<< tilbage til teknisk ordliste

Definition af Netværksadresseoversættelse

Netværksadresseoversættelse (NAT) er en proces, der gør det muligt for en unik IP-adresse at repræsentere en hel gruppe computere. I netværksadresseoversættelse tildeler en netværksenhed, ofte en router eller NAT-brandvæg, en computer eller computere i et privat netværk en offentlig adresse. På denne måde tillader netværksadresseoversættelse den enkelte enhed at fungere som mellemmand eller agent mellem det lokale, private netværk og det offentlige netværk, der er internettet. NAT ‘ s hovedformål er at bevare antallet af offentlige IP-adresser i brug, både af sikkerhedsmæssige og økonomiske mål.

 dette billede viser netværksadresseoversættelse (NAT) og processen med at synkronisere alle enhedsadresser til en sikker server.

Netværksadresseoversættelse Ofte Stillede Spørgsmål

Hvad er Netværksadresseoversættelse?

oversættelse af netværksadresse (NAT) bevarer IP-adresser ved at aktivere private IP-netværk, der bruger uregistrerede IP-adresser, til at gå online. Før NAT videresender pakker mellem de netværk, den forbinder, oversætter den de private interne netværksadresser til lovlige, globalt unikke adresser.

NAT-konfigurationer kan afsløre kun en IP-adresse for et helt netværk til omverdenen som en del af denne mulighed, hvilket effektivt skjuler hele det interne netværk og giver ekstra sikkerhed. Oversættelse af netværksadresse implementeres typisk i fjernadgangsmiljøer, da det tilbyder de dobbelte funktioner til adressebevarelse og forbedret sikkerhed.

Hvad er formålet med Netværksadresseoversættelse?

for at kommunikere med internettet kræver et netværkssystem en unik IP-adresse. Dette 32-bit nummer identificerer og lokaliserer netværksenheden, så en bruger kan kommunikere med den.

IPV4-adresseringsordningen i de sidste årtier gjorde teknisk milliarder af disse unikke adresser tilgængelige, men ikke alle kunne tildeles enheder til kommunikation. I stedet blev nogle undtaget og brugt til test, udsendelse og visse reserverede militære formål. Mens der er tilbage 3 milliarder til kommunikation, har spredningen af internettet betydet, at adresserne var næsten udmattede.

IPv6-adresseringsordningen blev indført som løsningen på denne svaghed i IPv4-adresseringsordningen. IPv6 genskaber adresseringssystemet, så der er flere muligheder for tildeling af adresser, men det har taget flere år at ændre netværkssystemets infrastruktur og implementere. NAT blev introduceret af Cisco i mellemtiden og bredt implementeret.

Sådan fungerer oversættelse af netværksadresse

oversættelse af netværksadresse tillader en enkelt enhed, f.eks. Dette gør det muligt for en hel gruppe enheder at blive repræsenteret af en enkelt unik IP-adresse, når de gør noget uden for deres netværk.

NAT fungerer som en stor virksomheds receptionist med specifikke instruktioner om, hvilke opkald og besøgende der skal holdes ude, vente eller sende igennem, og hvor de skal hen. For eksempel kan du bede receptionisten om ikke at videresende besøgende eller opkald uden din anmodning, før du venter på noget specifikt; du kan derefter efterlade instruktioner om at lade den pågældende klient kommunikere igennem.

klienten ringer til virksomhedens hovednummer, fordi det offentligt vendende nummer er det eneste, nogen kender. De fortæller receptionisten, at de skal tale med dig, og receptionisten a) kontrollerer instruktionerne og ved, at du vil have opkaldet videresendt, og B) matcher din udvidelse med en liste for at sende oplysningerne til det rigtige sted. Den, der ringer aldrig får din private linje.

