Translacja adresów sieciowych (NAT) to potężna metoda, z której mogą korzystać osoby prywatne i organizacje w celu ustanowienia bezpiecznego, ekonomicznego i prostego połączenia z Internetem.
NAT zapewnia nie tylko bezpieczeństwo, ale także elastyczność, skalowalność i szybkość komunikacji z siecią.
Korzystanie z NAT zapewni również wkład w ochronę publicznych adresów IP.
Ale czym dokładnie jest NAT i dlaczego miałbyś zawracać sobie głowę jego zrozumieniem lub używaniem?
W tym artykule odpowiem na to.
Zacznijmy więc od zdefiniowania NAT.
Spis treści:
Co to jest translacja adresów sieciowych (NAT)?
Translacja adresów sieciowych (NAT) mapuje zakres adresów IP na inny, zmieniając dane adresu sieciowego podczas przesyłania.
Innymi słowy, NAT umożliwia unikalny (Internet Protocol) adres IP do reprezentowania jednego lub grupy komputerów. Oznacza to, że wiele urządzeń publicznie udostępnia jeden adres IP w sieci, nawet jeśli mają prywatne adresy IP w tej samej sieci.
Początkowo metoda ta była stosowana w celu wyeliminowania konieczności przypisywania nowego adresu IP do każdego hosta z osobna w przypadku zmiany dostawcy usług internetowych (ISP) lub przeniesienia sieci. Mimo to adres IP sieci pozostaje taki sam.
Co ciekawe, brama NAT może zapewnić pojedynczy, routowalny adres IP, który można łatwo wykorzystać w całej sieci prywatnej. Ponieważ NAT zmienia dane adresu IP podczas przesyłania, istnieją różne implementacje NAT o różnych zachowaniach w różnych przypadkach adresowania z innymi wpływami na ruch sieciowy.
Co robi NAT?
W NAT urządzenie sieciowe, takie jak zapora NAT lub router, przypisuje publiczny adres IP jednemu komputerowi lub grupie komputerów w sieci prywatnej. W ten sposób NAT umożliwia jednemu urządzeniu pośredniczenie między sieciami publicznymi, prywatnymi i lokalnymi.
Co robi NAT?
NAT może zachować adresy IP, zezwalając prywatnym adresom IP na przejście do trybu online przy użyciu niezarejestrowanych adresów. Przed przesłaniem pakietów danych między połączonymi sieciami NAT tłumaczy lokalne, prywatne adresy sieciowe na unikalne, globalne i legalne adresy.
W przypadku konfiguracji NAT tylko jeden adres IP byłby widoczny dla świata zewnętrznego, chociaż będzie on reprezentował całą sieć. W rezultacie może ukryć całą sieć wewnętrzną i zapewnić większe bezpieczeństwo i prywatność. Implementacje NAT najlepiej sprawdzają się w środowiskach dostępu zdalnego.
Jak działa NAT?
Translacja adresów sieciowych pozwala urządzeniu, takiemu jak router NAT lub zapora sieciowa, działać jako mediator między siecią wewnętrzną (sieć lokalną) a sieciami zewnętrznymi (internet). Pozwala to całej grupie urządzeń na odzwierciedlenie tego samego adresu IP podczas wykonywania czynności poza siecią.
NAT działa jak recepcjonista w organizacji, która decyduje, których gości lub połączeń należy wysłać, poczekać lub zatrzymać na podstawie konkretnych instrukcji. NAT działa podobnie. Wszystkie żądania przychodzą na publiczny port i adres IP. Tutaj instrukcje NAT decydują, dokąd powinno trafić żądanie, ukrywając prywatny adres IP miejsca docelowego.
