<< Tilbake Til Teknisk Ordliste
Network Address Translation Definition
Network Address Translation (Nat) er en prosess som gjør det mulig for en unik IP-adresse å representere en hel gruppe datamaskiner. I network address translation tilordner en nettverksenhet, ofte en ruter eller nat-brannmur, en datamaskin eller datamaskiner i et privat nettverk en offentlig adresse. På denne måten gjør network address translation det mulig for enkeltenheten å fungere som mellommann eller agent mellom det lokale, private nettverket og det offentlige nettverket som er internett. NATS hovedformål er å bevare antall OFFENTLIGE IP-adresser i bruk, for både sikkerhets-og økonomiske mål.
Network Address Translation FAQs
Hva Er Network Address Translation?
Network Address Translation (Nat) bevarer IP-adresser ved å aktivere private IP-nettverk ved hjelp av uregistrerte IP-adresser for å gå online. FØR NAT videresender pakker mellom nettverkene den forbinder, oversetter den de private interne nettverksadressene til juridiske, globalt unike adresser.
NAT-konfigurasjoner kan avsløre BARE EN IP-adresse for et helt nettverk til omverdenen som en del av denne funksjonen, effektivt skjule hele det interne nettverket og gi ekstra sikkerhet. Network address translation er vanligvis implementert i eksterne tilgangsmiljøer, da det tilbyr de to funksjonene til adressebeskyttelse og forbedret sikkerhet.
Hva Er Hensikten Med Network Address Translation?
for å kommunisere med internett krever et nettverkssystem en unik IP-adresse. Dette 32-biters nummeret identifiserer og lokaliserer nettverksenheten slik at en bruker kan kommunisere med den.
IPV4 adresseringsordningen fra de siste tiårene har teknisk gjort milliarder av disse unike adressene tilgjengelige, men ikke alle kunne tilordnes enheter for kommunikasjon. I stedet ble noen unntatt og brukt til testing, kringkasting og visse reserverte militære formål. Mens det igjen over 3 milliarder for kommunikasjon, spredning av internett har betydd adressene var nær utmattelse.
IPv6 adresseringsordningen ble introdusert som løsningen på denne svakheten I IPv4 adresseringsordningen. IPv6 gjenskaper adresseringssystemet slik at det er flere alternativer for tildeling av adresser, men det har tatt flere år å endre nettverkssystemets infrastruktur og å implementere. NAT ble introdusert av Cisco i mellomtiden og utbredt.
Hvordan Network Address Translation Works
Network address translation tillater en enkelt enhet, for eksempel en nat—brannmur eller nat-ruter eller annen network address translation device, å fungere som en agent mellom det offentlige nettverket og private nettverk-internett og eventuelle lokale nettverk. Dette gjør at en hel gruppe enheter kan representeres av en enkelt unik IP-adresse når de gjør noe utenfor nettverket.
NAT fungerer som et stort selskaps resepsjonist, med spesifikke instruksjoner om hvilke samtaler og besøkende å holde ut, vente eller sende gjennom, og hvor de skal gå. For eksempel kan du fortelle resepsjonisten ikke å videresende noen besøkende eller samtaler uten din forespørsel før du venter på noe spesifikt; du kan deretter la instruksjoner om å la den aktuelle klientkommunikasjonen gjennom.
klienten ringer selskapets hovednummer, fordi det offentlige nummeret er det eneste noen vet. De forteller resepsjonisten at de trenger å snakke med deg, og resepsjonisten a) sjekker instruksjonene og vet at du vil at samtalen videresendes, og b) matcher utvidelsen din med en liste for å sende informasjonen til rett sted. Den som ringer får aldri din private linje.
Nettverksadresseoversettelse fungerer på samme måte. Forespørselen kommer til den offentlige IP-adressen og porten, OG nat-instruksjonene sender den hvor den skal gå uten å avsløre de private IP-adressene til destinasjonene.
Eksempel På Oversettelse Av Nat-Nettverksadresse
som ET EKSEMPEL på oversettelse AV nat-nettverksadresse, kan det hende at en intern vert ønsker å kommunisere med en webserveradresse for oversettelse av destinasjonsnettverk i verden utenfor. For videre kommunikasjon vil den sende en datapakke til nettverkets nat gateway router.
nat gateway-ruteren bestemmer om pakken oppfyller betingelsen for oversettelse ved å lære kilde-IP-adressen til pakken og se den opp i tabellen. Den kan finne godkjente verter for de interne nettverksoversettelsesformål på SIN tilgangskontrollliste (ACL), og deretter fullføre oversettelsen, og produsere en intern global IP-adresse fra den lokale ip-adressen.
ENDELIG vil NAT gateway-ruteren rute pakken til destinasjonen etter å ha lagret oversettelsen i nat-tabellen. Pakken går tilbake til den globale IP-adressen til ruteren når internetts webserver går tilbake til forespørselen. Med henvisning til nat-tabellen kan ruteren bestemme hvilken oversatt IP-adresse som tilsvarer hvilken global adresse, oversette den til den lokale adressen, og levere datapakken til verten på DERES IP-adresse. Datapakken kasseres hvis ingen treff er funnet.
Typer Nettverksadresseoversettelse
DET finnes MANGE former FOR NAT, og DET kan fungere på flere måter.
Statisk nettverksadresse oversettelse SNAT. SNAT maps uregistrerte IP-adresser ved hjelp av 1 til 1 nettverksadresse oversettelse for å matche opp med registrerte IP-adresser. Det er spesielt nyttig når en enhet må være tilgjengelig fra utenfor nettverket.
Dynamisk nettverksadresse OVERSETTELSE DNAT. DENNE FORMEN for NAT velger et mål fra en gruppe registrerte IP-adresser og tilordner en uregistrert IP-adresse til den registrerte versjonen.
Omvendt nettverk adresse oversettelse rnat. RNAT tillater brukere å koble til seg selv ved hjelp av internett eller offentlig nettverk.
Overbelastning av nettverk adresse oversettelse NAT. DETTE er også kjent som NAT overbelastning, port-nivå multiplexed nat, enkelt adresse NAT, eller port adresse oversettelse (pat). Denne formen for dynamisk NAT bruker forskjellige porter for å kartlegge flere private, lokale, uregistrerte IP-adresser til en enkelt registrert IP-adresse og skille hvilken trafikk tilhører HVILKEN NAT IP-adresse. Når DET gjelder portadresseoversettelse vs nettverksadresseoversettelse, ER PAT ofte mest kostnadseffektivt når mange brukere er koblet til internett via bare en offentlig IP-adresse.
Overlappende nettverk adresse oversettelse NAT. Overlappende NAT kan skje enten når to organisasjoner med nettverk som begge bruker RFC 1918 IP-adresser, slås sammen, eller når registrerte IP-adresser tilordnes flere enheter eller på annen måte er i bruk på mer enn ett internt nettverk. I begge tilfeller må nettverkene kommunisere, og organisasjonen(e) bruker overlappende NAT for å oppnå dette uten å readdressing alle enheter.
nat-ruteren avskjærer adresser, og opprettholder et bord av dem slik at det kan erstatte dem med registrerte unike IP-adresser. Network address translation router må både oversette registrerte eksterne IP-adresser til de som er unike for det private nettverket og oversette interne IP-adresser til registrerte unike adresser. DET kan oppnå dette enten VED Å BRUKE DNS til å implementere dynamisk NAT eller via statisk NAT.
i network address translation-konteksten er det interne nettverket, ofte referert til som stubdomenet, vanligvis et LOKALNETTVERK LAN som bruker IP-adresser internt. De fleste stub domene nettverkstrafikk er lokal, igjen inne i det interne nettverket. Et stubdomene kan inneholde både uregistrerte OG registrerte IP-adresser.
Network Address Translation Configuration
en tradisjonell nat-konfigurasjon krever minst ett grensesnitt på en ruter (nat utenfor); et annet grensesnitt på ruteren( NAT inne); og et konfigurert sett med regler for å oversette IP-adressene i pakkeoverskriftene og muligens nyttelast.
i dette eksemplet på konfigurasjon av nettverksadresseoversettelse konfigurerer DEN nat-ruteren som følger. Når en enhet på innsiden med en uregistrert (inne, lokal) IP-adresse må kommunisere med (utenfor, offentlig) nettverk, oversetter ruteren de uregistrerte adressene som ligger på det private (inne) nettverket til registrerte IP-adresser.
