NAT este ceea ce? Configurarea NAT
Traducerea adreselor de rețea (NAT) este o modalitate de a reassigna un spațiu de adresă la altul prin modificarea informațiilor adresele de rețea în IP (Internet Protocol). Aceasta înseamnă că antetele de pachete se schimbă în momentul în care se află în cale prin intermediul dispozitivului de rutare a traficului. Această metodă a fost inițial utilizată pentru a simplifica redirecționarea traficului în rețelele IP fără a renumerota fiecare gazdă. Acesta a devenit un instrument popular și important pentru păstrarea și distribuirea spațiului global de adrese în fața unei lipse de adrese IPv4.
conținut
NAT este ceea ce?
Utilizarea inițială a traducerii adreselor de rețea este de a mapa fiecare adresă dintr-un spațiu de adresă la adresa corespunzătoare dintr-un alt spațiu. De exemplu, acest lucru este necesar în cazul în care furnizorul de servicii Internet sa schimbat și utilizatorul nu poate anunța public o nouă rută în rețea. În condițiile unei epuizări globale previzibile a spațiului de adrese IP, tehnologia NAT a fost folosită din ce în ce mai mult de la sfârșitul anilor 1990, în combinație cu criptarea IP (care este o metodă de mutare a mai multor adrese IP în același spațiu). Acest mecanism este implementat într-un dispozitiv de rutare care utilizează tabele de traducere statale pentru a mapa adrese "ascunse" la o adresă IP și redirecționează pachetele IP la ieșire. Astfel, acestea sunt afișate ca provenind de la dispozitivul de rutare. În sens invers canal de comunicare Răspunsurile sunt afișate în adresa IP sursă utilizând regulile stocate în tabelele de traducere. Regulile tabelului de traducere, la rândul lor, sunt șterse după o perioadă scurtă dacă noul trafic nu își actualizează starea. Acesta este mecanismul de bază al NAT. Ce înseamnă asta?
Această metodă permite comunicarea prin router numai atunci când conexiunea are loc în rețeaua criptată, deoarece aceasta creează tabele de traducere. De exemplu, un browser web din interiorul unei astfel de rețele poate vizualiza site-ul în afara acestuia, dar, instalat în afara acestuia, nu poate deschide resursele găzduite în acesta. Cu toate acestea, majoritatea dispozitivelor NAT permit astăzi administratorul rețelei Configurați intrările tabelului de traducere pentru utilizare permanentă. Această funcție este adesea denumită NAT static sau port forwarding și permite traficului provenit din rețeaua "externă" să ajungă la gazdele desemnate din rețeaua criptată.
Din cauza popularității acestei metode, folosită pentru a salva spațiul de adrese IPv4, termenul NAT (care este de fapt cel menționat mai sus) a devenit aproape sinonim cu metoda de criptare.
Deoarece traducerea adreselor de rețea schimbă informații despre adresa IP a pachetelor IP, aceasta are consecințe grave pentru calitatea conexiunii la Internet și necesită o atenție deosebită detaliilor implementării sale.
Modalitățile de utilizare a NAT diferă una de alta în comportamentul lor specific în diferite cazuri privind impactul asupra traficului în rețea.
De bază NAT
Cel mai simplu tip de traducere a adreselor de rețea (NAT) oferă o traducere IP una la una. RFC 2663 este principalul tip al acestei emisiuni. În acest tip sunt modificate numai adresele IP și verifica suma Anteturi IP. Tipurile de bază de traducere pot fi folosite pentru a conecta două rețele IP care au adrese de incompatibilitate.
NAT - este aceasta într-o conexiune unu-la-mulți?
Cele mai multe soiuri de NAT sunt capabile să mapă mai multe gazde private într-o singură adresă IP publică. Într-o configurație tipică, rețeaua locală utilizează una dintre adresele IP subrețea (RFC 1918) atribuite "private". Un router din această rețea are o adresă privată în acest spațiu.
De asemenea, routerul se conectează la Internet utilizând o adresă "publică", atribuită de către furnizor. Deoarece fluxul de trafic din rețeaua locală pe internet, adresa Sursa din fiecare pachet este tradusă în zbor dintr-o adresă privată la o adresă publică. Router-ul monitorizează datele de bază pentru fiecare conexiune activă (în special adresa și portul de destinație). Când este returnat un răspuns, acesta utilizează conexiunile de date stocate în faza de ieșire pentru a determina adresa privată a rețelei interne la care trebuie trimis răspunsul.
Unul dintre avantajele acestei funcționalități este că servește ca soluție practică la epuizarea iminentă a spațiului de adrese IPv4. Chiar și rețelele mari pot fi conectate la Internet folosind o singură adresă IP.