NAT wybiera bramy między dwiema różnymi sieciami lokalnymi – siecią zewnętrzną i siecią wewnętrzną. Wszystkie systemy wewnątrz będą miały adresy IP, których nie można przekierować do sieci zewnętrznej. Ponadto niektóre z poprawnych zewnętrznie adresów IP zostaną przydzielone do bramy, dzięki czemu ruch wychodzący będzie wyglądał, jakby pochodził z prawidłowego zewnętrznego adresu IP.
Następnie wykorzystuje ruch przychodzący i przesyła go do odpowiedniego systemu wewnętrznego. W ten sposób powstaje bezpieczeństwo. Ponieważ żądania przychodzące i wychodzące muszą przechodzić przez proces tłumaczenia, oferuje świetny sposób weryfikowania ruchu przychodzącego i dopasowywania go do strumieni wychodzących.
Przykład procesu NAT
Oto przykład działania NAT w rzeczywistym świecie.
Użytkownik łączy swoje urządzenia z domową siecią Wi-Fi. Domowy router przypisze urządzeniu prywatny adres IP, który musi być używany tylko w tej sieci.
Tak więc, gdy użytkownik próbuje załadować daną stronę internetową, adres zażąda strony docelowej za pośrednictwem routera. Teraz router NAT zmieni adres źródłowy żądania na publiczny adres IP ich sieci z prywatnego adresu IP urządzenia. Ta translacja będzie przechowywana w tabeli NAT, w której brama będzie sprawdzać, czy pakiet danych spełnia warunek translacji.
Ponadto serwer, do którego użytkownik próbuje uzyskać dostęp, zwróci żądany pakiet danych na publiczny adres swojej sieci. Następnie router zmodyfikuje adres docelowy na prywatny adres IP urządzenia, jednocześnie kierując pakiety danych do urządzenia użytkownika.
Rodzaje NAT
NAT jest różnych typów, których można używać do różnych celów.
#1. SNAT
Statyczny NAT (SNAT) to rodzaj NAT, który tłumaczy prywatny adres IP na publiczny adres IP. Używa konsekwentnie tego samego publicznego adresu IP za każdym razem, gdy wykonuje translację.
SNAT może mapować niezarejestrowany adres IP za pomocą NAT jeden do jednego, aby dopasować go do zarejestrowanego adresu IP. Oznacza to, że wszystkie urządzenia w tej sieci będą miały ten sam adres publiczny. W tym przypadku w adresie sieciowym zmieniają się tylko dwie rzeczy – nagłówek i adres IP.
Jest to przydatne w przypadku urządzeń, do których użytkownicy muszą uzyskać dostęp z sieci zewnętrznej. Jest również używany podczas łączenia dwóch różnych sieci IP o niezgodnych adresach. Ponadto jest używany w hostingu. Zazwyczaj osoby prywatne i mniejsze organizacje używają SNAT z mniejszą liczbą urządzeń, aby utrzymać minimalne koszty.
#2. DNAT
Dynamiczny NAT (DNAT) to rodzaj NAT, który mapuje prywatny adres IP na pulę publicznych adresów IP. W przeciwieństwie do SNAT, nie używa tego samego adresu IP, ale innego za każdym razem, gdy wykonuje translację, ale używa połączenia jeden-do-jednego, takiego jak SNT.
W tym przypadku zapora lub router DNAT ma dostępną pulę publicznych, zarejestrowanych adresów IP. Tak więc, gdy DNAT tłumaczy adres sieciowy z prywatnego na publiczny, pozwala routerowi wybrać dowolny dostępny publiczny adres IP z tej puli. Następnie rozpoczyna mapowanie niezarejestrowanego na zarejestrowany adres IP.
W konsekwencji DNAT umożliwia urządzeniu przypisanie różnych adresów IP dla każdej translacji. Oznacza to, że nie możesz wiedzieć, na który globalny adres IP został zmapowany adres prywatny. Jest to wydajne rozwiązanie, ponieważ do sieci można podłączyć więcej urządzeń.
