muzruno.com

NAT е какво? Конфигуриране на NAT

Преводът на мрежови адреси (NAT) е начин да превъзложите едно адресно пространство на друго чрез промяна на информацията мрежовите адреси в IP (интернет протокол). Тоест, заглавията на пакетите се променят по времето, когато са в пътя през устройството за маршрутизиране на трафика. Този метод първоначално бе използван за опростяване на пренасочването на трафика към IP мрежи без преномериране на всеки хост. Той се превърна в популярен и важен инструмент за запазване и разпространение на глобалното адресно пространство в лицето на липсата на IPv4 адреси.

това е това

NAT е какво?

Оригиналното използване на превод на мрежови адреси е да се нанесе всеки адрес от едно адресно пространство към съответния адрес в друго пространство. Например, това е необходимо, ако доставчикът на интернет услуги се е променил и потребителят не е в състояние да обяви обществено нов маршрут към мрежата. В условията на предвидимо глобално изчерпване на IP адресното пространство технологията NAT се използва все повече от края на 90-те години в комбинация с IP криптиране (което е метод за преместване на множество IP адреси в едно и също пространство). Този механизъм се изпълнява в маршрутизиращо устройство, което използва държавни таблици за преобразуване, за да картографира "скрити" адреси на един IP адрес и пренасочва изходящите IP пакети към изхода. По този начин те се показват като идващи от устройството за маршрутизиране. На обратното комуникационен канал Отговорите се показват в IP адреса на източника, като се използват правилата, съхранени в таблиците за превод. Правилата за таблицата за превод, от своя страна, се изчистват след кратък период, ако новият трафик не актуализира състоянието му. Това е основният механизъм на NAT. Какво означава това?

Този метод позволява комуникация през маршрутизатора само когато връзката възниква в криптирана мрежа, тъй като това създава таблици за преобразуване. Например, уеб браузър в такава мрежа може да разглежда сайта извън него, но при инсталирането му извън него не може да отвори ресурса, който се намира в него. Въпреки това повечето устройства NAT позволяват днес мрежов администратор Конфигурирайте записите в таблицата за превод за постоянна употреба. Тази функция често се нарича статично NAT или препращане на порт и позволява трафикът с произход от "външната" мрежа да достигне определените хостове в криптираната мрежа.

nat настройка

Поради популярността на този метод, използван за запазване на адресното пространство за IPv4, терминът NAT (който всъщност е споменатият по-горе) е станал почти синоним на метода на кодиране.

Тъй като преводът на мрежови адреси променя информацията за IP адреса на IP-пакетите, това има сериозни последици за качеството на интернет връзката и изисква внимателно внимание на подробностите за нейното изпълнение.

Начините на използване на NAT се различават помежду си в специфичното си поведение в различни случаи, касаещи въздействието върху мрежовия трафик.

Основен NAT

Най-простият тип превод на мрежови адреси (NAT) осигурява индивидуален превод на IP адрес. RFC 2663 е основният тип на това предаване. При този тип се променят само IP адреси и проверка на сумата IP заглавки. Основните типове превод могат да се използват за свързване на две IP мрежи, които имат несъвместимо адресиране.

как да настроите nat

NAT - това ли е в връзка "един към много"?

Повечето разновидности на NAT са в състояние да насочат няколко частни хоста към един и същ публичен IP адрес. В типична конфигурация локалната мрежа използва един от определените "частни" подмрежови IP адреси (RFC 1918). Рутер в тази мрежа има частен адрес в това пространство.

Рутерът също се свързва с интернет чрез "публичен" адрес, определен от доставчика. Тъй като трафикът се предава от локалната мрежа в интернет, адрес Източникът във всеки пакет се превежда в движение от частен адрес до публичен адрес. Рутерът следи основните данни за всяка активна връзка (по-специално адресът и целевият порт). Когато се връща отговор, той използва връзките за данни, които се съхраняват по време на изходната фаза, за да определи частния адрес на вътрешната мрежа, към която трябва да бъде изпратен отговорът.

