NAT - wat is dit? NAT Setup

(Network Address Translation NAT) is 'n metode van herordening een adres ruimte na 'n ander deur die verandering van die inligting netwerk adres in die IP (Internet Protocol). Dit wil sê, is die pakkie headers verander teen die tyd dat hulle in transito deur die routing toestel. Hierdie metode is oorspronklik gebruik om verkeer eenvoud in IP-netwerke, elke gasheer sonder hernommer lei. Hy het 'n gewilde en belangrike instrument vir die bewaring en verspreiding van die globale adres ruimte in die voorwaardes van tekort aan IPv4 adresse.

NAT - wat is dit?

Die oorspronklike gebruik van die netwerk adres vertaling is om elke adres van een adres ruimte karteer na 'n ooreenstemmende adres in die ander ruimte. Byvoorbeeld, is dit nodig as die Internet diensverskaffer verander, en die gebruiker is nie in staat om in die openbaar te kondig 'n nuwe roete na die netwerk. Onder die voorwaardes afsienbare globale uitputting IP-adres ruimte NAT tegnologie word toenemend gebruik sedert die laat 1990's in samewerking met IP-enkripsie (wat is die metode van vervoer 'n hele paar IP-adresse op dieselfde ruimte). Hierdie meganisme is geïmplementeer in 'n routing toestel wat gebruik maak van vertaling tafels Stateful om "versteekte" adresse aan een IP-adres te vertoon, en stuur die uitgaande IP-pakkies aan die uitset. So, is hulle wat met uit te kom van die routing toestel. In omgekeerde kommunikasie kanaal antwoorde vertoon in die bron IP-adres behulp van die reëls gestoor in die vertaling tafels. Reëls vertaling tafel, op sy beurt, skoongemaak na 'n kort tydperk as die nuwe verkeer sy status nie te werk. Dit is die basiese meganisme van NAT. Dit is wat bedoel?

Hierdie metode laat jou toe deur die router om te kommunikeer net vir 'n verbinding is gemaak om 'n geënkripteerde netwerk, want dit skep 'n vertaling tafel. Byvoorbeeld, kan 'n webblaaier binne die netwerk die terrein in die buiteland te blaai, maar, indien nie buite geïnstalleer is, kan dit 'n hulpbron, daarin geplaas oopmaak nie. Tog, die meeste NAT toestelle vandag toe 'n netwerk administrateur om 'n vertaling tabelinskrywing vir permanente gebruik instel. Hierdie funksie word dikwels na verwys as statiese NAT of port forwarding, en dit laat verkeer oorsprong in die "buite" netwerk na die bestemming gasheer bereik in 'n geënkripteerde netwerk.

As gevolg van die gewildheid van hierdie metode word gebruik om die IPv4 address space bewaar, die NAT term (dit is wat eintlik - bo), het dit byna sinoniem met die kodering metode geword.

Omdat NAT verander die adres inligting van die IP-pakket, dit het ernstige implikasies vir die gehalte van 'n internet-verbinding, en vereis baie aandag aan detail van die implementering daarvan.

Metodes van gebruik van NAT van mekaar verskil in hul spesifieke gedrag in verskillende gevalle waar impak op die netwerk verkeer.

basiese NAT

Die eenvoudigste tipe (Network Address Translation NAT) bied uitgesaai die IP-adresse van "een-tot-een." RFC 2663 is die belangrikste tipe van die uitsending. In hierdie tipe van verandering net die IP-adres en checksum IP-kop. Die hooftipes vertaling gebruik kan word om die twee IP-netwerke wat in stryd is die aanspreek van aan te sluit.

NAT - is dat die koppeling van "een-tot-baie"?

Die meeste variëteite van NAT kan verskeie private leërskare kaart om 'n enkele openbaar aangewese IP-adres. In 'n tipiese opset, 'n plaaslike netwerk gebruik een van die aangewese "private" IP-subnet adresse (RFC 1918). Die router op die netwerk het 'n private adres in hierdie ruimte.

Die router verbind ook tot die Internet met behulp van 'n "openbare" adresse wat deur jou ISP. As die verkeer gaan van die plaaslike netwerk om die Internet adres van die bron van elke pakkie vertaal op die vlieg van die private adresse aan die publiek. Die router spore basiese data oor elke aktiewe verbinding (veral die bestemming adres en poort). Wanneer die reaksie terug na hom kom, gebruik hy die verbinding data wat gestoor word tydens die uitgaande fase om die private adres van die interne netwerk bepaal tot watter om die antwoord te stuur.

