NAT - wat is dit? NAT Setup

Netwurk Adres Oersetting (NAT) is in metoade fan reordering ien adres romte oan in oar troch feroarjen de ynformaasje netwurk adres yn it IP (Ynternet Protocol). Dat is, it pakket headers binne wizige op it stuit dat se binne yn trochreis troch de Rûtekar apparaat. Dy metoade waard oarspronklik brûkt omliede ferkear ienfâld in IP-netwurken, eltse host sûnder renumbering. Hy waard populêr en wichtich helpmiddel foar it behâld en de fersprieding fan de wrâldwide adres romte yn de betingsten fan it tekoart fan IPv4 adressen.

NAT - wat is dit?

It oarspronklike brûken fan netwurk adres oersetting is yn kaart elts adres fan ien adres romte oan in soartgelikense adres yn de oare romte. Bygelyks, is it nedich as de ynternet tsjinst kedizer hat feroare, en de brûker is net by steat om it iepenbier oanjouwe in nije rûte nei it netwurk. Under de betingsten koarte globale útputting IP-adres romte NAT technology wurdt hieltyd mear brûkt sûnt de lette jierren 1990 yn gearhing mei IP-fersifering (dat is de wurkwize fan it ferfier ferskate IP-adressen op itselde romte). Dit meganisme is útfierd yn in Rûtekar apparaat dat brûkt oersetting tabellen stateful te werjaan "ferburgen" adressen oan ien IP-adres, en oanfallers de útgeande IP-pakketten oan de útfier. Sa wurde se werjûn komt út 'e Rûtekar apparaat. Yn omkearde kommunikaasje kanaal reaksjes binne werjûn yn 'e boarne IP-adres mei help fan de regels opslein yn de oersetting tafels. Regels oersetting tafel, in beurt, ûntromme nei in koarte perioade as de nije ferkear net bywurkje de status. Dat is de basis meganisme fan NAT. It is dat betsjutte?

Dizze metoade lit ta jo te kommunisearjen fia de router pas doe't der in ferbining makke mei in fersifere netwurk, sa't dat soarget foar in oersetting tafel. Bygelyks, in webblêder binnen it netwurk kin blêdzje de site it bûtenlân, mar, sa net ynstallearre bûten, it kin net iepenje in boarne, positioned dêryn. Lykwols, de measte NAT apparaten hjoed tastean in netwurk administrator te ynstelle in oersetting tafel ynfier foar permaninte gebrûk. Dizze funksje wurdt faak oantsjutten as statyske NAT of haven trochstjoere, en it lit ferkear dat oarspronklik út it "bûten" netwurk te berikken op de bestimming gasthear yn in fersifere netwurk.

Fanwege de populariteit fan dizze metoade wurdt brûkt om it behâld fan it IPv4 adres romte, de NAT termyn (dit is wat is eins - boppe), it hat wurden hast synonym mei de fersifer metoade.

Omdat NAT feroaret it adres ynformaasje fan de IP-pakket, dat hat serieuze gefolgen foar de kwaliteit fan in ynternet ferbining, en easket ticht omtinken foar detail fan de útfiering dêrfan.

Metoaden fan Using NAT ferskille fan elkoar yn harren bysûndere gedrach yn ferskillende gefallen wêrby't ynfloed op netwurk ferkear.

basis NAT

De ienfâldichste type fan Network Adres Oersetting (NAT) jout útstjoerd de IP-adressen fan "ien-nei-ien." RFC 2663 is it wichtichste type fan 'e útstjoering. Yn dit soarte fan feroaring allinnich it IP-adres en Checksum IP-header. De wichtichste typen fan oersetting kin brûkt wurde om te ferbinen de twa IP-netwurken dy't binne net te ferienigjen addressing.

NAT - is dat ferbinen "one-to-protte"?

De measte rassen of NAT kin map meardere partikuliere hosts oan ien iepenbier oanwiisd IP-adres. Yn in typysk konfiguraasje, in lokale netwurk brûkt ien fan de oanwiisde "privee" IP-subnet adressen (RFC 1918). It router op dat netwurk hat in eigen adres yn dizze romte.

De router ek oanslút op it ynternet mei help fan in 'iepenbiere' adressen tawiisd troch jo ISP. As ferkear giet út it lokale netwurk oan it ynternet adres fan de boarne fan eltse pakket is oerset op it fleanen fan 'e partikuliere adressen oan it publyk. De router tracks basis gegevens oer elke aktive ferbining (benammen de bestimming adres en haven). As it antwurd komt werom ta him, hy brûkt de ferbining gegevens dat wurdt bewarre yn de Outbound faze te bepalen it privee adres fan 'e ynterne netwurk om hokker te stjoeren it antwurd.

