NAT

Modul 3
Nivå , Lekse
Tilgjengelig

5.1 Introduksjon til NAT

Et annet veldig interessant emne er NAT. NAT står for Network Address Translation og er vanligvis til stede i hver ruter som en tjeneste. Så hva er det og hvorfor er det nødvendig?

NAT er et punkt der lokale nettverk kan kobles til globale nettverk, slik som Internett, for eksempel.

Som du allerede vet, på lokale nettverk har alle datamaskiner (og andre enheter koblet til nettverket) sine egne lokale IP-adresser. Og for å utveksle data med en server på Internett, er det nødvendig at datamaskinen vår kan sende en forespørsel til serveren og serveren kan sende oss et svar. Og hvor skal han sende et svar hvis IP-adressen vår er ukjent utenfor vårt lokale nettverk?

Tenk deg at du skriver et papirbrev til Donald Trump. Trump er en offentlig person, han er den eneste – dette er vår offentlige server. Og du angir Masha som returadressen i brevet. Mos mye. Hvilken Masha skal få svaret?

Så du sender et brev til din bekjente i Washington, også en offentlig person, med strenge instruksjoner om å sende det til Trump. Vennen din mottar et brev, sender det til Trump og oppgir sin adresse i Washington som returadresse.

Så, etter å ha mottatt et svar fra Trump, videresender bekjenten det til deg. Samme med IP-pakker...

For å tillate en enhet med en privat IPv4-adresse å få tilgang til enheter og ressurser utenfor det lokale nettverket, må den private adressen først endres til en offentlig offentlig adresse.

Bare NAT oversetter private adresser til offentlige. Dette lar en enhet med en lokal IP-adresse få tilgang til ressurser utenfor det private nettverket. NAT, kombinert med lokale IP-adresser, har vist seg å være en nyttig metode for å opprettholde offentlige IPv4-adresser.

Det er 8 milliarder mennesker i verden, og det er allerede mange flere nettverksenheter: telefoner, bærbare datamaskiner, smartklokker, servere, alle smarte enheter. Og det er bare 4 milliarder IP-adresser. Det pleide å virke som mye, men med den raske veksten av Internett ble det klart for alle at dette ikke var nok.

Her kommer NAT til unnsetning: én offentlig IPv4-adresse kan brukes av hundrevis, til og med tusenvis av enheter, som hver har en lokal IPv4-adresse. NAT har den ekstra fordelen av å legge til en viss grad av personvern og sikkerhet til et nettverk fordi det skjuler interne IPv4-adresser fra eksterne nettverk.

5.2 Subnett i NAT

LAN er vanligvis utformet med private IP-adresser. Dette er adresser fra private undernett 10.0.0.0/8, 172.16.0.0/12og 192.168.0.0/16. Disse IP-adressene brukes internt av en organisasjon eller et nettsted for å tillate enheter å kommunisere lokalt, de kan ikke rutes på internett.

NAT-aktiverte rutere kan konfigureres med én eller flere gyldige offentlige IPv4-adresser. Disse offentlige adressene kalles en NAT-pool.

Når en enhet på det interne nettverket sender trafikk fra nettverket til utsiden, oversetter den NAT-aktiverte ruteren den interne IP-adressen til enheten til den offentlige IP-adressen fra NAT-poolen. For eksterne enheter ser all trafikk inn og ut av nettverket ut til å ha en offentlig IP-adresse.

En NAT-ruter opererer vanligvis på kanten av et Stub-nettverk. Et stubbnett er et begrep fra nettverksteori: et stubbnettverk som har én forbindelse til et nabonettverk, én inn- og utgang fra nettverket.

Når en enhet innenfor Stub-nettverket ønsker å kommunisere med en enhet utenfor nettverket, blir pakken videresendt til ruteren og den utfører en NAT-prosess, og oversetter enhetens interne private adresse til en offentlig, ekstern, ruterbar adresse.

5.3 NAT-terminologi

Hvis du fordyper deg i teorien om nettverk, er NAT et internt nettverk, som er et sett med undernett som skal oversettes. Det eksterne nettverket refererer til alle andre nettverk.

