NAT - hvad er det? NAT opsætning

Network Address Translation (NAT) er en metode til genbestilling én adresse rum til et andet ved at ændre de oplysninger netværksadresse i IP (Internet Protocol). Det vil sige, er pakkehovederne ændret på det tidspunkt, når de er i transit gennem routing-enhed. Denne metode blev oprindeligt brugt til at omdirigere trafik enkelhed i IP-netværk, hver vært uden omnummerering. Han blev en populær og vigtigt redskab til bevarelse og distribution af den globale adresse plads i betingelserne for mangel på IPv4-adresser.

NAT - hvad er det?

Den oprindelige brug af Network Address Translation er at kortlægge hver adresse fra en adresse plads til en tilsvarende adresse i den anden plads. For eksempel er det nødvendigt, hvis internetudbyderen har ændret sig, og brugeren ikke er i stand til at offentliggøre en ny rute til netværket. Under de betingelser forudses global udtømning IP-adresserum NAT teknologi anvendes i stigende grad siden slutningen af 1990'erne i forbindelse med IP-kryptering (som er fremgangsmåden til transport flere IP-adresser på samme plads). Denne mekanisme er implementeret i en routing enhed, der bruger oversættelsestabeller stateful at vise "skjulte" adresser til en IP-adresse, og videresender de udgående IP-pakker til udgangen. Således vises de kommer ud af routing-enheden. I reverse kommunikationskanalcontrollere reaktioner vises i kilde-IP-adresse ved hjælp af reglerne, der er lagret i oversættelsestabeller. Regler oversættelsestabel, til gengæld ryddet efter en kort periode, hvis den nye trafik ikke opdaterer sin status. Dette er den grundlæggende mekanisme for NAT. Det er det betyde?

Denne metode gør det muligt at kommunikere via routeren, når der oprettes forbindelse til et krypteret netværk, da det skaber en oversættelse bord. For eksempel kan en webbrowser i netværket gennemse webstedet udlandet, men hvis det ikke installeres udenfor, kan det ikke åbne en ressource, placeret deri. Ikke desto mindre er de fleste NAT-enheder i dag tillader en netværksadministrator til at konfigurere en oversættelse tabelpost til permanent brug. Denne funktion er ofte omtalt som statisk NAT eller port forwarding, og det giver mulighed for trafik med oprindelse i "udenfor" netværk for at nå destinationen vært i en krypteret netværk.

På grund af populariteten af denne metode bruges til at bevare IPv4-adressen plads, NAT sigt (dette er, hvad der egentlig - ovenfor), er det blevet næsten synonymt med den krypteringsmetode.

Fordi NAT ændrer adresseoplysninger af IP-pakke, det har alvorlige konsekvenser for kvaliteten af en internetforbindelse, og kræver meget opmærksom på detaljer af dens gennemførelse.

Metoder til Brug NAT adskiller sig fra hinanden i deres særlige adfærd i forskellige sager, der involverer indvirkning på netværkstrafikken.

Grundlæggende NAT

Den enkleste form for Network Address Translation (NAT) giver udsende IP-adresser på "en-til-en." RFC 2663 er den vigtigste type af udsendelsen. I denne type forandring kun IP-adressen og checksum IP-header. De vigtigste typer af oversættelse kan bruges til at forbinde de to IP-netværk, der er uforenelige fat.

NAT - er at forbinde "en-til-mange"?

De fleste sorter af NAT kan kortlægge flere private værter til en enkelt offentligt udpeget IP-adresse. I en typisk konfiguration, et lokalt netværk bruger en af de udpegede "private" IP-subnet adresser (RFC 1918). Routeren på dette net har en privat adresse i dette rum.

Routeren kan også sluttes til internettet ved hjælp af en "offentlige" adresser tildelt af din internetudbyder. Da trafikken passerer fra det lokale netværk til internetadressen på kilden til hver pakke er oversat på flue fra de private adresser til offentligheden. Routeren sporer grundlæggende data om hver aktiv forbindelse (især destinationsadressen og port). Når svaret kommer tilbage til ham, bruger han forbindelsesdata, der er lagret i den udgående fase for at bestemme den private adresse på det interne netværk til at sende svaret.

