network address translation tutorial with examples
Що таке переклад мережевих адрес (NAT):
У цьому Відверта серія навчальних підручників з мереж , ми дослідили Відмінності між модемом та маршрутизатором докладно в нашому попередньому підручнику.
У цьому підручнику ми дослідимо концепцію перекладу мережевих адрес (NAT), проаналізувавши необхідність її введення, переваги, типи та методи реалізації.
У системі комп’ютерних мереж NAT вводиться як методологія порятунку, коли адресний простір IPv4 вичерпується.
Що ви дізнаєтесь:
Що таке NAT?
NAT - це процес перепризначення одного простору IP-адрес на наступний, шляхом зміни даних мережевої адреси в заголовку IP пакета даних, коли вони рухаються по мережі до вузла призначення.
Як правило, NAT працює на маршрутизаторі або шлюзі і з'єднує дві мережі між собою, перекладаючи приватні адреси в зареєстровані адреси перед передачею даних в іншу мережу.
програми інтерв’ю Java та відповіді для досвідчених
NAT має потенціал для трансляції лише однієї IP-адреси у загальнодоступну мережу від імені всієї внутрішньої мережі. Це забезпечує функцію безпеки, ефективно приховуючи загальну IP-адресу приватної мережі за цією окремою адресою.
Таким чином, NAT надає подвійну особливість перекладу адрес та безпеки мережевих систем.
Чому NAT?
У будь-якій мережевій системі для зв’язку між ПК та веб-серверами через Інтернет ми кожного разу вимагаємо унікальну IP-адресу, яка є 32-розрядним номером, що використовується для пошуку ПК або мережевого пристрою, до якого потрібно зачепити в мережі.
В останні десятиліття, коли ми використовували схему адресації IPV4, існувало 2 ^ 32, тобто 4,3 мільярда унікальних адрес могли бути призначені пристроям для комунікаційних цілей. Але фактично доступні адреси були меншими за це, оскільки деякі були виключені, оскільки використовувались для трансляції, тестування та деяких зарезервованих військових цілей.
Тому залишкові адреси були десь близько 3,2 мільярда. Здається, це величезна кількість, але завдяки збільшенню використання Інтернету у всіх сферах, таких як домашні мережі, комерційні цілі, перегляд онлайн-відео; обмін даними тощо, адреси були майже вичерпані.
Рішення цього обмеження схеми адресації IPV4 полягає у відтворенні системи адресації, щоб було більше можливостей розподілу адрес. Це можна зробити, запровадивши схему адресації IPV6.
Але процес впровадження цього зайняв кілька років, оскільки це вимагає змін у загальній інфраструктурі мережевої системи.
Тим часом, NAT впроваджується і широко розгортається скрізь, що дозволяє мережевому пристрою, такому як маршрутизатор, поводитися як агент між Інтернетом та приватною мережею. Це означає, що унікальна IP-адреса може бути використана для символізації загального класу мережевих пристроїв, таких як ПК.
Типи NAT
# 1) Статичний NAT : Він також відомий як NAT до одного. У цьому типі NAT серед загальної мережевої адреси змінюються лише IP-адреси та контрольна сума заголовка. Вони реалізовані для взаємозв'язку двох відмінних IP-мереж, що мають несумісну адресацію.
[ зображення джерело ]
# 2) Динамічний NAT : У цьому типі NAT відображення IP-адресів з незареєстрованої приватної мережі здійснюється з однією IP-адресою зареєстрованої мережі з класу зареєстрованих IP-адрес.
# 3) Перевантаження NAT : Це також тип динамічного NAT, який також називають NAT-to-to-many.
У цьому типі NAT пакети, що переміщуються в мережі з приватної мережі в загальнодоступну мережу, означають, що Інтернет буде змінювати адресу джерела пакета даних і коли пакети повертаються назад із загальнодоступної мережі в приватну мережу вони матимуть зміни в IP-адресах призначення.