Netværksadresseoversættelse fungerer på samme måde. Anmodningen ankommer til den offentlige IP-adresse og port, og NAT-instruktionerne sender den, hvor den skal gå uden at afsløre destinationernes private IP-adresser.

nat-Netværksadresseoversættelseseksempel

som et nat-netværksadresseoversættelseseksempel vil en intern vært muligvis kommunikere med en destinationsnetværksadresseoversættelsesserveradresse i omverdenen. For yderligere kommunikation sender den en datapakke til netværkets NAT-router.

nat-routeren bestemmer, om pakken opfylder betingelsen for oversættelse ved at lære pakkenes kilde-IP-adresse og slå den op i tabellen. Det kan finde godkendte værter til de interne netværksoversættelsesformål på sin adgangskontrolliste (ACL) og derefter fuldføre oversættelsen og producere en intern global IP-adresse fra den interne lokale IP-adresse.

endelig dirigerer NAT-portrouteren pakken til destinationen efter at have gemt oversættelsen i NAT-tabellen. Pakken vender tilbage til routerens globale IP-adresse, når internetserveren vender tilbage til anmodningen. Med henvisning til NAT-tabellen kan routeren bestemme, hvilken oversat IP-adresse der svarer til hvilken global adresse, oversætte den til den indvendige lokale adresse og levere datapakken til værten på deres IP-adresse. Datapakken kasseres, hvis der ikke findes noget match.

typer af Netværksadresseoversættelse

der er mange former for NAT, og det kan fungere på flere måder.

statisk netværk adresse oversættelse SNAT. SNAT kortlægger uregistrerede IP-adresser ved hjælp af 1 til 1 netværksadresseoversættelse for at matche registrerede IP-adresser. Det er især nyttigt, når en enhed skal være tilgængelig uden for netværket.

dynamisk netværk adresse oversættelse DNAT. Denne form for NAT vælger et mål fra en gruppe registrerede IP-adresser og kortlægger en uregistreret IP-adresse til den registrerede version.

Reverse netværk adresse oversættelse RNAT. RNAT giver brugerne mulighed for at oprette forbindelse til sig selv ved hjælp af internettet eller det offentlige netværk.

overbelastning netværk adresse oversættelse NAT. Dette er også kendt som NAT overload, Port-niveau multiplekset NAT, enkelt adresse NAT eller port adresse oversættelse (PAT). Denne form for dynamisk NAT bruger forskellige porte til at kortlægge flere private, lokale, uregistrerede IP-adresser til en enkelt registreret IP-adresse og skelne, hvilken trafik der hører til hvilken NAT IP-adresse. Med hensyn til portadresseoversættelse vs netværksadresseoversættelse er PAT ofte mest omkostningseffektiv, når mange brugere er forbundet til internettet via kun en offentlig IP-adresse.

overlappende netværk adresse oversættelse NAT. Overlappende NAT kan ske enten, når to organisationer, hvis netværk begge bruger RFC 1918 IP-adresser, flettes sammen, eller når registrerede IP-adresser tildeles flere enheder eller på anden måde er i brug på mere end et internt netværk. I begge tilfælde skal netværkene kommunikere, og organisationen(e) bruger overlappende NAT for at opnå dette uden at readdressing alle enheder.

NAT-routeren opfanger adresser og vedligeholder en tabel over dem, så den kan erstatte dem med registrerede unikke IP-adresser. Netværksadresseoversættelsesrouteren skal både oversætte registrerede eksterne IP-adresser til dem, der er unikke for det private netværk, og oversætte interne IP-adresser til registrerede unikke adresser. Det kan opnå dette enten ved at bruge DNS til at implementere dynamisk NAT eller gennem statisk NAT.

i netværksadresseoversættelseskonteksten er det interne netværk, der ofte kaldes stub-domænet, normalt et LAN-netværk i lokalområdet, der bruger IP-adresser internt. De fleste stub domæne netværkstrafik er lokal, forbliver inde i det interne netværk. Et stub-domæne kan indeholde både uregistrerede og registrerede IP-adresser.

