By: adminPosted on

<< Zurück zum technischen Glossar

Definition der Netzwerkadressübersetzung

Die Netzwerkadressübersetzung (NAT) ist ein Prozess, der es einer eindeutigen IP-Adresse ermöglicht, eine ganze Gruppe von Computern darzustellen. Bei der Netzwerkadressübersetzung weist ein Netzwerkgerät, häufig ein Router oder eine NAT-Firewall, einem Computer oder Computern in einem privaten Netzwerk eine öffentliche Adresse zu. Auf diese Weise ermöglicht die Netzwerkadressübersetzung dem einzelnen Gerät, als Vermittler oder Agent zwischen dem lokalen, privaten Netzwerk und dem öffentlichen Netzwerk, das das Internet ist, zu fungieren. Der Hauptzweck von NAT besteht darin, die Anzahl der verwendeten öffentlichen IP-Adressen sowohl aus Sicherheitsgründen als auch aus wirtschaftlichen Gründen zu erhalten.

Dieses Bild zeigt Network Address Translation (NAT) und den Prozess der Synchronisierung aller Geräteadressen mit einem sicheren Server.

Häufig gestellte Fragen zur Netzwerkadressübersetzung

Was ist die Netzwerkadressübersetzung?

Network Address Translation (NAT) schont IP-Adressen, indem private IP-Netzwerke mit nicht registrierten IP-Adressen online gehen können. Bevor NAT Pakete zwischen den verbundenen Netzwerken weiterleitet, übersetzt es die privaten internen Netzwerkadressen in legale, global eindeutige Adressen.

NAT-Konfigurationen können im Rahmen dieser Funktion nur eine IP-Adresse für ein gesamtes Netzwerk nach außen anzeigen, wodurch das gesamte interne Netzwerk effektiv ausgeblendet wird und zusätzliche Sicherheit geboten wird. Die Netzwerkadressübersetzung wird normalerweise in Remotezugriffsumgebungen implementiert, da sie die doppelten Funktionen der Adresserhaltung und der verbesserten Sicherheit bietet.

Was ist der Zweck der Netzwerkadressübersetzung?

Für die Kommunikation mit dem Internet benötigt ein Netzwerksystem eine eindeutige IP-Adresse. Diese 32-Bit-Nummer identifiziert und lokalisiert das Netzwerkgerät, damit ein Benutzer mit ihm kommunizieren kann.

Das IPV4-Adressierungsschema der vergangenen Jahrzehnte machte technisch Milliarden dieser eindeutigen Adressen verfügbar, aber nicht alle konnten Geräten für die Kommunikation zugewiesen werden. Stattdessen wurden einige ausgenommen und für Tests, Rundfunk und bestimmte reservierte militärische Zwecke verwendet. Während das übrig blieb 3 Milliarden für die Kommunikation, Die Verbreitung des Internets hat dazu geführt, dass die Adressen fast erschöpft waren.

Das IPv6-Adressierungsschema wurde als Lösung für diese Schwachstelle im IPv4-Adressierungsschema eingeführt. IPv6 erstellt das Adressierungssystem neu, sodass es mehr Optionen für die Zuweisung von Adressen gibt, aber es hat mehrere Jahre gedauert, die Netzwerksysteminfrastruktur zu ändern und zu implementieren. NAT wurde von Cisco in der Zwischenzeit eingeführt und weit verbreitet.

Funktionsweise der Netzwerkadressübersetzung

Mit der Netzwerkadressübersetzung kann ein einzelnes Gerät, z. B. eine NAT—Firewall oder ein NAT-Router oder ein anderes Netzwerkadressübersetzungsgerät, als Agent zwischen dem öffentlichen Netzwerk und privaten Netzwerken fungieren – dem Internet und allen lokalen Netzwerken. Auf diese Weise kann eine ganze Gruppe von Geräten durch eine einzige eindeutige IP-Adresse dargestellt werden, wenn sie etwas außerhalb ihres Netzwerks tun.

NAT arbeitet wie die Rezeptionistin eines großen Unternehmens, mit spezifischen Anweisungen, welche Anrufe und Besucher draußen bleiben, warten oder durchsenden sollen und wohin sie gehen sollen. Zum Beispiel können Sie der Rezeptionistin sagen, dass Sie keine Besucher oder Anrufe ohne Ihre Anfrage weiterleiten soll, bis Sie auf etwas Bestimmtes warten.