Jednak może to być kosztowne, ponieważ wymagałoby to zainwestowania w publiczną pulę adresów IP. Ponadto liczba pakietów danych, które można przesłać, jest ograniczona. Możesz wysyłać i odbierać pakiety danych tylko w liczbie równej łącznej liczbie publicznych adresów IP dostępnych w Twojej puli.
Jest odpowiedni dla dużych organizacji z kilkoma sieciami wewnętrznymi. Jest to również świetne, jeśli masz stałą liczbę użytkowników, którzy chcą mieć dostęp do Internetu.
#3. POKLEPAĆ
Translacja adresów portów (PAT), zwana również przeciążeniem NAT, polega na tym, że każde urządzenie wewnętrzne używa wspólnego publicznego adresu IP. Jednak każdemu prywatnemu adresowi IP zostanie przypisany inny port.
W PAT różne porty są używane do mapowania różnych lokalnych, niezarejestrowanych i prywatnych adresów IP na tylko jeden zarejestrowany adres IP. Rozróżnia również, który ruch sieciowy odpowiada jakiemu adresowi IP.
PAT to rodzaj NAT, w którym pakiety danych będą miały zmienione adresy źródłowe, gdy podróżują z sieci prywatnej do publicznej. Ponadto będą miały zmieniony adres docelowy po powrocie z sieci publicznej do sieci prywatnej.
Co więcej, pakiety danych będą miały między sobą zmienione numery portów, aby zapewnić wyraźną translację. Ta kombinacja zmienionego adresu IP i numeru portu jest mapowana przy użyciu zarejestrowanego prywatnego adresu IP.
Wielu uważa, że PAT jest bardziej opłacalny niż NAT. Powodem jest to, że wielu użytkowników może łączyć się z siecią przy użyciu tylko jednego publicznego adresu IP. Niezależnie od tego, czy jesteś dużą, małą czy średnią organizacją. Możesz tego użyć.
Oprócz SNAT, DNAT i PAT, możesz również zobaczyć RNAT i nakładający się NAT.
- RNAT umożliwia łączenie się z siecią za pomocą publicznego Internetu lub Internetu.
- Nakładający się NAT występuje, gdy dwie sieci organizacji korzystające z adresów IP RFC 1918 łączą się. Może się to również zdarzyć, gdy zarejestrowane adresy IP są przydzielane do kilku urządzeń lub używane w wielu sieciach wewnętrznych. W tym przypadku nakładający się NAT łączy sieci bez przeadresowania każdego urządzenia.
Dlaczego NAT jest ważny?
Urządzenie lub system sieciowy potrzebuje adresu IP, unikalnego zestawu liczb oddzielonych kropkami, aby nawiązać komunikację z siecią. Numer ten służy do identyfikacji i lokalizacji urządzenia sieciowego oraz umożliwienia użytkownikom komunikacji z siecią.
Adresy IP są dwojakiego rodzaju – IPv4 i IPv6. W początkowych dniach internetu powstało tylko około 4,3 miliarda adresów IPv4. Jednak nie każdy może być przydzielony do urządzenia w celu nawiązania komunikacji. Niektóre pozostawiono do testów, wojska i transmisji, podczas gdy pozostałe adresy IP 3B były dostępne do komunikacji.
W 2019 r. RIPE NCC przydzieliło ostatnie adresy IPv4 pozostałe z dostępnej puli, na których skończył się IPv4. Aby temu przeciwdziałać, wprowadzono adresowanie IPv6. IPv6 odtwarza adresowanie IP i udostępnia więcej opcji przydzielania adresów g. Jednak zmiana lub wdrożenie systemu sieciowego zajęło wiele lat.
Wpisz NAT. W międzyczasie firma Cisco wprowadziła translację NAT, która jest obecnie szeroko stosowana.
NAT stał się cennym i popularnym sposobem oszczędzania globalnej przestrzeni adresowej, zwłaszcza gdy adresy IPv4 są wyczerpane. NAT służy również do ukrywania zakresów adresów IP sieci prywatnych w celu zapewnienia opłacalności i bezpieczeństwa.
