NAT - гэта што такое? Настройка NAT

Трансляцыя сеткавых адрасоў (NAT) з'яўляецца спосабам перапрызначэння аднаго адраснай прасторы ў іншае шляхам змены інфармацыі сеткавых адрасоў ў IP (Internet Protocol). Гэта значыць загалоўкі пакетаў змяняюцца ў той час, калі яны знаходзяцца ў дарозе праз прыладу маршрутызацыі трафіку. Гэты метад першапачаткова выкарыстоўваўся для прастаты перанакіравання трафіку ў IP-сетках без перанумарацыі кожнага хаста. Ён стаў папулярным і важным інструментам для захавання і размеркавання глабальнага адраснай прасторы ва ўмовах недахопу адрасоў IPv4.

NAT - гэта што такое?

Арыгінальнае выкарыстанне трансляцыі сеткавых адрасоў складаецца ў адлюстраванні кожнага адрасы з аднаго адраснай прасторы да адпаведнага адрасе ў іншай прасторы. Напрыклад, гэта неабходна, калі правайдэр інтэрнэт-паслуг змяніўся, а карыстальнік не мае магчымасці публічна аб'явіць новы маршрут да сеткі. Ва ўмовах агляднага глабальнага знясілення IP-адраснай прасторы тэхналогія NAT ўсё часцей выкарыстоўваецца з канца 1990-х гадоў у спалучэнні з IP-шыфраваннем (якое ўяўляе сабой метад пераходу некалькіх IP-адрасоў у адно прастору). Гэты механізм рэалізаваны ў прыладзе маршрутызацыі, якое выкарыстоўвае табліцы перакладу з захаваннем стану для адлюстравання "схаваных" адрасоў у адзін IP-адрас, і перанакіроўвае выходныя IP-пакеты на выхадзе. Такім чынам, яны адлюстроўваюцца якія выходзяць з прылады маршрутызацыі. У зваротным канале сувязі адказы адлюстровываюцца ў зыходным IP-адрасе з дапамогай правілаў, якія захоўваюцца ў табліцах перакладу. Правілы табліцы перакладу, у сваю чаргу, ачышчаюцца па заканчэнні кароткага перыяду, калі новы трафік не абнаўляе свой стан. Такі асноўны механізм NAT. Гэта што азначае?

Дадзены метад дазваляе ажыццяўляць сувязь праз маршрутызатар толькі тады, калі злучэнне адбываецца ў зашыфраванай сеткі, бо гэта стварае табліцы перакладу. Напрыклад, вэб-браўзэр ўнутры такой сеткі можа праглядаць сайт за яе межамі, але, быўшы усталяваным па-за яе, ён не можа адкрыць рэсурс, размешчаны ў ёй. Тым не менш большасць прылад NAT сёння дазваляюць сеткаваму адміністратару канфігураваць запісу табліцы перакладу для сталага выкарыстання. Гэтая функцыя часта згадваецца як статычная NAT або перанакіраванне партоў, і яна дазваляе трафіку, выходнаму ва «знешнюю» сетка, дасягнуць прызначаных хастоў у зашыфраванай сеткі.

З-за папулярнасці гэтага метаду, што выкарыстоўваюць з мэтай захавання адраснай прасторы IPv4, тэрмін NAT (гэта што такое фактычна - пазначана вышэй) стаў практычна сінонімам метаду шыфравання.

Паколькі трансляцыя сеткавых адрасоў змяняе інфармацыю пра адрас IP-пакетаў, гэта мае сур'ёзныя наступствы для якасці падлучэння да інтэрнэту і патрабуе пільнай увагі да дэталяў яго рэалізацыі.

Спосабы прымянення NAT адрозніваюцца адзін ад аднаго ў іх канкрэтным паводзінах у розных выпадках, якія тычацца ўплыву на сеткавы трафік.

