Yhteystyyppi nat. NAT-yhteyden ja staattisen IP:n määrittäminen PS4:llä. Yhteysvaihtoehdot NAT:n kautta

Ja katsot WEB-sivuston sivuja. Käytät todennäköisesti verkko-osoitteiden käännöstä (NAT) juuri nyt.

Kukaan ei olisi voinut ennakoida Internetin nykyistä kasvua. Vaikka sen tarkkaa kokoa ei tunneta, arvioiden mukaan Internetissä on noin 100 miljoonaa aktiivista solmua ja yli 350 miljoonaa käyttäjää. Internetin kasvuvauhti on sellainen, että sen koko kaksinkertaistuu joka vuosi.

Joten mitä tekemistä verkko-osoitteiden kääntämisellä on Internetin koon kanssa? Suorinta! Jotta tämä tietokone voisi olla yhteydessä muihin tietokoneisiin ja WEB-palvelimiin Internetin kautta, sillä on oltava oma IP-osoite. IP-osoite (IP tulee sanoista Internet Protocol) on ainutlaatuinen 32-bittinen numero, joka tunnistaa tietyn tietokoneen sijainnin verkossa. Pohjimmiltaan se toimii kuten kotiosoitteesi – se on tapa löytää tietokoneesi tarkka sijainti ja toimittaa tietoja sinulle.

IP-osoite

Kun IP-osoitteet ilmestyivät ensimmäisen kerran, kaikki uskoivat, että osoitteita oli tarpeeksi tyydyttämään kaikki tarpeet. Teoriassa yksilöllisiä osoitteita voi olla yhteensä 4 294 967 296 (232). Käytettävissä olevien osoitteiden todellinen määrä on hieman pienempi (noin 3,2-3,3 miljardia), mikä johtuu osoitteiden luokittelutavasta ja siitä, että tietyt osoitteet on varattu monilähetystä, testausta ja muita erityistarpeita varten.

Internetin räjähdysmäisen kasvun, koti- ja yritysverkkojen kasvun yhteydessä IP-osoitteita ei yksinkertaisesti ole tarpeeksi saatavilla. Ilmeinen ratkaisu on muuttaa osoitemuotoa niin, että käytettävissä on enemmän osoitteita. Tällaista järjestelmää ollaan ottamassa käyttöön (nimeltään IPv6), mutta sen käyttöönotto kestää useita vuosia, koska se vaatii Internetin koko rakenteen päivittämistä.

NAT-järjestelmä (RFC 1631) tulee apuun. Verkko-osoitteen muuntaminen mahdollistaa yksittäisen laitteen, kuten reitittimen, toimimisen välittäjänä Internetin (tai "julkisen verkon") ja paikallisen (tai "yksityisen") verkon välillä. Tämä tarkoittaa, että vain yksi yksilöllinen IP-osoite vaaditaan edustamaan koko tietokoneryhmää.

IP-osoitteiden puute on kuitenkin vain yksi syistä, miksi NAT:ia käytetään. Artikkelimme on omistettu tämän järjestelmän eduille ja ominaisuuksille. Katsotaanpa ensin tarkemmin, mitä NAT on ja miten tämä järjestelmä toimii...

Kuinka NAT-järjestelmä toimii

NAT-järjestelmä on kuin sihteeri suuressa toimistossa. Oletetaan, että annoit hänelle ohjeet olla muodostamatta sinua keneenkään, joka soittaa puhelimessa, ennen kuin annat luvan sellaisiin toimiin. Myöhemmin soitat potentiaaliselle asiakkaalle ja jätät viestin, jotta he soittavat sinulle takaisin. Kerrot sihteerille, että odotat puhelua asiakkaalta ja käsket häntä tarjoamaan yhteyden, kun hän soittaa.

Asiakas valitsee toimiston pääpuhelinnumeron, koska se on ainoa numero, jonka hän tietää. Asiakas ilmoittaa sihteerille haluavansa ottaa sinuun yhteyttä, sihteeri tarkistaa hakutaulukon, jossa näkyy nimesi ja puhelinnumerosi. Vastaanottovirkailija tietää, että olet valtuuttanut asiakkaan soittamaan, joten hän vaihtaa soittajan alaliittymään.

Verkko-osoitteiden käännösjärjestelmä

Ciscon kehittämää verkko-osoitteiden muunnosjärjestelmää käyttää laite (reititin tai tietokone), joka yhdistää sisäisen verkon muuhun maailmaan. Verkko-osoitteiden käännös voi olla monessa muodossa ja se voi toimia eri tavoin:

Staattisen verkko-osoitteen muuntaminen tarkoittaa rekisteröimättömän IP-osoitteen muuntamista rekisteröidyksi IP-osoitteeksi yksitellen. Erityisen hyödyllinen, kun haluat käyttää laitetta paikallisen verkon ulkopuolelta.
Dynaaminen verkko-osoitteiden käännös - muuntaa rekisteröimättömän IP-osoitteen rekisteröidyksi IP-osoitteeksi rekisteröityjen IP-osoitteiden ryhmästä.
Ylikuormitus on dynaamisen käännöksen muoto, joka muuntaa useita rekisteröimättömiä IP-osoitteita yhdeksi rekisteröidyksi osoitteeksi käyttämällä eri portteja. Tätä menettelyä kutsutaan myös porttitasolla PAT:ksi (Port Address Translation), unicast NAT:ksi tai multipleksoiduksi NAT:ksi.
Vastaavuus – Kun verkossasi käytetyt osoitteet ovat rekisteröityjä IP-osoitteita, joita käytetään toisessa verkossa, reitittimen on ylläpidettävä kyseisten osoitteiden käännöstaulukkoa, siepattava ne ja korvattava ne rekisteröidyillä yksilöllisillä IP-osoitteilla. On tärkeää huomata, että NAT-reitittimen on muutettava "sisäiset" osoitteet rekisteröidyiksi yksilöllisiksi osoitteiksi sekä "ulkoiset" rekisteröidyt osoitteet osoitteiksi, jotka ovat yksilöllisiä yksityisessä verkossa. Tämä toiminto voidaan suorittaa käyttämällä staattista verkko-osoitteiden käännöstä tai käyttämällä DNS-järjestelmää (Domain Name System) ja toteuttamalla dynaamisen verkko-osoitteen käännöksen.

Sisäinen verkko on yleensä lähiverkko (LAN), jota joskus kutsutaan tynkäverkkotunnukseksi. Kantaverkkoalue on paikallinen verkko, jossa käytetään IP-osoitteita. Suurin osa tynkätoimialueen verkkoliikenteestä on paikallista, eikä se ylitä sisäistä verkkoa. Kantaverkkotunnus voi sisältää sekä rekisteröityjä että rekisteröimättömiä IP-osoitteita. Tietenkin kaikkien tietokoneiden, joille on määritetty rekisteröimättömät IP-osoitteet, on käytettävä verkko-osoitteiden käännöstä kommunikoidakseen muun maailman kanssa.

NAT voidaan määrittää eri tavoin. Alla olevassa esimerkissä NAT-reititin on määritetty muuttamaan yksityisessä (sisäisessä) verkossa käytetyt rekisteröimättömät (sisäiset, paikalliset) IP-osoitteet rekisteröidyiksi IP-osoitteiksi. Tämä toimenpide suoritetaan aina, kun laitteen, jolla on rekisteröimätön osoite sisäisessä verkossa, on oltava yhteydessä julkiseen verkkoon (ulkoiseen).

Internet-palveluntarjoajasi määrittää yrityksellesi useita IP-osoitteita. Kiinnitetyn ryhmän osoitteet ovat rekisteröityjä IP-osoitteita, ja niitä kutsutaan sisäisiksi globaaleiksi osoitteiksi. Rekisteröimättömät, yksityiset IP-osoitteet on jaettu kahteen ryhmään. NAT-reitittimet käyttävät yhtä pientä ryhmää (ulkoisia paikallisosoitteita). Toista, paljon suurempaa ryhmää, jota kutsutaan paikallisten osoitteiden sisällä, käytetään tynkäverkkotunnuksessa. Ulkoisia paikallisia osoitteita käytetään muodostamaan laitteille yksilöllisiä IP-osoitteita, joita kutsutaan ulkoisiksi globaaleiksi osoitteiksi julkiseen verkkoon pääsyä varten.
Useimmat tynkätoimialueen tietokoneet kommunikoivat keskenään sisäisten paikallisten osoitteiden avulla.
Jotkut verkkotunnuksen tynkätietokoneet kommunikoivat usein paikallisverkon ulkopuolisten laitteiden kanssa. Näillä tietokoneilla on sisäiset globaalit osoitteet, joita ei tarvitse kääntää.
Kun tynkäverkkotunnuksen tietokoneen, jolla on sisäinen paikallinen osoite, on oltava yhteydessä paikallisverkon ulkopuoliseen tietokoneeseen, paketti reititetään johonkin NAT-reitittimestä.
NAT-reititin tarkistaa reititystaulukosta, onko kohdeosoitteessa merkintä. Jos tällainen merkintä on, NAT-reititin kääntää paketin ja luo sille merkinnän osoitteenkäännöstaulukkoon. Jos kohdeosoite ei ole reititystaulukossa, paketti ohitetaan.
Käyttämällä sisäistä globaalia osoitetta reititin lähettää paketin määränpäähänsä.
Julkisessa verkossa oleva tietokone lähettää paketin yksityiseen verkkoon. Paketin lähettäjän osoite on ulkoinen globaali osoite. Kohdeosoite on sisäinen globaali osoite.
NAT-reititin tarkistaa osoitteen käännöstaulukon ja määrittää, että siellä on kohdeosoite, joka vastaa tynkätoimialueen tietokonetta.
NAT-reititin muuttaa paketin sisäisen globaalin osoitteen sisäiseksi paikalliseksi osoitteeksi ja välittää paketin asianmukaiselle tietokoneelle.

