Какой тип сетевой трансляции адресов и портов используется в брандмауэре

Обновлено: 21.11.2024

В этой главе дается определение преобразования сетевых адресов (NAT), рассказывается о типах NAT и о том, как работает NAT. В этой главе представлены сценарии применения и принципы реализации исходного NAT, целевого NAT (включая статический NAT и динамический NAT) и двунаправленного NAT на устройстве брандмауэра NAT.

NAT – это технология преобразования адресов, которая преобразует IP-адрес в заголовке IPv4 в другой IP-адрес. Преобразовывая несколько частных адресов, содержащихся в заголовках IPv4, в один уникальный общедоступный адрес, NAT позволяет нескольким пользователям интрасети получать доступ к Интернету, используя только один общедоступный адрес, эффективно снижая исчерпание общедоступных адресов IPv4.

С расширением Интернета большому количеству пользователей частных сетей необходимо получать доступ к Интернету через общедоступные адреса IPv4. Быстрое исчерпание адресного пространства IPv4 приводит к значительному истощению общедоступных адресов. Хотя технология IPv6 может в корне решить проблему исчерпания адресов, большинство контента и приложений по-прежнему основаны на IPv4, и поэтому их нельзя полностью перевести на IPv6 за короткое время. Технология NAT позволяет повторно использовать общедоступные адреса IPv4, что может решить проблему нехватки адресов IPv4 на долгое время.

Предпосылки

  • В этом документе используются брандмауэры Huawei серии USG6000E в качестве примера для ознакомления с основными принципами NAT. Могут быть отличия в реализации разных продуктов и версий. См. конкретную версию документации по продукту.
  • В этом документе FW – это сокращение от брандмауэра.
  • В этом документе общедоступные IP-адреса могут использоваться при описании функций и приводятся только для справки, если не указано иное.

Типы NAT

NAT делится на три типа в зависимости от режима трансляции.

Преобразование исходного адреса без преобразования порта

Исходный IP-адрес

Этот режим применяется в ситуации, когда общедоступных IP-адресов достаточно, а в Интернет выходит лишь небольшое количество пользователей интрасети. Частные и общедоступные адреса находятся во взаимооднозначных отношениях преобразования.

Преобразование адреса источника с преобразованием порта

Исходный IP-адрес

Этот режим применяется, когда к Интернету подключаются многие пользователи интрасети. Большое количество частных адресов передается нескольким публичным адресам.

Статический NAT: взаимно однозначное сопоставление общедоступных и частных адресов

IP-адрес назначения

Этот режим применяется, когда общедоступный адрес используется для доступа к частному адресу или несколько общедоступных адресов используются для доступа к нескольким частным адресам.

Статический NAT: взаимно однозначное сопоставление общедоступных и частных портов

IP-адрес назначения

Этот режим применяется, когда несколько портов общедоступного адреса используются для доступа к нескольким портам частного адреса.

Статический NAT: однозначные сопоставления между несколькими портами общедоступного адреса и несколькими частными адресами

IP-адрес назначения

Этот режим применяется, когда несколько портов общедоступного адреса используются для доступа к нескольким частным адресам.

Статический NAT: однозначные сопоставления между несколькими общедоступными адресами и несколькими частными портами

IP-адрес назначения

Этот режим применяется, когда несколько общедоступных адресов используются для доступа к нескольким портам частного адреса.

Динамический NAT: общедоступные адреса случайным образом преобразуются в адреса в пуле адресов назначения.

IP-адрес назначения

Этот режим применяется, когда между общедоступными и частными адресами нет фиксированных сопоставлений, а общедоступные адреса случайным образом преобразуются в адреса в пуле адресов назначения.

Исходный NAT + статический целевой NAT (статический NAT)

Исходный IP-адрес + IP-адрес назначения

Этот режим применяется, когда необходимо преобразовать и исходный, и целевой адреса, а адреса назначения имеют фиксированные сопоставления до и после NAT.

Исходный NAT + динамический целевой NAT (динамический NAT)

Исходный IP-адрес + IP-адрес назначения

Этот режим применяется, когда необходимо преобразовать как исходный, так и целевой адреса, а адреса назначения не имеют фиксированных сопоставлений до и после NAT.

Понимание политики NAT

Политика NAT состоит из преобразованного адреса (адреса пула адресов или адреса исходящего интерфейса), условия соответствия и действия.

  • Типы пулов адресов включают NAT источника (NAT No-PAT, NAPT, Triplet NAT и Smart NAT) и пулы адресов назначения. Вы можете выбрать тип пула адресов или режим исходящего интерфейса в зависимости от режима NAT.
  • Условия сопоставления включают исходный адрес, целевой адрес, исходную зону безопасности, конечную зону безопасности, исходящий интерфейс, службу и временной диапазон.Вы можете настроить условия соответствия в соответствии с требованиями для выполнения NAT для трафика, соответствующего условиям.

Целевая политика NAT не поддерживает конфигурацию целевой зоны безопасности и исходящего интерфейса.

  • Действия включают преобразование исходного адреса и преобразование адреса назначения. Независимо от преобразования исходного адреса или преобразования адреса назначения, NAT может выполняться или не выполняться для трафика, который соответствует условиям.

Если создано несколько политик NAT, политики сопоставляются сверху вниз. Если трафик соответствует политике NAT, остальные политики игнорируются.

В списке политик NAT, показанном на рис. 1-1, двунаправленные и целевые политики NAT имеют более высокий приоритет соответствия, чем исходные политики NAT, и размещаются перед исходными политиками NAT. Двунаправленные и целевые политики NAT упорядочены в соответствии с их конфигурационными последовательностями, так же как и исходные политики NAT. Недавно добавленная политика или политика с измененным действием NAT помещается в конец политик NAT своего типа.

Вы можете настроить порядок соответствия политик NAT одного типа по мере необходимости. Например, можно разместить целевую политику NAT 2 над двунаправленной политикой NAT 1 или исходную политику NAT 2 над исходной политикой NAT 1. Однако исходную политику NAT нельзя разместить над двунаправленной политикой NAT и целевой политикой NAT. Например, исходная политика NAT 1 не может быть размещена выше целевой политики NAT 4 или двунаправленной политики NAT 3.

Обзор исходного NAT

Source NAT преобразует исходные адреса пакетов.

Source NAT преобразует частные IP-адреса в общедоступные IP-адреса, чтобы пользователи интрасети могли использовать общедоступные IP-адреса для доступа в Интернет. На рис. 1-2 показан процесс перевода.

FW показывает исходный процесс NAT, когда хост обращается к веб-серверу.

  1. После получения пакетов, предназначенных из частной сети в Интернет, FW преобразует адреса частных источников в адреса общедоступных источников.
  2. После получения обратных пакетов FW преобразует общедоступные адреса назначения обратно в частные адреса назначения.

В зависимости от того, выполняется ли преобразование портов во время преобразования исходного адреса, исходное NAT попадает в NAT, включающее только преобразование исходного адреса (NAT No-PAT), и NAT, включающее как преобразование исходного адреса, так и преобразование исходного порта (NAPT, Smart NAT, Easy IP). и тройной NAT).

