NAT - რა არის ეს? NAT Setup

Network Address Translation (NAT) არის მეთოდი reordering ერთ მისამართზე სივრცის სხვა შეცვლით ინფორმაცია ქსელის მისამართს IP (ინტერნეტ ოქმი). რომ არის, პაკეტი სათაურებში შეიცვალა იმ დროს, როდესაც ისინი ტრანზიტისას routing მოწყობილობა. ეს მეთოდი თავდაპირველად გადამისამართება ტრაფიკი სიმარტივის IP ქსელების, თითოეული მასპინძელი გარეშე Renumbering. იგი გახდა პოპულარული და მნიშვნელოვანი ბერკეტია, შენახვისა და განაწილების გლობალური მისამართი სივრცეში პირობებში დეფიციტი IPv4 მისამართები.

NAT - რა არის ეს?

ორიგინალური გამოყენება ქსელის მისამართი თარგმანი არის MAP- თითოეული მისამართი ერთ მისამართი სივრცეში მიმართვის სხვა სივრცეში. მაგალითად, ეს აუცილებელია, თუ ინტერნეტ მომსახურების პროვაიდერი შეიცვალა, და მომხმარებელს არ შეუძლია საჯაროდ ახალი მარშრუტი ქსელში. პირობებში თვალსაწიერ გლობალური წარმოქმნილი IP მისამართი სივრცეში NAT ტექნოლოგია სულ უფრო ხშირად გამოიყენება 1990-იანი წლებიდან ერთად IP-შიფრირების (რომელიც არის მეთოდი ტრანსპორტი რამდენიმე IP მისამართები ამავე სივრცეში). ეს მექანიზმი ხორციელდება routing მოწყობილობა, რომელიც იყენებს თარგმანი მაგიდები stateful არიან "ფარული" მისამართები ერთი IP მისამართი, და ფორვარდები გამავალი IP-პაკეტების გამომუშავება. ამდენად, ისინი ნაჩვენები გამოდის routing მოწყობილობა. საპირისპირო საკომუნიკაციო არხი რეაგირება ნაჩვენები წყარო IP მისამართი გამოყენებით წესები ინახება თარგმანი მაგიდები. წესები თარგმანი მაგიდა, თავის მხრივ, განუბაჟებელი შემდეგ მოკლე პერიოდში, თუ მოძრაობის ახალი არ განაახლებს მისი მდგომარეობა. ეს არის ძირითადი მექანიზმი NAT. ეს ნიშნავს ეს?

ეს მეთოდი საშუალებას გაძლევთ კომუნიკაციის მეშვეობით როუტერი მხოლოდ მაშინ, როცა კავშირი გააკეთა დაშიფრულ ქსელი, როგორც ეს ქმნის თარგმანი მაგიდასთან. მაგალითად, ბრაუზერის ქსელში შეგიძლიათ დაათვალიეროთ საიტი უცხოეთში, მაგრამ, თუ არ არის დაყენებული გარეთ, მას არ შეუძლია გახსნას რესურსი, მდგომარეობაში მასში. მიუხედავად ამისა, NAT მოწყობილობები დღეს საშუალებას ქსელის ადმინისტრატორს კონფიგურაციის თარგმანი მაგიდა შესვლის მუდმივი გამოყენება. ეს ფუნქცია ხშირად მოიხსენიებენ როგორც სტატიკური NAT და პორტის გადამისამართება, და ეს საშუალებას მოძრაობის წარმოშობილ "გარეთ" ქსელის მიაღწიოს დანიშნულების მასპინძელი დაშიფრული ქსელის.

იმის გამო, რომ პოპულარობის ეს მეთოდი გამოიყენება შეინარჩუნოს IPv4 მისამართი სივრცეში, NAT ვადა (ეს რა არის - ზემოთ), იგი გახდა თითქმის სინონიმი შიფრირების მეთოდი.

იმის გამო, რომ NAT ცვლის მისამართზე ინფორმაცია IP-პაკეტი, მას აქვს სერიოზული გავლენა ხარისხის ინტერნეტით, და მოითხოვს დიდ ყურადღებას დეტალურად მისი განხორციელების.

მეთოდების გამოყენებით NAT განსხვავდება ერთმანეთისგან მათი კონკრეტული ქცევა სხვადასხვა საქმეებში, რომლებიც გავლენას ახდენს ქსელის ტრაფიკის.

ძირითადი NAT

უმარტივესი ტიპის Network Address Translation (NAT) უზრუნველყოფს ეთერში IP მისამართები "ერთ-ერთი." RFC 2663 არის ძირითადი ტიპის ეთერში. ამ ტიპის ცვლილება მხოლოდ IP მისამართი და ჯამი IP-header. ძირითადი ტიპის თარგმანი შეიძლება გამოყენებულ იქნას დაკავშირება ორი IP ქსელების, რომლებიც შეუთავსებელია მიმართავენ.

