Разрешаване на nat. NAT - настройка на превода на мрежови адреси. б) Файлов сървър

Все повече и повече различни цифрови устройства се появяват в нашите апартаменти - лаптопи, таблети и смартфони. Докато имаше само един компютър в апартамента и свързан директно към мрежата на доставчика, нямаше въпроси. И сега, когато сте изправени пред проблем - как да свържете новия си лаптоп или таблет към интернет. Тук идва на помощ NAT технология. Каква е същността на NAT технологията?
NATПревод на мрежови адреси — в превод на руски звучи така: „трансформация мрежови адреси». NATе механизъм в TCP/IP мрежи, който ви позволява да конвертирате IP адресите на транзитните пакети.
Казано просто на прост език- тогава, ако има няколко компютъра локална мрежа, то благодарение на технологията NATвсички те могат да имат достъп до външна интернет мрежа с помощта на една външна ip адрес (IP).

Какво е IP адрес?

Рутеррутер— работи на третото ниво на системата OSI, съответно се използва IP протокол- маршрутизиран протокол мрежов слой TCP/IP стек. Неразделна част от протокола е мрежовото адресиране. В съответствие със съществуващите правила всички устройства в мрежата са назначени IP адреси (IP адреси) - уникални мрежови идентификатори на адреса на възела. Има 2 вида използвани IP адреси − сивои бяло. Сиви адреси- това е част от адресното пространство, разпределено за локалната мрежа - подмрежи от IP адреси 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16 . Всички други подмрежи се използват в Интернет и са бели IP адреси.

Как да споделяте достъп до интернет с устройства във вашата мрежа.

За да свържете всички устройства в локалната мрежа към интернет, ще ви трябва рутер. Рутере устройство, което може да се свързва с интернет през мрежата на доставчика и да го разпространява до свързани устройства поради факта, че има поне 4 LAN порта и Wi-Fi модул. Не бъркайте рутер с обикновен Ethernet комутатор, който по същество е глупав мрежов „сплитер“. Поради факта, че рутерът има инсталирана UNIX-подобна операционна система, устройството може да повдигне различни услуги, включително NAT услуга. За да направите това, когато настройвате рутера, поставете отметка в квадратчето Активирайте NAT .

И тогава рутерЗа всяка заявка, която преминава през него, той поставя специфичен етикет, съдържащ данни за подателя в локалната мрежа. Когато тази заявка получи отговор, рутерчрез етикета определя към кой IP адрес в локалната мрежа да изпрати пакета. това е всичко как NAT технологията работи накратко.

2 32 или 4 294 967 296 IPv4това много ли са адресите? Така изглежда. Въпреки това, с нарастването на персоналните компютри, мобилни устройстваи бързия растеж на интернет, скоро стана ясно, че 4,3 милиарда IPv4 адреса няма да са достатъчни. Дългосрочното решение беше IPv6, но беше необходимо по-бързо решение за справяне с недостига на адреси. И стана това решение NAT (превод на мрежови адреси).

Какво е NAT

Мрежите обикновено се проектират с използване на частни IP адреси. Това са адресите 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16 . Тези частни адреси се използват в организация или сайт, за да позволят на устройствата да комуникират локално и не се насочват през интернет. За да позволите на устройство с частен IPv4 адрес да има достъп до устройства и ресурси извън локалната мрежа, частният адрес трябва първо да бъде преведен в публичен публичен адрес.

И само NAT преобразува частните адреси в публични. Това позволява на устройство с частен IPv4 адрес да има достъп до ресурси извън неговия частна мрежа. NAT в комбинация с частни IPv4 адреси се оказа полезен методзапазване на публични IPv4 адреси. Един публичен IPv4 адрес може да се използва от стотици, дори хиляди устройства, всяко с частен IPv4 адрес. NAT има допълнителното предимство да добавя известна степен на поверителност и сигурност към мрежата, тъй като скрива вътрешните IPv4 адреси от външни мрежи.

NAT-активираните маршрутизатори могат да бъдат конфигурирани с един или повече валидни публични IPv4 адреси. Тези публични адреси се наричат ​​NAT пул. Когато устройство във вътрешната мрежа изпраща трафик от мрежата навън, NAT-активираният рутер преобразува вътрешния IPv4 адрес на устройството в публичен адрес от NAT пула. За външни устройства целият трафик, който влиза и излиза от мрежата, изглежда има публичен IPv4 адрес.

NAT рутерът обикновено работи на границата мъниче-мрежи Мрежата пън е мрежа, която има една връзка със съседна мрежа, един вход и изход от мрежата.

Когато устройство в мрежата Stub иска да комуникира с устройство извън неговата мрежа, пакетът се препраща към граничния рутер и той изпълнява NAT процеса, преобразувайки вътрешния частен адрес на устройството в публичен, външен, маршрутизиращ се адрес.

Терминология на NAT

В терминологията на NAT вътрешната мрежа е набор от мрежи, които трябва да бъдат преведени. Външната мрежа се отнася за всички други мрежи.

Когато използвате NAT, IPv4 адресите имат различни обозначения в зависимост от това дали са в частна мрежа или в обществена мрежа (Интернет) и дали трафикът е входящ или изходящ.

NAT включва четири типа адреси:

  • Вътрешен местен адрес;
  • Вътрешен глобален адрес;
  • Външен местен адрес;
  • Външен глобален адрес;

Когато определяте какъв тип адрес се използва, важно е да запомните, че NAT терминологията винаги се прилага по отношение на устройството с преведен адрес:

  • Вътрешен адрес- адрес на устройството, което се транслира от NAT;
  • Външен адрес- адрес на целево устройство;
  • Местен адрес- това е всеки адрес, който се показва във вътрешната част на мрежата;
  • Глобален адрес- това е всеки адрес, който се показва във външната част на мрежата;

Нека да разгледаме това с примерна диаграма.


