ΝΑΤ - τι είναι αυτό; Ρύθμιση NAT

Network Address Translation (NAT) είναι μια μέθοδος αναδιάταξης ενός χώρου διευθύνσεων στο άλλο, αλλάζοντας τις πληροφορίες διεύθυνσης δικτύου της IP (Internet Protocol). Δηλαδή, οι κεφαλίδες πακέτων αλλάξει κατά τη στιγμή βρίσκονται υπό διαμετακόμιση μέσω της συσκευής δρομολόγησης. Αυτή η μέθοδος χρησιμοποιήθηκε αρχικά για να ανακατευθύνει την απλότητα της κυκλοφορίας στην IP δίκτυα, κάθε υποδοχής χωρίς αρίθμηση. Έγινε ένα δημοφιλές και σημαντικό εργαλείο για τη διατήρηση και τη διανομή του παγκόσμιου χώρου διευθύνσεων με τους όρους της έλλειψης διευθύνσεων IPv4.

ΝΑΤ - τι είναι αυτό;

Η αρχική χρήση της μετάφρασης διευθύνσεων δικτύου είναι να χαρτογραφήσει κάθε διεύθυνση από τον ένα χώρο διευθύνσεων σε μια αντίστοιχη διεύθυνση στο άλλο χώρο. Για παράδειγμα, είναι απαραίτητο αν ο πάροχος υπηρεσιών Διαδικτύου έχει αλλάξει, και ο χρήστης δεν είναι σε θέση να ανακοινώσει δημοσίως μια νέα διαδρομή στο δίκτυο. Σύμφωνα με τους όρους άμεσο παγκόσμια εξάντληση IP διεύθυνση διαστημική τεχνολογία NAT χρησιμοποιείται όλο και περισσότερο από τα τέλη της δεκαετίας του 1990, σε συνδυασμό με IP-κρυπτογράφησης (η οποία είναι η μέθοδος μεταφοράς αρκετές διευθύνσεις IP στο ίδιο διάστημα). Ο μηχανισμός αυτός εφαρμόζεται σε μια συσκευή δρομολόγησης που χρησιμοποιεί πίνακες μετάφρασης stateful να εμφανιστεί «κρυφό» απευθύνεται σε μία διεύθυνση IP, και προωθεί τις εξερχόμενες IP πακέτα στην έξοδο. Έτσι, φαίνονται να βγαίνουν από τη συσκευή δρομολόγησης. Στην αντίστροφη επικοινωνίες καναλιών οι απαντήσεις εμφανίζονται στην πηγή διεύθυνση IP χρησιμοποιώντας τους κανόνες που αποθηκεύονται στους πίνακες μετάφρασης. Κανόνες πίνακα μετάφρασης, με τη σειρά του, εκκαθαρίζονται μετά από ένα σύντομο χρονικό διάστημα, αν η νέα κίνηση δεν ενημερώνει την κατάσταση του. Αυτός είναι ο βασικός μηχανισμός της ΝΑΤ. Είναι αυτό σημαίνει;

Αυτή η μέθοδος σας επιτρέπει να επικοινωνούν μέσω του router μόνο όταν η σύνδεση γίνεται σε ένα κρυπτογραφημένο δίκτυο, καθώς δημιουργεί έναν πίνακα μετάφρασης. Για παράδειγμα, ένα web browser στο δίκτυο μπορεί να περιηγηθείτε στο site του εξωτερικού, αλλά, αν δεν εγκατασταθεί έξω, δεν μπορεί να ανοίξει έναν πόρο, που βρίσκεται σ 'αυτό. Παρ 'όλα αυτά, οι περισσότερες συσκευές NAT σήμερα επιτρέπει σε ένα διαχειριστή δικτύου για να ρυθμίσετε μια καταχώρηση πίνακα μετάφρασης για μόνιμη χρήση. Αυτό το χαρακτηριστικό είναι συχνά αναφέρεται ως στατική NAT ή την προώθηση των θυρών, και επιτρέπει την κυκλοφορία που προέρχονται από την «έξω» του δικτύου για την επίτευξη του κεντρικού υπολογιστή προορισμού σε ένα κρυπτογραφημένο δίκτυο.

