Nat - це що таке? Налаштування nat

Відео: Налаштування NAT вбудованими засобами Traffic Inspector

Трансляція мережевих адрес (NAT) є способом перепризначення одного адресного простору в інше шляхом зміни інформації мережевих адрес в IP (Internet Protocol). Тобто заголовки пакетів змінюються в той час, коли вони знаходяться в дорозі через пристрій маршрутизації трафіку. Цей метод спочатку використовувався для простоти перенаправлення трафіку в IP-мережах без перенумерации кожного хоста. Він став популярним і важливим інструментом для збереження і розподілу глобального адресного простору в умовах нестачі адрес IPv4.

NAT - це що таке?

Оригінальне використання трансляції мережевих адрес полягає у відображенні кожної адреси з одного адресного простору до відповідного адресою в іншому просторі. Наприклад, це необхідно, якщо провайдер інтернет-послуг змінився, а користувач не має можливості публічно оголосити новий маршрут до мережі. В умовах недалекого глобального виснаження IP-адресного простору технологія NAT все частіше використовується з кінця 1990-х років в поєднанні з IP-шифруванням (це може бути метод переходу декількох IP-адрес в один простір). Цей механізм реалізований в пристрої маршрутизації, яке використовує таблиці переведення зі збереженням стану для відображення «прихованих» адрес в один IP-адреса, і перенаправляє вихідні IP-пакети на виході. Таким чином, вони відображаються виходять з пристрою маршрутизації. У зворотному каналі зв`язку відповіді відображаються в вихідному IP-адресу за допомогою правил, що зберігаються в таблицях перекладу. Правила таблиці переведення, в свою чергу, очищаються після закінчення короткого періоду, якщо новий трафік не оновлює свій стан. Такий основний механізм NAT. Що це значить?

Даний метод дозволяє здійснювати зв`язок через маршрутизатор тільки тоді, коли з`єднання відбувається в зашифрованою мережі, так як це створює таблиці переведення. Наприклад, веб-браузер всередині такої мережі може переглядати сайт за її межами, але, будучи встановленим поза нею, він не може відкрити ресурс, розміщений в ній. Проте більшість пристроїв NAT сьогодні дозволяють адміністратора конфігурувати записи таблиці переведення для постійного використання. Ця функція часто згадується як статична NAT або перенаправлення портів, і вона дозволяє трафіку, що виходить на «зовнішню» мережу, досягти призначених хостів в зашифрованою мережі.

Відео: PS4 Відкритий NAT тип 1 (OPEN NAT. NAT TYPE 1)

Через популярність цього методу, використовуваного з метою збереження адресного простору IPv4, термін NAT (це що таке фактично - зазначено вище) став практично синонімом методу шифрування.

Оскільки трансляція мережевих адрес змінює інформацію про адресу IP-пакетів, це має серйозні наслідки для якості підключення до інтернету і вимагає пильної уваги до деталей його реалізації.

Способи застосування NAT відрізняються один від одного в їх конкретну поведінку в різних випадках, що стосуються впливу на мережевий трафік.

Базова NAT

Найпростіший тип Network Address Translation (NAT) забезпечує трансляцію IP-адрес «один-до-одного». RFC 2663 є основним типом даної трансляції. У цьому типі змінюються тільки IP-адреси і контрольна сума IP-заголовків. Основні типи трансляції можна використовувати для з`єднання двох IP-мереж, які мають несумісну адресацію.

NAT - це що в підключенні «один-ко-многим»?

Більшість різновидів NAT здатні зіставити кілька приватних хостів до одного публічно позначеному IP-адресою. У типовій конфігурації локальна мережа використовує один з призначених «приватних» IP-адрес підмережі (RFC 1918). Маршрутизатор в цій мережі має приватний адресу в цьому просторі.

Маршрутизатор також підключається до інтернету за допомогою «публічного» адреси, присвоєного провайдером. Так як трафік проходить з локальної мережі в Інтернет, адреса джерела в кожному пакеті перекладається на льоту з приватного адреси в публічний. Маршрутизатор відстежує основні дані про кожного активного з`єднання (зокрема, адреса і порт призначення). Коли відповідь повертається до нього, він використовує дані з`єднання, які зберігаються під час виїзного етапу, щоб визначити приватну адресу внутрішньої мережі, до якого слід надіслати відповідь.

