NAT - ano ito? NAT Setup

Network Address Translation (Nat) ay isang paraan ng muling pagsasaayos ng isang address space sa isa pang sa pamamagitan ng pagbabago ng impormasyon na network address sa IP (Internet Protocol). Iyon ay, ang packet header ay nagbago sa panahon na ang mga ito ay sa pagbibiyahe sa pamamagitan ng routing aparato. Ang pamamaraan na ito ay orihinal na ginamit upang i-redirect ang pagiging simple ng trapiko sa IP-network, ang bawat host nang walang renumbering. Siya ay naging isang popular at mahalagang tool para sa pag-iingat at pamamahagi ng mga global space address sa kondisyon ng kakulangan ng IPv4 address.

NAT - ano ito?

Ang orihinal na paggamit ng network address translation ay upang i-map ang bawat address mula sa isa address space sa isang nararapat na address sa iba pang mga puwang. Halimbawa, ito ay kinakailangan kung ang Internet service provider ay nagbago, at ang gumagamit ay hindi magagawang upang pampublikong anunsyo ang isang bagong ruta sa network. Sa ilalim ng mga kondisyon nakikinita global ubos IP-address space Nat teknolohiya ay unting ginagamit mula noong huling bahagi ng 1990 kasabay ng IP-encrypt (kung saan ay ang paraan ng transportasyon ilang mga IP-address sa parehong space). Mekanismo na ito ay ipinatupad sa isang routing aparato na gumagamit talahanayan translation stateful upang ipakita ang "nakatago" addresses sa isang IP-address, at pasulong ang mga papalabas na IP-packets sa output. Sa gayon, ang mga ito ay ipinapakita na nagmumula sa labas ng routing aparato. Sa reverse komunikasyon channel tugon ay ipinapakita sa source IP-address gamit ang mga patakaran na naka-imbak sa mga talahanayan ng pagsasalin. Panuntunan translation table, siya namang, nabura matapos ang isang maikling panahon kung ang bagong trapiko ay hindi i-update ang katayuan nito. Ito ang pangunahing mekanismo ng Nat. Ito ay nangangahulugan na?

Ang pamamaraan na ito ay nagbibigay-daan sa iyo upang makipag-ugnayan sa pamamagitan ng router lamang kapag ang isang koneksyon ay ginawa sa isang naka-encrypt network, tulad ng ito ay lumilikha ng isang table pagsasalin. Halimbawa, ang isang web browser sa loob ng network ay maaaring i-browse ang site sa ibang bansa, ngunit, kung hindi naka-install sa labas, hindi ito maaaring buksan ang isang mapagkukunan, nakaposisyon doon. Gayunpaman, karamihan sa NAT device ngayon payagan ang isang network administrator upang i-configure ang isang entry translation table para sa permanenteng paggamit. Ang tampok na ito ay madalas na tinutukoy bilang static NAT o port nagpapasa, at matutuklasan ng trapiko na nagmumula sa "labas" network upang maabot ang patutunguhang host sa isang naka-encrypt network.

Dahil sa katanyagan ng ang paraan na ito ay ginagamit upang mapanatili ang address space IPv4, ang NAT matagalang (ito ay kung ano ang tunay na - sa itaas), ito ay naging halos magkasingkahulugan sa ang paraan ng pag-encrypt.

Dahil NAT Binabago ang impormasyon ng address ng IP-packet, ito ay may malubhang implikasyon para sa kalidad ng koneksyon sa internet, at nangangailangan ng malapit na pansin sa mga detalye ng pagpapatupad nito.

Paraan ng Paggamit ng NAT ay naiiba mula sa bawat isa sa kanilang mga partikular na pag-uugali sa iba't ibang mga kaso na kinasasangkutan ng epekto sa trapiko sa network.