Toate datagramele de pachete pe rețelele IP au 2 adrese IP - sursă și destinație. În mod obișnuit, pachetele care merg de la o rețea privată la o rețea publică vor avea o adresă sursă de pachete care se schimbă în timpul tranziției de la rețeaua publică la o rețea privată. Sunt posibile și configurații mai complexe.
caracteristici
Setarea NAT poate avea unele caracteristici. Pentru a evita dificultățile legate de transferul pachetelor returnate, sunt necesare alte modificări. Marea majoritate a traficului pe Internet trece prin protocoalele TCP și UDP, iar numerele lor de porturi se modifică astfel încât combinarea adresei IP și a numărului portului în direcția inversă a datelor să înceapă să fie comparată.
Protocoalele care nu se bazează pe TCP și UDP necesită alte metode de traducere. Protocolul de administrare a mesajelor pe Internet (ICMP), ca regulă, corelează datele transmise către o conexiune existentă. Aceasta înseamnă că trebuie să fie afișate utilizând aceeași adresă IP și numărul inițial setat.
Ce trebuie să luați în considerare?
Configurarea NAT pe router nu îi permite să se conecteze "de la sfârșit la sfârșit". Prin urmare, astfel de routere nu pot participa la unele protocoale de Internet. Serviciile care necesită inițierea conexiunilor TCP de la o rețea externă sau de la utilizatori fără protocoale pot să nu fie disponibile. Dacă router-ul NAT nu depune mult efort pentru a susține astfel de protocoale, pachetele primite nu pot ajunge la destinație. Unele protocoale pot găzdui o traducere între gazde ( „modul pasiv» FTP, de exemplu) care participă, uneori cu ajutorul gateway-ului de aplicații, dar conexiunea este stabilită atunci când ambele sisteme sunt separate de Internet folosind NAT. Utilizarea traducerii adreselor de rețea complică de asemenea astfel de protocoale "tunneling" ca IPsec, deoarece modifică valorile din anteturile care interacționează cu verificările integrității interogării.
Problema existenta
Conexiunea end-to-end este principiul de bază al internetului care există încă de la începuturile sale. Starea actuală a rețelei indică faptul că NAT este o încălcare a acestui principiu. Specialiștii sunt serios preocupați de utilizarea pe scară largă a adreselor de rețea în traducerea IPv6, iar problema ridicării eficiente a acestora este eliminată.
Datorită naturii scurte a tabelelor care păstrează starea de difuzare în routerele NAT, dispozitivele de rețea interne pierd conexiunea IP, de obicei într-o perioadă foarte scurtă de timp. Când vorbim despre NAT într-un router, nu trebuie să uitați de această circumstanță. Acest lucru reduce în mod serios timpul de funcționare al dispozitivelor compacte care funcționează pe baterii și baterii.
scalabilitate
În plus, atunci când se utilizează NAT urmarite doar porturi care pot fi epuizate rapid aplicațiile interne folosind mai multe conexiuni simultane (de exemplu, HTTP-cererile de pagini web cu un număr mare de obiecte încorporate). Această problemă poate fi atenuată prin urmărirea adresei IP de destinație în plus față de port (astfel, un port local este partajat de un număr mare de gazde de la distanță).
Unele dificultăți
Deoarece toate adresele interne deghizat ca public, gazde externe devine imposibil de a iniția o conexiune la un nod intern specific, fără nici o configurație specială pe firewall-ul (care este de a redirecționa conexiunea la un port specific). Aplicațiile precum telefonia IP, videoconferințele și serviciile similare ar trebui să utilizeze tehnicile de traversare NAT pentru a funcționa corect.
Adresa de retur și portul de traducere (Rapt) permite unei gazde a cărei adresă IP reală se modifică din când în când, pentru a rămâne disponibilă ca server utilizând o adresă IP fixă a rețelei de domiciliu. În principiu, acest lucru ar trebui să permită configurarea serverelor să mențină conexiunea. În ciuda faptului că nu este o soluție ideală probleme, asta poate deveni un alt instrument util în arsenalul administratorului de rețea atunci când se rezolvă problema modului de configurare NAT pe router.
Traducerea adreselor de adrese (PAT)
Implementarea Cisco Rapt este Traducerea adreselor de port (PAT), care afișează mai multe adrese IP private sub forma unei singure adrese publice. Adresele multiple pot fi afișate ca adresă, deoarece fiecare dintre ele este urmărită utilizând numărul portului. PAT utilizează numerele porturilor sursă unice pe IP intern intern pentru a distinge direcția transferului de date. Aceste numere sunt numere pe 16 biți. adrese interne totale care pot fi traduse în cel exterior, se poate ajunge, teoretic, 65536. Numărul real de porturi la care un singur adresă IP poate fi atribuite, este de aproximativ 4000. în mod obișnuit, PAT încearcă să salveze portul sursa „original“. Dacă este deja în uz, Traducerea adreselor de port atribuie primul număr de port disponibil, începând de la începutul grupului corespunzător - 0-511, 512-1023 sau 1024-65535. Atunci când nu mai există mai multe porturi disponibile și există mai mult de un extern adresa IP, PAT, se mută la următorul pentru a încerca să identifice portul sursă. Acest proces continuă până la epuizarea datelor disponibile.
