<< înapoi la Glosarul tehnic

traducerea adresei de rețea definiție

traducerea adresei de rețea (NAT) este un proces care permite unei adrese IP unice să reprezinte un întreg grup de computere. În traducerea adreselor de rețea, un dispozitiv de rețea, adesea un router sau un firewall NAT, atribuie unui computer sau computerelor dintr-o rețea privată o adresă publică. În acest fel, traducerea adreselor de rețea permite dispozitivului unic să acționeze ca intermediar sau agent între rețeaua locală, privată și rețeaua publică care este Internetul. Scopul principal al NAT este de a conserva numărul de adrese IP publice utilizate, atât în scopuri de securitate, cât și economice.

 această imagine prezintă traducerea adresei de rețea (NAT) și procesul de sincronizare a tuturor adreselor dispozitivului la un server securizat.

Întrebări Frecvente despre traducerea adresei de rețea

ce este traducerea adresei de rețea?

Network Address Translation (Nat) conservă adresele IP prin activarea rețelelor IP private care utilizează adrese IP neînregistrate pentru a intra online. Înainte ca NAT să transmită pachete între rețelele pe care le conectează, traduce adresele de rețea internă privată în adrese legale, unice la nivel global.

configurațiile NAT pot dezvălui lumii exterioare o singură adresă IP pentru o întreagă rețea, ca parte a acestei capacități, ascunzând efectiv întreaga rețea internă și oferind securitate suplimentară. Traducerea adreselor de rețea este de obicei implementată în medii cu acces la distanță, deoarece oferă funcțiile duale de conservare a adreselor și securitate sporită.

care este scopul traducerii adreselor de rețea?

pentru a comunica cu Internetul, un sistem de rețea necesită o adresă IP unică. Acest număr pe 32 de biți identifică și localizează dispozitivul de rețea, astfel încât un utilizator să poată comunica cu acesta.

schema de adresare IPV4 din ultimele decenii a făcut disponibile din punct de vedere tehnic miliarde din aceste adrese unice, dar nu toate ar putea fi atribuite dispozitivelor de comunicare. În schimb, unele au fost scutite și utilizate pentru testare, difuzare și anumite scopuri militare rezervate. În timp ce acest lucru a lăsat peste 3 miliarde pentru comunicare, proliferarea Internetului a însemnat că adresele au fost aproape de epuizare.

schema de adresare IPv6 a fost introdusă ca soluție la această slăbiciune în schema de adresare IPv4. IPv6 recreează sistemul de adresare, astfel încât există mai multe opțiuni pentru alocarea adreselor, dar a durat câțiva ani pentru a modifica infrastructura sistemului de rețea și pentru a implementa. NAT a fost introdus de Cisco între timp și implementat pe scară largă.

cum funcționează traducerea adresei de rețea

traducerea adresei de rețea permite unui singur dispozitiv, cum ar fi un firewall NAT sau un router NAT sau alt dispozitiv de traducere a adresei de rețea, să acționeze ca agent între rețeaua publică și rețelele private—internetul și orice rețea locală. Acest lucru permite unui întreg grup de dispozitive să fie reprezentate de o singură adresă IP unică atunci când fac ceva în afara rețelei lor.

NAT funcționează ca recepționerul unei companii mari, cu instrucțiuni specifice despre care apelurile și vizitatorii să țină afară, să aștepte sau să trimită și unde ar trebui să meargă. De exemplu, îi puteți spune recepționerului să nu transmită niciun vizitator sau apeluri fără solicitarea dvs. până când nu așteptați ceva specific; apoi puteți lăsa instrucțiuni despre lăsarea acelei comunicări specifice a clientului.

clientul apelează numărul principal al companiei, deoarece acel număr cu care se confruntă publicul este singurul pe care îl știe cineva. Ei spun Recepționer au nevoie să vorbească cu tine, și recepționer a) verifică instrucțiunile și știe că doriți apelul transmis, și B) se potrivește extensia cu o listă pentru a trimite informațiile la locul potrivit. Apelantul nu primește niciodată linia dvs. privată.

