Android. Operativsystem. Multimedia. Sociala medier. Verktyg. Codecs. Grafik
Du är här: » »

Nat är permanent. NAT - vad är det? Instruktioner för att ställa in NAT

Vad är NAT

Din dator kan anslutas direkt till Internet. Sedan säger de att han har extern IP-adress.

Detta innebär vanligtvis att datorn är ansluten direkt till ett modem (DSL, kabel eller vanlig analog).

Bakom NAT betyder att din dator inte är ansluten till Internet utan till lokalt nätverk. Då har han interiör En IP-adress som i sig är otillgänglig från Internet.

Din dator får tillgång till Internet genom NAT - processen att översätta interna adresser till externa och vice versa. En NAT-enhet kallas vanligtvis en router.

Det specifika med NAT är att anslutningar som initieras av din dator transparent passerar genom NAT-enheten till Internet. Anslutningar som andra datorer från Internet skulle vilja upprätta med dig kan dock inte nå dig.

Hitta datorns IP-adress

Kör">Öppna en dialogruta för att köra program: klicka på Start-knappen, välj Kör från menyn.

I Windows 2000/XP, skriv kommandot cmd /k ipconfig, klicka på OK och titta på resultatet.

Windows 2000 IP-konfiguration Ethernet-adapter Local Area Connection: Anslutningsspecifikt DNS-suffix . : IP-adress. . . . . . . . . . . . : 192.168.1.10 Subnet Mask. . . . . . . . . . . : 255.255.255.0 Default Gateway. . . . . . . . . : 192.168.1.1

Den första av dessa adresser är din dators IP-adress.

Står du bakom NAT?

Tre specialsortiment IP-adresser är reserverade för lokala nätverk och används inte på Internet:

10. 0. 0. 0 - 10. 255.255.255 172. 16. 0. 0 - 172. 31.255.255 192.168. 0. 0 - 192.168.255.255

Om din dators IP-adress ligger inom ett av dessa intervall, det vill säga den börjar med 10. eller med 192.168.

eller från 172.nn.

(där nn är från 16 till 31), då är detta en lokal (intern) adress, och du ligger definitivt bakom NAT.

Om inte, kolla nu under vilken IP-adress andra datorer på Internet ser dig. Till exempel på whatsmyip.org ("Din IP-adress är x.x.x.x" högst upp på sidan) eller på myipaddress.com.

  • Om din dators IP-adress stämmer överens med en av dessa webbplatser som visas är du definitivt ansluten till Internet direkt.
  • du kommer åt Internet via en proxyserver (då visade whatsmyip.org adressen till denna proxyserver). I många fall kan du avgöra om det finns en proxyserver mellan dig och Internet, med till exempel lagado.com/proxy-test.

    Att ansluta via en proxy täcks inte av den här guiden..

Anslutningsmöjligheter via NAT

Om du ligger bakom NAT är nästa steg att bestämma exakt var NAT-enheten finns.

NAT-leverantör

    Då säger de det
  • leverantören förser dig med Internet via NAT,
  • eller att leverantören ger dig ingen extern IP-adress,
  • eller att du är ansluten via leverantörens lokala nätverk

Det enklaste sättet är att ringa din leverantör och ta reda på det. Eller fråga kunniga grannar med samma anknytning.

När du ansluter till Internet via leverantörens lokala nätverk kan du inte skapa en tillgänglig port för dig själv. Såvida inte din leverantör omdirigerar en specifik port specifikt för dig, vilket är osannolikt. Eller om du inte betalar extra för en tjänst som brukar kallas en "extern" ("vit") IP-adress.

NAT i ett kontor eller flerfamiljshus

I princip är situationen densamma, men du kan leta efter tillvägagångssätt till den lokala administratören. I slutändan beror det på om du har tillgång till routerns inställningar att bestämma om en port är tillgänglig.

Dessutom kan du också prova UPnP, om din router lämnade den aktiverad.

NAT är din egen

I det här fallet kan du nästan alltid konfigurera den och få en tillgänglig port.

Vanligtvis är detta antingen en anslutning via en hemrouter eller en anslutning via en annan dator, till exempel med ICS (det andra alternativet beaktas inte här).

Självklart händer det i princip också att du har NAT både hemma och hos din leverantör, det vill säga din dator ligger bakom två NAT samtidigt. Detta kan kontrolleras genom att gå till routerns inställningar, titta på dess externa adress och sedan följa scenariot ovan (om den tillhör detta adress för lokala nätverksintervall, stämmer det överens med adressen som du ses under på Internet).

God dag kära läsare! Nåväl, låt oss prata om NAT.

Idag kommer vi att diskutera mer i detalj ett något smärtsamt och ganska obegripligt ämne, men mer obegripligt än smärtsamt.

I större utsträckning berör detta problem de som spelar multiplayer-spel, och kort sagt låter det här problemet ungefär så här: "VARFÖR KOMMER INGEN TILL MIG?" För andra ser det här problemet lite annorlunda ut, nämligen:

  • Varför laddas inte torrenten ner?
  • Varför kan inte användare/vänner/bekanta/okända personer ansluta till FTP, WEB, VOIP (TS, Mumble, bucket) och andra servrar som du har försökt konfigurera så länge och till och med kontrollerat att allt fungerar för dig?
  • Varför din personliga hemmaserver tömma? Kan detta vara en universell konspiration?

