<< zpět na technický Glosář

definice překladu síťových adres

překlad síťových adres (NAT) je proces, který umožňuje jedné jedinečné IP adrese reprezentovat celou skupinu počítačů. V překladu síťových adres přiřadí síťové zařízení, často router nebo NAT firewall, počítači nebo počítačům uvnitř soukromé sítě veřejnou adresu. Tímto způsobem umožňuje překlad síťových adres jedinému zařízení působit jako prostředník nebo agent mezi místní, soukromou sítí a veřejnou sítí, která je internetem. Hlavním účelem NAT je zachovat počet používaných veřejných IP adres, a to jak pro bezpečnostní, tak pro ekonomické cíle.

tento obrázek zobrazuje překlad síťových adres (NAT) a proces synchronizace všech adres zařízení na zabezpečený server.

Často kladené dotazy k překladu síťových adres

co je překlad síťových adres?

Network Address Translation (Nat) uchovává IP adresy tím, že umožňuje privátním IP sítím používajícím neregistrované IP adresy přejít do režimu online. Předtím, než NAT předá pakety mezi sítěmi, které připojuje, převádí soukromé interní síťové adresy na legální, globálně jedinečné adresy.

konfigurace NAT mohou odhalit pouze jednu IP adresu pro celou síť vnějšímu světu jako součást této schopnosti, účinně skrýt celou vnitřní síť a poskytnout další zabezpečení. Překlad síťových adres je obvykle implementován v prostředích vzdáleného přístupu, protože Nabízí duální funkce zachování adres a zvýšené zabezpečení.

jaký je účel překladu síťových adres?

pro komunikaci s internetem vyžaduje síťový systém jedinečnou IP adresu. Toto 32bitové číslo identifikuje a vyhledá síťové zařízení, aby s ním uživatel mohl komunikovat.

schéma adresování IPV4 posledních desetiletí technicky zpřístupnilo miliardy těchto jedinečných adres, ale ne všechny mohly být přiřazeny zařízením pro komunikaci. Namísto, některé byly osvobozeny a použity pro testování, vysílání, a určité vyhrazené vojenské účely. Zatímco to zbylo 3 miliardy na komunikaci, šíření internetu znamenalo, že adresy byly téměř vyčerpány.

jako řešení této slabosti v adresovacím schématu IPv4 bylo zavedeno schéma adresování IPv6. IPv6 obnovuje adresovací systém, takže existuje více možností pro přidělování adres, ale trvalo několik let, než se změnila infrastruktura síťového systému a implementovala se. Nat byl mezitím představen společností Cisco a široce nasazen.

jak funguje překlad síťových adres

překlad síťových adres umožňuje jedinému zařízení, jako je firewall NAT nebo router NAT nebo jiné zařízení pro překlad síťových adres, působit jako agent mezi veřejnou sítí a soukromými sítěmi—internetem a všemi místními sítěmi. To umožňuje, aby celá skupina zařízení byla reprezentována jedinou jedinečnou IP adresou, když dělají cokoli mimo svou síť.

nat funguje jako recepční velké společnosti, s konkrétními pokyny, na které hovory a návštěvníky, aby se ven, aby čekat, nebo poslat přes, a kam by měli jít. Například, můžete říct recepční nepředávat žádné návštěvníky nebo hovory bez vašeho požadavku, dokud čekáte na něco konkrétního; pak můžete nechat pokyny o tom nechat tento konkrétní klient komunikace prostřednictvím.

klient volá hlavní číslo společnosti, protože toto veřejné číslo je jediné, které někdo zná. Řeknou recepční potřebují mluvit s vámi, a recepční a) kontroluje pokyny a ví, že chcete hovor přesměrován, a b) odpovídá rozšíření se seznamem poslat informace na správné místo. Volající nikdy nedostane vaši soukromou linku.

překlad síťových adres funguje podobně. Požadavek dorazí na veřejnou IP adresu a port a pokyny NAT jej odešlou tam, kam by měl jít, aniž by odhalily soukromé IP adresy destinací.