Adresa și portul sunt afișate de serviciul Cisco, care combină adresa portului de traducere cu datele tunelului de pachete IPv4 prin rețeaua internă IPv6. De fapt, aceasta este o alternativă neoficială la CarrierGrade NAT și DS-Lite, care suportă traducerile IP ale adreselor / porturilor (și, prin urmare, sunt acceptate setările NAT). Astfel, acest lucru evită problemele legate de instalarea și întreținerea unei conexiuni și oferă, de asemenea, un mecanism de migrare pentru implementarea IPv6.
Metode de traducere
Există mai multe modalități de implementare a traducerii adresei de rețea și a portului. În unele aplicații, protocoalele pe care aplicațiile utilizează pentru a lucra cu adrese IP, care funcționează într-o rețea criptată, trebuie să definiți adresa externă NAT (care este utilizat la celălalt capăt al conexiunii), și, în plus, este adesea necesar să se studieze și să clasifice tipul de transmisie. De obicei, acest lucru se face, deoarece este de dorit să se stabilească un canal de comunicare directă (sau a salva transmitere neîntreruptă a datelor prin intermediul serverului sau pentru a îmbunătăți performanța) între cei doi clienți, ambele sunt de NAT individuale.
În acest scop (cum se configurează NAT) în 2003, a fost elaborat un protocol special RFC 3489, oferind o ocolire simplă a UDP prin NATS. Până în prezent, este depășită, deoarece astfel de metode de astăzi nu sunt suficiente pentru a evalua corect performanța multor dispozitive. Metodele noi au fost standardizate în RFC 5389, care a fost elaborat în octombrie 2008. Această specificație astăzi este numită SessionTraversal și este un utilitar pentru activitatea NAT.
Crearea comunicării bidirecționale
Fiecare pachet TCP și UDP conține adresa IP sursă și numărul portului acesteia, precum și coordonatele portului de destinație.
Pentru a obține astfel de servicii publice ca funcționalitatea serverelor de poștă electronică, numărul portului este important. De exemplu, port 80 se conectează la software-ul serverului web și 25 la serverul de e-mail SMTP. Adresa IP a serverului public are, de asemenea, o importanță semnificativă, similară unei adrese de poștă electronică sau unui număr de telefon. Ambii parametri trebuie să fie cunoscuți în mod fiabil tuturor nodurilor care intenționează să stabilească o conexiune.
Adresele IP private sunt importante numai în rețelele locale în care sunt utilizate, precum și în porturile gazdă. Porturile reprezintă puncte finale de comunicare pe gazdă, astfel încât o conexiune prin NAT este susținută prin combinarea mapării portului și a adresei IP.
PAT (Port AddressTranslation) rezolvă conflictele care pot apărea între două gazde diferite folosind același număr de port sursă pentru a stabili conexiuni unice în același timp.
Care este adresa MAC a computerului?
Configurarea unei adrese IP dinamice
Adresa IP statică. Pentru ce este?- Adresa Mac. Cum să învățați și să vă schimbați?
- Adresă IP conflict în rețea: detecție și rezoluție
IP - ce este?
Clase de adrese IP. Adresele IP din clasa A, B, C
DHCP este ce? Setările DHCP, opțiunile și configurația. Cum se activează sau se dezactivează DHCP?
Adresa IP a computerului din rețeaua locală: cum se identifică noul utilizator- Cum pot afla adresa de rețea a unui card de rețea?
Protocoale ARP, RARP, IP, ICMP. Pentru ce se utilizează ARP?
Scaner de rețea - conectați, configurați, utilizați- Cum de a găsi router-ul ip: elementele de bază
- Bazele administrării rețelei. Ce este adresa IP?
- Ce este un router? Stăpânește routerul
- Cum se activează DHCP?
Teredo Tunneling Pseudo-Interface - ce este? Descrierea și instalarea dispozitivului de…
Parola la 192.168.0.1: subtilitățile procesului
Tabelul de rutare este o foaie de calcul. Routing table: descriere, construire, comandă și…
Adresă IP statică și dinamică
Parametrii și clasele de rețea
Configurarea unei adrese IP dinamice
IP - ce este?
Clase de adrese IP. Adresele IP din clasa A, B, C
DHCP este ce? Setările DHCP, opțiunile și configurația. Cum se activează sau se dezactivează DHCP?
Adresa IP a computerului din rețeaua locală: cum se identifică noul utilizator
Protocoale ARP, RARP, IP, ICMP. Pentru ce se utilizează ARP?