NAT ylikuormitus

Overload NAT käyttää TCP/IP-protokollapaketin ominaisuutta, multipleksointia, jonka avulla tietokone voi luoda useita samanaikaisia yhteyksiä yhteen tai useampaan etätietokoneeseen käyttämällä erilaisia TCP- tai UDP-portteja. IP-paketti sisältää otsikon, joka sisältää seuraavat tiedot:

Lähdeosoite - lähettävän tietokoneen IP-osoite, esimerkiksi 201.3.83.132
Lähettäjäportti - TCP- tai UDP-portin numero, jonka lähettäjätietokone on määrittänyt tälle paketille, esimerkiksi portti 1080
Vastaanottajan osoite - vastaanottavan tietokoneen IP-osoite, esimerkiksi 145.51.18.223
Kohdeportti on TCP- tai UDP-portin numero, jonka lähettävä tietokone vaatii vastaanottavan tietokoneen avaamaan, esimerkiksi portin 3021.

Osoitteet tunnistavat kaksi konetta kummassakin päässä, ja porttinumerot tarjoavat yksilöllisen tunnisteen kahden tietokoneen väliselle yhteydelle. Näiden neljän numeron yhdistelmä määrittää yhden TCP/IP-yhteyden. Jokainen porttinumero käyttää 16 bittiä, mikä tarkoittaa, että mahdollisia arvoja on 65 536 (216). Käytännössä, kun otetaan huomioon, että eri valmistajat kartoittavat portit hieman eri tavalla, voit odottaa, että käytettävissä on noin 4 000 porttia.

Katselukerrat: 38706

1 Jos luet tätä asiakirjaa, olet todennäköisesti yhteydessä Internetiin ja käytät verkko-osoitteen käännöstä ( Verkko-osoitteiden käännös, NAT) juuri nyt! Internetistä on tullut niin paljon suurempi kuin kukaan olisi voinut kuvitella. Vaikka tarkkaa kokoa ei tiedetä, tämänhetkinen arvio on noin 100 miljoonaa isäntäkonetta ja yli 350 miljoonaa Internetissä aktiivista käyttäjää. Itse asiassa kasvuvauhti on sellainen, että Internet kaksinkertaistuu joka vuosi.

Johdanto

Jotta tietokone voisi olla yhteydessä muihin Internetin tietokoneisiin ja Web-palvelimiin, sillä on oltava IP-osoite. IP-osoite (IP tulee sanoista Internet Protocol) on ainutlaatuinen 32-bittinen numero, joka tunnistaa tietokoneesi sijainnin verkossa. Pohjimmiltaan se toimii aivan kuten katuosoitteesi: tapa selvittää tarkalleen missä olet ja toimittaa tietoja sinulle. Teoriassa sinulla voi olla 4 294 967 296 yksilöllistä osoitetta (2^32). Todellinen käytettävissä olevien osoitteiden määrä on pienempi (jossain 3,2-3,3 miljardia) johtuen tavasta, jolla osoitteet on jaettu luokkiin, ja tarve varata osa osoitteista monilähetystä, testausta tai muita erityistarpeita varten. Koti- ja yritysverkkojen lisääntyessä käytettävissä olevien IP-osoitteiden määrä ei enää riitä. Ilmeinen ratkaisu on suunnitella uudelleen osoitemuoto, jotta siihen mahtuu enemmän mahdollisia osoitteita. IPv6-protokolla siis kehittyy, mutta tämä kehitys kestää useita vuosia, koska se vaatii koko Internet-infrastruktuurin muokkaamista.

Tässä NAT tulee apuumme. Pohjimmiltaan verkko-osoitteiden kääntäminen sallii yhden laitteen, kuten reitittimen, toimia agenttina Internetin (tai "julkisen verkon") ja paikallisen (tai "yksityisen") verkon välillä. Tämä tarkoittaa, että vain yksi yksilöllinen IP-osoite vaaditaan edustamaan koko tietokoneryhmää mille tahansa verkon ulkopuolelle. IP-osoitteiden puute on vain yksi syy käyttää NAT:ia. Kaksi muuta hyvää syytä ovat turvallisuus ja hallinto.

Opit kuinka voit hyötyä NAT:sta, mutta ensin tarkastellaan NATia tarkemmin ja katsotaan, mitä se voi tehdä.

Naamioitua

NAT on kuin sihteeri suuressa toimistossa. Oletetaan, että jätit sihteerille ohjeet olla välittämättä sinulle puheluita, ellet pyydä sitä. Myöhemmin soitat potentiaaliselle asiakkaalle ja jätät hänelle viestin, jotta hän soittaa sinulle takaisin. Kerrot sihteerille, että odotat puhelua tältä asiakkaalta ja puhelu on siirrettävä. Asiakas soittaa toimistosi päänumeroon, joka on ainoa numero, jonka hän tietää. Kun asiakas kertoo sihteerille, ketä hän etsii, sihteeri tarkistaa työntekijäluettelonsa löytääkseen vastaavuuden nimen ja alanumeron välillä. Vastaanottovirkailija tietää, että pyysit tätä puhelua, joten hän siirtää soittajan puhelimeesi.

Ciscon kehittämää verkko-osoitteiden käännöstä käyttää laite (palomuuri, reititin tai tietokone), joka sijaitsee sisäisen verkon ja muun maailman välissä. NAT tulee monissa muodoissa ja voi toimia useilla tavoilla:

Staattinen NAT- Rekisteröimättömän IP-osoitteen yhdistäminen rekisteröidyksi IP-osoitteeksi yksitellen. Erityisen hyödyllinen, kun laitteeseen on päästävä verkon ulkopuolelta.

Staattisessa NAT:ssa tietokone, jonka osoite on 192.168.32.10, käännetään aina osoitteeseen 213.18.123.110:

Dynaaminen NAT- Yhdistää rekisteröimättömän IP-osoitteen rekisteröityyn osoitteeseen rekisteröityjen IP-osoitteiden ryhmästä. Dynaaminen NAT muodostaa myös suoran yhdistämisen rekisteröimättömän osoitteen ja rekisteröidyn osoitteen välille, mutta kartoitus voi muuttua sen mukaan, mikä rekisteröidy osoite on käytettävissä osoitepoolissa viestinnän aikana.

Dynaamisessa NAT:ssa tietokone, jonka osoite on 192.168.32.10, käännetään ensimmäiseksi saatavilla olevaksi osoitteeksi välillä 213.18.123.100 - 213.18.123.150

Ylikuormitus on dynaamisen NAT:n muoto, joka kartoittaa useita rekisteröimättömiä osoitteita yhdeksi rekisteröidyksi IP-osoitteeksi eri portteja käyttäen. Tunnetaan myös nimellä PAT (Port Address Translation)

Ylikuormitettuna jokainen yksityisen verkon tietokone käännetään samaan osoitteeseen (213.18.123.100), mutta eri porttinumerolla

Päällekkäisyys- Kun sisäisessä verkossasi käytettyjä IP-osoitteita käytetään myös toisessa verkossa, reitittimen on pidettävä näistä osoitteista hakutaulukko, jotta se voi siepata ja korvata ne rekisteröidyillä yksilöllisillä IP-osoitteilla. On tärkeää huomata, että NAT-reitittimen on muunnettava "sisäiset" osoitteet rekisteröidyiksi yksilöllisiksi osoitteiksi ja myös "ulkoiset" rekisteröidyt osoitteet osoitteiksi, jotka ovat yksilöllisiä yksityiselle verkolle. Tämä voidaan tehdä joko staattisen NAT:n kautta tai voit käyttää DNS:ää ja toteuttaa dynaamisen NAT:n.