Nat Network Address Translation Example

jako příklad překladu Nat network address může interní hostitel chtít komunikovat s adresou webového serveru pro překlad cílové sítě ve vnějším světě. Pro další komunikaci odešle datový paket do routeru Nat gateway v síti.

router Nat gateway určuje, zda paket splňuje podmínku pro překlad tím, že se dozví zdrojovou IP adresu paketu a vyhledá ji v tabulce. Může najít ověřené hostitele pro účely interního síťového překladu na svém seznamu řízení přístupu (ACL) a poté dokončit překlad a vytvořit vnitřní globální IP adresu z vnitřní místní IP adresy.

nakonec směrovač Nat gateway po uložení překladu do tabulky NAT směruje paket do cíle. Paket se vrátí na globální IP adresu routeru, když se webový server internetu vrátí k požadavku. S odkazem na tabulku NAT může router určit, která přeložená IP adresa odpovídá které Globální adrese, přeložit ji na vnitřní místní adresu a doručit datový paket hostiteli na jejich IP adresu. Datový paket je vyřazen, pokud není nalezena shoda.

typy překladu síťových adres

existuje mnoho forem NAT a může fungovat několika způsoby.

překlad statické síťové adresy SNAT. SNAT mapuje neregistrované IP adresy pomocí překladu 1 až 1 síťové adresy, aby odpovídaly registrovaným IP adresám. To je zvláště užitečné, když zařízení musí být přístupné mimo síť.

Dynamic network address translation DNAT. Tato forma Nat vybere cíl ze skupiny registrovaných IP adres a mapuje neregistrovanou IP adresu na registrovanou verzi.

reverzní síťový překlad adres RNAT. RNAT umožňuje uživatelům připojit se k sobě pomocí Internetu nebo veřejné sítě.

přetížení překladu síťových adres NAT. Toto je také známé jako NAT přetížení, Port-level multiplexed Nat, single address NAT, nebo port address translation (PAT). Tato forma dynamického NAT používá různé porty k mapování více soukromých, místních, neregistrovaných IP adres na jednu registrovanou IP adresu a rozlišení, který provoz patří ke které NAT IP adrese. Pokud jde o překlad adres portů vs překlad síťových adres, PAT je často nákladově nejefektivnější, když je mnoho uživatelů připojeno k Internetu pouze jednou veřejnou IP adresou.

překlad překrývajících se síťových adres NAT. K překrývání NAT může dojít buď při sloučení dvou organizací, jejichž sítě používají IP adresy RFC 1918, nebo když jsou registrované IP adresy přiřazeny více zařízením nebo jinak používané ve více než jedné interní síti. V obou případech musí sítě komunikovat a organizace k dosažení tohoto cíle používají překrývající se NAT bez čtení všech zařízení.

router Nat zachycuje adresy a udržuje jejich tabulku, aby je mohl nahradit registrovanými jedinečnými IP adresami. Směrovač pro překlad síťových adres musí překládat registrované externí IP adresy na adresy jedinečné pro soukromou síť a překládat interní IP adresy na registrované jedinečné adresy. Toho může dosáhnout buď pomocí DNS k implementaci dynamického NAT, nebo statickým Nat.

v kontextu překladu síťových adres je interní síť, běžně označovaná jako doména stub, obvykle lokální síť LAN, která interně používá IP adresy. Většina síťového provozu domény stub je lokální a zůstává uvnitř interní sítě. Doména stub může obsahovat neregistrované i registrované IP adresy.

konfigurace překladu síťových adres

tradiční konfigurace NAT vyžaduje alespoň jedno rozhraní na routeru (Nat venku); další rozhraní na routeru (nat uvnitř); a nakonfigurovanou sadu pravidel pro překlad IP adres v hlavičkách paketů a případně užitečné zatížení.

v tomto příkladu konfigurace překladu síťových adres konfiguruje směrovač Nat následujícím způsobem. Kdykoli zařízení uvnitř s neregistrovanou (vnitřní, lokální) IP adresou potřebuje komunikovat s (vnější, veřejnou) sítí, router převádí tyto neregistrované adresy umístěné v soukromé (vnitřní) síti na registrované IP adresy.

  • organizace obdrží řadu registrovaných jedinečných IP adres přidělených ISP. Přiřazený seznam adres se nazývá uvnitř globálních adres.
  • tým rozděluje neregistrované soukromé adresy do jedné malé skupiny a jedné mnohem větší skupiny. Doména stub použije větší skupinu nazvanou uvnitř místních adres. Směrovače NAT použijí malou skupinu nazvanou mimo místní adresy k překladu vnějších globálních adres nebo jedinečných IP adres zařízení ve veřejné síti.
  • většina počítačů domén stub spolu komunikuje pomocí místních adres. Existují vnitřní globální adresy pro ty počítače s doménou stub, které značně komunikují mimo síť, což znamená, že nevyžadují překlad.
  • pokud však typický počítač domény stub s vnitřní lokální adresou potřebuje komunikovat mimo síť, odešle paket do směrovače NAT.
  • směrovač Nat kontroluje cílovou adresu ve směrovací tabulce. Pokud má záznam pro tuto adresu, směrovač Nat přeloží paket a zadá tuto akci do tabulky překladu adres. Směrovač Nat upustí paket, pokud cílová adresa není ve směrovací tabulce.
  • router odešle paket pomocí vnitřní globální adresy.
  • počítač veřejné sítě odešle paket do soukromé sítě. Cílová adresa paketu je vnitřní globální adresa a její zdrojová adresa je vnější globální adresa.
  • směrovač Nat potvrzuje, že cílová adresa se mapuje do počítače domény stub kontrolou tabulky překladu adres.
  • směrovač Nat odešle paket do cílového počítače po překladu vnitřní globální adresy paketu na vnitřní místní adresu.

