network address translation tutorial with examples
Какво е превод на мрежови адреси (NAT):
В това Изрични поредици за обучение в мрежа , ние изследвахме Разлики между модем и рутер подробно в предишния ни урок.
В този урок ще изследваме концепцията за превод на мрежови адреси (NAT), като анализираме необходимостта от въвеждането му, предимствата, видовете и методите за изпълнение.
В компютърната мрежова система NAT се въвежда като спасителна методология, когато адресното пространство на IPv4 се изчерпва.
Какво ще научите:
Какво е NAT?
NAT е процесът на преназначаване на единичното IP адресно пространство в по-нататъшно чрез промяна на данните за мрежовия адрес в IP заглавката на пакета с данни, докато те пътуват през мрежа към целевия възел.
Като цяло NAT работи на рутер или шлюз и свързва две мрежи помежду си, като транслира частните адреси в регистрираните адреси, преди данните да бъдат предадени в друга мрежа.
единичен тест интеграция тест система тест
NAT има потенциала да излъчва само един IP адрес към публичната мрежа от името на цялата вътрешна мрежа. Това осигурява характеристиката на сигурността, като ефективно скрива цялостния IP адрес на частната мрежа зад този самостоятелен адрес.
По този начин NAT предлага двойната характеристика на превод на адреси и сигурност за мрежови системи.
Защо NAT?
Във всяка мрежова система за комуникация между компютрите и уеб сървърите чрез Интернет, ние всеки път изискваме уникален IP адрес, който е 32-битов номер, използван за намиране на компютъра или мрежовото устройство, до което искате да достигнете в мрежата.
През последните десетилетия, докато използвахме IPV4 схема за адресиране, имаше 2 ^ 32, което означава, че 4.3 милиарда уникални адреса могат да бъдат присвоени на устройствата с цел комуникация. Но действително наличните адреси бяха по-малки от този, тъй като някои бяха освободени, тъй като бяха използвани за излъчване, тестване и някои резервирани военни цели.
Следователно остатъчните адреси са някъде около 3,2 милиарда. Изглежда, че е огромен брой, но поради увеличаването на използването на Интернет във всички области като домашни мрежи, бизнес цели, гледане на онлайн видео; споделяне на данни и т.н. адресите бяха почти изчерпани.
Решението на това ограничение на IPV4 схемата за адресиране е да се пресъздаде системата за адресиране, така че да има повече опции за разпределяне на адреси. Това може да стане чрез въвеждане на IPV6 схема за адресиране.
Но процесът на изпълнение на това отне няколко години, тъй като това изисква промяна в цялостната инфраструктура на мрежовата система.
Междувременно NAT се въвежда и широко се използва навсякъде, което позволява на мрежово устройство като рутер да се държи като агент между Интернет и частната мрежа. Това означава, че уникален IP адрес може да се използва, за да символизира цялостния клас мрежови устройства като компютри.
Видове NAT
# 1) Статичен NAT : Известен е също като NAT към един към един. При този вид NAT само IP адресите и контролната сума на заглавката се променят сред общия мрежов адрес. Те са приложени за взаимно свързване на две отличителни IP мрежи с несъвместимо адресиране.
( изображение източник )
# 2) Динамичен NAT : При този тип NAT картографирането на IP от нерегистрирана частна мрежа се извършва с единичния IP адрес на регистрираната мрежа от класа на регистрираните IP адреси.
# 3) Претоварване на NAT : Това е и тип динамичен NAT, който също се нарича NAT-to-to-many.
При този тип NAT пакетите, пътуващи в мрежата от частната мрежа към публична мрежа, означават, че Интернет ще има промяна в адреса на източника на пакета данни и когато пакетите се върнат обратно от публичната мрежа към частната мрежа те ще имат промяна в IP адресите на местоназначението.
В допълнение към източника или местоназначението, IP адресът на пакетите има модифицирани или различни номера на портове с всеки от пакета данни, така че да се избегне неяснота в превода. По този начин тази комбинация от номера на порта и модифицирания IP адрес се съпоставя с регистрирания IP на частната мрежа.
# 4) Припокриване на NAT: Понякога в мрежова система регистрираните IP адреси, използвани от вътрешната мрежа, се използват и от друга мрежа и са регистрирани IP адреси на тази мрежа.
Следователно, в този случай рутерът поддържа таблица за търсене със себе си, за да може да заснема такива случаи и да ги обменя с уникалните регистрирани IP адреси.
NAT рутерът превежда IP адресите както за вътрешни, така и за външни регистрирани IP адреси за частната мрежа.
Как работи NAT?
Преди да преминем през работата, нека разберем някои терминологии, използвани в NAT:
- Вътрешен локален адрес : Това е частният IP адрес на частната мрежа.