Esimerkki:
Sisäinen IP-alue (237.16.32.xx) on myös toisen verkon käyttämä rekisteröity alue. Siksi reititin kääntää osoitteet mahdollisten ristiriitojen välttämiseksi. Se myös kääntää rekisteröidyt globaalit IP-osoitteet takaisin rekisteröimättömiksi paikallisiksi osoitteiksi, kun paketteja lähetetään sisäiseen verkkoon

Sisäinen verkko on yleensä LAN (Local Area Network), jota useimmiten kutsutaan stub-verkkotunnus. Kantaverkkoalue on lähiverkko, joka käyttää sisäisiä IP-osoitteita. Suurin osa verkkoliikenteestä tällaisessa toimialueessa on paikallista eikä poistu sisäisestä verkosta. Verkkotunnus voi sisältää sekä rekisteröityjä että rekisteröimättömiä IP-osoitteita. Tietenkin kaikkien tietokoneiden, jotka käyttävät rekisteröimättömiä IP-osoitteita, on käytettävä NAT-yhteyttä kommunikoidakseen muun maailman kanssa.

NAT voidaan määrittää eri tavoin. Alla olevassa esimerkissä NAT-reititin on määritetty muuttamaan rekisteröimättömät IP-osoitteet (paikalliset sisäiset osoitteet), jotka sijaitsevat yksityisessä (sisäisessä) verkossa rekisteröidyiksi IP-osoitteiksi. Näin tapahtuu aina, kun sisällä olevan laitteen, jolla on rekisteröimätön osoite, on oltava yhteydessä ulkoiseen verkkoon.

Internet-palveluntarjoaja määrittää yrityksellesi IP-osoitteita. Osoitelohkot ovat yksilöllisiä rekisteröityjä IP-osoitteita ja niitä kutsutaan globaalien osoitteiden sisällä. Rekisteröimättömät yksityiset IP-osoitteet on jaettu kahteen ryhmään, pieneen ryhmään, paikallisten osoitteiden ulkopuolella, joita NAT-reitittimet käyttävät, ja verkkotunnuksessa käytettävä tärkein reititin tunnetaan nimellä paikallisten osoitteiden sisällä. Ulkoisia paikallisia osoitteita käytetään yksilöllisten IP-osoitteiden kääntämiseen globaalien osoitteiden ulkopuolella,laitteet julkisessa verkossa.
NAT kääntää vain liikenteen, joka kulkee sisäisen ja ulkoisen verkon välillä ja on tarkoitettu käännettäväksi. Liikennettä, joka ei täytä käännösehtoja tai joka kulkee reitittimen muiden liitäntöjen välillä, ei koskaan käännetä, vaan se välitetään sellaisenaan.

IP-osoitteilla on eri nimitykset sen mukaan, ovatko ne yksityisessä verkossa (domain) vai julkisessa verkossa (Internet) ja onko liikenne saapuvaa vai lähtevää:

Useimmat toimialueen tietokoneet kommunikoivat keskenään sisäisten paikallisten osoitteiden avulla.
Jotkut toimialueen tietokoneet ovat yhteydessä ulkoiseen verkkoon. Näillä tietokoneilla on sisäiset globaalit osoitteet, mikä tarkoittaa, että ne eivät vaadi käännöstä.
Kun verkkotunnuksen tietokone, jolla on sisäinen paikallinen osoite, haluaa kommunikoida ulkoisen verkon kanssa, paketti menee johonkin NAT-reitittimestä normaalin reitityksen kautta.
NAT-reititin tarkistaa reititystaulukosta, onko siinä merkintä kohdeosoitteelle. Jos kohdeosoite ei ole reititystaulukossa, paketti hylätään. Jos tallennus on saatavilla, reititin tarkistaa, tuleeko paketti sisäisestä verkosta ulkoiseen verkkoon ja myös täyttääkö paketti yleislähetykselle asetetut kriteerit. Tämän jälkeen reititin tarkistaa osoitteenkäännöstaulukosta, onko paikalliselle sisäiselle osoitteelle ja sitä vastaavalle globaalille osoitteelle merkintä. Jos merkintä löytyy, se lähettää paketin käyttämällä sisäistä globaalia osoitetta. Jos vain staattinen NAT on määritetty eikä merkintää löydy, reititin lähettää paketin ilman käännöstä.
Käyttäen sisäistä globaalia osoitetta, reititin välittää paketin määränpäähänsä.
julkisessa verkossa oleva tietokone lähettää paketin yksityiseen verkkoon. Paketin lähdeosoite on ulkoinen globaali osoite. Kohdeosoite on sisäinen globaali osoite.
Kun paketti saapuu ulkoiseen verkkoon, NAT-reititin tarkastelee käännöstaulukkoa ja määrittää kohdeosoitteen, joka on yhdistetty toimialueen tietokoneeseen.
NAT-reititin kääntää paketin sisäisen globaalin osoitteen sisäiseksi paikalliseksi osoitteeksi ja tarkistaa sitten reititystaulukon ennen paketin lähettämistä kohdetietokoneelle. Aina kun osoitteelle ei löydy merkintää käännöstaulukosta, pakettia ei käännetä ja reititin jatkaa reititystaulukon tarkistamista kohdeosoitteen löytämiseksi.

NAT-ylikuormitus käyttää TCP/IP-protokollapinon ominaisuutta, kuten multipleksointia, jonka avulla tietokone voi ylläpitää useita samanaikaisia yhteyksiä etätietokoneeseen käyttämällä erilaisia TCP- tai UDP-portteja. IP-paketissa on otsikko, joka sisältää seuraavat tiedot:

Lähdeosoite – lähdetietokoneen IP-osoite, esimerkiksi 201.3.83.132.
Lähdeportti – TCP- tai UDP-portin numero, jonka tietokone on määrittänyt tämän paketin lähteeksi, esimerkiksi portti 1080.
Kohdeosoite – vastaanottimen tietokoneen IP-osoite. Esimerkiksi 145.51.18.223.
Kohdeportti – sen TCP- tai UDP-portin numero, jonka lähdetietokone pyytää avaamaan vastaanottimessa, esimerkiksi portti 3021.

IP-osoitteet tunnistavat kaksi konetta kummallakin puolella, kun taas porttinumerot varmistavat, että näiden kahden koneen välisellä yhteydellä on yksilöllinen tunniste. Näiden neljän numeron yhdistelmä määrittää yhden TCP/IP-yhteyden. Jokainen porttinumero käyttää 16 bittiä, mikä tarkoittaa, että mahdollisia arvoja on 65 536 (2^16). Todellisuudessa, koska eri valmistajat näyttävät portit hieman eri tavalla, saatat odottaa noin 4 000 porttia.

Esimerkkejä dynaamisesta NAT:sta ja NAT:ista ylikuormituksella

Alla oleva kuva näyttää, kuinka dynaaminen NAT toimii.

Napsauta yhtä vihreistä painikkeista lähettääksesi onnistuneen paketin joko sisäiseen verkkoon tai sieltä. Napsauta yhtä punaisista painikkeista lähettääksesi paketin, jonka reititin pudottaa virheellisen osoitteen vuoksi.

sisäinen verkko perustettiin IP-osoitteilla, joita IANA (Internet Assigned Numbers Authority), IP-osoitteita jakava maailmanlaajuinen toimisto, ei ole erityisesti osoittanut tälle yritykselle. Tällaisia osoitteita tulisi pitää ei-reititettävinä, koska ne eivät ole ainutlaatuisia. Nämä ovat sisäisiä paikallisosoitteita.
yritys asentaa NAT-reitittimen. Reitittimellä on joukko ainutlaatuisia IP-osoitteita, jotka on myönnetty yritykselle. Nämä ovat sisäisiä globaaleja osoitteita.
lähiverkon tietokone yrittää muodostaa yhteyden verkon ulkopuoliseen tietokoneeseen, kuten Web-palvelimeen.
Reititin vastaanottaa paketin lähiverkon tietokoneelta.
Tarkastettuaan reititystaulukon ja käännösprosessin, reititin tallentaa ei-reititettävän tietokoneen osoitteen osoitteenkäännöstaulukkoon. Reititin korvaa lähettävän tietokoneen ei-reitittävän osoitteen ensimmäisellä saatavilla olevalla IP-osoitteella yksilöllisten osoitteiden alueella. Käännöstaulukossa on nyt näyttö tietokoneen ei-reititettävästä IP-osoitteesta, joka vastaa yhtä yksilöllisistä IP-osoitteista.
Kun paketti palaa kohdetietokoneelta, reititin tarkistaa paketissa olevan kohdeosoitteen. Sitten se tarkastelee osoitteenkäännöstaulukkoa löytääkseen, mille toimialueen tietokoneelle paketti kuuluu. Se muuttaa vastaanottajan osoitteeksi aiemmin käännöstaulukkoon tallennetun osoitteen ja lähettää paketin haluttuun tietokoneeseen. Jos reititin ei löydä vastaavuutta taulukosta, se hylkää paketin.
Tietokone vastaanottaa paketin reitittimeltä ja koko prosessi toistuu, kun tietokone kommunikoi ulkoisen järjestelmän kanssa.

