NAT - mitä tämä on? NAT Setup

Network Address Translation (NAT) on menetelmä uudelleenjärjestelyjonoina yksi osoite tilasta toiseen muuttamalla tiedot verkko-osoite IP (Internet Protocol). Eli pakettiotsikoissa vaihdetaan silloin, kun ne ovat kauttakulkua reitityslaitteena. Tämä menetelmä on alun perin käytetty ohjata liikennettä yksinkertaisuus IP-verkoissa, kunkin vastaanottavan ilman uudelleen numerointi. Hän tuli suosittu ja tärkeä väline säilyttämisen ja jakelun yleiseen osoiteavaruuteen olosuhteissa pula IPv4-osoitteita.

NAT - mitä tämä on?

Alkuperäinen käyttötarkoitus verkko-osoitteen käännöksen on kartoittaa kunkin osoitteen yhdestä osoitteesta tilaa vastaavaan osoitetta muun tilan. Esimerkiksi on tarpeen, jos Internet-palveluntarjoaja on muuttunut, ja käyttäjä ei pysty julkisesti ilmoittaa uuden reitin verkkoon. Olosuhteissa ennakoitavissa maailmanlaajuinen ehtyminen IP-osoiteavaruus NAT tekniikkaa käytetään yhä enenevässä määrin, koska 1990-luvun lopulla yhdessä IP-salaus (joka on menetelmä liikenteen useita IP-osoitteita samaan tilaan). Tämä mekanismi on toteutettu reititys laite, joka käyttää Muunnostaulukoiden tilallista näyttää "piilotettu" osoitteita yhden IP-osoitteen, ja välittää lähtevän IP-paketit lähtöön. Näin ollen ne esitetään tulevat ulos reitityslaite. Päinvastaisessa viestintäkanava vasteita näytetään lähteen IP-osoitteen käyttämällä tallennettuja sääntöjä Muunnostaulukoiden. Säännöt käännöstaulu puolestaan poistuu lyhyessä ajassa, jos uusi liikenne ei päivitä tilaansa. Tämä on perusmekanismi NAT. Se tuo tarkoittaa?

Tämän menetelmän avulla voit kommunikoida reitittimen kautta vain, kun yhteys luodaan salattuun verkkoon, koska se luo muunnostaulukko. Esimerkiksi web-selain verkon sisällä voi selata sivustoa ulkomailla, mutta jos sitä ei ole asennettu ulkopuolelle, se voi avata resurssi, sijoitettu sinne. Kuitenkin suurin NAT laitteiden tänään mahdollistavat verkonvalvoja voi määrittää käännöstaulukkomerkinnän pysyvästi käyttöön. Tämä ominaisuus on usein kutsutaan staattinen NAT tai porttien, ja se mahdollistaa liikenteen peräisin olevien "ulkopuolisten" verkon lentämiseen isäntä salatussa verkossa.

Koska suosio tätä menetelmää käytetään säilyttämään IPv4-osoite tilaa, NAT-termi (tämä on se, mitä on itse asiassa - edellä), se on tullut lähes synonyymi salausmenetelmä.

Koska NAT muuttaa osoitetietoja IP-paketin, sillä on vakavia seurauksia laadun internetyhteyttä, ja vaatii tarkkaa huomiota yksityiskohtiin sen toteutuksen.

Menetelmiä NAT eroavat toisistaan niiden erityinen käyttäytyminen eri tapauksissa, joissa vaikutukset verkkoliikennettä.

Basic NAT

Yksinkertaisimmillaan Network Address Translation (NAT) säädetään lähettää IP-osoitteet "one-to-one". RFC 2663 on pääasiallisin lähetyksestä. Tämän tyyppisiä muutoksia vain IP-osoitteen ja tarkistussumma IP-otsikon. Päätyyppiä käännös voidaan yhdistää kaksi IP-verkkoja, jotka ovat yhteensopimattomia käsitellään.

NAT - on, että yhdistävä "one-to-many"?

Useimmat lajikkeet NAT voi merkitä useita yksityisiä isännät yhteen julkisesti nimetty IP-osoitteen. Tyypillisessä kokoonpanossa, paikallinen verkko käyttää yksi nimetty "yksityinen" IP-aliverkon osoitteita (RFC 1918). Reititin että verkossa on yksityinen osoite tähän tilaan.

Reititin yhdistää myös internetiin "julkinen" osoitteita ISP. Kuten liikenne kulkee paikallisen verkon Internet-osoitteen lähde kunkin paketin käännetään lennossa yksityisen osoitteet yleisölle. Reititin seuraa perustiedot kunkin aktiivisen yhteyden (erityisesti kohdeosoite ja portti). Kun vastaus tulee takaisin hänelle, hän käyttää yhteyden tietoja, jotka on tallennettu aikana lähtevän vaiheen määrittämiseksi yksityinen osoite sisäisen verkon, johon lähettää vastauksen.

