ประเภทการเชื่อมต่อ nat วิธีตั้งค่าการเชื่อมต่อ NAT และ IP แบบคงที่บน PS4 ตัวเลือกการเชื่อมต่อผ่าน NAT

และคุณดูผ่านหน้าของเว็บไซต์ มีโอกาสที่ดีที่คุณกำลังใช้ Network Address Translation (NAT) อยู่ในขณะนี้

ไม่มีใครสามารถคาดการณ์การเติบโตของอินเทอร์เน็ตอย่างที่เราเห็นในปัจจุบันได้ แม้ว่าจะไม่ทราบขนาดที่แน่นอน แต่การประมาณการระบุว่ามีโหนดที่ใช้งานอยู่ประมาณ 100 ล้านโหนดและมีผู้ใช้บนอินเทอร์เน็ตมากกว่า 350 ล้านคน อัตราการเติบโตของอินเทอร์เน็ตมีขนาดเพิ่มขึ้นสองเท่าทุกปี

การแปลที่อยู่เครือข่ายเกี่ยวข้องกับขนาดของอินเทอร์เน็ตอย่างไร ตรงที่สุด! เพื่อให้คอมพิวเตอร์เครื่องนี้สามารถสื่อสารกับคอมพิวเตอร์เครื่องอื่นและเว็บเซิร์ฟเวอร์ผ่านทางอินเทอร์เน็ตได้ คอมพิวเตอร์จะต้องมีที่อยู่ IP ของตัวเอง ที่อยู่ IP (IP ย่อมาจาก Internet Protocol) เป็นหมายเลข 32 บิตที่ไม่ซ้ำกันซึ่งระบุตำแหน่งของคอมพิวเตอร์ที่กำหนดบนเครือข่าย โดยพื้นฐานแล้ว มันจะทำงานเหมือนกับที่อยู่บ้านของคุณ - เป็นวิธีค้นหาตำแหน่งที่แน่นอนของคอมพิวเตอร์ของคุณและส่งข้อมูลให้กับคุณ

ที่อยู่ IP

เมื่อที่อยู่ IP ปรากฏขึ้นครั้งแรก ทุกคนเชื่อว่ามีที่อยู่เพียงพอที่จะสนองความต้องการใดๆ ตามทฤษฎีแล้ว อาจมีที่อยู่ที่ไม่ซ้ำกันทั้งหมด 4,294,967,296 ที่อยู่ (232) จำนวนที่อยู่จริงที่พร้อมใช้งานค่อนข้างต่ำกว่า (ประมาณระหว่าง 3.2 ถึง 3.3 พันล้าน) เนื่องจากวิธีการจัดที่อยู่ออกเป็นคลาสต่างๆ และความจริงที่ว่าที่อยู่บางแห่งถูกสงวนไว้สำหรับมัลติคาสต์ การทดสอบ และความต้องการพิเศษอื่นๆ

ในบริบทของการเติบโตอย่างรวดเร็วของอินเทอร์เน็ต การเติบโตของเครือข่ายในบ้านและองค์กร ที่อยู่ IP ที่มีอยู่ไม่เพียงพอ วิธีแก้ปัญหาที่ชัดเจนคือเปลี่ยนรูปแบบที่อยู่เพื่อให้มีที่อยู่มากขึ้น ระบบดังกล่าวกำลังเปิดตัว (เรียกว่า IPv6) แต่อาจต้องใช้เวลาหลายปีในการดำเนินการเนื่องจากต้องมีการอัพเกรดโครงสร้างอินเทอร์เน็ตทั้งหมด

ระบบ NAT (RFC 1631) มาช่วยแล้ว การแปลที่อยู่เครือข่ายทำให้อุปกรณ์เครื่องเดียว เช่น เราเตอร์ ทำหน้าที่เป็นตัวกลางระหว่างอินเทอร์เน็ต (หรือ "เครือข่ายสาธารณะ") และเครือข่ายท้องถิ่น (หรือ "ส่วนตัว") ซึ่งหมายความว่าจำเป็นต้องมีที่อยู่ IP ที่ไม่ซ้ำกันเพียงที่อยู่เดียวเท่านั้นจึงจะเป็นตัวแทนของคอมพิวเตอร์ทั้งกลุ่มได้

อย่างไรก็ตาม การไม่มีที่อยู่ IP เป็นเพียงเหตุผลหนึ่งว่าทำไมจึงใช้ NAT บทความของเราเน้นถึงข้อดีและคุณสมบัติของระบบนี้ ก่อนอื่น เรามาดูกันดีกว่าว่า NAT คืออะไร และระบบนี้ทำงานอย่างไร...

ระบบ NAT ทำงานอย่างไร

ระบบ NAT ก็เปรียบเสมือนเลขานุการในสำนักงานขนาดใหญ่ สมมติว่าคุณให้คำแนะนำแก่เขาว่าอย่าเชื่อมต่อคุณกับใครก็ตามที่โทรมาจนกว่าคุณจะอนุญาตให้ดำเนินการดังกล่าว หลังจากนั้น คุณโทรหาผู้มีโอกาสเป็นลูกค้าและฝากข้อความไว้เพื่อให้พวกเขาโทรกลับ คุณบอกเลขาว่าคุณคาดหวังว่าจะได้รับโทรศัพท์จากลูกค้า และสั่งให้เขาทำการเชื่อมต่อเมื่อเขาโทรมา

ลูกค้ากดหมายเลขโทรศัพท์หลักของสำนักงานเนื่องจากเป็นหมายเลขเดียวที่เขารู้ ลูกค้าบอกเลขานุการว่าเขาต้องการติดต่อคุณ เลขานุการจะตรวจสอบตารางค้นหาซึ่งจะแสดงชื่อของคุณและหมายเลขต่อโทรศัพท์ของคุณ พนักงานต้อนรับรู้ว่าคุณอนุญาตให้ลูกค้าโทรเข้าได้ ดังนั้นเขาจึงสลับผู้โทรไปที่หมายเลขต่อของคุณ

ระบบการแปลที่อยู่เครือข่าย

ระบบการแปลที่อยู่เครือข่ายที่พัฒนาโดย Cisco ใช้งานโดยอุปกรณ์ (เราเตอร์หรือคอมพิวเตอร์) ที่เชื่อมต่อเครือข่ายภายในกับส่วนอื่นๆ ของโลก การแปลที่อยู่เครือข่ายอาจมีหลายรูปแบบและทำงานได้หลายวิธี:

การแปลที่อยู่เครือข่ายแบบคงที่คือการแปลงที่อยู่ IP ที่ไม่ได้ลงทะเบียนไปเป็นที่อยู่ IP ที่ลงทะเบียนแบบหนึ่งต่อหนึ่ง มีประโยชน์อย่างยิ่งเมื่อคุณต้องการเข้าถึงอุปกรณ์จากนอกเครือข่ายท้องถิ่น
การแปลที่อยู่เครือข่ายแบบไดนามิก - แปลงที่อยู่ IP ที่ไม่ได้ลงทะเบียนเป็นที่อยู่ IP ที่ลงทะเบียนจากกลุ่มที่อยู่ IP ที่ลงทะเบียน
การโอเวอร์โหลดเป็นรูปแบบหนึ่งของการแปลแบบไดนามิกที่แปลงที่อยู่ IP ที่ไม่ได้ลงทะเบียนจำนวนมากให้เป็นที่อยู่ที่ลงทะเบียนเดียวโดยใช้พอร์ตที่แตกต่างกัน ขั้นตอนนี้เรียกอีกอย่างว่า PAT (การแปลที่อยู่พอร์ต), unicast NAT หรือ NAT แบบมัลติเพล็กซ์ที่ระดับพอร์ต
การจับคู่ - เมื่อที่อยู่ที่ใช้ในเครือข่ายของคุณเป็นที่อยู่ IP ที่ลงทะเบียนซึ่งใช้ในเครือข่ายอื่น เราเตอร์จะต้องรักษาตารางการแปลของที่อยู่เหล่านั้น สกัดกั้นที่อยู่เหล่านั้น และแทนที่ด้วยที่อยู่ IP ที่ไม่ซ้ำกันที่ลงทะเบียนไว้ สิ่งสำคัญคือต้องทราบว่าเราเตอร์ NAT จะต้องแปลที่อยู่ "ภายใน" เป็นที่อยู่เฉพาะที่ลงทะเบียน เช่นเดียวกับที่อยู่ที่ลงทะเบียน "ภายนอก" เป็นที่อยู่ที่ไม่ซ้ำกันบนเครือข่ายส่วนตัว การดำเนินการนี้สามารถทำได้โดยใช้การแปลที่อยู่เครือข่ายแบบคงที่ หรือใช้ระบบชื่อโดเมน (DNS) และใช้การแปลที่อยู่เครือข่ายแบบไดนามิก

เครือข่ายภายในมักจะเป็นเครือข่ายท้องถิ่น (LAN) ซึ่งบางครั้งเรียกว่าโดเมนสตับ โดเมน stub คือเครือข่ายท้องถิ่นที่ใช้ที่อยู่ IP การรับส่งข้อมูลเครือข่ายส่วนใหญ่ในโดเมน stub เป็นแบบท้องถิ่นและไม่เกินเครือข่ายภายใน โดเมน stub สามารถมีทั้งที่อยู่ IP ที่ลงทะเบียนและไม่ได้ลงทะเบียน แน่นอนว่าคอมพิวเตอร์ทุกเครื่องที่กำหนดที่อยู่ IP ที่ไม่ได้ลงทะเบียนต้องใช้การแปลที่อยู่เครือข่ายเพื่อสื่อสารกับส่วนอื่นๆ ของโลก

NAT สามารถกำหนดค่าได้หลายวิธี ในตัวอย่างด้านล่าง เราเตอร์ NAT ได้รับการกำหนดค่าให้แปลที่อยู่ IP ที่ไม่ได้ลงทะเบียน (ภายใน, ภายใน) ที่ใช้ในเครือข่ายส่วนตัว (ภายใน) เป็นที่อยู่ IP ที่ลงทะเบียน ขั้นตอนนี้จะดำเนินการทุกครั้งที่อุปกรณ์ที่มีที่อยู่ที่ไม่ได้ลงทะเบียนบนเครือข่ายภายในจำเป็นต้องสื่อสารกับเครือข่ายสาธารณะ (ภายนอก)

ISP ของคุณกำหนดที่อยู่ IP จำนวนหนึ่งให้กับบริษัทของคุณ ที่อยู่ในกลุ่มที่ปักหมุดคือที่อยู่ IP ที่ลงทะเบียนและเรียกว่าที่อยู่ร่วมภายใน ที่อยู่ IP ส่วนตัวที่ไม่ได้ลงทะเบียนจะถูกแบ่งออกเป็นสองกลุ่ม กลุ่มเล็กๆ กลุ่มหนึ่ง (ที่อยู่ในเครื่องภายนอก) ถูกใช้โดยเราเตอร์ NAT กลุ่มที่สองซึ่งใหญ่กว่ามากซึ่งเรียกว่าภายในที่อยู่ในท้องถิ่น ถูกใช้ในโดเมน stub ที่อยู่ภายในเครื่องภายนอกจะใช้เพื่อสร้างที่อยู่ IP เฉพาะสำหรับอุปกรณ์ เรียกว่าที่อยู่ร่วมภายนอก สำหรับการเข้าถึงเครือข่ายสาธารณะ
คอมพิวเตอร์ส่วนใหญ่ในโดเมน stub สื่อสารกันโดยใช้ที่อยู่ในเครื่องภายใน
คอมพิวเตอร์โดเมน stub บางเครื่องมักสื่อสารกับอุปกรณ์นอกเครือข่ายท้องถิ่น คอมพิวเตอร์เหล่านี้มีที่อยู่สากลภายในซึ่งไม่จำเป็นต้องแปล
เมื่อคอมพิวเตอร์โดเมน stub ที่มีที่อยู่ภายในเครื่องจำเป็นต้องสื่อสารกับคอมพิวเตอร์นอกเครือข่ายท้องถิ่น แพ็กเก็ตจะถูกส่งไปยังเราเตอร์ NAT ตัวใดตัวหนึ่ง
เราเตอร์ NAT จะตรวจสอบตารางเส้นทางเพื่อดูว่ามีรายการสำหรับที่อยู่ปลายทางหรือไม่ หากมีรายการดังกล่าว เราเตอร์ NAT จะแปลแพ็กเก็ตและสร้างรายการในตารางการแปลที่อยู่ หากที่อยู่ปลายทางไม่อยู่ในตารางเส้นทาง แพ็กเก็ตจะถูกละเว้น
การใช้ที่อยู่ร่วมภายในเราเตอร์จะส่งแพ็กเก็ตไปยังปลายทาง
คอมพิวเตอร์บนเครือข่ายสาธารณะส่งแพ็กเก็ตไปยังเครือข่ายส่วนตัว ที่อยู่ผู้ส่งของแพ็กเก็ตคือที่อยู่โกลบอลภายนอก ที่อยู่ปลายทางคือที่อยู่สากลภายใน
เราเตอร์ NAT ตรวจสอบตารางการแปลที่อยู่ และกำหนดว่ามีที่อยู่ปลายทางที่สอดคล้องกับคอมพิวเตอร์ในโดเมน stub
เราเตอร์ NAT จะแปลที่อยู่ส่วนกลางของแพ็กเก็ตภายในเป็นที่อยู่ภายในเครื่องและส่งต่อแพ็กเก็ตไปยังคอมพิวเตอร์ที่เหมาะสม

