network address translation tutorial with examples
Co to jest translacja adresów sieciowych (NAT):
W tym Seria samouczków poświęconych jawnej sieci , zbadaliśmy Różnice między modemem a routerem szczegółowo w naszym poprzednim samouczku.
W tym samouczku zbadamy koncepcję translacji adresów sieciowych (NAT), analizując potrzebę jej wprowadzenia, korzyści, typy i metody implementacji.
W komputerowym systemie sieciowym NAT jest wprowadzany jako metodologia ratunkowa, gdy przestrzeń adresowa IPv4 była wyczerpana.
Czego się nauczysz:
Co to jest NAT?
NAT to proces ponownego przypisywania pojedynczej przestrzeni adresowej IP do kolejnej poprzez zmianę danych adresowych sieci w nagłówku IP pakietu danych, gdy przemieszczają się one przez sieć w kierunku węzła docelowego.
Na ogół NAT działa na routerze lub bramie i łączy ze sobą dwie sieci, tłumacząc adresy prywatne na adresy zarejestrowane, zanim dane zostaną przesłane do innej sieci.
różnica między qa i qc w testowaniu oprogramowania
NAT ma potencjał do rozgłaszania tylko jednego adresu IP do sieci publicznej w imieniu całej sieci wewnętrznej. Zapewnia to funkcję bezpieczeństwa, skutecznie ukrywając ogólny adres IP sieci prywatnej za tym pojedynczym adresem.
W ten sposób NAT oferuje podwójną funkcję translacji adresów i bezpieczeństwa systemów sieciowych.
Dlaczego NAT?
W każdym systemie sieciowym służącym do komunikacji między komputerami PC a serwerami sieciowymi za pośrednictwem Internetu za każdym razem wymagamy unikalnego adresu IP, który jest 32-bitową liczbą używaną do zlokalizowania komputera lub urządzenia sieciowego, do którego chcesz dotrzeć w sieci.
W minionych dziesięcioleciach, kiedy używaliśmy schematu adresowania IPV4, było 2 ^ 32 oznacza, że 4,3 miliarda unikalnych adresów można było przypisać urządzeniom do celów komunikacyjnych. Ale faktycznie dostępne adresy były mniejsze, ponieważ niektóre były wyłączone, ponieważ były używane do transmisji, testowania i niektórych zastrzeżonych celów wojskowych.
Dlatego pozostałe adresy wynosiły około 3,2 miliarda. Wydaje się, że jest to ogromna liczba, ale ze względu na wzrost wykorzystania Internetu we wszystkich obszarach, takich jak sieci domowe, cele biznesowe, oglądanie wideo online; udostępnianie danych itp. adresy były bliskie wyczerpania.
Rozwiązaniem tego ograniczenia schematu adresowania IPV4 jest odtworzenie systemu adresowania, tak aby było więcej opcji przydzielania adresów. Można to zrobić, wprowadzając schemat adresowania IPV6.
Jednak proces wdrażania tego trwał kilka lat, ponieważ wymaga to zmian w ogólnej infrastrukturze systemu sieciowego.
W międzyczasie NAT jest wprowadzany i szeroko wdrażany wszędzie, co pozwala urządzeniom sieciowym, takim jak router, działać jako agent między Internetem a siecią prywatną. Oznacza to, że unikalny adres IP może być używany do symbolizowania ogólnej klasy urządzeń sieciowych, takich jak komputery PC.
Rodzaje NAT
1) Statyczny NAT : Jest również znany jako NAT jeden do jednego. W tego rodzaju NAT, tylko adresy IP i suma kontrolna nagłówka są zmieniane w ramach ogólnego adresu sieciowego. Są one realizowane w celu połączenia dwóch różnych sieci IP o niekompatybilnych adresach.
( wizerunek źródło )
# 2) Dynamiczny NAT : W tym typie NAT mapowanie adresu IP z niezarejestrowanej sieci prywatnej odbywa się za pomocą pojedynczego adresu IP zarejestrowanej sieci z klasy zarejestrowanych adresów IP.
# 3) Przeciążanie NAT : Jest to również rodzaj dynamicznego NAT, który jest również określany jako NAT jeden do wielu.
W przypadku tego typu NAT pakiety podróżujące w sieci z sieci prywatnej do sieci publicznej oznaczają, że w Internecie nastąpi zmiana adresu źródłowego pakietu danych i gdy pakiety zostaną cofnięte z sieci publicznej do sieci prywatnej będą mieć zmiany w docelowych adresach IP.