Basic NAT

Ang pinakasimpleng uri ng Network Address Translation (Nat) ay nagbibigay-broadcast ang IP-address ng mga "one-to-one." RFC 2663 ay ang pangunahing uri ng pag-broadcast. Sa ganitong uri ng pagbabago lamang ang IP-address at checksum IP-header. Ang pangunahing uri ng mga pagsasalin ay maaaring magamit upang ikonekta ang dalawang IP-network na hindi tugma pagtugon.

NAT - ay na sa pagkonekta "isa-sa-marami"?

Karamihan sa mga varieties ng NAT ay maaaring i-map ang maramihang mga pribadong hukbo sa isang itinakdang publiko IP-address. Sa isang tipikal na pagsasaayos, ang isang lokal na network ay gumagamit ng isa sa mga itinalagang "pribado" IP-subnet address (RFC 1918). Ang router sa network na may isang pribadong address sa puwang na ito.

router din kumokonekta sa Internet gamit ang isang "pampublikong" addresses na itinalaga ng iyong ISP. Dahil ang traffic ay ipinapasa mula sa lokal na network sa Internet address ng source ng bawat packet ay isinalin sa mabilisang mula sa pribadong mga address sa publiko. router ay sumusubaybay sa pangunahing data tungkol sa bawat aktibong koneksyon (lalo na ang mga patutunguhang address at port). Kapag ang sagot ay dumating pabalik sa kanya, siya ay gumagamit ng koneksyon ng data na naka-imbak sa panahon ng palabas na phase upang matukoy ang mga pribadong address ng panloob na network na kung saan upang ipadala ang sagot.

Isang bentahe ng pag-andar na ito ay na ito ay nagsisilbi bilang isang praktikal na solusyon sa ang nalalapit na pagkaubos ng mga IPv4 address space. Kahit mga malalaking network ay maaaring konektado sa Internet sa pamamagitan ng isang IP-address.

Lahat datagram packet sa IP-based network na may 2 IP-address - ang pinagmulan at patutunguhan. Karaniwan, ang packet pagpasa mula sa pribadong network sa pampublikong network, ay magkakaroon ng source address ng packet, ang pagbabago sa panahon ng paglipat mula sa isang pampublikong network sa isang pribadong likod. Higit pang mga kumplikadong mga configuration rin ang posible.

Mga tampok

Nat function ay maaaring magkaroon ng ilang mga espesyal na tampok. Upang maiwasan ang mga paghihirap ay kung paano i-translate ang ibinalik na mga pakete ay nangangailangan ng kanilang mga karagdagang pagbabago. Ginagamit ng karamihan ng trapiko sa Internet napupunta sa pamamagitan ng mga protocol TCP at UDP, at port number ay nagbago upang ang mga kumbinasyon ng mga IP-address at port number sa reverse direksyon nagsisimula na naka-map ng data.

Protocol na ay hindi batay sa TCP o UDP, ay nangangailangan ng iba't ibang mga pamamaraan ng pagsasalin. Control Mensahe Protocol Internet (ICMP), bilang isang panuntunan, iniuugnay ng transmitted data sa isang umiiral na koneksyon. Ito ay nangangahulugan na sila ay dapat na ipinapakita gamit ang parehong IP-address at numero ng set sa umpisa.

Ano ang dapat kong isaalang-alang?

Pag-configure ng NAT sa router ay hindi nagbibigay sa kanya ang posibilidad ng mga koneksyon "mula sa dulo sa dulo." Samakatuwid, ang mga routers ay hindi maaaring lumahok sa ilang mga protocol sa Internet. Serbisyo na nangangailangan ng ang pagsisimula ng TCP-koneksyon mula sa mga panlabas na network o gumagamit nang walang mga protocol maaaring hindi magagamit. Kung ang Nat router ay hindi gumawa magkano ang pagsisikap upang suportahan ang tulad ng mga protocol, papasok na packets ay hindi maaaring maabot ang kanilang destinasyon. Ang ilang mga protocol ay maaaring tumanggap ng isang pagsasalin sa pagitan ng mga kalahok na nagho-host ( "passive mode» FTP, halimbawa), minsan sa tulong ng application gateway, ngunit ang koneksyon ay itinatag kapag ang parehong mga sistema ay pinaghihiwalay mula sa Internet gamit NAT. Paggamit ng NAT din complicates naturang "tunneling" protocol, tulad ng IPsec, sapagkat ito ay nagbabago ang mga halaga sa header, na kung saan nakikipag-ugnayan sa kahilingan ng pagsusuri ng integridad.