NAT โอเวอร์โหลด

Overload NAT ใช้คุณลักษณะของชุดโปรโตคอล TCP/IP หรือมัลติเพล็กซ์ ซึ่งช่วยให้คอมพิวเตอร์สามารถสร้างการเชื่อมต่อหลายรายการพร้อมกันไปยังคอมพิวเตอร์ระยะไกลตั้งแต่หนึ่งเครื่องขึ้นไปโดยใช้พอร์ต TCP หรือ UDP ที่แตกต่างกัน แพ็กเก็ต IP มีส่วนหัวที่ประกอบด้วยข้อมูลต่อไปนี้:

ที่อยู่ต้นทาง - ที่อยู่ IP ของคอมพิวเตอร์ที่ส่ง เช่น 201.3.83.132
พอร์ตต้นทาง - หมายเลขพอร์ต TCP หรือ UDP ที่กำหนดโดยคอมพิวเตอร์ที่ส่งสำหรับแพ็กเก็ตนี้ เช่น พอร์ต 1080
ที่อยู่ผู้รับ - ที่อยู่ IP ของคอมพิวเตอร์ผู้รับ เช่น 145.51.18.223
พอร์ตปลายทางคือหมายเลขพอร์ต TCP หรือ UDP ที่คอมพิวเตอร์ที่ส่งต้องการให้คอมพิวเตอร์ที่รับเปิด เช่น พอร์ต 3021

ที่อยู่จะระบุเครื่องทั้งสองเครื่องที่ปลายแต่ละด้าน และหมายเลขพอร์ตจะเป็นตัวระบุเฉพาะสำหรับการเชื่อมต่อระหว่างคอมพิวเตอร์ทั้งสองเครื่อง การรวมกันของตัวเลขทั้งสี่นี้จะกำหนดการเชื่อมต่อ TCP/IP หนึ่งรายการ แต่ละหมายเลขพอร์ตใช้ 16 บิต ซึ่งหมายความว่ามีค่าที่เป็นไปได้ 65,536 (216) ค่า ในทางปฏิบัติ เนื่องจากผู้ผลิตแต่ละรายแมปพอร์ตต่างกันเล็กน้อย คุณจึงสามารถคาดหวังได้ว่าจะมีพอร์ตให้เลือกใช้งานประมาณ 4,000 พอร์ต

ยอดดู: 38706

1 หากคุณกำลังอ่านเอกสารนี้ เป็นไปได้มากว่าคุณจะเชื่อมต่อกับอินเทอร์เน็ตและใช้การแปลที่อยู่เครือข่าย ( การแปลที่อยู่เครือข่าย NAT) ตอนนี้! อินเทอร์เน็ตมีขนาดใหญ่เกินกว่าใครจะจินตนาการได้ แม้ว่าจะไม่ทราบขนาดที่แน่นอน แต่การประมาณการในปัจจุบันมีประมาณ 100 ล้านโฮสต์และมีผู้ใช้มากกว่า 350 ล้านคนบนอินเทอร์เน็ต ในความเป็นจริง อัตราการเติบโตนั้นทำให้อินเทอร์เน็ตมีขนาดเพิ่มขึ้นเป็นสองเท่าทุกปี

การแนะนำ

เพื่อให้คอมพิวเตอร์สื่อสารกับคอมพิวเตอร์เครื่องอื่นและเว็บเซิร์ฟเวอร์บนอินเทอร์เน็ต จะต้องมีที่อยู่ IP ที่อยู่ IP (IP ย่อมาจาก Internet Protocol) เป็นหมายเลข 32 บิตที่ไม่ซ้ำกันซึ่งระบุตำแหน่งของคอมพิวเตอร์ของคุณบนเครือข่าย โดยพื้นฐานแล้วมันทำงานเหมือนกับที่อยู่ของคุณ: วิธีค้นหาว่าคุณอยู่ที่ไหนและส่งข้อมูลให้กับคุณ ตามทฤษฎี คุณสามารถมีที่อยู่ที่ไม่ซ้ำกันได้ 4,294,967,296 ที่อยู่ (2^32) จำนวนที่อยู่จริงที่มีอยู่นั้นน้อยกว่า (ประมาณ 3.2 ถึง 3.3 พันล้าน) เนื่องจากวิธีการแบ่งที่อยู่ออกเป็นคลาสต่างๆ และความจำเป็นในการจัดสรรที่อยู่บางส่วนไว้สำหรับมัลติคาสต์ การทดสอบ หรือความต้องการเฉพาะอื่นๆ ด้วยการเพิ่มขึ้นของเครือข่ายในบ้านและเครือข่ายธุรกิจ จำนวนที่อยู่ IP ที่มีอยู่จึงไม่เพียงพออีกต่อไป วิธีแก้ปัญหาที่ชัดเจนคือการออกแบบรูปแบบที่อยู่ใหม่เพื่อรองรับที่อยู่ที่เป็นไปได้มากขึ้น ดังนั้นโปรโตคอล IPv6 จึงกำลังพัฒนา แต่การพัฒนานี้จะใช้เวลาหลายปีเนื่องจากต้องมีการปรับเปลี่ยนโครงสร้างพื้นฐานอินเทอร์เน็ตทั้งหมด

นี่คือจุดที่ NAT มาช่วยเหลือเรา โดยพื้นฐานแล้ว การแปลที่อยู่เครือข่ายอนุญาตให้อุปกรณ์เดียว เช่น เราเตอร์ ทำหน้าที่เป็นตัวแทนระหว่างอินเทอร์เน็ต (หรือ "เครือข่ายสาธารณะ") และเครือข่ายท้องถิ่น (หรือ "ส่วนตัว") ซึ่งหมายความว่าจำเป็นต้องใช้ที่อยู่ IP ที่ไม่ซ้ำกันเพียงที่อยู่เดียวเพื่อเป็นตัวแทนของคอมพิวเตอร์ทั้งกลุ่มต่อสิ่งอื่นใดที่อยู่นอกเครือข่าย การไม่มีที่อยู่ IP เป็นเพียงเหตุผลหนึ่งที่ต้องใช้ NAT อีกเหตุผลที่ดีอีกสองประการคือความปลอดภัยและการดูแลระบบ

คุณจะได้เรียนรู้ว่าคุณจะได้รับประโยชน์จาก NAT ได้อย่างไร แต่ก่อนอื่น เรามาดู NAT ให้ละเอียดยิ่งขึ้นและดูว่ามันสามารถทำอะไรได้บ้าง

ปลอม

NAT ก็เปรียบเสมือนเลขานุการในสำนักงานขนาดใหญ่ สมมติว่าคุณฝากคำสั่งไว้กับเลขานุการว่าอย่าโอนสายใดๆ ถึงคุณเว้นแต่คุณจะขอ หลังจากนั้น คุณโทรหาผู้มีโอกาสเป็นลูกค้าและฝากข้อความให้เขาโทรกลับ คุณบอกเลขานุการว่าคุณคาดหวังว่าจะได้รับสายจากลูกค้ารายนี้ และสายนั้นจำเป็นต้องโอนสาย ลูกค้าโทรหาหมายเลขหลักของสำนักงานของคุณ ซึ่งเป็นหมายเลขเดียวที่เขารู้ เมื่อลูกค้าบอกเลขาว่าเขากำลังมองหาใคร เลขาฯ จะตรวจสอบรายชื่อพนักงานเพื่อค้นหาชื่อที่ตรงกันและหมายเลขต่อ พนักงานต้อนรับรู้ว่าคุณขอสายนี้ เขาจึงโอนสายผู้โทรไปยังโทรศัพท์ของคุณ

การแปลที่อยู่เครือข่ายที่พัฒนาโดย Cisco นั้นใช้งานโดยอุปกรณ์ (ไฟร์วอลล์ เราเตอร์ หรือคอมพิวเตอร์) ที่อยู่ระหว่างเครือข่ายภายในกับส่วนอื่นๆ ของโลก NAT มาในหลายรูปแบบและสามารถทำงานได้หลายวิธี:

NAT แบบคงที่- การจับคู่ที่อยู่ IP ที่ไม่ได้ลงทะเบียนกับที่อยู่ IP ที่ลงทะเบียนแบบหนึ่งต่อหนึ่ง มีประโยชน์อย่างยิ่งเมื่อต้องเข้าถึงอุปกรณ์จากภายนอกเครือข่าย

ใน NAT แบบคงที่ คอมพิวเตอร์ที่มีที่อยู่ 192.168.32.10 จะถูกแปลเป็นที่อยู่ 213.18.123.110 เสมอ:

NAT แบบไดนามิก- จับคู่ที่อยู่ IP ที่ไม่ได้ลงทะเบียนกับที่อยู่ที่ลงทะเบียนจากกลุ่มที่อยู่ IP ที่ลงทะเบียน NAT แบบไดนามิกยังสร้างการจับคู่โดยตรงระหว่างที่อยู่ที่ไม่ได้ลงทะเบียนและที่อยู่ที่ลงทะเบียน แต่การจับคู่อาจเปลี่ยนแปลงได้ขึ้นอยู่กับที่อยู่ที่ลงทะเบียนที่มีอยู่ในกลุ่มที่อยู่ระหว่างการสื่อสาร

ใน NAT แบบไดนามิก คอมพิวเตอร์ที่มีที่อยู่ 192.168.32.10 จะถูกแปลเป็นที่อยู่แรกที่มีอยู่ในช่วงตั้งแต่ 213.18.123.100 ถึง 213.18.123.150

โอเวอร์โหลดเป็นรูปแบบของ NAT แบบไดนามิกที่จับคู่ที่อยู่ที่ไม่ได้ลงทะเบียนหลายรายการกับที่อยู่ IP ที่ลงทะเบียนเดียวโดยใช้พอร์ตที่แตกต่างกัน หรือที่เรียกว่า PAT (การแปลที่อยู่พอร์ต)

เมื่อโอเวอร์โหลด คอมพิวเตอร์ทุกเครื่องบนเครือข่ายส่วนตัวจะถูกแปลเป็นที่อยู่เดียวกัน (213.18.123.100) แต่มีหมายเลขพอร์ตต่างกัน

ทับซ้อนกัน- เมื่อที่อยู่ IP ที่ใช้ในเครือข่ายภายในของคุณถูกใช้บนเครือข่ายอื่นด้วย เราเตอร์จะต้องเก็บตารางการค้นหาของที่อยู่เหล่านี้ เพื่อให้สามารถสกัดกั้นและแทนที่ด้วยที่อยู่ IP ที่ไม่ซ้ำกันที่ลงทะเบียนไว้ สิ่งสำคัญคือต้องทราบว่าเราเตอร์ NAT ต้องแปลที่อยู่ "ภายใน" เป็นที่อยู่เฉพาะที่ลงทะเบียนไว้ และต้องแปลที่อยู่ที่ลงทะเบียน "ภายนอก" เป็นที่อยู่เฉพาะของเครือข่ายส่วนตัวด้วย ซึ่งสามารถทำได้ผ่าน NAT แบบคงที่ หรือคุณสามารถใช้ DNS และใช้ NAT แบบไดนามิกได้

ตัวอย่าง:
ช่วง IP ภายใน (237.16.32.xx) ยังเป็นช่วงที่ลงทะเบียนซึ่งใช้โดยเครือข่ายอื่นด้วย ดังนั้นเราเตอร์จึงแปลที่อยู่เพื่อหลีกเลี่ยงความขัดแย้งที่อาจเกิดขึ้น นอกจากนี้ยังจะแปลที่อยู่ IP ทั่วโลกที่ลงทะเบียนกลับไปเป็นที่อยู่ในเครื่องที่ไม่ได้ลงทะเบียนเมื่อแพ็กเก็ตถูกส่งไปยังเครือข่ายภายใน