базавая NAT

Найпросты тып Network Address Translation (NAT) забяспечвае трансляцыю IP-адрасоў «адзін-да-аднаму». RFC 2663 з'яўляецца асноўным тыпам дадзенай трансляцыі. У гэтым тыпе змяняюцца толькі IP-адрасы і кантрольных сум IP-загалоўкаў. Асноўныя тыпы трансляцыі можна выкарыстоўваць для злучэння двух IP-сетак, якія маюць несумяшчальную адрасаванне.

NAT - гэта што ў падключэнні «адзін-да-шматлікім»?

Большасць разнавіднасцяў NAT здольныя супаставіць некалькі прыватных хастоў да аднаго публічна пазначаным IP-адрасе. У тыповай канфігурацыі лакальная сетка выкарыстоўвае адзін з прызначаных «прыватных» IP-адрасоў падсеткі (RFC 1918). Маршрутызатар ў гэтай сеткі мае прыватны адрас у гэтай прасторы.

Маршрутызатар таксама падключаецца да інтэрнэту з дапамогай «публічнага» адрасы, прысвоенага правайдэрам. Так як трафік праходзіць з лакальнай сеткі ў Інтэрнэт, адрас крыніцы ў кожным пакеце перакладаецца на лета з прыватнага адрасы ў публічны. Маршрутызатар адсочвае асноўныя дадзеныя аб кожным актыўным злучэнні (у прыватнасці, адрас і порт прызначэння). Калі адказ вяртаецца да яго, ён выкарыстоўвае дадзеныя злучэння, якія захоўваюцца ў час выязнога этапу, каб вызначыць прыватны адрас ўнутранай сеткі, да якога варта накіраваць адказ.

Адным з пераваг гэтага функцыяналу з'яўляецца тое, што ён служыць практычным рашэннем насоўваецца вычарпання адраснай прасторы IPv4. Нават буйныя сеткі могуць быць падлучаныя да Інтэрнэту з дапамогай аднаго IP-адрасы.

Усе дейтаграмм пакетаў на IP-сетках маюць 2 IP-адрасы - зыходны і пункта прызначэння. Як правіла, пакеты, якія праходзяць з прыватнай сеткі да сеткі агульнага карыстання, будуць мець адрас крыніцы пакетаў, зменлівы падчас пераходу ад публічнай сеткі назад да прыватнай. Больш складаныя канфігурацыі таксама магчымыя.

асаблівасці

Настройка NAT можа мець некаторыя асаблівасці. Каб пазбегнуць цяжкасцяў у тым, як перавесці вернутыя пакеты, патрабуюцца іх далейшыя мадыфікацыі. Пераважная большасць інтэрнэт-трафіку ідзе праз пратаколы TCP і UDP, і іх нумары партоў змяняюцца такім чынам, што спалучэнне IP-адрасы і нумары порта пры зваротным напрамку дадзеных пачынае супастаўляцца.

Пратаколы, ня заснаваныя на TCP і UDP, патрабуюць іншых метадаў перакладу. Пратакол кіравання паведамленнямі ў сетцы Інтэрнэт (ICMP), як правіла, суадносіць перадаваныя дадзеныя з існуючым злучэннем. Гэта азначае, што яны павінны быць адлюстраваны з выкарыстаннем таго ж IP-адрасы і нумары, устаноўленага першапачаткова.

Што трэба ўлічваць?

Настройка NAT ў роутере не дае яму магчымасці злучэння «з канца ў канец». Таму такія маршрутызатары не могуць удзельнічаць у некаторых інтэрнэт-пратаколах. Паслугі, якія патрабуюць ініцыяцыі TCP-злучэнняў ад вонкавай сеткі або карыстальнікаў без пратаколаў, могуць быць недаступныя. Калі маршрутызатар NAT ня робіць асаблівых высілкаў для падтрымкі такіх пратаколаў, якія ўваходзяць пакеты не могуць дабрацца да месца прызначэння. Некаторыя пратаколы могуць размясціцца ў адной трансляцыі паміж ўдзельнічаюць хастамі ( «пасіўны рэжым» FTP, напрыклад), часам з дапамогай шлюза прыкладнога ўзроўню, але злучэнне не будзе ўстаноўлена, калі абедзве сістэмы аддзеленыя ад сеткі Інтэрнэт з дапамогай NAT. Выкарыстанне трансляцыі сеткавых адрасоў таксама ўскладняе такія «тунэльныя» пратаколы, як IPsec, паколькі яна змяняе значэння ў загалоўках, якія ўзаемадзейнічаюць з праверкамі цэласнасці запытаў.

