<< tillbaka till teknisk ordlista

Nätverksadressöversättningsdefinition

nätverksadressöversättning (Nat) är en process som gör det möjligt för en unik IP-adress att representera en hel grupp datorer. I nätverksadressöversättning tilldelar en nätverksenhet, ofta en router eller NAT-brandvägg, en dator eller datorer i ett privat nätverk en offentlig adress. På detta sätt tillåter nätverksadressöversättning den enskilda enheten att fungera som mellanhand eller agent mellan det lokala, privata nätverket och det offentliga nätverket som är internet. NAT: s huvudsyfte är att spara antalet offentliga IP-adresser som används, för både säkerhets-och ekonomiska mål.

 den här bilden visar nätverksadressöversättning (nat) och processen att synkronisera alla enhetsadresser till en säker server.

Vanliga frågor om nätverksadressöversättning

Vad är nätverksadressöversättning?

Network Address Translation (Nat) sparar IP-adresser genom att aktivera privata IP-nätverk med oregistrerade IP-adresser för att gå online. Innan NAT vidarebefordrar paket mellan de nätverk som den ansluter översätter den de privata interna nätverksadresserna till lagliga, globalt unika adresser.

NAT-konfigurationer kan avslöja bara en IP-adress för ett helt nätverk till omvärlden som en del av denna förmåga, vilket effektivt döljer hela det interna nätverket och ger ytterligare säkerhet. Nätverksadressöversättning implementeras vanligtvis i fjärråtkomstmiljöer, eftersom den erbjuder dubbla funktioner för adressbevarande och förbättrad säkerhet.

Vad är syftet med nätverksadressöversättning?

för att kommunicera med internet kräver ett nätverkssystem en unik IP-adress. Detta 32-bitars nummer identifierar och lokaliserar nätverksenheten så att en användare kan kommunicera med den.

IPV4-adresseringsschemat under de senaste decennierna gjorde Tekniskt miljarder av dessa unika adresser tillgängliga, men inte alla kunde tilldelas enheter för kommunikation. Istället undantogs vissa och användes för testning, sändning och vissa reserverade militära ändamål. Medan det lämnade över 3 miljarder för kommunikation, spridningen av internet har inneburit att adresserna var nära utmattning.

IPv6-adresseringsschemat infördes som lösningen på denna svaghet i IPv4-adresseringsschemat. IPv6 återskapar adresseringssystemet så det finns fler alternativ för att allokera adresser, men det har tagit flera år att ändra nätverkssystemets infrastruktur och implementera. NAT introducerades av Cisco under tiden och användes allmänt.

hur nätverksadressöversättning fungerar

nätverksadressöversättning tillåter en enda enhet, till exempel en NAT—brandvägg eller NAT-router eller annan nätverksadressöversättningsenhet, att fungera som en agent mellan det offentliga nätverket och privata nätverk-internet och alla lokala nätverk. Detta gör att en hel grupp enheter kan representeras av en enda unik IP-adress när de gör något utanför sitt nätverk.

NAT fungerar som ett stort företags receptionist, med specifika instruktioner om vilka samtal och besökare som ska hålla ut, vänta eller skicka igenom och vart de ska gå. Till exempel kan du berätta för receptionisten att inte vidarebefordra några besökare eller samtal utan din begäran tills du väntar på något specifikt; du kan sedan lämna instruktioner om att låta den specifika kundkommunikationen genom.

klienten ringer företagets huvudnummer, eftersom det offentliga numret är det enda som någon vet. De säger till receptionisten att de behöver prata med dig, och receptionisten a) kontrollerar instruktionerna och vet att du vill att samtalet vidarebefordras och b) matchar ditt tillägg med en lista för att skicka informationen till rätt plats. Den som ringer får aldrig din privata linje.

nätverksadressöversättning fungerar på samma sätt. Begäran anländer till den offentliga IP-adressen och porten, och NAT-instruktionerna skickar den dit den ska gå utan att avslöja destinationernas privata IP-adresser.

