Трансляція мережевих адрес (NAT): Вступ

Трансляція мережевих адрес (NAT) — це потужний метод, який окремі особи та організації можуть використовувати для встановлення безпечного, економічного та простого підключення до Інтернету.

NAT забезпечує не тільки безпеку, але й гнучкість, масштабованість і швидкість спілкування з Інтернетом.

Використання NAT також гарантує, що ви сприяєте збереженню публічних IP-адрес.

Але що таке NAT, і навіщо вам турбуватися про його розуміння чи використання?

У цій статті я відповім на це.

Отже, давайте почнемо з визначення NAT.

Що таке трансляція мережевих адрес (NAT)?

Трансляція мережевих адрес (NAT) – це відображення діапазону IP-адрес в інший шляхом зміни даних мережевої адреси під час передачі.

Іншими словами, NAT дозволяє унікальній IP-адресі (протоколу Інтернету) представляти один або групу комп’ютерів. Це означає, що кілька пристроїв відкрито спільно використовують одну IP-адресу в мережі, навіть якщо вони мають приватні IP-адреси в одній мережі.

Спочатку цей метод використовувався для усунення необхідності призначати нову IP-адресу кожному хосту окремо у випадку зміни провайдера (провайдера Інтернет-послуг) або зміни місця розташування мережі. Проте IP-адреса мережі залишається незмінною.

Цікаво, що шлюз NAT може надати єдину маршрутизовану IP-адресу, яку можна легко використовувати для всієї приватної мережі. Оскільки NAT змінює дані IP-адреси під час передачі, існують різні реалізації NAT із різною поведінкою в різних випадках адресації з іншими впливами на мережевий трафік.

Що робить NAT?

У NAT мережевий пристрій, наприклад брандмауер NAT або маршрутизатор, призначає загальнодоступну IP-адресу одному комп’ютеру або групі комп’ютерів у приватній мережі. Таким чином NAT дозволяє одному пристрою виступати посередником між публічною, приватною та локальною мережами.

Що робить NAT?

NAT може зберегти IP-адреси, дозволяючи приватним IP-адресам виходити в Інтернет за допомогою незареєстрованих адрес. Перш ніж пересилати пакети даних між підключеними мережами, NAT перетворює адреси локальної приватної мережі в унікальні, глобальні та юридичні адреси.

З конфігураціями NAT лише одна IP-адреса буде видимою для зовнішнього світу, хоча вона представлятиме всю мережу. Як результат, він може приховати всю внутрішню мережу та запропонувати більше безпеки та конфіденційності. Реалізації NAT найкраще підходять для середовищ віддаленого доступу.

Як працює NAT?

Трансляція мережевих адрес дозволяє такому пристрою, як маршрутизатор NAT або брандмауер, діяти як посередник між внутрішньою мережею (локальна мережа) і зовнішніми мережами (Інтернет). Це дозволяє повній групі пристроїв відображати ту саму IP-адресу, коли виконує щось поза мережею.

NAT діє як секретар в організації, який вирішує, яких відвідувачів або дзвінки переслати, зачекати чи не прибути на основі конкретних інструкцій. NAT працює аналогічно. Усі запити надходять на публічний порт та IP-адресу. Тут інструкції NAT вирішують, куди має йти запит, приховуючи приватну IP-адресу призначення.

NAT вибирає шлюзи між двома різними локальними мережами – зовнішньою мережею та внутрішньою мережею. Усі системи всередині матимуть IP-адреси, які не можна перенаправити до зовнішньої мережі. Крім того, деякі зовнішні дійсні IP-адреси будуть призначені шлюзу, що дає змогу виглядати, як вихідний трафік надходить із дійсної зовнішньої IP-адреси.

Далі він використовує вхідний трафік і передає його до потрібної внутрішньої системи. Таким чином забезпечується безпека. Оскільки вхідні та вихідні запити мають пройти процес перекладу, це пропонує чудовий спосіб перевірити вхідний трафік і зіставити його з вихідними потоками.

Приклад процесу NAT

Ось приклад того, як NAT працює в реальному світі.

  Згрупуйте всі повідомлення в папці "Вхідні" за відправником і заблокуйте трекери електронної пошти

Користувач підключає свої пристрої до домашньої мережі Wi-Fi. Домашній маршрутизатор призначить приватну IP-адресу пристрою, який потрібно використовувати лише в цій мережі.