- organisasjonen mottar en rekke registrerte, unike IP-adresser tildelt AV INTERNETT-LEVERANDØREN. Den tildelte adresselisten kalles inne i globale adresser.
- teamet deler uregistrerte, private adresser i en liten gruppe og en mye større gruppe. Stubdomenet vil bruke den større gruppen, kalt inne i lokale adresser. Nat-ruterne vil bruke den lille gruppen, kalt utenfor lokale adresser, til å oversette eksterne globale adresser eller unike IP-adresser til enheter på det offentlige nettverket.
- de fleste stub domene datamaskiner kommunisere med hverandre ved hjelp av inne lokale adresser. Det er inne globale adresser for de stub domene datamaskiner som kommuniserer mye utenfor nettverket, betyr at de ikke krever oversettelse.
- men når en typisk stub-domenedatamaskin med en lokal adresse må kommunisere utenfor nettverket, sender den pakken til EN nat-ruter.
- nat-ruteren ser etter måladressen i rutingstabellen. HVIS DEN har en oppføring for den adressen, oversetter nat-ruteren pakken og angir handlingen i adresseoversettelsestabellen. NAT-ruteren slipper pakken hvis måladressen ikke er i rutingstabellen.
- ruteren sender pakken på ved hjelp av en intern global adresse.
- en datamaskin med offentlig nettverk sender en pakke til det private nettverket. Pakkens destinasjonsadresse er en intern global adresse, og dens kildeadresse er en ekstern global adresse.
- nat-ruteren bekrefter at destinasjonsadressen tilordnes til en stubdomenedatamaskin ved å sjekke adresseoversettelsestabellen.
- NAT-ruteren sender pakken til måldatamaskinen etter å ha oversatt pakkens globale adresse til den lokale adressen.
NAT-overbelastning bruker multipleksing, EN tcp / IP-protokollstakkfunksjon. Multiplexing gjør det mulig for en datamaskin å opprettholde flere tilkoblinger med eksterne datamaskiner samtidig ved hjelp av forskjellige porter. Overskriften til EN IP-pakke inneholder:
Kildeadresse. Den opprinnelige datamaskinens IP-adresse, for eksempel 123.123.12.1
Kildeport. Det tildelte tcp-eller UDP-portnummeret for denne pakken, For Eksempel Port 1060
Måladresse. Mottakerens IP-adresse, for eksempel 52.220.51.237
Målport. Portnummeret for oversettelse AV tcp-eller UDP-nettverksadressen måldatamaskinen skal åpne, For Eksempel Port 2170
disse fire tallene representerer en ENKELT tcp/IP-tilkobling. Adressene klargjør de to datamaskinene i hver ende, og portnumrene gir en unik identifikator for forbindelsen mellom de to datamaskinene. Selv om det er en mulig 65,536 verdier her siden hvert portnummer bruker 16 bits, ulike porter er kartlagt på litt forskjellige måter, så om 4,000 tilgjengelige porter er realistisk.
Dynamisk Nat-Og Nat-Overbelastningskonfigurasjon
i dynamisk nettverksadresseoversettelse:
- Iana (Internet Assigned Numbers Authority), den globale myndigheten som tildeler IP-adresser, er den eneste kilden til unike IP-adresser. Der et stub-domene eller internt nettverk er satt OPP MED IP-adresser SOM IANA ikke spesifikt tildelte for DEM, er adressene ikke unike og kan derfor ikke rutes.
- organisasjonen setter opp en ruter aktivert FOR NAT som inneholder en rekke unike IP-adresser fra IANA.
- en stub-domenedatamaskin forsøker å koble til en ekstern datamaskin.
- ruteren mottar stub-domenedatamaskinens pakke.