існуючая праблема

Злучэнне «з канца ў канец» з'яўляецца асноўным прынцыпам інтэрнэту, існуючым з моманту яго распрацоўкі. Бягучы стан сеткі паказвае, што NAT з'яўляецца парушэннем гэтага прынцыпу. У спецыялістаў існуе сур'ёзная заклапочанасць у сувязі з паўсюдным выкарыстаннем у IPv6-трансляцыі сеткавых адрасоў, і падымаецца праблема аб тым, як эфектыўна яе ліквідаваць.

З-за недаўгавечныя прыроды табліц, якія захоўваюць стан трансляцыі ў маршрутызатарах NAT, прылады ўнутранай сеткі страчваюць IP-злучэнне, як правіла, на працягу вельмі кароткага перыяду часу. Кажучы пра тое, што такое NAT ў роутере, нельга забывацца пра гэта акалічнасць. Гэта сур'ёзна скарачае час працы кампактных прылад, якія працуюць на батарэйках і акумулятарах.

маштабаванасць

Акрамя таго, пры выкарыстанні NAT адсочваюцца толькі парты, якія могуць быць хутка знясіленыя ўнутранымі прыкладаннямі, выкарыстоўвалымі некалькі адначасовых злучэнняў (напрыклад, HTTP-запыты для вэб-старонак з вялікай колькасцю ўбудаваных аб'ектаў). Гэтая праблема можа быць зроблены больш мяккім шляхам адсочвання IP-адрасы прызначэння ў дадатак да порта (такім чынам, адзін лакальны порт падзяляецца вялікай колькасцю аддаленых хастоў).

некаторыя складанасці

Паколькі ўсе ўнутраныя адрасы маскіруюцца пад адзін агульнадаступны, для знешніх хастоў становіцца немагчыма ініцыяваць падлучэнне да вызначанага ўнутранага вузлу без спецыяльнай канфігурацыі на брандмаўэры (якая павінна перанакіроўваць падлучэння да вызначанага порту). Такія прыкладання, як IP-тэлефанія, відэаканферэнцыі і падобныя сэрвісы павінны выкарыстоўваць метады абыходу NAT, каб нармальна функцыянаваць.

Зваротны адрас і порт перакладу (Rapt) дазваляе хасту, рэальны IP-адрас якога змяняецца час ад часу, заставацца даступным у якасці сервера з дапамогай фіксаванага IP-адрасы хатняй сеткі. У прынцыпе, гэта павінна дазволіць наладзе сервераў захоўваць злучэнне. Нягледзячы на тое што гэта не ідэальнае рашэнне праблемы, гэта можа стаць яшчэ адным карысным інструментам у арсенале сеткавага адміністратара пры рашэнні задачы, як наладзіць NAT на роутере.

Port Address Translation (PAT)

Рэалізацыяй Cisco Rapt з'яўляецца Port Address Translation (PAT), які адлюстроўвае некалькі прыватных IP-адрасоў у выглядзе аднаго публічнага. Некалькі адрасоў могуць быць адлюстраваны як адрас, таму што кожны з іх адсочваецца з дапамогай нумара порта. PAT выкарыстоўвае унікальныя нумары партоў крыніцы на ўнутраным глабальным IP, каб адрозніваць кірунак перадачы дадзеных. Такімі нумарамі з'яўляюцца 16-разрадныя цэлыя лікі. Агульная колькасць унутраных адрасоў, якія могуць быць пераведзены на адзін вонкавы, тэарэтычна можа дасягаць 65536. Рэальнае ж колькасць партоў, на якія можа быць прызначаны адзіны IP-адрас, складае каля 4000. Як правіла, PAT спрабуе захаваць зыходны порт «арыгінала». Калі ён ужо выкарыстоўваецца, Port Address Translation прызначае першы даступны нумар порта, пачынаючы з пачатку адпаведнай групы - 0-511, 512-1023 або 1024-65535. Калі больш няма даступных партоў і ёсць больш чым адзін вонкавы IP-адрас, PAT пераходзіць да наступнага, каб паспрабаваць вылучыць зыходны порт. Гэты працэс працягваецца да таго часу, пакуль не скончацца даступныя дадзеныя.

