NAT - mis see on? NAT Setup

Network Address Translation (NAT) on meetod ümbertõstmine üks aadress ruumist teise, muutes teabe võrgu aadress IP (Internet Protocol). See tähendab, paketipäiste on muutunud ajal, kui nad on transiiti läbi marsruudi seade. See meetod oli algselt kasutatud liikluse ümbersuunamiseks lihtsuse IP-võrkude iga vastuvõtva ilma numeratsiooni. Ta sai populaarseks ja oluline vahend säilitamise ja jaotamise globaalse aadress ruumi tingimustes puudus IPv4 aadresse.

NAT - mis see on?

Algne kasutamine Network Address Translation on kaardistada iga aadressi ühest aadress ruumi vastava aadressi teistele ruumi. Näiteks on vaja, kui Interneti-teenuse pakkuja on muutunud, ja kasutaja ei suuda avalikult teatavaks uue marsruudi võrku. Tingimustel prognoositav globaalse kahanemise IP-aadress ruumi NAT tehnoloogia kasutatakse üha alates 1990. aastate lõpust koos IP-krüpteering (mis on kõige kasulikuma transpordiliigi mitu IP-aadressid samal ruumi). See mehhanism on rakendatud marsruudi seade, mis kasutab transleerimistabelid olekuga näidata "peidetud" aadressid üks IP-aadress, ja edastab väljaminevate IP-pakette väljund. Seega need on näidatud tulevad välja marsruudi seade. Vastassuunas sidekanali vastused kuvatakse allika IP-aadress, kasutades salvestatud reeglitele transleerimistabelid. Reeglid transleerimistabelit omakorda tühjendatakse pärast lühikest perioodi, kui uus liiklus ei uuenda oma staatust. See on peamine mehhanism NAT. See tähendab?

See meetod võimaldab teil suhelda läbi ruuteri ainult siis, kui ühendus on loodud, et krüpteeritud võrku, sest see loob transleerimistabelile. Näiteks veebibrauser võrgu sirvida saidi välismaal, kuid kui seda ei paigaldata väljaspool, ei saa avada ressurss, mis paiknevad seal. Siiski, enamik NAT seadmete täna lubada võrguadministraator seadistada tõlge tabeli kirje alaliseks kasutamiseks. See funktsioon on sageli viidatud kui staatiline NAT või pordisiire ja see võimaldab liiklust pärit "väljastpoolt" võrku jõuda sihthost krüpteeritud võrku.

Kuna populaarsust Selle meetodi kasutamisel säilitada IPv4 aadress ruumi, NAT perspektiivis (see on see, mida on tegelikult - eespool), on see muutunud peaaegu sünonüümiks krüptimisviisi.

Kuna NAT muudab aadress informatsiooni IP-paketi, siis on tõsiseid tagajärgi kvaliteedi internetiühendus ning nõuab suurt tähelepanu detailidele selle rakendamise.

Kasutamise meetodid NAT erinevad üksteisest oma eriti käitumine erinevates juhtumeid mõju võrguliiklust.

Basic NAT

Lihtsaim tüüpi Network Address Translation (NAT) annab eetrisse IP-aadressid "üks-ühele." RFC 2663 on peamine tüüp saade. Seda tüüpi muutus ainult IP-aadress ja kontrollsumma IP-päises. Peamine tüüpi tõlkimise saab ühendada kaks IP-võrgud, mida vastuolus tegeledes.

NAT - on, et ühendades "üks-mitmele"?

Enamik sorte NAT saab kaardistada mitu erasektori hosts ühe avalikult määratud IP-aadress. Tüüpkonfiguratsioonis kohalik võrk kasutab üks määratud "privaatne" IP-alamvõrgu aadressid (RFC 1918). Ruuter, et võrk on privaatne aadress selles ruumis.

Marsruuter on ühendatud internetti kasutades "avalik" aadressid määratud ISP. Kuna liiklus läbib kohaliku võrgu Interneti aadress allikas iga pakett on tõlgitud lennult era-aadressid avalikkusele. Ruuter lood põhilised andmeid iga aktiivse ühenduse (eriti sihtkoha aadress ja port). Kui vastus tuleb tagasi, ta kasutab ühenduse andmed, mis on salvestatud ajal väljaminevate faasi määramiseks privaatne aadress sisevõrgule millest saadavad vastuse.