Der Kunde ruft die Hauptnummer des Unternehmens an, da diese öffentlich zugängliche Nummer die einzige ist, die jemand kennt. Sie sagen der Empfangsdame, dass sie mit Ihnen sprechen müssen, und die Empfangsdame a) überprüft die Anweisungen und weiß, dass Sie den Anruf weiterleiten möchten, und b) stimmt mit Ihrer Nebenstelle mit einer Liste überein, um die Informationen an die richtige Stelle zu senden. Der Anrufer bekommt nie Ihre private Leitung.

Die Netzwerkadressübersetzung funktioniert ähnlich. Die Anforderung kommt an der öffentlichen IP-Adresse und am Port an, und die NAT-Anweisungen senden sie dorthin, wo sie hingehen soll, ohne die privaten IP-Adressen der Ziele preiszugeben.

Beispiel für die NAT-Netzwerkadressübersetzung

Als Beispiel für die NAT-Netzwerkadressübersetzung möchte ein interner Host möglicherweise mit einer Ziel-Netzwerkadressübersetzungs-Webserveradresse in der Außenwelt kommunizieren. Für die weitere Kommunikation sendet es ein Datenpaket an den NAT-Gateway-Router des Netzwerks.

Der NAT-Gateway-Router ermittelt, ob das Paket die Bedingung für die Übersetzung erfüllt, indem er die Quell-IP-Adresse des Pakets lernt und in der Tabelle nachschlägt. Es kann authentifizierte Hosts für die internen Netzwerkübersetzungszwecke in seiner Zugriffssteuerungsliste (Access Control List, ACL) finden und dann die Übersetzung abschließen, wobei eine interne globale IP-Adresse aus der internen lokalen IP-Adresse erstellt wird.

Schließlich leitet der NAT-Gateway-Router das Paket an das Ziel weiter, nachdem die Übersetzung in der NAT-Tabelle gespeichert wurde. Das Paket wird auf die globale IP-Adresse des Routers zurückgesetzt, wenn der Webserver des Internets auf die Anforderung zurückkehrt. Unter Bezugnahme auf die NAT-Tabelle kann der Router bestimmen, welche übersetzte IP-Adresse welcher globalen Adresse entspricht, sie in die interne lokale Adresse übersetzen und das Datenpaket an den Host unter seiner IP-Adresse liefern. Das Datenpaket wird verworfen, wenn keine Übereinstimmung gefunden wird.

Arten der Netzwerkadressübersetzung

Es gibt viele Formen von NAT und es kann auf verschiedene Arten funktionieren.

Statische Netzwerkadressübersetzung SNAT. SNAT ordnet unregistrierte IP-Adressen mithilfe der 1: 1-Netzwerkadressübersetzung zu, um sie mit registrierten IP-Adressen abzugleichen. Es ist besonders nützlich, wenn ein Gerät von außerhalb des Netzwerks zugänglich sein muss.

Dynamische Netzwerkadressübersetzung DNAT. Diese Form von NAT wählt ein Ziel aus einer Gruppe registrierter IP-Adressen aus und ordnet eine nicht registrierte IP-Adresse der registrierten Version zu.

Umgekehrte Netzwerkadressübersetzung RNAT. Mit RNAT können Benutzer über das Internet oder ein öffentliches Netzwerk eine Verbindung zu sich selbst herstellen.

Überlastung der Netzwerkadressübersetzung NAT. Dies wird auch als NAT Overload, Port-Level Multiplexed NAT, Single Address NAT oder Port Address Translation (PAT) bezeichnet. Diese Form der dynamischen NAT verwendet verschiedene Ports, um mehrere private, lokale, nicht registrierte IP-Adressen einer einzigen registrierten IP-Adresse zuzuordnen und zu unterscheiden, welcher Datenverkehr zu welcher NAT-IP-Adresse gehört. In Bezug auf die Portadressübersetzung im Vergleich zur Netzwerkadressübersetzung ist PAT häufig am kostengünstigsten, wenn viele Benutzer über nur eine öffentliche IP-Adresse mit dem Internet verbunden sind.

