network address translation tutorial with examples
Čo je preklad sieťových adries (NAT):
V tomto Séria výučbových kurzov Explicit Networking Training , preskúmali sme Rozdiely medzi modemom a smerovačom podrobne v našom predchádzajúcom návode.
V tomto tutoriáli preskúmame koncept prekladu sieťových adries (NAT) analýzou potreby ich zavedenia, výhod, typov a metód implementácie.
V systéme počítačových sietí je NAT zavedený ako záchranná metodika pri vyčerpaní adresného priestoru IPv4.
Čo sa dozviete:
Čo je to NAT?
NAT je proces preradenia jediného priestoru adresy IP do ďalšieho zmenením údajov sieťovej adresy v hlavičke IP dátového paketu, keď prechádzajú sieťou smerom k cieľovému uzlu.
NAT vo všeobecnosti funguje na smerovači alebo bráne a vzájomne prepája dve siete prevodom súkromných adries na registrované adresy pred prenosom údajov do inej siete.
NAT má potenciál vysielať do verejnej siete v mene celej internej siete iba jednu IP adresu. Toto zaisťuje zabezpečenie pomocou efektívneho skrytia celkovej adresy IP súkromnej siete za touto samostatnou adresou.
NAT teda ponúka dvojitú vlastnosť prekladu adries a bezpečnosti pre sieťové systémy.
Prečo NAT?
V každom sieťovom systéme na komunikáciu medzi počítačom a webovými servermi cez internet vyžadujeme zakaždým jedinečnú adresu IP, čo je 32-bitové číslo používané na vyhľadanie počítača alebo sieťového zariadenia, ktoré chcete v sieti osloviť.
V minulých desaťročiach, keď sme používali schému adresovania IPV4, existovalo 2 ^ 32 prostriedkov, čo mohlo byť pre komunikačné účely pridelené 4,3 miliónom jedinečných adries. Skutočne dostupné adresy však boli nižšie, pretože niektoré boli vyňaté, pretože sa používali na vysielanie, testovanie a niektoré vyhradené vojenské účely.
Zvyšné adresy sa preto pohybovali okolo 3,2 miliárd. Zdá sa, že je to obrovské množstvo, ale kvôli zvýšenému využívaniu internetu vo všetkých oblastiach, ako sú domáce siete, obchodné účely, sledovanie videa online; zdieľanie údajov atď., adresy boli takmer vyčerpané.
Riešením tohto obmedzenia schémy adresovania IPV4 je opätovné vytvorenie adresovacieho systému tak, aby bolo viac možností na prideľovanie adries. To sa dá dosiahnuť zavedením schémy adresovania IPV6.
Proces implementácie tohto procesu však trval niekoľko rokov, pretože si to vyžaduje zmenu celkovej infraštruktúry sieťového systému.
Medzitým je všade zavedený a široko nasadený NAT, ktorý umožňuje sieťovým zariadeniam, ako je smerovač, správať sa ako agent medzi internetom a súkromnou sieťou. Znamená to, že jedinečnú adresu IP je možné použiť na symbolizáciu celkovej triedy sieťových zariadení, ako sú napríklad počítače.
Druhy NAT
# 1) Statický NAT : Je tiež známy ako NAT typu jedna k jednej. V tomto druhu protokolu NAT sa medzi celkovou sieťovou adresou menia iba adresy IP a kontrolný súčet hlavičiek. Tieto sú implementované na prepojenie dvoch odlišných IP sietí, ktoré majú nekompatibilné adresovanie.
[ obrázok zdroj ]
# 2) Dynamický NAT : V tomto type NAT sa mapovanie IP z neregistrovanej súkromnej siete vykonáva s jedinou IP adresou registrovanej siete z triedy registrovaných IP adries.
# 3) Preťaženie NAT : Je to tiež typ dynamického NAT, ktorý sa tiež označuje ako NAT typu one-to-many.
V tomto type NAT pakety cestujúce v sieti zo súkromnej siete do verejnej siete znamenajú, že internet bude mať zmenu v zdrojovej adrese dátového paketu a pri návrate paketov späť z verejnej siete do súkromnej siete budú mať zmenu v cieľových IP adresách.