เครือข่ายภายใน โดยปกติจะเป็น LAN (Local Area Network) ซึ่งส่วนใหญ่มักเรียกกันว่า โดเมนต้นขั้ว- โดเมน stub คือ LAN ที่ใช้ที่อยู่ IP ภายใน การรับส่งข้อมูลเครือข่ายส่วนใหญ่ในโดเมนดังกล่าวเป็นแบบท้องถิ่นและไม่ได้ออกจากเครือข่ายภายใน โดเมนสามารถมีทั้งที่อยู่ IP ที่จดทะเบียนและไม่ได้ลงทะเบียน แน่นอนว่าคอมพิวเตอร์ใดๆ ที่ใช้ที่อยู่ IP ที่ไม่ได้ลงทะเบียนจะต้องใช้ NAT เพื่อสื่อสารกับส่วนอื่นๆ ของโลก

NAT สามารถกำหนดค่าได้หลายวิธี ในตัวอย่างด้านล่าง เราเตอร์ NAT ได้รับการกำหนดค่าให้แปลที่อยู่ IP ที่ไม่ได้ลงทะเบียน (ที่อยู่ภายในเครื่อง) ที่อยู่บนเครือข่ายส่วนตัว (ภายใน) เป็นที่อยู่ IP ที่ลงทะเบียน สิ่งนี้จะเกิดขึ้นเมื่อใดก็ตามที่อุปกรณ์ภายในซึ่งมีที่อยู่ที่ไม่ได้ลงทะเบียนจำเป็นต้องสื่อสารกับเครือข่ายภายนอก

ISP กำหนดช่วงที่อยู่ IP ให้กับบริษัทของคุณ บล็อกที่อยู่ที่กำหนดนั้นเป็นที่อยู่ IP ที่ลงทะเบียนที่ไม่ซ้ำกันและถูกเรียก ภายในที่อยู่ทั่วโลก- ที่อยู่ IP ส่วนตัวที่ไม่ได้ลงทะเบียนจะแบ่งออกเป็นสองกลุ่ม กลุ่มเล็ก ที่อยู่นอกท้องถิ่นจะถูกใช้งานโดยเราเตอร์ NAT และตัวหลักที่จะใช้ในโดเมนเรียกว่า ภายในที่อยู่ท้องถิ่น- ที่อยู่ภายในเครื่องภายนอกใช้เพื่อแปลที่อยู่ IP เฉพาะที่เรียกว่า ภายนอกที่อยู่ทั่วโลก,อุปกรณ์บนเครือข่ายสาธารณะ
NAT จะแปลเฉพาะการรับส่งข้อมูลที่ส่งผ่านระหว่างเครือข่ายภายในและภายนอกและถูกกำหนดไว้สำหรับการแปล การรับส่งข้อมูลใด ๆ ที่ไม่ตรงตามเกณฑ์การแปลหรือที่ผ่านระหว่างอินเทอร์เฟซอื่น ๆ บนเราเตอร์จะไม่ถูกแปลและจะถูกส่งต่อตามที่เป็นอยู่

ที่อยู่ IP มีการกำหนดที่แตกต่างกันโดยขึ้นอยู่กับว่าอยู่บนเครือข่ายส่วนตัว (โดเมน) หรือเครือข่ายสาธารณะ (อินเทอร์เน็ต) และการรับส่งข้อมูลขาเข้าหรือขาออก:

คอมพิวเตอร์ส่วนใหญ่ในโดเมนสื่อสารกันโดยใช้ที่อยู่ในเครื่องภายใน
คอมพิวเตอร์บางเครื่องในโดเมนสื่อสารกับเครือข่ายภายนอก คอมพิวเตอร์เหล่านี้มีที่อยู่ร่วมภายใน ซึ่งหมายความว่าไม่จำเป็นต้องแปล
เมื่อคอมพิวเตอร์ในโดเมนที่มีที่อยู่ในเครื่องภายในต้องการสื่อสารกับเครือข่ายภายนอก แพ็กเก็ตจะไปที่เราเตอร์ NAT ตัวใดตัวหนึ่งผ่านเส้นทางปกติ
เราเตอร์ NAT จะตรวจสอบตารางเส้นทางเพื่อดูว่ามีรายการสำหรับที่อยู่ปลายทางหรือไม่ หากที่อยู่ปลายทางไม่อยู่ในตารางเส้นทาง แพ็กเก็ตจะถูกยกเลิก หากมีการบันทึก เราเตอร์จะตรวจสอบว่าแพ็กเก็ตนั้นมาจากเครือข่ายภายในไปยังเครือข่ายภายนอกหรือไม่ และแพ็กเก็ตนั้นตรงตามเกณฑ์ที่กำหนดไว้สำหรับการออกอากาศหรือไม่ จากนั้นเราเตอร์จะตรวจสอบตารางการแปลที่อยู่เพื่อดูว่ามีรายการสำหรับที่อยู่ภายในเครื่องและที่อยู่ร่วมภายในที่สอดคล้องกันหรือไม่ หากพบรายการ มันจะออกอากาศแพ็กเก็ตโดยใช้ที่อยู่โกลบอลภายใน หากมีการกำหนดค่า NAT แบบคงที่เท่านั้นและไม่พบรายการ เราเตอร์จะส่งแพ็กเก็ตโดยไม่มีการแปล
เราเตอร์จะส่งต่อแพ็กเก็ตไปยังปลายทางโดยใช้ที่อยู่ร่วมภายใน
คอมพิวเตอร์บนเครือข่ายสาธารณะส่งแพ็กเก็ตไปยังเครือข่ายส่วนตัว ที่อยู่ต้นทางในแพ็กเก็ตคือที่อยู่โกลบอลภายนอก ที่อยู่ปลายทางเป็นที่อยู่ร่วมภายใน
เมื่อแพ็กเก็ตมาถึงเครือข่ายภายนอก เราเตอร์ NAT จะดูตารางการแปลและกำหนดที่อยู่ปลายทางที่แมปกับคอมพิวเตอร์ในโดเมน
เราเตอร์ NAT แปลที่อยู่ส่วนกลางของแพ็กเก็ตเป็นที่อยู่ภายในเครื่อง จากนั้นตรวจสอบตารางเส้นทางก่อนที่จะส่งแพ็กเก็ตไปยังคอมพิวเตอร์ปลายทาง เมื่อใดก็ตามที่ไม่พบรายการที่อยู่ในตารางการแปล แพ็กเก็ตจะไม่ถูกแปล และเราเตอร์จะตรวจสอบตารางเส้นทางต่อไปเพื่อค้นหาที่อยู่ปลายทาง

การโอเวอร์โหลด NAT ใช้คุณลักษณะของสแต็กโปรโตคอล TCP/IP เช่น มัลติเพล็กซ์ ซึ่งช่วยให้คอมพิวเตอร์สามารถรักษาการเชื่อมต่อหลายรายการพร้อมกันกับคอมพิวเตอร์ระยะไกลโดยใช้พอร์ต TCP หรือ UDP ที่แตกต่างกัน แพ็กเก็ต IP มีส่วนหัวที่ประกอบด้วยข้อมูลต่อไปนี้:

ที่อยู่ต้นทาง – ที่อยู่ IP ของคอมพิวเตอร์ต้นทาง เช่น 201.3.83.132
พอร์ตต้นทาง – หมายเลขพอร์ต TCP หรือ UDP ที่คอมพิวเตอร์กำหนดให้เป็นแหล่งสำหรับแพ็กเก็ตนี้ เช่น พอร์ต 1080
ที่อยู่ปลายทาง – ที่อยู่ IP ของคอมพิวเตอร์ผู้รับ ตัวอย่างเช่น 145.51.18.223
พอร์ตปลายทาง - หมายเลขพอร์ต TCP หรือ UDP ที่ขอให้คอมพิวเตอร์ต้นทางเปิดบนเครื่องรับ เช่น พอร์ต 3021

ที่อยู่ IP ระบุเครื่องทั้งสองเครื่องในแต่ละด้าน ในขณะที่หมายเลขพอร์ตช่วยให้แน่ใจว่าการเชื่อมต่อระหว่างเครื่องทั้งสองนั้นมีตัวระบุที่ไม่ซ้ำกัน การรวมกันของตัวเลขทั้งสี่นี้จะกำหนดการเชื่อมต่อ TCP/IP เดียว แต่ละหมายเลขพอร์ตใช้ 16 บิต ซึ่งหมายความว่ามีค่าที่เป็นไปได้ 65,536 (2^16) ในความเป็นจริง เนื่องจากผู้ผลิตแต่ละรายแสดงพอร์ตในลักษณะที่แตกต่างกันเล็กน้อย คุณจึงคาดว่าจะมีพอร์ตให้เลือกประมาณ 4,000 พอร์ต

ตัวอย่างของ NAT และ NAT แบบไดนามิกที่มีการโอเวอร์โหลด

รูปภาพด้านล่างแสดงวิธีการทำงานของ NAT แบบไดนามิก

คลิกที่ปุ่มสีเขียวปุ่มใดปุ่มหนึ่งเพื่อส่งแพ็กเก็ตที่สำเร็จไปยังหรือจากเครือข่ายภายใน คลิกที่ปุ่มสีแดงปุ่มใดปุ่มหนึ่งเพื่อส่งแพ็กเก็ตที่เราเตอร์จะทิ้งเนื่องจากที่อยู่ที่ไม่ถูกต้อง

เครือข่ายภายในได้รับการตั้งค่าด้วยที่อยู่ IP ที่ไม่ได้จัดสรรให้กับบริษัทนี้โดยเฉพาะโดย IANA (Internet Assigned Numbers Authority) ซึ่งเป็นสำนักระดับโลกที่แจกที่อยู่ IP ที่อยู่ดังกล่าวควรถือว่าไม่สามารถกำหนดเส้นทางได้ เนื่องจากที่อยู่ดังกล่าวไม่ซ้ำกัน เหล่านี้เป็นที่อยู่ในท้องถิ่นภายใน
บริษัทติดตั้งเราท์เตอร์ด้วย NAT เราเตอร์มีที่อยู่ IP ที่ไม่ซ้ำกันมากมายที่ออกให้กับบริษัท เหล่านี้เป็นที่อยู่สากลภายใน
คอมพิวเตอร์บน LAN กำลังพยายามเชื่อมต่อกับคอมพิวเตอร์ภายนอกเครือข่าย เช่น เว็บเซิร์ฟเวอร์
เราเตอร์รับแพ็กเก็ตจากคอมพิวเตอร์บน LAN
หลังจากตรวจสอบตารางเส้นทางและกระบวนการตรวจสอบการแปลแล้ว เราเตอร์จะจัดเก็บที่อยู่คอมพิวเตอร์ที่ไม่สามารถกำหนดเส้นทางได้ในตารางการแปลที่อยู่ เราเตอร์จะแทนที่ที่อยู่ที่ไม่สามารถกำหนดเส้นทางได้ของคอมพิวเตอร์ที่ส่งด้วยที่อยู่ IP แรกที่มีอยู่ในช่วงที่อยู่ที่ไม่ซ้ำกัน ขณะนี้ตารางการแปลมีการแสดงที่อยู่ IP ที่ไม่สามารถกำหนดเส้นทางได้ของคอมพิวเตอร์ซึ่งสอดคล้องกับหนึ่งในที่อยู่ IP ที่ไม่ซ้ำกัน
เมื่อแพ็กเก็ตส่งคืนจากคอมพิวเตอร์ปลายทาง เราเตอร์จะตรวจสอบที่อยู่ปลายทางในแพ็กเก็ต จากนั้นจะดูที่ตารางการแปลที่อยู่เพื่อค้นหาว่าคอมพิวเตอร์เครื่องใดในโดเมนที่มีแพ็กเก็ตอยู่ โดยจะเปลี่ยนที่อยู่ผู้รับเป็นที่อยู่เดิมที่จัดเก็บไว้ในตารางการแปลและส่งแพ็กเก็ตไปยังคอมพิวเตอร์ที่ต้องการ หากเราเตอร์ไม่พบรายการที่ตรงกันในตาราง เราเตอร์จะละทิ้งแพ็กเก็ตนั้น
คอมพิวเตอร์ได้รับแพ็คเก็ตจากเราเตอร์และกระบวนการทั้งหมดจะเกิดขึ้นซ้ำในขณะที่คอมพิวเตอร์สื่อสารกับระบบภายนอก