Üks eelis on see funktsionaalsus on, et see toimib praktiline lahendus eelseisva lõppemise kohta IPv4 aadress ruumi. Isegi suurte võrkude saab ühendada Internetiga läbi ühe IP-aadress.

Kõik datagrammipakette IP-põhiste võrkude on 2 IP-aadress - allika ja sihtpunkti. Tavaliselt paketid läbimisel era võrgu avaliku võrgu on allikas aadress paketid muudetakse üleminekul avaliku võrgu privaatne tagasi. Keerulisem koosseisudes ka on võimalik.

Omadused

NAT funktsioon võib olla mõned eripärad. Et vältida raskusi on, kuidas tõlkida tagastatud pakendite nõuda nende edasiste muudatuste. Enamik Interneti liiklus läbib protokolle TCP ja UDP ja pordi numbreid muuta nii, et kombinatsioon IP-aadress ja pordi number vastupidises suunas hakkab kaardistatakse andmeid.

Protokollid, mis ei põhine TCP või UDP, nõuavad erinevaid meetodeid tõlge. Control Message Protocol Interneti (ICMP), reeglina korreleerub edastatud andmete olemasoleva ühendus. See tähendab, et nad peaksid olema kuvatud kasutades sama IP-aadress ja number algselt seatud.

Mida ma peaksin kaaluma?

NAT funktsioon ruuter ei anna talle võimalust ühendused "algusest lõpuni." Seetõttu on need ruuterid ei saa osaleda mõned Interneti protokolle. Teenused, mis nõuavad algatamisest TCP-ühendusi välise võrgu või kasutajatele ilma protokolle ei pruugi olla saadaval. Kui NAT ruuter ei tee palju jõupingutusi, et toetada selliseid protokolle, sissetulevad paketid ei jõua oma sihtkohta. Mõned protokollid mahutab ühe tõlkimise osalevate hosts ( "passiivset» FTP, näiteks), mõnikord abiga taotluse gateway, kuid ühendus on loodud, kui mõlemad süsteemid on Internetist eraldatud kasutades NAT. Kasutades NAT komplitseerib ka selliseid "tunneldades" protokolle, näiteks IPsec, sest see muudab väärtusi päises, mis suhtlevad läbivaatamise taotluse terviklikkust.

Praegune probleem

Ühend "algusest lõpuni" on põhiprintsiip Internet, olemasolevate kuna selle arengut. Hetkeseisu võrgu näitab, et NAT on vastuolus selle põhimõttega. Spetsialistid on tõsine mure laialdast kasutamist IPv6-in Network Address Translation ja tekitab probleemi, kuidas tõhusalt kõrvaldada.

Kuna üürike milline tabelid olekukonfiguratsiooni eetrisse NAT ruuter, sisemine võrguseadmed kaotada IP-ühendus, reeglina väga lühikese aja jooksul. Jättes kõrvale asjaolu, et selline NAT ruuter, siis ei saa unustada seda fakti. See vähendab oluliselt tööaeg kompaktne seadmed, mis töötavad patareid ja akud.

mastaapsuse

Lisaks sellele, kui kasutades NAT jälgitakse ainult sadamates, mida saab kiiresti kahanenud siserakendustest kasutades samaaegset kõne- (näiteks HTTP-taotlusi veebilehti suur hulk varjatud objektid). Seda probleemi saab leevendada sihtkoha kontrollimise IP-aadress lisaks port (seega üks kohalik port on jagatud rohkem võrgumasinate).

mõningaid raskusi

Kuna kõik sisemised aadressid varjatud avaliku, välised hosts muutub võimatuks algatada seoses konkreetse sisetipus ilma eriliste konfiguratsiooni tulemüüri (mis on suunata seoses konkreetse sadama). Rakendused nagu IP-telefoni, videokonverentsi ja samalaadsed teenused peavad kasutama NAT läbipääsusüsteemid tehnikaid, et toimida.

Tagasi aadress ja port tõlge (Rapt) võimaldab vastuvõtva tegelik IP-aadress, mis varieerub aeg-ajalt, et on võimalik kasutada, server fikseeritud IP-aadress koduvõrgus. Põhimõtteliselt peaks see võimaldama seadistamise serverid säilitada ühendus. Vaatamata sellele, et see ei ole ideaalne lahendus probleemile, see võiks olla veel üks kasulik vahend arsenal võrguadministraator lahenda probleemi, kuidas seadistada NAT ruuter.

Port Address Translation (PAT)

Cisco Rapt rakendamine on Port Address Translation (PAT), mis kuvab mitu privaatne IP-aadress ühe avalik. Mitu aadressi saab kuvada aadressi, sest igaüks neist jälgib pordi number. PAT kasutab unikaalne allikas sadama numbrid sees globaalse IP eristada suunas andmeedastust. Need numbrid on 16-bitine täisarvud. Kokku sise aadressid, mida saab tõlkida üks välimine, võib teoreetiliselt ulatuda 65536. Tegelik arv sadamad, mille ühe IP-aadress võib olla määratud, on umbes 4000. Tavaliselt PAT üritab päästa allikas sadamas "originaal". Kui see on juba kasutusel, Port Address Translation määrab esimese porti number alates algusest vastavate rühmade - 0-511, 512-1023 või 1024-65535. Kui ei ole enam saadaval sadamate ja seal on rohkem kui üks väline IP-aadress, PAT liigub järgmise proovida selgitada allikas sadamas. See protsess jätkub, kuni ei ole enam andmeid.

Näitab aadressid ja pordi Cisco ellu teenus, mis ühendab sadamat aadress tõlkimise andmed tunneldades IPv6 pakette üle IPv4 intranetis. Tegelikult mitteametlik alternatiivne CarrierGrade NAT ja DS Lite, mis toetab IP-aadress tõlkimise / port (ja seega toetanud NAT seade). Seega väldib probleeme paigaldus ja hooldus ühendus ja pakub ka ülemineku mehhanismi IPv6 kasutuselevõtu.

tõlkimise meetodid

On mitmeid viise, kuidas rakendada tõlge võrgu aadress ja port. Mõnes rakenduses protokollid et rakendused kasutavad töötada IP-aadressid, mis tegutsevad krüpteeritud võrku, peate määrama väline aadress NAT (mida kasutatakse teises otsas on ühendus), ja pealegi on sageli vaja uurida ja liigitada ülekande tüübist. Tavaliselt tehakse seda, sest see on soovitav kehtestada otsene sidekanali (või salvestada katkematu edastamine läbi serveri või parandamiseks) kahe klientidele, mis mõlemad on üksikute NAT.

Selleks, (kuidas seadistada NAT) 2003. aastal välja töötatud spetsiaalne protokolli RFC 3489 Simple läbipääsusüsteemid UDP pakub läbi NATS. Täna on vananenud, sest need meetodid tänapäeval ei piisa, et korralikult hinnata töö palju seadmeid. Uued meetodid on standardiseeritud RFC 5389 protokolli, mis töötati välja 2008. aasta oktoobris. Käesolev spetsifikatsioon on nüüd tuntud kui SessionTraversal ja on kasulikud ka NAT.

Loomine kahesuunaline kommunikatsioon

Iga pakett sisaldab TCP ja UDP IP-allikas aadress ja pordi number, samuti koordinaadid sihtsadamas.

Selliste avalike teenuste funktsionaalse e-posti servereid, pordi number on oluline. Näiteks port 80 on ühendatud tarkvara veebiserver, ja 25 - SMTP mail server. serveri avaliku IP-aadress on samuti oluline, nagu postiaadress või telefoninumber. Mõlemad argumendid peavad olema autentselt teada kõik sõlmed, mis hakkavad ühendada.

Private IP-aadressid on tähendus ainult kohalikes võrkudes, kus neid kasutatakse, samuti vastuvõtva sadamates. Sadamad on unikaalne lõpp-punkt ühendus peremehe nii ühenduse kaudu NAT toetab kombineeritud port kaardistamise ja IP-aadressid.

PAT (Port AddressTranslation) lahendatakse vastuolud, mis võivad tekkida kahe eri hosts kasutades samast allikast pordi number luua unikaalne ühendused samal ajal.