Преводът на мрежови адреси (NAT) е мощен метод, който отделни лица и организации могат да използват за установяване на сигурна, рентабилна и проста връзка с интернет.
NAT осигурява не само сигурност, но и гъвкавост, мащабируемост и скорост на комуникация с мрежата.
Използването на NAT също ще гарантира, че допринасяте за запазването на публичните IP адреси.
Но какво точно е NAT и защо трябва да си правите труда да го разбирате или използвате?
В тази статия ще отговоря на това.
И така, нека започнем с дефинирането на NAT.
Съдържание
Какво представлява преводът на мрежови адреси (NAT)?
Преобразуването на мрежови адреси (NAT) преобразува диапазон от IP адреси в друг чрез промяна на данните за мрежовия адрес, когато те са в транзит.
С други думи, NAT позволява уникален (интернет протокол) IP адрес да представлява един или група компютри. Това означава, че множество устройства публично споделят един IP адрес в мрежа, дори когато имат частни IP адреси в същата мрежа.
Първоначално този метод беше използван, за да се елиминира необходимостта от присвояване на нов IP адрес на всеки хост поотделно, в случай че ISP (доставчик на интернет услуги) нагоре по веригата беше променен или мрежата беше преместена. Все пак IP адресът на мрежата остава същият.
Интересното е, че NAT шлюзът може да предостави единичен IP адрес, който може лесно да се използва за цяла частна мрежа. Тъй като NAT променя данните за IP адресите по време на транзит, има различни реализации на NAT с различно поведение в различни случаи на адресиране с други ефекти върху мрежовия трафик.
Какво прави NAT?
В NAT мрежово устройство като NAT защитна стена или рутер присвоява публичен IP адрес на един компютър или група компютри в частна мрежа. По този начин NAT позволява на едно устройство да посредничи между публичните, частните и локалните мрежи.
Какво прави NAT?
NAT може да запази IP адреси, като позволи на частни IP адреси да влизат онлайн, използвайки нерегистрирани адреси. Преди да препрати пакети с данни между свързаните мрежи, NAT преобразува локалните, частни мрежови адреси в уникални, глобални и легални адреси.
С NAT конфигурации само един IP адрес ще бъде видим за външния свят, въпреки че ще представлява цялата мрежа. В резултат на това може да скрие цялата вътрешна мрежа и да предложи повече сигурност и поверителност. Реализациите на NAT са най-добри за среди с отдалечен достъп.
Как работи NAT?
Преводът на мрежови адреси позволява на устройство като NAT рутер или защитна стена да действа като посредник между вътрешната мрежа (локална мрежа) и външните мрежи (интернет). Това позволява на пълната група устройства да отразява един и същ IP адрес, когато изпълнява нещо извън мрежата.
NAT действа като рецепционист в организация, която решава кои посетители или обаждания да изпрати, да изчака или да задържи въз основа на конкретни инструкции. NAT работи по подобен начин. Всички заявки идват на публичния порт и IP адрес. Тук NAT инструкциите решават къде трябва да отиде заявката, като скриват частния IP адрес на дестинацията.
NAT избира шлюзове между две различни локални мрежи – външната мрежа и вътрешната мрежа. Всички системи отвътре ще имат IP адреси, които не могат да бъдат насочени към външна мрежа. Освен това, някои от външно валидните IP адреси ще бъдат разпределени към шлюза, което позволява изходящият трафик да изглежда като идващ от валиден външен IP адрес.
След това използва входящ трафик и го предава на правилната вътрешна система. По този начин се осигурява сигурност. Тъй като входящите и изходящите заявки трябва да преминат през процес на превод, той предлага чудесен начин за валидиране на входящия трафик и съпоставянето му с изходящите потоци.
Пример за NAT процес
Ето пример за това как NAT работи в реалния свят.
Потребителят свързва своите устройства към домашната си Wi-Fi мрежа. Домашният рутер ще присвои частен IP адрес на устройството, който трябва да се използва само в тази мрежа.