เครือข่ายภายในได้รับการตั้งค่าด้วยที่อยู่ IP ที่ไม่สามารถกำหนดเส้นทางได้ซึ่งไม่ได้จัดสรรให้กับบริษัทโดยเฉพาะ
บริษัทติดตั้งเราท์เตอร์ด้วย NAT เราเตอร์มีที่อยู่ IP เฉพาะที่ออกโดย IANA
คอมพิวเตอร์ในโดเมนกำลังพยายามเชื่อมต่อกับคอมพิวเตอร์ภายนอกเครือข่าย เช่น เว็บเซิร์ฟเวอร์
เราเตอร์ได้รับแพ็กเก็ตจากคอมพิวเตอร์ในโดเมน
หลังจากกำหนดเส้นทางและตรวจสอบแพ็กเก็ตเพื่อทำการแปล เราเตอร์จะจัดเก็บที่อยู่ IP และหมายเลขพอร์ตที่ไม่สามารถกำหนดเส้นทางได้ของคอมพิวเตอร์ไว้ในตารางการแปล เราเตอร์จะแทนที่ที่อยู่ IP ที่ไม่สามารถกำหนดเส้นทางได้ของคอมพิวเตอร์ที่ส่งด้วยที่อยู่ IP ของเราเตอร์ เราเตอร์จะแทนที่พอร์ตต้นทางของคอมพิวเตอร์ของผู้ส่งด้วยหมายเลขพอร์ตแบบสุ่มและจัดเก็บไว้ในตารางการแปลที่อยู่สำหรับผู้ส่งรายนั้น ตารางการแปลจะแสดงที่อยู่ IP ที่ไม่สามารถกำหนดเส้นทางได้ของคอมพิวเตอร์และหมายเลขพอร์ต พร้อมด้วยที่อยู่ IP ของเราเตอร์
เมื่อแพ็กเก็ตส่งคืนจากปลายทาง เราเตอร์จะตรวจสอบพอร์ตปลายทางในแพ็กเก็ต จากนั้นจะดูที่ตารางการแปลเพื่อค้นหาว่าคอมพิวเตอร์เครื่องใดในโดเมนที่เป็นของแพ็คเกจ จากนั้นเราเตอร์จะเปลี่ยนที่อยู่ของผู้รับและพอร์ตของผู้รับเป็นค่าที่เก็บไว้ก่อนหน้านี้ในตารางการแปลและส่งแพ็กเก็ตไปยังโหนดปลายทาง
คอมพิวเตอร์ได้รับแพ็กเก็ตจากเราเตอร์และกระบวนการนี้เกิดขึ้นซ้ำ
เนื่องจากขณะนี้เราเตอร์ NAT มีที่อยู่ต้นทางและพอร์ตต้นทางของคอมพิวเตอร์เก็บไว้ในตารางการแปล จึงจะยังคงใช้หมายเลขพอร์ตเดียวกันสำหรับการเชื่อมต่อครั้งต่อไป แต่ละครั้งที่เราเตอร์เข้าถึงรายการในตารางการแปล ตัวจับเวลาอายุการใช้งานสำหรับรายการนี้จะถูกรีเซ็ต หากไม่สามารถเข้าถึงรายการก่อนที่ตัวจับเวลาจะหมดลง รายการนั้นจะถูกลบออกจากตาราง

จำนวนการออกอากาศพร้อมกันที่เราเตอร์จะรองรับนั้นพิจารณาจากจำนวน DRAM (Dynamic Random Access Memory) เป็นหลัก เนื่องจากรายการตารางการแปลทั่วไปมีขนาดประมาณ 160 ไบต์ เราเตอร์ที่มี RAM ขนาด 4 MB สามารถรองรับการเชื่อมต่อพร้อมกัน 26,214 รายการในทางทฤษฎี ซึ่งเพียงพอสำหรับแอปพลิเคชันส่วนใหญ่

การรักษาความปลอดภัยและการบริหาร

การใช้ NAT แบบไดนามิกจะสร้างไฟร์วอลล์ระหว่างเครือข่ายภายในของคุณกับเครือข่ายภายนอกหรืออินเทอร์เน็ตโดยอัตโนมัติ Dynamic NAT อนุญาตเฉพาะการเชื่อมต่อที่มาจากเครือข่ายท้องถิ่นเท่านั้น โดยพื้นฐานแล้ว หมายความว่าคอมพิวเตอร์บนเครือข่ายภายนอกไม่สามารถเชื่อมต่อกับคอมพิวเตอร์ของคุณได้ เว้นแต่คอมพิวเตอร์ของคุณจะเริ่มการเชื่อมต่อแล้ว วิธีนี้ทำให้คุณสามารถท่องอินเทอร์เน็ตและเชื่อมต่อกับไซต์ หรือแม้แต่อัปโหลดไฟล์ได้ แต่ไม่มีใครสามารถคว้าที่อยู่ IP ของคุณแล้วใช้เชื่อมต่อกับพอร์ตบนคอมพิวเตอร์ของคุณได้อีกต่อไป

NAT แบบคงที่หรือที่เรียกว่าการแมปขาเข้า ช่วยให้สามารถเชื่อมต่อที่เริ่มต้นโดยอุปกรณ์ภายนอกกับคอมพิวเตอร์บน LAN ภายใต้สถานการณ์บางอย่าง ตัวอย่างเช่น คุณสามารถแมปที่อยู่ส่วนกลางภายในกับที่อยู่ภายในเฉพาะที่กำหนดให้กับเว็บเซิร์ฟเวอร์ของคุณ

NAT แบบคงที่ช่วยให้คอมพิวเตอร์บน LAN สามารถรักษาที่อยู่เฉพาะเมื่อสื่อสารกับอุปกรณ์ภายนอกเครือข่าย:

เราเตอร์ NAT บางตัวมีการกรองและบันทึกการรับส่งข้อมูลอย่างกว้างขวาง การกรองช่วยให้บริษัทของคุณควบคุมได้ว่าพนักงานจะเยี่ยมชมไซต์ใดบนอินเทอร์เน็ต เพื่อป้องกันไม่ให้พวกเขาดูเนื้อหาที่น่าสงสัย คุณสามารถใช้การบันทึกปริมาณการใช้ข้อมูลเพื่อสร้างบันทึกว่าไซต์ใดมีการเยี่ยมชม และสร้างรายงานต่างๆ ตามข้อมูลนี้

บางครั้งการแปลที่อยู่เครือข่ายอาจสับสนกับพร็อกซีเซิร์ฟเวอร์ ซึ่งมีความแตกต่างบางประการ NAT มีความโปร่งใสต่อคอมพิวเตอร์ต้นทางและปลายทาง ไม่มีใครรู้ว่านี่กำลังเกี่ยวข้องกับอุปกรณ์ที่สาม แต่พร็อกซีเซิร์ฟเวอร์ไม่โปร่งใส คอมพิวเตอร์ต้นทางรู้ว่านี่คือการร้องขอไปยังพร็อกซี คอมพิวเตอร์ปลายทางคิดว่าพร็อกซีเซิร์ฟเวอร์เป็นคอมพิวเตอร์ต้นทางและเกี่ยวข้องกับคอมพิวเตอร์โดยตรง นอกจากนี้ โดยทั่วไปพร็อกซีเซิร์ฟเวอร์จะทำงานที่เลเยอร์ 4 (การขนส่ง) ของโมเดล OSI หรือสูงกว่า ในขณะที่ NAT เป็นโปรโตคอลเลเยอร์ 3 (เครือข่าย) การทำงานในระดับที่สูงกว่าจะทำให้พร็อกซีเซิร์ฟเวอร์ช้ากว่าอุปกรณ์ NAT ในกรณีส่วนใหญ่

ประโยชน์ที่แท้จริงของ NAT ปรากฏชัดในการบริหารเครือข่าย ตัวอย่างเช่น คุณสามารถย้ายเว็บหรือเซิร์ฟเวอร์ FTP ไปยังคอมพิวเตอร์เครื่องอื่นได้โดยไม่ต้องกังวลว่าการเชื่อมต่อจะหลุด เพียงเปลี่ยนการแมปอินพุตเป็นที่อยู่ภายในเครื่องใหม่ในเราเตอร์เพื่อสะท้อนถึงโฮสต์ใหม่ คุณยังสามารถเปลี่ยนแปลงเครือข่ายภายในของคุณได้ เนื่องจากที่อยู่ IP ภายนอกของคุณเป็นของเราเตอร์หรือกลุ่มที่อยู่ร่วม

คอมพิวเตอร์เชื่อมต่อกับเครือข่ายทั่วโลกได้หลายวิธี นี่อาจเป็นการเชื่อมต่อโดยตรง ซึ่งในกรณีนี้จะมีที่อยู่ IP ภายนอก (ไดนามิกหรือคงที่) ที่มองเห็นได้จากอินเทอร์เน็ต หรือการเชื่อมต่อสามารถทำได้ผ่านเราเตอร์ ด้วยการเชื่อมต่อนี้ เฉพาะเราเตอร์เท่านั้นที่มีที่อยู่ภายนอก และผู้ใช้ทั้งหมดที่เชื่อมต่ออยู่นั้นเป็นไคลเอนต์ของเครือข่ายอื่น เราเตอร์จะควบคุมการกระจายการรับส่งข้อมูลขาเข้าและขาออกระหว่างไคลเอนต์และอินเทอร์เน็ต ปัญหาหลายประการเกิดขึ้นเมื่อเชื่อมต่อผ่านเราเตอร์:

ไคลเอนต์ฝนตกหนักหยุดทำงาน
ไม่มีวิธีเชื่อมต่อกับเซิร์ฟเวอร์เกมออนไลน์
ไม่มีการเรียกไปยังเซิร์ฟเวอร์เครือข่ายภายในจากภายนอกโดยใช้โปรโตคอลหรือพอร์ตใดๆ

การกำหนดค่าเราเตอร์อย่างถูกต้อง ได้แก่ บริการ NAT จะช่วยแก้ปัญหาได้ เพื่อให้เกิดความเข้าใจ วิธีกำหนดค่า NAT บนเราเตอร์คุณจำเป็นต้องรู้ว่าการแปลที่อยู่คืออะไรและใช้ทำอะไร

แนท: คำจำกัดความทั่วไป

NAT (การแปลที่อยู่เครือข่าย) หรือการแปลที่อยู่เครือข่ายเป็นกระบวนการแปลที่อยู่ภายในหรือในพื้นที่ไปเป็นที่อยู่ภายนอก NAT ถูกใช้โดยเราเตอร์ทุกตัว โดยไม่คำนึงถึงการกำหนดค่า วัตถุประสงค์ และต้นทุน ตามค่าเริ่มต้น เราเตอร์จะห้ามการเข้าถึงโดยตรงไปยังอุปกรณ์ใดๆ ที่อยู่ภายในเครือข่าย มันบล็อกการเข้าถึงพอร์ตใด ๆ สำหรับการเชื่อมต่อขาเข้าที่มาจากอินเทอร์เน็ต

แต่ NAT และไฟร์วอลล์เป็นสองแนวคิดที่แตกต่างกัน ไฟร์วอลล์เพียงปฏิเสธการเข้าถึงทรัพยากรบนพอร์ต TCP หรือ UDP ที่เฉพาะเจาะจง โดยสามารถติดตั้งบนเครื่องท้องถิ่นเพื่อจำกัดการเข้าถึงเท่านั้น หรือบนเซิร์ฟเวอร์เพื่อกรองการรับส่งข้อมูลทั่วทั้งเครือข่ายท้องถิ่นทั้งหมด NAT เผชิญกับงานที่ครอบคลุมมากขึ้น บริการปฏิเสธหรืออนุญาตให้เข้าถึงภายในเครือข่ายไปยังที่อยู่ IP หรือช่วงที่อยู่เฉพาะ ดังนั้น ไคลเอนต์ที่เข้าถึงทรัพยากรไม่เห็นที่อยู่ IP ที่แท้จริงของทรัพยากร NAT แปล IP ภายในเป็นที่อยู่ที่จะมองเห็นได้จากอินเทอร์เน็ต

หากต้องการตรวจสอบว่าคอมพิวเตอร์อยู่เบื้องหลัง NAT หรือเผยแพร่ที่อยู่จริงไปยังอินเทอร์เน็ตหรือไม่ คุณสามารถดำเนินการดังต่อไปนี้:

ใน Windows คุณต้องคลิก "Start - Run - cmd" แล้วเขียน ไอพีคอนฟิกและกด "Enter";
บน Linux และ MacOS จะดำเนินการในเทอร์มินัล ถ้ากำหนดค่า.

