Преобразование сетевых адресов (NAT): введение

Преобразование сетевых адресов (NAT) — это мощный метод, который отдельные лица и организации могут использовать для установки безопасного, экономичного и простого подключения к Интернету.

NAT обеспечивает не только безопасность, но и гибкость, масштабируемость и скорость связи с Интернетом.

Использование NAT также гарантирует, что вы вносите свой вклад в сохранение общедоступных IP-адресов.

Но что такое NAT и зачем вам его понимать или использовать?

В этой статье я отвечу на это.

Итак, начнем с определения NAT.

Что такое трансляция сетевых адресов (NAT)?

Преобразование сетевых адресов (NAT) — это преобразование одного диапазона IP-адресов в другой путем изменения данных сетевого адреса во время их передачи.

Другими словами, NAT позволяет использовать уникальный (интернет-протокол) IP-адрес для представления одного или группы компьютеров. Это означает, что несколько устройств публично используют один IP-адрес в сети, даже если у них есть частные IP-адреса в той же сети.

Первоначально этот метод использовался для устранения необходимости назначения нового IP-адреса каждому хосту отдельно в случае смены вышестоящего ISP (интернет-провайдера) или перемещения сети. Тем не менее, IP-адрес сети остается прежним.

Интересно, что шлюз NAT может предоставить один маршрутизируемый IP-адрес, который можно легко использовать для всей частной сети. Поскольку NAT изменяет данные IP-адреса при передаче, существуют разные реализации NAT с различным поведением в разных случаях адресации с другими эффектами на сетевой трафик.

Что делает NAT?

В NAT сетевое устройство, такое как брандмауэр NAT или маршрутизатор, назначает общедоступный IP-адрес одному компьютеру или группе компьютеров в частной сети. Таким образом, NAT позволяет одному устройству быть посредником между общедоступной, частной и локальной сетями.

NAT может сохранять IP-адреса, позволяя частным IP-адресам подключаться к сети с использованием незарегистрированных адресов. Перед пересылкой пакетов данных между подключенными сетями NAT преобразует локальные, частные сетевые адреса в уникальные, глобальные и юридические адреса.

С конфигурациями NAT для внешнего мира будет виден только один IP-адрес, хотя он будет представлять всю сеть. В результате он может полностью скрыть внутреннюю сеть и обеспечить большую безопасность и конфиденциальность. Реализации NAT лучше всего подходят для сред с удаленным доступом.

Как работает NAT?

Преобразование сетевых адресов позволяет устройству, такому как NAT-маршрутизатор или брандмауэр, выступать в качестве посредника между внутренней сетью (локальной сетью) и внешними сетями (Интернетом). Это позволяет всей группе устройств отражать один и тот же IP-адрес при выполнении каких-либо действий вне сети.

NAT действует как администратор в организации, который решает, каких посетителей или вызовов отправлять, ждать или не допускать, основываясь на конкретных инструкциях. NAT работает аналогично. Все запросы приходят на общедоступный порт и IP-адрес. Здесь инструкции NAT решают, куда следует направить запрос, скрывая при этом частный IP-адрес получателя.

NAT выбирает шлюзы между двумя разными локальными сетями — внешней сетью и внутренней сетью. Все внутренние системы будут иметь IP-адреса, которые нельзя будет перенаправить во внешнюю сеть. Кроме того, некоторые из допустимых извне IP-адресов будут выделены шлюзу, что позволяет исходящему трафику выглядеть как поступающий с допустимого внешнего IP-адреса.

Далее он использует входящий трафик и передает его в нужную внутреннюю систему. Таким образом устанавливается безопасность. Поскольку входящие и исходящие запросы должны пересекаться в процессе преобразования, он предлагает отличный способ проверки входящего трафика и сопоставления его с исходящими потоками.

Пример процесса NAT

Вот пример того, как NAT работает в реальном мире.

Пользователь подключает свои устройства к домашней сети Wi-Fi. Домашний маршрутизатор назначит устройству частный IP-адрес, который должен использоваться только в этой сети.