Така че, когато потребителят се опита да зареди дадена уеб страница, адресът ще поиска целевата уеб страница чрез своя рутер. Сега NAT рутерът ще промени адреса на източника на заявката към публичния IP адрес на тяхната мрежа от частния IP адрес на устройството им. NAT таблица ще съхранява този превод, където шлюзът ще търси, за да определи дали пакетът данни отговаря на условието за превод.
Освен това сървърът, до който потребителят се опитва да получи достъп, ще върне заявения пакет данни на публичния адрес на тяхната мрежа. След това рутерът ще промени адреса на местоназначението към частния IP на устройството, докато насочва пакетите с данни към устройството на потребителя.
Видове NAT
NAT е от различни видове, които можете да използвате за различни цели.
#1. SNAT
Статичният NAT (SNAT) е вид NAT, който преобразува частен IP адрес в публичен IP адрес. Той използва един и същ публичен IP адрес последователно, когато извършва превода.
SNAT може да картографира нерегистриран IP адрес с помощта на NAT едно към едно, за да съответства на регистриран IP адрес. Това означава, че всички устройства в тази мрежа ще имат един и същ публичен адрес. При това само две неща се променят в мрежовия адрес – заглавката и IP адреса.
Полезно е за устройства, до които потребителите трябва да имат достъп от външна мрежа. Използва се и при взаимно свързване на две различни IP мрежи с несъвместими адреси. Освен това се използва в уеб хостинг. Обикновено физически лица и по-малки организации използват SNAT с по-малко устройства, за да запазят разходите минимални.
#2. DNAT
Динамичният NAT (DNAT) е вид NAT, който преобразува частен IP адрес в набор от публични IP адреси. За разлика от SNAT, той не използва същия IP адрес, а различен всеки път, когато извършва превод, но използва връзка един към един като SNT.
В този случай DNAT защитната стена или рутерът разполага с набор от публични регистрирани IP адреси. Така че, когато DNAT преобразува мрежов адрес от частен в публичен, той позволява на рутера да избере всеки наличен публичен IP адрес от този пул. След това започва да картографира нерегистриран към регистрирания IP адрес.
Следователно DNAT позволява на устройството да има различни IP за всеки превод. Това означава, че не можете да знаете на кой глобален IP адрес е картографиран частен адрес. Това е ефективно решение, тъй като можете да свържете повече устройства към мрежата.
Това обаче може да бъде скъпо, тъй като ще трябва да инвестирате в публичен IP пул. Освен това броят на пакетите данни, които могат да бъдат предадени, е ограничен. Можете да изпращате и получавате само пакети данни, равни на общия брой публични IP адреси, налични във вашия пул.
Подходящ е за големи организации с няколко вътрешни мрежи. Също така е чудесно, ако имате фиксиран брой потребители, които искат достъп до Интернет.
#3. ПОТУПВАНЕ
Преобразуването на адрес на порт (PAT), наричано още NAT претоварване, е мястото, където всяко вътрешно устройство използва общ публичен IP адрес. Въпреки това, на всеки частен IP адрес ще бъде присвоен различен порт.
В PAT различни портове се използват за картографиране на различни локални, нерегистрирани и частни IP адреси само към един регистриран IP адрес. Той също така разграничава кой мрежов трафик съответства на кой IP адрес.
PAT е вид NAT, при който пакетите с данни ще имат променени адреси на източника, когато пътуват от частна към публична мрежа. Освен това те ще имат променен адрес на дестинация, когато се върнат от публичната към частната мрежа.
Освен това пакетите с данни ще имат променени номера на портове помежду си, за да се гарантира, че преводът е ясен. Тази комбинация от променен IP адрес и номер на порт се картографира с помощта на регистриран частен IP адрес.
Мнозина смятат, че PAT е по-рентабилен от NAT. Причината е, че много потребители могат да се свързват с мрежата, използвайки само един публичен IP адрес. Така че, без значение дали сте голяма, малка или средна организация. Можете да го използвате.
Освен SNAT, DNAT и PAT, можете също да станете свидетели на RNAT и припокриващ се NAT.
- RNAT ви позволява да се свържете с вашата мрежа, като използвате обществения интернет или интернет.
- Припокриването на NAT възниква, когато мрежите на две организации, използващи RFC 1918 IP, се слеят. Това може да се случи и когато регистрираните IP адреси са разпределени на няколко устройства или се използват в множество вътрешни мрежи. Тук припокриващият се NAT свързва мрежите без повторно адресиране на всяко устройство.
Защо NAT е важен?
Устройство или мрежова система се нуждае от IP адрес, уникален набор от числа, разделени с точки, за да установи комуникация с мрежата. Този номер се използва за идентифициране и локализиране на мрежово устройство и позволява на потребителите да комуникират с мрежата.
IP адресите са два вида – Ipv4 и IPv6. В първите дни на интернет бяха създадени само около 4,3 милиарда IPv4 адреса. Въпреки това, не всеки може да бъде присвоен на устройството за установяване на комуникация. Някои бяха оставени за тестване, военни и излъчване, докато останалите 3B IP бяха достъпни за комуникация.
През 2019 г. RIPE NCC разпредели окончателните IPv4 адреси, останали от наличния пул, при изчерпване на IPv4. IPv6 адресирането беше въведено, за да се противодейства на това. IPv6 пресъздава IP адресиране и предоставя повече опции за разпределяне на g адреси. Промяната или прилагането на мрежовата система обаче отне много години.
Въведете NAT. Междувременно Cisco представи NAT, който вече е широко разпространен.
NAT се превърна в ценен и популярен начин за запазване на глобалното адресно пространство, особено когато IPv4 адресите са изчерпани. NAT се използва и за скриване на обхвати от IP адреси на частна мрежа за рентабилност и сигурност.
Предимства на NAT
Съхраняване на IP адрес
NAT помага за запазването на законно регистрираните IP адреси и също така предотвратява тяхното изчерпване. Като се има предвид нарастващият брой интернет потребители по света, това е страхотна инициатива за превръщането на мрежата в достъпно пространство за всички.
Сигурност
С NAT можете да осъществявате достъп до мрежата с повишена сигурност и поверителност, тъй като може да скрие IP адреса на вашето устройство от обществената мрежа, дори докато пакетите данни са в процес на предаване. Ограничаването на скоростта на NAT също ви позволява да ограничите максималния брой NAT операции, извършвани едновременно на вашия рутер.
По този начин получавате по-добър контрол върху използването на NAT адрес и можете да минимизирате ефектите от вируси, червеи, атаки за отказ на услуга (DoS) и т.н. Внедряването на динамичен NAT (DNAT) автоматично ще създаде защитна стена между интернет и вътрешната мрежа. В допълнение, някои NAT рутери могат да предложат функции за сигурност като филтриране на трафика и регистриране.
Множество връзки
Установяването на множество интернет връзки помага за поддържане на надеждността на мрежата и намалява възможността от прекъсвания при прекъсване на връзката. Той също така допринася за балансиране на натоварването чрез намаляване на броя на устройствата, използващи една връзка.
Освен това многодомните мрежи обикновено се свързват с няколко ISP, които присвояват един или множество IP адреси на организация. Освен това рутерите могат да използват NAT за маршрутизиране на мрежи с различни NAT протоколи.
Освен това, многодомната мрежа комуникира, като позволява на рутера да използва част от TCP или IP протокола, Border Gateway Protocol (BGP). По същия начин сайтовете на поддомейни споделят с помощта на вътрешен BGP (IBGP), докато рутерите използват външен BGP (EBGP) за взаимодействие. В случай, че връзката е неуспешна, мулти-насочването ще пренасочи данните през друг рутер.
Скорост
NAT е по-прозрачен както за изходния, така и за целевия компютър, отколкото прокси сървърите. Това позволява директно търгуване на скорост. Прокси сървърите също обикновено работят на ниво четири или на транспортния слой на модела OSI или дори по-високо от това. Това ги прави по-бавни от NAT, който се намира на слой три или мрежов слой.