На фигурата компютърът има вътрешно локално ( Вътре местно) адресът е 192.168.1.5 и от негова гледна точка уеб сървърът има външен ( навън) адрес 208.141.17.4. Когато пакетите се изпращат от компютър до глобалния адрес на уеб сървъра, вътрешният локален ( Вътре местно) PC адресът се преобразува на 208.141.16.5 ( вътре глобално). Адрес външно устройствообикновено не се превежда, защото е публичен IPv4 адрес.

Струва си да се отбележи, че компютърът има различни локални и глобални адреси, докато уеб сървърът има един и същ публичен IP адрес. От негова гледна точка трафикът, идващ от компютъра, идва от вътрешния глобален адрес 208.141.16.5. NAT рутерът е демаркационната точка между вътрешни и външни мрежи и между локални и глобални адреси.

Условия вътреи навън, комбинирани с термини местени глобаленза връзка към конкретни адреси. На фигурата рутерът е конфигуриран да предоставя NAT и има набор от публични адреси за присвояване на вътрешни хостове.

Фигурата показва как трафикът се изпраща от вътрешен компютър към външен уеб сървър през NAT-активиран рутер и се пренасочва и пренасочва в обратната посока.


Вътрешен локален адрес ( Вътрешен местен адрес) - адрес на източника, видим от вътрешната мрежа. На фигурата адресът 192.168.1.5 е присвоен на компютъра - това е неговият вътрешен локален адрес.

Вътрешен глобален адрес ( Вътрешен глобален адрес) - адресът на източника, видим от външна мрежа. На фигурата, когато трафикът от компютъра се изпраща към уеб сървъра на адрес 208.141.17.4, рутерът преобразува вътрешния локален адрес ( Вътрешен местен адрес) към вътрешния глобален адрес ( Вътрешен глобален адрес). В този случай рутерът променя адреса на източника на IPv4 от 192.168.1.5 на 208.141.16.5.

Външен глобален адрес ( Външен глобален адрес) - адрес на получателя, видим от външната мрежа. Това е глобално маршрутизиран IPv4 адрес, присвоен на хост в Интернет. В диаграмата уеб сървърът е достъпен на 208.141.17.4. Най-често външните локални и външните глобални адреси са еднакви.

Външен локален адрес ( Външен местен адрес) - адрес на получател, видим от вътрешната мрежа. В този пример компютърът изпраща трафик към уеб сървъра на 208.141.17.4

Нека разгледаме целия път на пакета. Компютър с адрес 192.168.1.5 се опитва да комуникира с уеб сървъра 208.141.17.4. Когато пакет пристигне в NAT-активиран рутер, той чете IPv4 адреса на местоназначението на пакета, за да определи дали пакетът отговаря на критериите, определени за транслация. В този пример адресът на източника отговаря на критериите и е преведен от 192.168.1.5 ( Вътрешен местен адрес) на 208.141.16.5. ( Вътрешен глобален адрес). Рутерът добавя това локално към глобално съпоставяне на адреси към NAT таблицата и изпраща пакет с преведения адрес на източника до дестинацията. Уеб сървърът отговаря с пакет, адресиран до вътрешния глобален адрес на компютъра (208.141.16.5). Рутерът получава пакет с адрес на местоназначение 208.141.16.5 и проверява NAT таблицата, където намира запис за това съпоставяне. Той използва тази информация и преобразува обратно вътрешния глобален адрес (208.141.16.5) във вътрешния локален адрес (192.168.1.5) и пакетът се препраща към компютъра.

NAT типове

Има три типа NAT превод:

  • Превод на статичен адрес (статичен NAT)- съпоставяне на адреси едно към едно между локални и глобални адреси;
  • Динамичен превод на адреси (Dynamic NAT)- съпоставяне на адреси много към много между локални и глобални адреси;
  • Превод на адрес на порт (NAT)- съпоставяне на мултикаст адреси между локални и глобални адреси с помощта на портове. Този метод е известен още като Претоварване на NAT;

Статичният NAT използва съпоставяне едно към едно на локални и глобални адреси. Тези съпоставяния се конфигурират от мрежовия администратор и остават постоянни. Когато устройствата изпращат трафик към интернет, техните вътрешни локални адреси се преобразуват в конфигурираните вътрешни глобални адреси. За външни мрежи тези устройства имат публични IPv4 адреси. Статичният NAT е особено полезен за уеб сървъри или устройства, които трябва да имат постоянен адрес, достъпен от Интернет, като например уеб сървър на компания. Статичният NAT изисква достатъчен брой публични адреси, за да задоволи общия брой едновременни потребителски сесии.

Статичната NAT таблица изглежда така:


Динамичният NAT използва набор от публични адреси и ги присвоява на принципа „първи дошъл, първи обслужен“. Кога вътрешна структураиска достъп до външна мрежа, динамичният NAT присвоява наличен публичен IPv4 адрес от пул. Подобно на статичния NAT, динамичният NAT изисква достатъчен брой публични адреси, за да задоволи общия брой едновременни потребителски сесии.

Динамичната NAT таблица изглежда така:


Превод на адрес на порт (PAT)

PATизлъчва множество частни адреси към един или повече публични адреси. Това правят повечето домашни рутери. Интернет доставчикът задава един адрес на рутера, но няколко членове на семейството могат да имат достъп до интернет едновременно. Това е най-често срещаната форма на NAT.