Men det finns dock ingen konspiration, den skyldige till alla dessa problem är bredvid dig och blinkar smygt åt dig med glödlampor, och han heter... en router, ja, samma som distribuerar internet till alla dina (och kanske dina grannar) enheter.

Kort sagt, internetanvändare kan helt enkelt inte ansluta till dig eftersom din router inte tillåter dem, men den gör detta inte bara på ett infall, utan för att den inte vet att alla dessa människor vill ansluta till dig. Så han tror att de vill ha något av honom.

Ja, jag beskrev just för dig varför NAT behövs. Och nu om vad det är.

Allmän definition

NAT (Network Address Translation) är en mekanism som gör att routern kan avgöra vilka tjänster som finns bakom routern och bör vara åtkomliga från Internet så att användare därifrån kan använda dessa tjänster (jag tog inte definitionen från wikin, eftersom det är abstrut och inte alla förstår).

NAT finns i alla routrar och serveroperativsystem i en eller annan form. I routrar brukar detta kallas port forwarding, i Linux iptables, på Windows-servrar - i specialutrustning. Låt oss nu prata om olika typer NAT

Typ ett, Statisk NAT

Statisk NAT krävs inte för ditt hem, men behövs om din leverantör har tilldelat flera IP-adresser (externa eller "vita" adresser) till ditt företag och du behöver några servrar som alltid ska vara synliga från Internet, utan att deras adresser ändras .

Dessa. 1-1 adressomvandling sker (en extern IP är tilldelad en intern server). Med denna inställning kommer dina servrar alltid att vara tillgängliga från Internet på vilken port som helst.

  • Fördelen med denna metod är att du öppnar åtkomst från Internet specifikt för specifikt program på en specifik dator/server förblir alla andra portar på datorn/servern stängda;
  • Nackdelen är att du måste öppna alla portar manuellt (ibland gör program detta åt dig med hjälp av UPnP-teknik, men det händer inte alltid).

Efterord

Det blev lite kaotiskt, och ämnet är ganska komplicerat, men jag hoppas nu att ordet NAT inte får dig att rysa :)

Som alltid, om du har några frågor, tankar, tillägg etc., vänligen kommentera detta inlägg.

PS: För att artikeln finns, ett särskilt tack till en vän till projektet och en medlem av vårt team under smeknamnet "barn4k"

NAT (Network address translation) – översättningsteknik nätverksadresser. NAT-teknik gjorde det möjligt att lösa största problemet IPv4-protokoll: vid mitten av 1990-talet kan IPv4-adressutrymmet ha varit helt uttömt. Om NAT-tekniken inte hade uppfunnits hade tillväxten av Internet avtagit avsevärt. Naturligtvis skapad för idag ny version IP-protokoll – IPv6. Denna version stödjer enorm mängd IP-adresser att existensen av NAT är meningslös. Men en hel del organisationer använder fortfarande IPv4-protokollet i sitt arbete, och en fullständig övergång till IPv6 kommer inte att ske snart. Därför är det vettigt att studera NAT-teknik.

Network Address Translation (NAT) tillåter en värd som inte har en vit IP att kommunicera med andra värdar över Internet. En vit IP-adress är en registrerad, unik, global IP-adress på Internet. Det finns också "grå IP-adresser", som används i ett privat nätverk och inte dirigeras på Internet. Därför behövs NAT-teknik, som kommer att ersätta den grå IP-adressen med en vit. Utbudet av "grå IP-adresser" presenteras i tabellen.

NAT-översättning ersätter privata IP-adresser med offentliga registrerade IP-adresser i varje IP-protokollpaket.

Genom att utföra NAT-översättning ändrar routern käll-IP-adressen i samma ögonblick som paketet lämnar det privata nätverket. Routern ändrar också destinationsadressen för varje paket som återgår till det privata nätverket. Programvara Cisco IOS stöder flera typer av NAT-översättning:

  1. Statisk NAT-översättning – varje privat IP-adress motsvarar en offentlig IP-adress. När man använder statisk översättning upprättar en NAT-router helt enkelt en en-till-en-mappning mellan den privata IP-adressen och den registrerade IP-adressen den agerar på uppdrag av.
  2. Dynamisk NAT-översättning – konvertering av interna IP-adresser till externa sker dynamiskt. En pool av möjliga offentliga IP-adresser skapas och IP-adresser för översättning väljs dynamiskt från denna pool.
  3. PAT-portadressöversättning – låter dig skala för att stödja många klienter med bara några få offentliga IP-adresser. PAT översätter en nätverksadress beroende på mottagarens TCP/UDP-port.

Låt oss ta en närmare titt på varje typ av sändning.

Statisk NAT-översättning gör en exakt matchning mellan privata och offentliga IP-adresser. Låt oss titta på ett exempel.