Что такое NAT без PAT?

NAT No-PAT преобразует только IP-адреса и сопоставляет один частный адрес только с одним общедоступным адресом. Этот режим применяется к сценариям, в которых каждый пользователь частной сети обычно может иметь общедоступный IP-адрес в пуле адресов. На рис. 1-3 показан его механизм.

FW показывает процесс NAT No-PAT, когда хост обращается к веб-серверу.

  1. После того как хост отправляет пакет на FW, FW обнаруживает, что пакет должен пройти из зоны доверия в зону недоверия и что пакет соответствует политике безопасности. FW также обнаруживает, что пакет соответствует определенной политике NAT, поэтому необходимо выполнить трансляцию адресов NAT. FW заменяет исходный IP-адрес пакета общедоступным IP-адресом, выбранным из пула адресов NAT, а затем пересылает пакет на интерфейс WAN. В то же время FW добавляет запись в таблицы server-map и session.
  2. Веб-сервер отправляет ответный пакет, предназначенный для хоста. FW получает ответ и ищет в таблице сеансов запись, созданную в шаге 2. Затем FW преобразует адрес назначения в пакете в IP-адрес хоста на основе записи и пересылает пакет на хост через интрасеть.

Таким образом, для частных и общедоступных IP-адресов выполняется однозначное преобразование. Если все адреса в пуле адресов выделены, NAT не может выполняться для остальных узлов интрасети, пока в пуле адресов не появятся доступные адреса.

FW создает таблицу сопоставления серверов, в которой хранятся сопоставления между частными IP-адресами хоста и общедоступными IP-адресами.

  • Записи карты серверов для переадресации позволяют быстро преобразовывать адреса, когда пользователь частной сети выходит в Интернет, повышая эффективность обработки FW.
  • Возврат записей карты сервера позволяет преобразовывать адреса, когда пользователь Интернета активно обращается к пользователю частной сети.

NAT NO-PAT относится к:

Таблица карты серверов, сгенерированная локальным NO-PAT, содержит параметры зоны безопасности. Только серверы в этой зоне безопасности могут получить доступ к узлу интрасети.

Таблица карты серверов, сгенерированная глобальным NO-PAT, не содержит параметров зоны безопасности. Серверы во всех зонах безопасности могут получить доступ к узлу интрасети.

Что такое NAPT?

NAPT преобразует как IP-адреса, так и порты, чтобы несколько частных адресов могли совместно использовать один или несколько общедоступных адресов.NAPT применяется к сценариям с несколькими общедоступными адресами, но большим количеством частных пользователей, которым необходим доступ в Интернет. На рис. 1-4 показан его механизм.

FW показывает процесс NAPT, когда хост обращается к веб-серверу.

  1. После того как хост отправляет пакет на FW, FW обнаруживает, что пакет должен пройти из зоны доверия в зону недоверия и что пакет соответствует политике безопасности. FW также обнаруживает, что пакет соответствует определенной политике NAT, поэтому необходимо выполнить трансляцию адресов NAT. FW заменяет первоначальный исходный IP-адрес пакета общедоступным IP-адресом, выбранным из пула адресов NAT на основе результата хеширования исходного IP-адреса, заменяет исходный исходный порт новым портом, а затем пересылает пакет в Интернет. В то же время брандмауэр добавляет запись в таблицу сеансов.
  2. Веб-сервер отправляет ответный пакет, предназначенный для хоста. FW получает ответ и ищет в таблице сеансов запись, созданную в шаге 2. FW преобразует адрес назначения в пакете в IP-адрес хоста и номер порта назначения в номер частного порта на основе записи. Затем FW пересылает пакет на хост через интрасеть.

Поскольку и адреса, и порты переводятся, несколько частных пользователей могут использовать один общедоступный адрес для доступа в Интернет. FW может различать пользователей на основе портов, поэтому больше пользователей могут получить доступ к Интернету одновременно. Обратите внимание, что NAPT не создает записи карты сервера. Это отличается от NAT No-PAT.

Что такое Smart NAT?

Smart NAT является дополнением к No-PAT. Smart NAT — это режим, в котором IP-адрес зарезервирован для NAPT в режиме No-PAT. Smart NAT применяется в сценариях, когда каждый пользователь частной сети обычно может иметь общедоступный IP-адрес в пуле адресов, но иногда общедоступных адресов недостаточно.

В режиме без PAT выполняется однозначное преобразование адресов. По мере увеличения числа пользователей интрасети количество адресов в пуле адресов может больше не соответствовать требованиям пользователей к доступу в Интернет. В результате некоторые пользователи не могут получить доступ в Интернет. В этом случае зарезервированные IP-адреса можно использовать для NAPT, чтобы пользователи могли выходить в Интернет. На рис. 1-5 показан его механизм.

Когда несколько хостов в интрасети одновременно обращаются к серверу, процесс выглядит следующим образом:

  1. Получив пакет из интрасети, FW сначала проверяет IP-адрес назначения, определяя, что пакет предназначен для зоны недоверия из зоны доверия. Если пакет разрешен межзоновой политикой безопасности, FW ищет соответствующую политику NAT, а затем обнаруживает, что требуется преобразование адресов.
  2. Если в пуле адресов NAT есть доступные общедоступные адреса, FW заменяет исходный IP-адрес пакета таким общедоступным IP-адресом, а затем пересылает пакет на сервер. В то же время FW добавляет запись в таблицу сеансов.
  3. Если в пуле адресов NAT нет доступных общедоступных адресов, FW заменяет исходный IP-адрес пакета зарезервированным адресом NAPT, заменяет исходный порт новым портом, а затем пересылает пакет в Интернет. В то же время FW добавляет запись в таблицу сеансов.

В этом режиме микропрограмма предпочтительно использует режим без PAT. После исчерпания общедоступных адресов, доступных для No-PAT, зарезервированный IP-адрес используется для NAPT для последующих подключений пользователей.

Что такое Easy IP?

Easy IP использует общедоступный IP-адрес исходящего интерфейса в качестве адреса после NAT и преобразует как IP-адрес, так и порт. Easy IP также применяется к сценариям, в которых IP-адрес интерфейса получается динамически.

Когда исходящий интерфейс FW получает общедоступный IP-адрес через коммутируемое соединение, вы не можете добавить общедоступный IP-адрес в пул адресов, поскольку общедоступный адрес получается динамически. В этом случае вам необходимо настроить режим Easy IP, чтобы FW мог транслировать адреса при изменении общедоступного IP-адреса. На рис. 1-6 показан его механизм.

FW показывает процесс Easy IP, когда хост обращается к веб-серверу.