เอาต์พุตคำสั่งจะแสดงสิ่งต่อไปนี้:

ไอพี- ที่อยู่คอมพิวเตอร์จริงและถูกต้อง
ซับเน็ตมาสก์- ซับเน็ตมาสก์;
เกตเวย์- ที่อยู่เกตเวย์ของเราเตอร์

ตอนนี้เราจะทราบได้อย่างไรว่าที่อยู่นั้นอยู่ในพื้นที่หรือ "ดู" ที่อินเทอร์เน็ตโดยตรง ตามข้อกำหนด มีที่อยู่สี่ช่วงที่ไม่ได้ใช้บนอินเทอร์เน็ตไม่ว่าในสถานการณ์ใดก็ตาม แต่เป็นที่อยู่ในท้องถิ่นเท่านั้น:

0.0.0 - 10.255.255.255
X.0.0 - 172.X.255.255 โดยที่ X อยู่ในช่วงตั้งแต่ 16 ถึง 31
168.0.0 - 192.168.255.255
254.0.0 - 169.254.255.255

ในกรณีที่ที่อยู่ของเครื่องอยู่ในช่วงใดช่วงหนึ่ง ควรถือว่าคอมพิวเตอร์อยู่บนเครือข่ายท้องถิ่นหรือ "หลัง" NAT นอกจากนี้คุณยังสามารถใช้บริการพิเศษเพิ่มเติมซึ่งมีมากมายบนอินเทอร์เน็ตเพื่อระบุที่อยู่ IP จริง ตอนนี้ชัดเจนว่าคอมพิวเตอร์อยู่ด้านหลังหรือไม่ NAT ในเราเตอร์คืออะไร?สำหรับการบริการและการที่เขาต้องรับผิดชอบ

ปัญหาและแนวทางแก้ไขของ NAT

นับตั้งแต่มีการเปิดตัว NAT ปัญหาก็เริ่มปรากฏขึ้นทันที เป็นไปไม่ได้ที่จะเข้าถึงโดยใช้โปรโตคอลแยกต่างหากหรือในการทำงานของโปรแกรมที่แยกจากกัน ปัญหาเหล่านี้ไม่เคยถูกกำจัดไปโดยสิ้นเชิง เราจัดการเพื่อค้นหาวิธีแก้ปัญหาบางอย่างโดยใช้การแปลที่อยู่เท่านั้น แต่ไม่ใช่วิธีแก้ปัญหาเดียวที่ถูกต้องจากมุมมองของข้อกำหนดด้านการบริหาร

ตัวอย่างเช่น ให้พิจารณา File Transfer Protocol (FTP) ซึ่งเป็นโปรโตคอลที่ใช้บ่อยที่สุดก่อนการถือกำเนิดของ NAT สำหรับไฟล์เซิร์ฟเวอร์ (FTP) คีย์คือที่อยู่ IP ที่แท้จริงของคอมพิวเตอร์ที่ส่งคำขอเข้าถึง การแปลที่อยู่ที่นี่ไม่ทำงานเนื่องจากการร้องขอไปยังเซิร์ฟเวอร์ถูกส่งจาก IP ที่ไม่สามารถมองเห็นได้จากอินเทอร์เน็ต ไม่สามารถสร้างเซสชันไคลเอ็นต์-เซิร์ฟเวอร์เพื่อดาวน์โหลดไฟล์ได้ การใช้ FTP ในโหมดพาสซีฟจะช่วยแก้ไขปัญหาได้ ในโหมดนี้จะใช้ชุดคำสั่งที่แตกต่างกันและงานจะดำเนินการผ่านพร็อกซีเซิร์ฟเวอร์พิเศษซึ่งจะเปิดพอร์ตอื่นสำหรับการเชื่อมต่อเพิ่มเติมและถ่ายโอนไปยังโปรแกรมไปยังไคลเอนต์ ปัญหาในการแก้ปัญหานี้คือจำเป็นต้องใช้ไคลเอนต์ FTP บุคคลที่สาม

เป็นไปได้ที่จะกำจัดปัญหาการเข้าถึงได้อย่างสมบูรณ์ด้วยการถือกำเนิดของโปรโตคอล SOCKS (Socket Secure) เท่านั้น โปรโตคอลนี้ช่วยให้คุณแลกเปลี่ยนข้อมูลผ่านพร็อกซีเซิร์ฟเวอร์ในโหมด "โปร่งใส" นั่นคือเซิร์ฟเวอร์จะไม่ทราบว่ามีการเปลี่ยนที่อยู่จากท้องถิ่นไปทั่วโลกและในทางกลับกัน การประดิษฐ์ SOCKS ทำให้สามารถกำจัดปัญหาต่างๆ และทำให้การบริหารเครือข่ายง่ายขึ้น:

สร้างบริการบนเซิร์ฟเวอร์ที่รับฟังคำขอที่เข้ามาซึ่งช่วยให้คุณสามารถให้บริการโปรโตคอลการเชื่อมต่อหลายแบบเช่น FTP
ไม่จำเป็นต้องใช้และบำรุงรักษาบริการ DNS ภายในเครือข่ายท้องถิ่น ตอนนี้งานนี้ถูกกำหนดให้กับการแคชพรอกซี
วิธีการอนุญาตเพิ่มเติมช่วยให้การติดตามและการกรองแพ็กเก็ตมีประสิทธิภาพมากขึ้น เมื่อใช้ NAT คุณสามารถกรองคำขอตามที่อยู่เท่านั้น

การใช้ NAT และ SOCKS ไม่ได้เป็นสิ่งที่สมเหตุสมผลเสมอไปจากมุมมองของการบริหารเครือข่าย บางครั้งการใช้พร็อกซีเฉพาะทางก็เหมาะสมกว่า ซึ่งมีโปรโตคอลการถ่ายโอนข้อมูลมากมายให้เลือก

การตั้งค่า NAT บนคอมพิวเตอร์

ระบบปฏิบัติการสมัยใหม่ทั้งหมดมี NAT ในตัว ใน Windows ฟังก์ชันนี้ถูกนำมาใช้ตั้งแต่ปี 1999 โดยมี Windows XP เกิดขึ้น NAT ได้รับการจัดการโดยตรงผ่านคุณสมบัติการเชื่อมต่อเครือข่าย ในการกำหนดค่าบริการคุณต้องทำดังต่อไปนี้:

จากเมนู Start เปิดโปรแกรมแผงควบคุม
ค้นหาไอคอน "การเชื่อมต่อเครือข่าย" และเปิดใช้งาน
ในหน้าต่างใหม่ คลิกขวาที่การเชื่อมต่อเครือข่ายที่ใช้งานอยู่ และเลือก "คุณสมบัติ" จากรายการแบบเลื่อนลง
ไปที่แท็บ "ขั้นสูง"
ทำเครื่องหมายที่ช่องถัดจาก "อนุญาตให้ผู้ใช้เครือข่ายอื่นใช้การเชื่อมต่ออินเทอร์เน็ตของคอมพิวเตอร์เครื่องนี้"
ยืนยันการเปลี่ยนแปลงด้วยปุ่ม "ตกลง"

หากคุณได้รับข้อความว่าไม่สามารถเริ่มบริการการเข้าถึงสาธารณะได้ คุณต้องตรวจสอบให้แน่ใจว่าบริการไคลเอ็นต์ DHCP กำลังทำงานอยู่ หากจำเป็น คุณสามารถตั้งค่าบริการให้เริ่มการทำงานแบบบังคับแทนที่จะดำเนินการโดยอัตโนมัติเมื่อมีการร้องขอ

การตั้งค่า NAT บนเราเตอร์

NAT ในเราเตอร์คืออะไรความเป็นไปได้ในการใช้งานและปัญหาที่สามารถสร้างได้ดังที่อธิบายไว้ข้างต้น ตอนนี้คุณสามารถดำเนินการดำเนินงานได้โดยตรง การตั้งค่าบริการบนเราเตอร์จะขึ้นอยู่กับรุ่น เฟิร์มแวร์ที่ใช้ และพารามิเตอร์อื่นๆ แต่ก็เพียงพอที่จะเข้าใจกลไกเพื่อไม่ให้เกิดปัญหาหรือคำถามเกี่ยวกับการตั้งค่าอุปกรณ์แยกต่างหาก ในการกำหนดค่า ให้ทำตามขั้นตอนต่อไปนี้ (ตามตัวอย่าง การตั้งค่าจะดำเนินการบนเราเตอร์ Zyxel บนเฟิร์มแวร์ v1):

ในเบราว์เซอร์ของคุณ ให้ไปที่หน้าการตั้งค่าเราเตอร์
ไปที่เมนู "เครือข่าย - การกำหนดเส้นทาง" ไปที่แท็บ "การกำหนดเส้นทางนโยบาย"

หน้าที่เปิดขึ้นมาจะเป็นหน้าที่จัดการนโยบายการเข้าถึงและการกำหนดเส้นทาง ที่นี่คุณต้องเปิดใช้บริการโดยเปิดใช้งานสวิตช์ไปที่ตำแหน่ง "เปิดใช้งาน" การตั้งค่านั้นทำในกลุ่ม "เกณฑ์" พารามิเตอร์ NAT จะถูกเลือกตามหมวดหมู่ตัวกรองหลายประเภท:

ผู้ใช้ - ออกอากาศสำหรับผู้ใช้เฉพาะ
ขาเข้า - ผ่านอินเทอร์เฟซเครือข่าย
ที่อยู่ต้นทาง - การทดแทนที่อยู่โดยใช้ที่อยู่ต้นทาง
ที่อยู่ปลายทาง - ตามที่อยู่ของผู้รับสุดท้าย
บริการ - บนพอร์ตบริการเฉพาะ

คุณสามารถเลือกตัวเลือกต่อไปนี้เป็นออบเจ็กต์การเปลี่ยนเส้นทาง:

อัตโนมัติ - การเลือกวัตถุปลายทางโดยอัตโนมัติ อินเทอร์เฟซ Wan ได้รับการติดตั้งตามค่าเริ่มต้น
เกตเวย์ - เกตเวย์ที่ระบุไว้ล่วงหน้าในการตั้งค่า
VPN Tunel - ตามลำดับผ่านอุโมงค์ VPN
Trunk - อินเทอร์เฟซที่หลากหลายที่กำหนดค่าให้ทำงานร่วมกัน
อินเทอร์เฟซ - อินเทอร์เฟซเฉพาะที่คุณเลือก

ในเราเตอร์แต่ละตัว การตั้งค่าและชื่อของรายการเมนูอาจแตกต่างกัน แต่หลักการสร้าง NAT ยังคงไม่เปลี่ยนแปลง

หากคุณกำลังอ่านเอกสารนี้ เป็นไปได้มากว่าคุณจะเชื่อมต่อกับอินเทอร์เน็ตและใช้การแปลที่อยู่เครือข่าย ( การแปลที่อยู่เครือข่าย NAT) ตอนนี้! อินเทอร์เน็ตมีขนาดใหญ่เกินกว่าใครจะจินตนาการได้ แม้ว่าจะไม่ทราบขนาดที่แน่นอน แต่การประมาณการในปัจจุบันมีประมาณ 100 ล้านโฮสต์และมีผู้ใช้มากกว่า 350 ล้านคนบนอินเทอร์เน็ต ในความเป็นจริง อัตราการเติบโตนั้นทำให้อินเทอร์เน็ตมีขนาดเพิ่มขึ้นเป็นสองเท่าทุกปี เพื่อให้คอมพิวเตอร์สื่อสารกับคอมพิวเตอร์เครื่องอื่นและเว็บเซิร์ฟเวอร์บนอินเทอร์เน็ต จะต้องมีที่อยู่ IP ที่อยู่ IP (IP ย่อมาจาก Internet Protocol) เป็นหมายเลข 32 บิตที่ไม่ซ้ำกันซึ่งระบุตำแหน่งของคอมพิวเตอร์ของคุณบนเครือข่าย โดยพื้นฐานแล้วมันทำงานเหมือนกับที่อยู่ของคุณ: วิธีค้นหาว่าคุณอยู่ที่ไหนและส่งข้อมูลให้กับคุณ ตามทฤษฎี คุณสามารถมีที่อยู่ที่ไม่ซ้ำกันได้ 4,294,967,296 ที่อยู่ (2^32) จำนวนที่อยู่จริงที่มีอยู่นั้นน้อยกว่า (ประมาณ 3.2 ถึง 3.3 พันล้าน) เนื่องจากวิธีการแบ่งที่อยู่ออกเป็นคลาสต่างๆ และความจำเป็นในการจัดสรรที่อยู่บางส่วนไว้สำหรับมัลติคาสต์ การทดสอบ หรือความต้องการเฉพาะอื่นๆ ด้วยการเพิ่มขึ้นของเครือข่ายในบ้านและเครือข่ายธุรกิจ จำนวนที่อยู่ IP ที่มีอยู่จึงไม่เพียงพออีกต่อไป วิธีแก้ปัญหาที่ชัดเจนคือการออกแบบรูปแบบที่อยู่ใหม่เพื่อรองรับที่อยู่ที่เป็นไปได้มากขึ้น ดังนั้นจึงมีการพัฒนาโปรโตคอล IPv6 แต่การพัฒนานี้จะใช้เวลาหลายปีเนื่องจากต้องมีการปรับเปลี่ยนโครงสร้างพื้นฐานอินเทอร์เน็ตทั้งหมด