Nat – Nätverksadressöversättningsexempel

som ett nat-nätverksadressöversättningsexempel kanske en intern värd vill kommunicera med en webbserveradress för destinationsnätverksöversättning i omvärlden. För vidare kommunikation kommer det att skicka ett datapaket till nätverkets nat gateway-router.

nat gateway-routern bestämmer om paketet uppfyller villkoret för översättning genom att lära sig källans IP-adress för paketet och leta upp det i tabellen. Det kan lokalisera autentiserade värdar för interna nätverksöversättning ändamål på sin access control list (ACL), och sedan slutföra översättningen, producera en inre global IP-adress från insidan lokal IP-adress.

slutligen kommer nat gateway-routern att dirigera paketet till destinationen efter att ha sparat översättningen i nat-tabellen. Paketet återgår till routerns globala IP-adress när internetets webbserver återgår till begäran. Med hänvisning till Nat-tabellen kan routern bestämma vilken översatt IP-adress som motsvarar vilken global adress, översätta den till den lokala adressen och leverera datapaketet till värden på deras IP-adress. Datapaketet kasseras om ingen matchning hittas.

typer av nätverksadressöversättning

det finns många former av NAT och det kan fungera på flera sätt.

statisk nätverksadress översättning SNAT. SNAT kartor oregistrerade IP-adresser med 1 till 1 nätverksadressöversättning för att matcha upp med registrerade IP-adresser. Det är särskilt användbart när en enhet måste vara tillgänglig utanför nätverket.

dynamisk nätverksadressöversättning DNAT. Denna form av NAT väljer ett mål från en grupp registrerade IP-adresser och kartlägger en oregistrerad IP-adress till den registrerade versionen.

omvänd nätverksadressöversättning RNAT. RNAT tillåter användare att ansluta till sig själva via internet eller offentligt nätverk.

överbelastning av nätverksadressöversättning NAT. Detta är också känt som NAT-överbelastning, portnivå multiplexerad NAT, enkel adress NAT eller portadressöversättning (PAT). Denna form av dynamisk nat använder olika portar för att kartlägga flera privata, lokala, oregistrerade IP-adresser till en enda registrerad IP-adress och skilja vilken trafik som tillhör vilken NAT IP-adress. När det gäller portadressöversättning vs nätverksadressöversättning är PAT ofta mest kostnadseffektivt när många användare är anslutna till internet via bara en offentlig IP-adress.

överlappande nätverksadressöversättning NAT. Överlappande NAT kan hända antingen när två organisationer vars nätverk båda använder RFC 1918 IP-adresser slås samman, eller när registrerade IP-adresser tilldelas flera enheter eller på annat sätt används i mer än ett internt nätverk. I båda fallen måste nätverken kommunicera, och organisationen / organisationerna använder överlappande NAT för att uppnå detta utan att läsa om alla enheter.

nat-routern avlyssnar adresser och upprätthåller en tabell över dem så att den kan ersätta dem med registrerade unika IP-adresser. Nätverksadressöversättningsroutern måste både översätta registrerade externa IP-adresser till de som är unika för det privata nätverket och översätta interna IP-adresser till registrerade unika adresser. Det kan uppnå detta antingen genom att använda DNS för att implementera dynamisk NAT eller genom statisk NAT.

i nätverksadressöversättningskontexten är det interna nätverket, vanligtvis kallat stubdomänen, vanligtvis ett lokalt nätverk LAN som använder IP-adresser internt. De flesta stub-domännätverkstrafiken är lokal, kvar i det interna nätverket. En stub-domän kan innehålla både oregistrerade och registrerade IP-adresser.

Nätverksadressöversättningskonfiguration

en traditionell nat-konfiguration kräver minst ett gränssnitt på en router (NAT utanför); ett annat gränssnitt på routern (NAT inuti); och en konfigurerad uppsättning regler för att översätta IP-adresserna i pakethuvudena och eventuellt nyttolaster.

i detta exempel på Konfiguration av nätverksadressöversättning konfigurerar den nat-routern enligt följande. När en enhet på insidan med en oregistrerad (inuti, lokal) IP-adress behöver kommunicera med det (utanför, offentliga) nätverket, översätter routern de oregistrerade adresserna som finns på det privata (inuti) nätverket till registrerade IP-adresser.