Überlappende Netzwerkadressübersetzung NAT. Überlappende NAT können entweder auftreten, wenn zwei Organisationen, deren Netzwerke beide RFC 1918-IP-Adressen verwenden, zusammengeführt werden, oder wenn registrierte IP-Adressen mehreren Geräten zugewiesen oder anderweitig in mehr als einem internen Netzwerk verwendet werden. In beiden Fällen müssen die Netzwerke kommunizieren, und die Organisation (en) verwenden überlappendes NAT, um dies zu erreichen, ohne alle Geräte neu zu adressieren.

Der NAT-Router fängt Adressen ab und verwaltet sie in einer Tabelle, sodass er sie durch registrierte eindeutige IP-Adressen ersetzen kann. Der Netzwerkadressübersetzungsrouter muss sowohl registrierte externe IP-Adressen in die für das private Netzwerk eindeutigen IP-Adressen als auch interne IP-Adressen in registrierte eindeutige Adressen übersetzen. Dies kann entweder durch Verwendung von DNS zur Implementierung von dynamischem NAT oder durch statisches NAT erreicht werden.

Im Kontext der Netzwerkadressübersetzung ist das interne Netzwerk, das allgemein als Stub-Domäne bezeichnet wird, normalerweise ein lokales Netzwerk-LAN, das intern IP-Adressen verwendet. Der größte Teil des Netzwerkverkehrs der Stub-Domäne ist lokal und verbleibt im internen Netzwerk. Eine Stub-Domain kann sowohl nicht registrierte als auch registrierte IP-Adressen enthalten.

Netzwerkadressübersetzungskonfiguration

Eine herkömmliche NAT-Konfiguration erfordert mindestens eine Schnittstelle auf einem Router (NAT außen); eine andere Schnittstelle auf dem Router (NAT innen); und ein konfigurierter Satz von Regeln zum Übersetzen der IP-Adressen in den Paketheadern und möglicherweise Nutzlasten.

In diesem Beispiel für die Konfiguration der Netzwerkadressübersetzung wird der NAT-Router wie folgt konfiguriert. Wenn ein Gerät im Inneren mit einer nicht registrierten (internen, lokalen) IP-Adresse mit dem (externen, öffentlichen) Netzwerk kommunizieren muss, übersetzt der Router diese nicht registrierten Adressen, die sich im privaten (internen) Netzwerk befinden, in registrierte IP-Adressen.

  • Die Organisation erhält eine Reihe registrierter, eindeutiger IP-Adressen, die vom ISP zugewiesen werden. Die zugewiesene Liste von Adressen wird innerhalb globaler Adressen aufgerufen.
  • Das Team teilt unregistrierte, private Adressen in eine kleine und eine viel größere Gruppe auf. Die Stub-Domäne verwendet die größere Gruppe, die innerhalb lokaler Adressen aufgerufen wird. Die NAT-Router verwenden die kleine Gruppe, die als externe lokale Adressen bezeichnet wird, um die externen globalen Adressen oder eindeutigen IP-Adressen von Geräten im öffentlichen Netzwerk zu übersetzen.
  • Die meisten Stub-Domänencomputer kommunizieren über interne lokale Adressen miteinander. Es gibt mehrere globale Adressen für die Stub-Domänencomputer, die weitgehend außerhalb des Netzwerks kommunizieren, was bedeutet, dass sie keine Übersetzung benötigen.
  • Wenn ein typischer Stub-Domänencomputer mit einer internen lokalen Adresse jedoch außerhalb des Netzwerks kommunizieren muss, sendet er das Paket an einen NAT-Router.
  • Der NAT-Router sucht in der Routing-Tabelle nach der Zieladresse. Wenn es einen Eintrag für diese Adresse hat, übersetzt der NAT-Router das Paket und gibt diese Aktion in die Adressübersetzungstabelle ein. Der NAT-Router löscht das Paket, wenn die Zieladresse nicht in der Routing-Tabelle enthalten ist.
  • Der Router sendet das Paket mit einer internen globalen Adresse weiter.
  • Ein Computer im öffentlichen Netzwerk sendet ein Paket an das private Netzwerk. Die Zieladresse des Pakets ist eine interne globale Adresse und seine Quelladresse ist eine externe globale Adresse.
  • Der NAT-Router bestätigt, dass die Zieladresse einem Stub-Domänencomputer zugeordnet ist, indem er die Adressübersetzungstabelle überprüft.
  • Der NAT-Router sendet das Paket an den Zielcomputer, nachdem die globale Adresse des Pakets in die lokale Adresse übersetzt wurde.