ปลอม

เครือข่ายภายในมักเป็น LAN (Local Area Network) ซึ่งส่วนใหญ่มักเรียกว่าโดเมน stub โดเมน stub คือ LAN ที่ใช้ที่อยู่ IP ภายใน การรับส่งข้อมูลเครือข่ายส่วนใหญ่ในโดเมนดังกล่าวเป็นแบบท้องถิ่นและไม่ได้ออกจากเครือข่ายภายใน โดเมนสามารถมีทั้งที่อยู่ IP ที่จดทะเบียนและไม่ได้ลงทะเบียน แน่นอนว่าคอมพิวเตอร์ใดๆ ที่ใช้ที่อยู่ IP ที่ไม่ได้ลงทะเบียนจะต้องใช้ NAT เพื่อสื่อสารกับส่วนอื่นๆ ของโลก

ที่อยู่ต้นทาง - ที่อยู่ IP ของคอมพิวเตอร์ต้นทาง เช่น 201.3.83.132
พอร์ตต้นทาง - หมายเลขพอร์ต TCP หรือ UDP ที่คอมพิวเตอร์กำหนดให้เป็นแหล่งสำหรับแพ็กเก็ตนี้ เช่น พอร์ต 1080
ที่อยู่ปลายทาง - ที่อยู่ IP ของคอมพิวเตอร์ผู้รับ ตัวอย่างเช่น 145.51.18.223
พอร์ตปลายทาง - หมายเลขพอร์ต TCP หรือ UDP ที่ขอให้คอมพิวเตอร์ต้นทางเปิดบนแอปพลิเคชัน เช่น พอร์ต 3021

ตัวอย่างของ NAT และ NAT แบบไดนามิกที่มีการโอเวอร์โหลด

ด้านล่างนี้คือวิธีการทำงานของ NAT แบบไดนามิก

ภายในได้รับการตั้งค่าด้วยที่อยู่ IP ที่ไม่ได้จัดสรรให้กับบริษัทนี้โดยเฉพาะโดย IANA (Internet Assigned Numbers Authority) ซึ่งเป็นสำนักระดับโลกที่แจกที่อยู่ IP ที่อยู่ดังกล่าวควรถือว่าไม่สามารถกำหนดเส้นทางได้ เนื่องจากที่อยู่ดังกล่าวไม่ซ้ำกัน เหล่านี้เป็นที่อยู่ในท้องถิ่นภายใน
บริษัทติดตั้งเราท์เตอร์ด้วย NAT เราเตอร์มีที่อยู่ IP ที่ไม่ซ้ำกันมากมายที่ออกให้กับบริษัท เหล่านี้เป็นที่อยู่สากลภายใน
คอมพิวเตอร์บน LAN กำลังพยายามเชื่อมต่อกับคอมพิวเตอร์ภายนอกเครือข่าย เช่น เว็บเซิร์ฟเวอร์
เราเตอร์รับแพ็กเก็ตจากคอมพิวเตอร์บน LAN
หลังจากตรวจสอบตารางเส้นทางและกระบวนการตรวจสอบการแปลแล้ว เราเตอร์จะจัดเก็บที่อยู่คอมพิวเตอร์ที่ไม่สามารถกำหนดเส้นทางได้ในตารางการแปลที่อยู่ เราเตอร์จะแทนที่ที่อยู่ที่ไม่สามารถกำหนดเส้นทางได้ของคอมพิวเตอร์ที่ส่งด้วยที่อยู่ IP แรกที่มีอยู่ในช่วงที่อยู่ที่ไม่ซ้ำกัน ขณะนี้ตารางการแปลมีการแสดงที่อยู่ IP ที่ไม่สามารถกำหนดเส้นทางได้ของคอมพิวเตอร์ซึ่งสอดคล้องกับหนึ่งในที่อยู่ IP ที่ไม่ซ้ำกัน
เมื่อแพ็กเก็ตส่งคืนจากคอมพิวเตอร์ปลายทาง เราเตอร์จะตรวจสอบที่อยู่ปลายทางในแพ็กเก็ต จากนั้นจะดูที่ตารางการแปลที่อยู่เพื่อค้นหาว่าคอมพิวเตอร์เครื่องใดในโดเมนที่มีแพ็กเก็ตอยู่ โดยจะเปลี่ยนที่อยู่ผู้รับเป็นที่อยู่เดิมที่จัดเก็บไว้ในตารางการแปลและส่งแพ็กเก็ตไปยังคอมพิวเตอร์ที่ต้องการ หากเราเตอร์ไม่พบรายการที่ตรงกันในตาราง เราเตอร์จะละทิ้งแพ็กเก็ตนั้น
คอมพิวเตอร์ได้รับแพ็คเก็ตจากเราเตอร์และกระบวนการทั้งหมดจะเกิดขึ้นซ้ำในขณะที่คอมพิวเตอร์สื่อสารกับระบบภายนอก

ต่อไปเรามาดูกันว่าการโอเวอร์โหลดทำงานอย่างไร

เครือข่ายภายในได้รับการตั้งค่าด้วยที่อยู่ IP ที่ไม่สามารถกำหนดเส้นทางได้ซึ่งไม่ได้จัดสรรให้กับบริษัทโดยเฉพาะ
บริษัทติดตั้งเราท์เตอร์ด้วย NAT เราเตอร์มีที่อยู่ IP เฉพาะที่ออกโดย IANA
คอมพิวเตอร์ในโดเมนกำลังพยายามเชื่อมต่อกับคอมพิวเตอร์ภายนอกเครือข่าย เช่น เว็บเซิร์ฟเวอร์
เราเตอร์ได้รับแพ็กเก็ตจากคอมพิวเตอร์ในโดเมน
หลังจากกำหนดเส้นทางและตรวจสอบแพ็กเก็ตเพื่อทำการแปล เราเตอร์จะจัดเก็บที่อยู่ IP และหมายเลขพอร์ตที่ไม่สามารถกำหนดเส้นทางได้ของคอมพิวเตอร์ไว้ในตารางการแปล เราเตอร์จะแทนที่ที่อยู่ IP ที่ไม่สามารถกำหนดเส้นทางได้ของคอมพิวเตอร์ที่ส่งด้วยที่อยู่ IP ของเราเตอร์ เราเตอร์จะแทนที่พอร์ตต้นทางของคอมพิวเตอร์ของผู้ส่งด้วยหมายเลขพอร์ตแบบสุ่มและจัดเก็บไว้ในตารางการแปลที่อยู่สำหรับผู้ส่งรายนั้น ตารางการแปลจะแสดงที่อยู่ IP ที่ไม่สามารถกำหนดเส้นทางได้ของคอมพิวเตอร์และหมายเลขพอร์ต พร้อมด้วยที่อยู่ IP ของเราเตอร์
เมื่อแพ็กเก็ตส่งคืนจากปลายทาง เราเตอร์จะตรวจสอบพอร์ตปลายทางในแพ็กเก็ต จากนั้นจะดูที่ตารางการแปลเพื่อค้นหาว่าคอมพิวเตอร์เครื่องใดในโดเมนที่เป็นของแพ็คเกจ จากนั้นเราเตอร์จะเปลี่ยนที่อยู่ของผู้รับและพอร์ตของผู้รับเป็นค่าที่เก็บไว้ก่อนหน้านี้ในตารางการแปลและส่งแพ็กเก็ตไปยังโหนดปลายทาง
คอมพิวเตอร์ได้รับแพ็กเก็ตจากเราเตอร์และกระบวนการนี้เกิดขึ้นซ้ำ
เนื่องจากขณะนี้เราเตอร์ NAT มีที่อยู่ต้นทางและพอร์ตต้นทางของคอมพิวเตอร์เก็บไว้ในตารางการแปล จึงจะยังคงใช้หมายเลขพอร์ตเดียวกันสำหรับการเชื่อมต่อครั้งต่อไป แต่ละครั้งที่เราเตอร์เข้าถึงรายการในตารางการแปล ตัวจับเวลาอายุการใช้งานสำหรับรายการนี้จะถูกรีเซ็ต หากไม่สามารถเข้าถึงรายการก่อนที่ตัวจับเวลาจะหมดลง รายการนั้นจะถูกลบออกจากตาราง

การรักษาความปลอดภัยและการบริหาร

เราเตอร์ NAT บางตัวมีการกรองและบันทึกการรับส่งข้อมูลอย่างกว้างขวาง การกรองช่วยให้บริษัทของคุณควบคุมได้ว่าพนักงานจะเยี่ยมชมเว็บไซต์ใดบนอินเทอร์เน็ต เพื่อป้องกันไม่ให้พวกเขาดูเนื้อหาที่น่าสงสัย คุณสามารถใช้การบันทึกปริมาณการใช้ข้อมูลเพื่อสร้างบันทึกว่าไซต์ใดมีการเยี่ยมชม และสร้างรายงานต่างๆ ตามข้อมูลนี้

2 32 หรือ 4 294 967 296 IPv4ที่อยู่เยอะมากใช่ไหม? ดูเหมือนว่าจะเป็นเช่นนั้น อย่างไรก็ตาม ด้วยการแพร่กระจายของคอมพิวเตอร์ส่วนบุคคล อุปกรณ์พกพา และการเติบโตอย่างรวดเร็วของอินเทอร์เน็ต ในไม่ช้าก็เห็นได้ชัดว่าที่อยู่ IPv4 4.3 พันล้านที่อยู่นั้นไม่เพียงพอ วิธีแก้ปัญหาระยะยาวคือ IPv6แต่จำเป็นต้องมีวิธีแก้ปัญหาที่เร็วกว่าเพื่อแก้ไขปัญหาการขาดแคลนที่อยู่ และการตัดสินใจครั้งนี้ก็กลายเป็น NAT (การแปลที่อยู่เครือข่าย).

แนทคืออะไร

โดยทั่วไปเครือข่ายได้รับการออกแบบโดยใช้ที่อยู่ IP ส่วนตัว เหล่านี้คือที่อยู่ 10.0.0.0/8, 172.16.0.0/12 และ 192.168.0.0/16 - ที่อยู่ส่วนตัวเหล่านี้ถูกใช้ภายในองค์กรหรือไซต์เพื่อให้อุปกรณ์สามารถสื่อสารภายในเครื่องและไม่ได้ถูกกำหนดเส้นทางผ่านอินเทอร์เน็ต หากต้องการอนุญาตให้อุปกรณ์ที่มีที่อยู่ IPv4 ส่วนตัวเข้าถึงอุปกรณ์และทรัพยากรภายนอกเครือข่ายท้องถิ่น ที่อยู่ส่วนตัวจะต้องถูกแปลเป็นที่อยู่สาธารณะก่อน

และเป็นเพียง NAT ที่แปลงที่อยู่ส่วนตัวให้เป็นที่อยู่สาธารณะ ซึ่งช่วยให้อุปกรณ์ที่มีที่อยู่ IPv4 ส่วนตัวสามารถเข้าถึงทรัพยากรภายนอกเครือข่ายส่วนตัวได้ NAT เมื่อรวมกับที่อยู่ IPv4 ส่วนตัว ได้รับการพิสูจน์แล้วว่าเป็นวิธีที่มีประโยชน์ในการจัดเก็บที่อยู่ IPv4 สาธารณะ ที่อยู่ IPv4 สาธารณะหนึ่งรายการสามารถใช้ได้กับอุปกรณ์นับร้อยหรือหลายพันเครื่อง โดยแต่ละเครื่องมีที่อยู่ IPv4 ส่วนตัว NAT มีประโยชน์เพิ่มเติมในการเพิ่มระดับความเป็นส่วนตัวและความปลอดภัยให้กับเครือข่าย เนื่องจากจะซ่อนที่อยู่ IPv4 ภายในจากเครือข่ายภายนอก