Een voordeel van hierdie funksie is dat dit dien as 'n praktiese oplossing vir die dreigende uitputting van IPv4 address space. Selfs groot netwerke gekoppel kan word aan die Internet deur middel van 'n IP-adres.

Alle datagram pakkies aan IP-gebaseerde netwerke het 2 IP-adres - die bron en bestemming. Tipies, pakkies wat van die private netwerk aan die publiek netwerk, sal die bron adres van pakkies het, die verandering in die oorgang van 'n openbare netwerk na 'n private terug. Meer komplekse konfigurasies is ook moontlik.

funksies

NAT funksie kan 'n paar spesiale eienskappe het. Om die probleme te voorkom, is hoe om te vertaal die teruggekeer pakkette nodig het om hul verdere wysigings. Die oorgrote meerderheid van die internet verkeer gaan deur die protokolle TCP en UDP, en port nommers verander sodat die kombinasie van IP-adres en poort nommer in die teenoorgestelde rigting begin gekarteer data.

Protokolle wat nie gebaseer is op TCP of UDP, vereis verskillende metodes van vertaling. Beheer Boodskap protokol Internet (ICMP), as 'n reël, korreleer die oordraagbare data met 'n bestaande verband. Dit beteken dat hulle moet vertoon word met behulp van dieselfde IP-adres en nommer aanvanklik ingestel.

Wat moet ek oorweeg?

NAT instel op die router hom nie gee die moontlikheid van verbindings "van begin tot einde." Daarom kan hierdie routers nie deel te neem aan 'n paar internet protokolle. Dienste wat die aanvang van TCP-verbindings van die eksterne netwerk of gebruikers sonder protokolle nodig mag nie beskikbaar wees. As die NAT roeteerder veel moeite om sulke protokolle ondersteun nie maak nie, kan inkomende pakkies hul bestemming bereik nie. Sommige protokolle kan akkommodeer een vertaling tussen deelnemende gashere ( "passiewe modus» FTP, byvoorbeeld), soms met die hulp van toepassing gateway, maar die verbinding is vasgestel wanneer beide stelsels is geskei van die Internet gebruik te maak van NAT. Die gebruik van NAT bemoeilik ook sulke "tonnel" protokolle, soos die IPsec, want dit verander die waardes in die kop, wat interaksie met die hersiening versoek integriteit.

Die huidige probleem

Saamgestelde "van begin tot einde" is die basiese beginsel van die Internet, aangesien sy ontwikkeling bestaande. Die huidige stand van die netwerk toon dat NAT is 'n skending van hierdie beginsel. Spesialiste daar ernstige kommer oor die wydverspreide gebruik van IPv6-in-netwerk adres vertaling, en laat die probleem van hoe om doeltreffend uit te skakel nie.

As gevolg van die efemere aard van tafels Stateful uitgesaai NAT routers, die interne netwerk toestelle verloor IP-konneksie, as 'n reël, in 'n baie kort periode van tyd. Afgesien van die feit dat so 'n NAT in die router, jy kan nie vergeet die feit. Dit verminder ernstig die bedryfstelsel tyd van kompakte toestelle wat werk op batterye en opgaarbatterye.

scalability

Daarbenewens, wanneer die gebruik van NAT nagespoor net hawens wat vinnig interne programme met behulp van verskeie gelyktydige verbindings kan uitgeput (byvoorbeeld, die HTTP-versoeke vir web bladsye met 'n groot aantal ingeboude voorwerpe). Hierdie probleem kan versag word deur die monitering van die bestemming IP-adres in bykomend tot 'n hawe (dus een plaaslike hawe is verdeel meer afgeleë gashere).

'n paar probleme

Aangesien alle interne adresse vermom as 'n openbare, eksterne gashere onmoontlik om 'n verbinding met 'n spesifieke interne node sonder enige spesiale verstellings op die firewall (wat is die aansluiting by 'n spesifieke hawe te lei) te inisieer. Programme soos IP-telefonie, video konferensies, en hierdie dienste moet NAT traversal tegnieke gebruik om normaal te funksioneer.