Таким чином, коли користувач намагається завантажити дану веб-сторінку, адреса запитує веб-сторінку призначення через їхній маршрутизатор. Тепер маршрутизатор NAT змінить адресу джерела запиту на публічну IP-адресу своєї мережі з приватної IP-адреси свого пристрою. Таблиця NAT зберігатиме цей переклад, де шлюз шукатиме, чи відповідає пакет даних умові перекладу.

Крім того, сервер, до якого користувач намагається отримати доступ, поверне запитаний пакет даних на публічну адресу його мережі. Далі маршрутизатор змінить адресу призначення на приватну IP-адресу пристрою під час маршрутизації пакетів даних на пристрій користувача.

Типи NAT

NAT буває різних типів, які можна використовувати для різних цілей.

#1. SNAT

Статичний NAT (SNAT) — це тип NAT, який перетворює приватну IP-адресу на загальнодоступну IP-адресу. Він постійно використовує ту саму публічну IP-адресу, коли виконує переклад.

SNAT може відобразити незареєстровану IP-адресу за допомогою NAT один-до-одного для відповідності зареєстрованій IP-адресі. Це означає, що всі пристрої в цій мережі матимуть однакову публічну адресу. При цьому в мережевій адресі змінюються лише дві речі – заголовок та IP-адреса.

Це корисно для пристроїв, до яких користувачам потрібен доступ із зовнішньої мережі. Він також використовується під час з’єднання двох різних IP-мереж із несумісними адресами. Крім того, він використовується у веб-хостингу. Як правило, окремі особи та невеликі організації використовують SNAT з меншою кількістю пристроїв, щоб мінімізувати витрати.

#2. ДНАТ

Динамічний NAT (DNAT) — це тип NAT, який відображає приватну IP-адресу в пул публічних IP-адрес. На відміну від SNAT, він використовує не ту саму IP-адресу, а іншу щоразу, коли виконує переклад, але використовує з’єднання «один-до-одного», як SNT.

У цьому випадку брандмауер або маршрутизатор DNAT має доступний пул загальнодоступних зареєстрованих IP-адрес. Отже, коли DNAT перетворює мережеву адресу з приватної на загальнодоступну, це дозволяє маршрутизатору вибрати будь-яку доступну публічну IP-адресу з цього пулу. Далі він починає зіставляти незареєстровану IP-адресу із зареєстрованою IP-адресою.

Отже, DNAT дозволяє пристрою мати різні IP-адреси для кожного перекладу. Це означає, що ви не можете знати, на яку глобальну IP-адресу було зіставлено приватну адресу. Це ефективне рішення, оскільки ви можете підключити до мережі більше пристроїв.

Однак це може бути дорогим, оскільки вам знадобляться інвестиції в загальнодоступний пул IP-адрес. Крім того, кількість пакетів даних, які можна передати, обмежена. Ви можете надсилати й отримувати лише пакети даних, які дорівнюють загальній кількості публічних IP-адрес, доступних у вашому пулі.

Він підходить для великих організацій з кількома внутрішніми мережами. Це також чудово, якщо у вас є фіксована кількість користувачів, які бажають отримати доступ до Інтернету.

#3. PAT

Трансляція адрес портів (PAT), яка також називається перевантаженням NAT, полягає в тому, що кожен внутрішній пристрій використовує загальну публічну IP-адресу. Однак кожній приватній IP-адресі буде призначено інший порт.

У PAT різні порти використовуються для зіставлення різних локальних, незареєстрованих і приватних IP-адрес лише з однією зареєстрованою IP-адресою. Він також розрізняє, який мережевий трафік відповідає якій IP-адресі.

PAT — це різновид NAT, у якому пакети даних матимуть змінені адреси джерела, коли вони переміщуються з приватної мережі до загальнодоступної. Крім того, вони матимуть змінену адресу призначення, коли вони повернуться з загальнодоступної до приватної мережі.

Крім того, пакети даних матимуть між собою змінені номери портів, щоб забезпечити чіткість перекладу. Ця комбінація зміненої IP-адреси та номера порту відображається за допомогою зареєстрованої приватної IP-адреси.

Багато хто вважає PAT більш рентабельним, ніж NAT. Причина в тому, що багато користувачів можуть підключитися до Інтернету, використовуючи лише одну публічну IP-адресу. Отже, незалежно від того, чи є ви великою, малою чи середньою організацією. Ви можете використовувати його.

  Як змінити дію подвійного дотику на Apple Pencil для iPad Pro

Крім SNAT, DNAT і PAT, ви також можете бачити RNAT і NAT, що перекривається.

  • RNAT дозволяє підключатися до вашої мережі за допомогою публічного Інтернету або Інтернету.
  • Перекриття NAT виникає, коли мережі двох організацій, які використовують IP-адреси RFC 1918, зливаються. Це також може статися, коли зареєстровані IP-адреси призначені для кількох пристроїв або використовуються в кількох внутрішніх мережах. Тут перекриття NAT з’єднує мережі без переадресації кожного пристрою.

Чому NAT важливий?

Для встановлення зв’язку з Інтернетом пристрою чи мережевій системі потрібна IP-адреса, унікальний набір чисел, розділених крапками. Цей номер використовується для ідентифікації та визначення місцезнаходження мережевого пристрою та дозволяє користувачам спілкуватися з Інтернетом.

IP-адреси бувають двох типів – Ipv4 і IPv6. На початку існування Інтернету було створено лише близько 4,3 мільярда адрес IPv4. Однак не кожен міг бути призначений для пристрою для встановлення зв’язку. Деякі з них були залишені для тестування, військових і трансляцій, тоді як залишкові IP-адреси 3B були доступні для зв’язку.

У 2019 році RIPE NCC виділив останні IPv4-адреси, що залишилися з доступного пулу, через вичерпання IPv4. Для протидії цьому було введено адресацію IPv6. IPv6 відтворює IP-адресування та надає більше можливостей для розподілу g-адрес. Однак знадобилося багато років, щоб змінити або запровадити мережеву систему.

Введіть NAT. Тим часом Cisco представила NAT, який зараз широко розгорнуто.

NAT став цінним і популярним способом збереження глобального адресного простору, особливо коли адреси IPv4 вичерпано. NAT також використовується для приховування діапазонів IP-адрес приватної мережі задля економічності та безпеки.

Переваги NAT

Збереження IP-адреси

NAT допомагає зберегти юридично зареєстровані IP-адреси, а також запобігає їх виснаженню. Зважаючи на зростаючу кількість користувачів Інтернету в усьому світі, це чудова ініціатива, спрямована на те, щоб зробити Інтернет доступним простором для всіх.

Безпека

Завдяки NAT ви можете отримати доступ до Інтернету з підвищеною безпекою та конфіденційністю, оскільки він може приховати IP-адресу вашого пристрою від загальнодоступної мережі, навіть коли пакети даних передаються. Обмеження швидкості NAT також дозволяє обмежити максимальну кількість операцій NAT, які одночасно виконуються на вашому маршрутизаторі.

Таким чином ви отримуєте кращий контроль над використанням адреси NAT і можете мінімізувати вплив вірусів, хробаків, атак типу «Відмова в обслуговуванні» (DoS) тощо. Впровадження динамічного NAT (DNAT) автоматично створить брандмауер між Інтернетом і внутрішньою мережею. Крім того, деякі маршрутизатори NAT можуть пропонувати такі функції безпеки, як фільтрація трафіку та журналювання.

Кілька підключень

Встановлення кількох підключень до Інтернету допомагає підтримувати надійність мережі та зменшує ймовірність завершення роботи під час збою підключення. Це також сприяє балансуванню навантаження, зменшуючи кількість пристроїв, які використовують одне з’єднання.

Крім того, багатодомні мережі зазвичай підключаються до кількох провайдерів, які призначають одну або декілька IP-адрес організації. Крім того, маршрутизатори можуть використовувати NAT для маршрутизації мереж з різними протоколами NAT.

Крім того, мережа з кількома адресами спілкується, дозволяючи маршрутизатору використовувати частину протоколу TCP або IP, Border Gateway Protocol (BGP). Подібним чином сайти субдоменів діляться за допомогою внутрішнього BGP (IBGP), тоді як маршрутизатори використовують зовнішній BGP (EBGP) для взаємодії. У разі невдачі з’єднання багатоадресна перенаправляє дані через інший маршрутизатор.

швидкість

NAT більш прозорий для вихідного та цільового комп’ютерів, ніж проксі-сервери. Це дозволяє здійснювати прямі операції на швидкості. Проксі-сервери також зазвичай працюють на четвертому рівні або транспортному рівні моделі OSI або навіть вище. Це робить їх повільнішими, ніж NAT, який знаходиться на третьому або мережевому рівні.

Масштабованість

Ваші потреби вимагатимуть більше IP-адрес для ваших користувачів і пристроїв, коли ваші потреби зростуть. Отже, ви можете використовувати NAT замість того, щоб запитувати в IANA більше IP-адрес. А коли ви використовуєте NAT із протоколом динамічної конфігурації хоста (DHCP), масштабування стане легшим.

  Яка різниця між 5G та 5GHz Wi-Fi?

Причина в тому, що NAT і DHCP добре працюють разом, щоб виділити незареєстровані IP-адреси для субдомену з доступного списку відповідно до ваших вимог. Таким чином ви можете розширити діапазон доступних IP-адрес, а DHCP зможе швидко налаштувати та звільнити місце для додаткових мережевих комп’ютерів.

Гнучкість і простота

NAT пропонує гнучкість у розгортанні та встановленні з’єднань. Ви можете розгорнути його в бездротовій загальнодоступній локальній мережі. Іноді за допомогою статичного NAT (SNAT) і вхідного відображення можна дозволити зовнішнім пристроям встановлювати з’єднання пристроїв у піддоміні.

Крім того, NAT зменшує складність і забезпечує прості підключення до Інтернету, оскільки не вимагає перенумерації IP-адрес після зміни або об’єднання мережі. NAT також дозволяє створити віртуальний хост у внутрішній мережі, який координує балансування навантаження TCP.

Обмеження NAT

Обмеження NAT

Деякі обмеження NAT:

  • Споживає ресурси: NAT може споживати значний простір процесора та ресурси пам’яті. Це пояснюється тим, що він перекладає всі адреси IPv4 для ваших вхідних і вихідних дейтаграм IPv4, а також зберігає всі деталі перекладу в пам’яті.
  • Функціональність: увімкнення NAT може призвести до зниження функціональності деяких технологій і програм.
  • Ускладнення тунелювання: NAT може ускладнити протоколи тунелювання. Для цього ви можете використовувати IPsec для безпечної трансляції мережевих адрес.
  • Проблеми рівня: коли маршрутизатор працює як пристрій NAT, він може втручатися в рівень 4 або транспортний рівень як номери портів, оскільки він призначений для рівня 3 або мережевого рівня.
  • Затримки: під час перекладу можливі затримки шляху.

Деякі загальні терміни в NAT

  • Адреса джерела: IP-адреса хоста-ініціатора.
  • Порт джерела: це номер порту TCP/UDP, який призначає хост-ініціатор.
  • Адреса призначення: це IP-адреса одержувача.
  • Порт призначення: це порт TCP або UDP, який хост-ініціатор запитує одержувача відкрити.
  • Внутрішня локальна адреса: це приватна IP-адреса, призначена хосту в локальній (внутрішній) мережі. Постачальник послуг не призначає його. Це внутрішній хост для внутрішньої мережі.
  • Внутрішня глобальна адреса: це IP-адреса, що представляє одну або кілька локальних IP-адрес. Це внутрішній хост для зовнішньої/зовнішньої мережі.
  • Зовнішня локальна адреса: справжня IP-адреса цільового хоста знаходиться в локальній мережі після завершення трансляції.
  • Зовнішня глобальна адреса: IP-адреса зовнішнього цільового хоста до трансляції. Це зовнішній хост для зовнішньої/зовнішньої мережі.
  • Субдомен: це незареєстрована приватна IP-адреса, яка складається з:
  • Зовнішні локальні адреси, які розгортають маршрутизатори NAT, і
  • Локальна мережа використовує локальні адреси
    • Таблиця NAT: NAT повторно призначає номери портів та IP-адреси та відстежує їх за допомогою таблиці трансляції NAT.

    Припустімо, маршрутизатор отримав пакет даних від локального пристрою, якому призначено загальнодоступну IP-адресу. Тепер маршрутизатор змінить IP-адресу вихідного пристрою, дозволяючи йому використовувати свою IP-адресу. Потім він змінює номер порту джерела, щоб переконатися, що він має інформацію про те, куди мають бути доставлені отримані пакети. Це перепризначення IP-адрес реєструється в таблиці трансляції NAT.

    Висновок

    Оскільки кількість користувачів Інтернету зростає, а проблеми з безпекою поширюються по всьому світу, існує потреба у безпечнішому та ефективнішому методі підключення. NAT націлений на це. Це допоможе зберегти загальнодоступні IP-адреси, забезпечуючи вам переваги безпеки, швидкості, гнучкості та масштабованості під час підключення до Інтернету.