เราเตอร์ที่เปิดใช้งาน NAT สามารถกำหนดค่าด้วยที่อยู่ IPv4 สาธารณะที่ถูกต้องตั้งแต่หนึ่งรายการขึ้นไป ที่อยู่สาธารณะเหล่านี้เรียกว่ากลุ่ม NAT เมื่ออุปกรณ์บนเครือข่ายภายในส่งการรับส่งข้อมูลจากเครือข่ายไปยังภายนอก เราเตอร์ที่เปิดใช้งาน NAT จะแปลที่อยู่ IPv4 ภายในของอุปกรณ์เป็นที่อยู่สาธารณะจากพูล NAT สำหรับอุปกรณ์ภายนอก การรับส่งข้อมูลทั้งหมดที่เข้าและออกจากเครือข่ายดูเหมือนจะมีที่อยู่ IPv4 สาธารณะ

เราเตอร์ NAT มักจะทำงานที่ชายแดน ต้นขั้ว-เครือข่าย เครือข่ายสตับคือเครือข่ายสตับที่มีการเชื่อมต่อกับเครือข่ายข้างเคียงหนึ่งครั้ง โดยมีการเข้าและออกจากเครือข่ายหนึ่งครั้ง

เมื่ออุปกรณ์ภายในเครือข่าย Stub ต้องการสื่อสารกับอุปกรณ์ภายนอกเครือข่าย แพ็กเก็ตจะถูกส่งต่อไปยังเราเตอร์ชายแดน และจะดำเนินการตามกระบวนการ NAT โดยแปลที่อยู่ส่วนตัวภายในของอุปกรณ์ให้เป็นที่อยู่สาธารณะ ภายนอก และกำหนดเส้นทางได้

คำศัพท์เฉพาะของ NAT

ในคำศัพท์เฉพาะทางของ NAT เครือข่ายภายในคือชุดของเครือข่ายที่จะแปล เครือข่ายภายนอกหมายถึงเครือข่ายอื่นๆ ทั้งหมด

เมื่อใช้ NAT ที่อยู่ IPv4 จะมีการกำหนดที่แตกต่างกัน ขึ้นอยู่กับว่าอยู่บนเครือข่ายส่วนตัวหรือเครือข่ายสาธารณะ (อินเทอร์เน็ต) และการรับส่งข้อมูลเป็นขาเข้าหรือขาออก

NAT มีที่อยู่สี่ประเภท:

ภายในที่อยู่ท้องถิ่น;
ที่อยู่ภายในส่วนกลาง;
ที่อยู่นอกท้องถิ่น;
ที่อยู่ภายนอกส่วนกลาง;

เมื่อพิจารณาว่าจะใช้ที่อยู่ประเภทใด สิ่งสำคัญคือต้องจำไว้ว่าคำศัพท์ NAT จะถูกนำมาใช้ในแง่ของอุปกรณ์ที่มีที่อยู่ที่แปลเสมอ:

ที่อยู่ภายใน- ที่อยู่ของอุปกรณ์ที่แปลโดย NAT
ที่อยู่ภายนอก- ที่อยู่อุปกรณ์ปลายทาง
ที่อยู่ในท้องถิ่น- นี่คือที่อยู่ใด ๆ ที่แสดงในส่วนภายในของเครือข่าย
ที่อยู่สากล- นี่คือที่อยู่ใด ๆ ที่แสดงบนส่วนภายนอกของเครือข่าย

ลองดูสิ่งนี้โดยใช้แผนภาพตัวอย่าง

ในรูป พีซีมีโลคัลภายใน ( ภายในท้องถิ่น) ที่อยู่คือ 192.168.1.5 และจากมุมมองของเว็บเซิร์ฟเวอร์มีที่อยู่ภายนอก ( ข้างนอก) ที่อยู่ 208.141.17.4 เมื่อแพ็กเก็ตถูกส่งจากพีซีไปยังที่อยู่โกลบอลของเว็บเซิร์ฟเวอร์ ระบบภายใน ( ภายในท้องถิ่น) ที่อยู่พีซีถูกแปลเป็น 208.141.16.5 ( ภายในระดับโลก- โดยปกติแล้วที่อยู่อุปกรณ์ภายนอกจะไม่ถูกแปลเนื่องจากเป็นที่อยู่ IPv4 สาธารณะ

เป็นที่น่าสังเกตว่าพีซีมีที่อยู่ในท้องถิ่นและที่อยู่ทั่วโลกที่แตกต่างกัน ในขณะที่เว็บเซิร์ฟเวอร์มีที่อยู่ IP สาธารณะเดียวกัน จากมุมมองของเขา การรับส่งข้อมูลที่มาจากพีซีนั้นมาจากที่อยู่สากลภายใน 208.141.16.5 เราเตอร์ NAT คือจุดแบ่งเขตระหว่างเครือข่ายภายในและภายนอก และระหว่างที่อยู่ในเครื่องและที่อยู่ทั่วโลก

เงื่อนไข ข้างในและ ข้างนอกรวมกับเงื่อนไข ท้องถิ่นและ ทั่วโลกเพื่อเชื่อมโยงไปยังที่อยู่เฉพาะ ในรูป เราเตอร์ได้รับการกำหนดค่าให้จัดเตรียม NAT และมีกลุ่มที่อยู่สาธารณะเพื่อกำหนดให้กับโฮสต์ภายใน

รูปภาพนี้แสดงวิธีการส่งการรับส่งข้อมูลจากพีซีภายในไปยังเว็บเซิร์ฟเวอร์ภายนอก ผ่านเราเตอร์ที่เปิดใช้งาน NAT และส่งต่อและส่งต่อในทิศทางตรงกันข้าม

ที่อยู่ภายในท้องถิ่น ( ภายในที่อยู่ท้องถิ่น) - ที่อยู่ต้นทางที่มองเห็นได้จากเครือข่ายภายใน ในรูปที่อยู่ 192.168.1.5 ถูกกำหนดให้กับพีซี - นี่คือที่อยู่ภายในเครื่อง

ที่อยู่ร่วมภายใน ( ที่อยู่ภายในส่วนกลาง) - ที่อยู่ต้นทางที่มองเห็นได้จากเครือข่ายภายนอก ในรูป เมื่อการรับส่งข้อมูลจากพีซีถูกส่งไปยังเว็บเซิร์ฟเวอร์ที่ 208.141.17.4 เราเตอร์จะแปลที่อยู่ภายในเครื่อง ( ภายในที่อยู่ท้องถิ่น) ไปยังที่อยู่ส่วนกลางภายใน ( ที่อยู่ภายในส่วนกลาง- ในกรณีนี้ เราเตอร์จะเปลี่ยนที่อยู่ต้นทาง IPv4 จาก 192.168.1.5 เป็น 208.141.16.5

ที่อยู่ร่วมภายนอก ( ที่อยู่ภายนอกส่วนกลาง) - ที่อยู่ของผู้รับซึ่งมองเห็นได้จากเครือข่ายภายนอก นี่คือที่อยู่ IPv4 ที่สามารถกำหนดเส้นทางได้ทั่วโลกซึ่งกำหนดให้กับโฮสต์บนอินเทอร์เน็ต ในแผนภาพ เว็บเซิร์ฟเวอร์พร้อมใช้งานที่ 208.141.17.4 ส่วนใหญ่แล้ว ที่อยู่ภายนอกภายในและภายนอกส่วนกลางจะเหมือนกัน

ที่อยู่ท้องถิ่นภายนอก ( ที่อยู่นอกท้องถิ่น) - ที่อยู่ผู้รับมองเห็นได้จากเครือข่ายภายใน ในตัวอย่างนี้ พีซีส่งการรับส่งข้อมูลไปยังเว็บเซิร์ฟเวอร์ที่ 208.141.17.4

ลองพิจารณาเส้นทางทั้งหมดของแพ็กเก็ต พีซีที่มีที่อยู่ 192.168.1.5 กำลังพยายามสื่อสารกับเว็บเซิร์ฟเวอร์ 208.141.17.4 เมื่อแพ็กเก็ตมาถึงเราเตอร์ที่เปิดใช้งาน NAT มันจะอ่านที่อยู่ปลายทาง IPv4 ของแพ็กเก็ตเพื่อตรวจสอบว่าแพ็กเก็ตนั้นตรงตามเกณฑ์ที่ระบุไว้สำหรับการแปลหรือไม่ ในตัวอย่างนี้ ที่อยู่ต้นทางตรงตามเกณฑ์และแปลจาก 192.168.1.5 ( ภายในที่อยู่ท้องถิ่น) ที่ 208.141.16.5 - ที่อยู่ภายในส่วนกลาง- เราเตอร์จะเพิ่มการแมปที่อยู่ภายในเครื่องกับที่อยู่ส่วนกลางลงในตาราง NAT และส่งแพ็กเก็ตพร้อมที่อยู่ต้นทางที่แปลไปยังปลายทาง เว็บเซิร์ฟเวอร์ตอบสนองด้วยแพ็กเก็ตที่ส่งไปยังที่อยู่ส่วนกลางภายในของพีซี (208.141.16.5) เราเตอร์ได้รับแพ็กเก็ตที่มีที่อยู่ปลายทาง 208.141.16.5 และตรวจสอบตาราง NAT ซึ่งค้นหารายการสำหรับการแมปนี้ ใช้ข้อมูลนี้และแปลที่อยู่ส่วนกลางภายใน (208.141.16.5) กลับเป็นที่อยู่ภายในเครื่อง (192.168.1.5) และแพ็กเก็ตจะถูกส่งต่อไปยังพีซี

ประเภท NAT

การแปล NAT มีสามประเภท:

การแปลที่อยู่แบบคงที่ (NAT แบบคงที่)- การแมปที่อยู่แบบหนึ่งต่อหนึ่งระหว่างที่อยู่ท้องถิ่นและทั่วโลก
การแปลที่อยู่แบบไดนามิก (Dynamic NAT)- การแมปที่อยู่แบบหลายต่อหลายรายการระหว่างที่อยู่ในท้องถิ่นและทั่วโลก
การแปลที่อยู่พอร์ต (NAT)- การแมปที่อยู่แบบหลายผู้รับระหว่างที่อยู่ท้องถิ่นและทั่วโลกโดยใช้พอร์ต วิธีการนี้เรียกอีกอย่างว่า NAT โอเวอร์โหลด;

NAT แบบคงที่ใช้การจับคู่ที่อยู่ในท้องถิ่นและทั่วโลกแบบหนึ่งต่อหนึ่ง การแมปเหล่านี้ได้รับการกำหนดค่าโดยผู้ดูแลระบบเครือข่ายและคงอยู่อย่างถาวร เมื่ออุปกรณ์ส่งการรับส่งข้อมูลไปยังอินเทอร์เน็ต ที่อยู่ภายในเครื่องจะถูกแปลเป็นที่อยู่ร่วมภายในที่กำหนดค่าไว้ สำหรับเครือข่ายภายนอก อุปกรณ์เหล่านี้มีที่อยู่ IPv4 สาธารณะ NAT แบบคงที่มีประโยชน์อย่างยิ่งสำหรับเว็บเซิร์ฟเวอร์หรืออุปกรณ์ที่ต้องมีที่อยู่ที่สอดคล้องกันซึ่งสามารถเข้าถึงได้จากอินเทอร์เน็ต เช่น เว็บเซิร์ฟเวอร์ของบริษัท NAT แบบคงที่ต้องมีที่อยู่สาธารณะในจำนวนที่เพียงพอเพื่อให้ตรงตามจำนวนเซสชันผู้ใช้พร้อมกันทั้งหมด

ตาราง NAT แบบคงที่มีลักษณะดังนี้:

Dynamic NAT ใช้กลุ่มที่อยู่สาธารณะและกำหนดตามลำดับก่อนหลัง เมื่ออุปกรณ์ภายในร้องขอการเข้าถึงเครือข่ายภายนอก NAT แบบไดนามิกจะกำหนดที่อยู่ IPv4 สาธารณะที่พร้อมใช้งานจากพูล เช่นเดียวกับ NAT แบบคงที่ NAT แบบไดนามิกจำเป็นต้องมีที่อยู่สาธารณะในจำนวนที่เพียงพอเพื่อตอบสนองจำนวนเซสชันผู้ใช้พร้อมกันทั้งหมด

ตาราง NAT แบบไดนามิกมีลักษณะดังนี้:

การแปลที่อยู่พอร์ต (PAT)

กททออกอากาศที่อยู่ส่วนตัวหลายรายการไปยังที่อยู่สาธารณะตั้งแต่หนึ่งรายการขึ้นไป นี่คือสิ่งที่เราเตอร์ที่บ้านส่วนใหญ่ทำ ISP กำหนดที่อยู่เดียวให้กับเราเตอร์ แต่สมาชิกในครอบครัวหลายคนสามารถเข้าถึงอินเทอร์เน็ตได้ในเวลาเดียวกัน นี่เป็นรูปแบบ NAT ที่พบบ่อยที่สุด

