Протокол NAT

NAT (Network Address Translation) - этот протокол заключается в преобразовании сетевых адресов. Это позволяет множеству устройств, чаще всего подключаемых через локальную сеть, использовать один общедоступный IP-адрес. Протокол был создан из-за растущей проблемы с перспективой захвата всех адресов IPv4 в Интернете. Чтобы исправить это, локальные компьютерные сети, использующие частные адреса, могут быть подключены к Интернету через один маршрутизатор, у которого меньше Интернет-адресов, чем у компьютеров в этой сети. Этот маршрутизатор, когда компьютеры в локальной сети обмениваются данными с миром, динамически преобразует частные адреса во внешние адреса, позволяя использовать Интернет большему количеству компьютеров, чем количество внешних адресов, которые у него есть.

Типы NAT

Существует два основных типа NAT:

  • SNAT (Source Network Address Translation) - заключается в изменении исходного адреса IP- пакета.
  • DNAT (Destination Network Address Translation) - заключается в изменении адреса назначения IP- пакета.

Преимущество протокола NAT заключается в повышенной анонимности из-за невозможности идентифицировать конкретный хост только по IP-адресу и возможности доступа в Интернет для большего количества компьютеров, чем количество доступных общедоступных IPv4-адресов.

У NAT также есть несколько недостатков. Компьютер не может запустить сервер, доступный в Интернете, без внесения изменений, требующих вмешательства администратора, а также затрудняет использование P2P-сети и прямую отправку файлов, 

Введение в преобразование адресов IPv4

NAT ( преобразование сетевых адресов ) — обеспечивает статическую или динамическую трансляцию частных IPv4-адресов в публичные адреса. В IPv6 преобразование адресов широко не используется.

  • Статический NAT — позволяет изменить один IP-адрес на другой, статически указанный IP-адрес.
  • Динамическая трансляция NAT — позволяет обмениваться пулом IP-адресов с другим пулом по принципу «один к одному».
  • PAT ( Преобразование адресов портов ) — позволяет преобразовывать несколько IP-адресов в один статический адрес переполнения. Преобразование нескольких IP-адресов в один IP-адрес, выбранный из определенного пула адресов, с переполнением.
  • Для трансляции NAT и PAT маршрутизаторы Cisco различают четыре типа IP-адресов, каждый из которых участвует в процессе трансляции:
    • Внутренний локальный (Inside Local) —адрес устройства, которое инициирует сетевой трафик.
    • Внутренний глобальный (Inside Global) —общедоступный адрес пограничного маршрутизатора.
    • Внешний глобальный (Outside Global) —адрес хоста назначения.

Номенклатура, связанная с протоколом NAT, PAT

  • NVI ( NAT Virtual Interface ) — интерфейс, созданный для нужд экземпляров протокола NAT.
  • Внутренний локальный адрес ( 192.168.100.1 ) — частный IP-адрес, расположенный внутри локальной сети (IP-адрес хоста).
  • Внутренний глобальный адрес ( 156.34.52.123 ) — общедоступный IP-адрес, расположенный на краю локальной сети (это IP-адрес, используемый устройствами во внешней сети (этот адрес виден другим устройствам в глобальной сети как адрес источника хост-отправитель) ).
  • Внешний глобальный адрес ( 195.123.12.34 ) — общедоступный IP-адрес устройства, являющегося другой стороной связи с точки зрения глобальной сети.
  • Address Outside Local ( 195.123.12.34 ) — общедоступный IP-адрес устройства, являющегося другой стороной связи с точки зрения локальной сети.

Предварительные предположения

  • Общедоступные IP-адреса, в отличие от частных, маршрутизируются в Интернете, поэтому пакеты, направленные на них, доступны по всему миру. Чтобы хосты, адресованные из частного пула IP-адресов, могли участвовать в глобальном сетевом трафике, они должны иметь общедоступный адрес или использовать преобразование NAT или PAT.
  • Существует две версии протокола NAT: динамический « Динамический NAT » ( DNAT ) и статический « Статический NAT » ( SNAT ).
    • DNAT — назначает входящий частный адрес общедоступному адресу, выбранному из пула свободных IP-адресов.
    • SNAT — вводит статическое назначение одного частного адреса одному публичному адресу.
  • Протокол PAT, также известный как Overload NAT , позволяет назначать несколько частных адресов одному общедоступному адресу. Благодаря этому все компьютеры из локальной сети могут совместно использовать один публичный адрес, оставляя остальные свободные публичные адреса для серверов или других внешних служб.

Преимущества протокола NAT, PAT

  • повышает безопасность сети, скрывая топологию локальной сети.
  • позволяет создавать избыточные соединения в связи с Интернетом.
  • снижает потребность в общедоступных IP-адресах.
  • позволяет вам изменить общедоступную адресацию, не затрагивая внутреннюю адресацию (например, смена интернет-провайдера).

Недостатки протокола NAT, PAT

  • Низкая производительность — снижается производительность при обработке входящих пакетов.
  • Низкая сквозная функциональность — некоторые приложения, связанные, например, с голосовой связью (VoIP), включают в свои пакеты информацию об адресе отправителя. При попытке отправить обратно такое сообщение получатель может направить свой ответ на IP-адрес назначения, сохраненный отправителем в пакете, вместо правильного IP-адреса, полученного в результате преобразования NAT. Дополнительной проблемой также может быть исходный порт, замененный трансляцией PAT на другой, случайно сгенерированный.
  • Не полная отслеживаемость IP-адресов. Несколько изменений IP-адресов мешают процессу устранения неполадок в сети.
  • Трудности с туннелированием — NAT затрудняет туннелирование сетевого трафика, внося изменения в содержимое заголовка пакета. Что влияет на контрольную сумму, используемую, например, протоколом IPsec.
  • Нарушение работы служб - работа служб, требующих инициализации, может быть нарушена.

Частные адреса — RFC 1918

Частные адреса в IPv4 — это адреса, которые не обязательно должны быть уникальными в Интернете. Это означает, что любой в их сети может использовать их.

Для этой цели IETF создала 3 специальные подсети:

  • 10.0.0.0/8 10.0.0.0 — 10.255.255.255
  • 172.16.0.0/12 172.16.0.0 — 172.31.255.255
  • 192.168.0.0/16 192.168.0.0 — 192.168.255.255

Мы всегда используем частные адреса, где нам не нужно делиться ресурсами с Интернетом. Это не значит, конечно, что вы отключаетесь от интернета. Вы по-прежнему можете общаться с хостами, имеющими общедоступный маршрутизируемый IPv4-адрес.

Читать по теме
Интересные статьи