С PAT множество адреси могат да бъдат съпоставени с един или повече адреси, тъй като всеки частен адрес също се проследява от номер на порт. Когато дадено устройство инициира сесия TCP/IP, той генерира стойността на изходния порт TCPили UDPза уникално идентифициране на сесията. Когато NAT рутер получи пакет от клиент, той използва своя номер на порт източник, за да идентифицира уникално конкретния NAT превод. PAT гарантира, че устройствата използват различен номер на TCP порт за всяка сесия. Когато отговорът бъде върнат от сървъра, номерът на порта на източника, който става номер на порта на местоназначението на пътя за връщане, определя към кое устройство рутерът препраща пакетите.

Картината илюстрира процеса PAT. PAT добавя уникални номерапортовете на източника към вътрешния глобален адрес, за да се прави разлика между преводите.


Докато рутерът обработва всеки пакет, той използва номера на порта (1331 и 1555, в този пример), за да идентифицира устройството, от което произхожда пакетът.

Адрес на източника ( Адрес на източника) е вътрешен локален адрес с добавен номер на порт, зададен от TCP/IP. Адрес на дестинация ( Адрес на дестинация) е външен локален адрес с добавен номер на сервизен порт. В този пример сервизният порт е 80: HTTP.

За адреса на източника рутерът преобразува вътрешния локален адрес във вътрешния глобален адрес с добавен номер на порт. Адресът на местоназначение не се променя, но сега се нарича външен глобален IP адрес. Когато уеб сървърът отговори, пътят се обръща.

В този пример номерата на клиентския порт 1331 и 1555 не са променени на NAT рутера. Това не е много вероятен сценарий, защото има голям шанс тези номера на портове вече да са били прикачени към други активни сесии. PAT се опитва да запази оригиналния изходен порт. Въпреки това, ако първоначалният порт източник вече се използва, PAT присвоява първия наличен номер на порт, започвайки от началото на съответната група портове 0-511, 512-1023 или 1024-65535 . Когато няма повече портове и има повече от един външен адрес в адресния пул, PAT се премества на следващия адрес, за да се опита да разпредели оригиналния порт източник. Този процес продължава, докато няма повече налични портове или външни IP адреси.

Тоест, ако друг хост може да избере същия номер на порт 1444. Това е приемливо за вътрешен адрес, тъй като хостовете имат уникални частни IP адреси. Въпреки това, на NAT рутер номерата на портовете трябва да се променят - в противен случай пакети от два различни хоста ще го напуснат с един и същ адрес на източника. Следователно PAT присвоява следващия наличен порт (1445) на втория хост адрес.

Нека обобщим сравнението между NAT и PAT. Както можете да видите от таблиците, NAT преобразува IPv4 адреси на база 1:1 между частни IPv4 адреси и публични IPv4 адреси. PAT обаче променя както самия адрес, така и номера на порта. NAT препраща входящите пакети към техния вътрешен адрес въз основа на IP адреса на входящия източник, даден от хоста в публичната мрежа, а с PAT обикновено има само един или много малко публично изложени IPv4 адреси и входящите пакети се препращат въз основа на NAT таблицата на рутера .

Какво ще кажете за IPv4 пакети, съдържащи данни, различни от TCP или UDP? Тези пакети не съдържат номер на порт на слой 4. PAT преобразува най-често срещаните протоколи, пренасяни от IPv4, които не използват TCP или UDP като протокол на транспортния слой. Най-често срещаните от тях са ICMPv4. Всеки от тези типове протоколи се обработва по различен начин от PAT. Например съобщенията за ICMPv4 заявка, ехо заявките и отговорите включват ИД на заявката ID на заявката. ICMPv4 използва Query ID. за идентифициране на ехо заявката със съответния отговор. ID на заявката се увеличава с всеки изпратен ping. PAT използва идентификатора на заявката вместо номера на порта на слой 4.

Предимства и недостатъци на NAT

NAT предоставя много предимства, включително:

  • NAT запазва регистрираната схема за адресиране, което позволява приватизацията на интранет. С PAT вътрешните хостове могат да споделят един публичен IPv4 адрес за всички външни комуникации. При този тип конфигурация са необходими много малко външни адреси за поддръжка на много вътрешни хостове;
  • NAT увеличава гъвкавостта на връзките с обществена мрежа. Множество басейни, басейни архивиранеи пуловете за балансиране на натоварването могат да бъдат внедрени, за да осигурят надеждни обществени мрежови връзки;

    • NAT осигурява последователност за схемите за вътрешно адресиране на мрежата. В мрежа, която не използва частни IPv4 адреси и NAT, промяна обща схема IPv4 адресите изискват пренасочване на всички хостове към съществуваща мрежа. Цената на пренасочването на хоста може да бъде значителна. NAT позволява съществуващата частна схема за адресиране на IPv4 да остане, като същевременно позволява новата схема за публично адресиране да бъде лесно променяна. Това означава, че една организация може да смени доставчиците си и не трябва да променя нито един от своите вътрешни клиенти;

  • NAT предоставя мрежова сигурност. Тъй като частните мрежи не рекламират своите адреси или вътрешна топология, те остават доста сигурни, когато се използват заедно с NAT за постигане на контролиран външен достъп. Трябва обаче да разберете, че NAT не замества защитните стени;

Но NAT има някои недостатъци. Фактът, че изглежда, че хостовете в Интернет комуникират директно с NAT-активираното устройство, а не с действителния хост в частната мрежа, създава редица проблеми:

  • Един от недостатъците на използването на NAT е свързан с производителността на мрежата, особено за протоколи в реално време като напр. VoIP. NAT увеличава закъсненията при превключване, защото отнема време за преобразуване на всеки IPv4 адрес в заглавките на пакетите;
  • Друг недостатък на използването на NAT е, че адресирането от край до край се губи. Много интернет протоколи и приложения зависят от адресирането от край до край от източника до местоназначението. Някои приложения не работят с NAT. Приложения, които използват физически адреси, а не квалифицирани име на домейн, не достигат до получатели, които се превеждат през NAT рутер. Понякога този проблем може да бъде избегнат чрез прилагане на статични NAT преобразувания;
  • Проследяването на IPv4 от край до край също се губи. По-трудно е да се проследят пакети, които претърпяват множество промени на пакетен адрес през множество NAT хопове, което прави отстраняването на неизправности по-трудно;
  • Използването на NAT също възпрепятства протоколите за тунелиране като IPsec, защото NAT променя стойностите в заглавките, които пречат на проверките за цялост, извършвани от IPsec и други протоколи за тунелиране;
  • Услуги, които изискват TCP връзки да се инициират от външна мрежа или протоколи без състояние, като тези, използващи UDP, може да бъдат прекъснати. Ако NAT рутерът не е конфигуриран да поддържа такива протоколи, входящите пакети не могат да достигнат местоназначението си;

Беше ли ви полезна тази статия?

Моля, кажете ми защо?

Съжаляваме, че статията не беше полезна за вас: (Моля, ако не е трудно, посочете защо? Ще бъдем много благодарни за подробен отговор. Благодарим ви, че ни помогнахте да станем по-добри!

NAT или преобразуването на мрежови адреси е метод за пренасочване на едно адресно пространство към друго чрез промяна на информацията за мрежовия адрес в интернет протокол или IP. Заглавките на пакетите се променят, докато преминават през устройства за маршрутизиране. Този методпървоначално се използва за по-лесно пренасочване на трафика в IP мрежи, без да е необходимо да се номерира всеки хост. Той се превърна във важен и популярен инструмент за разпределяне и запазване на глобално адресно пространство в условията на остър недостиг на IPv4 адреси.

Какво е NAT?

Използването на преобразуване на мрежови адреси е да съпоставите всеки адрес в едно адресно пространство към адрес, който е в друго адресно пространство. Това може да е необходимо, ако доставчикът на услугата се е променил и потребителят няма възможност да обяви публично нов маршрут към мрежата. NAT технологияв условията на глобално изчерпване на адресното пространство, той се използва все по-често от края на 90-те години. Обикновено тази технология се използва в комбинация с IP криптиране. IP криптирането е метод за преместване на множество IP адреси в едно пространство. Този механизъм е реализиран в маршрутизиращо устройство, което използва таблици за транслация със състояние, за да картографира скритите адреси в един IP адрес. Той също така препраща всички изходящи IP пакети на изхода. По този начин изглежда, че тези пакети напускат устройството за маршрутизиране. Отговорите на връзката за връщане се съпоставят с IP адреса на източника, като се използват правила, съхранени в таблици за превод. На свой ред таблиците за превод се изчистват след кратко време, ако трафикът не актуализира състоянието си. Това е основният механизъм на NAT. какво значи това Тази технологияпозволява комуникация през рутер само когато връзката се осъществява в криптирана мрежа, тъй като това създава таблици за превод. Вътре в такава мрежа уеб браузър може да разглежда сайт извън нея, но когато е инсталиран извън нея, той не може да отвори ресурса, който се намира в него. Повечето NAT устройства днес позволяват на мрежовия администратор да конфигурира записи в таблицата за превод за постоянна употреба. Тази функцияособено често наричан пренасочване на портове или статичен NAT. Той позволява на трафика, произхождащ от „външната“ мрежа, да достигне до определени хостове в криптираната мрежа. Поради популярността на метода, използван за запазване на IPv4 адресното пространство, терминът NAT на практика се превърна в синоним на метода за криптиране. Тъй като преобразуването на мрежови адреси променя адресната информация на IP пакетите, това може да има сериозни последствияза качество на връзката. Така че изисква внимателно внимание към всички подробности за изпълнението. Начините, по които се използва NAT, се различават един от друг по своето специфично поведение в различни ситуации, които се отнасят до въздействието върху мрежовия трафик.

Основен NAT

Най-простият тип NAT позволява превод едно към едно на IP адреси. Основният тип на този превод е RFC-2663. В този случай се променят само IP адресите, както и контролната сума на IP хедърите. Можете да използвате основни типове превод, за да свържете две IP мрежи, които имат несъвместимо адресиране.

Повечето разновидности на NAT са в състояние да съпоставят множество частни хостове към един IP адрес, който е публично определен. LAN в типична конфигурация използва един от присвоените на подмрежата „частни“ IP адреси. В тази мрежа рутерът има частен адрес в пространството. Рутерът също така се свързва с интернет, като използва „публичен адрес“, който се задава от интернет доставчика. Тъй като трафикът произхожда от локалния интернет, адресът на източника във всеки пакет се преобразува от частен в публичен в движение. Рутерът също така проследява основни данни за всяка активна връзка. По-специално, това се отнася за информация като адрес и порт на дестинация. Когато отговорът се върне към него, той използва данните за връзката, които се съхраняват по време на изходящата фаза. Това е необходимо, за да се определи частният вътрешен мрежов адрес, към който да бъде насочен отговорът. Основното предимство на тази функционалност е, че е практично решение на проблема с изчерпването на IPv4 адресното пространство. Дори големи мрежи могат да бъдат свързани към интернет с един IP адрес. Всички пакети с дейтаграми в IP мрежите имат два IP адреса - адреса на източника и адреса на местоназначението. Пакети, преминаващи от частна мрежа към мрежа обществено ползване, ще има адреса на източника на пакетите, който се променя при прехода от публична мрежа към частна. Възможни са и по-сложни конфигурации.