ด้วย PAT ที่อยู่หลายรายการสามารถแมปกับที่อยู่หนึ่งรายการขึ้นไปได้ เนื่องจากที่อยู่ส่วนตัวแต่ละรายการจะถูกติดตามด้วยหมายเลขพอร์ตด้วย เมื่ออุปกรณ์เริ่มเซสชัน ทีพีซี/ไอพีจะสร้างค่าพอร์ตต้นทาง TCPหรือ ยูดีพีเพื่อระบุเซสชันโดยไม่ซ้ำกัน เมื่อเราเตอร์ NAT ได้รับแพ็คเก็ตจากไคลเอนต์ เราเตอร์จะใช้หมายเลขพอร์ตต้นทางเพื่อระบุการแปล NAT ที่เฉพาะเจาะจง PAT ตรวจสอบให้แน่ใจว่าอุปกรณ์ใช้หมายเลขพอร์ต TCP ที่แตกต่างกันสำหรับแต่ละเซสชัน เมื่อการตอบสนองถูกส่งกลับจากเซิร์ฟเวอร์ หมายเลขพอร์ตต้นทางซึ่งกลายเป็นหมายเลขพอร์ตปลายทางบนเส้นทางส่งคืน จะกำหนดอุปกรณ์ที่เราเตอร์ส่งต่อแพ็กเก็ตไป

ภาพแสดงกระบวนการ PAT PAT เพิ่มหมายเลขพอร์ตต้นทางที่ไม่ซ้ำกันให้กับที่อยู่ส่วนกลางภายในเพื่อแยกความแตกต่างระหว่างการแปล

ขณะที่เราเตอร์ประมวลผลแต่ละแพ็กเก็ต เราเตอร์จะใช้หมายเลขพอร์ต (1331 และ 1555 ในตัวอย่างนี้) เพื่อระบุอุปกรณ์ที่เป็นที่มาของแพ็กเก็ต

ที่อยู่ต้นทาง ( ที่อยู่ต้นทาง) คือที่อยู่ภายในเครื่องภายในซึ่งมีหมายเลขพอร์ตต่อท้ายที่กำหนดโดย TCP/IP ที่อยู่ปลายทาง ( ที่อยู่ปลายทาง) คือที่อยู่ในเครื่องภายนอกซึ่งมีหมายเลขพอร์ตบริการต่อท้าย ในตัวอย่างนี้ พอร์ตบริการคือ 80: HTTP

สำหรับที่อยู่ต้นทาง เราเตอร์จะแปลที่อยู่ภายในเครื่องเป็นที่อยู่ร่วมภายในโดยมีหมายเลขพอร์ตต่อท้าย ที่อยู่ปลายทางไม่เปลี่ยนแปลง แต่ปัจจุบันเรียกว่าที่อยู่ IP สากลภายนอก เมื่อเว็บเซิร์ฟเวอร์ตอบสนอง เส้นทางจะกลับกัน

ในตัวอย่างนี้ หมายเลขพอร์ตไคลเอ็นต์ 1331 และ 1555 ไม่ได้เปลี่ยนแปลงบนเราเตอร์ NAT นี่ไม่ใช่สถานการณ์ที่เป็นไปได้มากนัก เนื่องจากมีโอกาสที่ดีที่หมายเลขพอร์ตเหล่านี้จะถูกแนบไปกับเซสชันอื่นที่ใช้งานอยู่อยู่แล้ว PAT พยายามรักษาพอร์ตต้นทางดั้งเดิม อย่างไรก็ตาม หากมีการใช้งานพอร์ตต้นทางดั้งเดิมแล้ว PAT จะกำหนดหมายเลขพอร์ตแรกที่มีอยู่ โดยเริ่มจากจุดเริ่มต้นของกลุ่มพอร์ตที่เกี่ยวข้อง 0-511, 512-1023 หรือ 1024-65535 - เมื่อไม่มีพอร์ตอีกต่อไปและมีที่อยู่ภายนอกมากกว่าหนึ่งรายการในกลุ่มที่อยู่ PAT จะย้ายไปยังที่อยู่ถัดไปเพื่อพยายามจัดสรรพอร์ตต้นทางดั้งเดิม กระบวนการนี้จะดำเนินต่อไปจนกว่าจะไม่มีพอร์ตหรือที่อยู่ IP ภายนอกอีกต่อไป

นั่นคือหากโฮสต์อื่นสามารถเลือกหมายเลขพอร์ตเดียวกัน 1444 ได้ ซึ่งเป็นที่ยอมรับสำหรับที่อยู่ภายในเนื่องจากโฮสต์มีที่อยู่ IP ส่วนตัวที่ไม่ซ้ำกัน อย่างไรก็ตาม บนเราเตอร์ NAT จะต้องเปลี่ยนหมายเลขพอร์ต - มิฉะนั้นแพ็กเก็ตจากโฮสต์ที่ต่างกันสองโฮสต์จะปล่อยให้มีที่อยู่ต้นทางเดียวกัน ดังนั้น PAT จึงกำหนดพอร์ตถัดไปที่มีอยู่ (1445) ให้กับที่อยู่โฮสต์ที่สอง

มาสรุปการเปรียบเทียบระหว่าง NAT และ PAT กันดีกว่า ดังที่คุณเห็นจากตาราง NAT แปลที่อยู่ IPv4 บนพื้นฐาน 1:1 ระหว่างที่อยู่ IPv4 ส่วนตัวและที่อยู่ IPv4 สาธารณะ อย่างไรก็ตาม PAT จะเปลี่ยนทั้งที่อยู่และหมายเลขพอร์ต NAT ส่งต่อแพ็กเก็ตขาเข้าไปยังที่อยู่ภายในตามที่อยู่ IP ต้นทางขาเข้าที่กำหนดโดยโฮสต์บนเครือข่ายสาธารณะ ในขณะที่ PAT โดยปกติแล้วจะมีที่อยู่ IPv4 ที่เปิดเผยต่อสาธารณะเพียงหนึ่งหรือน้อยมาก และแพ็กเก็ตขาเข้าจะถูกส่งต่อตามตาราง NAT ของเราเตอร์ .

แล้วแพ็กเก็ต IPv4 ที่มีข้อมูลอื่นที่ไม่ใช่ TCP หรือ UDP ล่ะ แพ็กเก็ตเหล่านี้ไม่มีหมายเลขพอร์ตของเลเยอร์ 4 PAT แปลโปรโตคอลทั่วไปส่วนใหญ่ที่ดำเนินการโดย IPv4 ซึ่งไม่ได้ใช้ TCP หรือ UDP เป็นโปรโตคอลของเลเยอร์การขนส่ง สิ่งที่พบบ่อยที่สุดคือ ICMPv4 โปรโตคอลแต่ละประเภทได้รับการจัดการที่แตกต่างกันโดย PAT ตัวอย่างเช่น ข้อความคำขอ ICMPv4 คำขอ echo และการตอบกลับจะรวมรหัสคำขอด้วย รหัสแบบสอบถาม- ICMPv4 ใช้ Query ID เพื่อระบุคำขอ echo พร้อมการตอบสนองที่เกี่ยวข้อง รหัสคำขอจะเพิ่มขึ้นเมื่อมีการส่ง Ping แต่ละครั้ง PAT ใช้รหัสคำขอแทนหมายเลขพอร์ตเลเยอร์ 4

ข้อดีและข้อเสียของ NAT

NAT ให้ประโยชน์มากมาย ได้แก่:

NAT รักษารูปแบบการกำหนดที่อยู่ที่ลงทะเบียนไว้ เพื่อให้สามารถแปรรูปอินทราเน็ตได้ ด้วย PAT โฮสต์ภายในสามารถแบ่งปันที่อยู่ IPv4 สาธารณะหนึ่งที่อยู่สำหรับการสื่อสารภายนอกทั้งหมด ในการกำหนดค่าประเภทนี้ จำเป็นต้องมีที่อยู่ภายนอกเพียงไม่กี่รายการเพื่อรองรับโฮสต์ภายในจำนวนมาก
NAT เพิ่มความยืดหยุ่นในการเชื่อมต่อกับเครือข่ายสาธารณะ พูลหลายพูล พูลสำรอง และพูลบาลานซ์โหลดสามารถนำไปใช้เพื่อให้การเชื่อมต่อเครือข่ายสาธารณะที่เชื่อถือได้

NAT ให้ความสอดคล้องสำหรับรูปแบบการกำหนดที่อยู่ภายในของเครือข่าย บนเครือข่ายที่ไม่ได้ใช้ที่อยู่ IPv4 ส่วนตัวและ NAT การเปลี่ยนรูปแบบที่อยู่ IPv4 โดยรวมจำเป็นต้องเปลี่ยนเส้นทางโฮสต์ทั้งหมดบนเครือข่ายที่มีอยู่ ค่าใช้จ่ายในการส่งต่อโฮสต์อาจมีนัยสำคัญ NAT อนุญาตให้รูปแบบการกำหนดที่อยู่ IPv4 ส่วนตัวที่มีอยู่ยังคงอยู่ ในขณะที่อนุญาตให้เปลี่ยนรูปแบบการกำหนดที่อยู่สาธารณะใหม่ได้อย่างง่ายดาย ซึ่งหมายความว่าองค์กรสามารถเปลี่ยนผู้ให้บริการและไม่ต้องเปลี่ยนลูกค้าภายในใดๆ

NAT ให้ความปลอดภัยเครือข่าย เนื่องจากเครือข่ายส่วนตัวไม่ได้โฆษณาที่อยู่หรือโทโพโลยีภายใน จึงค่อนข้างปลอดภัยเมื่อใช้ร่วมกับ NAT เพื่อให้เข้าถึงจากภายนอกที่มีการควบคุม อย่างไรก็ตาม คุณต้องเข้าใจว่า NAT ไม่ได้แทนที่ไฟร์วอลล์

แต่ NAT ก็มีข้อเสียอยู่บ้าง ความจริงที่ว่าโฮสต์บนอินเทอร์เน็ตดูเหมือนจะสื่อสารโดยตรงกับอุปกรณ์ที่เปิดใช้งาน NAT แทนที่จะสื่อสารกับโฮสต์จริงภายในเครือข่ายส่วนตัวทำให้เกิดปัญหาหลายประการ:

ข้อเสียประการหนึ่งของการใช้ NAT เกี่ยวข้องกับประสิทธิภาพของเครือข่าย โดยเฉพาะโปรโตคอลแบบเรียลไทม์ เช่น วีโอไอพี- NAT เพิ่มความล่าช้าในการสลับเนื่องจากต้องใช้เวลาในการแปลที่อยู่ IPv4 แต่ละรายการในส่วนหัวของแพ็กเก็ต
ข้อเสียอีกประการหนึ่งของการใช้ NAT ก็คือการระบุที่อยู่จากต้นทางถึงปลายทางจะหายไป โปรโตคอลอินเทอร์เน็ตและแอปพลิเคชันจำนวนมากขึ้นอยู่กับการกำหนดแอดเดรสแบบ end-to-end จากต้นทางไปยังปลายทาง แอปพลิเคชั่นบางตัวใช้งานไม่ได้กับ NAT แอปพลิเคชันที่ใช้ที่อยู่จริงแทนที่จะเป็นชื่อโดเมนที่ผ่านการรับรองจะไม่เข้าถึงปลายทางที่แปลผ่านเราเตอร์ NAT บางครั้งปัญหานี้สามารถหลีกเลี่ยงได้ด้วยการใช้การแมป NAT แบบคงที่
การติดตาม IPv4 จากต้นทางถึงปลายทางก็หายไปเช่นกัน การติดตามแพ็กเก็ตที่มีการเปลี่ยนแปลงที่อยู่แพ็กเก็ตหลายครั้งใน NAT Hops หลายครั้งทำได้ยากกว่า ทำให้การแก้ไขปัญหายากขึ้น
การใช้ NAT ยังขัดขวางโปรโตคอลทันเนลเช่น IPsec เนื่องจาก NAT เปลี่ยนค่าในส่วนหัวที่รบกวนการตรวจสอบความสมบูรณ์ของ IPsec และโปรโตคอลทันเนลอื่น ๆ
บริการที่จำเป็นต้องเริ่มต้นการเชื่อมต่อ TCP จากเครือข่ายภายนอก หรือโปรโตคอลไร้สัญชาติ เช่น บริการที่ใช้ UDP อาจหยุดชะงัก หากไม่ได้กำหนดค่าเราเตอร์ NAT ให้รองรับโปรโตคอลดังกล่าว แพ็กเก็ตขาเข้าจะไม่สามารถเข้าถึงปลายทางได้