NAT Overloading verwendet Multiplexing, eine TCP / IP-Protokoll-Stack-Funktion. Multiplexing ermöglicht es einem Computer, mehrere Verbindungen mit Remotecomputern gleichzeitig über verschiedene Ports aufrechtzuerhalten. Der Header eines IP-Pakets enthält:

Quelladresse. Die IP-Adresse des Ursprungscomputers, z. B. 123.123.12.1
Quellport. Die zugewiesene TCP- oder UDP-Portnummer für dieses Paket, z. B. Port 1060
Zieladresse. Die IP-Adresse des empfangenden Computers, z. B. 52.220.51.237
Zielport. Die TCP- oder UDP-Netzwerkadresse und Portnummer, die der Zielcomputer öffnen soll, z. B. Port 2170

Diese vier Zahlen zusammen stellen eine einzelne TCP/IP-Verbindung dar. Die Adressen der beiden Computer an jedem Ende und die Portnummern bieten eine eindeutige Kennung für die Verbindung zwischen den beiden Computern. Obwohl hier 65.536 Werte möglich sind, da jede Portnummer 16 Bit verwendet, werden verschiedene Ports auf leicht unterschiedliche Weise zugeordnet, sodass etwa 4.000 verfügbare Ports realistisch sind.

Dynamische NAT- und NAT-Überlastungskonfiguration

In dynamic network Address Translation:

  • IANA (Internet Assigned Numbers Authority), die globale Behörde, die IP-Adressen zuweist, ist die einzige Quelle eindeutiger IP-Adressen. Wenn eine Stub-Domäne oder ein internes Netzwerk mit IP-Adressen eingerichtet wurde, die IANA ihnen nicht speziell zugewiesen hat, sind die Adressen nicht eindeutig und können daher nicht geroutet werden.
  • Die Organisation richtet einen für NAT aktivierten Router ein, der einen Bereich eindeutiger IP-Adressen aus IANA enthält.
  • Ein Stub-Domänencomputer versucht, eine Verbindung zu einem externen Computer herzustellen.
  • Der Router empfängt das Paket des Stub-Domänencomputers.
  • Der NAT-fähige Router speichert die nicht routingfähige IP-Adresse des sendenden Computers in einer Adressumsetzungstabelle. Der Router ordnet dem sendenden Computer die erste verfügbare IP-Adresse außerhalb der Zone eindeutiger IP-Adressen zu, um die nicht routingfähige IP-Adresse zu ersetzen.
  • Der Router überprüft nun die Zieladresse jedes Pakets, wenn es vom Zielcomputer ankommt, und überprüft anhand der Adressübersetzungstabelle, zu welchem Stub-Domänencomputer das Paket gehört. Wenn es keine Übereinstimmung findet, wird das Paket gelöscht. Andernfalls sucht es die Alternative für die in der Adressumsetzungstabelle gespeicherte Zieladresse und sendet sie.
  • Der Computer empfängt das Paket und der Prozess wird fortgesetzt, solange das externe System und der Computer kommunizieren.

Bei NAT-Überlastung:

  • Wie im vorherigen dynamischen NAT-Beispiel wurde eine Stub-Domäne oder ein internes Netzwerk mit nicht routingfähigen, nicht eindeutigen IP-Adressen eingerichtet, die nicht speziell für sie zugewiesen wurden.
  • Ein Stub-Domänencomputer versucht, eine Verbindung zu einem externen Computer herzustellen.
  • Der NAT-fähige Router empfängt das Paket des Stub-Domänencomputers.
  • Der NAT-Router speichert die nicht routingfähige IP-Adresse und Portnummer des sendenden Computers in einer Adressumsetzungstabelle. Der Router ordnet dem sendenden Computer eine Portnummer und die IP-Adresse des Routers zu, um die nicht routingfähige IP-Adresse und die Portnummer zu ersetzen.
  • Der Router überprüft die Zielports von Paketen, die vom Zielcomputer zurückkehren, und bestätigt, zu welchem Stub-Domänencomputer das Paket gehört. Es ersetzt den Zielport und die Adresse durch die gespeicherten Versionen aus der Adressübersetzungstabelle und sendet sie.
  • Der Computer empfängt das Paket und der Prozess wird fortgesetzt, solange das externe System und der Computer kommunizieren.
  • Der NAT-Router verwendet während der gesamten Verbindung weiterhin dieselbe Portnummer, da der Quellport und die Adresse des Computers in der Adressübersetzungstabelle gespeichert sind. Wenn die Kommunikation beendet wird, ohne dass erneut auf den Eintrag zugegriffen wird, entfernt der Router den Eintrag aus der Tabelle.

Im Gegensatz zu dem oben in der herkömmlichen NAT-Konfiguration beschriebenen Computer können Stub-Domänencomputer für externe Netzwerke folgendermaßen aussehen:

Quellcomputer 1

IP-Adresse: 192.168.24.11
Computerport: 620
NAT-Router-IP-Adresse: 215.37.32.203
NAT Router Port Nummer: 1

Quelle Computer 2

IP Adresse: 192.168.24.12
Computer Port: 80
NAT Router IP Adresse: 215.37.32.203
NAT Router Port Nummer: 2

Quelle Computer 3

IP-Adresse: 192.168.24.13
Computeranschluss: 1560
NAT-Router-IP-Adresse: 215.37.32.203
NAT-Router-Portnummer: 3

Der NAT-fähige Router speichert die IP-Adresse und die Portnummer jedes Quellcomputers. Es verwendet seine eigene registrierte IP-Adresse und Portnummern, um die IP-Adresse und die Portnummer zu ersetzen, die dem Quellcomputer dieses Pakets in der Tabelle entsprechen. Anstelle der Quellcomputerinformationen in jedem Paket werden in jedem externen Netzwerk die IP-Adresse des NAT-Routers und die zugewiesene Portnummer angezeigt.

Einige Stub-Domänencomputer verwenden dedizierte IP-Adressen. In diesen Situationen können ihre IP-Adressen unübersetzt am NAT-Router übergeben werden, wenn Sie eine Zugriffsliste mit IP-Adressen erstellen, die für den Router klarstellt, welche Netzwerkcomputer NAT benötigen.

Der dynamische Direktzugriffsspeicher (DRAM) eines Routers ist der Hauptfaktor, der die Anzahl der Simultanübersetzungen bestimmt, die er unterstützen kann. Ein typischer Adressübersetzungstabelleneintrag benötigt etwa 160 Byte, so dass für die meisten Anwendungen ein Router mit 4 MB DRAM ausreichend ist.

Gemäß IANA und RFC 1918 gibt es bestimmte Bereiche von IP-Adressen zur Verwendung als interne Netzwerkadressen, die nicht routingfähig sind. Diese Adressen sind nicht registriert, was bedeutet, dass keine Agentur oder Firma sie auf öffentlichen Computern verwenden oder das Eigentum an ihnen beanspruchen kann. Anstatt nicht registrierte Adressen weiterzuleiten, sollen Router sie verwerfen. Daher könnte ein Paket von einer nicht registrierten sendenden Computeradresse sein registriertes Computerziel erreichen, aber der erste Router, zu dem die Antwort kam, würde es verwerfen.

Um die Wahrscheinlichkeit eines IP-Adresskonflikts zu verringern, lohnt es sich, den Bereich für jede der drei Klassen von IP-Adressen in Ihrem internen Netzwerk zu befolgen:

  • Bereich 1: Klasse A – 10.0.0.0 bis 10.255.255.255
  • Bereich 2: Klasse B – 172.16.0.0 bis 172.31.255.255
  • Bereich 3: Klasse C – 192.168.0.0 bis 192.168.255.255

Dies ist jedoch eine bewährte Methode, keine Anforderung.