Sisäinen verkko muodostettiin reitittämättömillä IP-osoitteilla, joita ei ollut nimenomaisesti allokoitu yritykselle
yritys asentaa NAT-reitittimen. Reitittimellä on ainutlaatuinen IP-osoite, jonka IANA on myöntänyt
Toimialueen tietokone yrittää muodostaa yhteyden verkon ulkopuoliseen tietokoneeseen, kuten Web-palvelimeen.
Reititin vastaanottaa paketin toimialueen tietokoneelta.
Reitityksen ja paketin käännöksen suorittamisen jälkeen reititin tallentaa tietokoneen ei-reitittävän IP-osoitteen ja portin numeron käännöstaulukkoon. Reititin korvaa lähettävän tietokoneen ei-reitittävän IP-osoitteen reitittimen IP-osoitteella. Reititin korvaa lähettäjän tietokoneen lähdeportin jollain satunnaisella porttinumerolla ja tallentaa sen kyseisen lähettäjän osoitteenkäännöstaulukkoon. Käännöstaulukossa näkyy tietokoneen ei-reititettävä IP-osoite ja portin numero sekä reitittimen IP-osoite.
Kun paketti palaa kohteesta, reititin tarkistaa paketin kohdeportin. Sen jälkeen se etsii käännöstaulukosta, mikä toimialueen tietokone omistaa paketin. Seuraavaksi reititin muuttaa vastaanottimen osoitteen ja vastaanotinportin arvoihin, jotka oli aiemmin tallennettu käännöstaulukkoon ja lähettää paketin loppusolmuun.
tietokone vastaanottaa paketin reitittimeltä ja prosessi toistuu
Koska NAT-reitittimessä on nyt tietokoneen lähdeosoite ja lähdeportti tallennettuna sen käännöstaulukkoon, se jatkaa saman porttinumeron käyttöä myöhemmissä yhteyksissä. Joka kerta, kun reititin käyttää merkintää käännöstaulukossa, tämän merkinnän elinikäinen ajastin nollataan. Jos merkintää ei käytetä ennen ajastimen umpeutumista, se poistetaan taulukosta

Reitittimen tukemien samanaikaisten lähetysten määrä määräytyy ensisijaisesti DRAM-muistin (Dynamic Random Access Memory) mukaan. Koska tyypillinen käännöstaulukkomerkintä on noin 160 tavua, reititin, jossa on 4 Mt RAM-muistia, voi teoriassa käsitellä 26 214 samanaikaista yhteyttä, mikä on enemmän kuin tarpeeksi useimmille sovelluksille.

Turvallisuus ja hallinto

Dynaamisen NAT:n käyttöönotto luo automaattisesti palomuurin sisäisen verkkosi ja ulkoisten verkkojen tai Internetin välille. Dynaaminen NAT sallii vain yhteydet, jotka ovat peräisin paikallisesta verkosta. Pohjimmiltaan tämä tarkoittaa, että ulkoisessa verkossa oleva tietokone ei voi muodostaa yhteyttä tietokoneeseesi, ellei tietokone ole aloittanut yhteyttä. Tällä tavalla voit surffata Internetissä ja muodostaa yhteyden sivustoon ja jopa ladata tiedoston. Mutta kukaan ei voi enää vain napata IP-osoitettasi ja käyttää sitä yhteyden muodostamiseen tietokoneesi porttiin.

Staattinen NAT, jota kutsutaan myös saapuvaksi mappaukseksi, sallii ulkoisten laitteiden käynnistämät yhteydet lähiverkon tietokoneisiin tietyissä olosuhteissa. Voit esimerkiksi kartoittaa sisäisen globaalin osoitteen tiettyyn sisäiseen paikalliseen osoitteeseen, joka on määritetty Web-palvelimellesi.

Staattinen NAT sallii LAN-tietokoneen säilyttää tietyn osoitteen kommunikoidessaan verkon ulkopuolisten laitteiden kanssa:

Jotkut NAT-reitittimet tarjoavat laajan suodatuksen ja liikenteen kirjaamisen. Suodattamisen avulla yrityksesi voi hallita, millä Internet-sivustoilla työntekijät vierailevat, mikä estää heitä katsomasta kyseenalaista materiaalia. Liikenteen kirjaamisen avulla voit luoda lokin, millä sivustoilla on vieraillut, ja luoda sen perusteella erilaisia raportteja.

Joskus Network Address Translation sekoitetaan välityspalvelimiin, joissa on tiettyjä eroja. NAT on läpinäkyvä lähde- ja kohdetietokoneille. Kukaan heistä ei tiedä, että kyseessä on kolmas laite. Mutta välityspalvelin ei ole läpinäkyvä. Lähdetietokone tietää, että tämä lähettää pyynnön välityspalvelimelle. Kohdetietokone luulee, että välityspalvelin on lähdetietokone ja käsittelee sitä suoraan. Lisäksi välityspalvelimet toimivat tyypillisesti OSI-mallin Layer 4:ssä (Transport) tai uudemmassa, kun taas NAT on Layer 3 (Network) protokolla. Korkeammilla tasoilla toimiminen tekee välityspalvelimista hitaampia kuin NAT-laitteet useimmissa tapauksissa.

NAT:n todellinen hyöty näkyy verkonhallinnassa. Voit esimerkiksi siirtää Web- tai FTP-palvelimesi toiseen tietokoneeseen murehtimatta katkeavista yhteyksistä. Muuta vain syötteen kartoitus uuteen sisäiseen paikalliseen osoitteeseen reitittimessä vastaamaan uutta isäntäkonetta. Voit myös tehdä muutoksia sisäiseen verkkoosi, koska mikä tahansa ulkoisista IP-osoitteistasi kuuluu joko reitittimeen tai globaalien osoitteiden joukkoon.

Tietokone muodostaa yhteyden maailmanlaajuiseen verkkoon useilla tavoilla. Tämä voi olla suora yhteys, jolloin on olemassa ulkoinen IP-osoite (dynaaminen tai staattinen), joka näkyy Internetistä. Tai yhteys voidaan tehdä reitittimen kautta. Tällä yhteydellä vain reitittimellä on ulkoinen osoite, ja kaikki siihen yhdistetyt käyttäjät ovat toisen verkon asiakkaita. Reititin ottaa vastuulleen saapuvan ja lähtevän liikenteen jakamisen asiakkaiden ja Internetin välillä. Useita ongelmia syntyy, kun muodostat yhteyden reitittimen kautta:

torrent-asiakkaat lakkaavat toimimasta;
online-pelipalvelimeen ei voi muodostaa yhteyttä;
sisäiseen verkkopalvelimeen ei soiteta ulkopuolelta millään protokollalla tai portilla.

Reitittimen, eli siinä olevan NAT-palvelun, määrittäminen oikein auttaa ratkaisemaan ongelman. Ymmärtääkseen kuinka määrittää NAT reitittimessä, sinun on tiedettävä, mikä osoitekäännös on ja mihin sitä käytetään.

NAT: Yleiset määritelmät

NAT (verkko-osoitteiden käännös) tai verkko-osoitteiden käännös on prosessi, jossa sisäiset tai paikalliset osoitteet muunnetaan ulkoisiksi. NAT:ta käyttävät ehdottomasti kaikki reitittimet niiden kokoonpanosta, tarkoituksesta ja hinnasta riippumatta. Oletuksena reititin estää suoran pääsyn mihin tahansa verkossa sijaitsevaan laitteeseen. Se estää pääsyn kaikkiin portteihin Internetistä tuleville yhteyksille.

Mutta NAT ja palomuuri ovat kaksi eri käsitettä. Palomuuri yksinkertaisesti estää pääsyn resurssiin tietyssä TCP- tai UDP-portissa. Se voidaan asentaa paikalliseen koneeseen rajoittamaan pääsyä vain siihen tai palvelimeen suodattamaan liikennettä koko paikallisverkossa. NAT:lla on edessään kattavampi tehtävä. Palvelu estää tai sallii pääsyn verkon sisällä tiettyyn IP-osoitteeseen tai osoitealueeseen. Näin ollen asiakas, joka käyttää resurssia, ei näe resurssin todellista IP-osoitetta. NAT muuttaa sisäisen IP-osoitteen osoitteeksi, joka näkyy Internetistä.

Voit tarkistaa, onko tietokone NAT:n takana vai lähettääkö oikea osoite Internetiin, toimimalla seuraavasti:

Windowsissa sinun on napsautettava "Käynnistä - Suorita - cmd" ja kirjoitettava ipconfig ja paina "Enter";
Linuxissa ja MacOS:ssä se suoritetaan terminaalissa ifconfig.

Komennon tulos näyttää seuraavaa:

IP- todellinen, voimassa oleva tietokoneosoite;
Aliverkon maski- aliverkon peite;
Gateway- reitittimen yhdyskäytävän osoite.

Kuinka voimme nyt määrittää, onko osoite paikallinen vai "näyttääkö" suoraan Internetistä? Eritelmän mukaan on neljä osoitealuetta, joita ei missään olosuhteissa käytetä Internetissä, mutta jotka ovat yksinomaan paikallisia:

0.0.0 - 10.255.255.255
X.0.0 - 172.X.255.255, jossa X on välillä 16 - 31.
168.0.0 - 192.168.255.255
254.0.0 - 169.254.255.255

Jos koneen osoite osuu jollekin näistä alueista, on oletettava, että tietokone on paikallisessa verkossa tai NAT:n "takana". Voit myös käyttää erityispalveluita, joita Internetissä on monia, todellisen IP-osoitteen määrittämiseen. Nyt on käynyt selväksi, onko tietokone takana Mikä on NAT reitittimessä? palvelusta, ja hän on siitä vastuussa.

NAT-ongelmat ja ratkaisut

NAT:n käyttöönoton jälkeen ongelmia alkoi ilmetä välittömästi. Pääsy oli mahdotonta erillisellä protokollalla tai erillisten ohjelmien toiminnassa. Nämä ongelmat eivät koskaan täysin poistuneet, mutta vain osoitteiden käännöksillä onnistuttiin löytämään ratkaisuja, mutta yksikään ratkaisu ei ole oikea hallinnon spesifikaatioiden näkökulmasta.

Esimerkkinä kannattaa harkita FTP (File Transfer Protocol) -protokollaa, joka oli yleisin protokolla ennen NAT:n tuloa. Tiedostopalvelimissa (FTP) avain on pääsypyynnön lähettävän tietokoneen todellinen IP-osoite. Tässä osoitteenkäännös ei toimi, koska pyyntö palvelimelle lähetetään IP-osoitteesta, joka ei näy Internetistä. Ei ole mahdollista luoda asiakas-palvelin-istuntoa tiedostojen lataamiseksi. FTP:n käyttäminen passiivisessa tilassa auttaa kiertämään ongelman. Tässä tilassa käytetään erilaista komentosarjaa, ja työ suoritetaan erityisen välityspalvelimen kautta, joka lisäksi avaa toisen portin yhteyteen ja siirtää sen ohjelmaan asiakkaalle. Tämän ratkaisun ongelmana on, että on käytettävä kolmannen osapuolen FTP-asiakkaita.

Pääsyongelmasta oli mahdollista päästä kokonaan eroon vain SOCKS (Socket Secure) -protokollan myötä. Tämän protokollan avulla voit vaihtaa tietoja välityspalvelimen kautta "läpinäkyvässä" tilassa. Toisin sanoen palvelin ei tiedä, että osoitteita korvataan paikallisista globaaleihin ja päinvastoin. SOCKSin keksintö mahdollisti useiden ongelmien eroon ja yksinkertaisti verkonhallinnan työtä:

luo palvelimelle palvelun, joka kuuntelee saapuvia pyyntöjä, jonka avulla voit palvella moniyhteysprotokollia, kuten FTP;
DNS-palvelua ei tarvitse käyttää ja ylläpitää paikallisessa verkossa. Nyt tämä tehtävä on määritetty välimuistipalvelimille;
lisävaltuutusmenetelmät mahdollistavat tehokkaamman pakettien seurannan ja suodatuksen. NAT:n avulla voit suodattaa pyyntöjä vain osoitteiden mukaan.

NAT:n ja SOCKS:n käyttö ei aina ole perusteltua verkonhallinnan näkökulmasta. Joskus on tarkoituksenmukaisempaa käyttää erikoistuneita välityspalvelimia, joita on monia mille tahansa tiedonsiirtoprotokollalle.

NAT:n asettaminen tietokoneeseen

Kaikissa nykyaikaisissa käyttöjärjestelmissä on sisäänrakennettu NAT. Windowsissa tämä toiminto on otettu käyttöön vuodesta 1999 lähtien Windows XP:n myötä. NAT:ia hallitaan suoraan verkkoyhteyden ominaisuuksien kautta. Palvelun määrittämiseksi sinun on tehtävä seuraavat:

Käynnistä Käynnistä-valikosta Ohjauspaneeli-ohjelma.
Etsi "Verkkoyhteydet" -kuvake ja käynnistä se.
Napsauta uudessa ikkunassa hiiren kakkospainikkeella aktiivista verkkoyhteyttä ja valitse "Ominaisuudet" avattavasta luettelosta.
Siirry Lisäasetukset-välilehteen.
Valitse Salli muiden verkon käyttäjien käyttää tämän tietokoneen Internet-yhteyttä -valintaruutu.
Vahvista muutos "Ok"-painikkeella.

Jos saat viestin, että julkisen käyttöoikeuden käynnistäminen on mahdotonta, sinun on varmistettava, että DHCP-asiakaspalvelu on käynnissä. Tarvittaessa voit asettaa palvelun käynnistymään väkisin eikä automaattisesti pyydettäessä.

NAT:n asettaminen reitittimeen

Mikä on NAT reitittimessä, sen käytön toteutettavuus ja sen aiheuttamat ongelmat kuvattiin yllä, nyt voit siirtyä suoraan tehtävän toteuttamiseen. Palvelun määrittäminen reitittimeen riippuu sen mallista, käytetystä laiteohjelmistosta ja muista parametreista. Mutta mekanismin ymmärtäminen riittää, jotta erillisen laitteen asettamisesta ei ole vaikeuksia tai kysymyksiä. Määritä suorittamalla seuraavat vaiheet (esimerkiksi asetukset suoritetaan Zyxel-reitittimessä laiteohjelmiston v1:ssä):

Siirry selaimessasi reitittimen asetussivulle.
Siirry "Verkko - Reititys" -valikosta "Käytännön reititys" -välilehteen.

Avautuva sivu hallitsee pääsykäytäntöjä ja reititystä. Täällä sinun on otettava palvelu käyttöön aktivoimalla kytkin "Ota käyttöön". Itse asetukset tehdään "Criteria"-ryhmässä. NAT-parametrit valitaan useiden suodatinkategorioiden mukaan:

Käyttäjä - lähetys tietylle käyttäjälle.
Saapuva - verkkoliitännän kautta.
Lähdeosoite - osoitteen korvaaminen lähdeosoitteella.
Kohdeosoite - lopullisen vastaanottajan osoitteessa
Palvelu - tietyssä palveluportissa.

Voit valita seuraavat vaihtoehdot uudelleenohjausobjektiksi:

Auto - automaattinen kohdeobjektin valinta. Wan-liitäntä on asennettu oletusarvoisesti.
Yhdyskäytävä - yhdyskäytävä on määritetty etukäteen asetuksissa.
VPN Tunel - vastaavasti VPN-tunnelin kautta.
Runko - joukko rajapintoja, jotka on määritetty toimimaan yhdessä.
Käyttöliittymä - valittava erityinen käyttöliittymä.

Jokaisessa yksittäisessä reitittimessä asetukset ja valikkokohtien nimet voivat vaihdella, mutta NAT:n muodostamisen periaate pysyy ennallaan.

Jos luet tätä asiakirjaa, olet todennäköisesti yhteydessä Internetiin ja käytät verkko-osoitteen käännöstä ( Verkko-osoitteiden käännös, NAT) juuri nyt! Internetistä on tullut niin paljon suurempi kuin kukaan olisi voinut kuvitella. Vaikka tarkkaa kokoa ei tiedetä, tämänhetkinen arvio on noin 100 miljoonaa isäntäkonetta ja yli 350 miljoonaa Internetissä aktiivista käyttäjää. Itse asiassa kasvuvauhti on sellainen, että Internet kaksinkertaistuu joka vuosi. Jotta tietokone voisi olla yhteydessä muihin Internetin tietokoneisiin ja Web-palvelimiin, sillä on oltava IP-osoite. IP-osoite (IP tulee sanoista Internet Protocol) on ainutlaatuinen 32-bittinen numero, joka tunnistaa tietokoneesi sijainnin verkossa. Pohjimmiltaan se toimii aivan kuten katuosoitteesi: tapa selvittää tarkalleen missä olet ja toimittaa tietoja sinulle. Teoriassa sinulla voi olla 4 294 967 296 yksilöllistä osoitetta (2^32). Todellinen käytettävissä olevien osoitteiden määrä on pienempi (jossain 3,2-3,3 miljardia) johtuen tavasta, jolla osoitteet on jaettu luokkiin, ja tarve varata osa osoitteista monilähetystä, testausta tai muita erityistarpeita varten. Koti- ja yritysverkkojen lisääntyessä käytettävissä olevien IP-osoitteiden määrä ei enää riitä. Ilmeinen ratkaisu on suunnitella uudelleen osoitemuoto, jotta siihen mahtuu enemmän mahdollisia osoitteita. IPv6-protokollaa siis kehitetään, mutta tämä kehitys kestää useita vuosia, koska se vaatii koko Internet-infrastruktuurin muokkaamista.

Tässä NAT tulee apuumme. Pohjimmiltaan verkko-osoitteiden kääntäminen sallii yhden laitteen, kuten reitittimen, toimia agenttina Internetin (tai "julkisen verkon") ja paikallisen (tai "yksityisen") verkon välillä. Tämä tarkoittaa, että tarvitaan vain yksi yksilöllinen IP-osoite, jotta koko tietokoneryhmä voidaan paljastaa millekään verkon ulkopuoliselle. IP-osoitteiden puute on vain yksi syy käyttää NAT:ia. Kaksi muuta hyvää syytä ovat turvallisuus ja hallinto.