  1. После того как хост отправляет пакет на FW, FW обнаруживает, что пакет должен пройти из зоны доверия в зону недоверия и что пакет соответствует политике безопасности. FW также обнаруживает, что пакет соответствует определенной политике NAT, поэтому необходимо выполнить трансляцию адресов NAT. FW заменяет IP-адрес источника в пакете на общедоступный IP-адрес интерфейса WAN и заменяет номер порта источника на общедоступный номер порта. Затем FW создает запись сеанса в таблице сеансов и пересылает пакет через Интернет.
  2. Веб-сервер отправляет ответный пакет, предназначенный для хоста. FW получает ответ и ищет в таблице сеансов запись, созданную в 2.FW преобразует адрес назначения в пакете в IP-адрес хоста и номер порта назначения в номер частного порта на основе записи. Затем FW пересылает пакет на хост через интрасеть.

Поскольку и адреса, и порты переводятся, несколько частных пользователей могут использовать один общедоступный адрес для доступа в Интернет. FW может различать пользователей по портам, поэтому больше пользователей могут получить доступ к Интернету одновременно.

Что такое Triplet NAT?

Triplet NAT может преобразовывать исходные адреса и порты пакетов. Это позволяет пользователям Интернета получать доступ к частным пользователям, сосуществуя с обменом файлами на основе P2P, аудиосвязью и передачей видео.

Если FW использует пятикратный NAT (NAPT) в ситуации, когда компьютеры интрасети имеют доступ к Интернету, устройства экстрасети не могут заранее получить доступ к ПК интрасети через преобразованные IP-адреса и порты.

Triplet NAT может полностью решить эту проблему, поскольку Triple NAT имеет следующие две функции. На рис. 1-7 показан его механизм.

  1. Порты после тройного NAT нельзя использовать повторно. Это обеспечивает согласованность портов компьютеров в интрасети, но снижает использование общедоступных IP-адресов.
  2. Устройства экстрасети могут заранее получать доступ к компьютерам интрасети через преобразованные IP-адреса и порты. FW разрешает такие пакеты доступа, даже если для таких пакетов не настроена политика безопасности.

FW показывает тройной процесс NAT, когда узел A обращается к узлу B.

  1. После получения пакета, отправленного с хоста A, FW определяет, что пакет должен пройти между зонами доверия и недоверия на основе IP-адреса назначения. После выполнения проверки межзональной политики безопасности микропрограмма ищет межзональную политику NAT и обнаруживает, что для пакета необходимо выполнить NAT. FW выбирает общедоступный IP-адрес из пула адресов NAT, чтобы заменить IP-адрес источника пакета на 1.1.1.10 и номер порта источника пакета на 2296. После того, как запись сеанса и запись карты сервера установлены, FW отправляет пакет на хост B.
  2. После получения ответного пакета, отправленного с хоста B, FW ищет в таблице сеансов запись сеанса, установленную в 2. FW заменяет IP-адрес назначения пакета на 192.168.1.2 и номер порта пакета на 6363. а затем отправляет пакет на хост A.
  3. При получении от хоста C запроса на доступ к хосту A до устаревания таблицы server-map FW также может выполнить поиск в таблице server-map и отправить пакет на хост A на основе сопоставлений в таблице.

FW создает таблицу сопоставления серверов, в которой хранятся сопоставления между частными IP-адресами хоста и общедоступными IP-адресами.

  • Записи Forward server-map гарантируют, что адреса и порты компьютеров в интрасети после NAT останутся неизменными.
  • Возврат записей карты сервера позволяет устройствам экстрасети заранее получать доступ к компьютерам интрасети.

Triplet NAT можно разделить на два типа:

    Локальный тройной NAT

Таблица карты серверов, сгенерированная локальным тройным NAT, содержит параметры зоны безопасности. Только узлы в зоне безопасности могут получить доступ к узлам интрасети. Как показано на рисунке 1-7, если хост B и хост C находятся в разных зонах безопасности и между хостом A и хостом B установлено тройное отношение NAT, хост C не может использовать установленную таблицу карты серверов для доступа к хосту A.< /p>

Таблица карты серверов, сгенерированная глобальным триплетом NAT, не содержит параметров зоны безопасности. После создания таблицы карты серверов узлы во всех зонах безопасности могут получить доступ к узлам интрасети. Как показано на рис. 1-7, если хост B и хост C находятся в разных зонах безопасности и между хостом A и хостом B установлено тройное отношение NAT, хост C также может использовать установленную таблицу сопоставления серверов для доступа к хосту A.

FW поддерживает Smart Triple NAT и определяет режим назначения портов на основе портов назначения пакетов, что позволяет повторно использовать некоторые общедоступные IP-адреса. Если номер порта назначения пакета находится в настроенном диапазоне, для назначения порта используется режим NAPT; в противном случае используется тройной режим NAT.

Необходимое условие – преобразование сетевых адресов (NAT).
Преобразование сетевых адресов (NAT) – это процесс, при котором один или несколько локальных IP-адресов преобразуются в один или несколько глобальных IP-адресов и наоборот для обеспечения доступа в Интернет. к местным хозяевам. NAT обычно работает на маршрутизаторе или брандмауэре.

Преобразование сетевых адресов (NAT) работает.
Как правило, граничный маршрутизатор настроен для NAT, т. е. маршрутизатор, который имеет один интерфейс в локальной (внутренней) сети и один интерфейс в глобальной (внешней) сети. Когда пакет проходит за пределы локальной (внутренней) сети, NAT преобразует этот локальный (частный) IP-адрес в глобальный (общедоступный) IP-адрес. Когда пакет входит в локальную сеть, глобальный (общедоступный) IP-адрес преобразуется в локальный (частный) IP-адрес.

Если NAT исчерпал адреса, т. е. в сконфигурированном пуле не осталось ни одного адреса, то пакеты будут отброшены, а адресату будет отправлен пакет ICMP о недоступности хоста.

Типы NAT.
Существует 3 типа NAT:

<р>1. Статический NAT.
При этом один частный IP-адрес сопоставляется с одним общедоступным IP-адресом, т. е. частный IP-адрес преобразуется в общедоступный IP-адрес. Он используется в веб-хостинге.

Конфигурация —

Вот небольшая топология, в которой есть ПК с IP-адресом 192.168.1.1/24, маршрутизатор R1 с IP-адресом 192.168.1.2/24 на интерфейсе fa0/0, 12.1.1.1/24 на fa0/1 и сервер. с IP-адресом 73.1.1.2/24.

Теперь на рисунке показаны внутренние локальные и внутренние глобальные. Настройка статического NAT с помощью команды IP nat внутри исходного статического INSIDE_LOCAL_IP_ADDRESS INSIDE_GLOBAL_IP_ADDRESS.

Теперь мы настроили внутренний интерфейс маршрутизатора как внутренний IP NAT, а внешний интерфейс как внешний IP NAT.

<р>2. Динамический NAT.
В этом типе NAT несколько частных IP-адресов сопоставляются с пулом общедоступных IP-адресов. Он используется, когда мы знаем количество фиксированных пользователей, которые хотят получить доступ к Интернету в данный момент времени.