konfiguration af Netværksadresseoversættelse

en traditionel NAT-konfiguration kræver mindst en grænseflade på en router (NAT udenfor); en anden grænseflade på routeren (NAT indeni); og et konfigureret sæt regler til oversættelse af IP-adresserne i pakkeoverskrifterne og muligvis nyttelast.

i dette eksempel på Konfiguration af netværksadresseoversættelse konfigurerer den NAT-routeren som følger. Når en enhed på indersiden med en uregistreret (indvendig, lokal) IP-adresse skal kommunikere med det (eksterne, offentlige) netværk, oversætter routeren de uregistrerede adresser, der er bosiddende på det private (indvendige) netværk, til registrerede IP-adresser.

  • organisationen modtager en række registrerede, unikke IP-adresser tildelt af internetudbyderen. Den tildelte liste over adresser kaldes inde i globale adresser.
  • holdet deler uregistrerede, private adresser i en lille gruppe og en meget større gruppe. Stubdomænet bruger den større gruppe, kaldet inde i lokale adresser. NAT-routerne bruger den lille gruppe, kaldet eksterne lokale adresser, til at oversætte de eksterne globale adresser eller unikke IP-adresser på enheder på det offentlige netværk.
  • de fleste stub-domænecomputere kommunikerer med hinanden ved hjælp af lokale adresser. Der er inden for globale adresser til de stub-domænecomputere, der kommunikerer meget uden for netværket, hvilket betyder, at de ikke kræver oversættelse.
  • men når en typisk stub-domænecomputer med en lokal lokal adresse skal kommunikere uden for netværket, sender den pakken til en NAT-router.
  • nat-routeren kontrollerer destinationsadressen i rutetabellen. Hvis den har en post for den adresse, oversætter NAT-routeren pakken og indtaster denne handling i adresseoversættelsestabellen. NAT-routeren dropper pakken, hvis destinationsadressen ikke er i rutetabellen.
  • routeren sender pakken videre ved hjælp af en intern global adresse.
  • en offentlig netværkscomputer sender en pakke til det private netværk. Pakkenes destinationsadresse er en intern global adresse, og dens kildeadresse er en ekstern global adresse.
  • nat-routeren bekræfter, at destinationsadressen kortlægges til en stub-domænecomputer ved at kontrollere adresseoversættelsestabellen.
  • NAT-routeren sender pakken til destinationscomputeren efter at have oversat pakkenes indvendige globale adresse til den indvendige lokale adresse.

NAT overbelastning bruger multipleksning, en TCP/IP-protokol stak funktion. Multipleksning gør det muligt for en computer at opretholde flere forbindelser med fjerncomputere samtidigt ved hjælp af forskellige porte. Overskriften på en IP-pakke indeholder:

kildeadresse. Den oprindelige computers IP-adresse, for eksempel 123.123.12.1
kildeport. Det tildelte TCP-eller UDP-portnummer for denne pakke, for eksempel Port 1060
Destinationsadresse. Den modtagende computers IP-adresse, for eksempel 52.220.51.237
destinationsport. TCP-eller UDP-netværksadresseoversættelsesportnummeret destinationscomputeren skal åbne, for eksempel Port 2170

disse fire tal tilsammen repræsenterer en enkelt TCP/IP-forbindelse. Adresserne tydeliggør de to computere i hver ende, og portnumrene giver en unik identifikator for forbindelsen mellem de to computere. Selvom der er mulige 65.536 værdier her, da hvert portnummer bruger 16 bit, kortlægges forskellige porte på lidt forskellige måder, så omkring 4.000 tilgængelige porte er realistiske.

dynamisk NAT og NAT overbelastning konfiguration

i dynamisk netværksadresse oversættelse:

  • Iana (Internet Assigned Numbers Authority), den globale myndighed, der tildeler IP-adresser, er den eneste kilde til unikke IP-adresser. Hvor et stubdomæne eller internt netværk er oprettet med IP-adresser, som IANA ikke specifikt tildelte dem, er adresserne ikke unikke og kan derfor ikke routes.
  • organisationen opretter en router aktiveret til NAT, der indeholder en række unikke IP-adresser fra Iana.
  • en stub-domænecomputer forsøger at oprette forbindelse til en ekstern computer.
  • routeren modtager stub-domænecomputerens pakke.
  • den nat-aktiverede router gemmer den ikke-rutbare IP-adresse fra den afsendende computer til en adresseoversættelsestabel. Routeren kortlægger den første tilgængelige IP-adresse uden for området med unikke IP-adresser til den afsendende computer for at erstatte den ikke-rutbare IP-adresse.
  • routeren kontrollerer nu hver pakkes destinationsadresse, når den ankommer fra destinationscomputeren, og kontrollerer, hvilken stub-domænecomputer pakken tilhører med adresseoversættelsestabellen. Hvis den ikke finder noget match, falder den pakken. Ellers lokaliserer den alternativet til destinationsadressen, der er gemt i adresseoversættelsestabellen, og sender den.
  • computeren modtager pakken, og processen fortsætter, så længe det eksterne system og computeren kommunikerer.

i nat overbelastning:

  • som i det foregående dynamiske NAT-eksempel er der oprettet et stub-domæne eller internt netværk med ikke-rutbare, ikke-unikke IP-adresser, der ikke specifikt er tildelt dem, så organisationen opretter en router aktiveret til NAT, der indeholder en unik IP-adresse fra Iana.
  • en stub-domænecomputer forsøger at oprette forbindelse til en ekstern computer.
  • den nat-aktiverede router modtager stub-domænecomputerens pakke.
  • nat-routeren gemmer den ikke-rutbare IP-adresse og portnummer fra den afsendende computer til en adresseoversættelsestabel. Routeren kortlægger et portnummer og routerens IP-adresse til den afsendende computer for at erstatte den ikke-rutbare IP-adresse og portnummer.
  • routeren kontrollerer destinationsportene på pakker, der vender tilbage fra destinationscomputeren, og bekræfter, hvilken stub-domænecomputer pakken tilhører. Den erstatter destinationsporten og adressen med de gemte versioner fra adresseoversættelsestabellen og sender dem.
  • computeren modtager pakken, og processen fortsætter, så længe det eksterne system og computeren kommunikerer.
  • NAT-routeren vil fortsætte med at bruge det samme portnummer i hele forbindelsen, da den har computerens kildeport og adresse gemt i adresseoversættelsestabellen. Hvis kommunikationen slutter, uden at posten åbnes igen, fjerner routeren posten fra tabellen.

i modsætning til den ovenfor beskrevne computer i den traditionelle NAT-konfiguration er det sådan, at stub-domænecomputere kan vises til eksterne netværk:

Kildecomputer 1

IP-adresse: 192.168.24.11
computerport: 620
NAT Router IP-adresse: 215.37.32.203
NAT Router Port nummer: 1

kilde Computer 2

IP-adresse: 192.168.24.12
Computer Port: 80
NAT Router IP-adresse: 215.37.32.203
NAT Router Port nummer: 2

kilde Computer 3

IP-adresse: 192.168.24.13
computerport: 1560
NAT router IP-adresse: 215.37.32.203
NAT router portnummer: 3

den nat-aktiverede router gemmer hver kildecomputers IP-adresse og portnummer. Det bruger sin egen registrerede IP-adresse og portnumre til at erstatte IP-adressen og portnummeret, der svarer til den pågældende pakkes kildecomputer i tabellen. I stedet for kildecomputeroplysningerne på hver pakke ser ethvert eksternt netværk NAT-routerens IP-adresse og det tildelte portnummer.

nogle stub-domænecomputere bruger dedikerede IP-adresser. I disse situationer kan deres IP-adresser passere NAT-routeren uoversat, hvis du opretter en adgangsliste over IP-adresser, der præciserer for routeren, hvilke netværkscomputere der kræver NAT.

