<< voltar ao glossário técnico

definição de tradução de endereço de rede

Network Address Translation (NAT) é um processo que permite que um único endereço IP represente um grupo inteiro de computadores. Na tradução de endereços de rede, um dispositivo de rede, geralmente um roteador ou firewall NAT, atribui a um computador ou computadores dentro de uma rede privada um endereço público. Dessa forma, a tradução de endereços de rede permite que o único dispositivo atue como intermediário ou agente entre a rede local, privada e a rede pública que é a internet. O principal objetivo da NAT é conservar o número de endereços IP públicos em uso, tanto para objetivos de segurança quanto econômicos.

esta imagem mostra a tradução do endereço de rede (NAT) e o processo de sincronização de todos os endereços do dispositivo para um servidor seguro.

FAQs de tradução de endereço de rede

O Que É tradução de endereço de rede?

Network Address Translation (NAT) conserva endereços IP, permitindo que redes IP privadas usando endereços IP não registrados fiquem on-line. Antes que o NAT encaminhe pacotes entre as redes que ele conecta, ele traduz os endereços de rede interna privada em endereços legais e globalmente exclusivos.As configurações de NAT podem revelar apenas um endereço IP para uma rede inteira para o mundo exterior como parte dessa capacidade, ocultando efetivamente toda a rede interna e fornecendo segurança adicional. A tradução de endereços de rede é normalmente implementada em ambientes de acesso remoto, pois oferece as funções duplas de conservação de endereços e segurança aprimorada.

Qual é o propósito da tradução de endereços de rede?

para se comunicar com a internet, um sistema de rede requer um endereço IP exclusivo. Este número de 32 bits identifica e localiza o dispositivo de rede para que um usuário possa se comunicar com ele.

o esquema de endereçamento IPV4 das últimas décadas tecnicamente disponibilizou bilhões desses endereços exclusivos, mas nem todos poderiam ser atribuídos a dispositivos para comunicação. Em vez disso, alguns foram isentos e usados para testes, transmissão e certos fins militares reservados. Embora isso tenha deixado mais de 3 bilhões para comunicação, a proliferação da internet significou que os endereços estavam quase esgotados.

o esquema de endereçamento IPv6 foi introduzido como a solução para essa fraqueza no esquema de endereçamento IPv4. O IPv6 recria o sistema de endereçamento para que haja mais opções para alocar endereços, mas levou vários anos para alterar a infraestrutura do sistema de rede e implementar. NAT foi introduzido pela Cisco entretanto e amplamente implantado.

Como Tradução de Endereços de Rede Funciona

tradução de endereços de Rede permite que um único dispositivo, como um firewall NAT ou roteador NAT ou outra tradução de endereços de rede do dispositivo, para agir como um agente entre a rede pública e privada de redes—a internet e quaisquer redes locais. Isso permite que um grupo inteiro de dispositivos seja representado por um único endereço IP exclusivo quando eles fazem qualquer coisa fora de sua rede.

NAT funciona como recepcionista de uma grande empresa, com instruções específicas sobre quais chamadas e visitantes manter fora, fazer esperar, ou enviar através, e para onde eles devem ir. Por exemplo, você pode dizer à recepcionista para não encaminhar visitantes ou chamadas sem sua solicitação até que você esteja esperando por algo específico; você pode deixar instruções sobre como permitir que essa comunicação específica do cliente passe.

o cliente liga para o número principal da empresa, porque esse número voltado para o público é o único que alguém conhece. Eles dizem à recepcionista que precisam falar com você, e a recepcionista a) verifica as instruções e sabe que deseja que a chamada seja encaminhada, e b) corresponde à sua extensão com uma lista para enviar as informações para o lugar certo. O chamador nunca recebe sua linha privada.

tradução de endereço de rede funciona de forma semelhante. O pedido chega ao endereço IP público e porta, e as instruções NAT enviá-lo para onde ele deve ir sem revelar os endereços IP privados dos destinos.

exemplo de tradução de endereço de rede NAT

como exemplo de tradução de endereço de rede NAT, um host interno pode querer se comunicar com um endereço de servidor web de tradução de endereço de rede de destino no mundo exterior. Para uma comunicação mais adicional, enviará um pacote de dados ao roteador NAT gateway da rede.

o roteador NAT gateway determina se o pacote atende à condição de tradução aprendendo o endereço IP de origem do pacote e procurando-o na tabela. Ele pode localizar hosts autenticados para fins de tradução de rede interna em sua lista de controle de acesso (ACL) e, em seguida, concluir a tradução, produzindo um endereço IP global interno do endereço IP local interno.

finalmente, o roteador NAT gateway encaminhará o pacote para o destino após salvar a tradução na tabela NAT. O pacote reverte para o endereço IP global do roteador quando o servidor web da internet reverte para a solicitação. Referindo-se à tabela NAT, o roteador pode determinar qual endereço IP traduzido corresponde a qual endereço global, traduzi-lo para o endereço local interno e entregar o pacote de dados ao host em seu endereço IP. O pacote de dados é descartado se nenhuma correspondência for encontrada.

tipos de tradução de endereço de rede

existem muitas formas de NAT e pode funcionar de várias maneiras.