- den nat-aktiverte ruteren lagrer DEN ikke-rutbare IP-adressen fra den sendende datamaskinen til en adresseoversettelsestabell. Ruteren tilordner den første tilgjengelige IP-adressen utenfor sonen med unike IP-adresser til den sendende datamaskinen for å erstatte DEN ikke-rutbare IP-adressen.
- ruteren kontrollerer nå hver pakkes destinasjonsadresse når den kommer fra måldatamaskinen, og verifiserer hvilken stub domenedatamaskin pakken tilhører med adresseoversettelsestabellen. Hvis den ikke finner noen kamp, faller den pakken. Ellers finner den alternativet for måladressen som er lagret i adresseoversettelsestabellen, og sender den.
- datamaskinen mottar pakken og prosessen fortsetter så lenge det eksterne systemet og datamaskinen kommuniserer.
I NAT-overbelastning:
- som i det forrige dynamiske nat-eksemplet, er et stubdomene eller internt nettverk konfigurert med IKKE-rutbare, ikke-unike IP-adresser som ikke er spesifikt tildelt for DEM, slik at organisasjonen setter opp en ruter aktivert FOR NAT som inneholder en unik IP-adresse fra IANA.
- en stub-domenedatamaskin forsøker å koble til en ekstern datamaskin.
- den nat-aktiverte ruteren mottar stub-domenedatamaskinens pakke.
- nat-ruteren lagrer DEN ikke-rutbare IP-adressen og portnummeret fra den sendende datamaskinen til en adresseoversettelsestabell. Ruteren tilordner et portnummer og ruterens IP-adresse til den sendende datamaskinen for å erstatte DEN ikke-rutbare IP-adressen og portnummeret.
- ruteren kontrollerer destinasjonsportene til pakker som kommer tilbake fra måldatamaskinen, og bekrefter hvilken stub-domenedatamaskin pakken tilhører. Den erstatter målporten og adressen med de lagrede versjonene fra adresseoversettelsestabellen og sender dem.
- datamaskinen mottar pakken og prosessen fortsetter så lenge det eksterne systemet og datamaskinen kommuniserer.
- nat-ruteren vil fortsette å bruke samme portnummer gjennom hele tilkoblingen, da den har datamaskinens kildeport og adresse lagret i adresseoversettelsestabellen. Hvis kommunikasjonen avsluttes uten at oppføringen åpnes igjen, fjerner ruteren oppføringen fra bordet.
I motsetning til datamaskinen som er beskrevet ovenfor i den tradisjonelle nat-konfigurasjonen, kan dette være hvordan stub-domenedatamaskiner ser ut til eksterne nettverk:
Kildedatamaskin 1
IP-Adresse: 192.168.24.11
Datamaskinport: 620
NAT Router IP-Adresse: 215.37.32.203
Nat Router Portnummer: 1
Kilde Datamaskin 2
IP-Adresse: 192.168.24.12
Datamaskinport: 80
NAT Router IP-Adresse: 215.37.32.203
Nat Router Portnummer: 2
Kilde Datamaskin 3
Ip-Adresse: 192.168.24.13
datamaskinport: 1560
Nat-Ruter Ip-Adresse: 215.37.32.203
nat-ruter portnummer: 3
den nat-aktiverte ruteren lagrer IP-ADRESSEN og Portnummeret til hver kildedatamaskin. Den bruker sin egen registrerte IP-adresse og portnumre for å erstatte IP-adressen og portnummeret som tilsvarer den pakkenes kildedatamaskin i tabellen. I stedet for kildedatamaskininformasjonen på hver pakke ser ethvert eksternt nettverk NAT-ruterenes IP-adresse og det tildelte portnummeret.
Noen stub domene datamaskiner bruker dedikerte IP-adresser. I slike situasjoner KAN IP-adressene passere nat-ruteren uoversatt hvis du oppretter en tilgangsliste OVER IP-adresser som klargjør for ruteren hvilke nettverksdatamaskiner som krever NAT.
EN ruters Dynamic Random Access Memory (DRAM) er hovedfaktoren som bestemmer antall samtidige oversettelser som den kan støtte. En typisk adresse-oversettelsestabelloppføring krever omtrent 160 byte, så for de fleste applikasjoner er en ruter med 4 MB DRAM tilstrekkelig.
