NAT - apakah ini? NAT Persediaan

Network Address Translation (NAT) adalah satu kaedah menyusun semula satu ruang alamat yang lain dengan menukar maklumat yang alamat rangkaian di IP (Internet Protocol) yang. Iaitu, tajuk paket ditukar pada masa yang apabila mereka berada dalam transit melalui peranti routing. Kaedah ini pada asalnya digunakan untuk mengalihkan kesederhanaan lalu lintas di IP-rangkaian, setiap tuan rumah tanpa Penomboran semula. Beliau menjadi alat popular dan penting bagi pemuliharaan dan pengagihan ruang alamat global dalam keadaan-keadaan kekurangan alamat IPv4.

NAT - apakah ini?

Penggunaan asal terjemahan alamat rangkaian adalah untuk memetakan setiap alamat dari satu ruang alamat ke alamat yang sama pada ruang yang lain. Sebagai contoh, adalah perlu jika pembekal perkhidmatan Internet telah berubah, dan pengguna tidak dapat mengumumkan kepada umum laluan baru kepada rangkaian. Di bawah syarat-syarat yang boleh dijangka pengurangan global IP-address teknologi angkasa NAT semakin digunakan sejak akhir 1990-an bersama-sama dengan IP-penyulitan (yang merupakan kaedah pengangkutan beberapa IP-alamat di ruang yang sama). mekanisme ini dilaksanakan dalam peranti routing yang menggunakan jadual terjemahan stateful untuk memaparkan "tersembunyi" alamat untuk satu alamat IP, dan ke hadapan yang akan keluar IP-paket untuk output. Oleh itu, mereka akan ditunjukkan keluar dari peranti routing. Terbalik komunikasi saluran jawapan dipaparkan dalam IP-address asal dengan menggunakan kaedah-kaedah yang disimpan dalam jadual terjemahan. Peraturan Rajah penterjemahan, seterusnya, dibersihkan selepas tempoh yang singkat jika trafik baru tidak mengemas kini statusnya. Ini adalah mekanisme asas NAT. Ia itu bermakna?

Kaedah ini membolehkan anda untuk berkomunikasi melalui router hanya apabila sambungan dibuat ke rangkaian disulitkan, kerana ia mewujudkan sebuah meja terjemahan. Sebagai contoh, pelayar web dalam rangkaian boleh melayari laman web di luar negara, tetapi jika tidak dipasang di luar, ia tidak boleh membuka sumber, kedudukan di dalamnya. Walau bagaimanapun, kebanyakan peranti NAT hari ini membolehkan pentadbir rangkaian untuk menetapkan Masukan jadual terjemahan untuk kegunaan kekal. Ciri ini sering dirujuk sebagai statik NAT atau pelabuhan, dan ia membolehkan lalu lintas yang berasal dalam "luar" rangkaian untuk mencapai destinasi host dalam rangkaian yang disulitkan.

Oleh kerana populariti kaedah ini digunakan untuk memelihara ruang alamat IPv4, istilah NAT (ini adalah apa yang sebenarnya - di atas), ia telah menjadi hampir sinonim dengan kaedah penyulitan.

Kerana NAT mengubah maklumat alamat daripada IP-paket, ia mempunyai implikasi yang serius untuk kualiti sambungan internet, dan memerlukan perhatian teliti kepada perincian pelaksanaannya.

Kaedah Menggunakan NAT berbeza antara satu sama lain dalam tingkah laku tertentu mereka dalam kes-kes yang berbeza yang melibatkan kesan ke atas trafik rangkaian.

NAT asas

Jenis paling mudah Rangkaian Alamat Terjemahan (NAT) menyediakan menyiarkan IP-alamat "satu-ke-satu." RFC 2663 adalah jenis utama siaran. Dalam jenis ini perubahan hanya-alamat IP dan checksum IP-header. Jenis-jenis utama terjemahan boleh digunakan untuk menyambung dua IP-rangkaian yang serasi menangani.

NAT - adalah yang menghubungkan "satu-ke-banyak"?

Kebanyakan jenis NAT boleh memetakan pelbagai tuan rumah swasta kepada IP-alamat tunggal ditetapkan kepada umum. Dalam konfigurasi tipikal, rangkaian tempatan menggunakan salah satu yang ditetapkan "swasta" Alamat IP-subnet (RFC 1918). Router pada rangkaian yang mempunyai alamat persendirian dalam ruang ini.

router juga menghubungkan ke Internet menggunakan alamat "awam" yang diberikan oleh ISP anda. Trafik pas dari rangkaian tempatan alamat Internet dari sumber setiap paket diterjemahkan dengan cepat dari alamat peribadi kepada orang ramai. router Litar data asas mengenai setiap sambungan aktif (terutamanya alamat destinasi dan pelabuhan). Apabila sambutan kembali kepadanya, dia menggunakan data sambungan yang disimpan semasa fasa keluar untuk menentukan alamat swasta rangkaian dalaman yang menghantar jawapan yang diberikan.