Eräs tämän toiminnallisuus on, että se toimii käytännöllinen ratkaisu lähestyvästä sammumista IPv4-osoitteiden tilaa. Jopa suuret verkostot voidaan kytkeä Internetiin yhden IP-osoitteen.

Kaikki datagrammin paketit IP-pohjaisiin verkkoihin on 2 IP-osoitteen - lähde ja kohde. Tyypillisesti paketit kulkee yksityisen verkon yleiseen verkkoon, on lähdeosoite paketteja, muuttuvat siirryttäessä julkisen verkon yksityisen takaisin. Monimutkaisemmat kokoonpanot ovat myös mahdollisia.

piirteet

NAT-toiminto voi olla joitakin erityispiirteitä. Välttää vaikeudet on miten kääntää palautettujen pakettien vaativat lisää muutoksia. Valtaosa Internet-liikenne kulkee läpi protokollat TCP ja UDP, ja porttinumerot ovat muuttuneet niin, että yhdistelmä IP-osoite ja portin numero päinvastaiseen suuntaan alkaa kartoittaa tiedot.

Protokollia, jotka eivät perustu TCP tai UDP, vaativat erilaisia menetelmiä käännöksen. Control Message Protocol Internet (ICMP), pääsääntöisesti korreloi lähetetyn datan aiemmin luodun yhteyden. Tämä tarkoittaa, että ne näytetään käyttäen samaa IP-osoite ja numero alun perin asetettu.

Mitä minun pitäisi harkita?

Määrittäminen NAT reitittimen ei anna hänelle mahdollisuutta yhteydet "päästä päähän." Siksi nämä reitittimet voi osallistua joihinkin Internet-protokollat. Palveluita, jotka vaativat aloittamisesta TCP-yhteyksiä ulkoiseen verkkoon tai käyttäjille ilman protokollia ei ehkä ole käytettävissä. Jos NAT-reitittimen ei tee paljon vaivaa tukemaan tällaista protokollia, saapuvat paketit eivät pääse määränpäähänsä. Joissakin protokollissa mahtuu yksi käännös osallistuvien koneiden lukumäärä ( "passiivista» FTP, esimerkiksi), joskus avulla hakemuksen yhdyskäytävän, mutta yhteys muodostetaan, kun molemmat järjestelmät on erotettu Internetistä NAT. NAT vaikeuttaa myös tällaiset "tunnelointi" protokollia, kuten IPsec, koska se muuttaa arvoja otsikossa, jotka ovat vuorovaikutuksessa tarkastelun pyynnön eheys.

Nykyisen tehtävän

Yhdiste "päästä päähän" on perusperiaate Internetin nykyisiä koska sen kehitystä. Nykytila verkon osoittaa, että NAT on vastoin tätä periaatetta. Asiantuntijat ovat vakavasti huolissaan laajalle levinnyt käyttö IPv6-in network address translation, ja nostaa ongelma, miten tehokkaasti poistaa sen.

Koska lyhytaikainen luonne taulukoiden tilallista lähettää NAT-reitittimiä, sisäisen verkon laitteet menettää IP-yhteyden, yleensä, hyvin lyhyen ajan kuluessa. Huolimatta siitä, että tällainen NAT-reitittimen, et voi unohtaa tätä tosiasiaa. Tämä heikentää vakavasti toiminta-aika kompakti laitteita, jotka toimivat paristot ja akut.

skaalautuvuus

Lisäksi, kun käytetään NAT seurata vain portteja, jotka voidaan nopeasti loppuun sisäisiin sovelluksiin käyttämällä useita samanaikaisia yhteyksiä (esimerkiksi HTTP-pyyntöjä web-sivuja, joilla on suuri määrä upotettuja objekteja). Tämä ongelma voidaan lieventää seuraamalla määränpään IP-osoitteen lisäksi portti (siis yksi paikallinen portti on jaettu lisää etäisäntiin).

joitain vaikeuksia

Koska kaikki sisäisen osoitteet naamioitu julkinen, ulkoinen isännät mahdotonta aloittaa yhteyden tiettyyn sisäinen solmu ilman erityistä konfiguraatiota palomuuri (joka on ohjata yhteyden tiettyyn porttiin). Sovelluksissa, kuten IP-puheluihin, videoneuvottelut, ja nämä palvelut täytyy käyttää NAT tekniikkaa toimia normaalisti.