SNAT estático da tradução do endereço de rede. SNAT mapeia endereços IP não registrados usando a tradução de endereço de rede 1 Para 1 para combinar com endereços IP registrados. É particularmente útil quando um dispositivo precisa ser acessível de fora da rede.

tradução de endereço de rede dinâmica DNAT. Esta forma de NAT seleciona um destino de um grupo de endereços IP registrados e mapeia um endereço IP não registrado para a versão registrada.

tradução reversa do endereço de rede RNAT. O RNAT permite que os usuários se conectem usando a internet ou a rede pública.

sobrecarregando o NAT da tradução do endereço de rede. Isso também é conhecido como sobrecarga NAT, NAT multiplexado em nível de porta, NAT de endereço único ou tradução de endereço de porta (PAT). Esta forma de NAT dinâmico usa portas diferentes para mapear vários endereços IP privados, locais e não registrados para um único endereço IP registrado e distinguir qual tráfego pertence a qual endereço IP NAT. Em termos de tradução de endereço de porta Versus tradução de endereço de rede, o PAT costuma ser mais econômico quando muitos usuários estão conectados à internet por meio de apenas um endereço IP público.

sobreposição de NAT de tradução de endereço de rede. A sobreposição de NAT pode acontecer quando duas organizações cujas redes usam endereços IP RFC 1918 se fundem, ou quando endereços IP registrados são atribuídos a vários dispositivos ou de outra forma em uso em mais de uma rede interna. Em ambos os casos, as redes precisam se comunicar, e a(s) Organização (s) usam NAT sobreposta para conseguir isso sem readdressing todos os dispositivos.

o roteador NAT intercepta endereços e mantém uma tabela deles para que ele possa substituí-los por endereços IP exclusivos registrados. O roteador de tradução de endereço de rede deve traduzir endereços IP externos registrados para aqueles exclusivos da rede privada e traduzir endereços IP internos para endereços únicos registrados. Pode conseguir isso usando DNS para implementar NAT dinâmico ou por meio de NAT estático.

no contexto de tradução de endereço de rede, a rede interna, comumente referida como domínio stub, é geralmente uma rede local LAN que usa endereços IP internamente. A maioria do tráfego de rede de domínio stub é local, permanecendo dentro da rede interna. Um domínio stub pode incluir endereços IP não registrados e registrados.

configuração de tradução de endereço de rede

uma configuração NAT tradicional requer pelo menos uma interface em um roteador (NAT fora); outra interface no roteador (NAT dentro); e um conjunto configurado de regras para traduzir os endereços IP nos cabeçalhos dos pacotes e possivelmente cargas úteis.

neste exemplo de configuração de tradução de endereço de rede, ele configura o roteador NAT da seguinte forma. Sempre que um dispositivo interno com um endereço IP não registrado (interno, local) precisa se comunicar com a rede (externa, pública), o roteador traduz esses endereços não registrados que residem na rede privada (interna) para endereços IP registrados.

  • a organização recebe um intervalo de endereços IP registrados e exclusivos atribuídos pelo ISP. A lista atribuída de endereços é chamada dentro de endereços globais.
  • a equipe divide endereços privados não registrados em um pequeno grupo e um grupo muito maior. O domínio stub usará o grupo maior, chamado dentro de endereços locais. Os roteadores NAT usarão o pequeno grupo, chamado endereços locais externos, para traduzir os endereços globais externos ou endereços IP exclusivos de dispositivos na rede pública.
  • a maioria dos computadores de domínio stub se comunica entre si usando endereços locais internos. Existem endereços globais internos para os computadores de domínio stub que se comunicam extensivamente fora da rede, o que significa que eles não exigem tradução.
  • no entanto, quando um computador de domínio stub típico com um endereço local interno precisa se comunicar fora da rede, ele envia o pacote para um roteador NAT.
  • o roteador NAT verifica o endereço de destino na tabela de roteamento. Se tiver uma entrada para esse endereço, o roteador NAT traduz o pacote e insere essa ação na tabela de tradução de endereço. O roteador NAT descarta o pacote se o endereço de destino não estiver na tabela de roteamento.
  • o roteador envia o pacote usando um endereço Global interno.
  • um computador de rede pública envia um pacote para a rede privada. O endereço de destino do pacote é um endereço Global interno e seu endereço de origem é um endereço global externo.
  • O roteador NAT confirma que o endereço de destino mapeia para um computador de domínio stub verificando a tabela de tradução de endereços.
  • O roteador NAT envia o pacote para o computador de destino após traduzir o endereço Global interno do pacote para o endereço local interno.