Конфигурация —

Есть ПК с IP-адресом 192.168.1.1/24, маршрутизатор R1 с IP-адресом 192.168.1.2/24 на интерфейсе fa0/0, 12.1.1.1/24 на fa0/1 и сервер с IP-адресом 73.1. 1.2/24.
Теперь сначала настроим список доступа:

Настройка пула nat, из которого будет выбран общедоступный IP-адрес.

Теперь включение динамического NAT:

Наконец, мы должны настроить интерфейсы маршрутизатора как внутренние, так и внешние.

<р>3. Преобразование адресов портов (PAT).
Это также известно как перегрузка NAT. При этом многие локальные (частные) IP-адреса могут быть преобразованы в один общедоступный IP-адрес. Номера портов используются для различения трафика, т. е. того, какой трафик относится к какому IP-адресу. Это чаще всего используется, так как это экономично, поскольку тысячи пользователей могут быть подключены к Интернету, используя только один реальный глобальный (общедоступный) IP-адрес.

Конфигурация —

В той же топологии: компьютер PC1 имеет IP-адрес 192.168.1.1/24, маршрутизатор R1 имеет IP-адрес 192.168.1.2/24 на интерфейсе fa0/0, 12.1.1.1/24 на интерфейсе fa0/1, а сервер IP-адрес 73.1.1.2/24.
Теперь сначала настроим список доступа:

Настройка пула nat, из которого будет выбран общедоступный IP-адрес.

Здесь обратите внимание, что пул nat сжат только до одного IP-адреса, а используемый IP-адрес является IP-адресом внешнего интерфейса маршрутизатора. Если у вас есть дополнительный IP, вы также можете использовать его.
Теперь включение динамической перегрузки NAT (PAT):

Или мы также можем использовать

Наконец, мы должны настроить интерфейсы маршрутизатора как внутренние, так и внешние.

Как NAT защищает вас:-

-Он скрывает IP-адреса любых устройств в вашей сети от внешнего мира, присваивая им всем один адрес.

-Это требует, чтобы каждый входящий пакет информации запрашивался устройством. если вредоносный пакет данных отсутствует в списке ожидаемых сообщений, он будет отклонен.

-Некоторые брандмауэры могут использовать белые списки для блокировки несанкционированного исходящего трафика, поэтому, если вы заразитесь вредоносным ПО, ваш брандмауэр может помешать ему связаться с вашим устройством.

Привет! Похоже, у вас отключен JavaScript. Пожалуйста, включите его, чтобы вы могли видеть и взаимодействовать со всем на нашем сайте.

Концепция преобразования сетевых адресов (NAT) очень проста. Когда пакеты проходят через какое-либо сетевое устройство — обычно это брандмауэр, маршрутизатор или балансировщик нагрузки, — IP-адрес источника или получателя изменяется. Затем пакеты, возвращающиеся в другом направлении, транслируются обратно на исходные адреса. В некоторых случаях оба изменяются одновременно, что в некоторых документах называется «дважды NAT».

Преобразование адресов портов (PAT) — это особый случай NAT, при котором исходные IP-адреса для всех пакетов, идущих в одном направлении, преобразуются в общий адрес. Это чрезвычайно распространено для брандмауэров на границе Интернета, которые преобразуют все внутренние IP-адреса в один адрес, обычно собственный адрес брандмауэра, на стороне Интернета.

Зачем перевод адреса «порт»

В сетях IPv4 преобразование сетевых адресов используется почти повсеместно для устройств, подключенных к Интернету. Из-за нехватки зарегистрированных адресов IPv4 большинству сетей приходится использовать диапазоны частных адресов внутри своих сетей. Таким образом, почти каждая домашняя или корпоративная сеть должна использовать NAT на границе Интернета.
Большинство этих реализаций используют PAT для исходящего веб-трафика. Таким образом, один общедоступный адрес в Интернете может использоваться для всех устройств внутри сети. Однако с этим есть проблема.

Подумайте, что происходит, когда мой компьютер отправляет пакет на веб-сайт в Интернете.Брандмауэр заменяет IP-адрес моего компьютера в поле «источник» заголовка пакета и перенаправляет его в пункт назначения, который не меняется. Затем веб-сервер должен ответить.

Он отправляет пакет обратно на единственный известный IP-адрес моего компьютера, который на самом деле является адресом внешнего интерфейса брандмауэра. Интернет направляет этот пакет обратно к брандмауэру, но теперь брандмауэр должен отменить преобразование, заменив адрес в том, что теперь является полем «назначение» заголовка пакета, на IP-адрес моего компьютера. Затем он пересылает этот пакет мне.

Но что произойдет, если внутри сети будет две или более систем? А если сотни? Что, если я не единственный, кто общается с этим конкретным веб-сайтом? Откуда брандмауэр знает, как отменить перевод?

Именно здесь на помощь приходит слово «порт» в преобразовании адресов портов. На сегодняшний день наиболее распространенными протоколами в Интернете являются разновидности TCP или UDP. И TCP, и UDP включают понятие порта. Порт — это не физическая вещь, это просто номер в заголовке пакета. Фактически, есть исходный порт и порт назначения.
Когда мой компьютер начинает новый сеанс связи с веб-сервером, он отправляет первый пакет на определенный предопределенный порт назначения, а также на IP-адрес назначения, который мы уже обсуждали.

Но я мог бы одновременно открыть много веб-сеансов. Таким образом, мой компьютер также включает в себя номер «исходного» порта, который сообщает ему, какой процесс, работающий локально на моем компьютере, должен отправлять ответные пакеты обратно.

Когда удаленный веб-сервер отвечает на мой сеанс, заголовок пакета содержит его IP-адрес в качестве адреса источника и мой адрес PAT в качестве адреса назначения, а также использует исходный номер порта источника в качестве нового адреса назначения.

В отличие от исходного порта назначения, который является чем-то четко определенным, например 80 или 443, номер исходного порта, который мой компьютер использует для идентификации сеанса для себя, может быть любым от 1 до 65535.

Когда брандмауэр получает пакет с моего компьютера, он добавляет в свою таблицу преобразования запись, которая включает мой реальный IP-адрес, IP-адрес удаленного сервера, а также номера портов источника и получателя. Поэтому, когда он получает ответ от сервера, он может использовать исходный порт для поиска значений «непереведенных», которые ему нужно использовать, чтобы вернуть мне пакет.

На самом деле это немного сложнее, потому что есть вероятность, что ваш компьютер и мой компьютер будут использовать один и тот же номер исходного порта. Таким образом, хотя алгоритм преобразования, как правило, является собственностью поставщика брандмауэра, многие из них создают новый исходный порт для переведенного заголовка пакета. Тогда проще убедиться, что этот номер порта уникален. Но обратите внимание, что для каждого общего внешнего IP-адреса по-прежнему существует верхний предел в 65 535 одновременных сеансов в этой таблице преобразования.

Помните, что на рабочей станции может быть открыто сразу несколько сеансов, поэтому на практике вы можете столкнуться с проблемами исчерпания ресурсов брандмауэра, если попытаетесь использовать один адрес PAT для более чем нескольких тысяч внутренних рабочих станций.