traducerea adresei de rețea funcționează în mod similar. Cererea ajunge la adresa IP publică și la port, iar instrucțiunile NAT o trimit unde ar trebui să meargă fără a dezvălui adresele IP private ale destinațiilor.

exemplu de traducere a adresei de rețea NAT

ca exemplu de traducere a adresei de rețea NAT, o gazdă din interior poate dori să comunice cu o adresă de server web de traducere a adresei de rețea de destinație din lumea exterioară. Pentru o comunicare ulterioară, va trimite un pachet de date către routerul nat gateway al rețelei.

routerul nat gateway determină dacă pachetul îndeplinește condiția de traducere prin învățarea adresei IP sursă a pachetului și căutarea acestuia în tabel. Se poate localiza gazde autentificate în scopuri de traducere de rețea internă pe lista de control al accesului (ACL), și apoi finaliza traducerea, producând o adresă IP globală în interiorul din interiorul adresa IP locală.

în cele din urmă, routerul nat gateway va direcționa pachetul către destinație după salvarea traducerii în tabelul nat. Pachetul revine la adresa IP globală a routerului atunci când serverul web al internetului revine la solicitare. Referindu-se înapoi la tabelul NAT, routerul poate determina care adresă IP tradusă corespunde adresei globale, o poate traduce la adresa locală din interior și poate livra pachetul de date către gazdă la adresa lor IP. Pachetul de date este eliminat dacă nu se găsește nicio potrivire.

tipuri de traducere a adreselor de rețea

există multe forme de NAT și poate funcționa în mai multe moduri.

rețea statică adresa traducere SNAT. SNAT hărți adrese IP neînregistrate folosind 1 la 1 traducere adresă de rețea pentru a se potrivi cu adresele IP înregistrate. Este deosebit de util atunci când un dispozitiv trebuie să fie accesibil din afara rețelei.

traducere dinamică a adresei de rețea DNAT. Această formă de NAT Selectează o țintă dintr-un grup de adrese IP înregistrate și mapează o adresă IP neînregistrată la versiunea înregistrată.

traducere inversă a adresei de rețea RNAT. RNAT permite utilizatorilor să se conecteze la ei înșiși folosind Internetul sau rețeaua publică.

supraîncărcarea adresei de rețea traducere NAT. Acest lucru este, de asemenea, cunoscut sub numele de suprasarcină NAT, nat multiplexat la nivel de port, nat cu o singură adresă sau traducerea adresei portului (PAT). Această formă de NAT dinamic utilizează porturi diferite pentru a mapa mai multe adrese IP private, locale, neînregistrate la o singură adresă IP înregistrată și pentru a distinge ce trafic aparține adresei IP NAT. În ceea ce privește traducerea adreselor de port față de traducerea adreselor de rețea, PAT este adesea cel mai rentabil atunci când mulți utilizatori sunt conectați la internet printr-o singură adresă IP publică.

traducerea adresei de rețea suprapusă NAT. Suprapunerea NAT se poate întâmpla fie atunci când două organizații ale căror rețele utilizează ambele adrese IP RFC 1918 fuzionează, fie când adresele IP înregistrate sunt atribuite mai multor dispozitive sau utilizate în alt mod pe mai multe rețele interne. În ambele cazuri, rețelele trebuie să comunice, iar organizația(organizațiile) utilizează nat suprapuse pentru a realiza acest lucru fără a readresa toate dispozitivele.

routerul nat interceptează adresele și menține un tabel al acestora, astfel încât să le poată înlocui cu adrese IP unice înregistrate. Routerul de traducere a adreselor de rețea trebuie să traducă atât adresele IP externe înregistrate la cele unice pentru rețeaua privată, cât și adresele IP interne la adresele unice înregistrate. S-ar putea realiza acest lucru fie prin utilizarea DNS pentru a implementa nat dinamic, fie prin NAT static.

în contextul traducerii adreselor de rețea, rețeaua internă, denumită în mod obișnuit domeniul stub, este de obicei o rețea locală LAN care utilizează adrese IP intern. Majoritatea traficului de rețea de domenii stub este local, rămânând în interiorul rețelei interne. Un domeniu stub poate include atât adrese IP neînregistrate, cât și adrese IP înregistrate.