Характеристики на конфигурацията на NAT

Настройка на NATможе да има определени характеристики. За да се избегнат трудностите, свързани с превода на върнатите пакети, може да са необходими допълнителни модификации. По-голямата част от интернет трафика ще преминава през UDP и TCP протоколите. Техните номера се променят по такъв начин, че IP адресите и номерата на портовете започват да се сравняват при изпращане на данни обратно. Протоколите, които не са базирани на UDP или TCP, изискват други методи за превод. Обикновено ICMP или Internet Control Message Protocol съответства на информацията, която се изпраща към съществуващата връзка. Това означава, че те трябва да се показват с помощта на същия IP адрес и номер, който е зададен първоначално. Какво трябва да се вземе предвид? Конфигурирането на NAT на рутер не му осигурява свързаност от край до край. Поради тази причина такива рутери не могат да участват в някои интернет протоколи. Услуги, изискващи започване TCP връзкиот външна мрежа или потребители без протоколи може просто да са недостъпни. Ако NAT рутерът не полага специални усилия да поддържа такива протоколи, тогава входящите пакети може никога да не достигнат местоназначението си. Някои протоколи могат да бъдат хоствани в едно излъчване между участващи хостове, понякога използвайки шлюз на приложния слой. Връзката обаче няма да бъде установена, когато и двете системи са разделени от интернет чрез NAT. Освен това използването на NAT усложнява тунелните протоколи като IPsec, тъй като променя стойностите в заглавките, които взаимодействат с проверките за целостта на заявката.

NAT: съществуващ проблем

Основният принцип на интернет е връзката от край до край. Съществува от развитието си. Текущото състояние на мрежата само доказва, че NAT е нарушение на този принцип. Съществува сериозна загриженост в професионалната общност по отношение на широкото използване на превод на мрежови адреси в IPv6. Така днес се повдига въпросът как може да се елиминира този проблем. Тъй като таблиците на състоянието на транслацията в NAT рутерите са по своята същност непостоянни, вътрешните мрежови устройства губят IP свързаност за много кратък период от време. Не трябва да забравяме това обстоятелство, когато говорим за това какво е NAT в рутер. Това значително намалява времето за работа на компактните устройства, които работят на батерии.

Мащабируемост

При използване на NAT се наблюдават само тези портове, които могат бързо да бъдат изчерпани вътрешни приложения, които използват множество едновременни връзки. Това могат да бъдат HTTP заявки за страници с голям брой вградени обекти. омекват този проблемвъзможно чрез проследяване на IP адреса в дестинациите в допълнение към порта. Така един локален порт може да бъде споделен от голям брой отдалечени хостове.

NAT: някои трудности

Тъй като всички вътрешни адреси са маскирани като един публичен адрес, за външните хостове е невъзможно да инициират връзка към конкретен вътрешен хост, без да настроят специална конфигурация на защитната стена. Тази конфигурациятрябва да пренасочва връзките към определен порт. Приложенията за IP телефония, видеоконференции и подобни услуги трябва да използват NAT методи за преминаване, за да функционират правилно. Портът за превод на Rapt и адресът за връщане позволяват на хост, чийто IP адрес се променя от време на време, да остане достъпен като сървър, използвайки фиксиран IP адрес домашна мрежа. Това по принцип трябва да позволи на настройката на сървърите да останат свързани. Въпреки че това решение на проблема не е идеално, то може да бъде друг полезен инструмент в арсенала на мрежовия администратор при решаване на проблеми, свързани с конфигурирането на NAT на рутер.

PAT или превод на адрес на порт

Трансляцията на адреси на портове е реализация на Cisco Rapt, която картографира множество частни IP адреси към един публичен IP адрес. По този начин множество адреси могат да бъдат картографирани като адрес, тъй като всеки от тях се проследява с помощта на номер на порт. PAT използва уникални номера на портове на източника на вътрешния глобален IP, за да различи посоката на трансфер на данни. Тези числа са 16-битови цели числа. Общият брой вътрешни адреси, които могат да бъдат преведени на един външен адрес, теоретично може да достигне до 65536. В действителност броят на портовете, към които може да бъде присвоен един IP адрес, е приблизително 4000. PAT обикновено се опитва да запази оригиналния " оригинален порт.. В случай, че вече се използва, Port Address Translation присвоява първия наличен номер на порт, започвайки от началото на съответната група. Когато няма повече налични портове и има повече от един външен IP адрес, PAT преминава към следващия, за да разпредели порт източник. Този процесще продължи, докато няма повече налични данни. Услугата Cisco показва адреса и порта. Той комбинира адреса на порта за превод и данни за тунелиране на IPv4 пакети през вътрешна IPv6 мрежа. По същество това алтернативен вариант Carrier Grade NAT и DS-Lite, който поддържа IP превод на портове и адреси. Това избягва проблемите, свързани с установяването и поддържането на връзка. Той също така предоставя механизъм за преход за внедряване на IPv6.

Методи за превод

Има няколко основни начина за внедряване на транслация на мрежов адрес и порт. Определени протоколи на приложения изискват да определите външния NAT адрес, използван в другия край на връзката. Също така често е необходимо да се изследва и класифицира вида на предаването. Обикновено това се прави, защото е желателно да се създаде директен канал за комуникация между два клиента, разположени зад отделни NAT. За тази цел е разработен специален протокол, RFC 3489, който осигурява прост UPD байпас през NATS. Днес вече се счита за остаряло, тъй като в наши дни такива методи се считат за недостатъчни за правилна оценка на работата на устройствата. През 2008 г. е разработен RFC 5389, който стандартизира нови методи. Тази спецификация днес се нарича Преминаване на сесията. Тя представлява специална полезност, предназначен за NAT работа.

Създаване на двупосочна комуникация

Всеки UDP и TCP пакет съдържа IP адреса на източника и неговия номер на порт, както и координатите на порта на дестинацията. Номерът на порта е много важен за получаване на обществени услуги, като например функционалност на пощенския сървър. Така например порт 25 се свързва към SMTP пощенски сървър, а порт 80 се свързва към софтуеруеб сървър. IP адресът на публичния сървър също е от съществено значение. Тези параметри трябва да бъдат надеждно известни на онези възли, които възнамеряват да установят връзка. Частните IP адреси са приложими само в локални мрежи.

IP адресите са оскъден ресурс. Доставчикът може да има /16 адрес ( бивш клас B), което прави възможно свързването на 65 534 хоста. Ако има повече клиенти, започват да възникват проблеми. Хостове, които се свързват с интернет от време на време, както обикновено телефонна линия, можете да разпределяте IP адреси динамично, само за продължителността на връзката. Тогава един /16 адрес ще обслужва до 65 534 активни потребители и това може да е достатъчно за ISP с няколкостотин хиляди клиенти. Когато комуникационната сесия приключи, IP адресът се присвоява на нова връзка. Тази стратегия може да реши проблемите на доставчиците, които нямат много голям брой частни клиенти, свързващи се чрез телефонна линия, но няма да помогне на доставчиците, чиято по-голямата част от клиентите са организации.

Факт е, че корпоративните клиенти предпочитат да имат постоянна връзка с интернет, поне през работния ден. И малките офиси, например туристически агенции, състоящи се от трима служители, и големите корпорации имат локални мрежи, състоящи се от определен брой компютри. Някои компютри са работни станции на служители, други служат като уеб сървъри. По принцип има LAN рутер, свързан към интернет доставчика чрез специална линия, за да осигури постоянна връзка. Това решение означава, че всеки компютър е свързан с един IP адрес през целия ден. Всъщност дори всички компютри, взети заедно, които са достъпни за корпоративни клиенти, не може да блокира достъпните IP адреси на доставчика. За адрес с дължина /16 това ограничение е, както вече отбелязахме, 65 534. Въпреки това, ако доставчикът на интернет услуги има брой корпоративни клиенти в десетки хиляди, тогава този лимит ще бъде достигнат много бързо.

Проблемът се утежнява още повече от факта, че всичко по-голям бройчастните потребители желаят да имат ADSL или кабелна връзка към интернет. Характеристиките на тези методи са следните:

а) потребителите получават постоянен IP адрес;

б) няма повременно плащане (начислява се само месечна абонаментна такса).

Потребителите на този вид услуга имат постоянна връзка с интернет. Развитие в в тази посокаводи до увеличаване на недостига на IP адреси. Задайте IP адреси в движение, както се прави с телефонна връзка, е безполезен, тъй като броят на активните адреси във всеки един момент може да бъде многократно по-голям от този, който доставчикът има.

Често ситуацията се усложнява допълнително от факта, че много ADSL и кабелен интернетимате два или повече компютъра у дома (например по един за всеки член на семейството) и искате всички машини да имат достъп до интернет. Какво да се прави - все пак има само един IP адрес издаден от доставчика! Решението е следното: трябва да инсталирате рутер и да свържете всички компютри в локална мрежа. От гледна точка на доставчика в този случай семейството ще действа като аналог на малка компания с няколко компютъра. Добре дошли в Pupkin Corporation!

Проблемът с недостига на IP адреси в никакъв случай не е теоретичен и изобщо не се отнася за далечното бъдеще. То вече е актуално и трябва да се борим с него тук и сега. Дългосрочният проект включва пълно прехвърляне на целия интернет към протокола IPv6 със 128-битово адресиране. Този преход наистина се случва постепенно, но процесът е толкова бавен, че се проточва с години. Виждайки това, мнозина осъзнаха, че е спешно да се намери някакво решение, поне за близко бъдеще. Такова решение беше намерено под формата на метод за транслация на мрежови адреси, NAT (превод на мрежови адреси), описан в RFC 3022. Същността на това ще бъде обсъдена по-късно, а по-подробна информация може да бъде намерена в (Butcher, 2001).

Основната идея на превода на мрежови адреси е да се присвои на всеки бизнес един IP адрес (или поне малък брой адреси) за интернет трафик. В рамките на компанията всеки компютър получава уникален IP адрес, който се използва за маршрутизиране на вътрешния трафик. Въпреки това, веднага щом пакетът напусне сградата на компанията и бъде изпратен до доставчика, се извършва превод на адреса. За да се приложи тази схема, бяха създадени три диапазона от така наречените частни IP адреси. Те могат да се използват в рамките на компанията по свое усмотрение. Единственото ограничение е, че пакети с такива адреси при никакви обстоятелства не трябва да се появяват в самия Интернет. Тези три запазени диапазона са:

10.0.0.0 - 10.255.255.255/8 (16 777 216 хоста)

172.16.0.0 - 172.31.255.255/12 (1 048 576 хоста)

192.168.0.0 -192.168.255.255/16 (65 536 хоста)

Работата на метода за преобразуване на мрежови адреси е показана на следната диаграма. На територията на компанията всяка машина има свой уникален адрес от формата 10.x.y.z. Въпреки това, когато пакет напусне помещенията на компанията, той преминава през NAT блок, който преобразува IP адреса на вътрешния източник (10.0.0.1 на фигурата) в реалния IP адрес, който компанията е получила от ISP (198.60.42.12 за нашия пример) . NAT блокът обикновено е едно устройство със защитна стена, което осигурява сигурност чрез стриктно наблюдение на входящия и изходящия трафик на компанията. NAT блокът може да бъде интегриран с рутера на компанията.