Λόγω της δημοτικότητας αυτής της μεθόδου που χρησιμοποιείται για τη διατήρηση του χώρου διευθύνσεων IPv4, το ΝΑΤ όρος (αυτό είναι ό, τι είναι στην πραγματικότητα - πάνω), έχει γίνει σχεδόν συνώνυμο με τη μέθοδο κρυπτογράφησης.

Επειδή ΝΑΤ μεταβάλλει τα στοιχεία της διεύθυνσης του IP-πακέτο, έχει σοβαρές επιπτώσεις για την ποιότητα της σύνδεσης στο internet, και απαιτεί ιδιαίτερη προσοχή στη λεπτομέρεια εφαρμογής της.

Μέθοδοι Χρησιμοποιώντας ΝΑΤ διαφέρουν μεταξύ τους κυρίως τη συμπεριφορά τους σε διάφορες περιπτώσεις αντίκτυπο στην κίνηση του δικτύου.

βασικές ΝΑΤ

Ο απλούστερος τύπος μετάφρασης διευθύνσεων δικτύου (NAT) παρέχει μεταδίδουν τις διευθύνσεις IP των «ένα-προς-ένα.» RFC 2663 είναι το κύριο είδος της εκπομπής. Σε αυτό το είδος της αλλαγής μόνο η διεύθυνση IP και checksum IP-μπάλα. Οι κύριοι τύποι της μετάφρασης μπορεί να χρησιμοποιηθεί για τη σύνδεση των δύο IP δίκτυα τα οποία είναι ασύμβατα αντιμετώπιση.

ΝΑΤ - είναι ότι συνδέει «ένα-προς-πολλά»;

Οι περισσότερες ποικιλίες του ΝΑΤ μπορεί να χαρτογραφήσει πολλαπλές ιδιωτικό φιλοξενεί σε ένα μόνο κοινό που ορίζεται διεύθυνση IP. Σε μια τυπική διαμόρφωση, ένα τοπικό δίκτυο χρησιμοποιεί ένα από τα καθορισμένα «ιδιωτική» διευθύνσεις IP-δευτερεύοντος δικτύου (RFC 1918). Ο δρομολογητής στο δίκτυο αυτό έχει μια ιδιωτική διεύθυνση σε αυτό το χώρο.

Ο δρομολογητής συνδέεται επίσης με το Internet χρησιμοποιώντας ένα «κοινό» διευθύνσεις εκχωρηθεί από τον ISP σας. Καθώς η κίνηση περνάει από το τοπικό δίκτυο στη διεύθυνση διαδικτύου της πηγής του κάθε πακέτου μεταφράζεται on the fly από τις ιδιωτικές διευθύνσεις στο κοινό. Ο δρομολογητής παρακολουθεί βασικά δεδομένα σχετικά με κάθε ενεργή σύνδεση (ιδιαίτερα η διεύθυνση προορισμού και το λιμάνι). Όταν η απάντηση έρχεται πίσω σε αυτόν, χρησιμοποιεί τα στοιχεία σύνδεσης που είναι αποθηκευμένα κατά την εξερχόμενη φάση να καθοριστεί η ιδιωτική διεύθυνση του εσωτερικού δικτύου στο οποίο να στείλετε την απάντηση.

Ένα πλεονέκτημα αυτής της λειτουργικότητας είναι ότι χρησιμεύει ως μια πρακτική λύση για να την επικείμενη εξάντληση των IPv4 χώρου διευθύνσεων. Ακόμη και μεγάλα δίκτυα μπορεί να συνδεθεί στο Internet μέσω ενός IP-διεύθυνση.

Όλα τα πακέτα datagram σε δίκτυα IP-based έχουν 2 IP διεύθυνση - την πηγή και τον προορισμό. Συνήθως, τα πακέτα που διέρχεται από το ιδιωτικό δίκτυο με το δημόσιο δίκτυο, θα έχει τη διεύθυνση πηγής των πακέτων, αλλάζει κατά τη διάρκεια της μετάβασης από το δημόσιο δίκτυο σε μια ιδιωτική πίσω. Πιο περίπλοκη διαμορφώσεις επίσης είναι δυνατές.