NAT-Router

Mithilfe der NAT-Überlastung erstellt ein NAT-Router ein Netzwerk von IP-Adressen für ein lokales Netzwerk-LAN und verbindet das öffentliche Netzwerk, das das Internet ist, mit diesem LAN-Netzwerk. Der Router führt die NAT aus, die die Kommunikation zwischen WAN oder Internet und den Hostgeräten oder Computern im LAN-Netzwerk ermöglicht. Da NAT-Router ein Solo-Host mit einer Solo-IP-Adresse für das Internet zu sein scheinen, werden sie für kleine Industrien und Heimzwecke verwendet.

Vorteile der Netzwerkadressübersetzung

Vorteile von NAT

Adresserhaltung. NAT speichert IP-Adressen, die legal registriert sind, und verhindert deren Erschöpfung.

Sicherheit bei der Übersetzung von Netzwerkadressen. NAT bietet die Möglichkeit, mit mehr Sicherheit und Datenschutz auf das Internet zuzugreifen, indem die IP-Adresse des Geräts vor dem öffentlichen Netzwerk verborgen wird, selbst wenn Datenverkehr gesendet und empfangen wird. Mit der NAT-Ratenbegrenzung können Benutzer die maximale Anzahl gleichzeitiger NAT-Vorgänge auf einem Router und die Anzahl der NAT-Übersetzungen begrenzen. Dies bietet mehr Kontrolle über die Verwendung von NAT-Adressen, kann aber auch verwendet werden, um die Auswirkungen von Würmern, Viren und DOS-Angriffen (Denial-of-Service) zu begrenzen. Die dynamische NAT-Implementierung erstellt automatisch eine Firewall zwischen dem internen Netzwerk und dem Internet. Einige NAT-Router bieten Datenverkehrsprotokollierung und -filterung.

Flexibilität. NAT bietet Flexibilität; Es kann beispielsweise in einer öffentlichen WLAN-Umgebung bereitgestellt werden. Inbound Mapping oder Static NAT ermöglicht es externen Geräten in einigen Fällen, Verbindungen zu Computern in der Stub-Domäne herzustellen.

Einfachheit. Beseitigt die Notwendigkeit, Adressen neu zu nummerieren, wenn sich ein Netzwerk ändert oder zusammenführt.
Mit Network Address Translation können Sie einen virtuellen Host im Netzwerk erstellen, um den TCP-Lastenausgleich für interne Netzwerkserver zu koordinieren.

Geschwindigkeit. Im Vergleich zu Proxyservern ist NAT sowohl für Ziel- als auch für Quellcomputer transparent, was einen schnelleren direkten Umgang ermöglicht. Darüber hinaus arbeiten Proxyserver normalerweise auf der Transportschicht oder Schicht 4 des OSI-Referenzmodells oder höher, wodurch sie langsamer sind als die Netzwerkadressübersetzung, bei der es sich um ein Netzwerkschicht- oder Schicht-3-Protokoll handelt.

Skalierbarkeit. NAT und Dynamic Host Configuration Protocol (DHCP) arbeiten gut zusammen, wobei der DHCP-Server bei Bedarf nicht registrierte IP-Adressen für die Stub-Domäne aus der Liste verteilt. Die Skalierung ist einfacher, da Sie den verfügbaren IP-Adressbereich erhöhen können, den DHCP konfiguriert, um sofort Platz für zusätzliche Netzwerkcomputer zu schaffen, anstatt bei steigendem Bedarf weitere IP-Adressen von IANA anzufordern.

Mehrfachsuche. Mehrere Verbindungen zum Internet, Multi-Homing genannt, helfen dabei, eine zuverlässige Verbindung aufrechtzuerhalten, und verringern die Wahrscheinlichkeit eines Herunterfahrens im Falle einer fehlgeschlagenen Verbindung. Dies ermöglicht auch einen Lastenausgleich, indem die Anzahl der Computer reduziert wird, die eine einzelne Verbindung verwenden. Multi-Homed-Netzwerke stellen häufig eine Verbindung zu mehreren ISPs her, wobei jeder der Organisation einen Bereich von IP-Adressen oder eine einzelne IP-Adresse zuweist. Router verwenden die Netzwerkadressübersetzung, um zwischen Netzwerken mit verschiedenen Netzwerkadressübersetzungsprotokollen zu routen. In einem Multi-Homed-Netzwerk verwendet der Router einen Teil der TCP / IP-Protokollsuite, das Border Gateway Protocol (BGP), um zu kommunizieren; Die Stub-Domänenseite verwendet internes BGP oder IBGP, und Router kommunizieren miteinander über externes BGP oder EBGP. Multi-Homing leitet alle Daten über einen anderen Router um, falls eine der Verbindungen zu einem ISP fehlschlägt.

