NAT - đây là những gì? NAT cài đặt

Network Address Translation (NAT) là một phương pháp sắp xếp lại một không gian địa chỉ khác bằng cách thay đổi các thông tin địa chỉ mạng trong IP (Internet Protocol). Đó là, các tiêu đề gói tin được thay đổi vào thời điểm đó khi họ đang trên đường vận chuyển thông qua các thiết bị định tuyến. Phương pháp này ban đầu được sử dụng để chuyển hướng đơn giản trong giao thông IP mạng, mỗi máy chủ mà không cần renumbering. Ông trở thành một công cụ phổ biến và quan trọng đối với việc bảo tồn và phân phối của không gian địa chỉ toàn cầu trong điều kiện thiếu các địa chỉ IPv4.

NAT - đây là những gì?

Việc sử dụng ban đầu của dịch địa chỉ mạng là để ánh xạ mỗi địa chỉ từ một không gian địa chỉ đến một địa chỉ tương ứng trong không gian khác. Ví dụ, nó là cần thiết nếu các nhà cung cấp dịch vụ Internet đã thay đổi, và người dùng không thể công bố công khai một tuyến đường mới vào mạng. Theo các điều kiện gần cạn kiệt toàn cầu địa chỉ IP công nghệ vũ trụ NAT đang ngày càng sử dụng từ cuối những năm 1990 kết hợp với IP mã hóa (đó là phương pháp vận chuyển nhiều địa chỉ IP ở cùng một không gian). Cơ chế này được thực hiện trong một thiết bị định tuyến có sử dụng bảng dịch stateful để hiển thị "ẩn" địa chỉ đến một địa chỉ IP, và chuyển tiếp đi IP gói tin đến đầu ra. Do đó, chúng được hiển thị sắp ra của thiết bị định tuyến. Ở chiều ngược lại truyền thông kênh phản ứng được hiển thị trong nguồn địa chỉ IP bằng cách sử dụng quy tắc lưu trữ trong các bảng dịch. Nội quy bảng dịch, đến lượt nó, xóa sau một thời gian ngắn nếu lưu lượng mới không cập nhật tình trạng của nó. Đây là cơ chế cơ bản của NAT. Nó có nghĩa là gì?

Phương pháp này cho phép bạn giao tiếp thông qua các bộ định tuyến chỉ khi một kết nối được thực hiện cho một mạng được mã hóa, vì nó tạo ra một bảng dịch. Ví dụ, một trình duyệt web trong mạng có thể duyệt các trang web nước ngoài, nhưng, nếu không được cài đặt bên ngoài, nó không thể mở một tài nguyên, vị trí đó. Tuy nhiên, hầu hết các thiết bị NAT ngày nay cho phép người quản trị mạng phải cấu hình một mục bảng dịch để sử dụng vĩnh viễn. Tính năng này thường được gọi là tĩnh NAT hoặc cổng chuyển tiếp, và nó cho phép giao thông có nguồn gốc trong mạng "bên ngoài" để đến được host đích trong một mạng được mã hóa.

Do sự phổ biến của phương pháp này được sử dụng để bảo tồn không gian địa chỉ IPv4, thuật ngữ NAT (đây là những gì thực sự là - trên), nó đã trở thành gần như đồng nghĩa với phương pháp mã hóa.

Bởi vì NAT làm thay đổi các thông tin địa chỉ của IP packet, nó có tác động nghiêm trọng về chất lượng kết nối internet, và đòi hỏi phải quan tâm chặt chẽ đến từng chi tiết thực hiện của nó.

Phương pháp của việc sử dụng NAT khác nhau trong hành vi cụ thể của họ trong các trường hợp khác nhau có liên quan đến tác động đối với lưu lượng mạng.

Basic NAT

Các loại đơn giản nhất của Network Address Translation (NAT) cung cấp phát các địa chỉ IP của "one-to-one." RFC 2663 là loại chính của buổi phát sóng. Trong loại này thay đổi duy nhất địa chỉ IP và checksum IP-header. Các loại chính của dịch có thể được sử dụng để kết nối hai IP mạng được không tương thích giải quyết vấn đề.

NAT - được rằng kết nối "một-nhiều"?

Hầu hết các giống của NAT có thể ánh xạ nhiều host riêng cho một định công khai địa chỉ IP duy nhất. Trong một cấu hình điển hình, một mạng cục bộ sử dụng một trong các địa chỉ IP subnet "private" được chỉ định (RFC 1918). Các bộ định tuyến trên mạng có một địa chỉ cá nhân trong không gian này.

Các bộ định tuyến cũng kết nối với Internet sử dụng một "công cộng" địa chỉ của ISP của bạn được giao. Như giao thông đi từ mạng nội bộ đến địa chỉ Internet của nguồn gốc của mỗi gói được dịch một cách nhanh chóng từ các địa chỉ tin cho công chúng. Các bộ định tuyến theo dõi dữ liệu cơ bản về mỗi kết nối hoạt động (đặc biệt là các địa chỉ đích và cổng). Khi phản ứng trở về trong anh, anh sử dụng kết nối dữ liệu được lưu trữ trong giai đoạn ra bên ngoài để xác định địa chỉ cá nhân của mạng nội bộ mà để gửi bài trả lời.