Статический NAT

Еще одна проблема с PAT заключается в том, что брандмауэру необходимо сопоставить входящий пакет с существующим сеансом. Это явно не работает, если вам нужно разрешить внешним устройствам подключаться к внутреннему серверу для таких вещей, как веб-серверы или серверы электронной почты. Если есть системы, которым необходимо принимать входящие подключения, вам необходимо использовать статический NAT.

Преобразование статических сетевых адресов — это именно то, на что это похоже. Вместо исходящих подключений, динамически создающих записи в таблице перевода, вы создаете правила перевода, которые всегда будут присутствовать.

При использовании статического NAT брандмауэр знает, как выполнить преобразование в обоих направлениях, даже если он видит первый пакет в сеансе.

Политика NAT

Разновидностью статического NAT является политика NAT. Вспомните предыдущие комментарии о том, как сервер использует номера портов, чтобы решить, какому приложению отправить пакет. Брандмауэр также может использовать ту же информацию для принятия решений.

Самый распространенный способ использования — использование одного и того же IP-адреса в Интернете несколькими разными внутренними серверами. Например, брандмауэр может иметь правило, которое перенаправляет TCP-порты 80 и 443 на веб-сервер, порты 25 и 587 на сервер электронной почты и порты 20, 21 и 22 на сервер FTP/SFTP.

Такая конфигурация удобна, если у вас не хватает адресов и вам нужно их удвоить.

Роль балансировщиков нагрузки в NAT

Балансировщики нагрузки фактически являются устройствами NAT. Но у них могут быть и более сложные правила. Балансировщик нагрузки обычно имеет один адрес для пула серверов, выполняющих одну и ту же функцию. Балансировщик нагрузки заменит IP-адрес назначения в пакете реальным адресом одного из серверов в пуле, а затем перенаправит пакет на этот сервер.

Это обычно используется для обеспечения производительности или отказоустойчивости. Балансировщик нагрузки отслеживает состояние всех серверов в пуле. Если какой-либо из серверов по какой-либо причине становится недоступным, балансировщик нагрузки может немедленно удалить его из пула и прекратить отправку новых сеансов на этот отказавший сервер.

Что дальше с NAT и PAT?

Еще в 2015 году я писал об IPv6 и его влиянии на NAT. Хотя текущая потребность в NAT и PAT в значительной степени вызвана нехваткой адресов IPv4, потребность в них не исчезнет в ближайшее время по двум причинам.

Во-первых, внедрение IPv6 по-прежнему идет медленно, поскольку такие функции, как NAT и PAT в сочетании с частной адресацией, устранили необходимость перехода на IPv6. Единственными людьми, которым действительно нужны новые IPv4-адреса, являются поставщики услуг. И даже в отдаленном будущем можно будет использовать Интернет на IPv6, но поставщики услуг будут переводить и туннелировать IPv4-адреса для своих клиентов и продолжать скрывать проблемы.

Если бы мы реализовали Интернет таким образом, то любой, кто перехватывает ваши пакеты в общедоступных частях Интернета, мог бы уникальным образом связать ваши пакеты с вашим компьютером или мобильным устройством, даже если полезная нагрузка была зашифрована. Это открыло бы дверь для множества атак анализа трафика с использованием «больших данных» против отдельных лиц.

Анализ трафика может предоставить много информации. Если я вижу, что в один и тот же дом доставляют много пиццы, я знаю, где вечеринка. Я даже могу предположить, сколько людей придет. Мне не нужно знать, что такое начинки. Точно так же я могу сказать, где находится ваш почтовый сервер, каким банком вы пользуетесь и даже с какими социальными сетями вы взаимодействуете, просто взглянув на ваши пакеты. Это отличная отправная точка.

Хотите отслеживать соединения в своей сети и отслеживать трафик, проходящий через брандмауэр? Ознакомьтесь с Auvik TrafficInsights™.

Преобразование сетевых адресов помогает повысить безопасность за счет повторного использования IP-адресов. Маршрутизатор NAT преобразует трафик, входящий и исходящий из частной сети. Смотрите другие изображения компьютерных сетей.

Если вы читаете эту статью, скорее всего, вы подключены к Интернету и просматриваете ее на веб-сайте HowStuffWorks. Скорее всего, вы сейчас используете преобразование сетевых адресов (NAT).

Интернет стал больше, чем кто-либо мог себе представить. Хотя точный размер неизвестен, по текущим оценкам в Интернете насчитывается около 100 миллионов хостов и более 350 миллионов пользователей. Это больше, чем все население Соединенных Штатов! На самом деле темпы роста таковы, что Интернет удваивается каждый год.

Какое отношение размер Интернета имеет к NAT? Все! Чтобы компьютер мог взаимодействовать с другими компьютерами и веб-серверами в Интернете, он должен иметь IP-адрес. IP-адрес (IP означает Интернет-протокол) — это уникальное 32-битное число, которое определяет местоположение вашего компьютера в сети. По сути, он работает так же, как ваш почтовый адрес, — как способ точно узнать, где вы находитесь, и предоставить вам информацию.

Когда впервые появилась IP-адресация, все думали, что существует множество адресов для удовлетворения любых потребностей. Теоретически у вас может быть 4 294 967 296 уникальных адресов (2 32 ). Фактическое количество доступных адресов меньше (где-то между 3,2 и 3,3 миллиарда) из-за способа разделения адресов на классы, а также из-за того, что некоторые адреса зарезервированы для многоадресной рассылки, тестирования или других специальных целей.

В связи с бурным развитием Интернета и ростом числа домашних и корпоративных сетей количество доступных IP-адресов становится просто недостаточным. Очевидное решение состоит в том, чтобы изменить формат адреса, чтобы обеспечить большее количество возможных адресов. Он разрабатывается (называется IPv6), но на его реализацию уйдет несколько лет, поскольку для этого потребуется модифицировать всю инфраструктуру Интернета.

Здесь на помощь приходит NAT (RFC 1631). Преобразование сетевых адресов позволяет одному устройству, такому как маршрутизатор, выступать в качестве агента между Интернетом (или «общедоступной сетью») и локальной (или «частной») сетью. Это означает, что для представления целой группы компьютеров требуется только один уникальный IP-адрес.

Но нехватка IP-адресов — это только одна из причин использования NAT. В этой статье вы узнаете больше о преимуществах NAT. Но сначала давайте подробнее рассмотрим NAT и его возможности.

Что делает NAT?

NAT похож на администратора в большом офисе. Допустим, вы оставили администратору инструкции не переадресовывать вам звонки, если вы этого не попросите. Позже вы звоните потенциальному клиенту и оставляете сообщение, чтобы этот клиент перезвонил вам. Вы говорите администратору, что ожидаете звонка от этого клиента, и соедините его.

