Трансляция сетевых адресов (NAT)

Непрерывное развитие IP-сетей стало причиной нехватки адресов IPv4. Актуальность данной проблемы потребовала поиска долгосрочных решений. Хорошо зарекомендовавший себя механизм преобразования сетевых адресов (Network Address Translation; NAT) широко применяется в корпоративных сетях. Многие методы NAT были разработаны таким образом, чтобы экономить пространство публичных адресов и в то же время поддерживать непрерывную связь с публичной сетью. В данном разделе представлена концепция NAT, и приведены примеры применения общих методов NAT, которые обеспечат поддержку межсетевого взаимодействия между корпоративной сетью и доменом публичной сети.



•Одной из основных проблем, с которыми сталкивается расширяющаяся сеть, является постепенное исчерпание IP-адресов в результате растущего на них спроса. Существующая схема адресации IPv4 не справляется с постоянным ростом числа устройств Интернет. IANA, отраслевой орган, который отвечает за распределение адресов между региональными регистраторами по всему миру, уже давно заявила об ограничении выделения адресов в связи с израсходованием резерва.
•Одним из временных решений стало выделение диапазона частных адресов на базе существующих классов IP-адресов, которые можно использовать повторно. Таким образом, в сетевых доменах стала возможной реализация схемы адресации на базе диапазона частных адресов в соответствии с масштабом сетевого домена. Это позволяет передавать трафик, источник и пункт назначения которого находятся в одном домене, без расходования ценного резерва публичных адресов.
•Однако в этом случае возникает проблема организации маршрутов за пределами домена частной сети, когда пункты назначения трафика существуют в публичном домене или в другом частном домене за пределами этого публичного домена. Технология преобразования сетевых адресов, позволяющая конечным устройствам пересылать трафик через домен публичной сети из частной сети, стала стандартным решением данной проблемы.

•Механизм NAT определяет сетевые домены для преобразования по границе маршрутизатор-шлюз. Домены рассматриваются как внутренние частные сети или внешние публичные сети, между которыми выполняется NAT. Основной принцип заключается в приеме трафика, адрес источника которого находится в частной сети, а адрес пункта назначения — за пределами домена частной сети.
•Предполагается, что маршрутизатор будет выполнять NAT для преобразования частного адреса в публичный адрес таким образом, чтобы публичный адрес назначения смог получить действительный обратный адрес, по которому можно отвечать на полученные пакеты. NAT также должен создать таблицу сопоставления в шлюзе, чтобы шлюз мог определить, по какому адресу назначения частной сети должен быть отправлен пакет, полученный из публичной сети, что снова требует преобразования адреса в обратном направлении.

•Существует несколько концепций NAT, которые могут применяться в различных ситуациях. Статический NAT представляет собой механизм прямого взаимно-однозначного сопоставления «один к одному», которое позволяет преобразовать IP-адрес конкретной конечной системы в конкретный публичный адрес. В больших масштабах сопоставление «один к одному» не решает проблему нехватки адресов, однако эта концепция применима в тех случаях, когда хосту необходимо предоставить определенные привилегии относительно адреса, с которым хост связан статически. Этот же принцип может также применяться к серверам, к которым может потребоваться доступ из внешней сети по определенному публичному адресу.
•В данном примере пакеты от источника 192.168.1.1 передаются узлу с публичным сетевым адресом 1.1.1.1. Сетевой шлюз RTA создает соответствие между частным адресом 192.168.1.1 и публичным адресом 200.10.10.5, который назначается в качестве исходного адреса пакета перед его передачей шлюзом к планируемому месту назначения. Любой ответный пакет будет отправлен узлу назначения с адресом 200.10.10.5, на котором шлюз будет выполнять статическое преобразование, прежде чем пересылать пакет на ассоциированный хост 192.168.1.1. Статическое сопоставление адресов не требует реального управления выделением адресов пользователям, поскольку адреса назначаются вручную.

•Динамический NAT работает по принципу адресных пулов, с помощью которых внутренние конечные системы, планирующие передавать трафик через публичную сеть, привязываются к публичному адресу из пула адресов. Конечные системы, которым требуется установить связь с получателями в домене публичной сети, должны быть привязаны к уникальному публичному адресу, который доступен в диапазоне пула публичных адресов.
•Адрес назначается из пула адресов сервера NAT, поскольку каждая конечная система пытается перенаправить трафик в пункт назначения публичной сети. Количество IP-адресов, принадлежащих серверу NAT, намного меньше количества внутренних хостов, поскольку не все внутренние хосты одновременно обращаются к внешним сетям. Обычно это определяется количеством внутренних хостов, которые получают доступ к внешним сетям в часы пик.
•Как показано в данном примере, два внутренних хоста генерируют пакеты, предназначенные пункту назначения 1.1.1.1/24, при этом каждому внутреннему хосту присваивается уникальный адрес из адресного пула для различия этих хостов в публичной сети. При отсутствии необходимости связи через публичную сеть данное сопоставление адресов будет удалено, чтобы вернуть публичный адрес в адресный пул.