Opit kuinka voit hyötyä NAT:sta, mutta ensin tarkastellaan NATia tarkemmin ja katsotaan, mitä se voi tehdä.

Naamioitua

Staattinen NAT- Rekisteröimättömän IP-osoitteen yhdistäminen rekisteröidyksi IP-osoitteeksi yksitellen. Erityisen hyödyllinen, kun laitteeseen on päästävä verkon ulkopuolelta.

Staattisessa NAT:ssa tietokone, jonka osoite on 192.168.32.10, käännetään aina osoitteeseen 213.18.123.110:

Dynaamisessa NAT:ssa tietokone, jonka osoite on 192.168.32.10, käännetään ensimmäiseksi saatavilla olevaksi osoitteeksi välillä 213.18.123.100 - 213.18.123.150

Ylikuormitettuna jokainen yksityisen verkon tietokone käännetään samaan osoitteeseen (213.18.123.100), mutta eri porttinumerolla

Sisäinen verkko on yleensä LAN (Local Area Network), jota useimmiten kutsutaan tynkäverkkotunnukseksi. Kantaverkkoalue on lähiverkko, joka käyttää sisäisiä IP-osoitteita. Suurin osa verkkoliikenteestä tällaisessa toimialueessa on paikallista eikä poistu sisäisestä verkosta. Verkkotunnus voi sisältää sekä rekisteröityjä että rekisteröimättömiä IP-osoitteita. Tietenkin kaikkien tietokoneiden, jotka käyttävät rekisteröimättömiä IP-osoitteita, on käytettävä NAT-yhteyttä kommunikoidakseen muun maailman kanssa.

Lähdeosoite - lähdetietokoneen IP-osoite, esimerkiksi 201.3.83.132.
Lähdeportti - TCP- tai UDP-portin numero, jonka lähdetietokone on määrittänyt tälle paketille, esimerkiksi portti 1080.
Kohdeosoite - vastaanottimen tietokoneen IP-osoite. Esimerkiksi 145.51.18.223.
Kohdeportti - TCP- tai UDP-portin numero, joka pyytää lähdetietokonetta avaamaan sovelluksen, esimerkiksi portti 3021.

Esimerkkejä dynaamisesta NAT:sta ja NAT:ista ylikuormituksella

Alla on kuinka dynaaminen NAT toimii.

Sisäinen määritettiin IP-osoitteilla, joita IANA (Internet Assigned Numbers Authority), IP-osoitteita jakavan maailmanlaajuinen toimisto, ei ole erityisesti osoittanut tälle yritykselle. Tällaisia osoitteita tulisi pitää ei-reititettävinä, koska ne eivät ole ainutlaatuisia. Nämä ovat sisäisiä paikallisosoitteita.
yritys asentaa NAT-reitittimen. Reitittimellä on joukko ainutlaatuisia IP-osoitteita, jotka on myönnetty yritykselle. Nämä ovat sisäisiä globaaleja osoitteita.
lähiverkon tietokone yrittää muodostaa yhteyden verkon ulkopuoliseen tietokoneeseen, kuten Web-palvelimeen.
Reititin vastaanottaa paketin lähiverkon tietokoneelta.
Tarkastettuaan reititystaulukon ja käännösprosessin, reititin tallentaa ei-reititettävän tietokoneen osoitteen osoitteenkäännöstaulukkoon. Reititin korvaa lähettävän tietokoneen ei-reitittävän osoitteen ensimmäisellä saatavilla olevalla IP-osoitteella yksilöllisten osoitteiden alueella. Käännöstaulukossa on nyt näyttö tietokoneen ei-reititettävästä IP-osoitteesta, joka vastaa yhtä yksilöllisistä IP-osoitteista.
Kun paketti palaa kohdetietokoneelta, reititin tarkistaa paketissa olevan kohdeosoitteen. Sitten se tarkastelee osoitteenkäännöstaulukkoa löytääkseen, mille toimialueen tietokoneelle paketti kuuluu. Se muuttaa vastaanottajan osoitteeksi aiemmin käännöstaulukkoon tallennetun osoitteen ja lähettää paketin haluttuun tietokoneeseen. Jos reititin ei löydä vastaavuutta taulukosta, se hylkää paketin.
Tietokone vastaanottaa paketin reitittimeltä ja koko prosessi toistuu, kun tietokone kommunikoi ulkoisen järjestelmän kanssa.

Katsotaan seuraavaksi, miten ylikuormitus toimii

Sisäinen verkko muodostettiin reitittämättömillä IP-osoitteilla, joita ei ollut nimenomaisesti allokoitu yritykselle
yritys asentaa NAT-reitittimen. Reitittimellä on ainutlaatuinen IP-osoite, jonka IANA on myöntänyt
Toimialueen tietokone yrittää muodostaa yhteyden verkon ulkopuoliseen tietokoneeseen, kuten Web-palvelimeen.
Reititin vastaanottaa paketin toimialueen tietokoneelta.
Reitityksen ja paketin käännöksen suorittamisen jälkeen reititin tallentaa tietokoneen ei-reitittävän IP-osoitteen ja portin numeron käännöstaulukkoon. Reititin korvaa lähettävän tietokoneen ei-reitittävän IP-osoitteen reitittimen IP-osoitteella. Reititin korvaa lähettäjän tietokoneen lähdeportin jollain satunnaisella porttinumerolla ja tallentaa sen kyseisen lähettäjän osoitteenkäännöstaulukkoon. Käännöstaulukossa näkyy tietokoneen ei-reititettävä IP-osoite ja portin numero sekä reitittimen IP-osoite.
Kun paketti palaa kohteesta, reititin tarkistaa paketin kohdeportin. Sen jälkeen se etsii käännöstaulukosta, mikä toimialueen tietokone omistaa paketin. Seuraavaksi reititin muuttaa vastaanottimen osoitteen ja vastaanotinportin arvoihin, jotka oli aiemmin tallennettu käännöstaulukkoon ja lähettää paketin loppusolmuun.
tietokone vastaanottaa paketin reitittimeltä ja prosessi toistuu
Koska NAT-reitittimessä on nyt tietokoneen lähdeosoite ja lähdeportti tallennettuna sen käännöstaulukkoon, se jatkaa saman porttinumeron käyttöä myöhemmissä yhteyksissä. Joka kerta, kun reititin käyttää merkintää käännöstaulukossa, tämän merkinnän elinikäinen ajastin nollataan. Jos merkintää ei käytetä ennen ajastimen umpeutumista, se poistetaan taulukosta

Turvallisuus ja hallinto

Staattinen NAT sallii LAN-tietokoneen säilyttää tietyn osoitteen kommunikoidessaan verkon ulkopuolisten laitteiden kanssa:

2 32 tai 4 294 967 296 IPv4 onko siinä paljon osoitteita? Näyttää siltä. Henkilökohtaisten tietojenkäsittelyn, mobiililaitteiden ja Internetin nopean kasvun myötä kävi kuitenkin pian selväksi, että 4,3 miljardia IPv4-osoitetta ei riittäisi. Pitkän aikavälin ratkaisu oli IPv6, mutta tarvittiin nopeampi ratkaisu osoitepuutteen ratkaisemiseksi. Ja tämä päätös tuli NAT (verkko-osoitteen käännös).

Mikä on NAT

Verkot suunnitellaan yleensä käyttämällä yksityisiä IP-osoitteita. Nämä ovat osoitteet 10.0.0.0/8, 172.16.0.0/12 Ja 192.168.0.0/16 . Näitä yksityisiä osoitteita käytetään organisaatiossa tai sivustossa, jotta laitteet voivat viestiä paikallisesti, eikä niitä reititetä Internetin kautta. Jotta laite, jolla on yksityinen IPv4-osoite, voi käyttää laitteita ja resursseja paikallisverkon ulkopuolella, yksityinen osoite on ensin käännettävä julkiseksi osoitteeksi.

Ja se on vain NAT, joka muuntaa yksityiset osoitteet julkisiksi. Tämä mahdollistaa laitteen, jolla on yksityinen IPv4-osoite, käyttää yksityisen verkkonsa ulkopuolisia resursseja. NAT yhdistettynä yksityisiin IPv4-osoitteisiin on osoittautunut hyödylliseksi menetelmäksi julkisten IPv4-osoitteiden tallentamiseen. Yhtä julkista IPv4-osoitetta voivat käyttää sadat, jopa tuhannet laitteet, joista jokaisella on yksityinen IPv4-osoite. NAT:lla on lisäetuna, että se lisää verkkoon yksityisyyttä ja turvallisuutta, koska se piilottaa sisäiset IPv4-osoitteet ulkoisilta verkoilta.

NAT-yhteensopiviin reitittimiin voidaan määrittää yksi tai useampi kelvollinen julkinen IPv4-osoite. Näitä julkisia osoitteita kutsutaan NAT-varastoiksi. Kun sisäisessä verkossa oleva laite lähettää liikennettä verkosta ulkopuolelle, NAT-yhteensopiva reititin muuntaa laitteen sisäisen IPv4-osoitteen julkiseksi osoitteeksi NAT-varannosta. Ulkoisille laitteille kaikella verkkoon tulevalla ja sieltä lähtevällä liikenteellä näyttää olevan julkinen IPv4-osoite.

