<< Back to Technical Glossary
Network Address Translation Definition
Network Address Translation (NAT) is een proces waarbij één uniek IP-adres een volledige groep computers vertegenwoordigt. In Network address translation wijst een netwerkapparaat, vaak een router of NAT firewall, een computer of computers in een particulier netwerk een openbaar adres toe. Op deze manier kan het ene apparaat als tussenpersoon of agent tussen het lokale, particuliere netwerk en het openbare netwerk dat het internet is optreden. Het belangrijkste doel van NAT is om het aantal openbare IP-adressen in gebruik te behouden, zowel voor veiligheids-als economische doeleinden.
Netwerkadresvertaling FAQs
Wat is Netwerkadresvertaling?
Network Address Translation (NAT) bewaart IP-adressen door private IP-netwerken die niet-geregistreerde IP-adressen gebruiken, in staat te stellen online te gaan. Voordat NAT pakketten doorstuurt tussen de netwerken die het verbindt, vertaalt het de privé-interne netwerkadressen in juridische, wereldwijd unieke adressen.
NAT-configuraties kunnen slechts één IP-adres voor een volledig netwerk aan de buitenwereld onthullen als onderdeel van deze mogelijkheid, waardoor het gehele interne netwerk effectief wordt verborgen en extra beveiliging wordt geboden. Network address translation wordt meestal geà mplementeerd in remote access-omgevingen, omdat het de dubbele functies van adresbehoud en verbeterde beveiliging biedt.
Wat is het doel van Netwerkadresvertaling?
om met het internet te communiceren, heeft een netwerksysteem een uniek IP-adres nodig. Dit 32-bits nummer identificeert en lokaliseert het netwerkapparaat zodat een gebruiker ermee kan communiceren.
het IPv4-adresseringsschema van de afgelopen decennia heeft technisch miljarden van deze unieke adressen beschikbaar gemaakt, maar niet alle adressen konden worden toegewezen aan communicatieapparatuur. In plaats daarvan werden sommige vrijgesteld en gebruikt voor testen, uitzending en bepaalde voorbehouden militaire doeleinden. Terwijl dat meer dan 3 miljard voor communicatie, de proliferatie van het internet heeft betekend dat de adressen waren in de buurt van uitputting.
het IPv6-adresseringsschema werd geïntroduceerd als de oplossing voor deze zwakte in het IPv4-adresseringsschema. IPv6 herschept het adresseersysteem zodat er meer opties zijn voor het toewijzen van adressen, maar het heeft enkele jaren geduurd om de netwerksysteeminfrastructuur te wijzigen en te implementeren. NAT werd ondertussen door Cisco geïntroduceerd en breed ingezet.
hoe Netwerkadresvertaling werkt
Netwerkadresvertaling maakt het mogelijk dat één apparaat, zoals een NAT—firewall of NAT-router of een ander netwerkadresvertalingsapparaat, als agent optreedt tussen het openbare netwerk en particuliere netwerken-het internet en lokale netwerken. Hierdoor kan een hele groep apparaten worden vertegenwoordigd door één uniek IP-adres wanneer ze iets buiten hun netwerk doen.NAT werkt als een receptioniste van een groot bedrijf, met specifieke instructies voor oproepen en bezoekers om buiten te blijven, te wachten of door te sturen, en waar ze heen moeten gaan. U kunt bijvoorbeeld de receptioniste vertellen geen bezoekers of oproepen door te sturen zonder uw verzoek totdat u op iets specifieks wacht; u kunt dan instructies achterlaten over het laten van die specifieke klantcommunicatie door.
de klant belt het hoofdnummer van het bedrijf, omdat dat publiek gerichte nummer het enige is dat iemand kent. Ze vertellen de receptionist ze nodig hebben om met u te spreken, en de receptionist a) controleert de instructies en weet dat u wilt dat de oproep doorgestuurd, en b) past uw extensie met een lijst om de informatie naar de juiste plaats te sturen. De beller krijgt nooit je privélijn.
Netwerkadresvertaling werkt op dezelfde manier. Het verzoek komt aan op het openbare IP-adres en de poort, en de nat-instructies sturen het naar waar het moet gaan zonder de privé IP-adressen van de bestemmingen te onthullen.
