Трансляція мережевих адрес (NAT): Вступ

Автор

Трансляція мережевих адрес, відома як NAT, являє собою потужний механізм, за допомогою якого окремі користувачі та організації отримують безпечний, економічно вигідний і простий спосіб підключення до мережі Інтернет. NAT забезпечує не лише захист, а й гнучкість, масштабованість та швидкість взаємодії в Інтернет-середовищі.

Застосування NAT також відіграє важливу роль у збереженні публічних IP-адрес, які є обмеженим ресурсом. Але що ж таке NAT, і чому варто звернути увагу на розуміння принципів його роботи та можливостей використання? Ця стаття має на меті надати відповіді на ці питання.

Розпочнімо з визначення NAT.

Що таке Трансляція Мережевих Адрес (NAT)?

Трансляція мережевих адрес (NAT) – це процес перетворення одного діапазону IP-адрес в інший шляхом зміни адресних даних мережі під час передачі. Простіше кажучи, NAT дозволяє одній унікальній IP-адресі (Інтернет-протоколу) представляти один або декілька комп’ютерів. Це означає, що багато пристроїв можуть спільно використовувати одну публічну IP-адресу в мережі, навіть якщо вони мають приватні IP-адреси в локальній мережі.

Спочатку ця технологія використовувалася для того, щоб уникнути необхідності присвоювати нову IP-адресу кожному хосту окремо при зміні інтернет-провайдера або переміщенні мережі, при цьому IP-адреса мережі залишається без змін.

Слід зазначити, що шлюз NAT здатен надати єдину маршрутизовану IP-адресу, яку можна використовувати для цілої приватної мережі. Оскільки NAT модифікує дані IP-адреси під час передачі, існують різні види NAT, що відрізняються поведінкою в різних ситуаціях адресації, з різними наслідками для мережевого трафіку.

Функціональність NAT

В системі NAT мережевий пристрій, такий як брандмауер NAT або маршрутизатор, призначає публічну IP-адресу одному комп’ютеру або групі комп’ютерів у приватній мережі. Таким чином, NAT забезпечує можливість одному пристрою виступати посередником між публічною, приватною та локальною мережами.

NAT дозволяє ефективно використовувати IP-адреси, даючи змогу приватним IP-адресам виходити в Інтернет за допомогою незареєстрованих адрес. Перед передачею пакетів даних між різними мережами, NAT трансформує адреси локальної приватної мережі унікальні, загальнодоступні та юридичні адреси.

За налаштування NAT, для зовнішнього світу буде видима тільки одна IP-адреса, яка представляє всю мережу. Таким чином, приховується внутрішня структура мережі, що сприяє підвищенню рівня безпеки та конфіденційності. Варіанти реалізації NAT є оптимальними для середовищ віддаленого доступу.

Принцип Роботи NAT

Трансляція мережевих адрес дозволяє таким пристроям як маршрутизатор або брандмауер NAT виступати в ролі посередника між внутрішньою (локальна мережа) та зовнішньою (Інтернет) мережами. Це надає можливість групі пристроїв використовувати одну і ту ж IP-адресу під час обміну даними за межами локальної мережі.

NAT працює подібно до секретаря в організації, який на основі інструкцій вирішує, які відвідувачі або дзвінки слід переадресувати, відкласти чи не приймати взагалі. Всі запити надходять на публічний порт та IP-адресу, і далі NAT визначає, куди повинен бути спрямований запит, приховуючи при цьому приватну IP-адресу отримувача.

NAT вибирає шлюзи між двома різними локальними мережами: зовнішньою та внутрішньою. Внутрішні системи матимуть IP-адреси, які не можуть бути перенаправлені до зовнішньої мережі. Шлюзу призначаються певні зовнішні IP-адреси, що робить вихідний трафік таким, ніби він надходить із дійсної зовнішньої IP-адреси.

Потім вхідний трафік передається до відповідної внутрішньої системи, забезпечуючи безпеку. Оскільки вхідні та вихідні запити проходять через процес трансляції, з’являється можливість перевіряти вхідний трафік та співставляти його з вихідними потоками.

Приклад Процесу NAT

Розглянемо приклад роботи NAT на практиці. Користувач підключає свої пристрої до домашньої мережі Wi-Fi. Домашній маршрутизатор присвоює кожному пристрою приватну IP-адресу, призначену для використання лише в цій мережі.

Коли користувач намагається завантажити веб-сторінку, запит на її отримання відправляється через маршрутизатор. Маршрутизатор NAT замінює приватну IP-адресу пристрою на публічну IP-адресу мережі. Ця відповідність зберігається у таблиці NAT. Шлюз використовує цю таблицю для пошуку відповідного перекладу пакетів даних.

Сервер, до якого звертається користувач, надсилає запитувані дані на публічну IP-адресу мережі. Далі маршрутизатор замінює адресу призначення на приватну IP-адресу пристрою, пересилаючи пакети даних користувачу.

Різновиди NAT

Існують різні типи NAT, які використовуються для різних цілей.

1. Статичний NAT (SNAT)

Статичний NAT (SNAT) конвертує приватну IP-адресу в публічну, завжди використовуючи одну і ту ж публічну IP-адресу для трансляції.

SNAT може відображати незареєстровану IP-адресу за допомогою методу один-до-одного з зареєстрованою IP-адресою. В результаті всі пристрої в мережі матимуть одну публічну адресу. У мережевій адресі змінюються тільки два параметри – заголовок та IP-адреса.

