NAT je kaj? Konfiguriranje NAT
Prevajanje mrežnega naslova (NAT) je način, kako spremeniti podatke z enega naslovnega prostora drugemu omrežni naslovi v IP (internetni protokol). To pomeni, da se glave paketov spreminjajo v trenutku, ko so na poti skozi napravo za usmerjanje prometa. Ta metoda je bila prvotno uporabljena za poenostavitev preusmeritve prometa v IP omrežjih brez preštevilčenja vsakega gostitelja. Postalo je priljubljeno in pomembno orodje za ohranjanje in distribucijo svetovnega naslovnega prostora ob pomanjkanju naslovov IPv4.
Vsebina
NAT je kaj?
Prvotna uporaba prevajanja omrežnega naslova je, da se preslika vsak naslov iz enega naslovnega prostora na ustrezen naslov v drugem prostoru. To je na primer potrebno, če se je ponudnik internetnih storitev spremenil in uporabnik ne more javno objaviti nove poti v omrežje. V pogojih predvidljivega svetovnega izčrpanja naslovnega prostora IP se tehnologija NAT vse od konca devetdesetih let v kombinaciji s šifriranjem IP (to je metoda za premikanje več naslovov IP v isti prostor). Ta mehanizem se izvaja v usmerjevalni napravi, ki uporablja pretočne tabele prevajanja za preslikavo »skritih« naslovov na en IP naslov in preusmeri izhodne IP-pakete na izhodu. Tako se prikažejo, kot da prihajajo iz usmerjevalne naprave. V obratni smeri komunikacijski kanal Odzivi so prikazani v naslovu IP-naslova z uporabo pravil, shranjenih v prevedenih tabelah. Pravila za prevajalno tabelo se nato po kratkem času izbrišejo, če nov promet ne posodobi svojega stanja. To je osnovni mehanizem NAT. Kaj to pomeni?
Ta metoda omogoča komunikacijo prek usmerjevalnika samo, če pride do povezave v šifriranem omrežju, saj to ustvarja pretvorbene tabele. Spletni brskalnik znotraj takega omrežja lahko na primer vidi spletno stran zunaj njega, vendar ga, če je nameščen zunaj njega, ne more odpreti vira, ki ga gostijo v njem. Kljub temu večina naprav NAT danes dovoljuje skrbnik omrežja Konfigurirajte vnose za prevodno tabelo za trajno uporabo. Ta funkcija se pogosto omenja kot statično NAT ali pristanišča posredovanje, in omogoča promet s poreklom v "zunanji" omrežja, da bi dosegli ciljni gostitelj v šifrirano omrežje.
Zaradi uporabljamo priljubljenost te metode za ohranitev naslovnega prostora IPv4, NAT izraz (to je tisto, kar je pravzaprav - zgoraj), je postalo skoraj sinonim z metodo šifriranja.
Ker prevod omrežnega naslova spreminja podatke o IP-naslovu IP-paketov, ima to resne posledice za kakovost internetne povezave in zahteva posebno pozornost podrobnostim njegovega izvajanja.
Načini uporabe NAT se med seboj razlikujejo glede na njihovo specifično vedenje v različnih primerih glede vpliva na omrežni promet.
Osnovni NAT
Najpreprostejša vrsta prevajanja mrežnega naslova (NAT) omogoča prevod enega IP na en sam. RFC 2663 je glavni tip te oddaje. V tej vrsti se spremenijo le naslovi IP in kontrolna vsota IP glave. Osnovne vrste prevajanja lahko uporabite za povezavo dveh omrežij IP, ki imajo nezdružljivo naslavljanje.
NAT - je to v povezavi enega na več?
Večina NAT-jev lahko map več zasebnih gostiteljev na en sam javni IP-naslov. V tipični konfiguraciji lokalno omrežje uporablja enega od dodeljenih naslovov IP-naslovov podrejenih ("RFC 1918"). Usmerjevalnik v tem omrežju ima zasebni naslov v tem prostoru.
Usmerjevalnik se prav tako poveže z internetom z uporabo »javnega« naslova, ki ga določi ponudnik. Ker promet poteka iz lokalnega omrežja na internetu, naslov Vir v vsakem paketu je preveden z letnega od zasebnega naslova do javnega naslova. Usmerjevalec sledi osnovnim podatkom za vsako aktivno povezavo (zlasti naslov in ciljna vrata). Ko se ji vrne odgovor, uporablja podatkovne povezave, ki so shranjene med izhodno fazo, da določijo zasebni naslov notranjega omrežja, na katerega naj pošlje odgovor.
Ena od prednosti tega funkcionalnega sistema je, da služi kot praktična rešitev za bližajoče se izčrpanje naslovnega prostora IPv4. Celo velika omrežja je mogoče povezati z internetom z enim samim naslovom IP.
Vsi datagrami paketov v IP-omrežjih imajo 2 IP-naslova - vir in cilj. Običajno bodo paketi iz zasebnega omrežja v javno omrežje imeli naslov vira paketa, ki se med prehodom iz javnega omrežja spremeni v zasebno. Možne so tudi zapletene konfiguracije.
Značilnosti
Nastavitev NAT ima lahko nekaj funkcij. Da bi se izognili težavam pri prenosu vrnjenih paketov, so potrebne nadaljnje spremembe. Velika večina internetnega prometa gre skozi protokolov TCP in UDP, in številke vrat se spremenita tako, da je kombinacija IP-naslov in številko vrat v obratni smeri, začne se preslika podatke.
Protokoli, ki ne temeljijo na TCP in UDP, zahtevajo druge metode prevajanja. Protokol za upravljanje internetnih sporočil (ICMP) praviloma povezuje prenesene podatke z obstoječo povezavo. To pomeni, da morajo biti prikazani z istim naslovom IP in številko, ki je bila prvotno nastavljena.
Kaj morate upoštevati?
Konfiguriranje NAT na usmerjevalniku ne dovoljuje, da se poveže "od konca do konca". Zato takšni usmerjevalniki ne morejo sodelovati v nekaterih internetnih protokolih. Storitve, ki zahtevajo začetek TCP povezav iz zunanjega omrežja ali uporabnikov brez protokolov, morda niso na voljo. Če se usmerjevalnik NAT ne trudi veliko podpirati takšne protokole, dohodni paketi ne morejo doseči cilja. Nekateri protokoli se lahko dajo v isto oddajanje med sodelujočimi gostitelji (npr. "Pasivni način" FTP-ja), ki včasih uporablja prehod na ravni aplikacij, vendar povezava ne bo vzpostavljena, če oba sistema ločita od interneta prek NAT-a. Uporaba prevajanja omrežnega naslova tudi zapletuje takšne protokole »tuneliranja« kot IPsec, saj spreminja vrednosti v glavi, ki vplivajo na preverjanje celovitosti poizvedbe.
Obstoječa težava
Končna povezava je osnovno načelo interneta, ki obstaja od njenega začetka. Trenutno stanje omrežja kaže, da je NAT kršitev tega načela. Strokovnjaki so resno zaskrbljeni zaradi široke uporabe mrežnih naslovov v prevodu IPv6 in problem, kako se učinkovito odpraviti.
Zaradi kratkotrajne narave tabel, ki zadržujejo stanje oddajanja v usmerjevalnikov NAT, notranje omrežne naprave izgubijo IP-povezavo, običajno v zelo kratkem času. Ko govorite o NAT v usmerjevalniku, ne smete pozabiti na to okoliščino. To resno zmanjša čas delovanja kompaktnih naprav, ki delujejo na baterijah in baterijah.
Razširljivost
Poleg tega se pri uporabi NAT spremljajo le vrata, ki jih lahko hitro izčrpajo notranje aplikacije, ki uporabljajo več sočasnih povezav (na primer zahteve HTTP za spletne strani z velikim številom vgrajenih objektov). Ta težava je mogoče ublažiti s sledenjem naslovnega naslova IP poleg pristanišča (zato je eno lokalno pristanišče v skupni rabi veliko število oddaljenih gostiteljev).
Nekatere težave
Ker so vsi notranji naslovi obremenjeni kot ena javnost, zunanjim gostiteljem ni mogoče vzpostaviti povezave s specifičnim notranjim vozliščem brez posebne konfiguracije v požarnem zidu (ki mora preusmeriti povezave na določena vrata). Aplikacije, kot so IP telefonija, videokonference in podobne storitve, morajo za pravilno delovanje uporabljati tehnike prehoda NAT.
Nazaj naslov in vrata prevod (napeto) omogoča gostitelja, katerega pravi IP naslov razlikuje od časa do časa, da ostane na voljo kot strežnik z določenim IP-naslov v domačem omrežju. Načeloma bi to moralo omogočiti konfiguracijo strežnikov, da ohranijo povezavo. Kljub dejstvu, da to ni idealna rešitev težave, to lahko postane drugo koristno orodje v arzenalu skrbnika omrežja pri reševanju problema, kako konfigurirati NAT na usmerjevalniku.
Preurejanje naslova vrat (PAT)
Izvajanje Cisco Rapt je preurejanje naslova vrat (PAT), ki prikazuje več zasebnih naslovov IP v obliki enotnega javnega. Več naslovov je mogoče prikazati kot naslov, ker je vsak od njih sledil s številko vrat. PAT uporablja enotne izvorne številke vrat na notranjem globalnem IP-ju, da razlikuje smer prenosa podatkov. Te številke so 16-bitna cela števila. Skupno število notranjih naslovov, ki jih je mogoče prenesti na eno zunanjo, lahko teoretično doseže 65.536. Dejansko število vrat, za katera je mogoče dodeliti en IP naslov, je približno 4000. Običajno PAT poskuša obdržati izvorno vrata originala. Če je že v uporabi, Port Address Translation dodeljuje prvo številko vrat, ki je na voljo od začetka ustrezne skupine - 0-511, 512-1023 ali 1024-65535. Če ni več dostopnih vrat in je več kot en zunanji IP-naslov, se PAT premakne na naslednjo, da bi poskusil dodeliti izvorno vrata. Ta postopek se nadaljuje, dokler se ne izčrpajo razpoložljivi podatki.
Naslov in pristanišče prikaže storitev Cisco, ki združuje naslov portala za prevod s podatki o prenosu paketov IPv4 prek notranjega omrežja IPv6. Pravzaprav je to neuradna alternativa za CarrierGrade NAT in DS-Lite, ki podpira IP-prevod naslovov / vrat (in zato so podprte NAT-nastavitve). Tako se izognemo težavam pri nameščanju in vzdrževanju povezave, poleg tega pa tudi mehanizem za selitev za razvijanje IPv6.
Metode prevajanja
Obstaja več načinov za izvajanje prevod omrežni naslov in pristanišče. V nekaterih primerih so protokoli, ki jih aplikacije uporabljajo za delo z IP-naslovov, ki delujejo v šifrirani omrežju, morate določiti zunanji naslov NAT (ki se uporablja na drugem koncu povezave), in, poleg tega pa je pogosto treba preučiti in razvrstiti vrsto prenosa. Ponavadi je to storjeno, ker je zaželeno, da se vzpostavi neposreden komunikacijski kanal (ali shranite nemoten prenos podatkov preko strežnika ali za izboljšanje učinkovitosti) med strankami, ki sta obe posameznih NAT.
V ta namen (kako konfigurirati NAT) leta 2003 je bil razvit poseben protokol RFC 3489, ki zagotavlja preprost obvoz UDP prek NATS-a. Do danes je zastarelo, ker takšne metode danes niso dovolj, da pravilno ocenijo uspešnost številnih naprav. Nove metode so bile standardizirane v RFC 5389, ki je bila razvita oktobra 2008. Ta specifikacija se danes imenuje SessionTraversal in je koristna za delo NAT.
Ustvarjanje dvosmerne komunikacije
Vsak paket TCP in UDP vsebuje izvorni IP-naslov in njegovo številko vrat ter koordinate ciljnih vrat.
Za pridobitev takšnih javnih storitev kot funkcionalnost poštnih strežnikov je pomembna številka vrat. Na primer, pristanišče 80 povezava s programsko opremo spletnega strežnika in 25 - na poštni strežnik SMTP. IP naslov javnega strežnika je prav tako pomemben, podoben poštnemu naslovu ali telefonski številki. Oba parametra morajo biti zanesljivo znana vsem vozliščem, ki nameravajo vzpostaviti povezavo.
Zasebni naslovi IP so pomembni samo v lokalnih omrežjih, kjer se uporabljajo, pa tudi v vratih gostitelja. Vrata so edinstvene končne točke komunikacije na gostitelju, zato je povezava prek NAT podprta s kombiniranjem kartografije vrat in IP-naslova.
PAT (Port AddressTranslation) odpravlja konflikte, ki se lahko pojavijo med dvema različnima gostiteljema z isto številko vira vira, ki hkrati vzpostavljajo edinstvene povezave.
Kakšen je MAC naslov računalnika?
Mac naslov. Kako se učiti in spremeniti?- Konfiguriranje naslova IP v omrežju: odkrivanje in ločevanje
Kako izračunati naslov po IP-naslovu - dokazano
IP - kaj je to?
Moj IP-naslov računalnika v lokalnem omrežju: kako identificirati novega
Protokoli ARP, RARP, IP, ICMP. Za kaj se uporablja ARP?- Kako narediti trajno IP?
Kako ročno spremeniti naslov IP ali uporabljati programe- Kaj je TCP-IP?
- Osnove mrežne administracije. Kaj je IP-naslov
- Kaj je usmerjevalnik? Usposabljanje usmerjevalnika
- Kako omogočiti DHCP?
Geslo do 192.168.0.1: tankočenost postopka
Ukazi Tcpdump (primeri)
Konfiguriranje statičnega usmerjanja
Tabela usmerjanja je preglednica. Tabela usmerjanja: opis, gradnja, ukaz in priporočila
Internetni prehod je zanesljiv satelit svetovnega spleta
Statični in dinamični IP naslov
Spreminjanje IP naslova računalnika - zakaj bi to potrebovali?
Omrežni parametri in razredi