NAT-Netwerkadresvertaling voorbeeld
als een nat-netwerkadresvertaling voorbeeld wil een interne host mogelijk communiceren met een webserveradres van een bestemmingsnetwerk voor vertaling in de buitenwereld. Voor verdere communicatie zal het een datapakket naar de NAT gateway router van het netwerk sturen.
de NAT gateway router bepaalt of het pakket aan de voorwaarde voor vertaling voldoet door het bron-IP-adres van het pakket te leren en het op te zoeken in de tabel. Het kan geauthenticeerde hosts lokaliseren voor de interne netwerk vertaling doeleinden op zijn access control list (ACL), en vervolgens de vertaling voltooien, het produceren van een binnen globaal IP-adres van de binnenkant lokale IP-adres.
tenslotte zal de NAT gateway router het pakket naar de bestemming routeren na het opslaan van de vertaling in de NAT tabel. Het pakket keert terug naar het globale IP-adres van de router wanneer de webserver van het internet terugkeert naar het verzoek. Verwijzend naar de NAT-tabel kan de router bepalen welk vertaalde IP-adres overeenkomt met welk globaal adres, het vertalen naar het interne lokale adres, en het datapakket aan de host leveren op hun IP-adres. Het datapakket wordt weggegooid als er geen overeenkomst is gevonden.
typen Netwerkadresvertaling
er zijn vele vormen van NAT en het kan op verschillende manieren functioneren.
Static network address translation SNAT. SNAT kaarten ongeregistreerde IP-adressen met behulp van 1 op 1 netwerkadres vertaling te matchen met geregistreerde IP-adressen. Het is vooral handig wanneer een apparaat van buiten het netwerk toegankelijk moet zijn.
dynamische netwerkadresvertaling DNAT. Deze vorm van NAT selecteert een doel uit een groep geregistreerde IP-adressen en koppelt een niet-geregistreerd IP-adres aan de geregistreerde versie.
reverse Network address translation RNAT. RNAT stelt gebruikers in staat om verbinding te maken met zichzelf via het internet of het openbare netwerk.
overbelast netwerkadresvertaling NAT. Dit staat ook bekend als NAT overload, port-level multiplexed NAT, single address NAT, of port address translation (PAT). Deze vorm van dynamische NAT gebruikt verschillende poorten om meerdere privé -, lokale, niet-geregistreerde IP-adressen toe te wijzen aan één geregistreerd IP-adres en te onderscheiden welk verkeer tot welk NAT-IP-adres behoort. In termen van port address translation vs network address translation, PAT is vaak het meest kosteneffectief wanneer veel gebruikers zijn verbonden met het internet via slechts één openbaar IP-adres.
overlappende netwerkadresvertaling NAT. Overlappende NAT kan optreden wanneer twee organisaties waarvan de netwerken beide RFC 1918 IP-adressen gebruiken samenvoegen, of wanneer geregistreerde IP-adressen worden toegewezen aan meerdere apparaten of anderszins in gebruik zijn op meer dan één intern netwerk. In beide gevallen moeten de netwerken communiceren, en de organisatie (s) gebruiken overlappende NAT om dit te bereiken zonder alle apparaten te readdresseren.
de NAT-router onderschept adressen, en onderhoudt een tabel van hen, zodat het ze kan vervangen door Geregistreerde unieke IP-adressen. De Network address translation router moet zowel geregistreerde externe IP-adressen vertalen naar die welke uniek zijn voor het particuliere netwerk als interne IP-adressen vertalen naar geregistreerde unieke adressen. Dit kan worden bereikt door DNS te gebruiken om dynamische NAT te implementeren of door statische NAT.
in de context van de vertaling van netwerkadressen is het interne netwerk, gewoonlijk aangeduid als het stub-domein, meestal een LAN voor een lokaal netwerk dat intern IP-adressen gebruikt. Het meeste stub-domeinnetwerkverkeer is lokaal en blijft binnen het interne netwerk. Een stub-domein kan zowel ongeregistreerde als geregistreerde IP-adressen bevatten.