  • organisationen får en rad registrerade, unika IP-adresser som tilldelats av ISP. Den tilldelade adresslistan kallas inuti globala adresser.
  • teamet delar upp oregistrerade, privata adresser i en liten grupp och en mycket större grupp. Stub-domänen kommer att använda den större gruppen, kallad inside local addresses. Nat-routrarna kommer att använda den lilla gruppen, kallad externa lokala adresser, för att översätta externa globala adresser eller unika IP-adresser för enheter i det offentliga nätverket.
  • de flesta stubdomändatorer kommunicerar med varandra med hjälp av lokala adresser. Det finns inuti globala adresser för de stubdomändatorer som kommunicerar i stor utsträckning utanför nätverket, vilket innebär att de inte kräver översättning.
  • men när en typisk stub-domändator med en lokal lokal adress behöver kommunicera utanför nätverket skickar den paketet till en NAT-router.
  • nat-routern kontrollerar destinationsadressen i routingtabellen. Om den har en post för den adressen översätter nat-routern paketet och matar in den åtgärden i adressöversättningstabellen. Nat-routern tappar paketet om destinationsadressen inte finns i routingtabellen.
  • routern skickar paketet med en intern global adress.
  • en offentlig nätverksdator skickar ett paket till det privata nätverket. Paketets destinationsadress är en intern global adress och dess källadress är en extern global adress.
  • nat-routern bekräftar att destinationsadressen mappas till en stubdomändator genom att kontrollera adressöversättningstabellen.
  • nat-routern skickar paketet till destinationsdatorn efter att ha översatt paketets inre globala adress till den inre lokala adressen.

nat-överbelastning använder multiplexering, en TCP/IP-protokollstackfunktion. Multiplexering gör det möjligt för en dator att upprätthålla flera anslutningar med fjärrdatorer samtidigt med olika portar. Rubriken för ett IP-paket innehåller:

källadress. Den ursprungliga datorns IP-adress, till exempel, 123.123.12.1
källport. Det tilldelade TCP-eller UDP-portnumret för detta paket, till exempel Port 1060
destinationsadress. Den mottagande datorns IP-adress, till exempel, 52.220.51.237
destinationsport. TCP-eller UDP-nätverksadressöversättningsportnumret destinationsdatorn ska öppna, till exempel Port 2170

dessa fyra siffror tillsammans representerar en enda TCP/IP-anslutning. Adresserna klargör de två datorerna i varje ände, och portnumren ger en unik identifierare för anslutningen mellan de två datorerna. Även om det finns möjliga 65 536 värden här eftersom varje portnummer använder 16 bitar, kartläggs olika portar på något olika sätt, så cirka 4 000 tillgängliga portar är realistiska.

dynamisk nat-och Nat-Överbelastningskonfiguration

i dynamisk nätverksadressöversättning:

  • IANA (Internet Assigned Numbers Authority), den globala myndigheten som tilldelar IP-adresser, är den enda källan till unika IP-adresser. Om en stubdomän eller ett internt nätverk har upprättats med IP-adresser som IANA inte specifikt tilldelade för dem, är adresserna inte unika och är därför icke-dirigerbara.
  • organisationen skapar en router aktiverad för NAT som innehåller en rad unika IP-adresser från IANA.
  • en stub-domändator försöker ansluta till en extern dator.
  • routern tar emot stubdomänens dators paket.
  • den nat-aktiverade routern sparar den icke-routerbara IP-adressen från den sändande datorn till en adressöversättningstabell. Routern kartlägger den första tillgängliga IP-adressen utanför zonen med unika IP-adresser till den sändande datorn för att ersätta den icke-routerbara IP-adressen.
  • routern kontrollerar nu varje paket destinationsadress när den kommer från destinationsdatorn och verifierar vilken stubdomändator paketet tillhör med adressöversättningstabellen. Om den inte hittar någon matchning, tappar den paketet. Annars lokaliserar den alternativet för destinationsadressen som sparats i adressöversättningstabellen och skickar den.
  • datorn tar emot paketet och processen fortsätter så länge det externa systemet och datorn kommunicerar.

vid nat-överbelastning:

  • som i det tidigare dynamiska nat-exemplet har en stub-domän eller ett internt nätverk ställts in med icke-routerbara, icke-unika IP-adresser som inte specifikt tilldelats för dem, så organisationen skapar en router aktiverad för NAT som innehåller en unik IP-adress från IANA.
  • en stub-domändator försöker ansluta till en extern dator.
  • den nat-aktiverade routern tar emot stubdomänens dators paket.
  • nat-routern sparar den icke-routerbara IP-adressen och portnumret från den sändande datorn till en adressöversättningstabell. Routern kartlägger ett portnummer och routerns IP-adress till den sändande datorn för att ersätta den icke-routerbara IP-adressen och portnumret.
  • routern kontrollerar destinationsportarna för paket som återvänder från destinationsdatorn och bekräftar vilken stubdomändator paketet tillhör. Den ersätter destinationsporten och adressen med de sparade versionerna från adressöversättningstabellen och skickar dem.
  • datorn tar emot paketet och processen fortsätter så länge det externa systemet och datorn kommunicerar.
  • nat-routern fortsätter att använda samma portnummer i hela anslutningen, eftersom den har datorns källport och adress sparad i adressöversättningstabellen. Om kommunikationen slutar utan att posten nås igen, tar routern bort posten från tabellen.

