NAT - kio estas tio? NAT Agordi

Reto Adreso Tradukado (NAT) estas metodo de reordenamiento unu spaco al alia ŝanĝante la informo reto adreson en la IP (Interreto Protocol). Tio estas, la paketon titolaj estas ŝanĝitaj en la momento kiam ili estas en transito tra la enrutamiento aparato. Ĉi tiu metodo estis origine uzita por redirekti trafikon simpleco en IP-retoj, ĉiu gastiganto sen renumerado. Li iĝis populara kaj grava ilo por la konservado kaj dissendo de la tutmonda adreson spaco en la kondiĉoj de malabundeco de direktoj IPv4.

NAT - kio estas tio?

La origina uzo de reto tradukado estas mapi ĉiun adreson de unu adreson spaco al respondan adreson en la alia spaco. Ekzemple, ĝi estas necesa se la Interreto servo provizanto ŝanĝiĝis, kaj la uzanto ne povas publike anonci novan itineron al la reto. Sub la kondiĉoj antaŭvideblaj tutmonda elĉerpiĝo IP-adreson spaco NAT teknologio ĉiam pli uzita ekde la malfruaj 1990-aj jaroj kune kun la IP-ĉifrado (kiu estas la metodo de transporto pluraj IP-adresoj samtempe spacon). Tiu mekanismo estas implementado en enrutamiento aparato kiu uzas traduko tabloj stateful montri "kaŝita" adresojn al unu IP-adreso, kaj plusendas la eksiĝinta IP-pakoj al la eliro. Tiel, ili estas montrita venante el la enrutamiento aparato. En reverso komunikado kanalo respondojn estas montrata en la fonto IP-adreson uzante la regulojn stokita en la tradukado tabloj. Reguloj traduko tablo, siavice, ĝi liberigis post mallonga periodo, se la nova trafiko ne ĝisdatigi lian staton. Tiu estas la baza mekanismo de NAT. Ĝi signifas?

Tiu metodo permesas al vi komuniki tra la router nur kiam ligo estas farita al ĉifrita reto, kiel ĝi kreas traduko tablo. Ekzemple, retumilo ene de la reto povas foliumi la retejo eksterlande, sed, se ne instalita ekstere, ĝi ne povas malfermi rimedo, poziciigita sur ĝi. Tamen, plej NAT aparatoj hodiaŭ permesas reto administranto agordi traduka tablo eniron por permanenta uzo. Tiu trajto estas ofte nomata kiel senmova NAT aŭ haveno forwarding, kaj ĝi permesas la trafikon procedente de la "eksteren" reto por atingi la celon gastiganto en ĉifrita reto.

Pro la populareco de ĉi tiu metodo estas uzata por konservi la direktoj IPv4 spaco, la NAT termino (tio estas, kion fakte - supre), ĝi iĝis preskaŭ sinonimo de la ĉifrada metodo.

Ĉar NAT ŝanĝas la adreso informo de la IP-paketon, ĝi havas gravajn implicojn por la kvalito de rilato al internet kaj postulas proksiman atenton al detaloj de ĝia efektivigo.

Metodoj de Uzante NAT diferencas inter si en sia aparta konduto en malsamaj kazoj implikantaj efikon sur reto trafiko.

bazaj NAT

La plej simpla tipo de Reto Adreso Tradukado (NAT) provizas gisis la IP-adresojn de "unu-al-unu." RFC 2663 estas la ĉefa tipo de la elsendo. En ĉi tiu tipo de ŝanĝo nur la IP-adreso kaj checksum IP-titolo. La ĉefaj tipoj de tradukado povas esti uzata por konekti la du IP-retoj kiuj estas nekongrua traktado.

NAT - estas ke konektanta "unu-al-multaj"?

Plej varioj de NAT povas mapi multoblajn privatajn armeojn al ununura publike designado IP-adreso. En tipa agordo, loka reto uzas unu el la designados «privata» IP-subreto adresoj (RFC 1918). La router sur tiu reto havas privatan adreson en tiu spaco.

La router ankaŭ konektas al la Interreto uzante "publika" adresoj atribuita de via ISP. Kiel trafiko pasas de la loka reto al interreto adreson de la fonto de ĉiu pako tradukita al la flugo de la privata adresojn al la publiko. La router spuras bazaj datumoj pri ĉiu aktiva ligo (precipe la de destino kaj haveno). Kiam la respondo venas reen al li, li uzas la rilaton de datumoj kiu estas stokita dum la outbound fazo por determini la privata adreso de la interna reto al kiu sendi la respondon.