Network Address Translation Configuration

o configurație tradițională nat necesită cel puțin o interfață pe un router (NAT exterior); o altă interfață pe router (NAT interior); și un set configurat de reguli pentru traducerea adreselor IP în anteturile pachetelor și, eventual, sarcini utile.

în acest exemplu de configurare a traducerii adreselor de rețea, configurează routerul nat după cum urmează. Ori de câte ori un dispozitiv din interior cu o adresă IP neînregistrată (internă, locală) trebuie să comunice cu rețeaua (externă, publică), routerul traduce acele adrese neînregistrate care locuiesc în rețeaua privată (internă) în adrese IP înregistrate.

  • organizația primește o serie de adrese IP înregistrate, unice atribuite de ISP. Lista de adrese atribuite sunt numite în interiorul adrese globale.
  • echipa împarte adresele private neînregistrate într-un grup mic și un grup mult mai mare. Domeniul stub va folosi grupul mai mare, numit în interiorul adreselor locale. Routerele NAT vor folosi grupul mic, numit adrese locale externe, pentru a traduce adresele globale externe sau adresele IP unice ale dispozitivelor din rețeaua publică.
  • majoritatea computerelor din domeniul ciot comunică între ele folosind adrese locale interne. Există adrese globale în interiorul acelor computere din domeniul ciot care comunică extensiv în afara rețelei, ceea ce înseamnă că nu necesită traducere.
  • cu toate acestea, atunci când un computer tipic de domeniu stub cu o adresă locală interioară trebuie să comunice în afara rețelei, acesta trimite pachetul către un router nat.
  • ruterul NAT verifică adresa de destinație din tabelul de rutare. Dacă are o intrare pentru acea adresă, routerul NAT traduce pachetul și introduce acea acțiune în tabelul de traducere a adreselor. Routerul NAT scade pachetul dacă adresa de destinație nu se află în tabelul de rutare.
  • routerul trimite pachetul folosind o adresă globală internă.
  • un computer din rețeaua publică trimite un pachet către rețeaua privată. Adresa de destinație a pachetului este o adresă globală internă, iar adresa sursă este o adresă globală externă.
  • routerul nat confirmă faptul că adresa de destinație se mapează la un computer de domeniu ciot, verificând tabelul de traducere a adreselor.
  • routerul nat trimite pachetul la computerul de destinație după traducerea adresei globale interioare a pachetului la adresa locală interioară.

supraîncărcarea NAT utilizează multiplexarea, o caracteristică de stivă a protocolului TCP/IP. Multiplexarea permite unui computer să mențină mai multe conexiuni cu computere la distanță utilizând simultan diferite porturi. Antetul unui pachet IP conține:

adresa sursă. Adresa IP a computerului originar, de exemplu, portul sursă 123.123.12.1
. Numărul de port TCP sau UDP atribuit pentru acest pachet, de exemplu, portul 1060
adresa de destinație. Adresa IP a computerului Receptor, de exemplu, portul de destinație 52.220.51.237
. Numărul portului de traducere a adresei de rețea TCP sau UDP computerul de destinație ar trebui să deschidă, de exemplu, portul 2170

aceste patru numere combinate reprezintă o singură conexiune TCP/IP. Adresele clarifică cele două computere la fiecare capăt, iar numerele de port oferă un identificator unic pentru conexiunea dintre cele două computere. Deși există aici 65.536 de valori posibile, deoarece fiecare număr de port folosește 16 biți, diferite porturi sunt mapate în moduri ușor diferite, deci aproximativ 4.000 de porturi disponibile sunt realiste.

configurație dinamică de supraîncărcare Nat și Nat

în traducerea dinamică a adreselor de rețea:

  • IANA (Internet Assigned Numbers Authority), Autoritatea globală care atribuie adrese IP, este singura sursă de adrese IP unice. În cazul în care un domeniu stub sau o rețea internă a fost configurat cu adrese IP pe care IANA nu le-a alocat în mod specific, adresele nu sunt unice și, prin urmare, nu sunt rutabile.
  • organizația stabilește un router activat pentru NAT care conține o serie de adrese IP unice de la IANA.
  • un computer de domeniu ciot încearcă să se conecteze la un computer extern.
  • routerul primește pachetul computerului de domeniu stub.
  • routerul activat NAT salvează adresa IP nerutabilă de pe computerul expeditor într-un tabel de traducere a adresei. Routerul mapează prima adresă IP disponibilă în afara zonei adreselor IP unice la computerul expeditor pentru a înlocui adresa IP nerutabilă.
  • routerul verifică acum adresa de destinație a fiecărui pachet atunci când ajunge de la computerul de destinație și verifică la ce computer de domeniu ciot aparține pachetul cu tabelul de traducere a adreselor. Dacă nu se potrivește, scapă pachetul. În caz contrar, localizează alternativa pentru adresa de destinație salvată în tabelul de traducere a adreselor și o trimite.
  • computerul primește pachetul și procesul continuă atâta timp cât sistemul extern și computerul comunică.

în supraîncărcarea NAT:

  • ca și în exemplul nat dinamic anterior, un domeniu stub sau o rețea internă a fost configurat cu adrese IP non-rutabile, non-unice, care nu sunt alocate în mod specific pentru acestea, astfel încât organizația stabilește un router activat pentru NAT care conține o adresă IP unică de la IANA.
  • un computer de domeniu ciot încearcă să se conecteze la un computer extern.
  • routerul activat NAT primește pachetul computerului de domeniu stub.
  • routerul nat salvează adresa IP nerutabilă și numărul portului de pe computerul expeditor într-un tabel de traducere a adresei. Routerul mapează un număr de port și adresa IP a routerului la computerul expeditor pentru a înlocui adresa IP nerutabilă și numărul portului.
  • routerul verifică porturile de destinație ale pachetelor care se întorc de la computerul de destinație și confirmă cărui computer de domeniu ciot îi aparține pachetul. Înlocuiește portul de destinație și adresa cu versiunile salvate din tabelul de traducere a adreselor și le trimite.
  • computerul primește pachetul și procesul continuă atâta timp cât sistemul extern și computerul comunică.
  • routerul nat va continua să utilizeze același număr de port pe tot parcursul conexiunii, deoarece are portul sursă și adresa computerului salvate în tabelul de traducere a adreselor. Dacă comunicarea se termină fără ca intrarea să fie accesată din nou, routerul elimină intrarea din tabel.

spre deosebire de computerul descris mai sus în configurația tradițională nat, acesta este modul în care computerele din domeniul stub ar putea apărea rețelelor externe:

Computer sursă 1

adresa IP: 192.168.24.11
Port Computer: 620
adresa IP a routerului Nat: 215.37.32.203
numărul portului routerului Nat: 1

computerul sursă 2

adresa IP: 192.168.24.12
portul computerului: 80
adresa IP a routerului NAT: 215.37.32.203
numărul portului routerului Nat: 2

computerul sursă 3

adresa IP: 192.168.24.13
portul computerului: 1560
adresa IP a routerului Nat: 215.37.32.203
numărul portului routerului NAT: 3

routerul activat nat stochează adresa IP și numărul portului fiecărui computer sursă. Folosește propria adresă IP înregistrată și numere de port pentru a înlocui adresa IP și numărul portului care corespund computerului sursă al pachetului respectiv din tabel. În locul informațiilor sursă-computer pe fiecare pachet, orice rețea externă vede adresa IP a routerului NAT și numărul portului atribuit.

unele computere din domeniul ciot folosesc adrese IP dedicate. În aceste situații, adresele lor IP pot trece prin routerul nat netradus dacă creați o listă de acces de adrese IP care clarifică pentru router ce computere de rețea necesită nat.

memoria dinamică cu acces aleatoriu (Dram) a unui router este principalul factor care determină numărul de traduceri simultane pe care le poate suporta. O intrare tipică a tabelului de traducere a adresei necesită aproximativ 160 de octeți, deci pentru majoritatea aplicațiilor, este suficient un router cu 4 MB de DRAM.