χαρακτηριστικά

λειτουργία NAT μπορεί να έχουν κάποια ειδικά χαρακτηριστικά. Για να αποφευχθούν οι δυσκολίες είναι πώς να μεταφράσει τα επιστρεφόμενα πακέτα απαιτούν περαιτέρω τροποποιήσεις τους. Η συντριπτική πλειοψηφία της κίνησης στο Διαδίκτυο περνά μέσα από τα πρωτόκολλα TCP και UDP, και οι αριθμοί θύρας αλλάξει, έτσι ώστε ο συνδυασμός IP-διεύθυνση και τον αριθμό θύρας προς την αντίθετη κατεύθυνση αρχίζει να χαρτογραφηθεί δεδομένων.

Πρωτόκολλα που δεν βασίζονται σε TCP ή UDP, απαιτούν διαφορετικές μεθόδους της μετάφρασης. Έλεγχος μηνυμάτων Πρωτόκολλο Διαδικτύου (ICMP), κατά κανόνα, συσχετίζει τα δεδομένα που διαβιβάζονται με μια υπάρχουσα σύνδεση. Αυτό σημαίνει ότι θα πρέπει να εμφανίζεται χρησιμοποιώντας την ίδια διεύθυνση IP και τον αριθμό που αρχικά.

Τι πρέπει να προσέξω;

Ρύθμιση NAT για το router δεν του παρέχει τη δυνατότητα συνδέσεων «από άκρη σε άκρη.» Ως εκ τούτου, αυτές οι δρομολογητές δεν μπορεί να συμμετάσχει σε κάποια πρωτόκολλα του Διαδικτύου. Υπηρεσίες που απαιτούν την έναρξη των TCP συνδέσεων από το εξωτερικό δίκτυο ή χρήστες χωρίς πρωτόκολλα μπορεί να μην είναι διαθέσιμη. Εάν το NAT router δεν κάνει μεγάλη προσπάθεια για να υποστηρίξουν τέτοια πρωτόκολλα, τα εισερχόμενα πακέτα δεν μπορούν να φτάσουν στον προορισμό τους. Μερικά πρωτόκολλα μπορούν να φιλοξενήσουν μια μετάφραση μεταξύ των συμμετεχουσών δυνάμεων ( «παθητική λειτουργία» FTP, για παράδειγμα), μερικές φορές με τη βοήθεια της πύλης εφαρμογής, αλλά η σύνδεση δημιουργείται όταν και τα δύο συστήματα χωρίζονται από το Διαδίκτυο με χρήση ΝΑΤ. Χρησιμοποιώντας ΝΑΤ περιπλέκει επίσης όπως «διοχέτευση» πρωτόκολλα, όπως το IPsec, επειδή αλλάζει τις τιμές στην επικεφαλίδα, η οποία αλληλεπιδρά με την ακεραιότητα αίτηση επανεξέτασης.

Το σημερινό πρόβλημα

Η Ένωση «από άκρο σε άκρο» είναι η βασική αρχή του Διαδικτύου, υπάρχει από την ανάπτυξή της. Η τρέχουσα κατάσταση του δικτύου δείχνει ότι το ΝΑΤ είναι μια παραβίαση αυτής της αρχής. Ειδικοί υπάρχουν σοβαρές ανησυχίες για την ευρεία χρήση του IPv6, σε μετάφραση διευθύνσεων δικτύου, και θέτει το πρόβλημα του πώς να το εξαλείψει αποτελεσματικά.

Λόγω του εφήμερου χαρακτήρα των πινάκων stateful μεταδίδονται ΝΑΤ δρομολογητές, οι εσωτερικές συσκευές του δικτύου χάσουν IP-σύνδεση, κατά κανόνα, μέσα σε πολύ σύντομο χρονικό διάστημα. Εκτός από το γεγονός ότι μια τέτοια ΝΑΤ στο router, μπορείτε να μην ξεχνάμε αυτό το γεγονός. Αυτό μειώνει σοβαρά τον χρόνο λειτουργίας των compact συσκευές που λειτουργούν με μπαταρίες και συσσωρευτές.