Terugkeer adres en vertaling hawe (Rapt) kan die gasheer, die werklike IP-adres van wat wissel van tyd tot tyd, beskikbaar bly as 'n bediener met 'n vaste IP-adres van die huis netwerk. In beginsel, moet dit toelaat dat die oprigting van bedieners om die verband te handhaaf. Ten spyte van die feit dat dit nie 'n perfekte oplossing van die probleem, dit kan nog 'n nuttige hulpmiddel in die arsenaal van die netwerk administrateur om die probleem op te los, hoe om NAT instel op die router wees.

Port-adres Vertaling (PAT)

Cisco Rapt implementering is Port-adres Vertaling (PAT), wat 'n paar private IP-adres vertoon as een van die publiek. Verskeie adresse kan vertoon as 'n adres, omdat elkeen van hulle word gemonitor deur die poort nommer. PAT gebruik unieke bron hawe getalle aan die binnekant globale IP, om die rigting van data-oordrag te onderskei. Hierdie getalle is 16-bit heelgetalle. Totale interne adresse wat vertaal kan word in die een buitenste, kan teoreties bereik 65536. Die werklike getal van poorte op wat 'n enkele IP-adres kan toegeskryf word, is ongeveer 4000. Tipies, PAT probeer om die bron hawe "oorspronklike" te red. As dit is reeds in gebruik, Port-adres Vertaling ken die eerste beskikbare poort nommer vanaf die begin van die onderskeie groepe - 0-511, 512-1023, of 1024-65535. Wanneer daar geen meer beskikbaar hawens en daar is meer as een eksterne IP-adres, die PAT beweeg na die volgende om te probeer om die bron hawe te identifiseer. Hierdie proses gaan voort totdat daar geen data meer beskikbaar.

Vertoon adresse en port Cisco geïmplementeer 'n diens wat die hawe adres vertaling data tunneling IPv6 pakkies oor IPv4 intranet kombineer. Trouens, 'n informele alternatiewe CarrierGrade NAT en DS-Lite, wat IP-adres vertaling / poort ondersteun (en dus ondersteun die NAT omgewing). So, dit vermy probleme in die installering en instandhouding van die verband, en maak ook voorsiening oorgang meganisme vir IPv6 ontplooiing.

vertaalmetodes

Daar is verskeie maniere om die vertaling van die netwerk adres en poort implementeer. In sommige aansoeke, die protokolle wat aansoeke gebruik om te werk met IP-adresse, wat in 'n geënkripteerde netwerk, jy moet die eksterne adres NAT (wat gebruik word by die ander einde van die verband) definieer, en, ook, is dit dikwels nodig om te studeer en te klassifiseer die tipe van oordrag. Gewoonlik word dit gedoen omdat dit wenslik om 'n direkte kommunikasie kanaal te vestig (of red ononderbroke oordrag van data deur middel van die bediener of om prestasie te verbeter) tussen die twee kliënte, wat albei van individuele NAT is.

Vir hierdie doel, (hoe om NAT instel) in 2003 ontwikkel 'n spesiale protokol RFC 3489 Simple traversal van UDP bied deur NATS. Vandag is dit uitgedien, omdat hierdie metodes deesdae onvoldoende is om die werk van baie toestelle behoorlik te evalueer is. Nuwe metodes is gestandaardiseer in die RFC 5389-protokol, wat ontwikkel is in Oktober 2008. Hierdie spesifikasie is nou bekend as SessionTraversal en is 'n program vir die NAT.

Die skep van 'n twee-rigting kommunikasie

Elke pakkie bevat TCP en UDP IP-bron adres en poort nommer, asook die koördinate van die bestemming hawe.

Vir so 'n openbare dienste as 'n funksionele e-pos stuur, die poort nommer is belangrik. Byvoorbeeld, poort 80 is verbind tot die sagteware, web bediener, en 25 - tot die SMTP-bediener. openbare IP-adres van die bediener se is ook noodsaaklik, soos posadres of telefoonnommer. Beide van hierdie parameters moet outentiek bekend geword aan al nodes wat gaan verbind wees.

Private IP-adresse het betekenis net in die plaaslike netwerke, waar dit gebruik word, sowel as gasheer hawens. Hawens is uniek eindpunt verband op die gasheer, sodat die verband deur 'n NAT deur die gekombineerde hawe kartering en IP-adresse.

PAT (Port AddressTranslation) besluit konflikte wat mag ontstaan tussen twee verskillende gashere met behulp van dieselfde bron poort nommer na unieke verbindings op dieselfde tyd te vestig.