Okrem zdroja alebo cieľa, adresy IP majú pakety upravené alebo odlišné čísla portov s každým z dátových paketov, aby sa predišlo nejasnostiam pri preklade. Táto kombinácia čísla portu a upravenej adresy IP sa tak mapuje so zaregistrovanou adresou IP súkromnej siete.
# 4) Prekrývajúci sa NAT: V sieťovom systéme niekedy zaregistrované adresy IP používané internou sieťou používajú aj iné siete a sú registrovanými adresami IP tejto siete.
Preto v tomto prípade smerovač uchováva vyhľadávaciu tabuľku sám so sebou, aby mohol takéto prípady zachytiť a vymieňať si ich pomocou jedinečných registrovaných adries IP.
Smerovač NAT prekladá adresy IP pre interné aj externé registrované adresy IP pre súkromnú sieť.
Ako funguje NAT?
Predtým, ako si prejdeme, pochopíme terminológiu použitú v NAT:
- Vnútorná miestna adresa : Je to súkromná adresa IP súkromnej siete.
- Vnútri globálna adresa : Je to zaregistrovaná verejná IP adresa pridelená hostiteľovi súkromnej siete, keď iniciuje komunikáciu s vonkajšou sieťou.
- Vonkajšia globálna adresa : Je to registrovaná adresa IP pridelená hostiteľovi na internete.
- Mimo miestnej adresy : Je to lokálna adresa IP pridelená hostiteľovi vo verejnej doméne.
- Adresa používaná zariadeniami vnútornej siete na vzájomnú komunikáciu je známa ako vnútorná lokálna adresa.
- Adresa, ktorú používajú zariadenia v internej sieti na komunikáciu s externými sieťovými zariadeniami, sa nazýva vonkajšia lokálna adresa.
- Adresa, ktorú používajú vonkajšie sieťové zariadenia na komunikáciu so zariadeniami v súkromnej sieti, je vnútorná globálna adresa.
- Adresa používaná externými zariadeniami na vzájomnú komunikáciu je mimo globálnej adresy.
- Kedykoľvek ktorákoľvek organizácia vybudovala sieťový systém, poskytovateľ internetových služieb im pridelí skupinu adries IP. Priradený rozsah adries obsahuje registrované a jedinečné adresy IP, ktoré sú známe ako globálne adresy.
- Neregistrovaná trieda súkromných adries IP sa skladá z vonkajších miestnych adries nasadených smerovačmi NAT a vnútorných miestnych adries používaných lokálnou sieťou, ktorá sa nazýva aj stub doména.
- Vonkajšia miestna adresa sa používa na preklad jedinečných adries IP sieťových zariadení pre verejnú sieť.
- Väčšina sieťových zariadení v sieti LAN používa na komunikáciu medzi sebou interné miestne adresy a spravidla nevyžaduje preklad. Teraz, keď ktorékoľvek zariadenie v doméne stub potrebuje komunikáciu s inou sieťou, bude paket cestovať cez smerovač NAT.
- Teraz bude smerovač NAT hľadať v smerovacej tabuľke a zistí, či má záznam pre cieľovú adresu alebo nie. Ak áno, potom preloží paket a urobí preň záznam v tabuľke prekladu adries. Ak sa adresa nenájde, paket sa odmietne.
- Pomocou vnútornej globálnej adresy smeruje smerovač dátový paket na miesto určenia.
- Teraz koncový hostiteľ ako počítač vo verejnej sieti odošle dátový paket do súkromnej siete. Tentokrát je pôvodná adresa mimo globálnej adresy a prijímacia adresa je typom vnútornej globálnej adresy.
- Router NAT opäť vyhľadá v prekladovej tabuľke a zistí, že cieľová adresa je v tabuľke alebo nie, a potom vykreslí adresu IP do tej domény, ku ktorej patrí.
- Preklad vnútornej globálnej adresy paketu na vnútornú miestnu adresu sa vykoná a doručí sa na koniec cieľového hostiteľa.
- Ako už bolo spomenuté skôr, NAT využíva na účely prekladu funkciu protokolu TCP / IP spočívajúcu v použití paketu IP s portami TCP alebo UDP s upraveným poľom hlavičky IP.
Hlavička paketu IP bude teda obsahovať nasledujúce polia:
Zdrojová adresa - IP adresa iniciujúceho hostiteľského počítača ako 192.178.120.10
Zdrojový port - Číslo portu TCP alebo UDP pridelené inicializačným počítačom, ako je port 1020
Cieľová adresa - IP adresa prijímacieho počítača ako 172.145.57.20
Cieľový prístav - Port TCP alebo UDP, ktorý iniciačný hostiteľ požiadal o otvorenie hostiteľa hostiteľa, napríklad 4281.
Je potrebné prideliť číslo portu, pretože sa tak zabezpečí, že korelácia medzi dvoma počítačmi má jedinečný identifikátor.
Príklad NAT
V nasledujúcom príklade chce vnútorný hostiteľ (172.168.20.10) komunikovať s vonkajším svetom a adresa cieľového webového servera je 192.100.20.2. Potom odošle dátový paket do smerovača brány s povoleným NAT na ďalšiu komunikáciu.
Ako otvorím torrent
Smerovač brány zistí zdrojovú adresu IP paketu a v tabuľke vyhľadá, či paket spĺňa podmienku pre preklad. Smerovač brány udržuje zoznam riadenia prístupu (ACL), ktorý vyhľadáva autentifikovaných hostiteľov na účely interného sieťového prekladu.
Preloží teda vnútornú lokálnu adresu IP na vnútornú globálnu adresu IP, ktorá je tu 192.100.10.25. Tento preklad potom uloží do tabuľky NAT a smerovač brány nasmeruje paket na miesto určenia.
Keď sa webový server na internete vráti späť k požiadavke, paket sa vráti späť na globálnu adresu IP smerovača 192.100.10.25.
Teraz bude smerovač brány opäť hľadať v tabuľke NAT, aby zistil preloženú adresu IP zodpovedajúcu globálnej adrese. Potom ho preloží na vnútornú lokálnu adresu a potom sa dátový paket doručí hostiteľovi na adresu IP 172.168.20.10. Ak sa v tabuľke nenájde zhoda, paket sa zahodí.
Ako funguje NAT obrázok:
Preťaženie NAT alebo preklad adresy portu
Toto v zásade používajú domáce širokopásmové smerovače na mapovanie neregistrovanej adresy IP zo súkromnej siete na samostatnú zaregistrovanú adresu IP vo verejnej doméne.
Preklad adresy portu vykreslí niekoľko neregistrovaných súkromných adries IP na zaregistrovanú verejnú sólovú adresu IP pomocou charakteristických portov. Na rozlíšenie medzi rôznymi prekladmi v domácej sieti použije PAT exkluzívne čísla portov na interné globálne adresy IP.
Predpokladajme, že v prípade domácej siete, keď sa hostiteľský počítač pokúsi o prístup na internet, router NAT pridelí číslo portu svojej zdrojovej adrese IP.
V jednej chvíli domácej siete používajúcej internet môže byť viac ako jeden počítač, takže PAT zaručuje, že klientský počítač použije charakteristické číslo portu zakaždým, keď inicializuje novú reláciu so serverom na internete.
Teraz bude smerovač smerovať dátový paket na základe čísla zdrojového portu, ktorý sa teraz zmenil na číslo cieľového portu. Celý tento jav tiež zaisťuje bezpečnosť komunikačnej relácie, keď sa paket vráti v reakcii na požiadavku vznesenú klientom.
Tabuľka preťaženia NAT
| Vo vnútri miestnej IP adresy | Vo vnútri globálnej IP adresy | Vonkajšia globálna adresa IP | Vonkajšia lokálna IP adresa |
|---|---|---|---|
| 10.20.10.2:1666 | 192.134.30.4:1666 | 192.134.20.2:80 | 192.134.20.2:80 |
| 10.20.10.3:2444 | 192.134.30.4:2444 | 192.134.40.3:80 | 192.134.40.3:80 |
Z vyššie uvedeného obrázku je zrejmé, že preťaženie NAT používa výhradné čísla portov zdroja na vnútorných globálnych adresách IP na rozlíšenie medzi prekladmi, pretože na zistenie dátového paketu sa použije číslo portu 1666, respektíve 2444.
Zdrojová adresa je tu vnútorná lokálna adresa IP, ktorá je uvedená v tabuľke, a cieľová adresa je vonkajšia lokálna adresa IP s číslom portu 80, pretože pristupuje na internet prostredníctvom protokolu HTTP.
