NAT

5.1 Bevezetés a NAT-ba

Egy másik nagyon érdekes téma a NAT. A NAT a Network Address Translation rövidítése , és általában minden útválasztóban megtalálható szolgáltatásként. Tehát mi ez és miért van rá szükség?

A NAT egy olyan pont, amelyen keresztül a helyi hálózatok kapcsolódhatnak globális hálózatokhoz, például az internethez.

Mint már tudja, a helyi hálózatokon minden számítógépnek (és a hálózathoz csatlakoztatott egyéb eszköznek) saját helyi IP-címe van. Az interneten lévő szerverrel való adatcseréhez pedig az szükséges, hogy a számítógépünk kérést tudjon küldeni a szervernek, a szerver pedig választ tudjon nekünk küldeni. És hova küldjön választ, ha az IP-címünk a helyi hálózatunkon kívül ismeretlen?

Képzelje el, hogy papírlevelet ír Donald Trumpnak. Trump közszereplő, ő az egyetlen – ez a nyilvános szerverünk. És a levélben visszaküldési címként mását tünteti fel. Cefréj sokat. Melyik Masha küldje el a választ?

Levelet küld tehát washingtoni ismerősének, aki szintén közszereplő, szigorú utasítással, hogy küldje el Trumpnak. A barátja kap egy levelet, elküldi Trumpnak, és visszaküldési címként megadja washingtoni címét.

Majd miután megkapta a választ Trumptól, az ismerős továbbítja neked. Ugyanez az IP csomagokkal...

Ahhoz, hogy egy privát IPv4-címmel rendelkező eszköz hozzáférjen a helyi hálózaton kívüli eszközökhöz és erőforrásokhoz, a privát címet először nyilvános nyilvános címre kell módosítani.

Csak a NAT fordítja le a privát címeket nyilvános címekre. Ez lehetővé teszi, hogy egy helyi IP-címmel rendelkező eszköz hozzáférjen a magánhálózatán kívüli erőforrásokhoz. A NAT a helyi IP-címekkel kombinálva hasznos módszernek bizonyult a nyilvános IPv4-címek karbantartására.

8 milliárd ember él a világon, és már sokkal több hálózati eszköz van: telefonok, laptopok, okosórák, szerverek, bármilyen okoseszköz. És csak 4 milliárd IP-cím van. Korábban soknak tűnt, de az internet rohamos növekedésével mindenki számára világossá vált, hogy ez nem elég.

Itt a NAT jön segítségül: egy nyilvános IPv4-címet több száz, akár több ezer eszköz használhat, amelyek mindegyikének van helyi IPv4-címe. A NAT további előnye, hogy bizonyos fokú adatvédelmet és biztonságot ad a hálózatnak, mivel elrejti a belső IPv4-címeket a külső hálózatok elől.

5.2 Alhálózatok a NAT-ban

A LAN-okat általában privát IP-címekkel tervezik. Ezek privát alhálózatokból származó címek 10.0.0.0/8és 172.16.0.0/12. 192.168.0.0/16Ezeket az IP-címeket egy szervezet vagy webhely belsőleg használja, hogy lehetővé tegye az eszközök helyi kommunikációját, az interneten nem irányíthatók.

A NAT-kompatibilis útválasztók egy vagy több érvényes nyilvános IPv4-címmel konfigurálhatók. Ezeket a nyilvános címeket NAT-készletnek nevezzük.

Amikor a belső hálózaton lévő eszköz forgalmat küld a hálózatról a külső felé, a NAT-kompatibilis útválasztó lefordítja az eszköz belső IP-címét a NAT-készlet nyilvános IP-címére. A külső eszközök számára úgy tűnik, hogy a hálózatba be- és kimenő forgalom nyilvános IP-címmel rendelkezik.

A NAT útválasztó általában a Stub hálózat szélén működik. A csonkhálózat a hálózatelméletből származó kifejezés: olyan csonkhálózat, amelynek egyetlen kapcsolata van a szomszédos hálózattal, egy be- és kilépés a hálózatból.

Amikor a Stub hálózaton belüli eszköz kommunikálni akar egy hálózatán kívüli eszközzel, a csomag továbbításra kerül az útválasztóhoz, és az NAT folyamatot hajt végre, lefordítva az eszköz belső privát címét nyilvános, külső, irányítható címre.