conform IANA și RFC 1918, Există intervale specifice de adrese IP pentru a fi utilizate ca adrese de rețea interne care nu pot fi rutate. Aceste adrese sunt neînregistrate, ceea ce înseamnă că nicio agenție sau companie nu le poate folosi pe computerele publice sau nu poate pretinde dreptul de proprietate asupra lor. În loc să redirecționeze adrese neînregistrate, routerele sunt concepute pentru a le arunca. Prin urmare, un pachet de la o adresă de computer de trimitere neînregistrată ar putea ajunge la destinația computerului înregistrat, dar primul router la care a venit răspunsul l-ar arunca.

pentru a reduce șansa unui conflict de adrese IP, merită să urmați intervalul pentru fiecare dintre cele trei clase de adrese IP din rețeaua dvs. internă:

  • gama 1: Clasa A-10.0.0.0 până la 10.255.255.255
  • gama 2: Clasa B – 172.16.0.0 până la 172.31.255.255
  • Gama 3: Clasa C – 192.168.0.0 prin 192.168.255.255

cu toate acestea, aceasta este o bună practică, nu o cerință.

Router NAT

folosind suprasarcina NAT, un router NAT creează o rețea de adrese IP pentru o rețea locală LAN și conectează rețeaua publică care este Internetul la acea rețea LAN. Routerul execută NAT care permite comunicarea între WAN sau internet și dispozitivele gazdă sau computerele din rețeaua LAN. Deoarece routerele NAT par a fi o gazdă solo cu o adresă IP solo către internet, acestea sunt utilizate pentru industrii la scară mică și în scopuri casnice.

avantajele traducerii adresei de rețea

avantajele conservării adresei NAT

. NAT conservă adresele IP care sunt înregistrate legal și previne epuizarea acestora.

securitatea traducerii adresei de rețea. NAT oferă posibilitatea de a accesa internetul cu mai multă securitate și confidențialitate, ascunzând adresa IP a dispozitivului din rețeaua publică, chiar și atunci când trimiteți și primiți trafic. Limitarea ratei nat permite utilizatorilor să limiteze numărul maxim de operații nat concurente pe un router și să limiteze rata numărului de traduceri nat. Acest lucru oferă mai mult control asupra utilizării adreselor Nat, dar poate fi folosit și pentru a limita efectele viermilor, virușilor și atacurilor de tip denial-of-service (DoS). Implementarea dinamică nat creează automat un firewall între rețeaua internă și internet. Unele routere nat oferă înregistrarea și filtrarea traficului.

flexibilitate. NAT oferă flexibilitate; de exemplu, poate fi implementat într-un mediu LAN fără fir public. Inbound mapping sau static nat permite dispozitivelor externe să inițieze conexiuni la computerele din domeniul stub în unele cazuri.

simplitate. Elimină necesitatea renumerotării adreselor atunci când o rețea se schimbă sau fuzionează.
traducerea adresei de rețea vă permite să creați o gazdă virtuală de rețea interioară pentru a coordona echilibrarea încărcării TCP pentru serverele de rețea interne.

viteză. În comparație cu serverele proxy, NAT este transparent atât pentru computerele de destinație, cât și pentru cele sursă, permițând o tranzacționare directă mai rapidă. În plus, serverele proxy funcționează de obicei la stratul de transport sau la stratul 4 al modelului de Referință OSI sau mai mare, făcându-le mai lente decât traducerea adreselor de rețea, care este un strat de rețea sau un protocol layer 3.

scalabilitate. NAT și Dynamic Host configuration protocol (DHCP) funcționează bine împreună, serverul DHCP eliminând adresele IP neînregistrate pentru domeniul stub din listă, după cum este necesar. Scalarea este mai ușoară, deoarece puteți crește gama disponibilă de adrese IP pe care DHCP le configurează pentru a face loc imediat computerelor de rețea suplimentare, în loc să solicitați mai multe adrese IP de la IANA pe măsură ce nevoile cresc.