Network Address Translation Configuration
een traditionele NAT-configuratie vereist ten minste één interface op een router (NAT outside); een andere interface op de router (NAT inside); en een geconfigureerde set regels voor het vertalen van de IP-adressen in de pakketheaders en mogelijk payloads.
in dit voorbeeld van network address translation configuration, configureert het de NAT router als volgt. Wanneer een apparaat aan de binnenkant met een niet-geregistreerd (binnen, lokaal) IP-adres moet communiceren met het (buiten, openbaar) netwerk, vertaalt de router die niet-geregistreerde adressen die zich op het privé (binnen) netwerk bevinden naar geregistreerde IP-adressen.
- De organisatie ontvangt een reeks geregistreerde, unieke IP-adressen toegewezen door de ISP. De toegewezen lijst met adressen wordt binnen globale adressen aangeroepen.
- het team splitst niet-geregistreerde privéadressen in een kleine groep en een veel grotere groep. Het stub-domein zal de grotere groep gebruiken, die binnen lokale adressen wordt genoemd. De NAT-routers zullen de kleine groep, die buiten lokale adressen wordt genoemd, gebruiken om de externe globale adressen of unieke IP-adressen van apparaten op het openbare netwerk te vertalen.
- De meeste stub-Domeincomputers communiceren met elkaar via lokale adressen. Er zijn binnen globale adressen voor die stub Domeincomputers die op grote schaal buiten het netwerk communiceren, wat betekent dat ze geen vertaling nodig hebben.
- echter, wanneer een typische stub domeincomputer met een intern lokaal adres buiten het netwerk moet communiceren, stuurt deze het pakket naar een NAT-router.
- de NAT-router controleert op het bestemmingsadres in de routeringstabel. Als het een regel voor dat adres heeft, vertaalt de NAT-router het pakket en voert die actie in de adresvertaaltabel in. De NAT-router laat het pakket vallen als het doeladres niet in de routeringstabel staat.
- de router verzendt het pakket via een intern globaal adres.
- een computer met een openbaar netwerk verzendt een pakket naar het particuliere netwerk. Het doeladres van het pakket is een binnen globaal adres en het bronadres is een buiten globaal adres.
- de NAT-router bevestigt dat het doeladres wordt toegewezen aan een stub-domeincomputer door de adresvertaaltabel te controleren.
- de NAT-router verzendt het pakket naar de doelcomputer na het vertalen van het globale adres van het pakket naar het interne lokale adres.
NAT-overbelasting maakt gebruik van multiplexen, een TCP/IP-protocolstack-functie. Multiplexing stelt een computer in staat om meerdere verbindingen met externe computer(s) tegelijkertijd te onderhouden met behulp van verschillende poorten. De header van een IP-pakket bevat:
bronadres. Het IP-adres van de oorspronkelijke computer, bijvoorbeeld 123.123.12.1
bronpoort. Het toegewezen TCP-of UDP-poortnummer voor dit pakket, bijvoorbeeld poort 1060
doeladres. Het IP-adres van de ontvangende computer, bijvoorbeeld 52.220.51.237
doelpoort. Het TCP-of UDP-netwerkadresvertaalpoortnummer dat de doelcomputer moet openen, bijvoorbeeld poort 2170
deze vier nummers samen vertegenwoordigen één TCP / IP-verbinding. De adressen verduidelijken de twee computers aan elk uiteinde en de poortnummers geven een unieke identificatie voor de verbinding tussen de twee computers. Hoewel er hier mogelijk 65.536 waarden zijn omdat elk poortnummer 16 bits gebruikt, worden verschillende poorten op iets verschillende manieren toegewezen, dus ongeveer 4.000 beschikbare poorten zijn realistisch.
dynamische NAT-en NAT-Overbelastingsconfiguratie
in dynamische netwerkadresvertaling:
- IANA (Internet Assigned Numbers Authority), de wereldwijde autoriteit die IP-adressen toewijst, is de enige bron van unieke IP-adressen. Wanneer een stub-domein of een intern netwerk is opgezet met IP-adressen die IANA niet specifiek voor hen heeft toegewezen, zijn de adressen niet uniek en daarom niet-routeerbaar.