en routers dynamiske Random Access Memory (DRAM) er den vigtigste faktor, der bestemmer antallet af samtidige oversættelser, som den kan understøtte. 160 bytes, så for de fleste applikationer er en router med 4 MB DRAM tilstrækkelig.

ifølge IANA og RFC 1918 er der specifikke intervaller af IP-adresser til brug som interne netværksadresser, der ikke kan routes. Disse adresser er uregistrerede, hvilket betyder, at intet agentur eller firma kan bruge dem på offentlige computere eller kræve ejerskab over dem. I stedet for at videresende uregistrerede adresser er routere designet til at kassere dem. Derfor kunne en pakke fra en uregistreret afsendelsescomputeradresse nå sin registrerede computerdestination, men den første router, som svaret kom til, ville kassere den.

for at reducere risikoen for en IP-adressekonflikt lønner det sig at følge rækkevidden for hver af de tre klasser af IP-adresser i dit interne netværk:

  • Område 1: Klasse A – 10.0.0.0 til 10.255.255.255
  • Område 2: Klasse B – 172.16.0.0 til 172.31.255.255
  • område 3: Klasse C – 192.168.0.0 igennem 192.168.255.255

dette er dog en bedste praksis, ikke et krav.

NAT Router

ved hjælp af nat-overbelastning opretter en NAT-router et netværk af IP-adresser til et lokalnetværk LAN og forbinder det offentlige netværk, der er internettet, til det LAN-netværk. Routeren udfører NAT, der tillader kommunikation mellem van eller internet og værtsenhederne eller computere på LAN-netværket. Fordi NAT-routere ser ud til at være en solo-vært med en solo-IP-adresse til internettet, de bruges til småskala industrier og hjemmeformål.

fordele ved oversættelse af netværksadresse

fordele ved NAT

Adressebevarelse. NAT bevarer IP-adresser, der er lovligt registreret og forhindrer deres udtømning.

netværk adresse oversættelse sikkerhed. NAT tilbyder muligheden for at få adgang til internettet med mere sikkerhed og privatliv ved at skjule enhedens IP-adresse fra det offentlige netværk, selv når du sender og modtager trafik. Nat rate-begrænsning giver brugerne mulighed for at begrænse det maksimale antal samtidige NAT operationer på en router og sats begrænse antallet af NAT oversættelser. Dette giver mere kontrol over brugen af NAT-adresser, men kan også bruges til at begrænse virkningerne af orme, vira og denial-of-service (DoS) – angreb. Dynamisk nat-implementering skaber automatisk en brandvæg mellem det interne netværk og internettet. Nogle nat routere tilbyder trafik logning og filtrering.

fleksibilitet. NAT giver fleksibilitet; for eksempel kan det implementeres i et offentligt trådløst LAN-miljø. Indgående kortlægning eller statisk NAT tillader eksterne enheder at starte forbindelser til computere på stubdomænet i nogle tilfælde.

enkelhed. Eliminerer behovet for at omnummerere adresser, når et netværk ændres eller fusionerer.
netværksadresseoversættelse giver dig mulighed for at oprette en virtuel intern vært til at koordinere TCP-belastningsbalancering for interne netværksservere.

hastighed. Sammenlignet med fuldmægtige servere er NAT gennemsigtig for både destinations-og kildecomputere, hvilket giver mulighed for hurtigere direkte handel. Derudover fungerer fuldmægtige servere typisk ved transportlaget eller laget 4 i OSI-referencemodellen eller højere, hvilket gør dem langsommere end netværksadresseoversættelse, som er et netværkslag eller lag 3-protokol.

skalerbarhed. NAT og dynamic host configuration protocol (DHCP) fungerer godt sammen, hvor DHCP-serveren uddeler uregistrerede IP-adresser til stub-domænet fra listen efter behov. Opskalering er lettere, da du kan øge det tilgængelige interval af IP-adresser, som DHCP konfigurerer til at give plads til yderligere netværkscomputere med det samme i stedet for at anmode om flere IP-adresser fra Iana, efterhånden som behovene øges.