Ang kasalukuyang problema

Compound "dulo't dulo" ay ang pangunahing prinsipyo ng Internet, umiiral dahil sa kanyang pag-unlad. Ang kasalukuyang estado ng network ay nagpapakita na ang NAT ay isang paglabag sa prinsipyo na ito. Specialists may mga malubhang mga alalahanin tungkol sa laganap ang paggamit ng IPv6-in network address translation, at itinaas ang problema ng kung paano epektibong puksain ang mga ito.

Dahil sa ephemeral likas na katangian ng mga talahanayan stateful broadcast NAT router, ang panloob na mga aparato ng network mawalan ng IP-koneksyon, bilang isang patakaran, sa loob ng isang napaka-maikling panahon ng oras. Bukod sa ang katunayan na ang tulad ng isang NAT sa router, maaari mong kalimutan ang katotohanang ito. Ito sineseryoso binabawasan ang operating oras ng compact aparato na patakbuhin sa mga baterya at Accumulators.

kakayahang sumukat

Bilang karagdagan, kapag gumagamit ng NAT sinusubaybayan lamang ports na maaaring mabilis na maubos ang mga panloob na application gamit ang maramihang mga sabay-sabay na koneksyon (halimbawa, ang HTTP-kahilingan para sa mga pahina ng web na may isang malaking bilang ng mga naka-embed na mga bagay). Ang problemang ito ay maaaring mitigated sa pamamagitan ng pagsubaybay sa destination IP-address bilang karagdagan sa isang port (sa gayon ay isang lokal na port ay nahahati pa remote host).

ilang kahirapan

Dahil ang lahat ng mga panloob na mga address disguised bilang isang pampubliko, panlabas na host ay magiging imposible upang simulan ang isang koneksyon sa isang tiyak na panloob na node nang walang anumang mga espesyal na configuration sa firewall (na kung saan ay upang i-redirect ang koneksyon sa isang tiyak na port). Mga application tulad ng IP-telephony, video conferencing, at mga serbisyong ito na kailangang gumamit ng NAT pamamaraan traversal na gagana nang normal.

Return address at port pagsasalin (Rapt) ay nagpapahintulot sa mga host, ang tunay na IP-address na kung saan ay nag-iiba mula sa oras-oras, upang manatili magagamit bilang isang server na may isang nakapirming IP-address ng home network. Sa prinsipyo, ito ay dapat payagan ang pagse-set up ng mga server upang mapanatili ang koneksyon. Sa kabila ng ang katunayan na ito ay hindi isang perpektong solusyon ang problema, ito ay maaaring maging isa pang kapaki-pakinabang na tool sa arsenal ng network administrator upang malutas ang problema, kung paano i-configure ang NAT sa router.

Port Address Translation (Pat)

Cisco Rapt pagpapatupad ay Port Address Translation (Pat), na nagpapakita ng ilang mga pribadong IP-address bilang isa sa mga publiko. Maramihang mga address ay maaaring ipakita bilang isang address, dahil bawat isa sa kanila ay na subaybayan sa pamamagitan ng bilang port. PAT ay gumagamit ng natatanging mga numero na source port sa loob ng global IP, na makilala ang mga direksyon ng data transfer. Ang mga numerong ito ay 16-bit integer. Kabuuang mga panloob na mga address na maaaring isalin sa isang panlabas na, maaari theoretically maabot 65536. Ang aktwal na bilang ng mga ports na kung saan ang isang solong IP-address maaaring italaga, ay tungkol sa 4000. Karaniwan, PAT sinusubukang i-save ang source port "original". Kung ito ay ginagamit na, Port Address Translation nagtatalaga ang unang magagamit na port number na nagsisimula mula sa simula ng kani-kanilang mga grupo - 0-511, 512-1023, o 1,024-65,535. Kapag wala nang mga available port at may mga higit sa isang panlabas na IP-address, ang PAT gumagalaw sa susunod na subukan upang makilala ang source port. Ang prosesong ito ay nagpatuloy hanggang sa wala mas maraming data na magagamit.

Nagpapakita address at port Cisco ipinatupad sa isang serbisyo na pinagsasama ang port address translation data tunneling IPv6 packets sa paglipas ng IPv4 intranet. Sa katunayan, ng isang impormal na alternatibo CarrierGrade NAT at DS-Lite, na sumusuporta sa IP-address translation / port (at, samakatuwid, ay suportado ng NAT setting). Kaya, ito avoids ang problema sa pag-install at pagpapanatili ng mga koneksyon, at nagbibigay din ng transition mekanismo para sa IPv6 deployment.

pamamaraan ng pagsasalin

Mayroong ilang mga paraan upang ipatupad ang pagsasalin ng network address at port. Sa ilang mga aplikasyon, ang mga protocol na application na ginagamit upang gumana sa IP-address, operating sa isang naka-encrypt network, dapat mong tukuyin ang panlabas na address NAT (na kung saan ay ginagamit sa kabilang dulo ng koneksyon), at, higit sa rito, ito ay madalas na kinakailangan upang pag-aralan at i-uri sa uri ng paghahatid. Kadalasan ito ay ginagawa ito sapagkat ito ay kanais-nais na magtatag ng isang direktang channel ng komunikasyon (o i-save ang tuluy-tuloy na paghahatid ng data sa pamamagitan ng server o upang mapabuti ang pagganap) sa pagitan ng dalawang mga kliyente, na kapwa mababasa ng mga indibidwal NAT.

Para sa layuning ito, (paano i-configure NAT) noong 2003 na binuo ng isang espesyal na protocol RFC 3489 Simple Traversal ng UDP nagbibigay pamamagitan NATS. Ngayon ito ay hindi na ginagamit, dahil ang mga pamamaraan sa panahong ito ay hindi sapat upang maayos na masuri ang gawain ng maraming mga aparato. Bagong pamamaraan pagpapantay sa pamantayan sa RFC 5389 protocol, na kung saan ay binuo sa Oktubre 2008. Pagtutukoy na ito ngayon ay kilala bilang SessionTraversal at ito ay isang utility para sa NAT.

Ang paglikha ng isang dalawang-way na komunikasyon

Ang bawat packet ay naglalaman ng TCP at UDP IP-source address at port number, pati na rin ang mga coordinate ng ang destination port.

Para sa naturang mga pampublikong serbisyo bilang functional e-mail server, ang port number ay mahalaga. Halimbawa, port 80 ay konektado sa ang software, web server, at 25 - sa mail server SMTP. ng server pampublikong IP-address ay din mahalaga, tulad ng postal address o numero ng telepono. Pareho sa mga parameter ay dapat na authentically kilala sa lahat ng nodes na ay pagpunta upang kumonekta.

Private IP-address na mayroon kabuluhan lamang sa mga lokal na mga network, kung saan sila ay ginagamit, pati na rin ang host port. Ports natatangi end point na koneksyon sa host, kaya ang koneksyon sa pamamagitan ng NAT suportado ng ang pinagsamang port mapping at IP-address.

PAT (Port AddressTranslation) lumulutas conflicts na maaaring lumabas sa pagitan ng dalawang iba't ibang mga host gamit ang parehong numero ng source port upang magtatag ng mga natatanging mga koneksyon sa parehong oras.