- De organisatie stelt een router in die is ingeschakeld voor NAT en die een reeks unieke IP-adressen van IANA bevat.
- een stub-domeincomputer probeert verbinding te maken met een externe computer.
- de router ontvangt het pakket van de stub-domeincomputer.
- De nat-actieve router slaat het niet-routeerbare IP-adres van de verzendcomputer op naar een adresvertaaltabel. De router wijst het eerste beschikbare IP-adres buiten de zone van unieke IP-adressen toe aan de verzendcomputer om het niet-routeerbare IP-adres te vervangen.
- de router controleert nu het bestemmingsadres van elk pakket wanneer het aankomt van de bestemmingscomputer, en controleert bij welke stub-domeincomputer het pakket hoort met de adresvertaaltabel. Als het geen overeenkomst vindt, laat het het pakket vallen. Anders, het lokaliseert het alternatief voor de bestemming adres opgeslagen in de address translation table en verzendt het.
- de computer ontvangt het pakket en het proces gaat door zolang het externe systeem en de computer communiceren.
in NAT-overbelasting:
- zoals in het vorige voorbeeld van dynamische NAT is een stub-domein of intern netwerk opgezet met niet-routeerbare, niet-unieke IP-adressen die niet specifiek voor hen zijn toegewezen, dus stelt de organisatie een router in die voor NAT is ingeschakeld en die een uniek IP-adres van IANA bevat.
- een stub-domeincomputer probeert verbinding te maken met een externe computer.
- De nat-ingeschakelde router ontvangt het pakket van de stub-domeincomputer.
- de NAT-router slaat het niet-routeerbare IP-adres en poortnummer op van de verzendcomputer naar een adresvertaaltabel. De router wijst een poortnummer en het IP-adres van de router toe aan de verzendende computer om het niet-routeerbare IP-adres en poortnummer te vervangen.
- de router controleert de doelpoorten van pakketten die terugkeren van de doelcomputer en bevestigt tot welke stub-domeincomputer het pakket behoort. Het vervangt de bestemming poort en het adres met de opgeslagen versies van het adres vertaling tabel en stuurt ze.
- de computer ontvangt het pakket en het proces gaat door zolang het externe systeem en de computer communiceren.
- de NAT-router zal hetzelfde poortnummer blijven gebruiken gedurende de hele verbinding, aangezien de bronpoort en het adres van de computer zijn opgeslagen in de adresvertaaltabel. Als de communicatie eindigt zonder dat de ingang opnieuw wordt geopend, verwijdert de router de ingang uit de tabel.
in tegenstelling tot de computer zoals hierboven beschreven in de traditionele NAT-configuratie, kunnen stub-Domeincomputers op deze manier voorkomen op externe netwerken:
broncomputer 1
IP-adres: 192.168.24.11
computerpoort: 620
NAT-Router IP-adres: 215.37.32.203
NAT-Router het poortnummer in: 1
Bron 2
IP-Adres: 192.168.24.12
Computer Poort: 80
NAT-Router IP-Adres: 215.37.32.203
NAT-Router Poort Nummer: 2
Bron Computer 3
IP-Adres: 192.168.24.13
Computer Poort: 1560
NAT-Router IP-Adres: 215.37.32.203
NAT-Router het poortnummer in: 3
De NAT-router slaat elke bron-IP-adres en poort nummer. Het gebruikt zijn eigen geregistreerde IP-adres en poortnummers om het IP-adres en het poortnummer te vervangen dat overeenkomt met de broncomputer van dat pakket in de tabel. In plaats van de broncomputerinformatie op elk pakket ziet elk extern netwerk het IP-adres van de NAT-router en het toegewezen poortnummer.
sommige stub-Domeincomputers gebruiken speciale IP-adressen. In deze situaties kunnen hun IP-adressen onvertaald langs de NAT-router passeren als u een toegangslijst met IP-adressen maakt die duidelijk maakt voor de router welke netwerkcomputers NAT vereisen.
het Dynamic Random Access Memory (DRAM) van een router is de belangrijkste factor die het aantal gelijktijdige vertalingen bepaalt dat het kan ondersteunen. Een typische adres-vertaling tabel entry vereist ongeveer 160 bytes, dus voor de meeste toepassingen, een router met 4 MB DRAM is voldoende.