- Вътрешен глобален адрес : Това е регистрираният публичен IP адрес, разпределен на хоста на частната мрежа, когато той инициира комуникация с външната мрежа.
- Външен глобален адрес : Това е регистрираният IP адрес, разпределен на хоста в Интернет.
- Извън местния адрес : Това е локалният IP адрес, разпределен на хоста в публичното достояние.
- Адресът, използван от вътрешните мрежови устройства за вътрешна комуникация, е известен като вътрешен локален адрес.
- Адресът, който се използва от устройствата във вътрешната мрежа за комуникация с външните мрежови устройства, е известен като външен локален адрес.
- Адресът, използван от външните мрежови устройства за комуникация с устройствата в частната мрежа, е вътрешният глобален адрес.
- Адресът, използван от външни устройства за комуникация помежду си, е извън глобалния адрес.
- Винаги, когато някоя организация изгради мрежова система, доставчикът на интернет услуги ще им присвои пула от IP адреси. Присвоеният диапазон от адреси включва регистрирани и уникални IP адреси, които са известни като вътрешни глобални адреси.
- Нерегистрираният клас частни IP адреси се състои от външни локални адреси, които се разполагат от NAT маршрутизаторите, и вътрешни локални адреси, които се използват от локалната мрежа, известна също като stub домейн.
- Външният локален адрес използва за превод на уникалните IP адреси на мрежовите устройства за публичната мрежа.
- Повечето от мрежовите устройства в LAN мрежата използват вътрешни локални адреси за комуникация между тях и обикновено не изискват превода. Сега, когато всяко устройство в домейна на заглушителя трябва да комуникира с друга мрежа, пакетът ще пътува през NAT рутера.
- Сега NAT маршрутизаторът ще потърси в таблицата за маршрутизиране, за да разбере, че има въвеждане за адрес на местоназначение или не. Ако да, тогава той превежда пакета и прави запис за него в таблицата за превод на адреси. Ако адресът не е намерен, тогава пакетът се отказва.
- Използвайки вътрешния глобален адрес, рутерът ще насочи пакета с данни към местоназначението.
- Сега крайният хост като компютър в публичната мрежа препраща пакет данни към частната мрежа. Този път първоначалният адрес е извън глобалния адрес, а получаващият адрес е тип вътрешен глобален адрес.
- Отново NAT маршрутизаторът ще потърси в таблицата за превод и ще открие, че адресът на местоназначението е в таблицата или не и след това ще нанесе IP адреса към този домейн, към който принадлежи.
- Преводът на вътрешния глобален адрес на пакета във вътрешния локален адрес се извършва и той се доставя до крайния край на хоста.
- Както вече споменахме по-рано, NAT използва функцията TCP / IP протокол за използване на IP пакета с TCP или UDP портове с модифицираното поле на заглавката на IP за целта на превода.
Така че заглавката на IP пакета ще съдържа следните полета:
Адрес на източника - IP адресът на иницииращия хост компютър като 192.178.120.10
Изходен порт - Номерът на TCP или UDP порт, разпределен от иницииращия компютър като Порт 1020
Адрес на дестинацията - IP адресът на компютъра на приемника като 172.145.57.20
Пристанище на дестинация - TCP или UDP портът, който иницииращият хост е поискал от хоста на приемника да се отвори като 4281.
Разпределението на номера на портовете е необходимо, тъй като гарантира, че корелацията между двата компютъра има уникалния идентификатор.
NAT пример
В примера по-долу вътрешният хост (172.168.20.10) иска да комуникира с външния свят, а адресът на целевия уеб сървър е 192.100.20.2. След това той ще изпрати пакет данни до маршрутизатора на мрежовия шлюз с възможност за NAT за по-нататъшна комуникация.
Рутерът на шлюза научава източника на IP адреса на пакета и търси в таблицата дали пакетът отговаря на условието за превод. Рутерът на шлюза поддържа списък за контрол на достъпа (ACL), който локализира удостоверяващите хостове за целите на вътрешната мрежа за превод.
По този начин той ще преобразува вътрешния локален IP адрес във вътрешен глобален IP адрес, който е тук, е 192.100.10.25. След това ще запази този превод в таблицата NAT и рутерът на шлюза ще насочи пакета към местоназначението.
Когато уеб сървърът на Интернет се върне обратно към заявката, пакетът ще се върне обратно към глобалния IP адрес 192.100.10.25 на рутера.
Сега рутерът на шлюза отново ще търси в таблицата NAT, за да открие преведения IP адрес, съответстващ на глобалния адрес. След това го превежда на вътрешния локален адрес и след това пакетът данни се доставя на хоста на IP адрес 172.168.20.10. Ако съвпадение не е намерено в таблицата, тогава пакетът се изхвърля.