Zalety NAT
Ochrona adresu IP
NAT pomaga zachować prawnie zarejestrowane adresy IP, a także zapobiega ich wyczerpaniu. Patrząc na rosnącą liczbę użytkowników internetu na całym świecie, jest to świetna inicjatywa, aby sieć stała się przestrzenią dostępną dla wszystkich.
Bezpieczeństwo
Dzięki NAT możesz uzyskać dostęp do sieci ze zwiększonym bezpieczeństwem i prywatnością, ponieważ może ukryć adres IP urządzenia przed siecią publiczną, nawet podczas transmisji pakietów danych. Ograniczanie szybkości NAT pozwala również ograniczyć maksymalną liczbę operacji NAT wykonywanych jednocześnie na routerze.
W ten sposób uzyskasz lepszą kontrolę nad wykorzystaniem adresów NAT i możesz zminimalizować skutki wirusów, robaków, ataków typu Denial of Service (DoS) itp. Wdrożenie dynamicznego NAT (DNAT) automatycznie utworzy zaporę sieciową między Internetem a siecią wewnętrzną. Ponadto niektóre routery NAT mogą oferować funkcje bezpieczeństwa, takie jak filtrowanie i rejestrowanie ruchu.
Wiele połączeń
Ustanowienie wielu połączeń internetowych pomaga w utrzymaniu niezawodności sieci i zmniejsza możliwość przestojów w przypadku awarii połączenia. Przyczynia się również do równoważenia obciążenia poprzez zmniejszenie liczby urządzeń korzystających z jednego połączenia.
Ponadto sieci wieloadresowe zwykle łączą się z kilkoma dostawcami usług internetowych, którzy przypisują organizacji jeden lub wiele adresów IP. Ponadto routery mogą używać NAT do trasowania sieci z różnymi protokołami NAT.
Co więcej, sieć wieloadresowa komunikuje się, umożliwiając routerowi korzystanie z części protokołu TCP lub IP, Border Gateway Protocol (BGP). Podobnie, witryny subdomen współdzielą się za pomocą wewnętrznego BGP (IBGP), podczas gdy routery używają zewnętrznego BGP (EBGP) do interakcji. W przypadku niepowodzenia połączenia, multi-homing przekieruje dane przez inny router.
Prędkość
NAT jest bardziej przejrzysty zarówno dla komputerów źródłowych, jak i docelowych niż serwery proxy. Pozwala to na bezpośrednie rozdawanie z dużą szybkością. Serwery proxy zazwyczaj działają również w warstwie czwartej lub warstwie transportowej modelu OSI lub nawet w wyższej. To sprawia, że są wolniejsze niż NAT, który znajduje się w warstwie trzeciej lub warstwie sieci.
Skalowalność
Twoje potrzeby będą wymagały większej liczby adresów IP dla użytkowników i urządzeń, gdy Twoje potrzeby wzrosną. Możesz więc wykorzystać NAT zamiast prosić IANA o więcej adresów IP. A gdy używasz NAT z protokołem Dynamic Host Configuration Protocol (DHCP), skalowanie stanie się łatwiejsze.
Powodem jest to, że NAT i DHCP dobrze ze sobą współpracują przy przydzielaniu niezarejestrowanych adresów IP dla poddomeny z dostępnej listy zgodnie z Twoimi wymaganiami. W ten sposób można rozszerzyć dostępny zakres adresów IP, a DHCP może szybko skonfigurować i zrobić miejsce dla większej liczby komputerów w sieci.
Elastyczność i prostota
NAT oferuje elastyczność we wdrażaniu i nawiązywaniu połączeń. Możesz go wdrożyć w bezprzewodowej, publicznej sieci LAN. Czasami za pomocą statycznego NAT (SNAT) i mapowania przychodzącego można umożliwić urządzeniom zewnętrznym nawiązywanie połączeń z urządzeniami w subdomenie.