volgens IANA en RFC 1918 zijn er specifieke reeksen IP-adressen voor gebruik als interne netwerkadressen die niet-routeerbaar zijn. Deze adressen zijn niet-geregistreerd, wat betekent dat geen enkel agentschap of bedrijf ze op openbare computers kan gebruiken of eigendom over hen kan claimen. In plaats van het doorsturen van niet-geregistreerde adressen, zijn routers ontworpen om ze te verwerpen. Daarom kan een pakket van een niet-geregistreerd verzendend computeradres zijn geregistreerde computerbestemming bereiken, maar de eerste router die het antwoord kreeg, zou het weggooien.
om de kans op een IP-adresconflict te verkleinen, loont het om het bereik te volgen voor elk van de drie klassen van IP-adressen in uw interne netwerk:
- bereik 1: Klasse A-10.0.0.0 t / m 10.255.255.255
- bereik 2: klasse B-172.16.0.0 t / m 172.31.255.255
- Bereik 3: klasse C – 192.168.0.0 tot en met 192.168.255.255
dit is echter een goede praktijk, geen vereiste.
NAT-Router
met behulp van NAT-overload maakt een NAT-router een netwerk van IP-adressen aan voor een LAN van een lokaal netwerk en verbindt het openbare netwerk dat het internet is met dat LAN-netwerk. De router voert de NAT uit die communicatie tussen WAN of internet en de hostapparaten of computers op het LAN-netwerk mogelijk maakt. Omdat NAT-routers een solo-host blijken te zijn met een solo-IP-adres voor het internet, worden ze gebruikt voor kleinschalige industrieën en thuisdoeleinden.
voordelen van Netwerkadresvertaling
voordelen van NAT
behoud van adressen. NAT bewaart wettelijk geregistreerde IP-adressen en voorkomt uitputting ervan.
netwerkadres-vertaalbeveiliging. NAT biedt de mogelijkheid om toegang te krijgen tot het internet met meer veiligheid en privacy door het IP-adres van het apparaat te verbergen voor het openbare netwerk, zelfs bij het verzenden en ontvangen van verkeer. Met nat-rate-limiting kunnen gebruikers het maximum aantal gelijktijdige nat-bewerkingen op een router beperken en het aantal nat-vertalingen beperken. Dit biedt meer controle over het gebruik van NAT-adressen, maar kan ook worden gebruikt om de effecten van wormen, virussen en denial-of-service (DoS) aanvallen te beperken. Dynamische nat-implementatie maakt automatisch een firewall tussen het interne netwerk en het internet. Sommige NAT-routers bieden verkeersregistratie en-filtering.
flexibiliteit. NAT biedt flexibiliteit; het kan bijvoorbeeld worden ingezet in een openbare draadloze LAN-omgeving. Met inkomende toewijzing of statische NAT kunnen externe apparaten in sommige gevallen verbindingen met computers in het stub-domein starten.
eenvoud. Elimineert de noodzaak om adressen te hernummeren wanneer een netwerk verandert of fuseert.Met
Network address translation kunt u een virtuele host binnen het netwerk maken om TCP-taakverdeling voor interne netwerkservers te coördineren.
snelheid. In vergelijking met proxyservers is NAT transparant voor zowel bestemmingscomputers als broncomputers, waardoor er sneller direct gehandeld kan worden. Bovendien werken proxyservers meestal op de transportlaag of-laag 4 van het OSI-referentiemodel of hoger, waardoor ze langzamer zijn dan netwerkadresvertaling, wat een netwerklaag-of layer 3-protocol is.
schaalbaarheid. NAT en DHCP (dynamic host configuration protocol) werken goed samen, waarbij de DHCP-server, indien nodig, niet-geregistreerde IP-adressen Voor het stub-domein uit de lijst deelt. Opschalen is eenvoudiger, omdat u het beschikbare bereik van IP-adressen kunt vergroten dat de DHCP configureert om onmiddellijk ruimte te maken voor extra netwerkcomputers in plaats van meer IP-adressen van IANA aan te vragen naarmate de behoeften toenemen.