Một lợi thế của tính năng này là nó đóng vai trò như một giải pháp thiết thực cho sự cạn kiệt sắp xảy ra của không gian địa chỉ IPv4. Ngay cả mạng lớn có thể được kết nối với Internet thông qua một địa chỉ IP.

Tất cả các gói datagram với các mạng dựa trên IP có 2 địa chỉ IP - nguồn và đích. Thông thường, các gói dữ liệu đi từ các mạng riêng với mạng công cộng, sẽ có địa chỉ nguồn của gói dữ liệu, thay đổi trong quá trình chuyển từ một mạng công cộng để một trở lại tư nhân. Nhiều cấu hình phức tạp cũng có thể.

Các tính năng

NAT chức năng có thể có một số tính năng đặc biệt. Để tránh những khó khăn là làm thế nào để dịch các gói trở lại yêu cầu thay đổi hơn nữa của họ. Phần lớn các lưu lượng Internet đi qua các giao thức TCP và UDP, và số cổng được thay đổi sao cho sự kết hợp của địa chỉ IP và số cổng theo hướng ngược lại bắt đầu được ánh xạ dữ liệu.

Giao thức mà không dựa trên giao thức TCP hoặc UDP, đòi hỏi phương pháp khác nhau của bản dịch. Control Message Protocol Internet (ICMP), như một quy luật, tương quan các dữ liệu được truyền với một kết nối đang tồn tại. Điều này có nghĩa rằng họ sẽ được hiển thị bằng cách sử dụng cùng một địa chỉ IP và số thiết lập ban đầu.

Tôi nên xem xét những gì?

Cấu hình NAT trên router không cho anh ta khả năng kết nối "từ đầu đến cuối." Do đó, các router không thể tham gia vào một số giao thức Internet. Dịch vụ đòi hỏi sự khởi đầu của TCP-kết nối từ mạng bên ngoài hoặc người sử dụng mà không cần các giao thức có thể không có sẵn. Nếu router NAT không làm cho nhiều nỗ lực để hỗ trợ các giao thức như vậy, các gói tin đến không thể đạt được điểm đến của họ. Một số giao thức có thể chứa một bản dịch giữa tham gia host ( "chế độ thụ động» FTP, ví dụ), đôi khi với sự giúp đỡ của cổng ứng dụng, nhưng khi kết nối được thiết lập khi cả hai hệ thống này được tách ra từ Internet sử dụng NAT. Sử dụng NAT cũng phức tạp như vậy "đường hầm" giao thức, chẳng hạn như IPsec, bởi vì nó thay đổi các giá trị trong tiêu đề, trong đó tương tác với sự toàn vẹn yêu cầu xem xét lại.

Vấn đề hiện tại

Hợp chất "từ đầu đến cuối" là nguyên tắc cơ bản của Internet, hiện kể từ khi phát triển của nó. Tình trạng hiện tại của mạng cho thấy rằng NAT là vi phạm nguyên tắc này. Các chuyên gia có những lo ngại nghiêm trọng về việc sử dụng rộng rãi IPv6 trong network address translation, và đặt ra vấn đề làm thế nào để loại bỏ một cách hiệu quả nó.

Do tính chất phù du của bảng Stateful phát sóng router NAT, các thiết bị mạng nội bộ mất chỉ IP kết nối, như một quy luật, trong một thời gian rất ngắn thời gian. Ngoài thực tế rằng đó là một NAT trong router, bạn không thể quên sự thật này. Điều này làm giảm nghiêm trọng đến thời gian hoạt động của các thiết bị nhỏ gọn hoạt động trên pin và ắc quy.

khả năng mở rộng

Ngoài ra, khi sử dụng NAT theo dõi chỉ cổng có thể được nhanh chóng cạn kiệt các ứng dụng nội bộ sử dụng nhiều kết nối đồng thời (ví dụ, HTTP yêu cầu về trang web với một số lượng lớn của các đối tượng nhúng). Vấn đề này có thể được giảm nhẹ bằng cách giám sát các điểm đến địa chỉ IP, thêm vào một cổng (do đó một cổng địa phương được chia host từ xa hơn).

một số khó khăn

Vì tất cả các địa chỉ nội bộ cải trang thành một cộng đồng, các host bên ngoài trở nên bất khả thi để bắt đầu một kết nối đến một nút nội bộ cụ thể mà không bất kỳ cấu hình đặc biệt trên các bức tường lửa (mà là để chuyển hướng kết nối đến một cổng cụ thể). Các ứng dụng như IP-điện thoại, hội nghị truyền hình, và các dịch vụ phải sử dụng các kỹ thuật NAT traversal hoạt động bình thường.