Multi-homing. Flere forbindelser til internettet, kaldet multi-homing, hjælper med at opretholde en pålidelig forbindelse og reducerer risikoen for en nedlukning i tilfælde af en mislykket forbindelse. Dette muliggør også belastningsbalancering ved at reducere antallet af computere, der bruger en enkelt forbindelse. Multi-homed netværk opretter ofte forbindelse til flere internetudbydere, der hver tildeler en række IP-adresser eller en enkelt IP-adresse til organisationen. Routere bruger netværksadresseoversættelse til at rute mellem netværk ved hjælp af forskellige netværksadresseoversættelsesprotokoller. I et multi-homed netværk bruger routeren en del af TCP/IP-protokolpakken, grænseportprotokollen (BGP), til at kommunikere; stub-domænesiden bruger intern BGP eller IBGP, og routere kommunikerer med hinanden ved hjælp af ekstern BGP eller EBGP. Multi-homing omdirigerer alle data gennem en anden router, hvis en af forbindelserne til en internetudbyder mislykkes.

ulemper ved NAT

ressourceforbrug. Netværksadresseoversættelse er en teknologi, der bruger hukommelsesressourcer og processorplads, fordi den skal oversætte IPv4-adresser til alle udgående og indgående IPv4-datagrammer og beholde detaljerne fra oversættelse i hukommelsen.

forsinkelser. Stiforsinkelser skyldes oversættelsesresultater i skift af stiforsinkelser.
funktionalitet. Nogle applikationer og teknologier fungerer ikke som forventet med NAT aktiveret.

sporbarhed. Oversættelse af netværksadresse komplicerer protokoller til tunneling. IPsec er den sikre protokol, der anbefales til oversættelse af netværksadresse.

lag problem. En router er en enhed til netværkslaget, men som en NAT-enhed er det nødvendigt at manipulere med transportlaget i form af portnumre.

tilbyder Avi en løsning til oversættelse af netværksadresser?

Avi-netværks Avi Vantage-Platform, et programdefineret programtjenestestof, håndhæver adgangskontrolpolitikker og indfanger og analyserer end-to-end applikationstrafik og leverer tjenester langt ud over belastningsbalancering.

når nye applikationsservere implementeres, har serverne brug for ekstern forbindelse for håndterbarhed. I mangel af en router i servernetværkene kan Avi SE bruges til at dirigere trafikken på servernetværk ved hjælp af IP-routingfunktionen i Servicemotorer. Avi Service Engine (SE) NAT-funktionaliteten dækker dette og fungerer som en NAT-port til hele det private netværk af servere.

NAT fungerer enten via IP-routing på Servicemotor, SE-standardportfunktionen eller i post-routingfasen af pakkestien. For at bruge udgående NAT-funktionalitet er det nødvendigt at aktivere IP-routing på Servicemotoren og bruge SE som en port.

Avi understøtter udgående NAT for TCP/UDP, og ICMP strømme.

der er tre udgående nat use case muligheder:

  • nat-strømme (Vis nat-strømningsinformation)
  • NAT-Politikstatistik (Vis NAT-politikstatistik)
  • NAT-Stat (Vis NAT-statistik)

platformen muliggør også Source NAT eller SNAT til applikationsidentifikation. Kilde-IP-adressen, der bruges af Avi SEs til server-back-end—forbindelser, kan tilsidesættes gennem en eksplicit brugerspecificeret adresse-source NAT (SNAT) IP-adressen. SNAT IP-adressen kan være specifik som en del af den virtuelle servicekonfiguration.

i nogle implementeringer er det vigtigt at identificere trafik baseret på kilde-IP-adresse for at give differentieret behandling baseret på applikationen. Det kan f.eks. være nødvendigt at validere klienter ved hjælp af kilde-IP ‘ en, før trafik overføres til et program.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.