Одним з переваг цього функціоналу є те, що він служить практичним вирішенням насувається вичерпання адресного простору IPv4. Навіть великі мережі можуть бути підключені до Інтернету за допомогою одного IP-адреси.

Все дейтаграми пакетів на IP-мережах мають 2 IP-адреси - вихідний і пункту призначення. Як правило, пакети, що проходять з приватної мережі до мережі загального користування, матимуть адреса джерела пакетів, що змінюється під час переходу від публічної мережі назад до приватної. Більш складні конфігурації також можливі.

Особливості

Налаштування NAT може мати деякі особливості. Щоб уникнути труднощів у тому, як перевести повернуті пакети, потрібні їхні подальші модифікації. Переважна більшість інтернет-трафіку йде через протоколи TCP і UDP, і їх номери портів змінюються таким чином, що поєднання IP-адреси і номера порту при зворотному напрямку даних починає зіставлятися.

Протоколи, які базуються на TCP і UDP, вимагають інших методів перекладу. Протокол управління повідомленнями в мережі Інтернет (ICMP), як правило, співвідносить передані дані з існуючим з`єднанням. Це означає, що вони повинні бути відображені з використанням того ж IP-адреси і номера, встановленого спочатку.

Що потрібно враховувати?

Налаштування NAT в роутері не дає йому можливості з`єднання «від краю до краю». Тому такі маршрутизатори не можуть брати участь в деяких інтернет-протоколах. Послуги, які вимагають ініціації TCP-з`єднань від зовнішньої мережі або користувачів без протоколів, можуть бути недоступні. Якщо маршрутизатор NAT робить особливих зусиль для підтримки таких протоколів, що входять пакети не можуть дістатися до місця призначення. Деякі протоколи можуть розміститися в одній трансляції між що беруть участь хостами ( «пасивний режим» FTP, наприклад), іноді за допомогою шлюзу прикладного рівня, але з`єднання не буде встановлено, коли обидві системи відокремлені від мережі Інтернет за допомогою NAT. Використання трансляції мережевих адрес також ускладнює такі «тунельні» протоколи, як IPsec, оскільки вона змінює значення в заголовках, які взаємодіють з перевірками цілісності запитів.

існуюча проблема

З`єднання «від краю до краю» є основним принципом інтернету, існуючим з моменту його розробки. Поточний стан мережі показує, що NAT є порушенням цього принципу. У фахівців існує серйозна заклопотаність у зв`язку з повсюдним використанням в IPv6-трансляції мережевих адрес, і піднімається проблема про те, як ефективно її усунути.

Відео: Як налаштувати NAT в Windows Server 2016

Через недовговічною природи таблиць, які зберігали стан трансляції в маршрутизаторах NAT, пристрої внутрішньої мережі втрачають IP-з`єднання, як правило, протягом дуже короткого періоду часу. Говорячи про те, що таке NAT в роутері, не можна забувати про цю обставину. Це серйозно скорочує час роботи компактних пристроїв, що працюють на батарейках і акумуляторах.

масштабованість

Крім того, при використанні NAT відслідковуються тільки порти, які можуть бути швидко виснажені внутрішніми додатками, що використовують кілька одночасних з`єднань (наприклад, HTTP-запити для веб-сторінок з великою кількістю вбудованих об`єктів). Ця проблема може бути пом`якшена шляхом відстеження IP-адреси призначення на додаток до порту (таким чином, один локальний порт розділяється великою кількістю віддалених хостів).

деякі складності

Оскільки всі внутрішні адреси маскуються під один загальнодоступний, для зовнішніх хостів стає неможливо ініціювати підключення до певного внутрішнього вузла без спеціальної конфігурації брандмауера (яка повинна перенаправляти підключення до певного порту). Такі програми, як IP-телефонія, відеоконференції і подібні сервіси повинні використовувати методи обходу NAT, щоб нормально функціонувати.