Oprócz adresu źródłowego lub docelowego, pakiety mają zmodyfikowane lub różne numery portów z każdym pakietem danych, aby uniknąć jakiejkolwiek niejasności w tłumaczeniu. W ten sposób ta kombinacja numeru portu i zmodyfikowanego adresu IP jest mapowana na zarejestrowany adres IP sieci prywatnej.
# 4) Nakładający się NAT: Czasami w systemie sieciowym zarejestrowane adresy IP używane przez sieć wewnętrzną są również używane przez inną sieć i są zarejestrowanymi adresami IP tej sieci.
Dlatego w tym przypadku router prowadzi własną tabelę wyszukiwania, aby mógł wychwycić takie przypadki i wymieniać je z unikalnymi zarejestrowanymi adresami IP.
Router NAT tłumaczy adresy IP zarówno na wewnętrzne, jak i zewnętrzne zarejestrowane adresy IP w sieci prywatnej.
Jak działa NAT?
Zanim przejdziemy do pracy, przyjrzyjmy się terminologii używanej w NAT:
- Wewnątrz adresu lokalnego : Jest to prywatny adres IP sieci prywatnej.
- Wewnątrz adresu globalnego : Jest to zarejestrowany publiczny adres IP przydzielony do hosta sieci prywatnej podczas inicjowania komunikacji z siecią zewnętrzną.
- Poza adresem globalnym : Jest to zarejestrowany adres IP przydzielony hostowi w Internecie.
- Adres zewnętrzny : Jest to lokalny adres IP przydzielony hostowi w domenie publicznej.
- Adres używany przez wewnętrzne urządzenia sieciowe do wewnętrznej komunikacji między sobą jest nazywany wewnętrznym adresem lokalnym.
- Adres używany przez urządzenia w sieci wewnętrznej do komunikacji z zewnętrznymi urządzeniami sieciowymi jest nazywany zewnętrznym adresem lokalnym.
- Adres używany przez zewnętrzne urządzenia sieciowe do komunikacji z urządzeniami w sieci prywatnej to wewnętrzny adres globalny.
- Adres używany przez urządzenia zewnętrzne do komunikacji między sobą jest poza adresem globalnym.
- Za każdym razem, gdy jakakolwiek organizacja zbuduje system sieciowy, dostawca usług internetowych przydzieli im pulę adresów IP. Przydzielony zakres adresów obejmuje zarejestrowane i unikalne adresy IP, które są znane jako wewnętrzne adresy globalne.
- Niezarejestrowana klasa prywatnych adresów IP składa się z zewnętrznych adresów lokalnych, które są wdrażane przez routery NAT, oraz wewnątrz adresów lokalnych, które są używane przez sieć lokalną, zwaną również domeną pośredniczącą.
- Zewnętrzny adres lokalny służy do tłumaczenia unikatowych adresów IP urządzeń sieciowych w sieci publicznej.
- Większość urządzeń sieciowych w sieci LAN używa wewnętrznych adresów lokalnych do komunikacji między nimi i generalnie nie wymagają tłumaczenia. Teraz, gdy jakiekolwiek urządzenie w domenie pośredniczącej musi komunikować się z inną siecią, pakiet przejdzie przez router NAT.
- Teraz router NAT wyszuka w tablicy routingu, czy ma wpis adresu docelowego, czy nie. Jeśli tak, to tłumaczy pakiet i tworzy dla niego wpis w tablicy translacji adresów. Jeśli adres nie zostanie znaleziony, pakiet jest odrzucany.
- Używając wewnętrznego adresu globalnego, router przekieruje pakiet danych do miejsca przeznaczenia.
- Teraz host końcowy, taki jak komputer w sieci publicznej, przekazuje pakiet danych do sieci prywatnej. Tym razem adres początkowy jest poza adresem globalnym, a adres odbiorczy jest rodzajem wewnętrznego adresu globalnego.
- Router NAT ponownie sprawdzi tabelę translacji i stwierdzi, że adres docelowy znajduje się w tabeli, czy nie, a następnie wykreśli adres IP do domeny pośredniczącej, do której należy.
- Przekłada się wewnętrzny adres globalny pakietu na wewnętrzny adres lokalny i jest on dostarczany do hosta docelowego.