На додаток до джерела або пункту призначення, IP-адреси пакетів мають модифіковані або різні номери портів з кожним пакетом даних, щоб уникнути будь-якої невизначеності в перекладі. Таким чином, ця комбінація номера порту та модифікованої IP-адреси відображається із зареєстрованою приватною мережевою IP-адресою.
# 4) Перекриття NAT: Іноді в мережевій системі зареєстровані IP-адреси, що використовуються внутрішньою мережею, також використовуються іншою мережею та є зареєстрованими IP-адресами цієї мережі.
Отже, у цьому випадку маршрутизатор зберігає таблицю пошуку під собою, щоб він міг фіксувати такі випадки та міг обмінюватись ними з унікальними зареєстрованими IP-адресами.
Маршрутизатор NAT перекладає IP-адреси як для внутрішньої, так і для зовнішньої зареєстрованої IP-адреси для приватної мережі.
Як працює NAT?
Перш ніж пройти роботу, давайте розберемося з деякою термінологією, яка використовується в NAT:
- Всередині місцевої адреси : Це приватна IP-адреса приватної мережі.
- Всередині глобальної адреси : Це зареєстрована загальнодоступна IP-адреса, призначена хосту приватної мережі, коли він ініціює зв'язок із зовнішньою мережею.
- Зовнішня глобальна адреса : Це зареєстрована IP-адреса, призначена хосту в Інтернеті.
- Зовнішня місцева адреса : Це локальна IP-адреса, призначена хосту у відкритому доступі.
- Адреса, яка використовується внутрішніми мережевими пристроями для внутрішнього зв'язку між собою, відома як внутрішня локальна адреса.
- Адреса, яка використовується пристроями у внутрішній мережі для зв'язку із зовнішніми мережевими пристроями, відома як зовнішня локальна адреса.
- Адреса, яка використовується зовнішніми мережевими пристроями для зв'язку з пристроями в приватній мережі, є внутрішньою глобальною адресою.
- Адреса, що використовується зовнішніми пристроями для зв’язку між собою, знаходиться поза глобальною адресою.
- Щоразу, коли будь-яка організація будує мережеву систему, постачальник послуг Інтернету призначає їм пул IP-адрес. Призначений діапазон адрес включає зареєстровані та унікальні IP-адреси, які відомі як внутрішні глобальні адреси.
- Незареєстрований клас приватних IP-адрес складається із зовнішніх локальних адрес, які розгортаються маршрутизаторами NAT, і всередині локальних адрес, які використовуються локальною мережею, також відомою як домен заглушки.
- Зовнішня локальна адреса використовується для перекладу унікальних IP-адрес мережевих пристроїв для загальнодоступної мережі.
- Більшість мережевих пристроїв у мережі LAN використовує внутрішні адреси для зв'язку між ними та, як правило, не вимагає перекладу. Тепер, коли будь-якому пристрою в домені заглушки потрібно взаємодіяти з іншою мережею, пакет буде проходити через маршрутизатор NAT.
- Тепер маршрутизатор NAT буде шукати таблицю маршрутизації, щоб з’ясувати, чи має він адресу для адреси призначення чи ні. Якщо так, тоді він перекладає пакет і робить для нього запис у таблиці перекладу адрес. Якщо адреси не знайдено, тоді пакет відхиляється.
- Використовуючи внутрішню глобальну адресу, маршрутизатор направляє пакет даних до місця призначення.
- Тепер кінцевий хост, як ПК у загальнодоступній мережі, пересилає пакет даних у приватну мережу. Цього разу вихідна адреса знаходиться поза глобальною адресою, а адреса, що отримує, є типом внутрішньої глобальної адреси.
- Знову маршрутизатор NAT буде шукати в таблиці перекладів і виявляє, що адреса призначення знаходиться в таблиці чи ні, а потім планує IP до того домену-заглушки, до якого він належить.
- Здійснено переклад внутрішньої глобальної адреси пакета на внутрішню локальну адресу, і вона доставляється кінцевому хосту.
- Як уже зазначалося раніше, NAT використовує функцію протоколу TCP / IP використання пакета IP з портами TCP або UDP із зміненим полем заголовка IP для цілей перекладу.