NAT-reititin toimii yleensä rajalla Tynkä- verkot Kantaverkko on tynkäverkko, jolla on yksi yhteys naapuriverkkoon, yksi sisääntulo ja poistuminen verkosta.

Kun Stub-verkon sisällä oleva laite haluaa kommunikoida verkkonsa ulkopuolisen laitteen kanssa, paketti välitetään rajareitittimelle ja se suorittaa NAT-prosessin kääntäen laitteen sisäisen yksityisen osoitteen julkiseksi, ulkoiseksi, reititettäväksi osoitteeksi.

NAT-terminologia

NAT-terminologiassa sisäinen verkko on joukko käännettyjä verkkoja. Ulkoinen verkko viittaa kaikkiin muihin verkkoihin.

NAT:ia käytettäessä IPv4-osoitteilla on eri nimitykset sen mukaan, ovatko ne yksityisessä verkossa vai julkisessa verkossa (Internet) ja onko liikenne saapuvaa vai lähtevää.

NAT sisältää neljä tyyppistä osoitetta:

Paikallinen osoite;
Sisäinen globaali osoite;
Paikallisen osoitteen ulkopuolella;
Ulkopuolinen globaali osoite;

Kun määritetään, minkä tyyppistä osoitetta käytetään, on tärkeää muistaa, että NAT-terminologiaa käytetään aina laitteen suhteen, jolla on käännetty osoite:

Sisäinen osoite- NAT:n kääntämän laitteen osoite;
Ulkoinen osoite- kohdelaitteen osoite;
Paikallinen osoite- tämä on mikä tahansa osoite, joka näkyy verkon sisäisessä osassa;
Globaali osoite- tämä on mikä tahansa osoite, joka näkyy verkon ulkoisessa osassa;

Tarkastellaan tätä esimerkkikaavion avulla.

Kuvassa PC:ssä on sisäinen paikallinen ( Sisällä paikallinen) osoite on 192.168.1.5 ja sen näkökulmasta web-palvelimella on ulkoinen ( ulkopuolella) osoite 208.141.17.4. Kun paketteja lähetetään tietokoneelta verkkopalvelimen globaaliin osoitteeseen, sisäinen paikallinen ( Sisällä paikallinen) PC-osoite on käännetty muotoon 208.141.16.5 ( globaalin sisällä). Ulkoisen laitteen osoitetta ei yleensä käännetä, koska se on julkinen IPv4-osoite.

On syytä huomata, että tietokoneella on erilaiset paikalliset ja globaalit osoitteet, kun taas web-palvelimella on sama julkinen IP-osoite. Hänen näkökulmastaan PC:ltä lähtevä liikenne tulee sisäisestä globaalista osoitteesta 208.141.16.5. NAT-reititin on rajapiste sisäisten ja ulkoisten verkkojen sekä paikallisten ja globaalien osoitteiden välillä.

Ehdot sisällä Ja ulkopuolella, yhdistettynä termeihin paikallinen Ja maailmanlaajuisesti linkittääksesi tiettyihin osoitteisiin. Kuvassa reititin on määritetty tarjoamaan NAT ja sillä on joukko julkisia osoitteita, jotka määritetään sisäisille isännille.

Kuvassa näkyy, kuinka liikenne lähetetään sisäisestä PC:stä ulkoiseen web-palvelimeen NAT-yhteensopivan reitittimen kautta ja välitetään ja välitetään päinvastaiseen suuntaan.

Sisäinen paikallinen osoite ( Paikallinen osoite) - lähdeosoite, joka näkyy sisäisestä verkosta. Kuvassa osoite 192.168.1.5 on määritetty tietokoneelle - tämä on sen sisäinen paikallinen osoite.

Sisäinen globaali osoite ( Sisäinen globaali osoite) - ulkoisesta verkosta näkyvä lähdeosoite. Kuvassa, kun liikenne PC:ltä lähetetään verkkopalvelimelle numerolla 208.141.17.4, reititin kääntää sisäisen paikallisen osoitteen ( Paikallinen osoite) sisäiseen globaaliin osoitteeseen ( Sisäinen globaali osoite). Tässä tapauksessa reititin muuttaa IPv4-lähdeosoitteen 192.168.1.5:stä 208.141.16.5:een.

Ulkoinen yleinen osoite ( Ulkopuolinen globaali osoite) - vastaanottajan osoite, joka näkyy ulkoisesta verkosta. Tämä on maailmanlaajuisesti reititettävissä oleva IPv4-osoite, joka on määritetty Internetissä olevalle isännälle. Kaaviossa web-palvelin on saatavilla numerosta 208.141.17.4. Useimmiten ulkoiset paikalliset ja ulkoiset globaalit osoitteet ovat samat.

Ulkoinen paikallinen osoite ( Paikallisen osoitteen ulkopuolella) - sisäverkosta näkyvä vastaanottajan osoite. Tässä esimerkissä tietokone lähettää liikennettä verkkopalvelimelle numeroon 208.141.17.4

Tarkastellaanpa paketin koko polkua. Tietokone, jonka osoite on 192.168.1.5, yrittää olla yhteydessä verkkopalvelimeen 208.141.17.4. Kun paketti saapuu NAT-yhteensopivaan reitittimeen, se lukee paketin IPv4-kohdeosoitteen määrittääkseen, täyttääkö paketti käännösehdot. Tässä esimerkissä lähdeosoite täyttää ehdot ja on käännetty 192.168.1.5 ( Paikallinen osoite) klo 208.141.16.5. ( Sisäinen globaali osoite). Reititin lisää tämän paikallisen ja globaalin osoitekartoituksen NAT-taulukkoon ja lähettää käännetyn lähdeosoitteen sisältävän paketin määränpäähän. Web-palvelin vastaa paketilla, joka on osoitettu tietokoneen sisäiseen globaaliin osoitteeseen (208.141.16.5). Reititin vastaanottaa paketin, jonka kohdeosoite on 208.141.16.5, ja tarkistaa NAT-taulukon, josta se löytää merkinnän tätä kartoitusta varten. Se käyttää näitä tietoja ja kääntää sisäisen globaalin osoitteen (208.141.16.5) takaisin sisäiseksi paikalliseksi osoitteeksi (192.168.1.5) ja paketti välitetään PC:lle.

NAT-tyypit

NAT-käännöksiä on kolmenlaisia:

Staattinen osoitteen käännös (staattinen NAT)- yksi yhteen osoitteen kartoitus paikallisten ja globaalien osoitteiden välillä;
Dynaaminen osoitteiden käännös (dynaaminen NAT)- monista moneen -osoitekartoitus paikallisten ja globaalien osoitteiden välillä;
Porttiosoitteen käännös (NAT)- Multicast-osoitekartoitus paikallisten ja globaalien osoitteiden välillä porttien avulla. Tämä menetelmä tunnetaan myös nimellä NAT ylikuormitus;

Staattinen NAT käyttää paikallisten ja globaalien osoitteiden yksi-yhteen kartoittamista. Verkon ylläpitäjä määrittää nämä kartoitukset, ja ne pysyvät pysyvinä. Kun laitteet lähettävät liikennettä Internetiin, niiden sisäiset paikalliset osoitteet käännetään määritetyiksi sisäisiksi globaaleiksi osoitteiksi. Ulkoisia verkkoja varten näillä laitteilla on julkiset IPv4-osoitteet. Staattinen NAT on erityisen hyödyllinen verkkopalvelimille tai laitteille, joilla on oltava yhtenäinen osoite, joka on käytettävissä Internetistä, kuten yrityksen web-palvelin. Staattinen NAT vaatii riittävän määrän julkisia osoitteita tyydyttääkseen samanaikaisten käyttäjäistuntojen kokonaismäärän.

Staattinen NAT-taulukko näyttää tältä:

Dynaaminen NAT käyttää joukkoa julkisia osoitteita ja määrittää ne saapumisjärjestyksessä. Kun sisäinen laite pyytää pääsyä ulkoiseen verkkoon, dynaaminen NAT määrittää käytettävissä olevan julkisen IPv4-osoitteen poolista. Kuten staattinen NAT, dynaaminen NAT vaatii riittävän määrän julkisia osoitteita tyydyttääkseen samanaikaisten käyttäjäistuntojen kokonaismäärän.

Dynaaminen NAT-taulukko näyttää tältä:

Portin osoitteen käännös (PAT)

PAT lähettää useita yksityisiä osoitteita yhteen tai useampaan julkiseen osoitteeseen. Näin tekevät useimmat kotireitittimet. Internet-palveluntarjoaja määrittää reitittimelle yhden osoitteen, mutta useat perheenjäsenet voivat käyttää Internetiä samanaikaisesti. Tämä on yleisin NAT-muoto.