Клиент звонит в ваш офис по основному номеру, который известен только клиенту. Когда клиент сообщает администратору, что ищет вас, администратор проверяет таблицу поиска, которая соответствует вашему имени и вашему добавочному номеру. Секретарь знает, что вы запросили этот звонок, и поэтому перенаправляет звонящего на ваш добавочный номер.

Разработанная Cisco, трансляция сетевых адресов используется устройством (брандмауэром, маршрутизатором или компьютером, находящимся между внутренней сетью и остальным миром). NAT имеет множество форм и может работать несколькими способами:

В статическом NAT компьютер с IP-адресом 192.168.32.10 всегда будет преобразовываться в 213.18.123.110.

  • Статический NAT — сопоставление незарегистрированного IP-адреса с зарегистрированным IP-адресом по принципу «один к одному». Это особенно полезно, когда устройство должно быть доступно из-за пределов сети.

В динамическом NAT компьютер с IP-адресом 192.168.32.10 будет преобразован в первый доступный адрес в диапазоне от 213.18.123.100 до 213.18.123.150.

  • Динамический NAT. Сопоставляет незарегистрированный IP-адрес с зарегистрированным IP-адресом из группы зарегистрированных IP-адресов.
  • Перегрузка. Форма динамического преобразования сетевых адресов, при которой несколько незарегистрированных IP-адресов сопоставляются с одним зарегистрированным IP-адресом с использованием разных портов. Это также известно как PAT (преобразование адресов портов), NAT с одним адресом или NAT с мультиплексированием на уровне порта.

При перегрузке каждый компьютер в частной сети преобразуется в один и тот же IP-адрес (213.18.123.100), но с другим назначенным номером порта.

  • Перекрытие. Когда IP-адреса, используемые в вашей внутренней сети, являются зарегистрированными IP-адресами, используемыми в другой сети, маршрутизатор должен поддерживать таблицу поиска этих адресов, чтобы он мог их перехватывать и заменять зарегистрированными уникальными IP-адресами. Важно отметить, что маршрутизатор NAT должен преобразовывать «внутренние» адреса в зарегистрированные уникальные адреса, а также преобразовывать «внешние» зарегистрированные адреса в адреса, уникальные для частной сети. Это можно сделать либо через статический NAT, либо с помощью DNS и реализации динамического NAT.

Внутренний диапазон IP-адресов (237.16.32.xx) также является зарегистрированным диапазоном, используемым другой сетью. Поэтому маршрутизатор транслирует адреса, чтобы избежать потенциального конфликта с другой сетью. Он также преобразует зарегистрированные глобальные IP-адреса обратно в незарегистрированные локальные IP-адреса при отправке информации во внутреннюю сеть.

Внутренняя сеть обычно представляет собой локальную сеть (LAN), обычно называемую доменом-заглушкой. Домен-заглушка — это локальная сеть, которая использует внутренние IP-адреса. Большая часть сетевого трафика в домене-заглушке является локальной, поэтому он не выходит за пределы внутренней сети. Домен-заглушка может включать как зарегистрированные, так и незарегистрированные IP-адреса. Разумеется, любые компьютеры, использующие незарегистрированные IP-адреса, должны использовать преобразование сетевых адресов для связи с остальным миром.

В следующем разделе мы рассмотрим различные способы настройки NAT.

Выражаем особую благодарность Cisco за поддержку при создании этой статьи.

IP-адреса имеют разные обозначения в зависимости от того, находятся ли они в частной сети (домен-заглушка) или в общедоступной сети (Интернет), а также от того, является ли трафик входящим или исходящим.

NAT можно настроить различными способами. В приведенном ниже примере маршрутизатор NAT настроен на преобразование незарегистрированных (внутренних, локальных) IP-адресов, находящихся в частной (внутренней) сети, в зарегистрированные IP-адреса. Это происходит всякий раз, когда внутреннему устройству с незарегистрированным адресом необходимо установить связь с общедоступной (внешней) сетью.

  • Интернет-провайдер назначает вашей компании диапазон IP-адресов. Назначенный блок адресов регистрируется уникальными IP-адресами и вызывается внутри глобальных адресов. Незарегистрированные частные IP-адреса делятся на две группы.Одна — это небольшая группа (внешних локальных адресов), которая будет использоваться маршрутизаторами NAT. Другая, гораздо большая группа, известная как внутренние локальные адреса, будет использоваться в домене-заглушке. Внешние локальные адреса используются для преобразования уникальных IP-адресов, известных как внешние глобальные адреса, устройств в общедоступной сети.
  • Большинство компьютеров в домене-заглушке взаимодействуют друг с другом, используя внутренние локальные адреса.
  • Некоторые компьютеры в тупиковом домене активно обмениваются данными за пределами сети. Эти компьютеры имеют внутренние глобальные адреса, что означает, что они не требуют преобразования.
  • Когда компьютер в тупиковом домене, имеющий внутренний локальный адрес, хочет установить связь за пределами сети, пакет отправляется на один из маршрутизаторов NAT.
  • Маршрутизатор NAT проверяет таблицу маршрутизации на наличие записи для адреса назначения. Если это так, маршрутизатор NAT преобразует пакет и создает для него запись в таблице преобразования адресов. Если адрес назначения отсутствует в таблице маршрутизации, пакет отбрасывается.
  • Используя внутренний глобальный адрес, маршрутизатор отправляет пакет по назначению.
  • Компьютер в общедоступной сети отправляет пакет в частную сеть. Адрес источника в пакете является внешним глобальным адресом. Адрес назначения является внутренним глобальным адресом.
  • Маршрутизатор NAT просматривает таблицу преобразования адресов и определяет, что в ней указан адрес назначения, сопоставленный с компьютером в домене-заглушке.
  • Маршрутизатор NAT преобразует внутренний глобальный адрес пакета во внутренний локальный адрес и отправляет его на компьютер назначения.

Перегрузка NAT использует функцию стека протоколов TCP/IP, мультиплексирование, которое позволяет компьютеру поддерживать несколько одновременных подключений к удаленному компьютеру (или компьютерам), используя разные порты TCP или UDP. IP-пакет имеет заголовок, содержащий следующую информацию:

  • Исходный адрес – IP-адрес исходного компьютера, например 201.3.83.132.
  • Исходный порт – номер порта TCP или UDP, назначенный исходным компьютером для этого пакета, например, порт 1080.
  • Адрес назначения – IP-адрес принимающего компьютера, например 145.51.18.223.
  • Порт назначения – номер порта TCP или UDP, который исходный компьютер запрашивает у принимающего компьютера, например, порт 3021.

Адреса указывают две машины на каждом конце, а номера портов гарантируют, что соединение между двумя компьютерами имеет уникальный идентификатор. Комбинация этих четырех чисел определяет одно соединение TCP/IP. Каждый номер порта использует 16 бит, что означает, что возможно 65 536 (2 16 ) значений. На самом деле, поскольку разные производители отображают порты немного по-разному, можно ожидать, что будет доступно около 4000 портов.