địa chỉ trả lại và dịch cổng (say mê) cho phép các máy chủ, con người thật của địa chỉ IP trong đó thay đổi theo từng thời điểm, vẫn có sẵn như là một máy chủ với một địa chỉ IP cố định của mạng gia đình. Về nguyên tắc, nó sẽ cho phép các thiết lập máy chủ để duy trì kết nối. Mặc dù thực tế rằng đây không phải là một giải pháp hoàn hảo vấn đề, nó có thể là một công cụ hữu ích trong kho vũ khí của người quản trị mạng để giải quyết vấn đề, làm thế nào để cấu hình NAT trên router.

Cảng Address Translation (PAT)

thực hiện Cisco say mê là Port Address Translation (PAT), hiển thị nhiều tin địa chỉ IP là một trong những cộng đồng. Nhiều địa chỉ có thể được hiển thị như một địa chỉ, bởi vì mỗi người trong số họ được giám sát bởi các số cổng. PAT sử dụng số cổng nguồn duy nhất trên toàn cầu chỉ IP bên trong, để phân biệt sự chỉ đạo của truyền dữ liệu. Những con số này là các số nguyên 16-bit. Tổng số địa chỉ nội bộ có thể được dịch sang một bên ngoài, về mặt lý thuyết có thể đạt tới 65536. Các con số thực tế của cảng mà một địa chỉ IP duy nhất có thể được chỉ định, khoảng 4000. Thông thường, PAT cố gắng để lưu các cổng nguồn "gốc". Nếu nó đã được sử dụng, Port Address Translation gán số cổng có sẵn đầu tiên bắt đầu từ đầu những nhóm tương ứng - 0-511, 512-1023, hoặc 1024-65535. Khi không có cổng có sẵn hơn và có nhiều hơn một bên ngoài địa chỉ IP, di chuyển PAT tiếp theo để cố gắng xác định các cổng nguồn. Quá trình này tiếp tục cho đến khi không có nhiều dữ liệu hơn có sẵn.

Hiển thị địa chỉ và cổng Cisco triển khai một dịch vụ kết hợp các địa chỉ cổng các gói dữ liệu dịch đường hầm IPv6 qua IPv4 intranet. Trong thực tế, một sự thay thế chính thức CarrierGrade NAT và DS-Lite, hỗ trợ địa chỉ IP dịch / cổng (và, do đó, được hỗ trợ thiết lập NAT). Do đó, tránh được các vấn đề trong quá trình cài đặt và duy trì kết nối, và cũng cung cấp cơ chế chuyển tiếp cho việc triển khai IPv6.

phương pháp diễn dịch

Có một số cách để thực hiện các bản dịch của các địa chỉ mạng và cổng. Trong một số ứng dụng, các giao thức ứng dụng sử dụng để làm việc với địa chỉ IP, hoạt động trong một mạng được mã hóa, bạn phải xác định địa chỉ bên ngoài NAT (được sử dụng ở đầu kia của kết nối), và, hơn nữa, nó thường là cần thiết để nghiên cứu và phân loại các loại hình truyền dẫn. Thường này được thực hiện vì đó là mong muốn thiết lập một kênh truyền thông trực tiếp (hoặc lưu truyền không bị gián đoạn dữ liệu thông qua máy chủ hoặc để cải thiện hiệu suất) giữa hai khách hàng, cả hai đều là của cá nhân NAT.

Với mục đích này, (làm thế nào để cấu hình NAT) vào năm 2003 đã phát triển một RFC giao thức đặc biệt 3489 Traversal đơn giản của UDP cung cấp thông qua NATS. Hôm nay nó là lỗi thời, vì những phương pháp này hiện nay là không đủ để đánh giá đúng công việc của nhiều thiết bị. phương pháp mới đã được chuẩn hóa trong giao thức RFC 5389, được phát triển trong tháng 10 năm 2008. đặc điểm kỹ thuật này ngay bây giờ được gọi là SessionTraversal và là một tiện ích cho NAT.

Tạo một liên lạc hai chiều

Mỗi gói chứa TCP và UDP IP nguồn địa chỉ và số cổng, cũng như các tọa độ của cảng đích.

Đối với dịch vụ công cộng như một máy chủ e-mail chức năng, số cổng là quan trọng. Ví dụ, cổng 80 được kết nối với phần mềm, máy chủ web, và 25 - đến mail server SMTP. công cộng địa chỉ IP của máy chủ là cũng rất cần thiết, giống như địa chỉ bưu điện hoặc số điện thoại. Cả hai thông số nên đích thực được biết đến tất cả các nút mà sẽ kết nối.

Tin địa chỉ IP có ý nghĩa duy nhất trong các mạng địa phương, nơi chúng được sử dụng, cũng như cổng máy chủ. Cổng kết nối là điểm kết thúc độc đáo trên máy chủ, vì vậy các kết nối thông qua một NAT hỗ trợ bởi ánh xạ cổng kết hợp và địa chỉ IP.

PAT (Port AddressTranslation) giải quyết các cuộc xung đột có thể xảy ra giữa hai máy khác nhau bằng cách sử dụng số cổng nguồn tương tự để thiết lập kết nối độc đáo cùng một lúc.