Avantaĝo de ĉi tiu funcionalidad estas kiu utilu kiel praktika solvo por la tuja elĉerpiĝo de direktoj IPv4 spaco. Eĉ grandaj retoj povas esti konektita al la Interreto tra tiu IP-adreso.

Ĉiuj datagrama pakoj al IP-bazita retoj havas 2 IP-adreso - la fonto kaj destino. Tipe, pakaĵoj pasante de la privata reto al la publika reto, havos la fonto adreso de pakaĵoj, ŝanĝante dum la transiro de publika reto al privata dorso. Pli kompleksaj konfiguracioj ankaŭ estas eblaj.

trajtoj

NAT funkcio povas havi iun specialan trajtoj. Por eviti la malfacilaĵojn estas kiel traduki la reiris pakaĵoj postulas ilia plua modifoj. La granda plimulto de Interreto trafiko iras tra la protokoloj TCP kaj UDP, kaj haveno nombroj estas ŝanĝita tiel ke la kombino de IP-adreso kaj haveno nombro en la inversa direkto komencas esti mapita datumoj.

Protokoloj kiuj ne surbaze TCP aŭ UDP, postulas malsamajn metodojn de tradukado. Kontrolo Mesaĝo Protokolo Interreto (ICMP), kiel regulo, korelacias la datumoj transdonitaj kun ekzistantan rilaton. Tio signifas, ke ili estos montrataj uzante la saman IP-adreson kaj nombro metita komence.

Kion mi opinias?

Agordi NAT sur la enkursigilo ne donas al li la eblecon de konektoj "de pinto al pinto." Sekve, ĉi tiuj routers ne povas partopreni en iuj Interreto protokoloj. Servoj kiuj postulas la iniciación de TCP-rilatojn de la ekstera reto aŭ uzantoj sen protokoloj povas esti disponebla. Se la NAT enkursigilo ne faras tre penado por subteni tian protokolojn, alvenanta pakaĵoj ne atingis la celon. Kelkaj protokoloj povas akomodi unu traduko inter partoprenantaj gastigantoj ( "pasiva maniero» FTP, ekzemple), foje kun helpo de aplikaĵo pordo, sed la ligo estas establita kiam ambaŭ sistemoj estas disigita de la Interreto uzante NAT. Uzante NAT ankaŭ komplikas tia "tunelado" protokoloj, kiel la IPsec, ĉar ĝi ŝanĝas la valorojn en la kaplinio, kiu interagas kun la revizio peto integrecon.

La aktuala problemo

Kombinaĵo "kordon" estas la baza principo de la Interreto, ekzistanta ekde sia evoluo. La aktuala stato de la reto montras ke NAT estas malobservo de ĉi tiu principo. Specialistoj ekzistas seriozaj koncernoj pri la ĝeneraligita uzo de IPv6-en reto tradukado, kaj ĝi proponas la problemon de kiel efike elimini ĝin.

Pro la efemera naturo de tabloj stateful elsendita NAT routers, la internaj mekanismoj de reto perdas IP-konekton, kiel regulo, ene de tre mallonga periodo de tempo. Krom la fakto, ke tia NAT en la router, Vi povas forgesi tiun fakton. Ĉi serioze reduktas la mastruma tempo de kompaktaj mekanismoj kiuj operacias en piloj kaj akumulatoroj.

escalabilidad

Krome, uzinte NAT spuritaj nur havenoj kiu povas rapide forkonsumita internaj aplikoj uzanta multoblajn samtempaj rilatoj (ekzemple, la HTTP-petoj por retpaĝoj kun granda nombro de enkorpigitaj objektoj). Ĉi tiu problemo povas esti mildigita por monitoranta la celloko IP-adreson aldone al haveno (tiel oni loka haveno estas dividita pli fora gastigantoj).

iuj malfacilaĵoj

Pro tio ke ĉiuj internaj adresoj alivestis kiel publiko, eksteraj gastigantoj iĝas neebla por komenci rilaton al specifa interna nodo sen speciala agordo en la firewall (kiu estas al redirekti la ligon al specifa haveno). Aplikoj kiel ekzemple IP-telefonía, videoconferencia, kaj ĉi tiuj servoj devas uzi NAT traversal teknikojn funkcii kutime.