Динамический NAT и перегрузка

Вот как работает динамический NAT:

  • Внутренняя сеть (домен-заглушка) была настроена с IP-адресами, которые не были специально выделены этой компании IANA (Администрацией по присвоению номеров в Интернете), глобальным органом, который выдает IP-адреса. Эти адреса следует считать немаршрутизируемыми, поскольку они не уникальны.
  • Компания устанавливает маршрутизатор с поддержкой NAT. Маршрутизатор имеет ряд уникальных IP-адресов, предоставленных компании IANA.
  • Компьютер в домене-заглушке пытается подключиться к компьютеру за пределами сети, например к веб-серверу.
  • Маршрутизатор получает пакет от компьютера в тупиковом домене.
  • Маршрутизатор сохраняет немаршрутизируемый IP-адрес компьютера в таблице преобразования адресов. Маршрутизатор заменяет немаршрутизируемый IP-адрес отправляющего компьютера первым доступным IP-адресом из диапазона уникальных IP-адресов. В таблице преобразования теперь есть сопоставление немаршрутизируемого IP-адреса компьютера с одним из уникальных IP-адресов.
  • Когда пакет возвращается с компьютера назначения, маршрутизатор проверяет адрес назначения в пакете. Затем он просматривает таблицу преобразования адресов, чтобы увидеть, какому компьютеру в домене-заглушке принадлежит пакет. Он изменяет адрес назначения на адрес, сохраненный в таблице преобразования адресов, и отправляет его на этот компьютер. Если он не находит совпадения в таблице, он отбрасывает пакет.
  • Компьютер получает пакет от маршрутизатора. Процесс повторяется до тех пор, пока компьютер обменивается данными с внешней системой.

Вот как работает перегрузка:

  • Внутренняя сеть (домен-заглушка) настроена с немаршрутизируемыми IP-адресами, которые не были специально выделены этой компании IANA.
  • Компания устанавливает маршрутизатор с поддержкой NAT. Маршрутизатор имеет уникальный IP-адрес, присвоенный компании IANA.
  • Компьютер в домене-заглушке пытается подключиться к компьютеру за пределами сети, например к веб-серверу.
  • Маршрутизатор получает пакет от компьютера в тупиковом домене.
  • Маршрутизатор сохраняет немаршрутизируемый IP-адрес и номер порта компьютера в таблицу преобразования адресов. Маршрутизатор заменяет немаршрутизируемый IP-адрес отправляющего компьютера на IP-адрес маршрутизатора. Маршрутизатор заменяет исходный порт отправляющего компьютера номером порта, который соответствует месту, где маршрутизатор сохранил информацию об адресе отправляющего компьютера в таблице преобразования адресов. В таблице преобразования теперь есть сопоставление немаршрутизируемого IP-адреса компьютера и номера порта, а также IP-адреса маршрутизатора.
  • Когда пакет возвращается с компьютера назначения, маршрутизатор проверяет порт назначения в пакете. Затем он просматривает таблицу преобразования адресов, чтобы увидеть, какому компьютеру в домене-заглушке принадлежит пакет. Он изменяет адрес назначения и порт назначения на те, которые сохранены в таблице преобразования адресов, и отправляет их на этот компьютер.
  • Компьютер получает пакет от маршрутизатора. Процесс повторяется до тех пор, пока компьютер обменивается данными с внешней системой.
  • Поскольку маршрутизатор NAT теперь имеет исходный адрес компьютера и исходный порт, сохраненные в таблице преобразования адресов, он будет продолжать использовать тот же номер порта на протяжении всего соединения. Таймер сбрасывается каждый раз, когда маршрутизатор обращается к записи в таблице. Если к записи не обращаются снова до истечения таймера, запись удаляется из таблицы.

В следующем разделе мы рассмотрим организацию доменов-заглушек.

См. ниже, чтобы увидеть, как компьютеры в домене-заглушке могут отображаться во внешних сетях.

Исходный компьютер A

IP-адрес: 192.168.32.10

Порт компьютера: 400

IP-адрес маршрутизатора NAT: 215.37.32.203

Номер порта, назначенный маршрутизатору NAT: 1

Исходный компьютер B

IP-адрес: 192.168.32.13

Порт компьютера: 50

IP-адрес маршрутизатора NAT: 215.37.32.203

Номер порта, назначенный маршрутизатору NAT: 2

Исходный компьютер C

IP-адрес: 192.168.32.15

Порт компьютера: 3750

IP-адрес маршрутизатора NAT: 215.37.32.203

Номер порта, назначенный маршрутизатору NAT: 3

Исходный компьютер D

IP-адрес: 192.168.32.18

Порт компьютера: 206

IP-адрес маршрутизатора NAT: 215.37.32.203

Номер порта, назначенный маршрутизатору NAT: 4

Как видите, маршрутизатор NAT хранит IP-адрес и номер порта каждого компьютера. Затем он заменяет IP-адрес собственным зарегистрированным IP-адресом и номером порта, соответствующим местоположению в таблице записи для исходного компьютера этого пакета. Таким образом, любая внешняя сеть видит IP-адрес маршрутизатора NAT и номер порта, назначенный маршрутизатором, в качестве информации об исходном компьютере для каждого пакета.

У вас все еще может быть несколько компьютеров в тупиковом домене, использующих выделенные IP-адреса. Вы можете создать список доступа IP-адресов, который сообщает маршрутизатору, какие компьютеры в сети требуют NAT. Все остальные IP-адреса будут проходить без перевода.

Количество одновременных трансляций, поддерживаемых маршрутизатором, в основном определяется объемом имеющейся у него DRAM (динамической памяти с произвольным доступом). Но поскольку типичная запись в таблице преобразования адресов занимает всего около 160 байт, маршрутизатор с 4 МБ DRAM теоретически может обрабатывать 26 214 одновременных преобразований, что более чем достаточно для большинства приложений.

IANA выделила определенные диапазоны IP-адресов для использования в качестве немаршрутизируемых внутренних сетевых адресов. Эти адреса считаются незарегистрированными (дополнительную информацию см. в RFC 1918: Распределение адресов для частных интернетов, в котором определяются эти диапазоны адресов). Ни одна компания или агентство не может претендовать на владение незарегистрированными адресами или использовать их на общедоступных компьютерах. Маршрутизаторы предназначены для отбрасывания (вместо пересылки) незарегистрированных адресов. Это означает, что пакет от компьютера с незарегистрированным адресом может достичь зарегистрированного конечного компьютера, но ответ будет отклонен первым маршрутизатором, на который он пришел.

Существует диапазон для каждого из трех классов IP-адресов, используемых для работы в сети:

  • Диапазон 1: класс A — от 10.0.0.0 до 10.255.255.255
  • Диапазон 2: класс B — от 172.16.0.0 до 172.31.255.255
  • Диапазон 3: класс C — от 192.168.0.0 до 192.168.255.255

Хотя каждый диапазон относится к другому классу, вам не обязательно использовать какой-либо конкретный диапазон для внутренней сети. Однако это хорошая практика, поскольку она значительно снижает вероятность конфликта IP-адресов.