NAT - ის არის, რომ დამაკავშირებელი "ერთ-ბევრი"?

ყველაზე სახეობის NAT შეგიძლიათ განვსაზღვრავთ მრავალი შეტყობინების მასპინძლებს ერთი საჯაროდ დანიშნული IP მისამართი. In ტიპიური კონფიგურაცია, ლოკალური ქსელის იყენებს ერთი დანიშნული "კერძო" IP-ქვექსელი (RFC 1918). როუტერი რომ ქსელში კერძო მისამართი ამ სივრცეში.

როუტერი ასევე უკავშირდება ინტერნეტის გამოყენებით "საჯარო" მისამართები მიერ თქვენი ISP. როგორც მოძრაობის გადის ადგილობრივი ქსელის ინტერნეტთან მისამართი წყაროს თითოეული პაკეტი თარგმნა on the fly კერძო მისამართები საზოგადოებისათვის. როუტერი საჩვენებელი ძირითადი მონაცემები თითოეულ აქტიური კავშირი (განსაკუთრებით დანიშნულების მისამართი და პორტი). როდესაც პასუხი ბრუნდება, რომ იგი იყენებს კავშირი მონაცემები, რომ ინახება დროს გამავალი ეტაპი, რათა დადგინდეს, კერძო მისამართი შიდა ქსელის რომლის გაგზავნის პასუხი.

ერთი უპირატესობა ეს ფუნქცია არის ის, რომ ის ემსახურება, როგორც პრაქტიკული გამოსავალი მოსალოდნელ ამოწურვის IPv4 მისამართი სივრცეში. მაშინაც კი, დიდი ქსელების შეიძლება იყოს დაკავშირებული ინტერნეტის მეშვეობით ერთი IP მისამართი.

ყველა Datagram პაკეტი IP დაფუძნებული ქსელების 2 IP მისამართი - წყარო და დანიშნულების. როგორც წესი, პაკეტების ჩაბარების საწყისი კერძო ქსელის საჯარო ქსელის, მოგიწევთ წყარო მისამართი პაკეტი, შეცვლის დროს გადასვლას საჯარო ქსელი კერძო უკან. უფრო რთული კონფიგურაციის ასევე შესაძლებელია.

მახასიათებლები

NAT ფუნქცია შეიძლება რაღაც სპეციალური თვისებები. თავიდან აცილების მიზნით, სირთულეების როგორ უნდა თარგმნოს დაბრუნდა პაკეტების მოითხოვს მათი შემდგომი ცვლილებები. უმრავლესობის ინტერნეტ ტრაფიკი გადის პროტოკოლზე TCP და UDP და პორტის ნომერი შეიცვალა ისე, რომ კომბინაცია IP მისამართი და პორტის ნომერი საპირისპირო მიმართულებით იწყებს დატანილი მონაცემები.

ოქმები, რომლებიც არ ეფუძნება TCP ან UDP, მოითხოვს სხვადასხვა მეთოდები თარგმანი. კონტროლ შეტყობინებების პროტოკოლი ინტერნეტი (ICMP), როგორც წესი, კორელაციაშია გადაცემული მონაცემების არსებული კავშირი. ეს ნიშნავს, რომ ისინი უნდა აისახოს იმავე IP მისამართი და ნომერი მითითებული თავდაპირველად.

რა უნდა განიხილოს?

კონფიგურაცია NAT შესახებ როუტერი არ აძლევს შესაძლებლობას კავშირები "ბოლოს დასრულდება." აქედან გამომდინარე, ამ მარშრუტიზატორები ვერ მიიღებენ მონაწილეობას ზოგიერთ ინტერნეტ ოქმები. მომსახურება, რომელიც საჭიროებს დაწყების TCP კავშირები გარე ქსელის ან წევრებს გარეშე ოქმები შეიძლება იყოს მიუწვდომელი. იმ შემთხვევაში, თუ NAT როუტერი არ მიიღოს დიდი ძალისხმევა იმისთვის, რომ ასეთი ოქმები, შემომავალი პაკეტი ვერ მიაღწიონ დანიშნულების. ზოგიერთი ოქმები იტევს ერთი თარგმანი შორის მონაწილე მასპინძლებს ( "პასიურ რეჟიმში» FTP, მაგალითად), ზოგჯერ დახმარებით პროგრამა კარიბჭე, მაგრამ კავშირი იქმნება, როდესაც ორივე სისტემები გამოყოფილია ინტერნეტის გამოყენებით NAT. გამოყენება NAT ასევე ართულებს ისეთი "გვირაბის" ოქმები, როგორიცაა IPsec, რადგან იგი შეიცვლის ღირებულებების header, რომელიც ურთიერთქმედება განხილვის მოთხოვნა მთლიანობას.

არსებული პრობლემის

რთული "დან ბოლომდე დასრულდება" არის ძირითადი პრინციპი ინტერნეტი, არსებული, რადგან მისი განვითარება. არსებული მდგომარეობის ქსელში გვიჩვენებს, რომ NAT არის ამ პრინციპის დარღვევის. სპეციალისტები არსებობს სერიოზული შეშფოთება გავრცელებული გამოყენების IPv6 ქსელის მისამართი თარგმანი და ბადებს, თუ როგორ უნდა აღმოფხვრას იგი.

იმის გამო, რომ ეფემერული ბუნების მაგიდები stateful ეთერში NAT მარშრუტიზატორები, შიდა ქსელის მოწყობილობები დაკარგავს IP კავშირი, როგორც წესი, ძალიან მოკლე დროში. გარდა იმისა, რომ ასეთი NAT in როუტერი, თქვენ არ უნდა დაგვავიწყდეს, ამ ფაქტს. ეს სერიოზულად ამცირებს ოპერაციული დრო კომპაქტური მოწყობილობა, რომელიც მოქმედებს ბატარეა და აკუმულატორი.

scalability

გარდა ამისა, როდესაც გამოყენებით NAT დააფიქსირა მხოლოდ პორტების, რაც შეიძლება სწრაფად ამოწურული შიდა განაცხადების გამოყენებით ერთდროულად კავშირები (მაგალითად, HTTP-მოთხოვნა ვებ გვერდების ერთად დიდი რაოდენობით ჩადგმული ობიექტები). ეს პრობლემა შეიძლება შერბილდეს მონიტორინგის დანიშნულების IP მისამართი გარდა port (რითაც ერთი ადგილობრივი პორტი იყოფა უფრო დისტანციური მასპინძლებს).

გარკვეული სირთულეები

მას შემდეგ, რაც ყველა შიდა მისამართები გადაცმული საჯარო, გარე მასპინძლებს შეუძლებელია ინიცირებას დაკავშირებით კონკრეტული შიდა კვანძის გარეშე სპეციალური კონფიგურაცია firewall (რომელიც გადამისამართება დაკავშირებით კონკრეტული პორტი). განაცხადების როგორიცაა IP ტელეფონია, ვიდეო კონფერენციების, და ეს მომსახურება უნდა გამოვიყენოთ NAT traversal ტექნიკა ფუნქციონირებას ჩვეულებრივ.

დაბრუნება მისამართი და პორტი თარგმანი (Rapt) საშუალებას მასპინძელი, რეალური IP მისამართი მერყეობს დროდადრო, დარჩეს ხელმისაწვდომია როგორც სერვერზე ფიქსირებული IP-მისამართი სახლის ქსელში. პრინციპში, ეს უნდა დაუშვას, რომ შექმნის სერვერები შენარჩუნება დაკავშირებით. მიუხედავად იმისა, რომ ეს არ არის სრულყოფილი გადაწყვეტა პრობლემა, ეს შეიძლება იყოს კიდევ ერთი სასარგებლო ინსტრუმენტი არსენალი ქსელის ადმინისტრატორს პრობლემის მოსაგვარებლად, თუ როგორ უნდა კონფიგურაცია NAT შესახებ როუტერი.

Port Address Translation (PAT)

Cisco Rapt განხორციელება Port Address Translation (PAT), რომელიც აჩვენებს რამდენიმე კერძო IP მისამართი, როგორც ერთ-ერთი საჯარო. მრავალჯერადი მისამართები შეიძლება აისახოს როგორც მისამართი, რადგან თითოეული მათგანი მონიტორინგს პორტის ნომერი. PAT იყენებს უნიკალურ წყაროს პორტი ნომრები შიგნით გლობალური IP, გამოირჩეოდნენ მიმართულებით მონაცემთა გადაცემის. ეს ციფრები 16-bit რიცხვებით. სულ შიდა მისამართები, რომ შეიძლება ითარგმნოს ერთი გარე, შეიძლება თეორიულად მიღწევა 65536. ფაქტობრივი რაოდენობის პორტების, რომელიც ერთ IP მისამართი შეიძლება დაეკისროს, დაახლოებით 4000. როგორც წესი, PAT ცდილობს გადაარჩინოს წყარო პორტი "ორიგინალური". თუ ეს უკვე გამოიყენება, Port Address Translation ანიჭებს პირველი ხელმისაწვდომი პორტის ნომერი დაწყებული შესაბამისი ჯგუფები - 0-511, 512-1023, ან 1024-65535. როდესაც არ არსებობს უფრო ხელმისაწვდომი პორტები და არსებობს ერთზე მეტი გარე IP-მისამართი, PAT გადადის მომდევნო ცდილობენ დაადგინონ წყარო პორტი. ეს პროცესი გრძელდება აღარ არსებობს მონაცემები ხელმისაწვდომი.