- Jak już wspomniano wcześniej, NAT wykorzystuje funkcję protokołu TCP / IP polegającą na używaniu pakietu IP z portami TCP lub UDP ze zmodyfikowanym nagłówkiem IP do celów tłumaczenia.
Zatem nagłówek pakietu IP będzie zawierał następujące pola:
Adres źródłowy - Adres IP inicjującego hosta, na przykład 192.178.120.10
Port źródłowy - Numer portu TCP lub UDP przydzielony przez inicjujący komputer, taki jak Port 1020
Adres przeznaczenia - Adres IP komputera odbiornika, np. 172.145.57.20
Port docelowy - Port TCP lub UDP, którego otwarcia zażądał host inicjujący od hosta odbierającego, na przykład 4281.
Przydzielenie numeru portu jest konieczne, ponieważ zapewnia, że korelacja między dwoma komputerami ma unikalny identyfikator.
Przykład NAT
W poniższym przykładzie host wewnętrzny (172.168.20.10) chce komunikować się ze światem zewnętrznym, a docelowy adres serwera WWW to 192.100.20.2. Następnie wyśle pakiet danych do routera bramkowego z włączoną funkcją NAT w sieci w celu dalszej komunikacji.
Router bramkowy poznaje źródłowy adres IP pakietu i sprawdza w tabeli, czy pakiet spełnia warunek translacji. Router bramy utrzymuje listę kontroli dostępu (ACL), która lokalizuje hosty uwierzytelniające na potrzeby tłumaczenia sieci wewnętrznej.
W ten sposób przetłumaczy wewnętrzny lokalny adres IP na wewnętrzny globalny adres IP, który jest tutaj 192.100.10.25. Następnie zapisze to tłumaczenie w tablicy NAT, a router będący bramą przekieruje pakiet do miejsca docelowego.
Gdy serwer sieciowy wróci do żądania, pakiet powróci do globalnego adresu IP 192.100.10.25 routera.
Teraz router bramy ponownie wyszuka w tabeli NAT, aby znaleźć przetłumaczony adres IP odpowiadający adresowi globalnemu. Następnie tłumaczy go na wewnętrzny adres lokalny, a następnie pakiet danych jest dostarczany do hosta pod adresem IP 172.168.20.10. Jeśli dopasowanie nie zostanie znalezione w tabeli, pakiet jest odrzucany.
Jak działa NAT obraz:
Przeciążenie NAT lub translacja adresów portów
Jest to zasadniczo używane przez domowe routery szerokopasmowe do mapowania niezarejestrowanego adresu IP z sieci prywatnej na pojedynczy zarejestrowany adres IP domeny publicznej.
Translacja adresu portu wykreśla kilka niezarejestrowanych prywatnych adresów IP na zarejestrowany publiczny indywidualny adres IP przy użyciu charakterystycznych portów. Aby odróżnić różne tłumaczenia wykonane w sieci domowej, PAT wdroży wyłączne numery portów do wewnętrznych globalnych adresów IP.
Załóżmy, że w przypadku sieci domowej, gdy komputer główny będzie próbował uzyskać dostęp do Internetu, router NAT przydzieli numer portu źródłowemu adresowi IP.
W jednym wystąpieniu sieci domowej korzystającej z Internetu może istnieć więcej niż jeden komputer, dlatego PAT gwarantuje, że komputer kliencki będzie używał odrębnego numeru portu za każdym razem, gdy zainicjuje nową sesję z serwerem w Internecie.
W odpowiedzi router przekieruje pakiet danych na podstawie numeru portu źródłowego, który jest teraz zamieniony na numer portu docelowego. Całe to zjawisko zapewnia również bezpieczeństwo sesji komunikacyjnej, ponieważ pakiet jest cofany w odpowiedzi na żądanie zgłoszone przez klienta.
Tabela przeciążenia NAT
Wewnątrz lokalnego adresu IP | Wewnątrz globalnego adresu IP | Zewnętrzny globalny adres IP | Zewnętrzny lokalny adres IP |
---|---|---|---|
10.20.10.2:1666 | 192.134.30.4:1666 | 192.134.20.2:80 | 192.134.20.2:80 |
10.20.10.3:2444 | 192.134.30.4:2444 | 192.134.40.3:80 | 192.134.40.3:80 |
Z powyższego rysunku wynika, że przeciążenie NAT wykorzystuje wyłączne numery portów źródłowych w wewnętrznych globalnych adresach IP do rozróżniania tłumaczeń, ponieważ numery portów 1666 i 2444 są używane odpowiednio do wykrywania pakietu danych.