В первую очередь NAT был представлен миру ИТ и сетей из-за отсутствия IP-адресов или взгляда на него с другой точки зрения из-за огромного количества растущих ИТ-технологий, основанных на IP-адресах.Кроме того, NAT добавляет уровень безопасности, скрывая компьютеры, серверы и другое ИТ-оборудование от внешнего мира.

Как работает NAT

Когда компьютеры и серверы в сети взаимодействуют друг с другом, они должны быть идентифицированы друг с другом по уникальному адресу, в результате чего создается 32-битное число, а комбинации этих 32-бит могут вмещать более 4 миллиардов уникальные адреса, известные как IP-адреса. Это было названо IPv4, и хотя более 4 миллиардов адресов звучит много, на самом деле это не учитывает того, как быстро вырос мир компьютеров и Интернета.

Чтобы обойти эту проблему, было создано временное решение, известное как NAT. NAT привел к двум типам IP-адресов: общедоступным и частным. Был введен ряд частных адресов, которые мог использовать любой, при условии, что они оставались частными в сети и не направлялись в Интернет. Диапазон частных адресов, известный как RFC 1918:

Класс А 10.0.0.0–10.255.255.255

Класс B 172.16.0.0–172.31.255.255

Класс C 192.168.0.0–192.168.255.255

NAT позволяет использовать эти частные IP-адреса во внутренней сети. Таким образом, в вашей частной сети вы назначите уникальный IP-адрес всем своим компьютерам, серверам и другим ресурсам, управляемым IP, обычно через DHCP. Другая компания также может использовать те же частные IP-адреса, если они хранятся внутри их сети. Таким образом, две компании могут использовать один и тот же диапазон IP-адресов, но поскольку они являются частными для своей сети, они не конфликтуют друг с другом.

Однако, когда внутренним хостам необходимо обмениваться данными с общедоступной сетью (Интернетом), тогда в уравнение вступает общедоступный адрес. Этот адрес, обычно приобретаемый у интернет-провайдера, является маршрутизируемым общедоступным адресом, который может видеть каждый, и он будет представлять ваш сетевой шлюз. Этот публичный адрес будет уникальным, никто другой не будет использовать этот адрес.

Теперь переходим к делу. Когда хосту во внутренней сети с внутренним IP-адресом необходимо общаться за пределами своей частной сети, он будет использовать общедоступный IP-адрес на сетевом шлюзе, чтобы идентифицировать себя для остального мира, и этот перевод преобразования частного IP-адреса обращение к публике осуществляется через NAT. Например, компьютер с внутренним адресом 192.168.1.10 хотел связаться с веб-сервером где-то в Интернете, NAT преобразовал бы адрес 192.168.1.10 в общедоступный адрес компании, например, назовем его 1.1.1.1. так что внутренний адрес идентифицируется как публичный адрес при общении с внешним миром. Это необходимо сделать, потому что когда веб-сервер где-то в Интернете должен был ответить этому внутреннему компьютеру, он должен отправить это на уникальный и маршрутизируемый адрес в Интернете, общедоступный адрес. Он не может использовать исходный адрес 192.168.1.10, так как он является частным, не маршрутизируемым и скрытым от внешнего мира. Этот адрес 1.1.1.1 будет адресом публичного адреса этой компании и будет виден всем. Теперь веб-сервер будет отвечать на этот публичный адрес 1.1.1.1. Затем NAT будет использовать свои записи для преобразования пакетов, полученных от веб-сервера, предназначенного для 1.1.1.1, обратно во внутренний сетевой адрес 192.168.1.10, и хотя компьютер, запросивший исходную информацию, получит запрошенные пакеты.< /p>

Теперь вы можете увидеть два преимущества NAT. Во-первых, это сэкономило бы на используемых нами IP-адресах, так как каждому отдельному компьютеру не нужен публичный адрес, а также скрыло бы эти частные компьютеры от внешнего мира. Все могут видеть только публичный адрес, остальное скрыто за этим публичным адресом. Таким образом, из Интернета виден только публичный адрес на внешнем интерфейсе брандмауэра или маршрутизатора и ничего за его пределами.

Типы NAT

Сегодня используются три основных типа правил NAT в зависимости от того, что необходимо выполнить;

Статический NAT

Устройству NAT назначается пул общедоступных IP-адресов. Затем частный IP-адрес может быть статически сопоставлен с любым из этих общедоступных адресов. Этот тип схемы NATTING обычно используется для серверов, которым всегда требуется один и тот же IP-адрес, отсюда и название «статический», поэтому серверу 1 всегда будет назначен один и тот же IP-адрес, а серверу 2 будет назначен другой общедоступный IP-адрес. и так далее.

Динамический NAT

Снова устройство NAT будет состоять из пула IP-адресов. На этот раз пул IP-адресов будет использоваться по мере необходимости, а затем возвращаться в пул. Таким образом, если компьютеру А нужен публичный адрес, он возьмет его из пула, а затем вернет обратно. В следующий раз, когда тому же компьютеру потребуется IP-адрес, ему может быть назначен другой общедоступный адрес из пула, потому что тот, который использовался ранее, может использоваться другим компьютером, отсюда и название «динамический».Таким образом, пользователи, которые хотят общаться в Интернете в любое время, будут ограничены количеством общедоступных IP-адресов, доступных в пуле NAT. Компания может приобрести несколько общедоступных IP-адресов в зависимости от своих потребностей.

Преобразование адресов портов (PAT)

Используя этот метод, компания сэкономит разумную сумму денег и IP-адресов, поскольку она использует только один IP-адрес. Это было основной причиной того, почему IPv6 упоминается уже несколько лет, но до сих пор не требуется в большинстве стран.

NAT также реализован в домашних маршрутизаторах и аппаратных брандмауэрах, таких как Netgear и Linksys, а также в высокотехнологичных аппаратных брандмауэрах, таких как Cisco и Juniper.

Это оказалось ценной функцией аппаратных брандмауэров для сохранения общедоступных IP-адресов, а также контрмерой для некоторых типов атак, таких как разведывательная атака.

Недостатки NAT

Как и везде, у NAT есть свои недостатки. Некоторые приложения и службы, такие как VPN и видеоконференции, плохо обрабатываются через NAT (не совсем так, поскольку в большинстве случаев вы можете настроить их для работы с NAT, но можете немного запутаться при настройке правил в приложениях, маршрутизаторах и т. д.). брандмауэры).

Однако, чтобы обойти указанную выше проблему, для этих выделенных служб можно приобрести несколько дополнительных общедоступных IP-адресов. Однако в долгосрочной перспективе IPv6 уже внедряется в некоторых технологиях и в некоторых частях мира. Эта схема адресации использует 128-битную схему нумерации, в отличие от 32-битной схемы IPv4, используемой для адресов. IPv6 поддерживает 2 адреса в степени 128, по сравнению с IPv4 2 в степени 32, сейчас это огромное увеличение IP-адресов, хотя в будущем это подтверждает рост IP-адресации с использованием IPv6.

Читайте также: