5.1 Einführung in NAT
Ein weiteres sehr interessantes Thema ist NAT. NAT steht für Network Address Translation und ist in der Regel in jedem Router als Dienst vorhanden. Was ist das also und warum wird es benötigt?
NAT ist ein Punkt, über den lokale Netzwerke mit globalen Netzwerken, beispielsweise dem Internet, verbunden werden können.
Wie Sie bereits wissen, haben in lokalen Netzwerken alle Computer (und andere mit dem Netzwerk verbundene Geräte) ihre eigenen lokalen IP-Adressen. Und um Daten mit einem Server im Internet auszutauschen, ist es notwendig, dass unser Computer eine Anfrage an den Server senden kann und der Server uns eine Antwort senden kann. Und wohin soll er eine Antwort senden, wenn unsere IP-Adresse außerhalb unseres lokalen Netzwerks unbekannt ist?
Stellen Sie sich vor, Sie schreiben einen Papierbrief an Donald Trump. Trump ist eine Persönlichkeit des öffentlichen Lebens, er ist der Einzige – das ist unser öffentlicher Server. Und Sie geben im Brief Mascha als Absenderadresse an. Viel pürieren. Welcher Mascha soll die Antwort geschickt werden?
Sie schicken also einen Brief an Ihren Bekannten in Washington, ebenfalls eine Persönlichkeit des öffentlichen Lebens, mit der strikten Anweisung, ihn an Trump zu senden. Ihr Freund erhält einen Brief, schickt ihn an Trump und gibt als Absenderadresse seine Adresse in Washington an.
Nachdem er dann eine Antwort von Trump erhalten hat, leitet der Bekannte diese an Sie weiter. Das Gleiche gilt für IP-Pakete ...
Damit ein Gerät mit einer privaten IPv4-Adresse auf Geräte und Ressourcen außerhalb des lokalen Netzwerks zugreifen kann, muss die private Adresse zunächst in eine öffentliche öffentliche Adresse geändert werden.
Nur NAT übersetzt private Adressen in öffentliche. Dadurch kann ein Gerät mit einer lokalen IP-Adresse auf Ressourcen außerhalb seines privaten Netzwerks zugreifen. NAT hat sich in Kombination mit lokalen IP-Adressen als nützliche Methode zur Verwaltung öffentlicher IPv4-Adressen erwiesen.
Es gibt 8 Milliarden Menschen auf der Welt, und es gibt bereits viel mehr Netzwerkgeräte: Telefone, Laptops, Smartwatches, Server, alle intelligenten Geräte. Und es gibt nur 4 Milliarden IP-Adressen. Früher schien es viel zu sein, aber mit dem rasanten Wachstum des Internets wurde jedem klar, dass dies nicht ausreichte.
Hier kommt NAT zur Rettung: Eine öffentliche IPv4-Adresse kann von Hunderten oder sogar Tausenden Geräten verwendet werden, von denen jedes über eine lokale IPv4-Adresse verfügt. NAT hat den zusätzlichen Vorteil, dass es einem Netzwerk ein gewisses Maß an Privatsphäre und Sicherheit verleiht, da es interne IPv4-Adressen vor externen Netzwerken verbirgt.
5.2 Subnetze in NAT
LANs sind normalerweise mit privaten IP-Adressen ausgestattet. Dies sind Adressen aus privaten Subnetzen 10.0.0.0/8
und 172.16.0.0/12
. 192.168.0.0/16
Diese IP-Adressen werden intern von einer Organisation oder einem Standort verwendet, um Geräten die lokale Kommunikation zu ermöglichen. Sie sind im Internet nicht routbar.
NAT-fähige Router können mit einer oder mehreren gültigen öffentlichen IPv4-Adressen konfiguriert werden. Diese öffentlichen Adressen werden als NAT-Pool bezeichnet.
Wenn ein Gerät im internen Netzwerk Datenverkehr vom Netzwerk nach außen sendet, übersetzt der NAT-fähige Router die interne IP-Adresse des Geräts in die öffentliche IP-Adresse aus dem NAT-Pool. Für externe Geräte scheint der gesamte Datenverkehr in und aus dem Netzwerk eine öffentliche IP-Adresse zu haben.
Ein NAT-Router wird normalerweise am Rande eines Stub-Netzwerks betrieben. Ein Stub-Netzwerk ist ein Begriff aus der Netzwerktheorie: ein Stub-Netzwerk, das eine Verbindung zu einem benachbarten Netzwerk sowie einen Ein- und Ausgang aus dem Netzwerk hat.
Wenn ein Gerät innerhalb des Stub-Netzwerks mit einem Gerät außerhalb seines Netzwerks kommunizieren möchte, wird das Paket an den Router weitergeleitet und dieser führt einen NAT-Prozess durch, bei dem die interne private Adresse des Geräts in eine öffentliche, externe, routbare Adresse übersetzt wird.
5.3 NAT-Terminologie
Wenn Sie sich mit der Netzwerktheorie befassen, dann ist NAT ein internes Netzwerk, bei dem es sich um eine Reihe von zu übersetzenden Subnetzen handelt. Das externe Netzwerk bezieht sich auf alle anderen Netzwerke.
Bei der Verwendung von NAT erhalten IP-Adressen unterschiedliche Bezeichnungen, je nachdem, ob sie sich in einem privaten Netzwerk oder in einem öffentlichen Netzwerk (im Internet) befinden und ob der Datenverkehr ein- oder ausgehend ist.
NAT umfasst vier Arten von Adressen:
- Interne lokale Adresse (Innere lokale Adresse);
- Interne globale Adresse (Innere globale Adresse);
- Außerhalb der örtlichen Adresse ;
- Externe globale Adresse (Außerhalb der globalen Adresse);
Bei der Bestimmung, welcher Adresstyp verwendet wird, ist es wichtig zu bedenken, dass die NAT-Terminologie immer aus der Sicht des Geräts mit der übersetzten Adresse angewendet wird:
- Interne Adresse (Innere Adresse) – Adresse des Geräts, die von NAT übersetzt wird;
- Externe Adresse – Zielgeräteadresse;
- Eine lokale Adresse ist jede Adresse, die intern im Netzwerk erscheint;
- Eine globale Adresse ist jede Adresse, die außerhalb des Netzwerks erscheint.
Schauen wir uns dies anhand eines Diagrammbeispiels an.
Der Computer im Bild links hat eine interne lokale ( Inside Local ) Adresse 192.168.1.5
, und aus seiner Sicht hat der Webserver eine externe ( Outside ) Adresse 208.141.17.4
. Wenn Datenpakete vom Computer an die globale Adresse des Webservers gesendet werden, wird die interne lokale ( Inside Local ) Adresse des PCs in 208.141.16.5
( Inside Global ) übersetzt. Die externe Geräteadresse wird normalerweise nicht übersetzt, da es sich um eine öffentliche IPv4-Adresse handelt.
Es ist erwähnenswert, dass ein Computer sozusagen zwei Adressen hat: lokale und globale Adressen, während ein Webserver dieselbe öffentliche IP-Adresse hat. Aus seiner Sicht stammt der vom Computer ausgehende Datenverkehr von der internen globalen Adresse 208.141.16.5
. Ein NAT-Router ist der Trennpunkt zwischen internen und externen Netzwerken sowie zwischen lokalen und globalen Adressen.
Die Begriffe „ innen “ und „außen“ werden mit den Begriffen „lokal “ und „ global“ kombiniert , um sich auf bestimmte Adressen zu beziehen. In der Abbildung ist der Router für die Bereitstellung von NAT konfiguriert und verfügt über einen Pool öffentlicher Adressen, die internen Hosts zugewiesen werden können.
5.4 Paketpfad
Wenn Sie schon müde sind, dann gehen Sie zur nächsten Vorlesung. Wenn Sie immer noch interessiert sind, dann heißen wir Sie weiter unten im Wurmloch herzlich willkommen.
Die folgende Abbildung zeigt, wie Datenverkehr von einem internen Computer über einen NAT-fähigen Router an einen externen Webserver gesendet, ausgesendet und zurückgeleitet wird.
Router-NAT-Tabelle | |||
---|---|---|---|
PC | Webserver | ||
Insde Global | Inside Local | außerhalb lokal | Außerhalb der Welt |
208.141.17.4 | 192.168.1.5 | 208.141.16.5 | 208.141.16.5 |
Interne lokale Adresse – Die Quelladresse aus Sicht des internen Netzwerks. In der Abbildung 192.168.1.5
ist die Adresse dem Computer zugewiesen – dies ist seine interne lokale Adresse.
Interne globale Adresse – Die Quelladresse, wie sie vom externen Netzwerk aus gesehen wird. Wenn in der Abbildung Datenverkehr vom Computer unter an den Webserver gesendet wird 208.141.17.4
, übersetzt der Router die interne lokale Adresse (lokale Adresse) in die innere globale Adresse (innere globale Adresse). In diesem Fall ändert der Router die IPv4- Quelladresse von 192.168.1.5
auf 208.141.16.5
.
Externe globale Adresse – die Adresse des Ziels, wie sie vom externen Netzwerk aus gesehen wird. Dabei handelt es sich um eine global routbare IP-Adresse, die einem Host im Internet zugewiesen wird. Im Diagramm ist der Webserver unter verfügbar 208.141.17.4
. Am häufigsten sind externe lokale und externe globale Adressen identisch.
Externe lokale Adresse – Die Adresse des Empfängers aus Sicht des internen Netzwerks. In diesem Beispiel sendet der Computer Datenverkehr an den Webserver unter208.141.17.4
Schauen wir uns nun den gesamten Paketpfad an. Der Computer mit der Adresse 192.168.1.5
versucht, mit dem Webserver zu kommunizieren 208.141.17.4
. Wenn ein Paket an einem NAT-fähigen Router ankommt, liest dieser die Ziel-IP-Adresse des Pakets, um festzustellen, ob das Paket den für die Übersetzung angegebenen Kriterien entspricht. In diesem Beispiel entspricht die Quelladresse den Kriterien und wird von 192.168.1.5
(Innere lokale Adresse) in 208.141.16.5
(Innere globale Adresse) übersetzt.