En fordel ved denne funktionalitet er, at det fungerer som en praktisk løsning på den forestående udtømning af IPv4-adresse plads. Selv store netværk kan forbindes til internettet via en IP-adresse.

Alle datagram pakker til IP-baserede netværk har 2 IP-adresse - kilden og destinationen. Typisk pakker passerer fra det private netværk til det offentlige net, vil have kilden adresse af pakker, ændre under overgangen fra et offentligt netværk til en privat ryg. Mere komplekse konfigurationer også er mulige.

Egenskaber

NAT-funktionen kan have nogle specielle funktioner. For at undgå de vanskeligheder, er, hvordan man oversætte de returnerede pakker kræver deres yderligere ændringer. Langt størstedelen af internettrafik går gennem TCP og UDP, og portnumre ændret, således at kombinationen af IP-adresse og portnummer i den modsatte retning begynder at blive kortlagt data.

Protokoller, der ikke er baseret på TCP eller UDP, kræver forskellige metoder til oversættelse. Control Message Protocol Internet (ICMP), som hovedregel, korrelerer de transmitterede data med en eksisterende forbindelse. Det betyder, at de skal vises ved hjælp af den samme IP-adresse og nummer sat i første omgang.

Hvad skal jeg overveje?

Konfiguration NAT på routeren ikke giver ham mulighed for forbindelser "fra ende til anden." Derfor kan disse routere ikke deltage i nogle Internet-protokoller. Tjenester, der kræver indledningen af TCP-forbindelser fra det eksterne netværk eller brugere uden protokoller kan være utilgængelige. Hvis NAT-router ikke gør en stor indsats for at støtte sådanne protokoller, kan indkommende pakker ikke nå deres bestemmelsessted. Nogle protokoller kan rumme en oversættelse mellem de deltagende værter ( "passiv tilstand» FTP, for eksempel), undertiden med hjælp fra ansøgningen gateway, men forbindelsen er etableret, når begge systemer er adskilt fra internettet ved hjælp af NAT. Brug NAT komplicerer også sådanne "tunneling" protokoller, såsom IPsec, fordi det ændrer værdierne i headeren, som interagerer med anmodningen om en fornyet integritet.

Den nuværende problem

Forbindelse "fra ende til anden" er det grundlæggende princip i internettet, eksisterende siden dens udvikling. Den nuværende tilstand af netværket viser, at NAT er en overtrædelse af dette princip. Specialister der er alvorlig bekymring over den udbredte brug af IPv6-i Network Address Translation, og rejser spørgsmålet om, hvordan man effektivt fjerne det.

På grund af den flygtige karakter af tabeller Stateful udsendes NAT-routere, de interne netværksenheder mister IP-forbindelse, som regel inden for en meget kort periode. Bortset fra det faktum, at en sådan NAT i routeren, du kan ikke glemme denne kendsgerning. Dette reducerer driftstiden af kompakte enheder, der opererer på batterier og akkumulatorer alvorligt.

skalerbarhed

Hertil kommer, når bruger NAT spores kun porte, der kan hurtigt udtømte interne applikationer ved hjælp af flere samtidige forbindelser (f.eks HTTP-anmodninger om websider med et stort antal indlejrede objekter). Dette problem kan afhjælpes ved at overvåge destination IP-adresse i tillæg til en port (og dermed en lokal havn er delt mere eksterne værter).

nogle vanskeligheder

Eftersom alle interne adresser forklædt som et offentligt, bliver eksterne værter umuligt at indlede en forbindelse til en specifik intern knude uden særlig konfiguration på firewall (som er at omdirigere den forbindelse til en bestemt port). Programmer som IP-telefoni, videokonferencer og disse tjenester nødt til at bruge NAT traversal teknikker til at fungere normalt.