Ifølge IANA og RFC 1918 er det spesifikke områder AV IP-adresser for bruk som interne nettverksadresser som ikke kan rutes. Disse adressene er uregistrerte, noe som betyr at ingen byrå eller selskap kan bruke dem på offentlige datamaskiner eller kreve eierskap over dem. I stedet for å videresende uregistrerte adresser, er rutere designet for å kaste dem bort. Derfor kan en pakke fra en uregistrert sendingsdataadresse nå sin registrerte datamaskindestinasjon, men den første ruteren svaret kom til, ville kaste den bort.
for å redusere SJANSEN FOR EN IP-adressekonflikt, lønner det seg å følge rekkevidden for HVER AV DE TRE klassene AV IP-adresser i det interne nettverket:
- Område 1: Klasse A – 10.0.0.0 til 10.255.255.255
- Område 2: Klasse B – 172.16.0.0 til 172.31.255.255
- Område 3: Klasse C-192.168.0.0 gjennom 192.168.255.255
dette er imidlertid en god praksis, ikke et krav.
NAT-Ruter
ved HJELP AV nat-overbelastning oppretter en nat-ruter et nettverk AV IP-adresser FOR ET LOKALNETTVERK OG kobler det offentlige nettverket som er internett TIL DET LAN-nettverket. Ruteren utfører NAT tillater kommunikasjon MELLOM WAN eller internett og vertsenheter eller datamaskiner PÅ LAN-nettverket. FORDI NAT-rutere ser ut til å være en solo-vert med en solo-IP-adresse til internett, brukes de til småskala næringer og hjemmeformål.
Fordeler Med Nettverksadresseoversettelse
Fordeler MED NAT
adressebevaring. NAT sparer IP-adresser som er lovlig registrert og forhindrer uttømming.
Sikkerhet For Oversettelse Av nettverksadresse. NAT tilbyr muligheten til å få tilgang til internett med mer sikkerhet og personvern ved å skjule enhetens IP-adresse fra det offentlige nettverket, selv når du sender og mottar trafikk. Nat-hastighetsbegrensning tillater brukere å begrense maksimalt antall samtidige nat-operasjoner på en ruter og hastighetsbegrensning for ANTALL nat-oversettelser. Dette gir mer kontroll over bruken AV nat-adresser, men kan også brukes til å begrense effekten av ormer, virus og DoS-angrep. Dynamisk nat-implementering oppretter automatisk en brannmur mellom det interne nettverket og internett. Noen nat-rutere tilbyr trafikklogging og filtrering.
Fleksibilitet. NAT gir fleksibilitet; for eksempel kan den distribueres i et offentlig trådløst LAN-miljø. Innkommende tilordning eller statisk NAT gjør det mulig for eksterne enheter å starte tilkoblinger til datamaskiner på stubdomenet i noen tilfeller.
Enkelhet. Eliminerer behovet for å omnummerere adresser når et nettverk endres eller slås sammen.
Network address translation lar deg lage en intern virtuell vert for nettverk for å koordinere tcp-lastbalansering for interne nettverksservere.
Hastighet. Sammenlignet med proxy-servere, er NAT gjennomsiktig for både mål-og kildedatamaskiner, noe som gir raskere direkte håndtering. I tillegg fungerer proxy-servere vanligvis på transportlaget eller lag 4 I OSI-Referansemodellen eller høyere, noe som gjør dem tregere enn nettverksadresseoversettelse, som er et nettverkslag eller lag 3-protokoll.
Skalerbarhet. Nat og dynamic host configuration protocol (DHCP) fungerer godt sammen, MED DHCP-serveren doling ut uregistrerte IP-adresser for stubdomenet fra listen etter behov. Oppskalering er enklere, siden DU kan øke DET TILGJENGELIGE spekteret AV IP-adresser DHCP konfigurerer for å gjøre plass til flere nettverksdatamaskiner umiddelbart i stedet for å be om FLERE IP-adresser fra IANA etter hvert som behovene øker.