Ien foardiel fan dizze funksjonaliteit is dat it tsjinnet as in praktyske oplossing foar de driigjende útputting fan IPv4 adres romte. Sels grutte netwurken kinne wurde ferbûn mei it ynternet fia iene IP-adres.

Alle datagram pakketten oan IP-basearre netwurken hawwe 2 IP-adres - de boarne en bestimming. Typysk, pakketten passing fan it eigen netwurk oan it publyk netwurk, sille hawwe de boarne adres fan pakketten, feroaret yn de oergong fan in iepenbiere netwurk nei in privee werom. Mear komplekse formaasjes ek binne mooglik.

Features

NAT funksje hawwe guon spesjale funksjes. Om foar te kommen dat de swierrichheden is hoe om it werom pakketten fereaskje harren fierdere oanpassings. De grutte mearderheid fan 'e Internet ferkear giet fia de protokollen TCP en UDP, en poarte nûmer binne feroare, sadat de kombinaasje fan IP-adres en poarte nûmer yn it omkearde rjochting begjint wurde yn kaart brocht gegevens.

Protokollen dy binne net basearre op TCP of UDP, easkje ferskillende metoaden fan de oersetting. Kontrôleberjocht Protokol Internet (ICMP), as in regel, strykt it oerdroegen gegevens mei in besteande ferbining. Dit betsjut dat se werjûn wurde moat mei help fan deselde IP-adres en oantal set yn earste ynstânsje.

Wat moat ik beskôgje?

Konfigurearjen NAT op de router net jou him de mooglikheid fan ferbinings "út ein ta ein." Dêrom, dizze Router kinne net meidwaan yn guon ynternet protokollen. Tsjinsten dy't easkje it ynlieden fan TCP-ferbiningen út de eksterne netwurk of brûkers sûnder protokollen miskien net beskikber. As de NAT router net meitsje folle muoite te stypjen sokke protokollen, ynkommende pakketten kinne net berikke harren bestimming. Sommige protokollen kinne plak ien oersetting tusken de dielnimmende hosts ( "passive modus» FTP, bygelyks), soms mei help fan tapassing poarte, mar de ferbining wurdt oprjochte doe't beide systemen wurde skaat fan it ynternet mei help NAT. Mei help fan NAT ek complicates sokke "tunneling" protokollen, lykas de IPSec, omdat it feroaret de wearden yn 'e kop, dy't ynteraksje mei de resinsje fersyk yntegriteit.

De hjoeddeistige probleem

COMPOUND "út ein oant it oare ein" is de basisprinsipes fan it ynternet, besteande sûnt syn ûntwikkeling. De hjoeddeistige steat fan it netwurk docht bliken dat NAT is in striid mei dizze prinsipe. Spesjalisten binne der serieus soargen oer it wiidfersprate gebrûk fan IPv6-in netwurk adres oersetting, en ropt it probleem fan hoe om effektive elimineren it.

Fanwege it fergonklike aard fan tabellen stateful útstjoering NAT Router, de ynterne netwurk apparaten ferlieze IP-ferbining, as in regel, yn in hiel koarte perioade fan tiid. Los fan it feit dat sa'n NAT yn de router, kinne jo net ferjitte dit feit. Dit serieus fermindert it bestjoeringssysteem tiid fan kompakte apparaten dy't operearje op batterijen en accumulators.

scalability

Dêrneist by it brûken fan NAT tracked allinnich havens dy't wurde kin gau ferearme ynterne applikaasjes mei help fan meardere tagelyk Ferbinings (bygelyks, de HTTP-fersiken foar websiden mei in grut oantal ynsletten objekten). Dit probleem kin mitigated troch it folgjen fan de bestimming IP-adres neist in haven (dus ien lokale poarte is ferdield mear op ôfstân hosts).

guon swierrichheden

Sûnt alle ynterne adressen ferklaaid as publyk, eksterne hosts wurdt ûnmooglik om te begjinnen in ferbining nei in spesifike ynterne knooppunt sûnder spesjale konfiguraasje op de firewall (dat wol omliede de ferbining ta in spesifike haven). Tapassings lykas IP-Tillefoany, fideoberie, en dy tsjinsten moatte brûke NAT traversal techniken te funksjonearjen normaal.