Отже, заголовок IP-пакету буде містити наступні поля:
Адреса джерела - IP-адреса ініціюючого хост-ПК, наприклад 192.178.120.10
Порт джерела - Номер порту TCP або UDP, призначений ініціюючим ПК, як порт 1020
Адреса призначення - IP-адреса ПК-приймача, наприклад 172.145.57.20
Порт призначення - Порт TCP або UDP, який ініціюючий хост просив до хосту приймача відкрити, як 4281.
Розподіл номера порту необхідний, оскільки він гарантує, що кореляція між двома ПК має унікальний ідентифікатор.
Приклад NAT
У наведеному нижче прикладі внутрішній хост (172.168.20.10) хоче спілкуватися із зовнішнім світом, а адреса веб-сервера призначення - 192.100.20.2. Потім він надішле пакет даних на мережевий маршрутизатор шлюзу з підтримкою NAT для подальшого зв'язку.
Маршрутизатор шлюзу дізнається вихідну IP-адресу пакета і шукає в таблиці, чи відповідає пакет умові перекладу. Маршрутизатор шлюзу підтримує список контролю доступу (ACL), який визначає хости автентифікації для цілей внутрішньої мережі перекладу.
Таким чином, він переведе внутрішню локальну IP-адресу у внутрішню глобальну IP-адресу, яка тут є 192.100.10.25. Потім він збереже цей переклад у таблиці NAT, і маршрутизатор шлюзу направить пакет до місця призначення.
Коли веб-сервер Інтернету повернеться до запиту, пакет повернеться назад до глобальної IP-адреси 192.100.10.25 маршрутизатора.
Тепер маршрутизатор шлюзу знову буде шукати в таблиці NAT, щоб дізнатися перекладену IP-адресу, що відповідає глобальній адресі. Потім він переводить його на внутрішню локальну адресу, а потім пакет даних доставляється на хост за IP-адресою 172.168.20.10. Якщо збіг не знайдено в таблиці, тоді пакет відкидається.
Як NAT працює зображення:
Перевантаження NAT або переклад адреси порту
Це в основному використовується домашніми широкосмуговими маршрутизаторами для зіставлення незареєстрованої IP-адреси з приватної мережі на окремо зареєстровану IP-адресу у відкритому доступі.
Переклад адреси порту складає кілька незареєстрованих приватних IP-адрес у зареєстровану загальнодоступну одиночну IP-адресу, використовуючи різні порти. Щоб розрізнити різні переклади, зроблені в домашній мережі, PAT буде розміщувати ексклюзивні номери портів на внутрішніх глобальних IP-адресах.
Припустимо, для домашньої мережі, коли хост-ПК спробує отримати доступ до Інтернету, маршрутизатор NAT призначить номер порту своїй вихідній IP-адресі.
В одному випадку домашньої мережі, що використовує Інтернет, може бути більше одного ПК, таким чином PAT гарантує, що клієнтський ПК буде використовувати відмінний номер порту кожного разу, коли ініціює новий сеанс із сервером в Інтернеті.
Тепер у відповідь маршрутизатор направить пакет даних на основі номера вихідного порту, який тепер перетворено в номер порту призначення. Це все явище також забезпечує безпеку сеансу зв'язку, оскільки пакет повертається у відповідь на запит, піднятий клієнтом.
Таблиця перевантаження NAT
Всередині локальної IP-адреси | Всередині глобальної IP-адреси | Зовнішня глобальна IP-адреса | Зовнішня локальна IP-адреса |
---|---|---|---|
10.20.10.2: 1666 | 192.134.30.4: 1666 | 192.134.20.2:80 | 192.134.20.2:80 |
10.20.10.3:2444 | 192.134.30.4:2444 | 192.134.40.3:80 | 192.134.40.3:80 |
З наведеного вище малюнка показано, що перевантаження NAT використовує ексклюзивні номери вихідних портів на внутрішніх глобальних IP-адресах, щоб розрізняти переклади, оскільки номери портів 1666 та 2444 використовуються відповідно для виявлення пакету даних.