Досега сме избягвали една малка подробност: когато пристигне отговор на заявка (например от уеб сървър), той се адресира до 198.60.42.12. Как NAT блокът знае с кой вътрешен адрес да замени публичния адрес на компанията? Това е основният проблем при използването на превод на мрежови адреси. Ако имаше свободно поле в заглавката на IP пакета, то можеше да се използва за запомняне на адреса на изпратилия заявката. Но има само един бит, останал неизползван в заглавката. По принцип би било възможно да се създаде такова поле за истинския адрес на източника, но това ще изисква промяна на IP кода на всички машини в интернет. Това не е най-добрият изход, особено ако искаме да намерим бързо решение на проблема с изчерпването на IP адресите.

Това всъщност се случи. Дизайнерите на NAT забелязаха, че по-голямата част от полезния товар на IP пакетите е TCP или UDP. И двата формата имат заглавки, съдържащи номера на порт на източника и местоназначението. Номерата на портовете са 16-битови цели числа, които показват къде започва и завършва TCP връзката. Местоположението, където се съхраняват номерата на портовете, се използва като поле, необходимо за работа на NAT.

Когато даден процес иска да установи TCP връзка с отдалечен процес, той се свързва със свободен TCP порт на собствения си компютър. Този порт става порт източник, който казва на TCP кода къде да препраща пакетите за тази връзка. Процесът също така определя порта на местоназначението. Портът на местоназначението казва на кого да се даде пакетът от отдалечената страна. Портове от 0 до 1023 са запазени завинаги добре познати услуги. Например порт 80 се използва от уеб сървъри, така че отдалечените клиенти могат да се насочват към тях. Всяко изходящо TCP съобщение съдържа информация за порта източник и порта местоназначение. Заедно те служат за идентифициране на процесите от двата края, използвайки връзката.

Нека направим аналогия, която донякъде ще изясни принципа на използване на портовете. Да кажем, че една компания има една обща телефонен номер. Когато хората го наберат, чуват глас на оператор, който пита с кого точно искат да се свържат и той ги свързва със съответния телефонен номер. Основният телефонен номер е аналогичен на IP адреса на компанията, а разширенията в двата края са аналогични на портове. Адресирането на портове използва 16-битово поле, което идентифицира процеса, получаващ входящия пакет.

С помощта на полето Source Port можем да решим проблема с показването на адреси. Когато изходящ пакет пристигне в NAT блок, адресът на източника под формата 192.168.c.d се заменя с истинския IP адрес. Освен това полето TCP Source Port се заменя с индекса на таблицата за преобразуване на NAT блокове, която съдържа 65 536 записа. Всеки запис съдържа IP адреса на източника и номера на порта на източника. Накрая се преизчислява и се поставя в опаковката контролни суми TCP и IP заглавки. Необходимо е да замените полето Source Port, защото машини с локални адреси 10.0.0.1 и 10.0.0.2 може случайно да поискат да използват същия порт (5000, например). Така че, за да се идентифицира еднозначно процеса на подателя, само полето Source Port не е достатъчно.

Когато пакет пристигне в NAT блока на ISP, стойността на полето Source Port на TCP хедъра се извлича. Използва се като индекс в таблицата за картографиране на NAT блокове. Въз основа на записа, намерен в тази таблица, се определят вътрешният IP адрес и истинският порт на източника на TCP. Тези две стойности се вмъкват в пакета. След това TCP и IP контролните суми се преизчисляват. Пакетът се изпраща до главния рутер на компанията за нормална доставка с адрес като 192.168.y.z.

В случай на ADSL или кабелен интернет, преводът на мрежови адреси може да се използва за облекчаване на борбата с недостига на адреси. Адресите, присвоени на потребителите, са 10.x.y.z. Веднага след като пакетът напусне собствеността на доставчика и отиде в интернет, той се озовава в NAT блок, който преобразува вътрешния адрес в реалния IP адрес на доставчика. На връщане се прави обратна операция. В този смисъл за останалата част от Интернет доставчикът със своите клиенти, използващи ADSL и кабелни връзки, изглежда като една голяма компания.

Въпреки че описаната по-горе схема частично решава проблема с недостига на IP адреси, много привърженици на IP разглеждат NAT като вид инфекция, разпространяваща се по земята. И могат да бъдат разбрани.

Първо, самият принцип на транслация на мрежови адреси не се вписва в IP архитектурата, което предполага, че всеки IP адрес уникално идентифицира само една машина в света. Цялата софтуерна структура на Интернет е изградена върху използването на този факт. Когато се превеждат мрежови адреси, се оказва, че хиляди машини могат (и действително имат) да имат адрес 10.0.0.1.

Второ, NAT трансформира интернет от мрежа без връзка в нещо подобно на мрежа, ориентирана към връзка. Проблемът е, че NAT блокът трябва да поддържа таблица за съпоставяне за всички връзки, преминаващи през него. Запомнянето на състоянието на връзката е работа на мрежите, ориентирани към връзката, но не и на мрежите без връзка. Ако NAT блок се счупи и неговите таблици за преобразуване се загубят, тогава всички TCP връзки, преминаващи през него, могат да бъдат забравени. При липса на преобразуване на мрежови адреси повредата на рутер няма ефект върху TCP активността. Процесът на изпращане просто изчаква няколко секунди и изпраща отново всички непотвърдени пакети. С NAT интернет става толкова податлив на отказ, колкото мрежа с комутация на вериги.

Трето, NAT нарушава едно от основните правила на многослойния дизайн на протокола: слой k не трябва да прави никакви предположения за това какво слой k+1 поставя в полето за полезен товар. Този принцип определя независимостта на нивата едно от друго. Ако TCP някога бъде заменен от TCP-2, който има различен формат на заглавката (например 32-битово адресиране на порт), тогава преводът на мрежовия адрес ще бъде неуспешен. Цялата идея на многослойните протоколи е, че промените в един от слоевете не могат по никакъв начин да повлияят на другите слоеве. NAT унищожава тази независимост.