Таким образом, когда пользователь пытается загрузить данную веб-страницу, адрес будет запрашивать целевую веб-страницу через свой маршрутизатор. Теперь маршрутизатор NAT изменит исходный адрес запроса на общедоступный IP-адрес своей сети с частного IP-адреса своего устройства. Таблица NAT будет хранить это преобразование, где шлюз будет искать, чтобы определить, соответствует ли пакет данных условию преобразования.

Кроме того, сервер, к которому пытается получить доступ пользователь, вернет запрошенный пакет данных на общедоступный сетевой адрес. Затем маршрутизатор изменит адрес назначения на частный IP-адрес устройства при маршрутизации пакетов данных на устройство пользователя.

Типы NAT

NAT бывает разных типов, которые можно использовать для разных целей.

# 1 . СНАТ

Статический NAT (SNAT) — это тип NAT, который преобразует частный IP-адрес в общедоступный IP-адрес. Он постоянно использует один и тот же общедоступный IP-адрес всякий раз, когда выполняет преобразование.

SNAT может отображать незарегистрированный IP-адрес с помощью взаимно однозначного NAT для сопоставления с зарегистрированным IP-адресом. Это означает, что все устройства в этой сети будут иметь один и тот же публичный адрес. При этом в сетевом адресе изменяются только две вещи — заголовок и IP-адрес.

Это полезно для устройств, к которым пользователям необходимо получить доступ из внешней сети. Он также используется при соединении двух разных IP-сетей с несовместимыми адресами. Кроме того, он используется в веб-хостинге. Как правило, частные лица и небольшие организации используют SNAT с меньшим количеством устройств, чтобы минимизировать затраты.

# 2 . ДНКТ

Динамический NAT (DNAT) — это тип NAT, который сопоставляет частный IP-адрес с пулом общедоступных IP-адресов. В отличие от SNAT, он использует не один и тот же IP-адрес каждый раз, когда выполняет трансляцию, а использует соединение «один к одному», как SNT.

При этом брандмауэр или маршрутизатор DNAT имеет пул общедоступных зарегистрированных IP-адресов. Таким образом, когда DNAT переводит сетевой адрес из частного в общедоступный, он позволяет маршрутизатору выбрать любой доступный общедоступный IP-адрес из этого пула. Затем он начинает сопоставлять незарегистрированный IP-адрес с зарегистрированным.

Следовательно, DNAT позволяет устройству иметь разные IP-адреса для каждой трансляции. Это означает, что вы не можете знать, какой глобальный IP-адрес был сопоставлен с частным адресом. Это эффективное решение, так как вы можете подключить к сети больше устройств.

Однако это может быть дорогостоящим, поскольку вам потребуются инвестиции в общедоступный пул IP-адресов. Кроме того, количество пакетов данных, которые можно передать, ограничено. Вы можете отправлять и получать только пакеты данных, равные общему количеству общедоступных IP-адресов, доступных в вашем пуле.

Подходит для крупных организаций с несколькими внутренними сетями. Также здорово, если у вас есть фиксированное количество пользователей, которым нужен доступ в Интернет.

# 3 . ПАТ

Преобразование адресов портов (PAT), также называемое перегрузкой NAT, — это когда каждое внутреннее устройство использует общий общедоступный IP-адрес. Однако каждому частному IP-адресу будет назначен отдельный порт.

В PAT разные порты используются для сопоставления разных локальных, незарегистрированных и частных IP-адресов только с одним зарегистрированным IP-адресом. Он также различает, какой сетевой трафик соответствует какому IP-адресу.

PAT — это своего рода NAT, в котором пакеты данных будут иметь измененные адреса источника при перемещении из частной сети в общедоступную. Кроме того, они будут иметь измененный адрес назначения, когда они вернутся из общедоступной сети в частную.

Кроме того, пакеты данных будут иметь измененные номера портов между собой, чтобы обеспечить четкость перевода. Эта комбинация измененного IP-адреса и номера порта сопоставляется с использованием зарегистрированного частного IP-адреса.

Многие считают PAT более экономичным, чем NAT. Причина в том, что многие пользователи могут подключаться к Интернету, используя всего один общедоступный IP-адрес. Таким образом, независимо от того, являетесь ли вы крупной, малой или средней организацией. Вы можете использовать его.