5.3 NAT terminológia

Ha belemélyedünk a hálózatok elméletébe, akkor a NAT egy belső hálózat, amely lefordítandó alhálózatok halmaza. A külső hálózat az összes többi hálózatra vonatkozik.

A NAT használatakor az IP-címek eltérő megnevezéssel rendelkeznek attól függően, hogy magánhálózaton vagy nyilvános hálózaton (az interneten) vannak-e, és hogy a forgalom bejövő vagy kimenő-e.

A NAT négyféle címet tartalmaz:

• Belső helyi cím (Inside local address);
• Belső globális cím (Inside global address);
• Helyi címen kívül ;
• Külső globális cím (Külső globális cím);

A használt címtípus meghatározásakor fontos megjegyezni, hogy a NAT terminológiát mindig a lefordított címmel rendelkező eszköz szempontjából alkalmazzuk:

• Belső cím (Belső cím) - a NAT által lefordított eszköz címe;
• Külső cím – céleszköz címe;
• A helyi cím minden olyan cím, amely a hálózaton belül megjelenik;
• A globális cím minden olyan cím, amely a hálózaton kívül jelenik meg.

Nézzük meg ezt egy diagrampéldával.

A bal oldali képen látható számítógépnek van egy belső helyi ( Inside local ) címe 192.168.1.5, és ebből a szempontból a webszervernek van egy külső ( külső ) címe 208.141.17.4. Amikor a számítógépről adatcsomagokat küldenek a webszerver globális címére, a számítógép belső helyi ( Inside local208.141.16.5 ) címe ( belül globális ) címre fordítódik . A külső eszköz címét általában nem fordítják le, mert nyilvános IPv4-címről van szó.

Érdemes megjegyezni, hogy egy számítógépnek két címe van: helyi és globális címe, míg a webszervernek ugyanaz a nyilvános IP-címe. Az ő szemszögéből a számítógépről érkező forgalom a belső globális címről származik 208.141.16.5. A NAT útválasztó a belső és külső hálózatok, valamint a helyi és globális címek közötti elválasztási pont.

A belső és külső kifejezések a helyi és globális kifejezésekkel egyesítve meghatározott címekre vonatkoznak. Az ábrán az útválasztó úgy van beállítva, hogy NAT-ot biztosítson, és nyilvános címek készlete van hozzárendelve a belső gazdagépekhez.

5.4 Csomag elérési útja

Ha már fáradt, akkor menjen a következő előadásra. Ha még mindig érdekel, üdvözöljük lejjebb a féreglyukban.

Az alábbi ábra azt mutatja, hogy a NAT-kompatibilis útválasztón keresztül a belső számítógépről a külső webszerverre hogyan küldik el a forgalmat, és hogyan továbbítják azt.

Belső helyi cím – A forráscím a belső hálózatról nézve. Az ábrán a cím 192.168.1.5hozzá van rendelve a számítógéphez - ez a belső helyi címe.

Belső globális cím – A forráscím a külső hálózatról nézve. Az ábrán, amikor a számítógép forgalmát a webszerverre küldik a címen 208.141.17.4, az útválasztó lefordítja a belső helyi címet (helyi címet) a belső globális címre (Inside global address). Ebben az esetben az útválasztó megváltoztatja az IPv4 forráscímét -ról 192.168.1.5-ra 208.141.16.5.

Külső globális cím – a cél címe a külső hálózatról nézve. Ez egy globálisan irányítható IP-cím, amely egy gazdagéphez van hozzárendelve az interneten. Az ábrán a webszerver a címen érhető el 208.141.17.4. Leggyakrabban a külső helyi és külső globális címek megegyeznek.

Helyi címen kívül – A címzett címe a belső hálózatról nézve. Ebben a példában a számítógép forgalmat küld a webszervernek a címen208.141.17.4

Most nézzük meg a teljes csomagútvonalat. A címmel rendelkező számítógép 192.168.1.5megpróbál kommunikálni a webszerverrel 208.141.17.4. Amikor egy csomag megérkezik egy NAT-kompatibilis útválasztóhoz, beolvassa a csomag cél IP-címét, hogy megállapítsa, hogy a csomag megfelel-e a fordításhoz megadott feltételeknek. Ebben a példában a forráscím megfelel a feltételeknek, és 192.168.1.5(helyi cím belső címéről) 208.141.16.5(globális cím belső címére) lesz fordítva.