Företagets ISP tilldelar det ett registrerat nätverksnummer 200.1.1.0. Följaktligen måste NAT-routern få den här privata adressen att se ut som om den var på 200.1.1.0-nätverket. För att göra detta ändrar routern käll-IP-adressen i paketen, som skickas från vänster till höger som i bilden. I i detta exempel Routern ändrar den privata IP-adressen 10.1.1.1 till den offentliga IP-adressen 200.1.1.1. En annan privat adress, 10.1.1.2, har en motsvarande allmän adress, 200.1.1.2. Låt oss sedan titta på att ställa in statisk NAT i Cisco.

Konfigurera statisk NAT-översättning på Cisco-utrustning jämfört med andra alternativ som det kräver minsta åtgärd. I det här fallet måste du upprätta en överensstämmelse mellan lokala (privata) och globala (offentliga) IP-adresser. Du måste också tala om för routern vilka gränssnitt som ska använda NAT-översättning eftersom det kanske inte är aktiverat på alla gränssnitt. Specifikt måste routern ange varje gränssnitt och om det är internt eller externt.

Diagrammet visar att användaren från leverantören fick adressen 100.0.0.0 för ett klass C-nätverk. Hela detta nätverk med masken 255.255.255.0 är konfigurerat på en seriell kanal mellan användaren och Internet. Eftersom detta är en punkt-till-punkt-länk används endast 2 av de 254 giltiga (möjliga) IP-adresserna i detta nätverk.

Konfiguration för NAT_GW-router:

NAT_GW>aktivera NAT_GW#configure terminal - gränssnittsbeskrivning - ställ in standardgateway - gränssnittsbeskrivning - ställ in IP och mask NAT_GW(config-if)#ingen avstängning - slå på gränssnittet fysiskt NAT_GW(config-if)#exit NAT_GW(config)#ip nat inuti källstatisk 192.168.1.2 100.0.0.1 NAT_GW(config)#ip nat inuti källstatisk 192.168.1.3 100.0.0.2 - statisk adressmatning NAT_GW(config)#ip nat inuti källstatisk 192.168.1.4 100.0.0.3 - statisk adressmatning

Statiska matchningar skapas med kommandot ip nat inuti källstatisk. Nyckelord inuti innebär att NAT översätter adresser för värdar som finns på den interna delen av nätverket. Nyckelord källa innebär att NAT översätter IP-adresser i paket som kommer till dess interna gränssnitt. Nyckelord statisk betyder att dessa parametrar definierar en statisk post som aldrig kommer att tas bort från NAT-tabellen på grund av att en tidsperiod har gått ut. När du skapar statiska NAT-poster måste routern veta vilka gränssnitt som är interna och vilka som är externa. Gränssnittsunderkommandon ip nat inuti Och ip nat utanför varje gränssnitt identifieras därefter.

Att se viktig information om NAT finns det två kommandon visa ip nat översättningar, visa ip nat statistik.

Det första kommandot visar de tre statiska NAT-översättningsposterna som skapats i konfigurationen. Det andra kommandot visar statistisk information, såsom antalet aktiva just nu poster i översättningstabellen. Denna statistik inkluderar också träffantalet, som ökar med en för varje paket som NAT måste översätta adresser för.

Låt oss gå vidare till dynamisk översättning av NAT-nätverksadresser. Dynamisk översättning skapar en pool av möjliga globala interna adresser och definierar ett matchningskriterium för att bestämma vilka interna globala IP-adresser som ska översättas med NAT. Till exempel, i diagrammet nedan, installerades en pool med fem globala IP-adresser i intervallet 200.1.1.1 – 200.1.1.5. NAT-översättning är också konfigurerad för att översätta alla interna lokala adresser som börjar med oktetter 10.1.1

ställa in dynamisk NAT-översättning på Cisco-utrustning identifiering av varje gränssnitt, både internt och externt, krävs fortfarande, men statisk mappning behöver inte längre specificeras. För att specificera de privata IP-adresserna som ska översättas använder dynamisk NAT åtkomstkontrolllistor (jag skrev om dem tidigare), och definierar även en pool av registrerade offentliga IP-adresser som kommer att tilldelas från detta. Så, algoritmen för att ställa in dynamisk sändning är:

  1. Konfigurera gränssnitt som kommer att finnas i det interna subnätet med kommandot ip nat inuti.
  2. Konfigurera gränssnitt som kommer att finnas i det externa subnätet med kommandot ip nat utanför.
  3. Konfigurera en ACL som matchar paket som kommer till interna gränssnitt för vilka NAT-översättning ska tillämpas
  4. Konfigurera en pool av offentliga registrerade IP-adresser med kommandot globalt konfigurationsläge ip nat poolnamn första-adress sista-adress nätmask subnät-mask.
  5. Aktivera dynamisk NAT genom att ange i det globala konfigurationskommandot ip nat inuti källlistan acl-nummer pool pool-namn

Schemat kommer att användas på samma sätt som förra gången. Ny konfiguration för NAT_GW-routern:

NAT_GW>aktivera - gå till avancerat läge NAT_GW#configure terminal - gå till konfigurationsläge NAT_GW(config)#gränssnitt fa0/0 - ställa in gränssnittet mot ett privat nätverk NAT_GW(config-if)#beskrivning LAN - gränssnittsbeskrivning NAT_GW(config-if)#ip-adress 192.168.1.1 255.255.255.0 - ställ in standardgateway NAT_GW(config-if)#ingen avstängning - slå på gränssnittet fysiskt NAT_GW(config-if)#ip nat inuti - konfigurera gränssnittet som internt NAT_GW(config-if)#exit NAT_GW(config)#interface fa0/1 - gränssnittsinställningar mot leverantören NAT_GW(config-if)#description ISP - gränssnittsbeskrivning NAT_GW(config-if)#ip-adress 100.0.0.253 255.255.255.0 - ställ in IP och mask NAT_GW(config-if)#ingen avstängning - slå på gränssnittet fysiskt NAT_GW(config-if)#ip nat utanför - konfigurera gränssnittet som externt NAT_GW(config-if)#exit NAT_GW(config)#ip nat pool testPool 100.0.0.1 100.0.0.252 nätmask 255.255.255.0 - skapa en dynamisk pool NAT_GW(config)#access-list 1-tillstånd 192.168.1.1 0.0.0.255 - skapa åtkomstlista 1, där vi tillåter att IP-adresser sänds från subnätet 192.168.1.1/24 NAT_GW(config)#ip nat inuti källlista 1 pool testPool - möjliggör dynamisk sändning NAT_GW(config)#ip-rutt 0.0.0.0 0.0.0.0 100.0.0.254 - statisk väg mot leverantören

Nästa typ av översättning är PAT (Port Address Translation) portadressöversättning. Jag kommer att prata om denna typ av NAT i nästa artikel, när vi ansluter ett lokalt subnät till Internet. Ämnet är ganska stort och viktigt. PAT är den mest populära typen av NAT.

Stöd projektet

Vänner, Netcloud-webbplatsen utvecklas varje dag tack vare ert stöd. Vi planerar att lansera nya artikelsektioner, samt några användbara tjänster.

Du har möjlighet att stödja projektet och bidra med det belopp du anser nödvändigt.

2 32 eller 4 294 967 296 IPv4är det många adresser? Det verkar så. Men med uppkomsten av persondatorer, mobila enheter och Internets snabba tillväxt blev det snart uppenbart att 4,3 miljarder IPv4-adresser inte skulle vara tillräckligt. Den långsiktiga lösningen var IPv6, men det krävdes mer snabb lösning för att eliminera adressbrist. Och detta beslut blev NAT (Network Address Translation).

Vad är NAT

Nätverk är vanligtvis utformade med privata IP-adresser. Det här är adresserna 10.0.0.0/8, 172.16.0.0/12 Och 192.168.0.0/16 . Dessa privata adresser används inom en organisation eller webbplats för att tillåta enheter att kommunicera lokalt och dirigeras inte över Internet. För att tillåta en enhet med en privat IPv4-adress att komma åt enheter och resurser utanför det lokala nätverket måste den privata adressen först översättas till en offentlig adress.

Och det är bara NAT som konverterar privata adresser till offentliga. Detta gör att en enhet med en privat IPv4-adress kan komma åt resurser utanför sitt privata nätverk. NAT, i kombination med privata IPv4-adresser, har visat sig vara en användbar metod för att lagra offentliga IPv4-adresser. En offentlig IPv4-adress kan användas av hundratals, till och med tusentals enheter, var och en med en privat IPv4-adress. NAT har den extra fördelen att lägga till en viss grad av integritet och säkerhet till nätverket eftersom det döljer interna IPv4-adresser från externa nätverk.

NAT-aktiverade routrar kan konfigureras med en eller flera giltiga offentliga IPv4-adresser. Dessa allmänna adresser kallas en NAT-pool. När en enhet på det interna nätverket skickar trafik från nätverket till utsidan, översätter den NAT-aktiverade routern enhetens interna IPv4-adress till en offentlig adress från NAT-poolen. För externa enheter verkar all trafik som kommer in i och lämnar nätverket ha en offentlig IPv4-adress.

NAT-routern fungerar vanligtvis vid gränsen Stump-nätverk Ett stubnät är ett stubnät som har en anslutning till ett angränsande nätverk, en in- och utgång från nätverket.

När en enhet inom Stub-nätverket vill kommunicera med en enhet utanför sitt nätverk, vidarebefordras paketet till gränsroutern och den utför NAT-processen, och översätter enhetens interna privata adress till en offentlig, extern, routbar adress.

NAT-terminologi

I NAT-terminologi är ett internt nätverk en uppsättning nätverk som ska översättas. Det externa nätverket avser alla andra nätverk.

Vid användning av NAT har IPv4-adresser olika beteckningar baserat på om de finns på ett privat nätverk eller ett offentligt nätverk (internet), och om trafiken är inkommande eller utgående.

NAT innehåller fyra typer av adresser:

  • Inuti lokal adress;
  • Inuti global adress;
  • Utanför lokal adress;
  • Utanför global adress;

När du bestämmer vilken typ av adress som används är det viktigt att komma ihåg att NAT-terminologin alltid tillämpas när det gäller enheten med den översatta adressen:

  • Invändig adress- enhetens adress som är översatt av NAT;
  • Yttre adress- destinationsenhetsadress;
  • Lokal adress- detta är vilken adress som helst som visas på den interna delen av nätverket;
  • Global adress- detta är vilken adress som helst som visas på den externa delen av nätverket;

Låt oss titta på detta med ett exempeldiagram.


I figuren har datorn en intern lokal ( Inuti lokal) adressen är 192.168.1.5 och ur dess synvinkel har webbservern en extern ( utanför) adress 208.141.17.4. När paket skickas från en PC till webbserverns globala adress, kommer den interna lokala ( Inuti lokal) PC-adress är översatt till 208.141.16.5 ( inuti global). Adress extern enhet vanligtvis inte översatt eftersom det är en offentlig IPv4-adress.

Det är värt att notera att en PC har olika lokala och globala adresser, medan en webbserver har samma offentliga IP-adress. Ur hans synvinkel kommer trafik som kommer från PC:n från den interna globala adressen 208.141.16.5. En NAT-router är gränsen mellan interna och externa nätverk och mellan lokala och globala adresser.

Villkor inuti Och utanför, kombinerat med termer lokal Och global för att länka till specifika adresser. I figuren är routern konfigurerad att tillhandahålla NAT och har en pool av publika adresser att tilldela interna värdar.

Bilden visar hur trafik skickas från en intern PC till en extern webbserver, genom en NAT-aktiverad router, och vidarebefordras och vidarebefordras i motsatt riktning.


Intern lokal adress ( Inuti lokal adress) - källadress synlig från det interna nätverket. I figuren är adressen 192.168.1.5 tilldelad till PC:n - detta är dess interna lokala adress.

Intern global adress ( Inuti global adress) - källadress synlig från det externa nätverket. I figuren, när trafik från datorn skickas till webbservern på 208.141.17.4, översätter routern den interna lokala adressen ( Inuti lokal adress) till den inre globala adressen ( Inuti global adress). I det här fallet ändrar routern IPv4-källadressen från 192.168.1.5 till 208.141.16.5.

Extern global adress ( Utanför global adress) - adress till mottagaren, synlig från det externa nätverket. Detta är en globalt dirigerbar IPv4-adress som tilldelas en värd på Internet. I diagrammet är webbservern tillgänglig på 208.141.17.4. Oftast är externa lokala och externa globala adresser desamma.

Extern lokal adress ( Utanför lokal adress) - mottagaradress synlig från det interna nätverket. I det här exemplet skickar datorn trafik till webbservern på 208.141.17.4

Låt oss överväga hela vägen för paketet. En PC med adressen 192.168.1.5 försöker kommunicera med webbservern 208.141.17.4. När ett paket anländer till en NAT-aktiverad router läser det IPv4-destinationsadressen för paketet för att avgöra om paketet uppfyller kriterierna för översättning. I det här exemplet uppfyller källadressen kriterierna och är översatt från 192.168.1.5 ( Inuti lokal adress) vid 208.141.16.5. ( Inuti global adress). Routern lägger till denna lokala till globala adressmapping till NAT-tabellen och skickar ett paket med den översatta källadressen till destinationen. Webbservern svarar med ett paket adresserat till PC:ns interna globala adress (208.141.16.5). Routern tar emot ett paket med destinationsadressen 208.141.16.5 och kontrollerar NAT-tabellen, där den hittar en post för denna mappning. Den använder denna information och översätter tillbaka den inre globala adressen (208.141.16.5) till den inre lokala adressen (192.168.1.5) och paketet vidarebefordras till PC:n.

NAT-typer

Det finns tre typer av NAT-översättning:

  • Statisk adressöversättning (Statisk NAT)- En-till-en-adressmappning mellan lokala och globala adresser;
  • Dynamisk adressöversättning (Dynamisk NAT)- Mappning av många-till-många-adresser mellan lokala och globala adresser;
  • Port Address Translation (NAT)- multicast-adressmappning mellan lokala och globala adresser med hjälp av portar. Denna metod är också känd som NAT överbelastning;

Statisk NAT använder en en-till-en-mappning av lokala och globala adresser. Dessa mappningar konfigureras av nätverksadministratören och förblir permanenta. När enheter skickar trafik till Internet översätts deras interna lokala adresser till de konfigurerade interna globala adresserna. För externa nätverk har dessa enheter offentliga IPv4-adresser. Statisk NAT är särskilt användbar för webbservrar eller enheter som måste ha en konsekvent adress tillgänglig från Internet, till exempel ett företags webbserver. Statisk NAT kräver ett tillräckligt antal offentliga adresser för att tillfredsställa det totala antalet samtidiga användarsessioner.

En statisk NAT-tabell ser ut så här:


Dynamic NAT använder en pool av allmänna adresser och tilldelar dem efter först till kvarn-principen. När inre struktur begär åtkomst till ett externt nätverk, tilldelar dynamisk NAT en tillgänglig offentlig IPv4-adress från en pool. I likhet med statisk NAT kräver dynamisk NAT ett tillräckligt antal offentliga adresser för att tillfredsställa det totala antalet samtidiga användarsessioner.

En dynamisk NAT-tabell ser ut så här:


Port Address Translation (PAT)

KLAPPA sänder flera privata adresser till en eller flera allmänna adresser. Detta är vad de flesta hemroutrar gör. Internetleverantören tilldelar routern en adress, men flera familjemedlemmar kan komma åt Internet samtidigt. Detta är den vanligaste formen av NAT.

Med PAT kan flera adresser mappas till en eller flera adresser eftersom varje privat adress också spåras av ett portnummer. När en enhet initierar en session TCP/IP, genererar det källportvärdet TCP eller UDP för att unikt identifiera sessionen. När en NAT-router tar emot ett paket från en klient använder den dess källportnummer för att unikt identifiera en specifik NAT-översättning. PAT säkerställer att enheter använder annat nummer TCP-port för varje session. När svaret returneras från servern bestämmer källportnumret, som blir destinationsportnumret på returvägen, vilken enhet routern vidarebefordrar paketen till.

Bilden illustrerar PAT-processen. PAT lägger till unika källportnummer till den inre globala adressen för att skilja mellan översättningar.


När routern bearbetar varje paket använder den portnumret (1331 och 1555, i det här exemplet) för att identifiera enheten från vilken paketet kommer.

Källadress ( Källadress) är en intern lokal adress med ett tillagt portnummer tilldelat av TCP/IP. Destinationsadress ( Destinationsadress) är en extern lokal adress med ett serviceportnummer tillagt. I det här exemplet är serviceporten 80: HTTP.

För källadressen översätter routern den inre lokala adressen till den inre globala adressen med ett portnummer tillagt. Destinationsadressen ändras inte, utan kallas nu den externa globala IP-adressen. När webbservern svarar är sökvägen omvänd.

I det här exemplet ändrades inte klientportnumren 1331 och 1555 på NAT-routern. Detta är inte ett särskilt troligt scenario eftersom det finns en god chans att dessa portnummer redan var kopplade till andra aktiva sessioner. PAT försöker bevara den ursprungliga källporten. Men om den ursprungliga källporten redan används, tilldelar PAT det första tillgängliga portnumret, med början från början av motsvarande portgrupp 0-511, 512-1023 eller 1024-65535 . När det inte finns fler portar och det finns mer än en extern adress i adresspoolen, flyttar PAT till nästa adress för att försöka allokera den ursprungliga källporten. Denna process fortsätter tills det inte finns några fler portar eller externa IP-adresser tillgängliga.

Det vill säga om en annan värd kan välja samma portnummer 1444. Detta är acceptabelt för en intern adress eftersom värdar har unika privata IP-adresser. På en NAT-router måste dock portnumren ändras - annars kommer paket från två olika värdar att lämna den med samma källadress. Därför tilldelar PAT nästa tillgängliga port (1445) till den andra värdadressen.

Låt oss sammanfatta jämförelsen mellan NAT och PAT. Som du kan se i tabellerna översätter NAT IPv4-adresser på en 1:1-basis mellan privata IPv4-adresser och offentliga IPv4-adresser. PAT ändrar dock både själva adressen och portnumret. NAT vidarebefordrar inkommande paket till deras interna adress baserat på den inkommande käll-IP-adressen som ges av värden på det offentliga nätverket, och med PAT finns det vanligtvis bara en eller väldigt få offentligt exponerade IPv4-adresser och inkommande paket vidarebefordras baserat på routerns NAT-tabell .

Hur är det med IPv4-paket som innehåller andra data än TCP eller UDP? Dessa paket innehåller inte ett Layer 4-portnummer PAT översätter de vanligaste protokollen som bärs av IPv4, som inte använder TCP eller UDP som transportlagerprotokoll. De vanligaste av dessa är ICMPv4. Var och en av dessa protokolltyper hanteras olika av PAT. Till exempel, ICMPv4-begäranmeddelanden, ekobegäranden och svar inkluderar begäran-ID Fråge-ID. ICMPv4 använder fråge-ID. för att identifiera ekobegäran med motsvarande svar. Begärans ID ökas med varje ping som skickas. PAT använder begäran-ID istället för Layer 4-portnumret.

Fördelar och nackdelar med NAT

NAT ger många fördelar, inklusive:

  • NAT bevarar det registrerade adresseringssystemet, vilket möjliggör privatisering av intranät. Med PAT kan interna värdar dela en offentlig IPv4-adress för all extern kommunikation. I denna typ av konfiguration krävs väldigt få externa adresser för att stödja många interna värdar;
  • NAT ökar flexibiliteten i anslutningar med offentligt nätverk. Många pooler, pooler säkerhetskopiering och lastbalanseringspooler kan implementeras för att tillhandahålla tillförlitliga offentliga nätverksanslutningar;

    • NAT ger konsekvens för ett nätverks interna adresseringssystem. På ett nätverk som inte använder privata IPv4-adresser och NAT, ändras allmän ordning IPv4-adresser kräver omdirigering av alla värdar till befintligt nätverk. Kostnaden för vidarebefordran av värd kan vara betydande. NAT tillåter att det befintliga privata IPv4-adresseringsschemat finns kvar samtidigt som det nya offentliga adresseringsschemat enkelt kan ändras. Detta innebär att en organisation kan byta leverantör och inte behöva byta någon av sina interna kunder;