Nat overloading používá multiplexování, funkci zásobníku protokolu TCP/IP. Multiplexování umožňuje počítači udržovat více spojení se vzdáleným počítačem(počítači) současně pomocí různých portů. Hlavička IP paketu obsahuje:

zdrojová adresa. IP adresa původního počítače, například 123.123.12.1
zdrojový port. Přidělené číslo portu TCP nebo UDP pro tento paket, například Port 1060
Cílová adresa. IP adresa přijímajícího počítače, například 52.220.51.237
cílový port. Číslo portu pro překlad síťových adres TCP nebo UDP, které by měl cílový počítač otevřít, například Port 2170

tato čtyři čísla dohromady představují jediné připojení TCP / IP. Adresy objasňují dva počítače na každém konci a čísla portů poskytují jedinečný identifikátor pro spojení mezi oběma počítači. Ačkoli je zde možné 65 536 hodnot, protože každé číslo portu používá 16 bitů, různé porty jsou mapovány mírně odlišnými způsoby, takže asi 4 000 dostupných portů je realistické.

Dynamic NAT a Nat Overloading Configuration

v dynamic network address translation:

  • Iana (Internet Assigned Numbers Authority), globální autorita, která přiřazuje IP adresy, je jediným zdrojem jedinečných IP adres. Pokud byla nastavena doména stub nebo interní síť s IP adresami, které pro ně IANA specificky nepřidělila, adresy nejsou jedinečné, a proto nejsou směrovatelné.
  • organizace nastaví směrovač povolený pro NAT, který obsahuje řadu jedinečných IP adres z IANA.
  • počítač domény stub se pokouší připojit k externímu počítači.
  • router přijímá paket počítače domény stub.
  • směrovač s podporou NAT ukládá směrovatelnou IP adresu z odesílajícího počítače do tabulky pro překlad adres. Směrovač mapuje první dostupnou IP adresu mimo zónu jedinečných IP adres odesílajícímu počítači, aby nahradil směrovatelnou IP adresu.
  • router nyní kontroluje cílovou adresu každého paketu, když dorazí z cílového počítače, a ověřuje, do kterého počítače domény stub paket patří, s tabulkou překladu adres. Pokud nenajde shodu, upustí paket. V opačném případě vyhledá alternativu pro cílovou adresu uloženou v tabulce překladu adres a odešle ji.
  • počítač přijímá paket a proces pokračuje tak dlouho, dokud externí systém a počítač komunikují.

v Nat overloading:

  • stejně jako v předchozím příkladu dynamic Nat byla doména nebo interní síť stub nastavena s ne-směrovatelnými, ne-jedinečnými IP adresami, které pro ně nejsou specificky přiděleny, takže organizace nastaví směrovač povolený pro NAT, který obsahuje jedinečnou IP adresu z IANA.
  • počítač domény stub se pokouší připojit k externímu počítači.
  • směrovač s podporou NAT přijímá paket počítače s doménou stub.
  • směrovač Nat ukládá nerutovatelnou IP adresu a číslo portu z odesílajícího počítače do tabulky pro překlad adres. Směrovač mapuje číslo portu a IP adresu routeru do odesílajícího počítače, aby nahradil směrovatelnou IP adresu a číslo portu.
  • router zkontroluje cílové porty paketů, které se vracejí z cílového počítače, a potvrdí, do kterého počítače domény stub paket patří. Nahradí cílový port a adresu uloženými verzemi z tabulky překladu adres a odešle je.
  • počítač přijímá paket a proces pokračuje tak dlouho, dokud externí systém a počítač komunikují.
  • směrovač NAT bude i nadále používat stejné číslo portu po celou dobu připojení, protože má zdrojový port počítače a adresu uloženou do tabulky překladu adres. Pokud komunikace skončí bez opětovného přístupu k záznamu, router odstraní záznam z tabulky.