Nachteile von NAT

Ressourcenverbrauch. Die Netzwerkadressübersetzung ist eine Technologie, die Speicherressourcen und Prozessorplatz verbraucht, da sie IPv4-Adressen für alle ausgehenden und eingehenden IPv4-Datagramme übersetzen und die Details aus der Übersetzung im Speicher beibehalten muss.

Verzögerungen. Pfadverzögerungen werden durch Translationsergebnisse in Schaltpfadverzögerungen verursacht.
Funktionalität. Einige Anwendungen und Technologien funktionieren bei aktiviertem NAT nicht wie erwartet.

Rückverfolgbarkeit. Die Netzwerkadressenübersetzung erschwert Protokolle für das Tunneln. IPSec ist das sichere Protokoll, das für die Übersetzung von Netzwerkadressen empfohlen wird.

Ebenenproblem. Ein Router ist ein Gerät für die Netzwerkschicht, aber als NAT-Gerät ist es erforderlich, die Transportschicht in Form von Portnummern zu manipulieren.

Bietet Avi eine Softwarelösung für die Übersetzung von Netzwerkadressen an?

Die Avi Vantage-Plattform von Avi Networks, eine softwaredefinierte Application Services Fabric, erzwingt Zugriffssteuerungsrichtlinien, erfasst und analysiert den End-to-End-Anwendungsverkehr und bietet Dienste, die weit über den Lastausgleich hinausgehen.

Wenn neue Anwendungsserver bereitgestellt werden, benötigen die Server externe Konnektivität für die Verwaltbarkeit. In Abwesenheit eines Routers in den Servernetzwerken kann die Avi SE zum Routing des Datenverkehrs von Servernetzwerken verwendet werden, indem die IP-Routing-Funktion von Service Engines verwendet wird. Die Avi Service Engine (SE) NAT-Funktionalität deckt dies ab und dient als NAT-Gateway für das gesamte private Netzwerk von Servern.

NAT funktioniert entweder über IP-Routing auf der Service Engine, der SE-Standard-Gateway-Funktion oder in der Post-Routing-Phase des Paketpfads. Um die ausgehende NAT-Funktionalität nutzen zu können, müssen Sie das IP-Routing auf der Service Engine aktivieren und die SE als Gateway verwenden.

Avi unterstützt ausgehendes NAT für TCP/UDP- und ICMP-Flows.

Es gibt drei ausgehende NAT-Anwendungsfalloptionen:

  • NAT-Flows (NAT-Flow-Informationen anzeigen)
  • NAT-Richtlinienstatistiken (NAT-Richtlinienstatistiken anzeigen)
  • NAT Stat (NAT-Statistiken anzeigen)

Die Plattform ermöglicht auch Source NAT oder SNAT zur Anwendungsidentifikation. Die Quell-IP-Adresse, die von Avi SEs für Server-Back-End—Verbindungen verwendet wird, kann durch eine explizite benutzerdefinierte Adresse überschrieben werden – die Quell-NAT-IP-Adresse (SNAT). Die SNAT-IP-Adresse kann als Teil der Konfiguration des virtuellen Dienstes festgelegt werden.

In einigen Bereitstellungen ist es wichtig, den Datenverkehr basierend auf der Quell-IP-Adresse zu identifizieren, um eine differenzierte Behandlung basierend auf der Anwendung bereitzustellen. In DMZ-Bereitstellungen müssen beispielsweise Sicherheits-, Firewall-, Sichtbarkeits- und andere Lösungstypen möglicherweise Clients überprüfen, die die Quell-IP verwenden, bevor der Datenverkehr an eine Anwendung weitergeleitet wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.