Тут вихідною адресою є внутрішня локальна IP-адреса, яка згадується в таблиці, а адреса призначення - зовнішня локальна IP-адреса з номером порту 80, оскільки вона отримує доступ до Інтернету через HTTP.
У кінці маршрутизатора NAT перевантаження NAT змінює адресу джерела на внутрішню глобальну IP-адресу, як показано в таблиці вище, і адреса призначення тепер відома як зовнішня глобальна IP-адреса.
Подвійний NAT
Double NAT - це ситуація, коли більше ніж один мережевий пристрій, такий як маршрутизатор у приватній мережі, виконує трансляцію мережевих адрес.
Найпростіший приклад - це коли DSL-модем і маршрутизатор Wi-Fi підключені до мережі з увімкненим NAT у кожному з них. Хост-пристрої, підключені до загальнодоступної мережі через маршрутизатор Wi-Fi.
У цьому випадку ПК не зможуть отримати доступ до Інтернету, оскільки маршрутизатор не має жодної власної загальнодоступної IP-адреси, поки у нього є приватна IP-адреса, обмежена в діапазоні мережі модему DSL.
Як вирішити проблему Double NAT
Існують різні способи вирішення проблеми подвійного NAT, але яке саме рішення буде працювати, буде залежати від типу налаштування мережі.
# 1) Встановіть бездротовий маршрутизатор у мостовому режимі : Це означає, що перейдіть до веб-інтерфейсу маршрутизатора і вимкніть функцію NAT і DHCP бездротового маршрутизатора вручну.
Якщо обидві функції будуть вимкнені, коли режим відомий як мостовий режим, а потім налаштування переадресації портів функція модему для вирішення проблеми Double NAT.
На скріншоті нижче показано ввімкнений режим Bridged у маршрутизаторі для подолання проблеми Double NAT.
[ зображення джерело ]
# 2) Створіть з’єднання PPPoE між маршрутизатором і модемом: Це підтримується не всіма провайдерами, але це один із найкращих способів вирішити проблему Double NAT. Перейдіть до налаштувань WAN у веб-інтерфейсі маршрутизатора, а потім поставте галочку, щоб позначити PPPoE для налаштування підключення WAN. Це обійде NAT в модемі.
# 3) Увімкнути DMZ в модемі: Це підключить ваш маршрутизатор, що має функцію DMZ, безпосередньо до Інтернету та обійде налаштування IP-маршрутизатора NAT, брандмауера та DHCP-підключення, і таким чином пристрої автоматично отримають значення з маршрутизатора.
Кроки такі:
- Спочатку увійдіть у веб-інтерфейс маршрутизатора та дізнайтеся IP-адресу WAN маршрутизатора.
- Тепер, по-друге, увійдіть в адміністративні налаштування модему, а в налаштуваннях DMZ модему встановіть WAN-адресу маршрутизатора як IP-адресу. Це дозволить переадресацію портів, і трафік буде спрямовуватися на встановлений хост клієнта.
Маршрутизатор NAT
Маршрутизатор NAT генерує мережу IP-адрес для локальної мережі, і вона взаємозв'язує цю мережу LAN із загальнодоступною мережею, яка є Інтернетом. NAT, виконаний маршрутизатором, дозволить кільком ПК або хост-пристроям у мережі LAN на задній частині маршрутизатора взаємодіяти з мережею WAN, тобто Інтернетом.
Маршрутизатори NAT використовуються в домашніх цілях та в невеликих галузях промисловості, оскільки маршрутизатор виходить в Інтернет як одиночний хост з одиночною IP-адресою. Це ефективно визначає той факт, що ПК у локальній мережі маршрутизатора буде призначений однією IP-адресою в той же проміжок часу.
Маршрутизатор NAT [ зображення джерело ]
Властива безпека маршрутизатора NAT
Маршрутизатори NAT мають таку функцію, що вони будуть працювати як апаратний брандмауер у мережі, і вони захищають мережу LAN від будь-якого небажаного та незвичного трафіку, який може завдати шкоди мережі.
Таким чином, він діє як фільтр між Інтернетом та приватною мережею LAN і дозволяє проходити лише тому трафіку, через який дозволено входити в мережу.