  • NAT tillhandahåller nätverkssäkerhet. Eftersom privata nätverk inte annonserar sina adresser eller interna topologi, förblir de ganska säkra när de används i kombination med NAT för att uppnå kontrollerad extern åtkomst. Du måste dock förstå att NAT inte ersätter brandväggar;

Men NAT har vissa nackdelar. Det faktum att värdar på Internet verkar kommunicera direkt med den NAT-aktiverade enheten snarare än med den faktiska värden i det privata nätverket skapar ett antal problem:

  • En av nackdelarna med att använda NAT är relaterad till nätverksprestanda, speciellt för realtidsprotokoll som t.ex. VoIP. NAT ökar växlingsfördröjningarna eftersom det tar tid att översätta varje IPv4-adress i pakethuvuden;
  • En annan nackdel med att använda NAT är att end-to-end-adressering går förlorad. Många Internetprotokoll och applikationer är beroende av end-to-end-adressering från källa till destination. Vissa applikationer fungerar inte med NAT. Applikationer som använder fysiska adresser snarare än kvalificerade domännamn, nå inte mottagare som är översatta via en NAT-router. Ibland kan detta problem undvikas genom att implementera statiska NAT-mappningar;
  • End-to-end IPv4-spårning går också förlorad. Det är svårare att spåra paket som genomgår flera paketadressändringar över flera NAT-hopp, vilket gör felsökningen svårare;
  • Användningen av NAT hindrar också tunnlingsprotokoll som IPsec eftersom NAT ändrar värden i rubriker som stör integritetskontrollerna som utförs av IPsec och andra tunnlingsprotokoll;
  • Tjänster som kräver att TCP-anslutningar initieras från ett externt nätverk, eller tillståndslösa protokoll som de som använder UDP, kan störas. Om NAT-routern inte är konfigurerad för att stödja sådana protokoll kan inkommande paket inte nå sin destination;

Var den här artikeln användbar för dig?

Snälla berätta varför?

Vi beklagar att artikeln inte var användbar för dig: (Snälla, om det inte är svårt, ange varför? Vi kommer att vara mycket tacksamma för ett detaljerat svar. Tack för att du hjälper oss att bli bättre!

Internetrouter, åtkomstserver, brandvägg. Den mest populära är Källa NAT(SNAT), kärnan i mekanismen är att ersätta källadressen när ett paket passerar i en riktning och omvänt ersätta destinationsadressen i svarspaketet. Tillsammans med käll-/destinationsadresserna kan käll- och destinationsportnumren också ersättas.

Förutom SNAT, d.v.s. förse användare av ett lokalt nätverk med interna adresser med tillgång till Internet, används ofta också Destination NAT, när förfrågningar utifrån översätts av brandväggen till en server på det lokala nätverket som har en intern adress och därför inte är direkt åtkomlig från det externa nätverket (utan NAT).

Figurerna nedan visar ett exempel på hur NAT-mekanismen fungerar.


Ris. 7.1.

Användare företagsnätverk skickar en begäran till Internet, som kommer till det interna gränssnittet för routern, åtkomstservern eller brandväggen (NAT-enhet).

NAT-enheten tar emot paketet och gör en post i anslutningsspårningstabellen, som kontrollerar adressöversättning.

Den ersätter sedan källadressen för paketet med sin egen externa publika IP-adress och skickar paketet till sin destination på Internet.

Destinationsvärden tar emot paketet och skickar ett svar tillbaka till NAT-enheten.

NAT-enheten i sin tur, efter att ha tagit emot detta paket, letar upp avsändaren av originalpaketet i anslutningsspårningstabellen, ersätter IP-adress destination till motsvarande privata IP-adress och vidarebefordrar paketet till källdator. Eftersom NAT-enheten skickar paket på uppdrag av alla interna datorer, ändrar det originalet nätverksport Och denna information lagras i anslutningsspårningstabellen.

Det finns tre grundläggande begrepp för adressöversättning:

  • statisk (SAT, statisk nätverksadressöversättning),
  • dynamisk (DAT, dynamisk adressöversättning),
  • maskerad (NAPT, NAT Overload, PAT).

Statisk NAT mappar lokala IP-adresser till specifika allmänna adresser på en-till-en-basis. Används när den lokala värden måste vara tillgänglig utifrån med hjälp av fasta adresser.

Dynamisk NAT mappar en uppsättning privata adresser till en uppsättning offentliga IP-adresser. Om antalet lokala värdar inte överstiger antalet tillgängliga offentliga adresser, kommer varje lokal adress garanterat att motsvara en allmän adress. Annars kommer antalet värdar som samtidigt kan komma åt externa nätverk att begränsas av antalet publika adresser.

Maskerad NAT(NAPT, NAT Overload, PAT, masquerading) är en form av dynamisk NAT som mappar flera privata adresser till en enda offentlig IP-adress med hjälp av olika portar. Även känd som PAT (Port Address Translation).

Det kan finnas flera mekanismer för interaktion mellan ett internt lokalt nätverk och ett externt publikt nätverk - detta beror på den specifika uppgiften att ge tillgång till det externa nätverket och tillbaka och föreskrivs av vissa regler. Det finns fyra typer av nätverksadressöversättning definierade:

  • Full kon
  • Begränsad kon
  • Portbegränsad kon
  • Symmetrisk

I de tre första typerna av NAT för interaktion olika IP-adresser externt nätverk med adresser från det lokala nätverket använder samma externa port. Den fjärde typen - symmetrisk - använder en separat extern port för varje adress och port.