Мащабируемост
Вашите нужди ще изискват повече IP за вашите потребители и устройства, когато нуждите ви нараснат. Така че можете да използвате NAT, вместо да питате IANA за повече IP адреси. И когато използвате NAT с протокол за динамично конфигуриране на хост (DHCP), мащабирането ще стане по-лесно.
Причината е, че NAT и DHCP работят добре заедно, за да разпределят нерегистрирани IP адреси за поддомейна от наличния списък според вашите изисквания. По този начин можете да разширите наличния диапазон от IP адреси и DHCP може бързо да конфигурира и да освободи място за повече мрежови компютри.
Гъвкавост и простота
NAT предлага гъвкавост при внедряване и установяване на връзки. Можете да го разположите в безжична обществена LAN. Понякога със статичен NAT (SNAT) и входящо картографиране можете да разрешите на външни устройства да установяват връзки на устройства в поддомейна.
Освен това NAT намалява сложността и позволява лесни интернет връзки, тъй като не изисква от вас да преномерирате IP адреси след промяна или сливане на мрежа. NAT също ви позволява да изградите виртуален хост във вашата вътрешна мрежа, който координира TCP балансирането на натоварването.
Ограничения на NAT
Ограничения на NAT
Някои ограничения на NAT са:
- Консумира ресурси: NAT може да изразходва значително процесорно пространство и ресурси на паметта. Това е така, защото той превежда всички IPv4 адреси за вашите входящи и изходящи IPv4 дейтаграми плюс запазва всички подробности за превода в паметта.
- Функционалност: Активирането на NAT може да доведе до намалена функционалност на някои технологии и приложения.
- Усложнения при тунелиране: NAT може да усложни протоколите за тунелиране. За тази цел можете да използвате IPsec за сигурно преобразуване на мрежови адреси.
- Проблеми със слоя: Когато рутер работи като NAT устройство, той може да се намесва в слой-4 или транспортен слой като номера на портове, тъй като е предназначен за слой-3 или мрежов слой.
- Закъснения: По време на превода могат да възникнат забавяния на пътя.
Някои общи термини в NAT
- Адрес на източника: Това е IP адресът на началния хост.
- Изходен порт: Това е номерът на TCP/UDP порта, който иницииращият хост присвоява.
- Адрес на дестинация: Това е IP адресът на получателя.
- Целеви порт: Това е TCP или UDP портът, който иницииращият хост иска от приемника да отвори.
- Вътрешен локален адрес: Това е частен IP адрес, разпределен на хост в локална (вътрешна) мрежа. Доставчик на услуги не го възлага. Това е вътрешният хост за вътрешна мрежа.
- Вътрешен глобален адрес: Това е IP адрес, представляващ един или повече локални IP адреси. Това е вътрешният хост за външната/външната мрежа.
- Външен локален адрес: Реалният IP адрес на целевия хост се намира в локална мрежа, след като преводът приключи.
- Външен глобален адрес: IP адресът на хоста на външната дестинация преди превода. Това е външният хост за външна/външна мрежа.
- Поддомейн: Това е нерегистриран частен IP адрес, състоящ се от:
- NAT таблица: NAT преназначава номера на портове и IP адреси и ги проследява с таблица за превод на NAT.
Да предположим, че рутер е получил пакет данни от локално устройство, на което е присвоен публичен IP адрес. Сега рутерът ще промени IP адреса на устройството източник, позволявайки му да използва своя IP адрес. След това той променя номера на порта на източника, за да гарантира, че има информация за това къде трябва да бъдат доставени получените пакети. Това преназначаване на IP адреси се записва в таблицата за транслация на NAT.
Заключение
С нарастващите потребители в интернет и проблемите със сигурността, разпространяващи се по целия свят, има нужда от по-безопасен и по-ефективен метод за свързване. NAT има за цел да направи това. Той ще ви помогне да запазите публичните IP адреси, като същевременно ви предоставя предимствата на сигурност, скорост, гъвкавост и мащабируемост, докато се свързвате с интернет.