i motsats till den dator som beskrivs ovan i den traditionella nat-konfigurationen, så här kan stubdomändatorer visas för externa nätverk:

källdator 1

IP-adress: 192.168.24.11
Datorport: 620
NAT Router IP-adress: 215.37.32.203
NAT Router portnummer: 1

källa dator 2

IP-adress: 192.168.24.12
dator Port: 80
NAT Router IP-adress: 215.37.32.203
NAT Router portnummer: 2

källa dator 3

IP-adress: 192.168.24.13
datorport: 1560
NAT router IP-adress: 215.37.32.203
NAT router portnummer: 3

den nat-aktiverade routern lagrar varje källdators IP-adress och portnummer. Den använder sin egen registrerade IP-adress och portnummer för att ersätta IP-adressen och portnumret som motsvarar det paketets källdator i tabellen. I stället för källdatorinformationen på varje paket ser alla externa nätverk NAT-routerns IP-adress och det tilldelade portnumret.

vissa stubdomändatorer använder dedikerade IP-adresser. I dessa situationer kan deras IP-adresser passera av NAT-routern oöversatt om du skapar en åtkomstlista med IP-adresser som klargör för routern vilka nätverksdatorer som kräver NAT.

en routers dynamiska Random Access Memory (DRAM) är den viktigaste faktorn som bestämmer antalet samtidiga översättningar som den kan stödja. En typisk adressöversättningstabellpost kräver cirka 160 byte, så för de flesta applikationer är en router med 4 MB DRAM tillräcklig.

enligt IANA och RFC 1918 finns det specifika intervall av IP-adresser för användning som interna nätverksadresser som inte kan dirigeras. Dessa adresser är oregistrerade, vilket innebär att ingen byrå eller företag kan använda dem på offentliga datorer eller hävda ägande över dem. Istället för att vidarebefordra oregistrerade adresser är routrar utformade för att kassera dem. Därför kan ett paket från en oregistrerad sändande datoradress nå sin registrerade datordestination, men den första routern som svaret kom till skulle kassera det.

för att minska risken för en IP-adresskonflikt lönar det sig att följa intervallet för var och en av de tre klasserna av IP-adresser i ditt interna nätverk:

  • intervall 1: klass A – 10.0.0.0 till 10.255.255.255
  • intervall 2: klass B – 172.16.0.0 till 172.31.255.255
  • intervall 3: klass C – 192.168.0.0 genom 192.168.255.255

detta är dock en bästa praxis, inte ett krav.

NAT-Router

med Nat-överbelastning skapar en NAT-router ett nätverk av IP-adresser för ett lokalt nätverk LAN och ansluter det offentliga nätverket som är internet till det LAN-nätverket. Routern kör NAT som tillåter kommunikation mellan WAN eller internet och värdenheterna eller datorerna i LAN-nätverket. Eftersom NAT-routrar verkar vara en solo-värd med en solo-IP-adress till internet, används de för småskaliga industrier och hemändamål.

fördelar med nätverksadressöversättning

fördelar med NAT

Adressbevarande. NAT sparar IP-adresser som är lagligt registrerade och förhindrar deras uttömning.

nätverksadress översättningssäkerhet. NAT erbjuder möjligheten att komma åt internet med mer säkerhet och integritet genom att dölja enhetens IP-adress från det offentliga nätverket, även när du skickar och tar emot trafik. Nat-hastighetsbegränsande tillåter användare att begränsa det maximala antalet samtidiga NAT-operationer på en router och begränsa antalet nat-översättningar. Detta ger mer kontroll över användningen av NAT-adresser, men kan också användas för att begränsa effekterna av maskar, virus och DOS-attacker (denial-of-service). Dynamisk nat-implementering skapar en brandvägg mellan det interna nätverket och internet automatiskt. Vissa nat-routrar erbjuder trafikloggning och filtrering.

flexibilitet. NAT ger flexibilitet; till exempel kan den distribueras i en offentlig trådlös LAN-miljö. Inkommande kartläggning eller statisk nat tillåter externa enheter att initiera anslutningar till datorer på stub-domänen i vissa fall.

enkelhet. Eliminerar behovet av att omnumrera adresser när ett nätverk ändras eller slås samman.
nätverksadressöversättning låter dig skapa en virtuell värd i nätverket för att samordna TCP-lastbalansering för interna nätverksservrar.