Full kon, enhetens externa port (router, åtkomstserver, brandvägg) är öppen för förfrågningar som kommer från vilken adress som helst. Om en användare från Internet behöver skicka ett paket till en klient som ligger bakom en NAT, behöver han bara känna till den externa porten på enheten genom vilken anslutningen upprättas. Till exempel, en dator bakom NAT med en IP-adress på 192.168.0.4 skickar och tar emot paket på port 8000, som mappar till den externa IP-adressen och porten som 10.1.1.1:12345. Paket från det externa nätverket anländer till enheten med IP-adress:port 10.1.1.1:12345 och skickas sedan till klientdator 192.168.0.4:8000.

I inkommande paket kontrolleras endast transportprotokollet; Destinationsadressen och porten, källadressen och porten spelar ingen roll.

När du använder NAT, arbetar efter typ Begränsad kon, den externa porten på enheten (router, åtkomstserver, brandvägg) är öppen för alla paket som skickas från klientdatorn, i vårt exempel: 192.168.0.4:8000. Och ett paket som kommer från ett externt nätverk (till exempel från dator 172.16.0.5:4000) till en enhet med adress: port 10.1.1.1:12345 kommer att skickas till dator 192.168.0.4:8000 endast om 192.168.0.4:8000 tidigare skickade en begäran till IP-adressen för den externa värden (i vårt fall till datorn 172.16.0.5:4000). Det vill säga, routern kommer bara att sända inkommande paket från en specifik källadress (i vårt fall dator 172.16.0.5:4000), men källportnumret kan vara vad som helst. Annars blockerar NAT paket som kommer från värdar till vilka 192.168.0.4:8000 inte skickade en begäran.

NAT-mekanism Portbegränsad kon nästan likt NAT Restricted Cone-mekanismen. Endast i detta fall blockerar NAT alla paket som kommer från värdar till vilka klientdatorn 192.168.0.4:8000 inte skickade en begäran till någon IP-adress och port. Routern uppmärksammar det matchande källportnumret och uppmärksammar inte källadressen. I vårt exempel kommer routern att sända inkommande paket med valfri källadress, men källporten måste vara 4000. Om klienten skickade förfrågningar till det externa nätverket till flera IP-adresser och portar, då kommer de att kunna skicka paket till klienten på IP-adressen: port 10.1 .1.1:12345.

Symmetrisk NAT skiljer sig avsevärt från de tre första mekanismerna i hur den mappar den interna IP-adressen:port till den externa adressen:port. Denna visning beror på IP-adress:porten på den dator som den skickade begäran är avsedd för. Till exempel, om klientdator 192.168.0.4:8000 skickar en begäran till dator #1 (172.16.0.5:4000), kan den visas som 10.1.1.1:12345, samtidigt som den skickar från samma port ( 192.168. 0.4:8000) till en annan IP-adress, visas den annorlunda (10.1.1.1:12346).

  • Låter dig förhindra eller begränsa åtkomst utifrån till interna värdar, vilket ger möjlighet till åtkomst från det interna nätverket till det externa. När en anslutning initieras från nätverket skapas en sändning. Svarspaket som kommer utifrån matchar den genererade sändningen och skickas därför igenom. Om det inte finns någon motsvarande översättning för paket som kommer från det externa nätverket (och det kan skapas när anslutningen initieras eller statisk) släpps de inte igenom.
  • Låter dig dölja vissa interna tjänster för interna värdar/servrar. I huvudsak utförs samma sändning ovan på en specifik port, men det är möjligt att ersätta den interna porten för en officiellt registrerad tjänst (till exempel TCP-port 80 (HTTP-server) med extern port 54055). Således, från utsidan, på den externa IP-adressen efter att adresserna har översatts till webbplatsen (eller forumet), kommer det för kunniga besökare att vara möjligt att komma till adressen http://dlink.ru:54055, men på den interna servern bakom NAT, kommer den att fungera på den vanliga 80:e porten.

    • Det är dock värt att nämna nackdelarna med denna teknik:

    1. Alla protokoll kan inte "traversera" NAT. Vissa misslyckas om det finns adressöversättning på vägen mellan kommunicerande värdar. Vissa brandväggar för översättning av IP-adresser kan rätta till denna brist genom att på lämpligt sätt ersätta IP-adresser, inte bara i IP-huvudena, utan också med fler höga nivåer(till exempel i FTP-protokollkommandon).
    2. På grund av multi-till-en adressöversättning uppstår ytterligare svårigheter med att identifiera användare och behovet av att lagra fullständiga översättningsloggar.
    3. DoS-attack av en värd som utför NAT - Om NAT används för att ansluta många användare till samma tjänst kan det skapa en illusion av en DoS-attack på tjänsten (flera framgångar och misslyckanden). Till exempel en för stor mängd ICQ-användare bakom NAT leder till problem med att ansluta till servern för vissa användare på grund av att den tillåtna anslutningshastigheten överskrids.
    Rubrik: Prylar
    Dela