Multi-homing. Flere tilkoblinger til internett, kalt multi-homing, bidrar til å opprettholde en pålitelig tilkobling og reduserer sjansen for en avslutning i tilfelle en mislykket tilkobling. Dette muliggjør også lastbalansering ved å redusere antall datamaskiner ved hjelp av en enkelt tilkobling. Multi-homed nettverk kobler ofte til flere Internett-Leverandører, hver tilordner EN rekke IP-adresser eller en ENKELT IP-adresse til organisasjonen. Rutere bruker nettverksadresseoversettelse til å rute mellom nettverk ved hjelp av forskjellige nettverksadresseoversettelsesprotokoller. I et multi-homed nettverk bruker ruteren en DEL AV tcp / IP-protokollpakken, border gateway protocol (bgp), for å kommunisere; stubdomenesiden bruker intern BGP eller IBGP, og rutere kommuniserer med hverandre ved hjelp av ekstern BGP eller EBGP. Multi-homing omdirigerer alle data gjennom en annen ruter bør en av tilkoblingene til EN ISP mislykkes.
Ulemper VED NAT
Ressursforbruk. Network address translation er en teknologi som bruker minneressurser og prosessorplass, fordi Den må oversette IPv4-adresser for alle utgående Og innkommende IPv4-datagrammer og beholde detaljene fra oversettelse i minnet.
Forsinkelser. Baneforsinkelser skyldes oversettelsesresultater ved å bytte baneforsinkelser.
Funksjonalitet. Noen programmer og teknologier vil ikke fungere som forventet med nat aktivert.
Sporbarhet. Nettverksadresse oversettelse kompliserer protokoller for tunneling. IPsec er den sikre protokollen som anbefales for nettverksadresseoversettelse.
Lag problemet. En ruter er en enhet for nettverkslaget, men som EN nat-enhet er det nødvendig å tukle med transportlaget i form av portnumre.
Har Avi Tilbyr Et Nettverk Adresse Oversettelse Programvareløsning?
Avi Networks’ Avi Vantage-Plattform, et programvaredefinert applikasjonstjenestestoff, håndhever tilgangskontrollpolicyer og fanger og analyserer ende-til-ende applikasjonstrafikk, og leverer tjenester langt utover lastbalansering.
når nye applikasjonsservere distribueres, trenger serverne ekstern tilkobling for håndterbarhet. I fravær av en ruter i servernettverkene, kan Avi SE brukes til ruting av trafikken til servernettverk ved Å bruke IP-rutingsfunksjonen Til Servicemotorer. Avi Service Engine (SE) nat funksjonalitet dekker dette, og fungerer SOM EN nat gateway for hele private nettverk av servere.
NAT vil fungere ENTEN GJENNOM IP-ruting På Service Engine, SE standard gateway-funksjonen, eller i post-ruting fase av pakkebanen. Hvis du vil bruke utgående nat-funksjonalitet, er DET nødvendig å aktivere IP-ruting på Servicemotoren og bruke SE som gateway.
avi støtter utgående NAT FOR tcp / UDP og ICMP-strømmer.
det finnes tre alternativer FOR utgående nat-brukstilfelle:
- NAT-Strømmer(vis informasjon OM nat-flyt)
- Nat-Policystatistikk (vis nat-policystatistikk)
- NAT-Statistikk (vis nat-statistikk)
plattformen muliggjør Også Kilde NAT ELLER SNAT for applikasjonsidentifikasjon. Kilde-IP-adressen som brukes av Avi SEs for server back-end-tilkoblinger kan overstyres gjennom en eksplisitt brukerdefinert adresse-kilde NAT (SNAT) IP-adresse. SNAT-IP-adressen kan være spesifikk som en del av den virtuelle tjenestekonfigurasjonen.
i noen distribusjoner er det viktig å identifisere trafikk basert på kilde-IP-adresse for å gi differensialbehandling basert på applikasjonen. I DMZ-distribusjoner kan det for eksempel hende at sikkerhet, brannmur, synlighet og andre typer løsninger må validere klienter som bruker kilde-IP-en før trafikk overføres til et program.