hastighet. Jämfört med proxyservrar är NAT transparent för både destinations-och källdatorer, vilket möjliggör snabbare direkt hantering. Dessutom arbetar proxyservrar vanligtvis vid transportlagret eller lagret 4 i OSI-referensmodellen eller högre, vilket gör dem långsammare än nätverksadressöversättning, vilket är ett nätverkslager eller lager 3-protokoll.

skalbarhet. NAT och dynamic host configuration protocol (DHCP) fungerar bra tillsammans, med DHCP-servern som släpper ut oregistrerade IP-adresser för stub-domänen från listan efter behov. Det är lättare att skala upp, eftersom du kan öka det tillgängliga utbudet av IP-adresser som DHCP konfigurerar för att göra plats för ytterligare nätverksdatorer omedelbart istället för att begära fler IP-adresser från IANA när behoven ökar.

flera målsökande. Flera anslutningar till internet, kallad multi-homing, hjälper till att upprätthålla en pålitlig anslutning och minskar risken för avstängning vid en misslyckad anslutning. Detta möjliggör också lastbalansering genom att minska antalet datorer med en enda anslutning. Multi-homed nätverk ansluter ofta till flera Internetleverantörer, var och en tilldelar en rad IP-adresser eller en enda IP-adress till organisationen. Routrar använder nätverksadressöversättning för att dirigera mellan nätverk med olika nätverksadressöversättningsprotokoll. I ett multi-homed nätverk använder routern en del av TCP / IP-protokollsviten, border gateway protocol (BGP), för att kommunicera; stubdomänsidan använder intern BGP eller IBGP, och routrar kommunicerar med varandra med extern BGP eller EBGP. Multi-homing omdirigerar all data via en annan router om en av anslutningarna till en Internetleverantör misslyckas.

nackdelar med Nat

resursförbrukning. Nätverksadressöversättning är en teknik som förbrukar minnesresurser och processorutrymme, eftersom den måste översätta IPv4-adresser för alla utgående och inkommande IPv4-datagram och behålla detaljerna från översättning i minnet.

förseningar. Path förseningar orsakas av översättning resulterar i växling path förseningar.
funktionalitet. Vissa applikationer och tekniker fungerar inte som förväntat med Nat aktiverat.

spårbarhet. Nätverksadressöversättning komplicerar protokoll för tunnling. IPsec är det säkra protokollet som rekommenderas för nätverksadressöversättning.

Layer fråga. En router är en enhet för nätverksskiktet, men som en NAT-enhet krävs det att manipulera med transportskiktet i form av portnummer.

erbjuder Avi en Nätverksadressöversättningsmjukvarulösning?

Avi Networks Avi Vantage-plattform, en mjukvarudefinierad applikationstjänststruktur, upprätthåller åtkomstkontrollpolicyer och fångar och analyserar end-to-end applikationstrafik och levererar tjänster långt bortom lastbalansering.

när nya applikationsservrar distribueras behöver servrarna extern anslutning för hanterbarhet. I avsaknad av en router i servernätverken kan Avi SE användas för att dirigera trafiken i servernätverk genom att använda IP-routningsfunktionen hos Servicemotorer. AVI Service Engine (SE) nat-funktionalitet täcker detta och fungerar som en nat-gateway för hela det privata nätverket av servrar.

NAT kommer att fungera antingen genom IP-routing på Service Engine, se-standardgateway-funktionen eller i post-routing-fasen av paketvägen. För att använda utgående nat-funktionalitet är det nödvändigt att aktivera IP-routing på Servicemotorn och använda SE som en gateway.

AVI stöder utgående NAT för TCP / UDP och ICMP-flöden.

det finns tre utgående nat-användningsfallalternativ:

  • Nat-flöden (visa nat-flödesinformation)
  • Nat-Policystatistik (visa nat-policystatistik)
  • NAT-statistik (visa nat-statistik)

plattformen möjliggör också källa NAT eller SNAT för applikationsidentifiering. Källans IP-adress som används av Avi SEs för serverns back-end-anslutningar kan åsidosättas genom en uttrycklig användarspecificerad adress—källans NAT (SNAT) IP-adress. SNAT-IP-adressen kan vara specifik som en del av den virtuella tjänstekonfigurationen.

i vissa distributioner, för att ge differentierad behandling baserat på applikationen, är det viktigt att identifiera trafik baserat på källans IP-adress. I DMZ-distributioner kan till exempel säkerhet, brandvägg, synlighet och andra typer av lösningar behöva validera klienter som använder källans IP innan trafik överförs till ett program.

Lämna ett svar

Din e-postadress kommer inte publiceras.