επεκτασιμότητα

Επιπλέον, κατά τη χρήση ΝΑΤ παρακολουθούνται μόνο θύρες που μπορούν να εξαντληθούν γρήγορα εσωτερικών εφαρμογών που χρησιμοποιούν πολλαπλές ταυτόχρονες συνδέσεις (για παράδειγμα, οι HTTP-αιτήματα για ιστοσελίδες με μεγάλο αριθμό ενσωματωμένων αντικειμένων). Το πρόβλημα αυτό μπορεί να μετριαστεί με την παρακολούθηση του προορισμού IP διεύθυνση εκτός από μια θύρα (έτσι ένα τοπικό λιμάνι χωρίζεται πιο απομακρυσμένους υπολογιστές).

κάποιες δυσκολίες

Δεδομένου ότι όλες οι εσωτερικές διευθύνσεις που μεταμφιέζεται ως ένα κοινό, εξωτερική φιλοξενεί καθίσταται αδύνατο να ξεκινήσει μια σύνδεση με ένα συγκεκριμένο εσωτερικό κόμβο, χωρίς καμία ειδική ρύθμιση στο firewall (που είναι να ανακατευθύνει τη σύνδεση με μια συγκεκριμένη θύρα). Εφαρμογές όπως IP τηλεφωνίας, video conferencing, και αυτές οι υπηρεσίες πρέπει να χρησιμοποιήσετε NAT τεχνικές διάσχισης για να λειτουργήσει κανονικά.

Επιστροφή διεύθυνση και το λιμάνι της μετάφρασης (συνεπαρμένος) επιτρέπει τη υποδοχής, η πραγματική διεύθυνση IP του οποίου κυμαίνεται από καιρό σε καιρό, να παραμείνει διαθέσιμο ως server με μια σταθερή διεύθυνση IP του οικιακού δικτύου. Κατ 'αρχήν, θα πρέπει να επιτρέψει τη δημιουργία servers για να διατηρήσει τη σύνδεση. Παρά το γεγονός ότι αυτό δεν είναι μια τέλεια λύση το πρόβλημα, θα μπορούσε να είναι άλλο ένα χρήσιμο εργαλείο στο οπλοστάσιο του διαχειριστή του δικτύου για να λύσει το πρόβλημα, πώς να ρυθμίσετε NAT για το router.

Port Address Translation (PAT)

εφαρμογή Cisco συνεπαρμένος είναι το Port Address Translation (PAT), η οποία εμφανίζει αρκετές ιδιωτικές IP διεύθυνση ως ένα από το κοινό. Πολλαπλές διευθύνσεις μπορεί να εμφανίζεται ως μια διεύθυνση, επειδή καθένα από αυτά ελέγχεται από τον αριθμό θύρας. PAT χρησιμοποιεί μοναδικούς αριθμούς θύρας πηγής στο εσωτερικό παγκόσμια IP, να διακρίνει την κατεύθυνση της μεταφοράς δεδομένων. Αυτοί οι αριθμοί είναι 16-bit ακέραιοι. Σύνολο εσωτερικές διευθύνσεις που μπορεί να μεταφραστεί σε έναν εξωτερικό, μπορεί θεωρητικά να φθάσει 65536. Ο πραγματικός αριθμός των λιμένων στους οποίους μπορεί να ανατεθεί μία μόνο διεύθυνση IP, είναι περίπου 4000. Τυπικά, PAT προσπαθεί να σώσει τη θύρα πηγής «αρχική». Αν είναι ήδη σε χρήση, Port Address Translation αναθέτει τον πρώτο διαθέσιμο αριθμό θύρας που αρχίζει από την έναρξη των αντίστοιχων ομάδων - 0-511, 512-1023, ή 1024-65535. Όταν δεν υπάρχουν περισσότερες διαθέσιμες θύρες και υπάρχουν περισσότερες από μια εξωτερική διεύθυνση IP, οι PAT μετακινείται στην επόμενη για να προσπαθήσει να εντοπίσει το λιμάνι πηγή. Αυτή η διαδικασία συνεχίζεται μέχρι να μην υπάρχουν περισσότερα διαθέσιμα στοιχεία.