Az útválasztó hozzáadja ezt a helyi-globális címleképezést a NAT-táblához, és elküldi a csomagot a lefordított forráscímmel a célállomásnak. A webszerver a számítógép belső globális címére ( ) címzett csomaggal válaszol 208.141.16.5.

Az útválasztó fogad egy csomagot egy célcímmel 208.141.16.5, és ellenőrzi a NAT-táblázatban az adott leképezéshez tartozó bejegyzést. Ezt az információt használja fel, és a belső globális címet ( ) visszafordítja 208.141.16.5belső helyi címre ( 192.168.1.5), a csomag átirányítja a PC-re.

5.5 A NAT előnyei és hátrányai

A NAT szolgáltatás egy nagyon hatékony megoldás, amelyet mindenhol használnak. A NAT számos előnnyel jár, többek között:

• A NAT regisztrált címzési sémát tart fenn, amely rugalmas LAN működést biztosít. A NAT segítségével a belső gazdagépek egyetlen nyilvános IP-címet oszthatnak meg az összes külső kommunikációhoz. Ez a fajta konfiguráció nagyon kevés külső címet igényel sok belső gazdagép támogatásához.
• A NAT növeli az internetkapcsolatok rugalmasságát. Több készlet, tartalék készlet és terheléselosztási készlet is megvalósítható a megbízható nyilvános hálózati kapcsolatok biztosításához.
• A NAT konzisztenciát biztosít a hálózat belső címzési sémái számára. Olyan hálózaton, amely nem használ privát IP-címeket és NAT-ot, az általános IP-címséma megváltoztatásához át kell irányítani a meglévő hálózaton lévő összes gazdagépet. A gazdagép továbbításának költsége jelentős lehet. A NAT lehetővé teszi a meglévő IPv4 privát címzési séma fennmaradását, miközben lehetővé teszi az új nyilvános címzési séma egyszerű megváltoztatását. Ez azt jelenti, hogy egy szervezet szolgáltatót válthat, és nem kell megváltoztatnia egyetlen belső ügyfelet sem.
• A NAT hálózati biztonságot nyújt . Mivel a magánhálózatok nem hirdetik címeiket vagy belső topológiájukat, meglehetősen megbízhatóak maradnak, ha a NAT-tal együtt használják ellenőrzött külső hozzáféréshez. Azonban meg kell értenie, hogy a NAT nem helyettesíti a tűzfalakat.

De a NAT-nak van néhány hátránya . Az a tény, hogy az interneten található gazdagépek úgy tűnik, hogy közvetlenül egy NAT-kompatibilis eszközzel beszélnek, nem pedig a magánhálózaton belüli tényleges gazdagéphez, számos problémát okoz:

• A NAT használatának egyik hátránya a hálózati teljesítményhez kapcsolódik, különösen a valós idejű protokollok, például a VoIP esetében. A NAT megnöveli a váltási késéseket, mivel a csomagfejlécekben szereplő egyes IP-címek fordítása időt vesz igénybe.
• A NAT használatának másik hátránya, hogy a végpontok közötti címzés elveszik. Számos internetes protokoll és alkalmazás a végpontok közötti címzésre támaszkodik a forrástól a célig. Egyes alkalmazások nem működnek a NAT-tal. A minősített tartománynév helyett fizikai címeket használó alkalmazások nem érik el a NAT-útválasztón keresztül lefordított célállomásokat. Ez néha elkerülhető statikus NAT-leképezések megvalósításával.
• A végpontok közötti IPv4 nyomkövetés is elvész. Nehezebb nyomon követni azokat a csomagokat, amelyek többszörös csomagcímváltozáson esnek át több NAT ugrás során, ami megnehezíti a hibaelhárítást.
• A NAT használata az alagútkezelési protokollokat, például az IPsec-et is megnehezíti, mivel a NAT olyan értékeket változtat a fejlécekben, amelyek zavarják az IPsec és más alagútkezelési protokollok által végzett integritás-ellenőrzéseket.
• Azok a szolgáltatások, amelyek TCP-kapcsolatokat igényelnek a külső hálózatról, vagy állapot nélküli protokollokat, például az UDP-t használó protokollokat, megszakadhatnak. Ha a NAT útválasztó nincs konfigurálva e protokollok támogatására, a bejövő csomagok nem érik el a célt.