Четвърто, от процесите в интернет не се изисква да използват само TCP или UDP. Ако потребителят на машина A реши да излезе с нов протокол на транспортния слой, за да комуникира с потребителя на машина B (това може да се направи, например, за някои мултимедийно приложение), тогава той ще трябва по някакъв начин да се справи с факта, че NAT блокът няма да може да обработи правилно полето TCP Source Port.

Пето, някои приложения вмъкват IP адреси в текста на съобщенията. Получателят ги извлича оттам и след това ги обработва. Тъй като NAT не знае нищо за този метод на адресиране, той няма да може да обработва правилно пакетите и всички опити от отдалечената страна да използва тези адреси ще бъдат неуспешни. Протокол за прехвърляне на файлове, FTP (файл Протокол за предаване), използва точно този метод и може да откаже да работи при превод на мрежови адреси, освен ако не се вземат специални мерки. Протоколът за интернет телефония H.323 също има подобно свойство. Възможно е да подобрите NAT метода и да го накарате да работи правилно с H.323, но е невъзможно да го подобрите всеки път, когато се появи ново приложение.

Шесто, тъй като полето Source Port е 16-битово, приблизително 65 536 локални машинни адреса могат да бъдат нанесени на един IP адрес. Всъщност този брой е малко по-малък: първите 4096 порта са запазени за сервизни нужди. Като цяло, ако има няколко IP адреса, всеки IP адрес може да поддържа до 61 440 локални адреса.

Тези и други проблеми, свързани с превода на мрежови адреси, се обсъждат в RFC 2993. Обикновено противниците на NAT казват, че коригирането на проблема с недостига на IP адрес чрез създаване на временна корекция само пречи на реалния еволюционен процес на преминаване към IPv6. Но ако се върнем към реалността, ще видим, че в повечето случаи NAT е просто незаменимо нещо, особено за малки офиси с брой компютри от няколко до няколко десетки. NAT може да се внедри самостоятелно в OS Linux с помощта

Принципът на работа на рутер (рутер)

Четейки тази статия, мисля, че всеки разбира какво е рутер и защо е необходим, но някой мислил ли е как работи? В тази статия ще дам всичко от себе си достъпен езикразкажете основните принципи на работа на рутера. Тази статия ще бъде полезна и системни администратории обикновени потребители.

Основната функция, която работи във всеки рутер, е NAT

NAT- Преводът на мрежови адреси се използва за замяна на IP адреси. Локалните мрежи използват предимно адреси като 192.168.1.XXX или подобни и това създава проблем с маршрутизирането в глобална мрежаИнтернет, тъй като IP адресите в мрежата не трябва да се дублират. Решението на този проблем е NAT - компютрите в локалната мрежа се свързват към локалния интерфейс на рутера, получават IP адреси и шлюз от него (рутерът служи като шлюз) и WAN интерфейсРутерът се свързва с интернет.

Сега нека да разгледаме принципа на превода на NAT:

  • Прави се заявка от всеки компютър в локалната мрежа, например, опитвате се да влезете в който и да е уебсайт - компютърът изпраща това исканедо адреса на шлюза, тоест нашия рутер;
  • Рутерът, след като получи тази заявка, записва вашия компютър като инициатор на връзката, след което се създава копие на вашия пакет и се изпраща до адреса на местоназначението, но от името на рутера и с неговия IP адрес и вашия пакет просто се унищожава;
  • Сървърът, към който е изпратена заявката, я обработва и изпраща отговор, естествено на адреса на рутера. И рутерът вече чакаше това, тъй като създаде запис, че трябва да дойде отговор на заявката на вашия компютър и го изпрати на вашия компютър. Както можете да видите, според тази схема само компютър от локалната мрежа може да бъде инициатор на връзката, а отговорът от сървъра ще достигне до компютъра само ако рутерът го изчака (отговор на заявка). С други думи, всички опити за свързване отвън ще спрат при рутера и ще бъдат успешни само ако рутерът предостави ресурс на заявения порт или има конфигурирани правила за пренасочване на портове, за които ще говорим сега.

Пренасочване на портове

Пренасочване на портове- това по същество е същото като NAT, но в другата посока и следователно само статичен NAT, тоест определени заявки само за определени компютри, защото в глобалната мрежа не могат да знаят IP адресите зад рутера. Например, вие сте създали FTP или HTTP сървърна вашия компютър и искате да предоставите достъп до тези ресурси, за да направите това, трябва да регистрирате това правило в рутера, което ще покаже, че всички входящи пакети към желания порт (21 или 80 в нашия случай) ще бъдат изпратени до IP адрес на нашия компютър на конкретен порт (портът може да бъде променен).

NAT - DMZ

NAT - DMZ- това е абсолютно същото като Port Forwarding, но с тази разлика, че не е нужно да регистрирате правило за всеки порт, просто трябва да конфигурирате NAT - DMZ, който ще пренасочва към правилния компютървсички входящи заявки към WAN на рутера. Разбира се, вече не е възможно да смените портовете.

Маршрутизиране

За да опростим идеята какво представлява, можем да кажем, че е същото като NAT, но само в двете посоки. При тази схема рутера трябва да има повече от 2 LAN интерфейса (не портове, а интерфейси), с различни адресни пространства, например единият IP интерфейс е с 192.168.0.1, а другият с 192.168.1.1. Следователно компютрите в едната мрежа ще получат IP тип 192.168.0.XXX, а в другата мрежа 192.168.0.XXX, а техните шлюзове ще бъдат съответно 192.168.0.1 и 192.168.1.1. Ето как получавате двупосочно маршрутизиране.

Не забравяйте да си тръгнете