a sobrecarga NAT usa multiplexação, um recurso de pilha de protocolo TCP/IP. A multiplexação permite que um computador mantenha várias conexões com computadores remotos simultaneamente usando portas diferentes. O cabeçalho de um pacote IP contém:

endereço de origem. O endereço IP do computador de origem, por exemplo, 123.123.12.1
porta de origem. O número de porta TCP ou UDP atribuído para este pacote, por exemplo, o endereço de destino da porta 1060
. O endereço IP do computador receptor, por exemplo, 52.220.51.237
porta de destino. O número da porta de tradução do endereço de rede TCP ou UDP que o computador de destino deve abrir, por exemplo, a porta 2170

esses quatro números combinados representam uma única conexão TCP / IP. Os endereços esclarecem os dois computadores em cada extremidade e os números das portas fornecem um identificador exclusivo para a conexão entre os dois computadores. Embora existam 65.536 valores possíveis aqui, uma vez que cada número de porta usa 16 bits, portas diferentes são mapeadas de maneiras ligeiramente diferentes, portanto, cerca de 4.000 portas disponíveis são realistas.

NAT Dinâmico e NAT Sobrecarga de Configuração

Na dinâmica de tradução de endereços de rede:

  • IANA (Internet Assigned Numbers Authority), a autoridade global que atribui endereços IP, é a única fonte de endereços IP exclusivos. Quando um domínio stub ou rede interna foi configurado com endereços IP que a IANA não alocou especificamente para eles, os endereços não são exclusivos e, portanto, não são roteáveis.
  • a organização configura um roteador habilitado para NAT que contém um intervalo de endereços IP exclusivos da IANA.
  • um computador de domínio stub tenta se conectar a um computador externo.
  • o roteador recebe o pacote do computador do domínio do esboço.
  • o roteador habilitado para NAT salva o endereço IP não roteável do computador de envio para uma tabela de tradução de endereços. O roteador mapeia o primeiro endereço IP disponível fora da zona de endereços IP exclusivos para o computador de envio para substituir o endereço IP não roteável.
  • o roteador agora verifica o endereço de destino de cada pacote quando ele chega do computador de destino e verifica a qual computador de domínio stub o pacote pertence com a tabela de tradução de endereço. Se não encontrar correspondência, ele descarta o pacote. Caso contrário, ele localiza a alternativa para o endereço de destino salvo na tabela de tradução de endereços e o envia.
  • o computador recebe o pacote e o processo continua enquanto o sistema externo e o computador se comunicam.

em sobrecarga NAT:

  • como no exemplo de NAT dinâmico anterior, um domínio stub ou rede interna foi configurado com endereços IP não roteáveis e não exclusivos não alocados especificamente para eles, portanto, a organização configura um roteador habilitado para NAT que contém um endereço IP exclusivo da IANA.
  • um computador de domínio stub tenta se conectar a um computador externo.
  • o roteador habilitado para NAT recebe o pacote do computador do domínio stub.
  • O roteador NAT salva o endereço IP não roteável e o número da porta do computador de envio para uma tabela de tradução de endereços. O roteador mapeia um número de porta e o endereço IP do roteador para o computador de envio para substituir o endereço IP não roteável e o número da porta.
  • o roteador verifica as portas de destino dos pacotes que retornam do computador de destino e confirma a qual computador de domínio stub o pacote pertence. Ele substitui a porta e o endereço de destino pelas versões salvas da tabela de tradução de endereços e as envia.
  • o computador recebe o pacote e o processo continua enquanto o sistema externo e o computador se comunicam.
  • O roteador NAT continuará a usar o mesmo número de porta em toda a conexão, pois possui a porta de origem e o endereço do computador salvos na tabela de tradução de endereços. Se a comunicação terminar sem que a entrada seja acessada novamente, o roteador removerá a entrada da tabela.