Na konci smerovača NAT preťaženie NATu zmení zdrojovú adresu na vnútornú globálnu adresu IP, ako je uvedené v tabuľke vyššie, a cieľová adresa je teraz známa ako vonkajšia globálna adresa IP.
Double NAT
Double NAT je situácia, keď preklad sieťových adries vykonáva viac ako jedno sieťové zariadenie, napríklad smerovač v súkromnej sieti.
Najjednoduchším príkladom je, keď sú modem DSL a smerovač Wi-Fi pripojené k sieti s povoleným protokolom NAT v každom z nich. Hostiteľské zariadenia pripojené k verejnej sieti prostredníctvom smerovača Wi-Fi.
V tomto scenári nebudú mať počítače prístup na internet, pretože smerovač nemá žiadnu svoju vlastnú verejnú adresu IP, zatiaľ čo má súkromnú adresu IP obmedzenú v rozsahu siete modemu DSL.
Ako vyriešiť problém s dvojitým NAT
Existuje niekoľko spôsobov, ako vyriešiť problém s dvojitým NAT, ale ktoré riešenie bude presne fungovať, bude závisieť od druhu nastavenia siete.
# 1) Nastavte bezdrôtový smerovač do premosteného režimu : To znamená, že prejdite na webové rozhranie smerovača a ručne deaktivujte funkcie NAT a DHCP bezdrôtového smerovača.
Ak budú obe funkcie deaktivované, keď je režim známy ako premostený režim a potom nakonfigurovať presmerovanie portov funkcia modemu na vyriešenie problému Double NAT.
Nasledujúca snímka obrazovky zobrazuje povolenie režimu premostenia v smerovači na prekonanie problému s dvojitým NAT.
[ obrázok zdroj ]
# 2) Vytvorte spojenie PPPoE medzi smerovačom a modemom: To nepodporujú všetci poskytovatelia internetových služieb, ale je to jeden z najlepších spôsobov riešenia problému Double NAT. Prejdite do nastavení WAN vo webovom rozhraní smerovača a potom začiarknutím PPPoE nakonfigurujte pripojenie WAN. Týmto obídete NAT v modeme.
# 3) Povoliť DMZ v modeme: Toto pripojí váš smerovač s funkciou DMZ priamo k internetu a obíde nastavenia pripojenia IP smerovača NAT, brány firewall a DHCP, a teda zariadenia automaticky získajú hodnoty zo smerovača.
Kroky sú tieto:
- Najskôr sa prihláste do webového rozhrania smerovača a zistite adresu WAN IP smerovača.
- Teraz po druhé, prihláste sa do správcovských nastavení modemu a v nastaveniach DMZ modemu nastavte adresu WAN smerovača ako adresu IP. Toto umožní presmerovanie portov a prenos bude smerovať na nastaveného hostiteľa klienta.
Smerovač NAT
Smerovač NAT generuje sieť IP adries pre miestnu sieť a vzájomne dáva do súvislosti túto sieť LAN s verejnou sieťou, ktorou je internet. NAT vykonaný smerovačom umožní niekoľkým počítačom alebo hostiteľským zariadeniam v sieti LAN na zadnom konci smerovača komunikovať so sieťou WAN, t. J. S internetom.
Smerovače NAT sa používajú na domáce účely a v malom priemysle, pretože smerovač sa na internet javí ako samostatný hostiteľ so samostatnou adresou IP. Toto efektívne umožní realizáciu skutočnosti, že počítačom v lokálnej sieti smerovača bude pridelená jedna adresa IP v rovnakom časovom intervale.
Smerovač NAT [ obrázok zdroj ]
Prirodzené zabezpečenie smerovača NAT
Smerovače NAT majú túto vlastnosť, že budú pracovať ako hardvérové zariadenie firewall v sieti a chránia sieť LAN pred akýmkoľvek nežiaducim a neobvyklým prenosom, ktorý môže poškodiť sieť.
Funguje teda ako filter medzi internetom a súkromnou sieťou LAN a umožňuje prechádzať iba prenosom, ktorý je oprávnený vstúpiť do siete.