Satu kelebihan fungsi ini adalah bahawa ia berfungsi sebagai penyelesaian praktikal untuk keletihan akan berlaku ruang alamat IPv4. Walaupun rangkaian yang besar boleh disambungkan ke Internet melalui satu IP-alamat.

Semua paket datagram kepada rangkaian berasaskan IP mempunyai 2 IP-address - sumber dan destinasi. Biasanya, paket pemberian dari rangkaian persendirian dengan rangkaian awam, akan mempunyai alamat sumber paket, mengubah semasa peralihan dari rangkaian awam untuk kembali swasta. Lebih konfigurasi kompleks juga yang mungkin.

ciri-ciri

fungsi NAT mungkin mempunyai beberapa ciri-ciri khas. Untuk mengelakkan masalah ialah bagaimana untuk menterjemahkan pakej kembali memerlukan pengubahsuaian selanjutnya. Sebahagian besar lalu lintas Internet akan melalui TCP protokol dan UDP, dan nombor port diubah supaya gabungan IP-alamat dan nombor port ke arah yang terbalik mula dapat data dipetakan.

Protokol yang tidak berdasarkan kepada TCP atau UDP, memerlukan kaedah yang berbeza terjemahan. Kawalan Mesej Protokol Internet (ICMP), sebagai peraturan, ada hubung kait data yang dihantar dengan sambungan yang sedia ada. Ini bermakna bahawa mereka harus dipaparkan menggunakan alamat IP yang sama dan bilangan set mulanya.

Apa yang perlu saya pertimbangkan?

Mengkonfigurasi NAT kepada penghala yang tidak memberi dia peluang untuk sambungan "dari hujung ke hujung." Oleh itu, router ini tidak boleh mengambil bahagian dalam beberapa protokol Internet. Perkhidmatan yang memerlukan permulaan TCP-sambungan dari rangkaian luar atau pengguna tanpa protokol mungkin tidak tersedia. Jika penghala NAT tidak membuat banyak usaha untuk menyokong protokol itu, paket yang diterima dan tidak boleh sampai ke destinasi mereka. Sesetengah protokol boleh menampung satu terjemahan antara tuan rumah ( "mod pasif» FTP, sebagai contoh) yang mengambil bahagian, kadang-kadang dengan bantuan aplikasi gerbang, tetapi sambungan diwujudkan apabila kedua-dua sistem dipisahkan dari Internet menggunakan NAT. Menggunakan NAT juga merumitkan seperti "terowong" protokol, seperti IPsec, kerana perubahan nilai dalam kepala, yang berinteraksi dengan integriti permintaan semakan.

Masalah semasa

Kompaun "dari hujung ke hujung" adalah prinsip asas Internet, yang sedia ada sejak pembangunannya. Keadaan semasa rangkaian menunjukkan bahawa NAT adalah melanggar prinsip ini. Specialists terdapat kebimbangan serius mengenai penggunaan meluas IPv6 dalam rangkaian address penterjemahan dan menimbulkan masalah bagaimana untuk menghapuskan ia berkesan.

Kerana sifat tidak kekal jadual Stateful disiarkan penghala NAT, peranti rangkaian dalaman kehilangan IP-sambungan, sebagai peraturan, dalam tempoh yang sangat singkat. Selain daripada fakta bahawa apa-apa NAT dalam router, anda boleh lupa hakikat ini. Ini serius mengurangkan masa operasi peranti padat yang beroperasi pada bateri dan akumulator.

berskala

Di samping itu, apabila menggunakan NAT dikesan hanya pelabuhan yang boleh cepat habis aplikasi dalaman menggunakan pelbagai sambungan serentak (sebagai contoh, HTTP-permintaan untuk laman web dengan sejumlah besar objek terbenam). masalah ini boleh dikurangkan dengan memantau IP-alamat destinasi selain daripada pelabuhan yang (dengan itu satu pelabuhan tempatan dibahagikan tuan rumah lebih jauh).

beberapa masalah

Sejak semua alamat dalaman yang menyamar sebagai orang ramai, tuan rumah luar menjadi mustahil untuk memulakan sambungan kepada nod dalaman tertentu tanpa sebarang konfigurasi khas pada firewall (yang untuk mengalihkan sambungan ke port tertentu). Aplikasi seperti IP-telefoni, persidangan video, dan perkhidmatan ini perlu menggunakan teknik penyusuran NAT untuk berfungsi secara normal.