Як це працює? Оскільки маршрутизатор з'єднує мережу локальної мережі з Інтернетом, він засвідчує всі пакети даних, що надсилаються в Інтернет із мережі локальної мережі. Маршрутизатор зберігає внутрішню таблицю з'єднань із собою, і він зберігає кожну IP-адресу вихідного пакета та номер порту, призначений в ній. Після цього він призначає власну IP-адресу та номер порту пакету для підтвердження трафіку на повернення додому.
Нарешті, він зберігає остаточну інформацію про пакет даних разом із IP-адресою та номером порту в поточній таблиці з'єднань. Коли будь-який з пакетів даних потрапляє на маршрутизатор з Інтернету, маршрутизатор перевіряє його в поточній таблиці з'єднань, що надійшов пакет, бажаний для мережі LAN, перевіривши таблицю.
Якщо еквівалентна IP-адреса та номер порту знайдені, тоді вона спрямовує її на ПК призначення мережі LAN. І якщо збіг не знайдено, маршрутизатор відкине пакет даних і позначить його як небажаний трафік.
Таким чином, маршрутизатор NAT захищає ваш зв’язок із зовнішньою мережею, а також у тому випадку, якщо до мережі LAN підключено лише один пристрій. Отже, з маршрутизатором NAT, налаштованим у мережі, жоден з хробаків та шкідливий вірус не може завдати шкоди вашій мережі.
Особливості безпеки маршрутизатора NAT
Переваги NAT:
- Керуючи та повторно використовуючи IP-адреси, NAT може запобігти вичерпанню схеми адресації IPV4.
- Він забезпечує захист приватної мережі із зовнішнього світу, зберігаючи таємницю IP-адреси джерела та призначення з зовнішньої мережі.
- Він забезпечує гнучку мережеву систему.
- Організації приватних мереж, використовуючи NAT, можуть використовувати обраний ними діапазон IP для побудови внутрішньої мережі незалежно від постачальника послуг публічного інтерфейсу.
Обмеження NAT:
- Оскільки NAT перевіряє всі вхідні та вихідні пакети даних, щоб підтримувати таблицю з'єднань та інший запис даних у пам'яті процесора, тому загальний процес вимагатиме величезного обсягу пам’яті та тривалого часу.
- Всі мережеві пристрої та мережеві системи несумісні з технологією NAT, тому вона не буде функціонувати скрізь у всіх сценаріях.
- Через зміну IP-адрес пристрою кілька разів під час процесу NAT, іноді стає дуже важко простежити кінцеву досяжну IP-доступність мережевих компонентів.
- NAT викликає несподівані затримки в системі зв'язку.
Який захищений протокол рекомендується для NAT: Не існує такого визначеного набору протоколів, який би спеціально використовувався для NAT. Але переклад здійснюється під набором протоколів Інтернету (IP). Крім того, протокол TCP використовується для перекладу під час виконання NAT маршрутизаторами.
Окрім цих протоколів, залежно від мережевого сценарію використовується інший набір протоколів, таких як ICMP, UDP та IPSec, які вже пояснювались у попередніх навчальних посібниках.
Висновок
З цього посібника ми зрозуміли причину впровадження процесу перекладу мережевих адрес у систему комп’ютерних мереж та його значення.
Ми також дізналися за допомогою різних прикладів та рисунків типи та роботу NAT.
НАЗАД Підручник | НАСТУПНИЙ підручник
Рекомендована література
- Бездротова локальна мережа IEEE 802.11 та 802.11i та стандарти автентифікації 802.1x
- 7 способів виправити помилку 'Шлюз за замовчуванням недоступний'
- Модем проти маршрутизатора: знайте точну різницю
- Керівництво з оцінки та вразливості мережі
- Що таке ключ мережевої безпеки: як його знайти для маршрутизатора, Windows або Android
- Що таке віртуалізація? Приклади віртуалізації мережі, даних, програм та сховищ
- Основні кроки та інструменти усунення несправностей мережі
- Що таке мережева безпека: її типи та управління