Tutaj adres źródłowy to wewnętrzny lokalny adres IP, który jest wymieniony w tabeli, a adres docelowy to zewnętrzny lokalny adres IP z numerem portu 80 podczas uzyskiwania dostępu do Internetu przez HTTP.
Na końcu routera NAT, przeciążenie NAT zmienia adres źródłowy na wewnętrzny globalny adres IP, jak pokazano w powyższej tabeli, a adres docelowy jest teraz znany jako zewnętrzny globalny adres IP.
Podwójny NAT
Podwójny NAT to sytuacja, w której więcej niż jedno urządzenie sieciowe, takie jak router w sieci prywatnej, wykonuje translację adresów sieciowych.
Najprostszym przykładem jest sytuacja, gdy modem DSL i router Wi-Fi są połączone w sieci z włączonym NAT w każdym z nich. Urządzenia hosta podłączone do sieci publicznej przez router Wi-Fi.
W tym scenariuszu komputery osobiste nie będą mogły uzyskać dostępu do Internetu, ponieważ router nie ma żadnego własnego publicznego adresu IP, podczas gdy ma prywatny adres IP ograniczony w zasięgu sieci modemu DSL.
Jak rozwiązać problem podwójnego NAT
Istnieje wiele sposobów rozwiązania problemu podwójnego NAT, ale to, które rozwiązanie będzie działać, będzie zależeć od rodzaju konfiguracji sieci.
# 1) Ustaw router bezprzewodowy w trybie mostkowym : Oznacza to przejście do interfejsu sieciowego routera i ręczne wyłączenie funkcji NAT i DHCP routera bezprzewodowego.
Jeśli obie funkcje zostaną wyłączone, gdy tryb jest znany jako tryb zmostkowany, a następnie skonfigurować przekierowanie portów na modemie, aby rozwiązać problem z podwójnym NAT.
Poniższy zrzut ekranu pokazuje włączenie trybu Bridged w routerze w celu rozwiązania problemu podwójnego NAT.
( wizerunek źródło )
# 2) Utwórz połączenie PPPoE między routerem a modemem: Nie jest to obsługiwane przez wszystkich dostawców usług internetowych, ale jest to jeden z najlepszych sposobów rozwiązania problemu podwójnego NAT. Przejdź do ustawień WAN w interfejsie internetowym routera, a następnie zaznacz opcję PPPoE, aby skonfigurować połączenie WAN. Spowoduje to ominięcie NAT w modemie.
# 3) Włącz DMZ w modemie: Spowoduje to podłączenie routera z funkcją DMZ bezpośrednio do Internetu i obejdzie ustawienia IP routera NAT, zapory ogniowej i połączenia DHCP, a tym samym urządzenia automatycznie uzyskają wartości z routera.
Kroki są następujące:
- Najpierw zaloguj się do interfejsu internetowego routera i znajdź adres IP sieci WAN routera.
- Po drugie, zaloguj się do ustawień administracyjnych modemu i ustaw w ustawieniach DMZ modemu adres WAN routera jako adres IP. Umożliwi to przekierowanie portów, a ruch będzie kierowany do określonego hosta klienta.
Router NAT
Router NAT generuje sieć adresów IP dla sieci lokalnej i łączy tę sieć LAN z siecią publiczną, jaką jest Internet. NAT wykonywany przez router pozwoli kilku komputerom PC lub urządzeniom hosta w sieci LAN na tylnym końcu routera na komunikację z siecią WAN, tj. Internetem.
Routery NAT są używane do celów domowych i małych branż, ponieważ router pojawia się w Internecie jako pojedynczy host z pojedynczym adresem IP. To skutecznie oddaje fakt, że komputerowi PC w sieci lokalnej routera zostanie przydzielony pojedynczy adres IP w tym samym odstępie czasu.
Router NAT ( wizerunek źródło )
Wbudowane zabezpieczenia routera NAT
Routery NAT mają tę cechę, że będą działać jako sprzętowe urządzenie zapory sieciowej w sieci i chronią sieć LAN przed wszelkiego rodzaju niepożądanym i nietypowym ruchem, który może uszkodzić sieć.
W ten sposób działa jako filtr między Internetem a prywatną siecią LAN i przepuszcza tylko ten ruch, przez który jest upoważniony do wejścia do sieci.