Em contraste com o computador descritos acima, na tradicional configuração NAT, esta é a forma como stub computadores do domínio pode aparecer para redes externas:

Computador de Origem 1

Endereço IP: 192.168.24.11
Porta do Computador: 620
Roteador NAT Endereço IP: 215.37.32.203
Roteador NAT Número de Porta: 1

Computador de Origem 2

Endereço IP: 192.168.24.12
Computador de Porta: 80
Roteador NAT Endereço IP: 215.37.32.203
Roteador NAT Número de Porta: 2

Computador de Origem 3

Endereço IP: 192.168.24.13
Porta do Computador: 1560
Roteador NAT Endereço IP: 215.37.32.203
Roteador NAT Número da Porta: 3

NAT habilitado roteador armazena cada computador de origem endereço IP e número de porta. Ele usa seu próprio endereço IP registrado e números de porta para substituir o endereço IP e o número da porta que correspondem ao computador de origem desse pacote na tabela. No lugar das informações do computador de origem em cada pacote, qualquer rede externa vê o endereço IP do roteador NAT e o número da porta atribuído.

alguns computadores de domínio stub usam endereços IP dedicados. Nessas situações, seus endereços IP podem passar pelo roteador NAT não traduzido se você criar uma lista de acesso de endereços IP que esclarece para o roteador quais computadores de rede exigem NAT.

a memória de acesso aleatório dinâmico (Dram) de um roteador é o principal fator que determina o número de traduções simultâneas que ele pode suportar. Uma entrada típica de tabela de tradução de endereço requer cerca de 160 bytes, portanto, para a maioria dos aplicativos, um roteador com 4 MB de DRAM é suficiente.

de acordo com IANA e RFC 1918, Existem intervalos específicos de endereços IP para uso como endereços de rede internos que não são roteáveis. Esses endereços não são registrados, o que significa que nenhuma agência ou empresa pode usá-los em computadores públicos ou reivindicar a propriedade sobre eles. Em vez de encaminhar endereços não registrados, os roteadores são projetados para descartá-los. Portanto, um pacote de um endereço de computador de envio não registrado poderia chegar ao seu destino de computador registrado, mas o primeiro roteador a que a resposta veio o descartaria.

Para reduzir a chance de um conflito de endereço IP, vale a pena seguir o intervalo para cada uma das três classes de endereços IP em sua rede interna:

  • Gama 1: Classe A – 10.0.0.0 a 10.255.255.255
  • Intervalo de 2: Classe B 172.16.0.0 a 172.31.255.255
  • Intervalo de 3: Classe C – 192.168.0.0 através 192.168.255.255

no entanto, esta é uma prática recomendada, não um requisito.

roteador NAT

usando sobrecarga NAT, um roteador NAT cria uma rede de endereços IP para uma rede local LAN e conecta a rede pública que é a internet a essa rede LAN. O roteador executa o NAT permitindo a comunicação entre WAN ou internet e os dispositivos host ou computadores na rede LAN. Como os roteadores NAT parecem ser um host solo com um endereço IP solo para a internet, eles são usados para indústrias de pequena escala e fins domésticos.

vantagens da tradução de endereços de rede

vantagens da conservação de endereços NAT

. O NAT conserva endereços IP legalmente registrados e impede seu esgotamento.

segurança de tradução de endereço de rede. O NAT oferece a capacidade de Acessar a internet com mais segurança e privacidade, ocultando o endereço IP do dispositivo da rede pública, mesmo ao enviar e receber tráfego. NAT rate-limiting permite que os usuários limitem o número máximo de operações NAT simultâneas em um roteador e limite de taxa o número de traduções NAT. Isso fornece mais controle sobre o uso de endereços NAT, mas também pode ser usado para limitar os efeitos de worms, vírus e ataques de negação de serviço (DoS). A implementação dinâmica do NAT cria um firewall entre a rede interna e a internet automaticamente. Alguns roteadores NAT oferecem registro e filtragem de tráfego.

flexibilidade. O NAT fornece flexibilidade; por exemplo, ele pode ser implantado em um ambiente público de LAN sem fio. O mapeamento de entrada ou NAT estático permite que dispositivos externos iniciem conexões com computadores no domínio stub em alguns casos.

simplicidade. Elimina a necessidade de renumerar endereços quando uma rede muda ou se funde.
Network address translation permite que você crie um host virtual de rede interna para coordenar o balanceamento de carga TCP para servidores de rede internos.