მონიტორები მისამართები და პორტში Cisco განხორციელებული მომსახურება, რომელიც აერთიანებს port მისამართი თარგმანი მონაცემების გვირაბის IPv6 პაკეტების IPv4 ქსელის. ფაქტობრივად, არაფორმალური ალტერნატიული CarrierGrade NAT და DS-Lite, რომელიც მხარს უჭერს IP მისამართი თარგმანი / port (და, შესაბამისად, მხარს უჭერს NAT გარემოში). ამდენად, ის თავს არიდებს პრობლემებს, სამონტაჟო და სარემონტო დაკავშირებით, და ასევე უზრუნველყოფს გადასვლის მექანიზმი IPv6 განლაგებას.

თარგმანი მეთოდები

არსებობს რამდენიმე გზა, რათა განახორციელოს თარგმანი ქსელის მისამართი და პორტი. ზოგიერთი პროგრამები, ოქმების, რომ განაცხადების მუშაობა IP მისამართები, მოქმედი დაშიფრული ქსელის, თქვენ უნდა განსაზღვროს გარე მისამართი NAT (რომელიც გამოიყენება ჩაეგდო კავშირი), და უფრო მეტიც, ხშირად აუცილებელია შეისწავლოს და დაალაგეთ ტიპის გადაცემა. როგორც წესი, ეს კეთდება იმიტომ, რომ სასურველია, რომ დაამყაროს პირდაპირი კომუნიკაციის არხი (ან შენახვა უწყვეტი მონაცემთა გადაცემის მეშვეობით სერვერზე, ან გასაუმჯობესებლად) შორის ორი კლიენტებს, რომლებიც არიან ინდივიდუალური NAT.

ამ მიზნით, (როგორ უნდა კონფიგურაცია NAT) 2003 წელს შეიმუშავა სპეციალური ოქმი RFC 3489 Simple Traversal of UDP უზრუნველყოფს მეშვეობით NATS. დღეს ეს არის მოძველებული, იმიტომ, რომ ეს მეთოდები დღეს არ არის საკმარისი სწორად შეაფასოს მუშაობის მრავალი მოწყობილობა. ახალი მეთოდები უკვე სტანდარტიზებული RFC 5389 ოქმი, რომელიც შეიქმნა 2008 წლის ოქტომბერში. ეს დაზუსტება არის ცნობილი როგორც SessionTraversal და არის სასარგებლო, რომ NAT.

შექმნა ორი გზა საკომუნიკაციო

თითოეული პაკეტი შეიცავს TCP და UDP IP წყარო მისამართი და პორტის ნომერი, ასევე კოორდინატები დანიშნულების პორტში.

ასეთი საზოგადოებრივი მომსახურების, როგორც ფუნქციური e-mail სერვერები, პორტის ნომერი არის მნიშვნელოვანი. მაგალითად, პორტში 80 არის დაკავშირებული პროგრამული უზრუნველყოფა, სერვერზე, და 25 - მდე SMTP ფოსტის სერვერიდან. სერვერის საჯარო IP მისამართი, ასევე მნიშვნელოვანია, როგორც საფოსტო მისამართი, ან ტელეფონის ნომერი. ორივე ამ პარამეტრების უნდა იყოს აღბეჭდილი ცნობილია, რომ ყველა კვანძების რომ ვაპირებთ დაკავშირება.

პირადი IP მისამართები აქვს მნიშვნელობა მხოლოდ ადგილობრივი ქსელები, სადაც ისინი გამოიყენება, ისევე როგორც მასპინძელი პორტები. პორტები უნიკალური ბოლომდე წერტილი დაკავშირებით მასპინძელი, ამიტომ დაკავშირებით მეშვეობით NAT მხარდაჭერით კომბინირებული პორტი რუკების და IP მისამართები.

PAT (Port AddressTranslation) გადაწყვეტილებას კონფლიქტების, რომელიც შეიძლება წარმოიშვას ორ სხვადასხვა მასპინძლებს გამოყენებით იმავე წყაროს პორტის ნომერი შექმნას უნიკალური კავშირები ამავე დროს.