Return adres en poarte oersetting (Rapt) stelt de gasthear, de echte IP-adres fan dat fariearret fan tiid ta tiid, te bliuwen beskikber as opslagger mei in fêste IP-adres fan it hûs netwurk. Yn prinsipe, dat moat tastean it opsetten fan tsjinners te hanthavenjen de ferbining. Nettsjinsteande it feit dat dit is net in perfekte oplossing it probleem, it koe wêze oar nuttich ynstrumint yn it arsenaal fan it netwurk behearder te lossen it probleem, hoe om te ynstelle NAT op de router.

Port Adres Oersetting (PAT)

Cisco Rapt útfiering is Port Adres Oersetting (PAT), hokker meardere privee IP-adres as ien fan it publyk. Meardere adressen kinne werjûn wurde as in adres, om't elk fan harren wurdt kontrolearre troch de poarte nûmer. PAT brûkt unike boarne haven nûmers op de binnenkant globale IP, te ûnderskieden de rjochting fan gegevens oerdracht. Dizze getallen binne 16-bit integers. Totaal ynterne adressen dy't kin oerset wurde yn 'e iene outer, kin teoretysk berikke 65536. It werklike oantal havens oan dêr't ien inkelde IP-adres kin tawiisd, giet oer 4000. Typysk, PAT besiket te rêden de boarne haven "original". As it is al yn gebrûk, Port Adres Oersetting kieze de earste beskikbere poartenûmer begjint út it begjin fan 'e oanbelangjende groepen - 0-511, 512-1023, of 1024-65535. As der gjin mear beskikber havens en der binne mear as ien eksterne IP-adres, de PAT beweecht nei de neikommende besykje te identifisearjen de boarne haven. Dat proses giet troch oant der gjin mear gegevens beskikber.

Toant adressen en haven Cisco útfierd in tsjinst dy't kombinearret de haven adres oersetting gegevens tunneling IPv6 pakketten boppe IPv4 intranet. Yn feite, in ynformele alternative CarrierGrade NAT en DS-Lite, dy't stipet IP-adres oersetting / poarte (en, dêrom, stipe de NAT ynstelling). Sa, is it mijt problemen yn de ynstallaasje en it ûnderhâld fan 'e ferbining, en ek jout oergong meganisme foar IPv6 ynset.

oersetting metoaden

Der binne ferskate manieren om te fieren de oersetting fan it netwurk adres en haven. Yn guon applikaasjes, de protokollen dy applikaasjes brûke om te wurkjen mei IP-adressen, operating yn in fersifere netwurk, moatte jo beskiede hokker eksterne adres NAT (dat brûkt wurdt oan de oare ein fan 'e ferbining), en boppedat, it is faak nedich om te studearjen en klassifisearjen fan it type oerdracht. Meastentiids Dit wurdt dien om't it is winsklik om te kommen ta in direkte kommunikaasje kanaal (of bewarje ûnûnderbrutsen oerdracht fan gegevens fia de tsjinner of te ferbetterjen útfiering) tusken de twa kliïnten, dy't beide binne fan ôfsûnderlike NAT.

Foar dit doel, (hoe te ynstelle NAT) yn 2003 ûntwikkele in spesjaal protokol RFC 3489 Simple Traversal fan UDP fersoarget fia NATS. Hjoed is it ferâldere, omdat dizze metoaden tsjintwurdich binne ûnfoldwaande om goed beoardielje it wurk fan in soad apparaten. Nije metoaden binne standerdisearre yn de RFC 5389 protokol, dat waard ûntwikkele yn oktober 2008. Dy spesifikaasje is no bekend as SessionTraversal en is in nuttichheid foar de NAT.

It meitsjen fan in twa-way kommunikaasje

Elk packet befettet TCP en UDP IP-boarne adres en poarte nûmer, en ek de koördinaten fan de bestimming haven.

Foar sokke publike tsjinsten as in funksjoneel e-mail tsjinners, de poarte nûmer is wichtich. Bygelyks, poarte 80 is ferbûn mei de software, webserver, en 25 - oan de SMTP-post tsjinner. De tsjinners publyk IP-adres is ek wêzentlik belang, lykas postal adres of telefoannûmer. Beide parameters moatte wêze authentically bekend oan alle knopen dy't geane te ferbinen.

Private IP-adressen hawwe betsjutting allinnich yn lokale netwurken, dêr't se brûkt wurde, likegoed as gasthear havens. Havens binne unike ein punt ferbining op de host, sa de ferbining fia in NAT stipe troch it kombinearre haven mapping en IP-adressen.

PAT (Port AddressTranslation) beslút konflikten dy't ûntstean tusken twa ferskillende hosts mei help fan deselde boarne poartenûmer om te kommen ta unike ferbinings tagelyk.