Помимо SNAT, DNAT и PAT, вы также можете увидеть RNAT и перекрывающийся NAT.

• RNAT позволяет подключаться к вашей сети через общедоступный Интернет или Интернет.
• Перекрытие NAT происходит, когда сети двух организаций, использующие IP-адреса RFC 1918, сливаются. Это также может произойти, когда зарегистрированные IP-адреса выделяются нескольким устройствам или используются в нескольких внутренних сетях. Здесь перекрывающийся NAT соединяет сети без переадресации каждого устройства.

Почему NAT важен?

Устройству или сетевой системе необходим IP-адрес, уникальный набор чисел, разделенных точками, для установления связи с сетью. Этот номер используется для идентификации и определения местоположения сетевого устройства, а также для предоставления пользователям возможности общаться в Интернете.

IP-адреса бывают двух типов — Ipv4 и IPv6. В первые дни существования Интернета было создано всего около 4,3 миллиарда адресов IPv4. Однако не каждый мог быть выделен устройству для установления связи. Некоторые из них были оставлены для тестирования, военных действий и трансляции, а оставшиеся 3 миллиарда IP-адресов были доступны для связи.

В 2019 году RIPE NCC выделила последние адреса IPv4, оставшиеся из доступного пула, когда IPv4 закончился. Для противодействия этому была введена адресация IPv6. IPv6 воссоздает IP-адресацию и предоставляет больше возможностей для выделения g-адресов. Однако потребовалось много лет, чтобы изменить или внедрить сетевую систему.

Введите НАТ. Тем временем Cisco представила NAT, который сейчас широко используется.

NAT стал ценным и популярным способом сохранения глобального адресного пространства, особенно когда адреса IPv4 исчерпаны. NAT также используется для сокрытия диапазонов IP-адресов частных сетей в целях экономии и безопасности.

Преимущества NAT

Сохранение IP-адреса

NAT помогает сохранить юридически зарегистрированные IP-адреса, а также предотвращает их истощение. Глядя на растущее число интернет-пользователей во всем мире, это отличная инициатива, направленная на то, чтобы сделать Интернет доступным пространством для всех.

Безопасность

С помощью NAT вы можете получить доступ в Интернет с повышенной безопасностью и конфиденциальностью, поскольку он может скрыть IP-адрес вашего устройства от общедоступной сети, даже во время передачи пакетов данных. Ограничение скорости NAT также позволяет ограничить максимальное количество операций NAT, одновременно выполняемых на вашем маршрутизаторе.

Таким образом, вы получаете лучший контроль над использованием адресов NAT и можете свести к минимуму воздействие вирусов, червей, атак типа «отказ в обслуживании» (DoS) и т. д. Внедрение динамического NAT (DNAT) автоматически создаст брандмауэр между Интернетом и внутренней сетью. Кроме того, некоторые маршрутизаторы NAT могут предлагать функции безопасности, такие как фильтрация трафика и ведение журнала.

Несколько подключений

Установление нескольких подключений к Интернету помогает поддерживать надежность сети и снижает вероятность отключения при сбоях подключения. Это также способствует балансировке нагрузки за счет уменьшения количества устройств, использующих одно соединение.

Кроме того, многосетевые сети обычно подключаются к нескольким интернет-провайдерам, которые назначают организации один или несколько IP-адресов. Кроме того, маршрутизаторы могут использовать NAT для маршрутизации сетей с различными протоколами NAT.

Кроме того, многосетевая сеть обменивается данными, позволяя маршрутизатору использовать часть протокола TCP или IP, протокола пограничного шлюза (BGP). Точно так же сайты поддоменов обмениваются данными с помощью внутреннего BGP (IBGP), в то время как маршрутизаторы используют для взаимодействия внешний BGP (EBGP). В случае сбоя соединения функция множественной адресации перенаправит данные через другой маршрутизатор.

Скорость

NAT более прозрачен как для исходных, так и для конечных компьютеров, чем прокси-серверы. Это позволяет осуществлять прямые сделки на скорости. Прокси-серверы также обычно работают на четвертом уровне или на транспортном уровне модели OSI или даже выше. Это делает их медленнее, чем NAT, который находится на третьем или сетевом уровне.