na rozdíl od počítače popsaného výše v tradiční konfiguraci NAT se takto mohou počítače domény stub objevit v externích sítích:

zdrojový počítač 1

IP adresa: 192.168.24.11
port počítače: 620
NAT Router IP adresa: 215.37.32.203
Nat Router Port Number: 1

zdrojový počítač 2

IP adresa: 192.168.24.12
Port počítače: 80
NAT Router IP adresa: 215.37.32.203
Nat Router Port Number: 2

zdrojový počítač 3

IP adresa: 192.168.24.13
port počítače: 1560
nat router IP adresa: 215.37.32.203
Nat Router číslo portu: 3

směrovač s podporou Nat ukládá IP adresu a číslo portu každého zdrojového počítače. Používá svou vlastní registrovanou IP adresu a čísla portů k nahrazení IP adresy a čísla portu, které odpovídají zdrojovému počítači daného paketu v tabulce. Místo informací zdrojového počítače v každém paketu vidí každá externí síť IP adresu Nat routeru a přiřazené číslo portu.

Některé počítače domén stub používají vyhrazené IP adresy. V těchto situacích mohou jejich IP adresy projít routerem Nat nepřeloženým, pokud vytvoříte přístupový seznam IP adres, který pro router objasní, které síťové počítače vyžadují NAT.

dynamická paměť s náhodným přístupem (DRAM) routeru je hlavním faktorem, který určuje počet simultánních překladů, které může podporovat. Typická položka tabulky s překladem adres vyžaduje přibližně 160 bajtů, takže pro většinu aplikací postačuje router se 4 MB DRAM.

podle IANA a RFC 1918 existují specifické rozsahy IP adres pro použití jako interní síťové adresy, které nejsou směrovatelné. Tyto adresy jsou neregistrované, což znamená, že žádná agentura nebo společnost je nemůže používat na veřejných počítačích nebo si nárokovat vlastnictví nad nimi. Namísto předávání neregistrovaných adres jsou směrovače navrženy tak, aby je zahodily. Proto by paket z neregistrované odesílající adresy počítače mohl dosáhnout svého registrovaného cíle počítače, ale první router, na který odpověď přišla, by ji zahodil.

Chcete-li snížit pravděpodobnost konfliktu IP adres, vyplatí se sledovat rozsah pro každou ze tří tříd IP adres ve vaší interní síti:

  • rozsah 1: třída A-10.0.0.0 až 10.255.255.255
  • Rozsah 2: třída B-172.16.0.0 až 172.31.255.255
  • rozsah 3: Třída C-192.168.0.0 až 192.168.255.255

jedná se však o osvědčený postup, nikoli o požadavek.

Nat Router

pomocí přetížení NAT router vytvoří síť IP adres pro místní síť LAN a připojí veřejnou síť, která je internetem, k této síti LAN. Směrovač provádí Nat umožňující komunikaci mezi WAN nebo internetem a hostitelskými zařízeními nebo počítači v síti LAN. Vzhledem k tomu, že směrovače NAT se zdají být samostatným hostitelem se samostatnou IP adresou na internetu, používají se pro malá průmyslová odvětví a domácí účely.

výhody překladu síťových adres

výhody Nat

zachování adres. NAT uchovává IP adresy, které jsou legálně registrovány, a zabraňuje jejich vyčerpání.

zabezpečení překladu síťové adresy. NAT nabízí možnost přístupu k internetu s větší bezpečností a ochranou soukromí tím, že skryje IP adresu zařízení z veřejné sítě, a to i při odesílání a přijímání provozu. Omezení rychlosti Nat umožňuje uživatelům omezit maximální počet souběžných operací NAT na routeru a omezit počet překladů NAT. To poskytuje větší kontrolu nad používáním adres NAT, ale může být také použito k omezení účinků útoků červů, virů a odmítnutí služby (DoS). Dynamická implementace Nat automaticky vytvoří firewall mezi interní sítí a internetem. Některé směrovače NAT nabízejí protokolování a filtrování provozu.

flexibilita. Nat poskytuje flexibilitu; může být například nasazen ve veřejném prostředí bezdrátové sítě LAN. Příchozí mapování nebo statické Nat umožňuje externím zařízením v některých případech iniciovat připojení k počítačům v doméně stub.

jednoduchost. Eliminuje potřebu přečíslování adres při změně nebo sloučení sítě.
Network address translation umožňuje vytvořit uvnitř sítě virtuálního hostitele pro koordinaci TCP vyrovnávání zatížení pro interní síťové servery.