Ako to funguje? Pretože smerovač prepája sieť LAN s internetom, je svedkom všetkých dátových paketov odosielaných do siete LAN zo siete LAN. Smerovač uchováva internú tabuľku pripojení sám so sebou a ukladá každú z cieľových adries IP odchádzajúcich paketov a do nich pridelené číslo portu. Potom pridelí paketu svoju vlastnú adresu IP a číslo portu na potvrdenie prenosu prichádzajúceho domov.
Nakoniec uloží informácie o konečnom dátovom pakete spolu s adresou IP a číslom portu do svojej aktuálnej tabuľky pripojení. Keď niektorý z dátových paketov pristane na smerovači z Internetu, smerovač to skontroluje v aktuálnej tabuľke pripojení, kde je požadovaný paket požadovaný pre sieť LAN, začiarknutím tejto tabuľky.
Ak sa nájde ekvivalentná adresa IP a číslo portu, nasmeruje ho na cieľový počítač v sieti LAN. A ak sa nenájde zhoda, smerovač zahodí dátový paket a označí ho ako nežiaduci prenos.
Týmto spôsobom smerovač NAT chráni vaše pripojenie k vonkajšej sieti a tiež v prípade, ak je v sieti LAN pripojené iba jedno zariadenie. Takže s routerom NAT nakonfigurovaným v sieti nemôže žiadny z červov a škodlivý vírus poškodiť vašu sieť.
Funkcie zabezpečenia smerovača NAT
Výhody NAT:
- Správa a opätovné použitie IP adries môže NAT zabrániť vyčerpaniu schémy adresovania IPV4.
- Poskytuje zabezpečenie privátnej siete z vonkajšieho sveta tým, že zachováva tajomstvo zdrojovej a cieľovej adresy IP z externej siete.
- Poskytuje flexibilný sieťový systém.
- Organizácie súkromnej siete môžu pomocou protokolu NAT použiť rozsah IP podľa vlastného výberu na vybudovanie internej siete bez ohľadu na poskytovateľa služieb verejného rozhrania.
Obmedzenia NAT:
- Pretože NAT preskúma všetky prichádzajúce a odchádzajúce dátové pakety, aby udržal tabuľku pripojení a ďalší dátový záznam v pamäti procesora, takže celkový proces bude vyžadovať veľkú kapacitu a časovú náročnosť.
- Všetky sieťové zariadenia a sieťové systémy nie sú kompatibilné s technológiou NAT, takže nebude fungovať všade vo všetkých scenároch.
- Kvôli niekoľkým zmenám IP adries zariadenia počas procesu NAT je niekedy veľmi ťažké vysledovať dosiahnuteľnosť koncových IP sieťových komponentov.
- NAT spôsobuje neočakávané oneskorenia v komunikačnom systéme.
Aký bezpečný protokol sa odporúča pre NAT: Neexistuje žiadna takáto špecifikovaná sada protokolov, ktorá by sa konkrétne používala pre NAT. Preklad však spadá pod sadu internetových protokolov (IP). Protokol TCP sa tiež používa na preklad pri vykonávaní NAT smerovačmi.
Okrem týchto protokolov sa v závislosti od sieťového scenára používajú rôzne protokoly, ako napríklad ICMP, UDP a IPSec, ktoré sú už vysvetlené v predchádzajúcich tutoriáloch.
Záver
Z tohto tutoriálu sme pochopili dôvod zavedenia procesu prekladu sieťových adries v systéme počítačových sietí a jeho význam.
Dozvedeli sme sa tiež pomocou rôznych príkladov a obrázkov, typov a fungovania NAT.
Výukový program PREV | NEXT Tutorial
Odporúčané čítanie
- Bezdrôtové siete LAN IEEE 802.11 a 802.11i a overovacie štandardy 802.1x
- 7 spôsobov, ako opraviť chybu „Predvolená brána nie je k dispozícii“
- Modem Vs Router: Poznajte presný rozdiel
- Sprievodca hodnotením a správou zraniteľnosti siete
- Čo je bezpečnostný kľúč siete: Ako ho nájsť pre smerovač, Windows alebo Android
- Čo je to virtualizácia? Príklady virtualizácie sietí, dát, aplikácií a úložísk
- Základné kroky a nástroje na riešenie problémov so sieťou
- Čo je zabezpečenie siete: jej typy a správa