Масштабируемость

Ваши потребности потребуют больше IP-адресов для ваших пользователей и устройств, когда ваши потребности вырастут. Таким образом, вы можете использовать NAT вместо того, чтобы запрашивать у IANA дополнительные IP-адреса. А когда вы используете NAT с протоколом динамической конфигурации хоста (DHCP), масштабирование станет проще.

Причина в том, что NAT и DHCP хорошо работают вместе, чтобы выделить незарегистрированные IP-адреса для поддомена из доступного списка в соответствии с вашими требованиями. Таким образом, вы можете расширить доступный диапазон IP-адресов, а DHCP может быстро настроить и освободить место для большего количества сетевых компьютеров.

Гибкость и простота

NAT предлагает гибкость в развертывании и установлении соединений. Вы можете развернуть его в беспроводной общедоступной локальной сети. Иногда, используя статический NAT (SNAT) и входящее сопоставление, вы можете разрешить внешним устройствам устанавливать соединения с устройствами в субдомене.

Кроме того, NAT снижает сложность и обеспечивает простое подключение к Интернету, поскольку не требует перенумерации IP-адресов после изменения или объединения сети. NAT также позволяет вам создать виртуальный хост во внутренней сети, который координирует балансировку нагрузки TCP.

Ограничения NAT

Некоторые ограничения NAT:

• Потребляет ресурсы : NAT может потреблять значительное пространство процессора и ресурсы памяти. Это связано с тем, что он переводит все адреса IPv4 для ваших входящих и исходящих дейтаграмм IPv4, а также сохраняет все детали перевода в памяти.
• Функциональность : Включение NAT может привести к снижению функциональности некоторых технологий и приложений.
• Сложности с туннелированием : NAT может усложнить протоколы туннелирования. Для этого вы можете использовать IPsec для безопасной трансляции сетевых адресов.
• Проблемы уровня : когда маршрутизатор работает как устройство NAT, он может вмешиваться в уровень 4 или транспортный уровень в качестве номеров портов, поскольку он предназначен для уровня 3 или сетевого уровня.
• Задержки : во время перевода могут возникать задержки пути.

Некоторые общие термины в NAT

• Исходный адрес : это IP-адрес инициирующего хоста.
• Исходный порт : это номер порта TCP/UDP, который назначает хост-инициатор.
• Адрес назначения : это IP-адрес получателя.
• Порт назначения : это порт TCP или UDP, который хост-инициатор запрашивает у получателя для открытия.

• Внутренний локальный адрес : это частный IP-адрес, выделенный хосту в локальной (внутренней) сети. Поставщик услуг не назначает его. Это внутренний хост для внутренней сети.
• Внутренний глобальный адрес: это IP-адрес, представляющий один или несколько локальных IP-адресов. Это внутренний хост для внешней/внешней сети.
• Внешний локальный адрес: реальный IP-адрес целевого хоста находится в локальной сети после завершения преобразования.
• Внешний глобальный адрес: IP-адрес внешнего узла назначения до преобразования. Это внешний хост для внешней/внешней сети.
• Субдомен : это незарегистрированный частный IP-адрес, состоящий из:

1. Внешние локальные адреса, которые развертывают маршрутизаторы NAT, и
2. Внутри локальных адресов локальная сеть использует

• Таблица NAT : NAT переназначает номера портов и IP-адреса и отслеживает их с помощью таблицы преобразования NAT.

Предположим, маршрутизатор получил пакет данных от локального устройства, которому назначен общедоступный IP-адрес. Теперь маршрутизатор изменит IP-адрес исходного устройства, что позволит ему использовать его IP-адрес. Затем он изменяет номер порта источника, чтобы убедиться, что у него есть информация о том, куда должны быть доставлены полученные пакеты. Это переназначение IP-адресов регистрируется в таблице трансляции NAT.

Вывод

С ростом числа пользователей Интернета и распространением проблем безопасности по всему миру возникает необходимость в более безопасном и эффективном методе подключения. NAT стремится сделать это. Это поможет сохранить общедоступные IP-адреса, предоставив вам преимущества безопасности, скорости, гибкости и масштабируемости при подключении к Интернету.