PAT:n avulla voidaan yhdistää useita osoitteita yhteen tai useampaan osoitteeseen, koska jokaista yksityistä osoitetta seuraa myös porttinumero. Kun laite aloittaa istunnon TCP/IP, se luo lähdeportin arvon TCP tai UDP tunnistaaksesi istunnon yksilöllisesti. Kun NAT-reititin vastaanottaa paketin asiakkaalta, se käyttää lähdeporttinumeroaan yksilöimään tietyn NAT-käännöksen. PAT varmistaa, että laitteet käyttävät eri TCP-porttinumeroa jokaisessa istunnossa. Kun vastaus palautetaan palvelimelta, lähdeportin numero, josta tulee paluupolun kohdeportin numero, määrittää, mihin laitteeseen reititin välittää paketit.

Kuva havainnollistaa PAT-prosessia. PAT lisää yksilölliset lähdeporttinumerot sisäiseen globaaliin osoitteeseen erottaakseen käännökset.

Kun reititin käsittelee jokaista pakettia, se käyttää portin numeroa (tässä esimerkissä 1331 ja 1555) tunnistaakseen laitteen, josta paketti on peräisin.

Lähdeosoite ( Lähteen osoite) on sisäinen paikallinen osoite, johon on liitetty TCP/IP:n määrittämä porttinumero. Kohdeosoite ( Kohdeosoite) on ulkoinen paikallinen osoite, johon on liitetty palveluportin numero. Tässä esimerkissä palveluportti on 80: HTTP.

Lähdeosoitteen osalta reititin kääntää sisäisen paikallisen osoitteen sisäiseksi globaaliksi osoitteeksi, johon on liitetty porttinumero. Kohdeosoite ei muutu, mutta sitä kutsutaan nyt ulkoiseksi globaaliksi IP-osoitteeksi. Kun verkkopalvelin vastaa, polku käännetään.

Tässä esimerkissä asiakkaan porttinumeroita 1331 ja 1555 ei muutettu NAT-reitittimessä. Tämä ei ole kovin todennäköinen skenaario, koska on hyvä mahdollisuus, että nämä porttinumerot on jo liitetty muihin aktiivisiin istuntoihin. PAT yrittää säilyttää alkuperäisen lähdeportin. Jos alkuperäinen lähdeportti on kuitenkin jo käytössä, PAT määrittää ensimmäisen vapaan portin numeron alkaen vastaavan porttiryhmän alusta. 0-511, 512-1023 tai 1024-65535 . Kun portteja ei ole enää ja osoitepoolissa on useampi kuin yksi ulkoinen osoite, PAT siirtyy seuraavaan osoitteeseen yrittääkseen varata alkuperäisen lähdeportin. Tämä prosessi jatkuu, kunnes käytettävissä ei ole enää portteja tai ulkoisia IP-osoitteita.

Eli jos toinen isäntä voi valita saman portin numeron 1444. Tämä on hyväksyttävää sisäiselle osoitteelle, koska isännillä on yksilölliset yksityiset IP-osoitteet. NAT-reitittimessä porttinumeroita on kuitenkin vaihdettava - muuten kahdelta eri isännältä tulevat paketit jättävät sen samalla lähdeosoitteella. Siksi PAT määrittää seuraavan vapaan portin (1445) toiselle isäntäosoitteelle.

Tehdään yhteenveto NAT:n ja PAT:n vertailusta. Kuten taulukoista näkyy, NAT kääntää IPv4-osoitteet 1:1-periaatteella yksityisten IPv4-osoitteiden ja julkisten IPv4-osoitteiden välillä. PAT kuitenkin muuttaa sekä itse osoitteen että portin numeron. NAT välittää saapuvat paketit niiden sisäiseen osoitteeseen julkisen verkon isännän antaman saapuvan lähteen IP-osoitteen perusteella, ja PAT:lla on yleensä vain yksi tai hyvin vähän julkisesti paljastettuja IPv4-osoitteita ja saapuvat paketit välitetään reitittimen NAT-taulukon perusteella. .

Entä IPv4-paketit, jotka sisältävät muuta dataa kuin TCP:tä tai UDP:tä? Nämä paketit eivät sisällä Layer 4 -porttinumeroa. PAT kääntää yleisimmät IPv4:n välittämät protokollat, jotka eivät käytä TCP:tä tai UDP:tä siirtokerroksen protokollana. Yleisin näistä on ICMPv4. PAT käsittelee jokaista näistä protokollatyypeistä eri tavalla. Esimerkiksi ICMPv4-pyyntöviestit, kaikupyynnöt ja vastaukset sisältävät pyyntötunnuksen Kyselytunnus. ICMPv4 käyttää kyselytunnusta. tunnistaakseen kaikupyynnön vastaavasta vastauksesta. Pyyntötunnusta kasvatetaan jokaisen lähetetyn pingin yhteydessä. PAT käyttää pyyntötunnusta Layer 4 -porttinumeron sijaan.

NAT:n edut ja haitat

NAT tarjoaa monia etuja, mukaan lukien:

NAT säilyttää rekisteröidyn osoitejärjestelmän, mikä mahdollistaa intranettien yksityistämisen. PAT:n avulla sisäiset isännät voivat jakaa yhden julkisen IPv4-osoitteen kaikkeen ulkoiseen viestintään. Tämän tyyppisessä kokoonpanossa useiden sisäisten isäntien tukemiseen tarvitaan vain vähän ulkoisia osoitteita;
NAT lisää yhteyksien joustavuutta julkiseen verkkoon. Luotettavien julkisten verkkoyhteyksien tarjoamiseksi voidaan toteuttaa useita pooleja, varavarapooleja ja kuormituksen tasapainotuspooleja;

NAT tarjoaa johdonmukaisuuden verkon sisäisille osoitusmenetelmille. Verkossa, joka ei käytä yksityisiä IPv4-osoitteita ja NAT:ia, yleisen IPv4-osoitemallin muuttaminen edellyttää kaikkien olemassa olevan verkon isäntien uudelleenohjausta. Isännän edelleenlähetyksen kustannukset voivat olla merkittäviä. NAT sallii nykyisen yksityisen IPv4-osoitusjärjestelmän säilymisen samalla, kun uusi julkinen osoitemalli on helppo muuttaa. Tämä tarkoittaa, että organisaatio voi vaihtaa palveluntarjoajia, eikä sen tarvitse vaihtaa sisäisiä asiakkaitaan.

NAT tarjoaa verkon suojauksen. Koska yksityiset verkot eivät mainosta osoitteitaan tai sisäistä topologiaa, ne pysyvät melko turvallisina, kun niitä käytetään yhdessä NAT:n kanssa valvotun ulkoisen pääsyn saavuttamiseksi. Sinun on kuitenkin ymmärrettävä, että NAT ei korvaa palomuureja;

Mutta NAT:lla on joitain haittoja. Se, että Internetin isännät näyttävät kommunikoivan suoraan NAT-yhteensopivan laitteen kanssa yksityisen verkon todellisen isännän sijaan, aiheuttaa useita ongelmia:

Yksi NAT:n käytön haitoista liittyy verkon suorituskykyyn, erityisesti reaaliaikaisten protokollien, kuten esim VoIP. NAT lisää kytkentäviiveitä, koska pakettiotsikoiden jokaisen IPv4-osoitteen kääntäminen vie aikaa;
Toinen NAT-käytön haittapuoli on, että päästä päähän -osoite katoaa. Monet Internet-protokollat ja -sovellukset riippuvat päästä päähän -osoitteesta lähteestä kohteeseen. Jotkut sovellukset eivät toimi NAT:n kanssa. Sovellukset, jotka käyttävät fyysisiä osoitteita pätevän toimialueen nimen sijaan, eivät saavuta kohteita, jotka käännetään NAT-reitittimen kautta. Joskus tämä ongelma voidaan välttää toteuttamalla staattiset NAT-kartoitukset;
Myös päästä päähän IPv4-seuranta menetetään. On vaikeampaa jäljittää paketteja, jotka käyvät läpi useita pakettiosoitemuutoksia useiden NAT-hyppyjen aikana, mikä vaikeuttaa vianmääritystä;
NAT:n käyttö haittaa myös tunnelointiprotokollia, kuten IPsec, koska NAT muuttaa otsikoiden arvoja, jotka häiritsevät IPsecin ja muiden tunnelointiprotokollien suorittamia eheystarkastuksia;
Palvelut, jotka edellyttävät TCP-yhteyksien käynnistämistä ulkoisesta verkosta tai tilattomista protokollista, kuten UDP:tä käyttävät, voivat häiriintyä. Jos NAT-reititintä ei ole määritetty tukemaan tällaisia protokollia, saapuvat paketit eivät pääse perille;

Oliko tämä artikkeli sinulle hyödyllinen?

Kerro miksi?

Olemme pahoillamme, että artikkelista ei ollut sinulle hyötyä: (Ole hyvä ja kerro miksi se ei ole vaikeaa? Olemme erittäin kiitollisia yksityiskohtaisesta vastauksesta. Kiitos, että autat meitä tulemaan paremmiksi!