•В дополнение к методу преобразования адресов «многие ко многим» в динамическом NAT используется еще один метод — преобразование сетевых адресов на уровне портов (NAPT), который реализует параллельное преобразование. NAPT позволяет сопоставить несколько внутренних адресов одному общему адресу. Это также называется многоадресной трансляцией адресов или мультиплексированием адресов. NAPT сопоставляет IP-адреса и интерфейсы. Дейтаграммы с разных внутренних адресов сопоставляются с интерфейсами с одним публичным адресом и разными номерами портов, то есть дейтаграммы имеют один и тот же публичный адрес.
•Маршрутизатор получает пакет запроса, отправленный с хоста в частной сети для доступа к серверу в публичной сети. Исходный IP-адрес пакета - 192.168.1.1, а номер его порта - 1025. Маршрутизатор выбирает неиспользуемый публичный IP-адрес и номер незанятого порта из пула IP-адресов и устанавливает прямые и обратные записи NAPT, которые сопоставляют IP-адрес источника номеру порта пакета, а также публичный IP-адрес номеру порта. Маршрутизатор преобразует IP-адрес источника пакета и номер порта в публичный IP-адрес и номер порта на базе прямой записи NAPT и отправляет пакет на сервер в публичной сети. После трансляции исходный IP-адрес пакета - 200.10.10.11, а номер порта - 2843.

•Процесс «Easy IP» используется в тех случаях, где узлам в небольших локальных сетях требуется доступ к публичной сети или Интернет. Если планируется использовать только несколько внутренних узлов, а исходящий интерфейс будет получать временный публичный IP-адрес посредством коммутируемого доступа, обычно развертываются небольшие LAN-сети. Для доступа к Интернет внутренние узлы используют временный публичный IP-адрес, и для этого используется технология Easy IP.
•В данном примере показан процесс Easy IP. Маршрутизатор получает пакет, отправленный с хоста частной сети, который содержит запрос на доступ к серверу публичной сети. IP-адрес источника пакета в данном случае - 192.168.1.1, а номер порта - 1025. Маршрутизатор устанавливает прямые и обратные записи Easy IP, которые определяют соответствие между IP-адресом источника и номером порта пакета, а также между публичным IP-адресом и номером порта интерфейса, подключенного к публичной сети. Маршрутизатор выполняет преобразование IP-адреса источника и номера порта пакета в публичный IP-адрес и номер порта и отправляет пакет на сервер публичной сети. После преобразования IP-адрес источника пакета будет 200.10.10.1, а номер порта - 2843.
•Получив ответ от сервера, маршрутизатор запрашивает обратную запись Easy IP на основе IP-адреса пункта назначения и номера порта. Маршрутизатор транслирует IP-адрес и номер порта пункта назначения пакета в частный IP-адрес и номер порта хоста частной сети и отправляет пакет на хост. После преобразования IP-адрес пункта назначения пакета - 192.168.1.1, а номер порта - 1025.

•NAT позволяет защитить хосты в частных сетях от пользователей публичных сетей. Если пользователи публичной сети пользуются веб-сервисами и FTP-сервисами частной сети, серверы в этой частной сети должны быть доступны таким пользователям в любое время.
•Данная проблема решается в помощью метода «сервер NAT», который преобразует публичный IP-адрес и номер порта в частный IP-адрес и номер порта на основе предварительно настроенного сопоставления.
Настройка записей преобразования адресов сервера NAT выполняется на маршрутизаторе, после чего маршрутизатор получает запрос на доступ, отправленный с хоста публичной сети. Маршрутизатор запрашивает запись преобразования адреса в соответствии с IP-адресом пункта назначения пакета и номером порта. Маршрутизатор транслирует IP-адрес и номер порта назначения пакета в частный IP-адрес и номер порта согласно данной записи и отправляет пакет на сервер частной сети. IP-адрес пункта назначения пакета, отправленного хостом публичной сети - 200.10.10.5, а номер порта назначения - 80. После выполнения маршрутизатором преобразования IP-адрес пункта назначения пакета будет 192.168.1.1, и его номер порта - 8080. После получения ответного пакета, отправленного с сервера частной сети, маршрутизатор запрашивает запись преобразования адреса в соответствии с IP-адресом исходного пакета и номером порта. Маршрутизатор преобразует IP-адрес исходного пакета и номер порта в публичный IP-адрес и номер порта на основе данной записи и отправляет пакет хосту публичной сети. Источником ответного пакета, отправленного с хоста частной сети, будет 192.168.1.1, а номер порта - 8080. После преобразования маршрутизатором IP-адрес источника пакета будет 200.10.10.5, и номером порта будет снова порт 80.


Этот тест был открыт Пятница, 2 Апрель 2021, 22:21

Тестирование будет окончено в Понедельник, 2 Апрель 2035, 22:21

Метод оценивания: Высшая оценка