviem klientiem, kas abi ir individuāla NAT.

Šim nolūkam (kā konfigurēt NAT) 2003. gadā izstrādāja speciālu protokolu RFC 3489 vienkārša šķērsošana UDP nodrošina caur NAT. Šodien tas ir novecojis, jo šīs metodes mūsdienās ir nepietiekama, lai pienācīgi novērtētu darbu daudzās ierīcēs. Jaunas metodes ir standartizēti RFC 5389 protokolu, kas tika izstrādāts 2008. gada oktobrī. Šī specifikācija tagad pazīstama kā SessionTraversal un ir noderīgas NAT.

Izveidojot divvirzienu saziņu

Katra pakete ir TCP un UDP IP avota adresi un porta numuru, kā arī koordinātas galamērķa ostā.

Par tādiem sabiedriskajiem pakalpojumiem kā funkcionālu e-pasta serveri, porta numurs ir svarīga. Piemēram, ostas 80 ir saistīts ar programmatūru, tīmekļa serveri, un 25 - uz SMTP pasta serveri. servera publisko IP adrese ir arī svarīga, piemēram, pasta adresi vai tālruņa numuru. Abi šie parametri būtu autentiski zināms visiem mezgliem, kas gatavojas, lai izveidotu savienojumu.

Privātie IP adreses, ir nozīme tikai vietējās tīklos, kur tās tiek izmantotas, kā arī uzņēmējas ostām. Ostas ir unikāls galapunkts savienojums uz uzņēmēja, tāpēc saikne ar NAT, ko atbalsta apvienoto ostas kartēšanu un IP adresēm.

PAT (Port AddressTranslation) atrisina konfliktus, kas var rasties starp diviem dažādiem saimniekiem, izmantojot vienu un to pašu avotu porta numuru, lai izveidotu unikālu savienojumus vienlaikus.