Как NAT работи изображение:
NAT Претоварване или Превод на адрес на порт
Това основно се използва от домашните широколентови рутери за картографиране на нерегистрирания IP адрес от частната мрежа към самостоятелно регистриран IP адрес на публичното достояние.
Преводът на адресите на портовете начертава няколко нерегистрирани частни IP адреса в регистриран публичен самостоятелен IP адрес, като използва отделни портове. За да разграничи различните преводи, извършени в домашната мрежа, PAT ще внедри ексклузивни номера на портове към вътрешните глобални IP адреси.
Да предположим, че за домашна мрежа, когато компютър-домакин се опита да осъществи достъп до Интернет, маршрутизаторът NAT ще разпредели номера на порта към своя IP адрес на източника.
Може да има повече от един компютър в един екземпляр от времето на домашната мрежа, използваща Интернет, като по този начин PAT гарантира, че клиентският компютър ще използва отличителен номер на порт всеки път, когато инициира нова сесия със сървъра в Интернет.
Сега в отговор рутерът ще насочи пакета данни на базата на номера на порта на източника, който сега е превърнат в номера на порта на местоназначението. Цялото това явление също така гарантира сигурността на комуникационната сесия, тъй като пакетът се връща обратно в отговор на заявка, повдигната от клиента.
Таблица за претоварване на NAT
| Вътрешен локален IP адрес | Вътрешен глобален IP адрес | Външният глобален IP адрес | Външният локален IP адрес |
|---|---|---|---|
| 10.20.10.2:6666 | 192.134.30.4: 1666 | 192.134.20.2:80 | 192.134.20.2:80 |
| 10.20.10.3:2444 | 192.134.30.4:2444 | 192.134.40.3:80 | 192.134.40.3:80 |
От горната фигура е показано, че NAT претоварването използва изключителните номера на портове източници на вътрешните глобални IP адреси, за да различава транслациите, тъй като номерата на портовете 1666 и 2444 се използват съответно за откриване на пакета данни.
Тук адресът на източника е вътрешният локален IP адрес, който е споменат в таблицата, а адресът на местоназначението е външният локален IP адрес с номер на порт 80, тъй като има достъп до Интернет чрез HTTP.
В края на маршрутизатора NAT, претоварването на NAT променя адреса на източника във вътрешния глобален IP адрес, както е показано в таблицата по-горе, а адресът на местоназначението вече е известен като външен глобален IP адрес.
Двойна NAT
Double NAT е ситуация, при която повече от едно мрежово устройство като рутер в частна мрежа извършва транслация на мрежови адреси.
Най-простият пример е, когато DSL модем и Wi-Fi рутер са свързани в мрежа с активиран NAT във всеки от тях. Устройствата хост, свързани към обществената мрежа чрез Wi-Fi рутер.
В този сценарий компютърът няма да има достъп до Интернет, тъй като рутерът няма собствен публичен IP адрес, докато има частен IP адрес, ограничен в обхвата на мрежата на DSL модема.
Как да разрешим проблема с Double NAT
Има различни начини за решаване на проблема с двойния NAT, но кое решение ще работи точно, зависи от вида на мрежовата настройка.
# 1) Настройте безжичния рутер в мостов режим : Това означава, че отидете до уеб интерфейса на рутера и деактивирайте ръчно функцията NAT и DHCP на безжичния рутер.
Ако и двете функции ще бъдат деактивирани, когато режимът е известен като мостов режим и след това конфигуриране на пренасочването на портове функция на модема за разрешаване на проблема с Double NAT.
Екранната снимка по-долу ще покаже активиращия мостов режим в рутера за преодоляване на проблема с Double NAT.
( изображение източник )
# 2) Създайте PPPoE връзка между рутера и модема: Това не се поддържа от всички доставчици на интернет услуги, но това е един от най-добрите начини за справяне с проблема с Double NAT. Отидете до настройките на WAN в уеб интерфейса на рутера и след това проверете, за да маркирате PPPoE, за да конфигурирате WAN връзката. Това ще заобиколи NAT в модема.
# 3) Активиране на DMZ в модема: Това ще свърже вашия рутер с DMZ функция директно към Интернет и ще заобиколи настройките на IP на рутера NAT, защитна стена и DHCP връзка и по този начин устройствата автоматично ще получат стойностите от рутера.
Стъпките са както следва:
- Първо влезте в уеб интерфейса на рутера и разберете WAN IP адреса на рутера.
- Сега второ, влезте в административните настройки на модема и в настройките на DMZ на модема задайте WAN адреса на маршрутизатора като IP адрес. Това ще позволи пренасочването на портове и трафикът ще се насочи към зададения клиентски хост.