Εμφανίζει διευθύνσεις και το λιμάνι της Cisco σε εφαρμογή μια υπηρεσία που συνδυάζει τα στοιχεία της διεύθυνσης θύρας πακέτα σήραγγας δεδομένων μετάφραση IPv6 σε IPv4 intranet. Στην πραγματικότητα, μια ανεπίσημη εναλλακτική CarrierGrade NAT και DS-Lite, το οποίο υποστηρίζει την IP διεύθυνση μετάφρασης / λιμάνι (και, ως εκ τούτου, με την υποστήριξη του NAT ρύθμιση). Έτσι, αποφεύγει τα προβλήματα στην εγκατάσταση και τη συντήρηση της σύνδεσης, και παρέχει επίσης μηχανισμό μετάβασης για την ανάπτυξη του IPv6.

μέθοδοι μετάφρασης

Υπάρχουν διάφοροι τρόποι για να εφαρμόσει τη μετάφραση της διεύθυνσης δικτύου και το λιμάνι. Σε ορισμένες εφαρμογές, τα πρωτόκολλα που χρησιμοποιούν οι εφαρμογές να συνεργαστεί με IP διευθύνσεις, που λειτουργεί σε ένα κρυπτογραφημένο δίκτυο, πρέπει να ορίσετε την εξωτερική διεύθυνση ΝΑΤ (η οποία χρησιμοποιείται στο άλλο άκρο της σύνδεσης), και, επιπλέον, είναι συχνά απαραίτητο να μελετήσει και να ταξινομήσει τον τύπο της μετάδοσης. Συνήθως αυτό γίνεται διότι είναι σκόπιμο να δημιουργηθεί ένα άμεσο κανάλι επικοινωνίας (ή να αποθηκεύσετε απρόσκοπτη μετάδοση των δεδομένων μέσω του εξυπηρετητή ή να βελτιώσουν την απόδοση) μεταξύ των δύο πελάτες, οι δύο εκ των οποίων είναι ατομικές ΝΑΤ.

Για το σκοπό αυτό, (πώς να ρυθμίσετε το NAT) το 2003 ανέπτυξε ένα ειδικό RFC πρωτοκόλλου 3489 Απλή διέλευσης των UDP παρέχει μέσω NATS. Σήμερα είναι άνευ αντικειμένου, διότι αυτές οι μέθοδοι στις μέρες μας δεν επαρκούν για να εκτιμήσει σωστά το έργο πολλών συσκευών. Νέες μέθοδοι έχουν τυποποιηθεί στο πρωτόκολλο RFC 5389, η οποία αναπτύχθηκε τον Οκτώβριο του 2008. Αυτή η προδιαγραφή είναι τώρα γνωστή ως SessionTraversal και είναι ένα βοηθητικό πρόγραμμα για το ΝΑΤ.

Η δημιουργία μιας αμφίδρομης επικοινωνίας

Κάθε πακέτο περιέχει TCP και UDP IP-διεύθυνση πηγής και τον αριθμό θύρας, καθώς και τις συντεταγμένες του λιμένα προορισμού.

Για αυτές τις δημόσιες υπηρεσίες ως λειτουργικό διακομιστές e-mail, ο αριθμός θύρας είναι σημαντική. Για παράδειγμα, θύρα 80 είναι συνδεδεμένη με το λογισμικό, web server, και 25 - με το διακομιστή αλληλογραφίας SMTP. δημόσια διεύθυνση IP του διακομιστή είναι επίσης σημαντικό, όπως ταχυδρομική διεύθυνση ή τον αριθμό τηλεφώνου. Και οι δύο αυτές παράμετροι θα πρέπει να είναι αυθεντικά γνωστά σε όλους τους κόμβους που πρόκειται να συνδέσετε.

Private IP διευθύνσεις έχουν σημασία μόνο σε τοπικά δίκτυα, όπου χρησιμοποιούνται, καθώς και τα λιμάνια υποδοχής. Τα λιμάνια είναι μοναδική τέλος σύνδεσης σημείο της υποδοχής, έτσι ώστε η σύνδεση μέσω NAT που υποστηρίζεται από τη συνδυασμένη χαρτογράφηση του λιμένα και διευθύνσεις IP.

PAT (Port AddressTranslation) επιλύει τις διαφορές που μπορεί να προκύψουν ανάμεσα σε δύο διαφορετικά συστήματα που χρησιμοποιούν τον ίδιο αριθμό θύρας πηγή για τη δημιουργία μοναδικών συνδέσεων ταυτόχρονα.