Едно от предимствата на това функционално е, че той служи като практическо решение за предстоящото изчерпване на адресното пространство на IPv4. Дори големи мрежи могат да бъдат свързани към интернет, като се използва един-единствен IP адрес.

мрежов превод на адрес nat

Всички дейтаграми на пакети в IP-мрежи имат 2 IP адреса - източник и дестинация. Обикновено пакетите, които преминават от частна мрежа към обществена мрежа, ще имат адрес на източник на пакети, който се променя по време на прехода от обществена мрежа към частна. По-сложни конфигурации също са възможни.

Удобства

Настройването на NAT може да има някои функции. За да избегнете трудности при прехвърлянето на върнатите пакети, са необходими допълнителни промени. По-голямата част от интернет трафика преминава през протоколите TCP и UDP и техните номера на портове се променят по такъв начин, че комбинацията от IP адреса и номера на порта в обратната посока на данните започва да се сравнява.

Протоколите, които не се основават на TCP и UDP, изискват други методи за превод. Протоколът за управление на Интернет съобщения (ICMP) по правило свързва предадените данни към съществуваща връзка. Това означава, че те трябва да се показват с помощта на същия IP адрес и първоначално зададен номер.

Какво трябва да помислите?



Конфигурирането на NAT в рутера не му позволява да се свързва "от край до край". Ето защо такива маршрутизатори не могат да участват в някои интернет протоколи. Услугите, които изискват започване на TCP връзки от външна мрежа или потребители без протоколи, може да не са налични. Ако маршрутизаторът на NAT не полага много усилия за поддръжка на такива протоколи, входящите пакети не могат да достигнат крайната си цел. Някои протоколи могат да се настанят един превод между участващите домакини ( "пасивен режим» FTP, например), понякога с помощта на приложение врата, но връзката е установена, когато и двете системи са отделени от интернет с помощта на NAT. Използването на превод на мрежови адреси също усложнява такива протоколи за "тунелиране" като IPsec, тъй като променя стойностите в заглавките, които взаимодействат с проверките за цялост на заявките.

nat технология

Съществуващ проблем

Връзката от край до край е основният принцип на Интернет, който съществува от самото му създаване. Състоянието на мрежата показва, че NAT е нарушение на този принцип. Специалистите са сериозно загрижени за широкото използване на мрежови адреси в IPv6-превод, а проблемът за това как да се елиминира ефективно се повишава.

Поради краткотрайното естество на таблиците, които запазват състоянието на излъчване в маршрутизаторите NAT, вътрешните мрежови устройства губят IP връзката, обикновено в много кратък период от време. Когато говорим за NAT в рутер, не трябва да забравяте това обстоятелство. Това сериозно намалява времето за работа на компактните устройства, работещи с батерии и батерии.

мащабируемост

Освен това, при използване на NAT се наблюдават само пристанища, които могат бързо да бъдат изчерпани от вътрешни приложения, които използват множество едновременни връзки (например HTTP заявки за уеб страници с голям брой вградени обекти). Този проблем може да бъде смекчен чрез проследяване на целевия IP адрес в допълнение към порта (по този начин един локален порт се споделя от голям брой отдалечени хостове).

Някои трудности

Тъй като всички вътрешни адреси се маскират като една публична среда, външните хостове стават невъзможни да инициират връзка към конкретен вътрешен възел без специална конфигурация на защитната стена (която трябва да пренасочва връзките към конкретен порт). Приложения като IP телефония, видеоконферентна връзка и подобни услуги трябва да използват техниките за траверсиране на NAT, за да функционират правилно.

как да конфигурирате NAT на рутер

Връщащият адрес и пристанището за превод (Rapt) позволяват хост, чийто реален IP адрес се променя периодично, за да остане достъпен като сървър, използващ фиксиран IP адрес на домашната мрежа. По принцип това трябва да позволява конфигурацията на сървърите да поддържа връзката. Въпреки факта, че това не е идеалното решение проблеми, това може да се превърне в друг полезен инструмент в арсенала на мрежовия администратор, когато решава проблема как да конфигурира NAT в маршрутизатора.