Jak to działa? Ponieważ router łączy sieć LAN z Internetem, jest więc świadkiem wszystkich pakietów danych wysyłanych do Internetu z sieci LAN. Router przechowuje wewnętrzną tabelę połączeń i zapisuje każdy adres IP docelowego pakietu wychodzącego oraz przydzielony do niego numer portu. Następnie przydziela pakietowi własny adres IP i numer portu w celu potwierdzenia ruchu przychodzącego do domu.
Na koniec zapisuje ostateczne informacje o pakiecie danych wraz z adresem IP i numerem portu w swojej bieżącej tabeli połączeń. Gdy którykolwiek z pakietów danych trafi do routera z Internetu, router sprawdzi w tabeli bieżącej połączeń, czy pakiet danych dotarł do sieci LAN, sprawdzając w tabeli.
Jeśli zostanie znaleziony równoważny adres IP i numer portu, przekierowuje go do docelowego komputera w sieci LAN. A jeśli dopasowanie nie zostanie znalezione, router odrzuci pakiet danych i oznaczy go jako niepożądany ruch.
W ten sposób router NAT chroni twoje połączenie z siecią zewnętrzną, a także w przypadku, gdy tylko jedno urządzenie jest podłączone do sieci LAN. Tak więc po skonfigurowaniu routera NAT w sieci żaden z robaków i złośliwego wirusa nie może zaszkodzić sieci.
Funkcje bezpieczeństwa routera NAT
Zalety NAT:
- Poprzez zarządzanie adresami IP i ich ponowne wykorzystanie NAT może zapobiec wyczerpaniu schematu adresowania IPV4.
- Zapewnia bezpieczeństwo sieci prywatnej ze świata zewnętrznego, utrzymując w tajemnicy źródłowy i docelowy adres IP z sieci zewnętrznej.
- Zapewnia elastyczny system sieciowy.
- Organizacje sieci prywatnych korzystające z NAT mogą wykorzystywać wybrany przez siebie zakres adresów IP do tworzenia sieci wewnętrznej, niezależnie od dostawcy usług interfejsu publicznego.
Ograniczenia NAT:
- Ponieważ NAT bada wszystkie przychodzące i wychodzące pakiety danych, aby zachować tabelę połączeń i inny rekord danych w pamięci procesora, więc cały proces będzie wymagał dużej pojemności i będzie czasochłonny.
- Nie wszystkie urządzenia sieciowe i systemy sieciowe są kompatybilne z technologią NAT, dlatego nie będzie działać wszędzie we wszystkich scenariuszach.
- Ze względu na kilkakrotną zmianę adresów IP urządzenia podczas procesu NAT, czasami bardzo trudno jest prześledzić od końca do końca osiągalność IP komponentów sieciowych.
- NAT powoduje nieoczekiwane opóźnienia w systemie komunikacyjnym.
Jaki bezpieczny protokół jest zalecany dla NAT: Nie ma takiego określonego zestawu protokołów, który byłby specjalnie używany dla NAT. Ale tłumaczenie podlega pakietowi protokołów internetowych (IP). Ponadto protokół TCP jest używany do tłumaczenia podczas wykonywania NAT przez routery.
Oprócz tych protokołów, w zależności od scenariusza sieci, używany jest inny zestaw protokołów, takich jak ICMP, UDP i IPSec, które zostały już wyjaśnione w poprzednich samouczkach.
Wniosek
Na podstawie tego samouczka zrozumieliśmy powód wprowadzenia procesu tłumaczenia adresów sieciowych w systemie sieci komputerowych i jego znaczenie.
Dowiedzieliśmy się również z różnych przykładów i rysunków, typów i działania NAT.
POPRZEDNIA samouczek | NEXT Tutorial
rekomendowane lektury
- IEEE 802.11 i 802.11i Wireless LAN oraz standardy uwierzytelniania 802.1x
- 7 sposobów naprawienia błędu „Brama domyślna jest niedostępna”
- Modem kontra router: poznaj dokładną różnicę
- Przewodnik po ocenie i zarządzaniu lukami w sieci
- Co to jest klucz bezpieczeństwa sieci: jak go znaleźć dla routera, systemu Windows lub Androida
- Co to jest wirtualizacja? Przykłady wirtualizacji sieci, danych, aplikacji i pamięci masowej
- Podstawowe kroki i narzędzia rozwiązywania problemów z siecią
- Co to jest bezpieczeństwo sieci: jego rodzaje i zarządzanie