Retur adresse og port oversættelse (rapt) gør det muligt for værten, den rigtige IP-adresse, der varierer fra tid til anden, at stå til rådighed som en server med en fast IP-adresse på hjemmenetværket. I princippet burde det give de opsætter servere for at opretholde forbindelsen. På trods af, at dette ikke er en perfekt løsning på problemet, det kunne være et andet nyttigt redskab i det arsenal af netværksadministratoren til at løse problemet, hvordan man konfigurerer NAT på routeren.

Port Address Translation (PAT)

Cisco rapt implementering er Port Address Translation (PAT), som viser flere privat IP-adresse som en af det offentlige. Flere adresser kan vises som en adresse, fordi hver af dem er overvåget af portnummeret. PAT anvender entydige kilde portnumre på indersiden globale IP, til at skelne retningen af dataoverførsel. Disse tal er 16-bit heltal. Total interne adresser, som kan omsættes til den ene ydre, kan teoretisk nå 65536. Det faktiske antal porte, som en enkelt IP-adresse kan tildeles, er omkring 4000. Typisk PAT forsøger at redde kildeporten "original". Hvis den allerede er i brug, Port Address Translation tildeler den første tilgængelige portnummer startende fra begyndelsen af de respektive grupper - 0-511, 512-1023, eller 1024-65535. Når der ikke er flere ledige porte, og der er mere end én ekstern IP-adresse, til PAT flytter til den næste prøve at identificere kilden porten. Denne proces fortsætter, indtil der ikke er flere data til rådighed.

Viser adresser og port Cisco implementeret en tjeneste, der kombinerer port Address Translation data tunneling IPv6-pakker end IPv4 intranet. Faktisk en uformel alternativ CarrierGrade NAT og DS-Lite, der understøtter IP-adresse oversættelse / havn (og dermed støttede NAT indstilling). Det undgår således problemer med installation og vedligeholdelse af forbindelsen, og tilvejebringer også overgangsmekanisme for IPv6.

oversættelse metoder

Der er flere måder at gennemføre oversættelsen af netværket adresse og port. I nogle programmer, de protokoller, at ansøgninger bruge til at arbejde med IP-adresser, der opererer i en krypteret netværk, skal du definere den eksterne adresse NAT (som bruges i den anden ende af forbindelsen), og i øvrigt er det ofte nødvendigt at studere og klassificere typen af transmissionen. Normalt dette sker, fordi det er ønskeligt at etablere en direkte kommunikationskanal (eller gemme uafbrudt overførsel af data via server eller til at forbedre ydeevnen) mellem de to klienter, som begge er af individuel NAT.

Til dette formål (hvordan man konfigurerer NAT) i 2003 udviklet en særlig protokol RFC 3489 Enkel Traversal af UDP giver gennem NATS. I dag er det er forældet, fordi disse metoder i dag er utilstrækkelige til at vurdere arbejdet i mange enheder. Nye metoder er blevet standardiseret i RFC 5389-protokollen, som blev udviklet i oktober 2008. Denne specifikation er nu kendt som SessionTraversal og er et værktøj til NAT.

Oprettelse af en to-vejs kommunikation

Hver pakke indeholder TCP og UDP IP-kilde-adresse og portnummer, samt koordinaterne for destinationsporten.

For sådanne offentlige tjenester som en funktionel e-mail-servere, portnummeret er vigtig. For eksempel, port 80 er forbundet til softwaren, webserver, og 25 - til SMTP-mailserver. serverens offentlige IP-adresse er også vigtigt, ligesom postadresse eller telefonnummer. Begge disse parametre bør være autentisk kendt for alle knuder, der vil forbinde.

Private IP-adresser har betydning kun i lokale netværk, hvor de anvendes, samt host porte. Havne er unikke endepunkt forbindelse på værten, så forbindelsen gennem en NAT understøttet af den kombinerede porttilknytning og IP-adresser.

PAT (Port AddressTranslation) løser konflikter, der kan opstå mellem to forskellige værter ved hjælp af den samme kilde portnummer for at etablere unikke forbindelser på samme tid.