Multi-homing. Meerdere verbindingen met het internet, genaamd multi-homing, helpt een betrouwbare verbinding te behouden en vermindert de kans op een uitschakeling in het geval van een mislukte verbinding. Dit maakt ook load-balancing mogelijk door het verminderen van het aantal computers dat gebruik maakt van een enkele verbinding. Multi-homed netwerken maken vaak verbinding met meerdere ISP ‘ s, die elk een bereik van IP-adressen of een enkel IP-adres aan de organisatie toewijzen. Routers gebruiken netwerkadresvertaling om tussen netwerken te routeren met behulp van verschillende netwerkadresvertaalprotocollen. In een multi-homed netwerk gebruikt de router een deel van de TCP/IP-protocolsuite, het border gateway protocol (BGP), om te communiceren; de stub-domeinzijde gebruikt interne BGP of IBGP, en routers communiceren met elkaar via externe BGP of EBGP. Multi-homing leidt alle gegevens om via een andere router als een van de verbindingen met een ISP mislukt.
nadelen van NAT
Hulpbronnenverbruik. Network address translation is een technologie die geheugenbronnen en processorruimte verbruikt, omdat het IPv4-adressen moet vertalen voor alle uitgaande en inkomende IPv4-datagrammen en de details van de vertaling in het geheugen moet behouden.
vertragingen. Padvertragingen worden veroorzaakt door vertaalresultaten in het schakelen van padvertragingen.
functionaliteit. Sommige toepassingen en technologieën zullen niet functioneren zoals verwacht met nat ingeschakeld.
traceerbaarheid. Network address translation compliceert protocollen voor tunneling. IPsec is het beveiligde protocol dat wordt aanbevolen voor het vertalen van netwerkadressen.
layer issue. Een router is een apparaat voor de netwerklaag, maar als NAT-apparaat is het nodig om te knoeien met de transportlaag in de vorm van poortnummers.
biedt Avi een Netwerkadresvertaalsoftware-oplossing?
het Avi Vantage-Platform van Avi Networks, een door software gedefinieerde structuur voor applicatieservices, handhaaft toegangscontrolebeleid en registreert en analyseert end-to-end applicatieverkeer, waarbij diensten worden geleverd die veel verder gaan dan load balancing.
wanneer nieuwe toepassingsservers worden geïmplementeerd, hebben de servers externe connectiviteit nodig voor beheersbaarheid. Bij afwezigheid van een router in de servernetwerken, kan de Avi SE worden gebruikt voor het routeren van het verkeer van servernetwerken met behulp van de IP-routeringsfunctie van Service Engines. De AVI Service Engine (SE) NAT functionaliteit dekt dit, en dient als een NAT gateway voor het gehele particuliere netwerk van servers.
NAT zal werken via IP-routering op Service Engine, de se standaard gateway functie, of in de post-routering fase van het pakketpad. Om uitgaande NAT-functionaliteit te gebruiken, is het noodzakelijk om IP-routering op de Service Engine in te schakelen en de SE als gateway te gebruiken.
Avi ondersteunt uitgaande NAT voor TCP / UDP-en ICMP-stromen.
er zijn drie opties voor uitgaande NAT – gebruik:
- NAT-stromen (informatie over NAT-stromen weergeven)
- nat-Beleidsstatistieken (NAT-beleidsstatistieken weergeven)
- NAT-statistieken (NAT-statistieken weergeven))
het platform maakt ook bron NAT of SNAT voor toepassing identificatie. Het bron-IP-adres dat door Avi SEs wordt gebruikt voor back-end-verbindingen van servers kan worden overschreven via een expliciet door de gebruiker opgegeven adres—Het bron-NAT (SNAT) IP-adres. Het SNAT IP-adres kan specifiek zijn als onderdeel van de configuratie van de virtuele service.
in sommige implementaties is het essentieel om verkeer te identificeren op basis van het bron-IP-adres, om een differentiële behandeling te bieden op basis van de toepassing. In DMZ-implementaties moeten bijvoorbeeld beveiliging, firewall, zichtbaarheid en andere soorten oplossingen clients valideren met behulp van het bron-IP voordat verkeer naar een toepassing wordt doorgegeven.