Pulang alamat dan terjemahan port (Rapt) membolehkan tuan rumah, IP-alamat sebenar yang berbeza-beza dari masa ke semasa, untuk kekal tersedia sebagai pelayan dengan alamat IP yang tetap rangkaian rumah. Pada dasarnya, ia perlu membenarkan pelayan menubuhkan untuk mengekalkan sambungan. Walaupun ini tidak adalah penyelesaian yang sempurna masalah ini, ia boleh menjadi satu lagi alat yang berguna dalam senjata pentadbir rangkaian untuk menyelesaikan masalah ini, bagaimana untuk mengkonfigurasi NAT pada router.

Port Alamat Terjemahan (PAT)

pelaksanaan Cisco Rapt ialah Alamat Port, Terjemahan (PAT) yang memaparkan beberapa IP-address swasta sebagai salah satu daripada orang ramai. Berbilang alamat boleh dipaparkan sebagai alamat, kerana setiap daripada mereka dipantau dengan jumlah pelabuhan. PAT menggunakan nombor port sumber unik pada IP global di dalam, untuk membezakan arah pemindahan data. Nombor-nombor ini adalah integer 16-bit. Jumlah alamat dalaman yang boleh diterjemahkan ke dalam satu luar, secara teori boleh mencapai 65536. Bilangan sebenar pelabuhan yang baginya suatu IP-alamat tunggal boleh diberikan, adalah kira-kira 4000. Biasanya, PAT cuba untuk menyelamatkan pelabuhan sumber "asal". Jika ia sudah digunakan, Port Alamat Terjemahan memberikan nombor port yang pertama boleh bermula dari awal kumpulan masing - 0-511, 512-1023, atau 1.024-65.535. Apabila tidak ada pelabuhan lebih sedia dan terdapat lebih daripada satu luaran IP-alamat, PAT bergerak ke depan untuk cuba mengenal pasti port sumber. Proses ini berterusan sehingga tiada data yang lebih tersedia.

Memaparkan alamat dan pelabuhan Cisco melaksanakan perkhidmatan yang menggabungkan alamat port paket terowong terjemahan data IPv6 IPv4 lebih intranet. Malah, alternatif formal CarrierGrade NAT dan DS-Lite, yang menyokong IP-address terjemahan / port (dan, dengan itu, disokong tetapan NAT). Oleh itu, ia mengelakkan masalah dalam pemasangan dan penyelenggaraan sambungan, dan juga menyediakan mekanisme peralihan untuk penempatan IPv6.

kaedah terjemahan

Terdapat beberapa cara untuk melaksanakan terjemahan alamat rangkaian dan pelabuhan. Dalam beberapa aplikasi, protokol yang digunakan aplikasi untuk bekerja dengan IP-alamat, yang beroperasi dalam rangkaian yang disulitkan, anda mesti menentukan alamat luar NAT (yang digunakan pada hujung sambungan), dan, lebih-lebih lagi, ia adalah perlu untuk mengkaji dan mengelaskan jenis penghantaran. Biasanya ini dilakukan kerana ia adalah wajar untuk mewujudkan saluran komunikasi langsung (atau menyimpan penghantaran tanpa gangguan data melalui pelayan atau untuk meningkatkan prestasi) antara kedua-dua pelanggan, kedua-duanya berada individu NAT.

Bagi tujuan ini, (bagaimana untuk mengkonfigurasi NAT) pada tahun 2003 membangunkan RFC protokol khas 3489 Traversal Mudah UDP menyediakan melalui NATS. Hari ini ia adalah usang, kerana kaedah ini pada masa kini tidak mencukupi untuk betul menilai kerja-kerja banyak peranti. kaedah baru telah dipiawaikan dalam protokol RFC 5389, yang dibangunkan pada bulan Oktober 2008. Spesifikasi ini kini dikenali sebagai SessionTraversal dan adalah utiliti untuk NAT.

Mewujudkan komunikasi dua hala

Setiap paket mengandungi TCP dan UDP IP sumber alamat dan nombor port, serta koordinat pelabuhan destinasi.

Bagi perkhidmatan awam seperti yang berfungsi pelayan e-mel, nombor port adalah penting. Sebagai contoh, port 80 adalah dihubungkan dengan perisian, pelayan web, dan 25 - untuk pelayan mel SMTP. IP-address awam pelayan juga penting, seperti alamat pos atau nombor telefon. Kedua-dua parameter ini perlu sahih yang diketahui untuk semua nod yang akan menyambung.

Private IP-alamat mempunyai kepentingan hanya dalam rangkaian tempatan, di mana ia digunakan, serta pelabuhan tuan rumah. Pelabuhan adalah sambungan titik akhir unik pada tuan rumah, jadi sambungan melalui NAT disokong oleh pemetaan pelabuhan gabungan dan IP-alamat.

PAT (Port AddressTranslation) ketetapan konflik yang mungkin timbul antara kedua-dua kumpulan yang berbeza dengan menggunakan nombor port sumber yang sama untuk mewujudkan sambungan unik pada masa yang sama.