velocidade. Comparado aos servidores proxy, o NAT é transparente para computadores de destino e de origem, permitindo uma negociação direta mais rápida. Além disso, os servidores proxy normalmente funcionam na camada de transporte ou camada 4 do modelo de referência OSI ou superior, tornando-os mais lentos do que a tradução de endereço de rede, que é uma camada de rede ou protocolo de camada 3.

escalabilidade. NAT e dynamic host configuration protocol (DHCP) funcionam bem em conjunto, com o servidor DHCP distribuindo endereços IP não registrados para o domínio stub da lista, conforme necessário. O escalonamento é mais fácil, pois você pode aumentar o intervalo disponível de endereços IP que o DHCP configura para abrir espaço para computadores de rede adicionais imediatamente, em vez de solicitar mais endereços IP da IANA à medida que as necessidades aumentam.

multi-homing. Várias conexões com a internet, chamadas de multi-homing, ajudam a manter uma conexão confiável e reduzem a chance de um desligamento em caso de falha na conexão. Isso também permite o balanceamento de carga reduzindo o número de computadores usando qualquer conexão única. As redes multi-homed geralmente se conectam a vários ISPs, cada um atribuindo um intervalo de endereços IP ou um único endereço IP à organização. Os roteadores usam a tradução de endereço de rede para rotear entre redes usando diferentes protocolos de tradução de endereço de rede. Em uma rede multi-homed, o roteador usa parte do TCP/IP protocol suite, o border gateway protocol (BGP), para se comunicar; o lado do domínio stub usa BGP interno ou IBGP, e os roteadores se comunicam entre si usando BGP externo ou EBGP. Multi-homing redireciona todos os dados através de outro roteador se uma das conexões a um ISP falhar.

desvantagens do consumo de recursos NAT

. A tradução de endereços de rede é uma tecnologia que consome recursos de memória e espaço do processador, porque deve traduzir endereços IPv4 para todos os datagramas IPv4 de saída e entrada e reter os detalhes da tradução na memória.

atrasos. Atrasos de caminho são causados por resultados de tradução em atrasos de caminho de comutação.
funcionalidade. Alguns aplicativos e tecnologias não funcionarão como esperado com o NAT ativado.

rastreabilidade. A tradução de endereços de rede complica protocolos para tunelamento. IPsec é o protocolo seguro recomendado para tradução de endereços de rede.

problema da camada. Um roteador é um dispositivo para a camada de rede, mas como um dispositivo NAT é necessário adulterar a camada de transporte na forma de números de porta.

a Avi oferece uma solução de software de tradução de endereço de rede?

a Avi Vantage Platform da Avi Networks, uma estrutura de serviços de aplicativos definida por software, impõe Políticas de controle de acesso e captura e analisa o tráfego de aplicativos de ponta a ponta, oferecendo serviços muito além do balanceamento de carga.

quando novos servidores de aplicativos são implantados, os servidores precisam de conectividade externa para gerenciamento. Na ausência de um roteador nas redes de servidores, o Avi SE pode ser usado para rotear o tráfego de redes de servidores usando o recurso de roteamento IP dos mecanismos de Serviço. A funcionalidade NAT do Avi Service Engine (se) cobre isso e serve como um gateway NAT para toda a rede privada de servidores.

o NAT funcionará através do roteamento IP no Service Engine, no recurso se default gateway ou na fase de pós-roteamento do Caminho do pacote. Para usar a funcionalidade NAT de saída, é necessário habilitar o roteamento IP no mecanismo de Serviço e usar o SE como um gateway.

Avi suporta NAT de saída para TCP / UDP e fluxos ICMP.

existem três opções de caso de uso NAT de saída:

  • Nat Flows(mostrar informações de fluxo NAT)
  • NAT Policy Stats (mostrar estatísticas de política NAT)
  • NAT Stat (mostrar estatísticas NAT)

a plataforma igualmente permite o NAT da fonte ou o SNAT para a identificação da aplicação. O endereço IP de origem usado pelo Avi SES para conexões de back-end do servidor pode ser substituído por meio de um endereço especificado pelo Usuário explícito-o endereço IP NAT (SNAT) de origem. O endereço IP SNAT pode ser específico como parte da configuração do serviço virtual.

em algumas implantações, para fornecer tratamento diferencial com base no aplicativo, é essencial identificar o tráfego com base no endereço IP de origem. Por exemplo, em implantações DMZ, Segurança, firewall, visibilidade e outros tipos de soluções podem precisar validar clientes usando o IP de origem antes de passar o tráfego para um aplicativo.

Deixe uma resposta

O seu endereço de email não será publicado.