5.1 Introduktion till NAT

Ett annat mycket intressant ämne är NAT. NAT står för Network Address Translation och finns vanligtvis i varje router som en tjänst. Så vad är det och varför behövs det?

NAT är en punkt genom vilken lokala nätverk kan anslutas till globala nätverk, som till exempel Internet.

Som du redan vet, på lokala nätverk har alla datorer (och andra enheter som är anslutna till nätverket) sina egna lokala IP-adresser. Och för att utbyta data med en server på Internet är det nödvändigt att vår dator kan skicka en förfrågan till servern och servern kan skicka ett svar till oss. Och vart ska han skicka ett svar om vår IP-adress är okänd utanför vårt lokala nätverk?

Föreställ dig att du skriver ett pappersbrev till Donald Trump. Trump är en offentlig person, han är den enda – det här är vår offentliga server. Och du anger Masha som returadress i brevet. Mosa mycket. Vilken Masha ska få svaret?

Så du skickar ett brev till din bekant i Washington, också en offentlig person, med strikta instruktioner att skicka det till Trump. Din vän tar emot ett brev, skickar det till Trump och anger sin adress i Washington som returadress.

Sedan, efter att ha fått ett svar från Trump, vidarebefordrar bekanten det till dig. Samma med IP-paket...

För att tillåta en enhet med en privat IPv4-adress att komma åt enheter och resurser utanför det lokala nätverket, måste den privata adressen först ändras till en offentlig adress.

Just NAT översätter privata adresser till offentliga. Detta gör att en enhet med en lokal IP-adress kan komma åt resurser utanför sitt privata nätverk. NAT, i kombination med lokala IP-adresser, har visat sig vara en användbar metod för att underhålla offentliga IPv4-adresser.

Det finns 8 miljarder människor i världen, och det finns redan många fler nätverksenheter: telefoner, bärbara datorer, smarta klockor, servrar, alla smarta enheter. Och det finns bara 4 miljarder IP-adresser. Det brukade verka som mycket, men med den snabba tillväxten av Internet blev det klart för alla att detta inte var tillräckligt.

Här kommer NAT till undsättning: en offentlig IPv4-adress kan användas av hundratals, till och med tusentals enheter, som var och en har en lokal IPv4-adress. NAT har den extra fördelen att lägga till en viss grad av integritet och säkerhet till ett nätverk eftersom det döljer interna IPv4-adresser från externa nätverk.

Java university

5.2 Subnät i NAT

LAN är vanligtvis utformade med privata IP-adresser. Dessa är adresser från privata undernät och 10.0.0.0/8. Dessa IP-adresser används internt av en organisation eller webbplats för att tillåta enheter att kommunicera lokalt, de är inte routbara på internet.172.16.0.0/12192.168.0.0/16

NAT-aktiverade routrar kan konfigureras med en eller flera giltiga offentliga IPv4-adresser. Dessa allmänna adresser kallas en NAT-pool.

När en enhet på det interna nätverket skickar trafik från nätverket till utsidan, översätter den NAT-aktiverade routern enhetens interna IP-adress till den offentliga IP-adressen från NAT-poolen. För externa enheter verkar all trafik in och ut ur nätverket ha en offentlig IP-adress.

En NAT-router fungerar vanligtvis i utkanten av ett Stub-nätverk. Ett stubbnät är en term från nätverksteorin: ett stubbnätverk som har en anslutning till ett angränsande nätverk, en in- och utgång från nätverket.

När en enhet inom Stub-nätverket vill kommunicera med en enhet utanför sitt nätverk, vidarebefordras paketet till routern och den utför en NAT-process, som översätter enhetens interna privata adress till en offentlig, extern, routbar adress.

5.3 NAT-terminologi

Om du fördjupar dig i teorin om nätverk, så är NAT ett internt nätverk, vilket är en uppsättning subnät som ska översättas. Det externa nätverket avser alla andra nätverk.

Vid användning av NAT har IP-adresser olika beteckningar baserat på om de finns på ett privat nätverk eller på ett offentligt nätverk (på Internet) och om trafiken är inkommande eller utgående.

NAT innehåller fyra typer av adresser:

  • Intern lokal adress (inuti lokal adress);
  • Intern global adress (Global adress inuti);
  • Utanför lokal adress ;
  • Extern global adress (Extern global adress);

När du bestämmer vilken typ av adress som används är det viktigt att komma ihåg att NAT-terminologin alltid tillämpas ur enhetens synvinkel med den översatta adressen:

  • Intern adress (inre adress) - enhetens adress som översätts av NAT;
  • Extern adress – destinationsenhetsadress;
  • En lokal adress är vilken adress som helst som visas internt i nätverket;
  • En global adress är vilken adress som helst som visas på utsidan av nätverket.

Låt oss titta på detta med ett diagramexempel.

Datorn på bilden till vänster har en intern lokal ( Inside local ) adress 192.168.1.5och ur dess synvinkel har webbservern en extern ( extern ) adress 208.141.17.4. När datapaket skickas från datorn till webbserverns globala adress översätts datorns interna lokala ( Inside local208.141.16.5 ) adress till ( inside global ). Den externa enhetens adress översätts vanligtvis inte eftersom det är en offentlig IPv4-adress.

Det är värt att notera att en dator så att säga har två adresser: lokala och globala adresser, medan en webbserver har samma publika IP-adress. Ur hans synvinkel kommer trafiken som kommer från datorn från den interna globala adressen 208.141.16.5. En NAT-router är separationspunkten mellan interna och externa nätverk och mellan lokala och globala adresser.

