I våra lägenheter är det mer och mer olika digitala enheter- bärbara datorer, surfplattor och smartphones. Så länge det bara fanns en dator i lägenheten och ansluten direkt till leverantörens nätverk fanns inga frågor. Och nu när du står inför ett problem - hur du ansluter nu ny laptop eller surfplatta till Internet. Det är här det kommer till undsättning NAT-teknik. Vad är kärnan i NAT-teknik?
NAT — Nätverksadressöversättning
— översatt till ryska låter det ungefär så här: ”förvandling nätverksadresser». NATär en mekanism i TCP/IP-nätverk som låter dig konvertera IP-adresserna för transitpaket.
För att uttrycka det enkelt på ett enkelt språk- sedan om det finns flera datorer i lokalt nätverk, sedan tack vare tekniken NAT alla kan komma åt det externa Internetnätverket med en extern ip-adress (IP).
Vad är en IP-adress?
Router — router— fungerar på den tredje nivån i OSI-systemet, därför används det IP-protokoll— routerat nätverkslagerprotokoll för TCP/IP-stacken. En integrerad del av protokollet är nätverksadressering. I enlighet med befintliga regler är alla enheter i nätverket tilldelade IP-adresser (IP-adresser) - unika nätverksidentifierare för nodadressen. Det finns 2 typer av IP-adresser som används − grå Och vit. Grå adresser- detta är en del av adressutrymmet som tilldelats det lokala nätverket - subnät av IP-adresser 10.0.0.0/8, 172.16.0.0/12 eller 192.168.0.0/16 . Alla andra subnät används på Internet och är vita IP-adresser.
Hur du delar internetåtkomst med enheter i ditt nätverk.
För att kunna ansluta alla enheter på det lokala nätverket till Internet behöver du router. Routerär en enhet som kan ansluta till Internet via leverantörens nätverk och distribuera den till anslutna enheter på grund av att den har minst 4 LAN-portar och Wi-Fi-modul . Blanda inte ihop en router med en enkel Ethernet-switch, som i grunden är en dum nätverkssplitter. På grund av att routern har ett UNIX-liknande operativsystem installerat kan enheten höjas olika tjänster, inklusive NAT-tjänst. För att göra detta, markera rutan när du ställer in routern Aktivera NAT .
Och sedan router För varje begäran som passerar genom den sätter den en specifik etikett som innehåller data om avsändaren på det lokala nätverket. När denna begäran får ett svar, router Etiketten bestämmer vilken IP-adress på det lokala nätverket som paketet ska skickas till. Det är allt hur NAT-teknik fungerar i ett nötskal.
NAT eller Network Address Translation är en metod för att omfördela ett adressutrymme till ett annat genom att ändra nätverksadressinformationen i Internet Protocol eller IP. Pakets rubriker ändras medan de transporteras genom routingenheter. Denna metod användes ursprungligen för att lättare omdirigera trafik på IP-nätverk utan att behöva numrera varje värd. Det har blivit ett viktigt och populärt verktyg för att allokera och bevara globalt adressutrymme inför en allvarlig brist på IPv4-adresser.
Vad är NAT?
Användningen av nätverksadressöversättning är att mappa varje adress i ett adressutrymme till en adress som finns i ett annat adressutrymme. Detta kan vara nödvändigt om tjänsteleverantören har ändrats och användaren inte har möjlighet att offentligt annonsera om en ny rutt till nätverket. NAT-teknik har använts alltmer sedan slutet av 90-talet i samband med global utarmning av adressutrymme. Vanligtvis används denna teknik i kombination med IP-kryptering. IP-kryptering är en metod för att flytta flera IP-adresser till ett utrymme. Denna mekanism implementerad i en routingenhet som använder tillståndsbestämda översättningstabeller för att mappa dolda adresser till en enda IP-adress. Den vidarebefordrar också alla utgående IP-paket vid utgången. Således verkar dessa paket lämna routingenheten. Svar på returlänken mappas till käll-IP-adressen med hjälp av regler som lagras i översättningstabeller. I sin tur rensas översättningstabellerna efter en kort tid om trafiken inte uppdaterar sitt tillstånd. Detta är den grundläggande mekanismen för NAT. vad betyder det? Denna teknik tillåter kommunikation via en router endast när anslutningen sker på ett krypterat nätverk, eftersom detta skapar översättningstabeller. Inuti ett sådant nätverk kan en webbläsare se en webbplats utanför det, men när den installeras utanför det kan den inte öppna resursen som finns inom den. De flesta NAT-enheter tillåter idag nätverksadministratören att konfigurera översättningstabellposter för permanent användning. Denna funktion särskilt ofta kallad port forwarding eller statisk NAT. Det tillåter trafik som kommer från det "externa" nätverket att nå utsedda värdar på det krypterade nätverket. På grund av populariteten för metoden som används för att bevara IPv4-adressutrymmet har termen NAT praktiskt taget blivit synonym med krypteringsmetoden. Eftersom Network Address Translation ändrar adressinformationen för IP-paket kan detta få allvarliga konsekvenser för anslutningens kvalitet. Så det kräver noggrann uppmärksamhet på alla implementeringsdetaljer. Sätten som NAT används på skiljer sig från varandra i deras specifika beteende i olika situationer, som relaterar till påverkan på nätverkstrafiken.
Grundläggande NAT
Den enklaste typen av NAT möjliggör en-till-en-översättning av IP-adresser. Huvudtypen av denna översättning är RFC-2663. I det här fallet ändras bara IP-adresserna, liksom kontrollsumma IP-rubriker. Du kan använda grundläggande översättningstyper för att ansluta två IP-nätverk som har inkompatibel adressering.
De flesta NAT-smaker kan mappa flera privata värdar till en enda IP-adress, som är offentligt angiven. Ett LAN i en typisk konfiguration använder en av subnätets tilldelade "privata" IP-adresser. I detta nätverk har routern en privat adress i rymden. Routern ansluter också till Internet med en "public adress", som tilldelas av Internetleverantören. Eftersom trafiken kommer från det lokala Internet, översätts källadressen i varje paket från privat till offentlig i farten. Routern spårar också grundläggande data om varje aktiv anslutning. I synnerhet gäller detta information som destinationsadress och port. När svaret återkommer till det använder det anslutningsdata som lagras under den utgående fasen. Detta är nödvändigt för att bestämma den privata interna nätverksadress som svaret ska riktas till. Den största fördelen med denna funktion är att den är en praktisk lösning på problemet med utmattning av IPv4-adressutrymme. Med en enda IP-adress kan även stora nätverk anslutas till Internet. Alla datagrampaket i IP-nätverk har två IP-adresser - källadressen och destinationsadressen. Paket som går från privat nätverk till nätverk allmänt bruk, kommer att ha en paketkälladress som ändras under övergången från offentligt nätverk till privat. Mer komplexa konfigurationer är också möjliga.
Funktioner för NAT-konfiguration
NAT-inställning kan ha vissa egenskaper. För att undvika svårigheter i samband med att översätta returnerade paket kan ytterligare ändringar behövas. Den mesta internettrafiken går via UDP- och TCP-protokollen. Deras nummer ändras på ett sådant sätt att IP-adresserna och portnumren börjar jämföras när data skickas tillbaka. Protokoll som inte är baserade på UDP eller TCP kräver andra översättningsmetoder. Vanligtvis matchar ICMP, eller Internet Control Message Protocol, informationen som skickas till den befintliga anslutningen. Det betyder att de måste visas med samma IP-adress och nummer som ursprungligen ställdes in. Vad behöver man ta hänsyn till? Att konfigurera NAT på en router ger den inte en end-to-end-anslutning. Av denna anledning kan sådana routrar inte delta i vissa Internetprotokoll. Tjänster som kräver initiering av TCP-anslutningar från det externa nätverket eller användare utan protokoll kanske helt enkelt inte är tillgängliga. Om NAT-routern inte gör särskilda ansträngningar för att stödja sådana protokoll, kan inkommande paket aldrig nå sin destination. Vissa protokoll kan lagras i en enda sändning mellan deltagande värdar, ibland med användning av en applikationslagergateway. Anslutningen kommer dock inte att upprättas när båda systemen är separerade från Internet av NAT. Användningen av NAT komplicerar också tunnelprotokoll som IPsec eftersom det ändrar värdena i rubriker som interagerar med förfrågningsintegritetskontroller.
NAT: ett befintligt problem
Den grundläggande principen för Internet är end-to-end-anslutning. Det har funnits sedan dess utveckling. Nätverkets nuvarande tillstånd bevisar bara att NAT är en överträdelse denna princip. Det finns en allvarlig oro inom yrkeslivet angående den utbredda användningen av nätverksadressöversättning i IPv6. Idag ställs alltså frågan om hur detta problem kan elimineras. Eftersom översättningstillståndstabellerna i NAT-routrar är permanenta, förlorar interna nätverksenheter IP-anslutning inom en mycket kort tidsperiod. Vi får inte glömma denna omständighet när vi pratar om vad NAT är i en router. Detta minskar drifttiden avsevärt kompakta enheter, som fungerar på batterier och uppladdningsbara batterier.
Skalbarhet
När du använder NAT övervakas endast de portar som snabbt kan tömmas interna applikationer, som använder flera samtidiga anslutningar. Det kan det vara HTTP-förfrågningar för sidor med ett stort antal inbäddade objekt. mjukna detta problem möjligt genom att spåra IP-adressen i destinationerna utöver porten. En lokal port kan alltså delas av ett stort antal fjärrvärdar.
NAT: vissa svårigheter
Eftersom alla interna adresser är maskerade som en enda publik adress är det omöjligt för externa värdar att initiera en anslutning till en specifik intern värd utan att ställa in en speciell konfiguration på brandväggen. Denna konfiguration bör vidarebefordra anslutningar till en specifik port. Applikationer för IP-telefoni, videokonferenser och liknande tjänster måste använda NAT-traversalmetoder för att fungera korrekt. Rapt-översättningsporten och returadressen tillåter en värd vars IP-adress ändras från tid till annan att förbli tillgänglig som en server med en fast IP-adress hemnätverk. Detta bör i princip tillåta servrarna att förbli anslutna. Även om denna lösning på problemet inte är idealisk, kan den vara en annan användbart verktyg i en nätverksadministratörs arsenal när man löser problem relaterade till att konfigurera NAT på en router.
PAT eller Port Address Translation
Port Address Translation är en implementering av Cisco Rapt som mappar flera privata IP-adresser till en enda offentlig. Således kan flera adresser mappas som en adress eftersom var och en spåras med hjälp av ett portnummer. PAT använder unika källportnummer på den interna globala IP-adressen för att särskilja riktningen för dataöverföring. Dessa tal är 16-bitars heltal. Det totala antalet interna adresser som kan översättas till en enda extern adress kan teoretiskt vara upp till 65536. I verkligheten är antalet portar som en enskild IP-adress kan tilldelas ungefär 4000. PAT försöker vanligtvis bevara originalet " original" port. . I händelse av att den redan används, tilldelar Port Address Translation det första tillgängliga portnumret, från början av motsvarande grupp. När det inte finns fler tillgängliga portar och det finns mer än en extern IP-adress går PAT vidare till nästa för att tilldela en källport. Denna process kommer att fortsätta tills det inte finns mer tillgänglig data. Cisco-tjänsten visar adressen och porten. Den kombinerar översättningsportens adress och data för att tunnla IPv4-paket över ett internt IPv6-nätverk. I huvudsak detta alternativt alternativ Carrier Grade NAT och DS-Lite, som stöder IP-översättning av portar och adresser. Detta undviker problem i samband med att upprätta och underhålla en anslutning. Det tillhandahåller också en övergångsmekanism för IPv6-distribution.
Översättningsmetoder
Det finns flera grundläggande sätt att implementera nätverksadress och portöversättning. Vissa applikationsprotokoll kräver att du bestämmer den externa NAT-adressen som används i den andra änden av anslutningen. Det är också ofta nödvändigt att undersöka och klassificera typen av överföring. Som regel görs detta för att det är önskvärt att skapa en direkt kommunikationskanal mellan två klienter placerade bakom separata NAT:er. Ett speciellt protokoll, RFC 3489, utvecklades för detta ändamål, vilket ger enkel UPD-bypass över NATS. Idag anses det redan vara föråldrat, eftersom dessa metoder i dag anses vara otillräckliga för att korrekt bedöma enhetens funktion. 2008 utvecklades RFC 5389 som standardiserade nya metoder. Denna specifikation kallas idag Session Traversal. Hon representerar särskild nytta, designad för NAT-drift.
Skapa tvåvägskommunikation
Varje UDP- och TCP-paket innehåller käll-IP-adressen och dess portnummer, samt koordinaterna för destinationsporten. Portnumret är mycket viktigt för att ta emot offentliga tjänster som e-postserverfunktionalitet. Så, till exempel, port 25 ansluter till SMTP e-postserver, och port 80 ansluts till programvara webbserver. IP-adressen för den offentliga servern är också viktig. Dessa parametrar måste vara tillförlitligt kända för de noder som avser att upprätta en anslutning. Privata IP-adresser är endast relevanta på lokala nätverk.
Network Address Translation (NAT) används av många tjänsteleverantörer och privata användare för att lösa problemet med bristen på riktiga IP-adresser och säkerställa säkerheten för lokala nätverk som är anslutna till Internet. Till exempel. Ett företag kan ha ett dedikerat utbud av riktiga IP-adresser, men mycket mer mer datorer med lokala IP-adresser som behöver tillgång till Internet. För att lösa detta problem används adressöversättningsteknik, som gör att datorer i ett lokalt nätverk kan interagera med Internet med bara en extern riktig IP-adress. NAT löser detta problem genom att ersätta den lokala IP-adressen med en extern publik adress. Genom att ersätta den interna IP-adressen och porten med den externa IP-adressen och porten upprätthåller NAT en mappningstabell och konverterar den sedan tillbaka när ett svarspaket tas emot.Lokala IP-adresser inkluderar följande adressintervall: 10.xxx.xxx.xxx, 192.168.xxx.xxx, 172.16.xxx.xxx - 172.32.xxx.xxx.
Typer av nätverksadressöversättare (NAT)
Adressöversättare är indelade i fyra typer:
1. Full kon
2. Begränsad kon
3. Portbegränsad kon
4. Symmetrisk
I de första tre typerna av NAT kan olika IP-adresser för det externa nätverket interagera med en adress från det lokala nätverket med samma extern port. Den fjärde typen använder en separat extern port för varje adress och port.
NAT:er har ingen statisk tabell över adresser och portar. Displayen öppnas när det första paketet skickas från det lokala nätverket till utsidan genom NAT och är giltigt under en viss tid (vanligtvis 1-3 minuter om paket inte passerar genom denna port, tas porten bort från). uppslagstabellen. Vanligtvis allokerar NAT externa portar dynamiskt med ett intervall över 1024.
Full kon
När du använder full kon NAT är den externa mappade porten öppen för paket som kommer från vilken adress som helst. Om någon från det externa Internet vill skicka ett paket till en klient som ligger bakom NAT för närvarande behöver han bara veta den externa porten genom vilken anslutningen upprättas. Till exempel, en dator bakom en NAT med en IP-adress 10.0.0.1 skickar och tar emot paket på port 8000, mappad till den externa IP-adressen och port 212.23.21.25:12345, då kan vem som helst på Internet skicka paket till den 212.23. 21.25:12345, och dessa paket kommer att nå klientdator 10.0.0.1:8000.
Begränsad kon
NAT, med en begränsad kon, öppnar en extern port direkt efter lokal dator kommer att skicka data till en specifik extern IP-adress. Till exempel om en klient skickar ett paket utanför extern dator 1, NAT mappar klient 10.0.0.1:8000 till 212.23.21.25:12345, och extern dator 1 kan skicka paket tillbaka till denna destination. NAT kommer dock att blockera paket som kommer från dator 2 tills klienten skickar ett paket till den datorns IP-adress. När den gör detta kommer både externa datorer 1 och 2 att kunna skicka paket tillbaka till klienten, och båda kommer att ha samma mappning över NAT.
Portbegränsad kon
NAT med en begränsad konport är nästan identisk med NAT med en begränsad konport. Endast i detta fall blockerar NAT alla paket om inte klienten tidigare har skickat ett paket utanför till IP-adressen och porten på datorn som skickar paket till klienten. Därför, om en klient skickar en extern dator 1 på port 5060, kommer NAT endast att tillåta paketet att nå klienten när det kommer från 212.33.35.80:5060. Om en klient skickade paket utåt till flera IP-adresser och portar kan de svara klienten på samma mappade IP-adress och port.
Symmetrisk
Symmetrisk NAT skiljer sig fundamentalt från de tre första på det sätt som den mappar en intern IP-adress och port till en extern adress och port. Denna mappning beror på IP-adressen och porten på den dator till vilken det skickade paketet är avsett. Till exempel, om en klient skickar från adressen 10.0.0.1:8000 till dator 1, kan den visas som 212.23.21.25:12345, samtidigt, om den skickar från samma port (10.0.0.1:8000) till en annan IP-adress visas den annorlunda (212.23.21.25:12346).
Dator 1 kan bara svara på 212.23.21.25:12345, och dator 2 kan bara svara på 212.23.21.25:12346. Om någon av dem försöker skicka paket till en port från vilken den inte tog emot paket, kommer dessa paket att ignoreras. Den externa IP-adressen och porten öppnas endast när den interna datorn skickar data utanför till en specifik adress.
NAT och Internettelefoni med hjälp av SIP-protokollet
Det finns tre huvudproblem med att skicka samtal genom NAT med hjälp av SIP-protokollet.
1. Tillgänglighet för lokala adresser i SIP-signalering.
Vad är NAT
Din dator kan anslutas direkt till Internet. Sedan säger de att han har extern IP-adress.
Detta innebär vanligtvis att datorn är ansluten direkt till ett modem (DSL, kabel eller vanlig analog).
Bakom NAT betyder att din dator inte är ansluten till Internet, utan till ett lokalt nätverk. Då har han interiör En IP-adress som i sig är otillgänglig från Internet.
Din dator får åtkomst till Internet via NAT - processen att översätta interna adresser till externa och vice versa. En NAT-enhet kallas vanligtvis en router.
Det specifika med NAT är att anslutningar som initieras av din dator transparent passerar genom NAT-enheten till Internet. Anslutningar som andra datorer från Internet skulle vilja upprätta med dig kan dock inte nå dig.
Hitta datorns IP-adress
Kör">Öppna en dialogruta för att köra program: klicka på Start-knappen, välj Kör från menyn.
I Windows 2000/XP, skriv kommandot cmd /k ipconfig, klicka på OK och titta på resultatet.
Windows 2000 IP-konfiguration Ethernet-adapter Local Area Connection: Anslutningsspecifikt DNS-suffix . : IP-adress. . . . . . . . . . . . : 192.168.1.10 Subnet Mask. . . . . . . . . . . : 255.255.255.0 Default Gateway. . . . . . . . . : 192.168.1.1
Den första av dessa adresser är din dators IP-adress.
Står du bakom NAT?
Tre specialsortiment IP-adresser är reserverade för lokala nätverk och används inte på Internet:
10. 0. 0. 0 - 10. 255.255.255 172. 16. 0. 0 - 172. 31.255.255 192.168. 0. 0 - 192.168.255.255
Om din dators IP-adress ligger inom ett av dessa intervall, det vill säga den börjar med 10. eller med 192.168.
eller från 172.nn.
(där nn är från 16 till 31), då är detta en lokal (intern) adress, och du ligger definitivt bakom NAT.
Om inte, kontrollera nu vilken IP-adress andra datorer på Internet ser dig under. Till exempel på whatsmyip.org ("Din IP-adress är x.x.x.x" högst upp på sidan) eller på myipaddress.com.
- Om din dators IP-adress stämmer överens med en av dessa webbplatser som visas är du definitivt ansluten till Internet direkt.
- I andra fall är det omöjligt att säga säkert. Följande alternativ är möjliga:
Du står bakom NAT, men din nätverksadministratör har valt icke-standardiserade interna adresser för ditt lokala nätverk. Hitta honom och fråga varför han var tvungen att göra detta..
du kommer åt Internet via en proxyserver (då visade whatsmyip.org adressen till denna proxyserver). I många fall kan du avgöra om det finns en proxyserver mellan dig och Internet, med till exempel lagado.com/proxy-test.
Anslutning via en proxy täcks inte av den här guiden.
Anslutningsmöjligheter via NAT
- Om du ligger bakom NAT är nästa steg att bestämma exakt var NAT-enheten finns.
- NAT-leverantör Då säger de det,
- leverantören förser dig med Internet via NAT,
- eller att leverantören ger dig ingen extern IP-adress
Det enklaste sättet är att ringa din leverantör och ta reda på det. Eller fråga kunniga grannar med samma anknytning.
När du ansluter till Internet via leverantörens lokala nätverk kan du inte skapa en tillgänglig port för dig själv. Såvida inte din leverantör omdirigerar en specifik port specifikt för dig, vilket är osannolikt. Eller om du inte betalar extra för en tjänst som brukar kallas en "extern" ("vit") IP-adress.
NAT i ett kontor eller flerfamiljshus
I princip är situationen densamma, men du kan leta efter tillvägagångssätt till den lokala administratören. I slutändan beror det på om du har tillgång till routerns inställningar att bestämma om en port är tillgänglig.
Dessutom kan du också prova UPnP, om din router lämnade den aktiverad.
NAT är din egen
I det här fallet kan du nästan alltid konfigurera den och få en tillgänglig port.
Vanligtvis är detta antingen en anslutning via en hemrouter eller en anslutning via en annan dator, till exempel med ICS (det andra alternativet beaktas inte här).
Självklart händer det i princip också att du har NAT både hemma och hos din leverantör, det vill säga din dator ligger bakom två NAT samtidigt. Detta kan kontrolleras genom att gå till routerns inställningar, titta på dess externa adress och sedan följa scenariot ovan (om den tillhör detta adress för lokala nätverksintervall, stämmer det överens med adressen som du ses under på Internet).
Internetrouter, åtkomstserver, brandvägg. Den mest populära är Källa NAT(SNAT), kärnan i mekanismen är att ersätta källadressen när ett paket passerar i en riktning och omvänt ersätta destinationsadressen i svarspaketet. Tillsammans med käll-/destinationsadresserna kan käll- och destinationsportnumren också ersättas.Förutom SNAT, d.v.s. förse användare av ett lokalt nätverk med interna adresser med tillgång till Internet, används ofta också Destination NAT, när förfrågningar utifrån översätts av brandväggen till en server på det lokala nätverket som har en intern adress och därför inte är direkt åtkomlig från det externa nätverket (utan NAT).
Figurerna nedan visar ett exempel på hur NAT-mekanismen fungerar.
Ris. 7.1.
Användare företagsnätverk skickar en begäran till Internet, som kommer till det interna gränssnittet för routern, åtkomstservern eller brandväggen (NAT-enhet).
NAT-enheten tar emot paketet och gör en post i anslutningsspårningstabellen, som kontrollerar adressöversättning.
Den ersätter sedan källadressen för paketet med sin egen externa publika IP-adress och skickar paketet till sin destination på Internet.
Destinationsvärden tar emot paketet och skickar ett svar tillbaka till NAT-enheten.
NAT-enheten i sin tur, efter att ha tagit emot detta paket, letar upp avsändaren av originalpaketet i anslutningsspårningstabellen, ersätter IP-adress destination till motsvarande privata IP-adress och vidarebefordrar paketet till källdator. Eftersom NAT-enheten skickar paket på uppdrag av alla interna datorer, ändrar det originalet nätverksport Och denna information lagras i anslutningsspårningstabellen.
Det finns tre grundläggande begrepp för adressöversättning:
- statisk (SAT, statisk nätverksadressöversättning),
- dynamisk (DAT, dynamisk adressöversättning),
- maskerad (NAPT, NAT Overload, PAT).
Statisk NAT mappar lokala IP-adresser till specifika allmänna adresser på en-till-en-basis. Används när den lokala värden måste vara tillgänglig utifrån med hjälp av fasta adresser.
Dynamisk NAT mappar en uppsättning privata adresser till en uppsättning offentliga IP-adresser. Om antalet lokala värdar inte överstiger antalet tillgängliga offentliga adresser, kommer varje lokal adress garanterat att motsvara en allmän adress. Annars kommer antalet värdar som samtidigt kan komma åt externa nätverk att begränsas av antalet publika adresser.
Maskerad NAT(NAPT, NAT Overload, PAT, masquerading) är en form av dynamisk NAT som mappar flera privata adresser till en enda offentlig IP-adress med hjälp av olika portar. Även känd som PAT (Port Address Translation).
Mekanismer för interaktion mellan det interna lokala nätverket och det externa offentligt nätverk det kan finnas flera - det beror på den specifika uppgiften att ge tillgång till det externa nätverket och tillbaka och föreskrivs av vissa regler. Det finns fyra typer av nätverksadressöversättning definierade:
- Full kon
- Begränsad kon
- Portbegränsad kon
- Symmetrisk
I de tre första typerna av NAT för interaktion olika IP-adresser externt nätverk med adresser från det lokala nätverket använder samma externa port. Den fjärde typen - symmetrisk - använder en separat extern port för varje adress och port.
Full kon, enhetens externa port (router, åtkomstserver, brandvägg) är öppen för förfrågningar som kommer från vilken adress som helst. Om en användare från Internet behöver skicka ett paket till en klient som ligger bakom en NAT, behöver han bara känna till den externa porten på enheten genom vilken anslutningen upprättas. Till exempel, en dator bakom NAT med en IP-adress på 192.168.0.4 skickar och tar emot paket på port 8000, som mappar till den externa IP-adressen och porten som 10.1.1.1:12345. Paket från det externa nätverket anländer till enheten med IP-adress: port 10.1.1.1:12345 och skickas sedan till klientdatorn 192.168.0.4:8000.
I inkommande paket kontrolleras endast transportprotokollet; Destinationsadressen och porten, källadressen och porten spelar ingen roll.
När du använder NAT, arbetar efter typ Begränsad kon, den externa porten på enheten (router, åtkomstserver, brandvägg) är öppen för alla paket som skickas från klientdatorn, i vårt exempel: 192.168.0.4:8000. Och ett paket som kommer från ett externt nätverk (till exempel från dator 172.16.0.5:4000) till en enhet med adress: port 10.1.1.1:12345 kommer att skickas till dator 192.168.0.4:8000 endast om 192.168.0.4:8000 tidigare skickade en begäran till IP-adressen för den externa värden (i vårt fall till datorn 172.16.0.5:4000). Det vill säga, routern kommer bara att sända inkommande paket från en specifik källadress (i vårt fall dator 172.16.0.5:4000), men källportnumret kan vara vad som helst. Annars blockerar NAT paket som kommer från värdar till vilka 192.168.0.4:8000 inte skickade en begäran.
NAT-mekanism Portbegränsad kon nästan likt NAT Restricted Cone-mekanismen. Endast i detta fall blockerar NAT alla paket som kommer från värdar till vilka klientdatorn 192.168.0.4:8000 inte skickade en begäran till någon IP-adress och port. Routern uppmärksammar det matchande källportnumret och uppmärksammar inte källadressen. I vårt exempel kommer routern att sända inkommande paket med valfri källadress, men källporten måste vara 4000. Om klienten skickade förfrågningar till det externa nätverket till flera IP-adresser och portar, då kommer de att kunna skicka paket till klienten på IP-adressen: port 10.1 .1.1:12345.
Symmetrisk NAT skiljer sig avsevärt från de tre första mekanismerna i hur den mappar den interna IP-adressen:port till den externa adressen:port. Denna visning beror på IP-adress:porten på den dator som den skickade begäran är avsedd för. Till exempel, om klientdator 192.168.0.4:8000 skickar en begäran till dator #1 (172.16.0.5:4000), kan den visas som 10.1.1.1:12345, samtidigt som den skickar från samma port ( 192.168. 0.4:8000) till en annan IP-adress, visas den annorlunda (10.1.1.1:12346).
Det är dock värt att nämna nackdelarna med denna teknik:
- Alla protokoll kan inte "traversera" NAT. Vissa misslyckas om det finns adressöversättning på vägen mellan kommunicerande värdar. Vissa brandväggar för översättning av IP-adresser kan rätta till denna brist genom att på lämpligt sätt ersätta IP-adresser, inte bara i IP-huvudena, utan också med fler höga nivåer(till exempel i FTP-protokollkommandon).
- På grund av multi-till-en adressöversättning uppstår ytterligare svårigheter med att identifiera användare och behovet av att lagra fullständiga översättningsloggar.
- DoS-attack av en värd som utför NAT - Om NAT används för att ansluta många användare till samma tjänst kan det skapa en illusion av en DoS-attack på tjänsten (flera framgångar och misslyckanden). Till exempel en för stor mängd ICQ-användare bakom NAT leder till problem med att ansluta till servern för vissa användare på grund av att den tillåtna anslutningshastigheten överskrids.