NAT рутер
NAT маршрутизаторът генерира мрежа от IP адреси за локална мрежа и той свързва тази LAN мрежа с публичната мрежа, която е Интернет. NAT, изпълнен от рутера, ще позволи на няколко компютъра или хост устройствата в LAN мрежата в задния край на рутера да комуникират с WAN мрежата, т.е. Интернет.
NAT маршрутизаторите се използват за домашни цели и за малки индустрии, тъй като рутерът се появява в Интернет като самостоятелен хост със самостоятелен IP адрес. Това ефективно отразява факта, че компютърът в локалната мрежа на рутера ще получи един IP адрес в същия интервал от време.
NAT рутер ( изображение източник )
Сигурност, свързана с NAT рутера
NAT маршрутизаторите имат тази функция, че ще работят като хардуерно защитно устройство в мрежата и те пазят LAN мрежата срещу всякакъв вид нежелан и необичаен трафик, който може да навреди на мрежата.
По този начин той действа като филтър между Интернет и частната LAN мрежа и позволява само преминаването на трафика, през който е разрешено да влиза в мрежата.
Как работи? Тъй като маршрутизаторът свързва LAN мрежата с Интернет, така че става свидетел на всички пакети данни, изпратени в интернет от LAN мрежата. Рутерът поддържа вътрешна таблица на връзката със себе си и запазва всеки от IP адреса на дестинация на изходящия пакет и номера на порта, разпределен в него. След това той разпределя своя собствен IP адрес и номер на порт към пакета за потвърждаване на трафика за връщане вкъщи.
И накрая, той запазва крайната информация за пакета данни заедно с IP адреса и номера на порта в текущата си таблица на връзките. Когато някой от пакетите с данни кацне на маршрутизатора от Интернет, маршрутизаторът ще го провери в текущата таблица на връзките, пристигналият пакет е желан за LAN мрежата, като провери в таблицата.
Ако са намерени еквивалентният IP адрес и номер на порт, той го насочва към целевия компютър на LAN мрежата. И ако съвпадението не бъде намерено, тогава рутерът ще изхвърли пакета данни и ще го маркира като нежелан трафик.
По този начин NAT маршрутизаторът предпазва вашата връзка с външната мрежа, както и в случай, че само едно устройство е свързано в LAN мрежа. Така че с NAT рутера, конфигуриран в мрежата, никой от червеите и зловредният вирус не може да навреди на вашата мрежа.
Функции за защита на NAT рутера
NAT предимства:
- Чрез управление и повторно използване на IP адресите NAT може да предотврати изчерпването на схемата за адресиране на IPV4.
- Той осигурява защита на частната мрежа от външния свят, като поддържа тайната на IP адреса на източника и дестинацията от външната мрежа.
- Той осигурява гъвкава мрежова система.
- Частните мрежови организации, използвайки NAT, могат да използват избрания от тях IP обхват за изграждане на вътрешната мрежа, независимо от доставчика на услуги на публичния интерфейс.
Ограничения на NAT:
- Тъй като NAT ще изследва всички входящи и изходящи пакети с данни, за да поддържа таблицата на връзките и друг запис на данни в паметта на процесора, така че цялостният процес ще изисква съхранение на огромен капацитет и отнема много време.
- Всички мрежови устройства и мрежовите системи не са съвместими с NAT технологията, поради което тя няма да функционира навсякъде във всички сценарии.
- Поради промяна на IP адресите на устройството няколко пъти по време на NAT процеса, понякога става много трудно да се проследи достъпа до край на IP на мрежовите компоненти.
- NAT причинява неочаквани закъснения в комуникационната система.
Какъв защитен протокол се препоръчва за NAT: Няма такъв определен набор от протоколи, който да е специално използван за NAT. Но преводът е под пакета за интернет протокол (IP). Също така протоколът TCP се използва за превод, докато се извършва NAT от рутерите.
Освен тези протоколи, в зависимост от мрежовия сценарий се използват различните набори протоколи като ICMP, UDP и IPSec, които вече са обяснени в предишните уроци.
Заключение
От този урок разбрахме причината за въвеждането на процеса на превод на мрежови адреси в системата на компютърната мрежа и неговото значение.
Също така научихме с помощта на различни примери и фигури, видовете и работата на NAT.
Препоръчително четене
- IEEE 802.11 и 802.11i Wireless LAN и 802.1x стандарти за удостоверяване
- 7 начина за отстраняване на грешка „Шлюзът по подразбиране не е наличен“
- Модем срещу рутера: Знайте точната разлика
- Ръководство за оценка и уязвимост на мрежата
- Какво представлява ключът за мрежова сигурност: Как да го намерите за рутер, Windows или Android
- Какво е виртуализация? Примери за виртуализация на мрежа, данни, приложения и съхранение
- Основни стъпки и инструменти за отстраняване на неизправности в мрежата
- Какво е мрежова сигурност: нейните видове и управление