Превод на адреса на порт (PAT)

Внедряването на Cisco Rapt е превод на пристанищен адрес (PAT), който показва няколко частни IP адреса под формата на един публичен. Многоредовите адреси могат да се показват като адрес, тъй като всеки от тях се проследява чрез номера на порта. PAT използва уникални портови номера на вътрешния глобален IP, за да разграничи посоката на трансфер на данни. Тези числа са 16-битови числа. Общо вътрешни адреси, които могат да се превърнат в една външна, теоретично може да достигне 65536. Действителният брой пристанища, за които могат да бъдат зададени на един IP-адрес, е около 4000. Обикновено, PAT се опитва да спаси източник пристанище "оригинал". Ако вече е в употреба, Port Address Translation предава първия достъпен номер на порта, започвайки от началото на съответната група - 0-511, 512-1023 или 1024-65535. Когато няма повече достъпни портове и има повече от един външен IP адрес, PAT преминава към следващия, за да се опита да разпредели източника на порт. Този процес продължава, докато наличните данни не бъдат изчерпани.

Адресът и портът се показват от услугата на Cisco, която комбинира адреса на преводния порт с данните от пакетните тунели за IPv4 през вътрешната IPv6 мрежа. Всъщност това е неофициална алтернатива на CarrierGrade NAT и DS-Lite, която поддържа IP-преводи на адреси / пристанища (и следователно се поддържат NAT настройки). По този начин се избягват проблеми при инсталирането и поддържането на връзка и също така се осигурява механизъм за прехвърляне на IPv6.

какво е NAT в рутера

Методи на превод

Има няколко начина за реализиране на превода на мрежовия адрес и порт. В някои приложения, протоколи, че приложенията използват за работа с IP адреси, работещи в шифрован мрежа, трябва да определят външната адрес NAT (която се използва в другия край на връзката), и, освен това, често е необходимо да се проучи и класифицира вида на предаване. Обикновено това се прави, защото това е желателно да се създаде пряк канал за комуникация (или да запишете непрекъснато предаване на данни чрез сървъра или да се подобри производителността) между двете клиентите, и двете от които са с индивидуален NAT.

За тази цел (как да конфигурирате NAT) през 2003 г. е разработен специален протокол RFC 3489, който осигурява прост байпас на UDP чрез NATS. Към днешна дата тя е остаряла, защото такива методи днес не са достатъчни, за да се направи правилна оценка на производителността на много устройства. Нови методи бяха стандартизирани в RFC 5389, разработен през октомври 2008 г. Тази спецификация днес се нарича SessionTraversal и е помощна програма за работа с NAT.

Създаване на двупосочна комуникация

Всеки TCP и UDP пакет съдържа IP адреса на източника и неговия номер на порт, както и координатите на пристанището на дестинацията.

За да се получат такива обществени услуги като функционалността на пощенските сървъри, номерът на порта е важен. Например, порт 80 се свързва с уеб сървърния софтуер и 25 - с SMTP пощенския сървър. IP адресът на публичния сървър също е от съществено значение, подобен на пощенски адрес или телефонен номер. И двата параметъра трябва да бъдат надеждно известни на всички възли, които възнамеряват да установят връзка.

Частните IP адреси са важни само в локалните мрежи, където се използват, както и в пристанищата домакин. Пристанищата са уникални крайни точки за комуникация на хоста, така че връзка чрез NAT се поддържа чрез комбиниране на картографиране на порт и IP адрес.

PAT (Port Address Translation) решава конфликти, които могат да възникнат между два различни хоста, използващи един и същи номер на порт, за да установят уникални връзки по едно и също време.

Споделяне в социалните мрежи:

сроден