Адлюстраванне адрасы і порта ажыццяўляецца службай Cisco, якая спалучае ў сабе адрас порта перакладу з дадзенымі тунэлявання пакетаў IPv4 па ўнутранай сеткі IPv6. Па сутнасці справы, гэта неафіцыйная альтэрнатыва CarrierGrade NAT і DS-Lite, якая падтрымлівае IP-трансляцыі адрасоў / партоў (і, такім чынам, падтрымліваецца налада NAT). Такім чынам, гэта дазваляе пазбегнуць праблем у ўстаноўцы і падтрыманні злучэння, а таксама забяспечвае механізм пераходу для разгортвання IPv6.

метады перакладу

Існуе некалькі спосабаў рэалізацыі перакладу сеткавага адрасы і порта. У некаторых прыкладных пратаколах, якія выкарыстоўваюць прыкладання па працы з IP-адрасамі, якія працуюць у зашыфраванай сеткі, неабходна вызначыць знешні адрас NAT (які выкарыстоўваецца на іншым канцы злучэння), і, акрамя таго, часцяком неабходна вывучыць і класіфікаваць тып перадачы. Звычайна гэта робіцца таму, што пажадана стварыць прамы канал сувязі (альбо захаваць бесперабойную перадачу дадзеных праз сервер, ці ж для павышэння прадукцыйнасці) паміж двума кліентамі, абодва з якіх знаходзяцца за асобнымі NAT.

Для гэтай мэты (як наладзіць NAT) у 2003 годзе быў распрацаваны спецыяльны пратакол RFC 3489, які забяспечвае просты абыход UDP праз NATS. На сённяшні дзень ён з'яўляецца састарэлым, паколькі такія метады ў нашы дні з'яўляюцца недастатковымі для правільнай ацэнкі працы шматлікіх прылад. Новыя метады былі стандартызаваныя ў пратаколе RFC 5389, які быў распрацаваны ў кастрычніку 2008 года. Гэтая спецыфікацыя сёння носіць назву SessionTraversal і ўяўляе сабой ўтыліту для працы NAT.

Стварэнне двухбаковай сувязі

Кожны пакет TCP і UDP ўтрымлівае IP-адрас крыніцы і нумар яго порта, а таксама каардынаты порта прызначэння.

Для атрымання такіх агульнадаступных паслуг, як функцыянал паштовых сервераў, нумар порта мае важнае значэнне. Напрыклад, порт 80 падключаецца да праграмнага забеспячэння вэб-сервера, а 25 - да SMTP паштовага сервера. IP-адрас агульнадаступнага сервера таксама мае істотнае значэнне, падобнае паштовым адрасе або нумары тэлефона. Абодва гэтыя параметры павінны быць дакладна вядомыя ўсім вузлах, якія маюць намер усталяваць злучэнне.

Прыватныя IP-адрасы маюць значэнне толькі ў лакальных сетках, дзе яны выкарыстоўваюцца, а таксама для хост-партоў. Парты з'яўляюцца унікальнымі канчатковымі кропкамі сувязі на хасце, таму злучэнне праз NAT падтрымліваецца з дапамогай камбінаванага карціравання порта і IP-адрасы.

РАТ (Port AddressTranslation) дазваляе канфлікты, якія могуць паўстаць паміж двума рознымі хастамі, выкарыстоўвалымі адзін і той жа нумар порта крыніцы для ўстанаўлення унікальных падлучэнняў адначасова.