Paluu osoite ja portti käännös (Rapt) mahdollistaa isäntä, todellinen IP-osoite, joka vaihtelee aika ajoin, jotta edelleen saatavilla palvelimella, jolla on kiinteä IP-osoite kotiverkossa. Periaatteessa pitäisi mahdollistaa perustaa palvelimia yhteyden ylläpitämiseksi. Huolimatta siitä, että tämä ei ole täydellinen ratkaisu ongelmaan, se voisi olla hyvä väline arsenaali verkon ylläpitäjä ratkaista ongelma, miten määrittää NAT reitittimen.

Port Address Translation (PAT)

Cisco Rapt toteutus on Port Address Translation (PAT), joka näyttää useita yksityisiä IP-osoitetta yhtenä yleisölle. Useita osoitteita voidaan näyttää osoitteen, koska kukin niistä on seurataan portin numero. PAT käyttää ainutlaatuista lähdeporttinumerot sisäpuolella yleistä IP-, erottaa suuntaan tiedonsiirto. Nämä luvut ovat 16-bittisiä kokonaislukuja. Yhteensä sisäinen osoitteita, jotka voidaan käännetään yksi ulompi, voidaan teoreettisesti saavuttaa 65536. todellinen määrä portteja, joihin yksittäinen IP-osoite voidaan määrittää, on noin 4000. Tyypillisesti PAT yrittää tallentaa lähdeportin "alkuperäinen". Jos se on jo käytössä, Port Address Translation määrittää ensimmäisen vapaan portin numero alusta alkaen vastaavien ryhmien - 0-511, 512-1023 tai 1024-65535. Kun ei ole enää saatavilla portteja ja on enemmän kuin yksi ulkoinen IP-osoitteen, PAT siirtyy seuraavaan yrittää tunnistaa lähdeportin. Tämä prosessi jatkuu, kunnes ei enää ole tietoja.

Näyttää osoitteet ja portti Cisco toteutettu palvelu, joka yhdistää portin osoitteen käännöksen tietojen tunnelointi IPv6-paketteja IPv4 intranetissä. Itse asiassa, epävirallinen vaihtoehtoinen CarrierGrade NAT ja DS-Lite, joka tukee IP-osoitteen käännös / portti (ja siten tukenut NAT-asetus). Näin ollen vältetään ongelmat asennus ja huolto yhteyden, ja se tarjoaa myös siirtymistä mekanismin IPv6: een.

käännös menetelmät

On olemassa useita tapoja toteuttaa käännös verkko-osoitteen ja portin. Joissain sovelluksissa, protokollat sovellukset käyttävät työskennellä IP-osoitteita, jotka toimivat salatussa verkossa, sinun on määritettävä ulkoisen osoitteen NAT (jota käytetään toisessa päässä yhteyden), ja lisäksi on usein tarpeen tutkia ja luokitella lähetyksen tyypin. Yleensä tämä tehdään, koska on toivottavaa luoda suora viestintäkanavan (tai tallentaa keskeytymätöntä tiedonsiirtoa palvelimen kautta tai suorituskyvyn parantamiseksi) kahden asiakkaita, jotka molemmat ovat yksittäisten NAT.

Tätä tarkoitusta varten (miten määrittää NAT) vuonna 2003 kehittänyt erityisen protokollan RFC 3489 Yksinkertainen Traversalin UDP tarjoaa kautta NATS. Nykyään se on vanhentunut, koska nämä menetelmät ovat nykyään riitä kunnolla arvioida työtä monien laitteiden. Uusia menetelmiä on standardoitu RFC 5389 protokolla, joka on kehitetty lokakuussa 2008. Tässä selityksessä on nyt tunnetaan SessionTraversal ja on apuohjelma NAT.

Luominen kaksisuuntaista viestintää

Kukin paketti sisältää TCP: n ja UDP IP-lähdeosoitteen ja porttinumeron sekä koordinaatit kohdeportin.

Tällaisille julkiset palvelut toiminnallisena sähköpostipalvelimia, portin numero on tärkeää. Esimerkiksi portti 80 on liitetty ohjelmisto, web-palvelin, ja 25 - SMTP sähköpostipalvelimelle. palvelimen julkinen IP-osoite on myös tärkeää, kuten postiosoite tai puhelinnumero. Molemmat näistä parametrit tulisi autenttisesti tiedossa kaikki solmut, jotka aiot liittää.

Yksityinen IP-osoitteet on merkitystä vain paikallisissa verkoissa, joissa niitä käytetään, sekä isäntänä satamissa. Portit ovat ainutlaatuisia päätepisteen yhteyden isäntä, joten yhteys läpi NAT tuettu yhdistetyllä porttikartoitusta ja IP-osoitteita.

PAT (Port AddressTranslation) poistetaan ristiriitaisuudet, joita saattaa syntyä kahden eri isännät käyttävät samaa lähdeporttinumeroon luoda ainutlaatuinen yhteyksiä samanaikaisesti.