Ved bruk av NAT har IP-adresser ulike betegnelser basert på om de er på et privat nettverk eller på et offentlig nettverk (på Internett) og om trafikken er innkommende eller utgående.

NAT inkluderer fire typer adresser:

  • Intern lokal adresse (inne i lokal adresse);
  • Intern global adresse (Intern global adresse);
  • Utenfor lokal adresse ;
  • Ekstern global adresse (Global ekstern adresse);

Når du bestemmer hvilken type adresse som brukes, er det viktig å huske at NAT-terminologi alltid brukes fra enhetens synspunkt med den oversatte adressen:

  • Intern adresse (innsideadresse) - adressen til enheten som er oversatt av NAT;
  • Ekstern adresse – destinasjonsenhetsadresse;
  • En lokal adresse er en hvilken som helst adresse som vises internt på nettverket;
  • En global adresse er en hvilken som helst adresse som vises på utsiden av nettverket.

La oss se på dette med et diagrameksempel.

Datamaskinen på bildet til venstre har en intern lokal ( Inne i lokal ) adresse 192.168.1.5, og fra sitt synspunkt har webserveren en ekstern ( utenfor ) adresse 208.141.17.4. Når datapakker sendes fra datamaskinen til den globale adressen til webserveren, blir den interne lokale ( Inside local ) adressen til PC-en oversatt til 208.141.16.5( innenfor global ). Den eksterne enhetsadressen blir vanligvis ikke oversatt fordi den er en offentlig IPv4-adresse.

Det er verdt å merke seg at en datamaskin så å si har to adresser: lokale og globale adresser, mens en webserver har samme offentlige IP-adresse. Fra hans synspunkt kommer trafikken som stammer fra datamaskinen fra den interne globale adressen 208.141.16.5. En NAT-ruter er skillepunktet mellom interne og eksterne nettverk, og mellom lokale og globale adresser.

Begrepene innenfor og utenfor er kombinert med begrepene lokal og global for å referere til spesifikke adresser. På figuren er ruteren konfigurert til å gi NAT og har en pool av offentlige adresser som kan tildeles til interne verter.

5.4 Pakkebane

Hvis du allerede er sliten, så gå til neste forelesning. Hvis du fortsatt er interessert, så velkommen lenger ned i ormehullet.

Figuren nedenfor viser hvordan trafikk sendes fra en intern datamaskin til en ekstern webserver gjennom en NAT-aktivert ruter, sendes ut og videresendes tilbake.

Subnett i NAT 3
ruter NAT-tabell
PC Internett server
Insde Global Inne lokalt utenfor lokalt Utenfor Global
208.141.17.4 192.168.1.5 208.141.16.5 208.141.16.5

Inne i lokal adresse - Kildeadressen sett fra det interne nettverket. På figuren 192.168.1.5er adressen tilordnet datamaskinen - dette er dens interne lokale adresse.

Inside global address - Kildeadressen sett fra det eksterne nettverket. I figuren, når trafikk fra datamaskinen sendes til nettserveren på 208.141.17.4, oversetter ruteren den interne lokale adressen (lokal adressen) til den indre globale adressen (Global adresse). I dette tilfellet endrer ruteren IPv4- kildeadressen fra 192.168.1.5til 208.141.16.5.

Global ekstern adresse - adressen til destinasjonen sett fra det eksterne nettverket. Dette er en globalt rutbar IP-adresse som er tildelt en vert på Internett. I diagrammet er webserveren tilgjengelig på 208.141.17.4. Oftest er eksterne lokale og eksterne globale adresser de samme.

Utenfor lokal adresse - Mottakerens adresse sett fra det interne nettverket. I dette eksemplet sender datamaskinen trafikk til webserveren kl208.141.17.4

La oss nå se på hele pakkebanen. Datamaskinen med adressen 192.168.1.5prøver å kommunisere med webserveren 208.141.17.4. Når en pakke ankommer en NAT-aktivert ruter, leser den pakkens destinasjons-IP-adresse for å finne ut om pakken samsvarer med kriteriene som er spesifisert for oversettelse. I dette eksemplet samsvarer kildeadressen med kriteriene og er oversatt fra 192.168.1.5(Innen i lokal adresse) til 208.141.16.5(Innen i global adresse).