Rychlost. Ve srovnání s proxy servery je NAT transparentní pro cílové i zdrojové počítače, což umožňuje rychlejší přímé obchodování. Proxy servery navíc obvykle pracují na transportní vrstvě nebo vrstvě 4 referenčního modelu OSI nebo vyšší, což je činí pomalejšími než překlad síťových adres, což je protokol síťové vrstvy nebo vrstvy 3.

škálovatelnost. NAT a dynamic host configuration protocol (DHCP) dobře spolupracují, přičemž server DHCP podle potřeby vypíše neregistrované adresy IP pro doménu stub ze seznamu. Škálování je jednodušší, protože můžete zvýšit dostupný rozsah IP adres DHCP konfiguruje, aby se místo pro další síťové počítače okamžitě místo požadavku na více IP adres od IANA, jak se zvyšují potřeby.

Multi-homing. Vícenásobné připojení k internetu, nazývané multi-homing, pomáhá udržovat spolehlivé připojení a snižuje pravděpodobnost vypnutí v případě neúspěšného připojení. To také umožňuje vyvažování zátěže snížením počtu počítačů pomocí jediného připojení. Multi-homed sítě se často připojují k více ISP, z nichž každý přiřazuje organizaci řadu IP adres nebo jednu IP adresu. Směrovače používají překlad síťových adres k trasování mezi sítěmi pomocí různých protokolů pro překlad síťových adres. V multi-homed síti, router používá část TCP/IP protocol suite, border gateway protocol (BGP), komunikovat; strana pahýl domény používá interní BGP nebo IBGP, a směrovače komunikovat mezi sebou pomocí externí BGP nebo EBGP. Multi-homing přesměruje všechna data přes jiný směrovač, pokud jedno z připojení k ISP selže.

nevýhody Nat

spotřeba zdrojů. Network address translation je technologie, která spotřebovává paměťové prostředky a prostor procesoru, protože musí překládat adresy IPv4 pro všechny odchozí a příchozí datagramy IPv4 a uchovávat podrobnosti z překladu v paměti.

zpoždění. Zpoždění cesty jsou způsobeny výsledky překladu v zpoždění přepínání cesty.
funkčnost. Některé aplikace a technologie nebudou fungovat podle očekávání s povoleným Nat.

sledovatelnost. Překlad síťových adres komplikuje tunelování protokolů. IPsec je bezpečný protokol doporučený pro překlad síťových adres.

problém vrstvy. Router je zařízení pro síťovou vrstvu, ale jako zařízení NAT je nutné manipulovat s transportní vrstvou ve formě čísel portů.

nabízí Avi softwarové řešení pro překlad síťových adres?

Avi Networks‘ Avi Vantage Platform, softwarově definovaná struktura aplikačních služeb, vynucuje zásady řízení přístupu a zachycuje a analyzuje provoz aplikací typu end-to-end a poskytuje služby daleko za vyrovnáním zatížení.

když jsou nasazeny nové aplikační servery, servery potřebují externí připojení pro správu. Při absenci routeru v serverových sítích lze Avi SE použít pro směrování provozu serverových sítí Pomocí funkce směrování IP servisních motorů. Funkce Avi Service Engine (SE) Nat to pokrývá a slouží jako brána NAT pro celou privátní síť serverů.

nat bude fungovat buď prostřednictvím IP směrování na Service Engine, SE výchozí funkce brány, nebo ve fázi post-směrování cesty paketů. Chcete-li používat odchozí funkce NAT, je nutné povolit směrování IP na servisním stroji a použít SE jako bránu.

Avi podporuje odchozí NAT pro TCP/UDP a ICMP toky.

existují tři odchozí možnosti Nat použít případ:

  • Nat toky (zobrazit informace o toku Nat)
  • statistiky zásad NAT (zobrazit statistiky zásad NAT)
  • Nat Stat (zobrazit statistiky NAT)

platforma také umožňuje zdrojový NAT nebo SNAT pro identifikaci aplikace. Zdrojová IP adresa používaná Avi SEs pro back-end připojení serveru může být přepsána prostřednictvím explicitní adresy zadané uživatelem-zdrojové adresy Nat (SNAT) IP. SNAT IP adresa může být specifická jako součást konfigurace virtuální služby.

v některých nasazeních je pro poskytování diferenciálního zacházení založeného na aplikaci nezbytné identifikovat provoz na základě zdrojové IP adresy. Například v DMZ nasazení zabezpečení, firewall, viditelnost, a další typy řešení může být nutné ověřit klienty pomocí zdrojové IP před předáním provozu na aplikaci.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.