Reiru adreso kaj haveno traduko (streĉita) permesas la gastiganto, la reala IP-adreso de kiu varias de tempo al tempo, resti haveblaj kiel servilo kun fiksa IP-adreso de la hejmo reto. En komenco, ĝi devas permesi al la alĝustigo de serviloj por subteni la rilaton. Malgraŭ tio, ke tiu ne estas perfekta solvo la problemo, tio povus esti alia utila ilo en la arsenalo de la reto administranto por solvi la problemon, kiel konfiguri NAT en la router.

Port Adreso Tradukado (PAT)

Cisco plene de efektivigo estas Port Adreso Tradukado (PAT), kiu montras plurajn privatajn IP-adreson kiel unu el la publiko. Multnombraj adresoj povas esti montrata kiel adreso, ĉar ĉiu el ili estas monitoritaj fare de la haveno nombro. PAT uzas unika fonto haveno nombroj interne tutmonda IP, distingi la direkton de transporto de datumoj. Ĉi tiuj nombroj estas 16-bita entjeroj. Tuta interna adresoj kiu povas esti tradukata en la ekstera, povas teorie atingi 65536. La efektiva nombro de havenoj al kiu sola IP-adreso povas esti atribuitaj, estas proksimume 4000. Tipe, PAT provas savi la fonto haveno "originala". Se ĝi jam estas uzata, Port Adreso Tradukado atribuas la unuan disponebla haveno nombro ekde la komenco de la respektivaj grupoj - 0-511, 512-1023, aŭ 1024-65535. Kiam estas ne pli disponeblaj havenoj kaj ekzistas pli ol unu eksteran IP-adreson, la PAT moviĝas al la sekva por provi identigi la fonton haveno. Tiu procezo daŭras ĝis estas ne pli datumoj havebla.

Montras adresoj kaj haveno Cisco implementado servo kiu kombinas la haveno tradukado datumoj tunelado IPv6 pakaĵoj super IPv4 intrareto. Fakte, neformala alternativo CarrierGrade NAT kaj DS-Lite, kiu subtenas IP-adreson traduko / haveno (kaj, sekve, ĝi apogis la NAT opcio). Tiel, ĝi evitas problemojn en la instalado kaj bontenado de la ligo, kaj ankaŭ provizas transiro mekanismo por IPv6 deplojo.

traduko metodoj

Estas pluraj manieroj por apliki la traduko de la reto adreso kaj haveno. En iuj aplikoj, la protokoloj aplikoj uzi por labori kun IP-adresojn, operaciante en ĉifrita reto, vi devas difini la eksteraj Adreso NAT (kiu estas uzata en la alia fino de la ligo), kaj, cetere, estas ofte necesaj por studi kaj klasifiki la tipon de transdono. Kutime ĉi tiu estas farita ĉar ĝi estas dezirinda por establi rektan konekton kanalon (aŭ savi seninterrompa transdono de datumoj tra la servilo aŭ plibonigi rendimenton) inter la du klientoj, kiuj ambaŭ estas de individuaj NAT.

Por tiu celo, (kiel agordi NAT) en 2003 evoluigis specialan protokolon RFC 3489 Simpla traversal de UDP provizas tra Nats. Hodiaŭ estas malaktuala, ĉar ĉi tiuj metodoj nuntempe estas nesufiĉaj por konvene taksi la laboron de multaj aparatoj. Novaj metodoj estis normigita en la RFC 5389 protokolon, kiu estis evoluigita en oktobro 2008. Ĉi tiu especificación estas nun konata kiel SessionTraversal kaj estas utileco por la NAT.

Krei dudirekta komunikado

Ĉiu pakaĵo enhavas TCP kaj UDP IP-fonto adreso kaj haveno nombro, kaj ankaŭ la koordinatojn de la destino haveno.

Por tiaj publikaj servoj kiel funkcia retpoŝta serviloj, la haveno nombro estas grava. Ekzemple, haveno 80 estas konektita al la programaro, retservilo, kaj 25 - al la SMTP poŝto servilo. la servilo de publika IP-adreso estas ankaŭ esenca, kiel poŝtadreso aŭ telefonnumero. Ambaŭ de ĉi tiuj parametroj devas esti aŭtentike konata al ĉiuj nodoj kiuj tuj konekti.

Privata IP-adresoj havas signifon nur en lokaj retoj, kie ili estas uzataj, kaj ankaŭ gastiganto havenoj. Havenoj estas unika fino punkto ligon sur la gastiganto, do la ligo tra NAT subtenata de la kombinitaj haveno mapado kaj IP-adresoj.

PAT (Port AddressTranslation) solvas konfliktojn kiuj povas ekesti inter du malsamaj gastigantoj uzas la saman fonton haveno nombro establi unika ligojn samtempe.