Ruteren legger til denne lokal-til-globale adressekartleggingen til NAT-tabellen og sender pakken med den oversatte kildeadressen til destinasjonen. Webserveren svarer med en pakke adressert til PCens interne globale adresse ( 208.141.16.5).

Ruteren mottar en pakke med en destinasjonsadresse 208.141.16.5og sjekker NAT-tabellen for en oppføring for den tilordningen. Den bruker denne informasjonen og oversetter tilbake den innvendige globale adressen ( 208.141.16.5) til den innvendige lokale adressen ( 192.168.1.5), pakken blir omdirigert til PC-en.

5.5 Fordeler og ulemper med NAT

NAT-tjenesten er en veldig kraftig løsning som brukes overalt. NAT gir mange fordeler , inkludert:

  • NAT opprettholder et registrert adresseringsskjema som gir fleksibel LAN-drift. Med NAT kan interne verter dele én offentlig IP-adresse for all ekstern kommunikasjon. Denne typen konfigurasjon krever svært få eksterne adresser for å støtte mange interne verter.
  • NAT øker fleksibiliteten til Internett-tilkoblinger. Flere bassenger, backup-pooler og lastbalanseringspooler kan implementeres for å gi pålitelige offentlige nettverkstilkoblinger.
  • NAT gir konsistens for nettverkets interne adresseringsordninger. På et nettverk som ikke bruker private IP-adresser og NAT, krever endring av det generelle IP-adresseskjemaet omdirigering av alle verter på det eksisterende nettverket. Kostnaden for vertsvideresending kan være betydelig. NAT lar det eksisterende IPv4 private adresseringsskjemaet forbli, samtidig som det nye offentlige adresseringsskjemaet enkelt kan endres. Dette betyr at en organisasjon kan bytte leverandør og ikke trenger å endre noen av sine interne kunder.
  • NAT gir nettverkssikkerhet . Fordi private nettverk ikke annonserer deres adresser eller interne topologi, forblir de rimelig pålitelige når de brukes sammen med NAT for å få kontrollert ekstern tilgang. Du må imidlertid forstå at NAT ikke erstatter brannmurer.

Men NAT har noen ulemper . Det faktum at verter på internett ser ut til å snakke direkte til en NAT-aktivert enhet i stedet for til en faktisk vert inne i det private nettverket skaper en rekke problemer:

  • En av ulempene med å bruke NAT har å gjøre med nettverksytelse, spesielt for sanntidsprotokoller som VoIP. NAT øker bytteforsinkelser fordi oversettelsen av hver IP-adresse i pakkehodene tar tid.
  • En annen ulempe ved å bruke NAT er at ende-til-ende-adressering går tapt. Mange Internett-protokoller og applikasjoner er avhengige av ende-til-ende-adressering fra kilde til destinasjon. Noen applikasjoner fungerer ikke med NAT. Apper som bruker fysiske adresser i stedet for et kvalifisert domenenavn når ikke destinasjoner som er oversatt gjennom en NAT-ruter. Dette kan noen ganger unngås ved å implementere statiske NAT-tilordninger.
  • End-to-end IPv4-sporing går også tapt. Det er vanskeligere å spore pakker som gjennomgår flere pakkeadresseendringer over flere NAT-hopp, noe som gjør feilsøking vanskelig.
  • Bruken av NAT gjør også tunneleringsprotokoller som IPsec vanskelig fordi NAT endrer verdier i overskrifter som forstyrrer integritetskontroller utført av IPsec og andre tunnelprotokoller.
  • Tjenester som krever at TCP-tilkoblinger initieres fra det eksterne nettverket, eller statsløse protokoller som de som bruker UDP, kan bli ødelagt. Hvis NAT-ruteren ikke er konfigurert til å støtte disse protokollene, kan ikke innkommende pakker nå destinasjonen.
Kommentarer
TO VIEW ALL COMMENTS OR TO MAKE A COMMENT,
GO TO FULL VERSION