Ponadto NAT zmniejsza złożoność i umożliwia proste połączenia internetowe, ponieważ nie wymaga zmiany numeracji adresów IP po zmianie lub połączeniu sieci. NAT umożliwia również zbudowanie wirtualnego hosta w sieci wewnętrznej, który koordynuje równoważenie obciążenia TCP.
Ograniczenia NAT
Ograniczenia NAT
Niektóre ograniczenia NAT to:
- Zużywa zasoby: NAT może zużywać znaczną ilość miejsca na procesorze i zasoby pamięci. Dzieje się tak, ponieważ tłumaczy wszystkie adresy IPv4 dla przychodzących i wychodzących datagramów IPv4 oraz zapisuje w pamięci wszystkie szczegóły tłumaczenia.
- Funkcjonalność: Włączenie NAT może spowodować zmniejszenie funkcjonalności niektórych technologii i aplikacji.
- Komplikacje związane z tunelowaniem: NAT może skomplikować protokoły tunelowania. W tym celu możesz użyć protokołu IPsec do bezpiecznej translacji adresów sieciowych.
- Problemy z warstwami: Gdy router działa jako urządzenie NAT, może mieszać się z warstwą 4 lub warstwą transportową jako numerami portów, ponieważ jest przeznaczony dla warstwy 3 lub warstwy sieci.
- Opóźnienia: Opóźnienia ścieżek mogą wystąpić podczas tłumaczenia.
Niektóre wspólne terminy w NAT
- Adres źródłowy: jest to adres IP hosta inicjującego.
- Port źródłowy: jest to numer portu TCP/UDP, który przypisuje host inicjujący.
- Adres docelowy: Jest to adres IP odbiorcy.
- Port docelowy: jest to port TCP lub UDP, którego otwarcie żąda host inicjujący do odbiornika.
- Wewnętrzny adres lokalny: Jest to prywatny adres IP przydzielony do hosta w sieci lokalnej (wewnątrz). Usługodawca go nie zleca. Jest to wewnętrzny host sieci wewnętrznej.
- Wewnętrzny adres globalny: Jest to adres IP reprezentujący jeden lub więcej lokalnych adresów IP. Jest to wewnętrzny host sieci zewnętrznej/zewnętrznej.
- Zewnętrzny adres lokalny: prawdziwy adres IP hosta docelowego znajduje się w sieci lokalnej po zakończeniu translacji.
- Zewnętrzny adres globalny: adres IP zewnętrznego hosta docelowego przed translacją. Jest to zewnętrzny host sieci zewnętrznej/zewnętrznej.
- Subdomena: to niezarejestrowany prywatny adres IP składający się z:
- Tablica NAT: NAT ponownie przypisuje numery portów i adresy IP i śledzi je za pomocą tablicy translacji NAT.
Załóżmy, że router odebrał pakiet danych z urządzenia lokalnego, któremu przypisano publiczny adres IP. Router zmieni teraz adres IP urządzenia źródłowego, umożliwiając mu wykorzystanie jego adresu IP. Następnie zmienia numer portu źródła, aby upewnić się, że ma informacje o tym, gdzie odebrane pakiety muszą zostać dostarczone. To ponowne przypisanie adresów IP jest rejestrowane w tabeli translacji NAT.
Wniosek
Wraz z rosnącą liczbą użytkowników Internetu i problemami bezpieczeństwa rozprzestrzeniającymi się na całym świecie istnieje potrzeba posiadania bezpieczniejszej i wydajniejszej metody połączenia. NAT ma to zrobić. Pomoże zachować publiczne adresy IP, zapewniając jednocześnie korzyści związane z bezpieczeństwem, szybkością, elastycznością i skalowalnością podczas łączenia się z Internetem.