Зворотна адреса та порт перекладу (Rapt) дозволяє хосту, реальний IP-адресу якого змінюється час від часу, залишатися доступним як сервер за допомогою фіксованого IP-адреси домашньої мережі. В принципі, це повинно дозволити налаштування серверів зберігати з`єднання. Незважаючи на те що це не ідеальне рішення проблеми, це може стати ще одним корисним інструментом в арсеналі мережевого адміністратора при вирішенні завдання, як налаштувати NAT на роутері.

Port Address Translation (PAT)

Реалізацією Cisco Rapt є Port Address Translation (PAT), який відображає кілька приватних IP-адрес у вигляді одного публічного. Кілька адрес можуть бути відображені як адреса, тому що кожен з них відстежується за допомогою номера порту. PAT використовує унікальні номери портів джерела на внутрішньому глобальному IP, щоб розрізняти напрямок передачі даних. Такими номерами є 16-розрядні цілі числа. Загальна кількість внутрішніх адрес, які можуть бути переведені на один зовнішній, теоретично може досягати 65536. Реальне ж кількість портів, на які може бути призначений єдиний IP-адреса, становить близько 4000. Як правило, PAT намагається зберегти вихідний порт «оригіналу». Якщо він вже використовується, Port Address Translation призначає перший доступний номер порту, починаючи з початку відповідної групи - 0-511, 512-1023 або 1024-65535. Коли більше немає доступних портів і є більш ніж один зовнішній IP-адреса, PAT переходить до наступного, щоб спробувати виділити вихідний порт. Цей процес триває до тих пір, поки не закінчаться доступні дані.

Відображення адреси і порту здійснюється службою Cisco, яка поєднує в собі адресу порту перекладу з даними тунелювання пакетів IPv4 по внутрішній мережі IPv6. По суті справи, це неофіційна альтернатива CarrierGrade NAT і DS-Lite, яка підтримує IP-трансляції адрес / портів (і, отже, підтримується настройка NAT). Таким чином, це дозволяє уникнути проблем в установці і підтримці з`єднання, а також забезпечує механізм переходу для розгортання IPv6.

Відео: Трансляція мережевих адрес (NAT) | курс "Комп`ютерні мережі"

методи перекладу

Існує кілька способів реалізації перекладу мережевого адреси і порту. У деяких прикладних протоколах, які використовують програми по роботі з IP-адресами, які працюють в зашифрованою мережі, необхідно визначити зовнішній адресу NAT (який використовується з яким ведеться розмова), і, крім того, часто необхідно вивчити і класифікувати тип передачі. Зазвичай це робиться тому, що бажано створити прямий канал зв`язку (або зберегти безперебійну передачу даних через сервер, або ж для підвищення продуктивності) між двома клієнтами, обидва з яких знаходяться за окремими NAT.

Для цієї мети (як налаштувати NAT) в 2003 році був розроблений спеціальний протокол RFC 3489, що забезпечує простий обхід UDP через NATS. На сьогоднішній день він є застарілим, оскільки такі методи в наші дні є недостатніми для правильної оцінки роботи багатьох пристроїв. Нові методи були стандартизовані в протоколі RFC 5389, який був розроблений в жовтні 2008 року. Ця специфікація сьогодні носить назву SessionTraversal і являє собою утиліту для роботи NAT.

Створення двостороннього зв`язку

Кожен пакет TCP і UDP містить IP-адресу джерела і номер його порту, а також координати порту призначення.

Для отримання таких загальнодоступних послуг, як функціонал поштових серверів, номер порту має важливе значення. наприклад, порт 80 підключається до програмного забезпечення веб-сервера, а 25 - до SMTP поштового сервера. IP-адреса загальнодоступного сервера також має істотне значення, подібне поштовою адресою або номером телефону. Обидва цих параметра повинні бути достовірно відомі всім вузлам, які мають намір встановити з`єднання.

Приватні IP-адреси мають значення тільки в локальних мережах, де вони використовуються, а також для хост-портів. Порти є унікальними кінцевими точками зв`язку на хості, тому з`єднання через NAT підтримується за допомогою комбінованого картування порту і IP-адреси.

РАТ (Port AddressTranslation) вирішує конфлікти, які можуть виникнути між двома різними хостами, що використовують один і той же номер порту джерела для встановлення унікальних підключень одночасно.