multi-homing. Conexiunile Multiple la internet, numite multi-homing, ajută la menținerea unei conexiuni fiabile și reduce șansa unei opriri în cazul unei conexiuni eșuate. Acest lucru permite, de asemenea, echilibrarea sarcinii prin reducerea numărului de computere care utilizează o singură conexiune. Rețelele multi-homed se conectează adesea la mai mulți ISP-uri, fiecare atribuind organizației o serie de adrese IP sau o singură adresă IP. Routerele utilizează traducerea adreselor de rețea pentru a ruta între rețele utilizând diferite protocoale de traducere a adreselor de rețea. Într-o rețea multi-homed, routerul folosește o parte din suita de protocol TCP/IP, protocolul gateway de frontieră (BGP), pentru a comunica; partea de domeniu stub folosește BGP intern sau IBGP, iar routerele comunică între ele folosind BGP extern sau EBGP. Multi-homing redirecționează toate datele printr-un alt router în cazul în care una dintre conexiunile la un ISP eșuează.

dezavantaje ale consumului de resurse NAT

. Traducerea adresei de rețea este o tehnologie care consumă resurse de memorie și spațiu de procesor, deoarece trebuie să traducă adresele IPv4 pentru toate datagramele IPv4 de ieșire și de intrare și să păstreze detaliile din Traducere în memorie.

întârzieri. Întârzierile de cale sunt cauzate de rezultatele traducerii în comutarea întârzierilor de cale.
funcționalitate. Unele aplicații și tehnologii nu vor funcționa așa cum era de așteptat cu Nat activat.

trasabilitate. Traducerea adresei de rețea complică protocoalele pentru tunelare. IPsec este protocolul securizat recomandat pentru traducerea adreselor de rețea.

problema stratului. Un router este un dispozitiv pentru stratul de rețea, totuși, ca dispozitiv NAT, este necesar să se manipuleze stratul de transport sub formă de numere de port.

Avi oferă o soluție software de traducere a adreselor de rețea?

platforma Avi Vantage a Avi Networks, o structură de servicii de aplicații definită de software, impune politici de control al accesului și captează și analizează traficul de aplicații end-to-end, oferind servicii mult dincolo de echilibrarea încărcării.

când sunt implementate noi servere de aplicații, serverele au nevoie de conectivitate externă pentru administrare. În absența unui router în rețelele de servere, Avi SE poate utiliza pentru rutarea traficului rețelelor de servere utilizând caracteristica de rutare IP a motoarelor de Service. Funcționalitatea Avi Service Engine (SE) nat acoperă acest lucru și servește ca gateway NAT pentru întreaga rețea privată de servere.

NAT va funcționa fie prin rutare IP pe motorul de Service, caracteristica Gateway implicită SE, fie în faza post-rutare a căii de pachete. Pentru a utiliza funcționalitatea nat de ieșire, este necesar să activați rutarea IP pe motorul de Service și să utilizați SE ca gateway.

Avi acceptă nat de ieșire pentru fluxurile TCP/UDP și ICMP.

există trei opțiuni de caz de utilizare nat de ieșire:

  • Nat Flows (afișați informațiile despre fluxul nat)
  • Nat Policy Stats (afișați Statisticile politicii nat)
  • Nat Stat (afișați Statisticile nat)

platforma permite, de asemenea, sursa NAT sau SNAT pentru identificarea aplicației. Adresa IP sursă utilizată de Avi SEs pentru conexiunile back-end ale serverului poate fi înlocuită printr-o adresă explicită specificată de utilizator—adresa IP sursă nat (SNAT). Adresa IP SNAT poate fi specifică ca parte a configurației serviciului virtual.

în unele implementări, pentru a oferi tratament diferențial bazat pe aplicație, este esențial să identificați traficul pe baza adresei IP sursă. De exemplu, în implementările DMZ, este posibil ca securitatea, paravanul de protecție, vizibilitatea și alte tipuri de soluții să necesite validarea clienților care utilizează IP-ul sursă înainte de a transmite traficul către o aplicație.

Lasă un răspuns

Adresa ta de email nu va fi publicată.