Termerna inuti och utanför kombineras med termerna lokal och global för att referera till specifika adresser. I figuren är routern konfigurerad att tillhandahålla NAT och har en pool av publika adresser att tilldela interna värdar.

5.4 Paketväg

Om du redan är trött, gå då till nästa föreläsning. Om du fortfarande är intresserad, välkommen längre ner i maskhålet.

Bilden nedan visar hur trafik skickas från en intern dator till en extern webbserver via en NAT-aktiverad router, skickas ut och vidarebefordras.

Subnät i NAT 3
router NAT-tabell
PC webbserver
Insde Global Inuti Lokal utanför lokalt Utanför Global
208.141.17.4 192.168.1.5 208.141.16.5 208.141.16.5

Inre lokal adress - Källadressen sett från det interna nätverket. I figuren är adressen 192.168.1.5tilldelad datorn - det här är dess interna lokala adress.

Inre global adress - Källadressen sett från det externa nätverket. I figuren, när trafik från datorn skickas till webbservern vid 208.141.17.4, översätter routern den interna lokala adressen (lokal adress) till den inre globala adressen (Global adress). I det här fallet ändrar routern IPv4- källadressen från 192.168.1.5till 208.141.16.5.

Extern global adress - adressen till destinationen sett från det externa nätverket. Detta är en globalt dirigerbar IP-adress som tilldelas en värd på Internet. I diagrammet är webbservern tillgänglig på 208.141.17.4. Oftast är externa lokala och externa globala adresser desamma.

Extern lokal adress - Mottagarens adress sett från det interna nätverket. I det här exemplet skickar datorn trafik till webbservern kl208.141.17.4

Låt oss nu titta på hela paketvägen. Datorn med adressen 192.168.1.5försöker kommunicera med webbservern 208.141.17.4. När ett paket anländer till en NAT-aktiverad router läser det paketets destinations-IP-adress för att avgöra om paketet matchar kriterierna för översättning. I det här exemplet matchar källadressen kriterierna och översätts från 192.168.1.5(Inuti lokal adress) till 208.141.16.5(Global adress).

Routern lägger till denna lokal-till-globala adressmapping till NAT-tabellen och skickar paketet med den översatta källadressen till destinationen. Webbservern svarar med ett paket adresserat till PC:ns interna globala adress ( ) 208.141.16.5.

Routern tar emot ett paket med en destinationsadress 208.141.16.5och kontrollerar NAT-tabellen efter en post för den mappningen. Den använder denna information och översätter tillbaka den inre globala adressen ( 208.141.16.5) till den inre lokala adressen ( 192.168.1.5), paketet omdirigeras till PC:n.

5.5 För- och nackdelar med NAT

NAT-tjänsten är en mycket kraftfull lösning som används överallt. NAT ger många fördelar inklusive:

  • NAT upprätthåller ett registrerat adresseringsschema, vilket ger flexibel LAN-drift. Med NAT kan interna värdar dela en offentlig IP-adress för all extern kommunikation. Denna typ av konfiguration kräver väldigt få externa adresser för att stödja många interna värdar.
  • NAT ökar flexibiliteten för Internetanslutningar. Flera pooler, reservpooler och lastbalanseringspooler kan implementeras för att tillhandahålla tillförlitliga offentliga nätverksanslutningar.
  • NAT ger konsekvens för nätverkets interna adresseringssystem. På ett nätverk som inte använder privata IP-adresser och NAT, kräver ändring av det allmänna IP-adressschemat omdirigering av alla värdar i det befintliga nätverket. Kostnaden för vidarebefordran av värd kan vara betydande. NAT tillåter det befintliga IPv4-privata adresseringsschemat att finnas kvar samtidigt som det nya offentliga adresseringsschemat enkelt kan ändras. Det innebär att en organisation kan byta leverantör och inte behöver byta någon av sina interna kunder.
  • NAT tillhandahåller nätverkssäkerhet . Eftersom privata nätverk inte annonserar sina adresser eller interna topologi, förblir de rimligt tillförlitliga när de används tillsammans med NAT för att få kontrollerad extern åtkomst. Du måste dock förstå att NAT inte ersätter brandväggar.

Men NAT har vissa nackdelar . Det faktum att värdar på internet verkar prata direkt med en NAT-aktiverad enhet snarare än med en faktisk värd i det privata nätverket skapar ett antal problem:

  • En av nackdelarna med att använda NAT har att göra med nätverksprestanda, speciellt för realtidsprotokoll som VoIP. NAT ökar växlingsfördröjningarna eftersom översättningen av varje IP-adress i pakethuvuden tar tid.
  • En annan nackdel med att använda NAT är att end-to-end-adressering går förlorad. Många Internetprotokoll och applikationer är beroende av end-to-end-adressering från källa till destination. Vissa applikationer fungerar inte med NAT. Applikationer som använder fysiska adresser snarare än ett kvalificerat domännamn når inte destinationer som översätts via en NAT-router. Detta kan ibland undvikas genom att implementera statiska NAT-mappningar.
  • End-to-end IPv4-spårning går också förlorad. Det är svårare att spåra paket som genomgår flera paketadressändringar över flera NAT-hopp, vilket gör felsökningen svår.
  • Användningen av NAT gör också tunnlingsprotokoll som IPsec svårt eftersom NAT ändrar värden i rubriker som stör integritetskontroller som utförs av IPsec och andra tunnlingsprotokoll.
  • Tjänster som kräver att TCP-anslutningar initieras från det externa nätverket, eller tillståndslösa protokoll som de som använder UDP, kan vara trasiga. Om NAT-routern inte är konfigurerad för att stödja dessa protokoll kan inte inkommande paket nå sin destination.