Der Router fügt diese Zuordnung von lokalen zu globalen Adressen der NAT-Tabelle hinzu und sendet das Paket mit der übersetzten Quelladresse an das Ziel. Der Webserver antwortet mit einem Paket, das an die interne globale Adresse des PCs adressiert ist ( 208.141.16.5
).
Der Router empfängt ein Paket mit einer Zieladresse 208.141.16.5
und überprüft die NAT-Tabelle auf einen Eintrag für diese Zuordnung. Es nutzt diese Informationen und übersetzt die innere globale Adresse ( 208.141.16.5
) zurück in die innere lokale Adresse ( 192.168.1.5
), das Paket wird zum PC umgeleitet.
5.5 Vor- und Nachteile von NAT
Der NAT-Dienst ist eine sehr leistungsstarke Lösung, die überall eingesetzt wird. NAT bietet viele Vorteile , darunter:
- NAT verwaltet ein registriertes Adressierungsschema und ermöglicht so einen flexiblen LAN-Betrieb. Mit NAT können interne Hosts eine öffentliche IP-Adresse für die gesamte externe Kommunikation teilen. Für diese Art der Konfiguration sind nur sehr wenige externe Adressen erforderlich, um viele interne Hosts zu unterstützen.
- NAT erhöht die Flexibilität von Internetverbindungen. Es können mehrere Pools, Backup-Pools und Lastausgleichspools implementiert werden, um zuverlässige öffentliche Netzwerkverbindungen bereitzustellen.
- NAT sorgt für Konsistenz für die internen Adressierungsschemata des Netzwerks. In einem Netzwerk, das keine privaten IP-Adressen und kein NAT verwendet, erfordert die Änderung des allgemeinen IP-Adressschemas die Umleitung aller Hosts im vorhandenen Netzwerk. Die Kosten für die Hostweiterleitung können erheblich sein. NAT ermöglicht die Beibehaltung des bestehenden IPv4-Privatadressierungsschemas, während das neue öffentliche Adressierungsschema problemlos geändert werden kann. Das bedeutet, dass eine Organisation den Anbieter wechseln kann und keinen ihrer internen Kunden wechseln muss.
- NAT sorgt für Netzwerksicherheit . Da private Netzwerke ihre Adressen oder interne Topologie nicht bekannt geben, bleiben sie einigermaßen zuverlässig, wenn sie in Verbindung mit NAT verwendet werden, um kontrollierten externen Zugriff zu erhalten. Sie müssen jedoch verstehen, dass NAT Firewalls nicht ersetzt.
Aber NAT hat einige Nachteile . Die Tatsache, dass Hosts im Internet scheinbar direkt mit einem NAT-fähigen Gerät und nicht mit einem tatsächlichen Host innerhalb des privaten Netzwerks kommunizieren, führt zu einer Reihe von Problemen:
- Einer der Nachteile der Verwendung von NAT hängt mit der Netzwerkleistung zusammen, insbesondere bei Echtzeitprotokollen wie VoIP. NAT erhöht die Switching-Verzögerungen, da die Übersetzung jeder IP-Adresse in den Paket-Headern Zeit benötigt.
- Ein weiterer Nachteil der Verwendung von NAT besteht darin, dass die End-to-End-Adressierung verloren geht. Viele Internetprotokolle und -anwendungen basieren auf einer End-to-End-Adressierung von der Quelle bis zum Ziel. Einige Anwendungen funktionieren nicht mit NAT. Anwendungen, die physische Adressen anstelle eines qualifizierten Domänennamens verwenden, können Ziele nicht erreichen, die über einen NAT-Router übersetzt werden. Dies kann manchmal durch die Implementierung statischer NAT-Zuordnungen vermieden werden.
- Auch die End-to-End-IPv4-Ablaufverfolgung geht verloren. Es ist schwieriger, Pakete zu verfolgen, die über mehrere NAT-Hops mehrere Paketadressenänderungen durchlaufen, was die Fehlerbehebung erschwert.
- Die Verwendung von NAT erschwert auch Tunnelprotokolle wie IPsec, da NAT Werte in Headern ändert, die die von IPsec und anderen Tunnelprotokollen durchgeführten Integritätsprüfungen beeinträchtigen.
- Dienste, die die Initiierung von TCP-Verbindungen aus dem externen Netzwerk erfordern, oder zustandslose Protokolle wie diejenigen, die UDP verwenden, können unterbrochen werden. Wenn der NAT-Router nicht für die Unterstützung dieser Protokolle konfiguriert ist, können eingehende Pakete ihr Ziel nicht erreichen.
GO TO FULL VERSION