logo

TechCodeview

Tīkla adrešu tulkošana (NAT)

Lai piekļūtu internetam, ir nepieciešama viena publiska IP adrese, bet mēs varam izmantot privātu IP adresi mūsu privātajā tīklā. NAT ideja ir ļaut vairākām ierīcēm piekļūt internetam, izmantojot vienu publisko adresi. Lai to panāktu, ir nepieciešama privātas IP adreses pārtulkošana uz publisku IP adresi. Tīkla adrešu tulkošana (NAT) ir process, kurā viena vai vairākas vietējās IP adreses tiek pārvērstas vienā vai vairākās globālajās IP adresēs un otrādi, lai nodrošinātu piekļuvi internetam vietējiem saimniekiem. Tas arī veic portu numuru tulkošanu, t.i., maskē resursdatora porta numuru ar citu porta numuru paketē, kas tiks novirzīta uz galamērķi. Pēc tam tas veic atbilstošos IP adreses un porta numura ierakstus NAT tabulā. NAT parasti darbojas maršrutētājā vai ugunsmūrī.

Tīkla adrešu tulkošana (NAT) darbojas —
Parasti robežmaršrutētājs ir konfigurēts NAT, t.i., maršrutētājam, kuram ir viena saskarne vietējā (iekšējā) tīklā un viena saskarne globālajā (ārējā) tīklā. Kad pakete iziet ārpus lokālā (iekšējā) tīkla, NAT pārvērš šo vietējo (privāto) IP adresi par globālo (publisko) IP adresi. Kad pakete nonāk lokālajā tīklā, globālā (publiskā) IP adrese tiek pārveidota par vietējo (privāto) IP adresi.



Ja NAT beidzas adrešu skaits, t.i., konfigurētajā pūlā nav atstāta neviena adrese, paketes tiks atmestas un adresātam tiek nosūtīta ICMP (Internet Control Message Protocol) resursdatora nesasniedzama pakete.

Kāpēc maskēt portu numurus?
Pieņemsim, ka tīklā ir savienoti divi resursdatori A un B. Tagad abi vienlaikus pieprasa vienu un to pašu galamērķi, izmantojot vienu un to pašu porta numuru, piemēram, 1000, resursdatora pusē. Ja NAT veic tikai IP adrešu tulkošanu, tad, kad to paketes nonāks NAT, abas viņu IP adreses tiks maskētas ar tīkla publisko IP adresi un nosūtītas galamērķim. Galamērķis nosūtīs atbildes uz maršrutētāja publisko IP adresi. Tādējādi, saņemot atbildi, NAT nebūs skaidrs, kura atbilde pieder kuram saimniekdatoram (jo avota portu numuri gan A, gan B ir vienādi). Tādējādi, lai izvairītos no šādas problēmas, NAT maskē arī avota porta numuru un veic ierakstu NAT tabulā.

NAT iekšējās un ārējās adreses -
Inside norāda uz adresēm, kuras ir jātulko. Ārpuse attiecas uz adresēm, kuras organizācija nekontrolē. Šīs ir tīkla adreses, kurās tiks veikta adrešu tulkošana.



    Iekšējā lokālā adrese — IP adrese, kas ir piešķirta resursdatoram iekšējā (lokālajā) tīklā. Adrese, iespējams, nav pakalpojumu sniedzēja piešķirta IP adrese, t.i., tās ir privātas IP adreses. Šis ir iekšējais saimniekdators, kas redzams no iekšējā tīkla.
    Iekšējā globālā adrese – IP adrese, kas apzīmē vienu vai vairākas vietējās IP adreses ārpasaulei. Šis ir iekšējais saimniekdators, skatoties no ārējā tīkla.
    Ārpus vietējās adreses — šī ir galamērķa resursdatora faktiskā IP adrese lokālajā tīklā pēc tulkošanas.
    Ārējā globālā adrese — tas ir ārējais resursdators, kā redzams no ārējā tīkla. Tā ir ārējā galamērķa resursdatora IP adrese pirms tulkošanas.

Tīkla adrešu tulkošanas (NAT) veidi —
Ir 3 veidi, kā konfigurēt NAT:

    Statisks NAT — šajā gadījumā viena nereģistrēta (privāta) IP adrese tiek kartēta ar likumīgi reģistrētu (publisku) IP adresi, t.i., lokālo un globālo adrešu savstarpēja kartēšana. To parasti izmanto tīmekļa mitināšanai. Organizācijās tos neizmanto, jo ir daudz ierīču, kurām būs nepieciešama piekļuve internetam, un, lai nodrošinātu piekļuvi internetam, ir nepieciešama publiska IP adrese.

    Pieņemsim, ka, ja ir 3000 ierīču, kurām nepieciešama piekļuve internetam, organizācijai ir jāiegādājas 3000 publiskās adreses, kas izmaksās ļoti dārgi.
    Dinamiskais NAT — šāda veida NAT nereģistrēta IP adrese tiek pārtulkota reģistrētā (publiskā) IP adresē no publisko IP adrešu kopas. Ja kopas IP adrese nav brīva, pakete tiks atmesta, jo tikai noteiktu skaitu privāto IP adrešu var tulkot publiskās adresēs.



    Pieņemsim, ka, ja ir 2 publisko IP adrešu kopums, tad noteiktā laikā var tulkot tikai 2 privātās IP adreses. Ja trešā privātā IP adrese vēlas piekļūt internetam, pakete tiks atmesta, tāpēc daudzas privātās IP adreses tiek kartētas uz publisko IP adrešu kopu. NAT tiek izmantots, ja ir fiksēts lietotāju skaits, kuri vēlas piekļūt internetam. Tas ir arī ļoti dārgi, jo organizācijai ir jāiegādājas daudzas globālās IP adreses, lai izveidotu kopu.
    Portu adrešu tulkošana (PAT) — to sauc arī par NAT pārslodzi. Šajā gadījumā daudzas vietējās (privātās) IP adreses var pārtulkot vienā reģistrētā IP adresē. Portu numurus izmanto, lai atšķirtu trafiku, t.i., kura trafika pieder kādai IP adresei. To izmanto visbiežāk, jo tas ir ekonomiski izdevīgi, jo tūkstošiem lietotāju var izveidot savienojumu ar internetu, izmantojot tikai vienu reālu globālo (publisku) IP adresi.

NAT priekšrocības -

  • NAT saglabā likumīgi reģistrētas IP adreses.
  • Tas nodrošina privātumu, jo ierīces IP adrese, nosūtot un saņemot trafiku, tiks paslēpta.
  • Novērš adrešu pārnumerāciju, kad tīkls attīstās.

NAT trūkums -

  • Tulkošanas rezultātā rodas pārslēgšanās ceļa aizkave.
  • Dažas lietojumprogrammas nedarbosies, kamēr ir iespējots NAT.
  • Sarežģī tunelēšanas protokolus, piemēram, IPsec.
  • Turklāt maršrutētājam, kas ir tīkla slāņa ierīce, nevajadzētu mainīt portu numurus (transporta slāni), bet tas ir jādara NAT dēļ.