Це є корисним для пристроїв, до яких потрібен доступ з зовнішньої мережі. Також SNAT використовується при з’єднанні двох різних IP-мереж з несумісними адресами та для веб-хостингу. Зазвичай SNAT застосовується індивідуальними користувачами та малими організаціями з невеликою кількістю пристроїв для зменшення витрат.

2. Динамічний NAT (DNAT)

Динамічний NAT (DNAT) відображає приватну IP-адресу в пул публічних IP-адрес. На відміну від SNAT, DNAT використовує різні IP-адреси для трансляцій, але так само використовує підхід один-до-одного.

Брандмауер або маршрутизатор DNAT має пул загальнодоступних зареєстрованих IP-адрес. При конвертації мережевої адреси з приватної в публічну, маршрутизатор обирає будь-яку доступну публічну IP-адресу з цього пулу. Після чого, він встановлює відповідність незареєстрованої IP-адреси з зареєстрованою IP-адресою.

Таким чином, DNAT дає змогу пристрою використовувати різні IP-адреси для кожної трансляції. Неможливо знати, з якою глобальною IP-адресою було зіставлено приватну адресу. Це ефективне рішення, оскільки дозволяє підключити більше пристроїв.

Проте, це може бути дорогим, оскільки потрібно інвестувати в загальнодоступний пул IP-адрес. Також, кількість пакетів даних, які можна передати, обмежена. Можна відправляти й отримувати пакети даних тільки в межах кількості публічних IP-адрес, доступних у пулі.

DNAT підходить для великих організацій з багатьма внутрішніми мережами, або з фіксованою кількістю користувачів, що хочуть отримати доступ до Інтернету.

3. Трансляція Адрес Портів (PAT)

Трансляція адрес портів (PAT), також відома як перевантаження NAT, передбачає використання однієї публічної IP-адреси для всіх внутрішніх пристроїв. При цьому, кожній приватній IP-адресі присвоюється інший порт.

В PAT різні порти використовуються для відповідності різних локальних, незареєстрованих і приватних IP-адрес лише одній зареєстрованій IP-адресі. PAT розрізняє, який мережевий трафік належить до якої IP-адреси.

PAT є різновидом NAT, де адреси джерела пакетів даних змінюються під час їх передачі з приватної мережі до загальнодоступної. Аналогічно, адреси призначення змінюються, коли пакети повертаються з загальнодоступної мережі до приватної.

Номери портів також змінюються для чіткого розмежування. Це поєднання зміненої IP-адреси та номера порту використовується для відображення приватної IP-адреси.

PAT є економічно вигіднішим, ніж NAT. Причина полягає в тому, що багато користувачів можуть підключатися до Інтернету, використовуючи тільки одну публічну IP-адресу. Тому, його можна застосовувати як для великих, так і малих та середніх організацій.

Крім SNAT, DNAT та PAT, існують також RNAT і перекриваючий NAT.

  • RNAT дозволяє підключатися до мережі через публічний Інтернет.
  • Перекриваючий NAT виникає, коли зливаються мережі двох організацій, що використовують IP-адреси RFC 1918, або коли зареєстровані IP-адреси призначені кільком пристроям або використовуються в багатьох внутрішніх мережах. У цьому випадку, перекриваючий NAT об’єднує мережі без переадресації кожного пристрою.

Значення NAT

Для підключення до Інтернету, пристрою або мережевій системі потрібна IP-адреса – унікальна комбінація чисел, розділених крапками. Цей номер ідентифікує мережевий пристрій і дозволяє користувачам взаємодіяти з Інтернетом.

IP-адреси бувають двох типів: IPv4 та IPv6. На початку розвитку Інтернету було створено близько 4,3 мільярда адрес IPv4. Не всі з них призначалися для пристроїв. Частина була залишена для тестування, військових цілей і трансляцій, а для зв’язку було доступно близько 3 мільярдів IP-адрес.

У 2019 році організація RIPE NCC виділила останні IPv4-адреси з доступного пулу через їх вичерпання. Для розв’язання цієї проблеми було запроваджено адресацію IPv6, що надає значно більше можливостей для розподілу g-адрес. Проте, потрібен був час для зміни або впровадження нової мережевої системи.

В цей час компанія Cisco представила NAT, який зараз широко використовується. NAT став важливим інструментом для збереження глобального адресного простору, особливо в умовах вичерпання адрес IPv4. NAT також використовується для приховування діапазонів IP-адрес приватної мережі для економії та безпеки.

Переваги NAT

Збереження IP-адрес

NAT допомагає зберігати юридично зареєстровані IP-адреси, а також запобігає їх виснаженню. З огляду на зростаючу кількість користувачів Інтернету, це важливий крок для забезпечення доступності Інтернету для всіх.

Безпека

NAT забезпечує підвищену безпеку та конфіденційність при доступі до Інтернету, оскільки може приховати IP-адресу пристрою від публічної мережі навіть під час передачі пакетів даних. Обмеження швидкості NAT також дозволяє обмежити максимальну кількість операцій NAT, що одночасно виконуються на маршрутизаторі.

Таким чином, користувач отримує кращий контроль над використанням адреси NAT та може мінімізувати вплив вірусів, черв’яків, атак типу «Відмова в обслуговуванні» (DoS) та іншого. Впровадження динамічного NAT (DNAT) автоматично створює брандмауер між Інтернетом та внутрішньою мережею. Деякі маршрутизатори NAT мають функції безпеки, такі як фільтрація трафіку та журналювання.

Кілька Підключень

Встановлення кількох підключень до Інтернету підвищує надійність мережі та знижує ймовірність збоїв при відмові одного підключення. Це сприяє балансуванню навантаження, зменшуючи кількість пристроїв, що використовують одне з’єднання.

Мережі з кількома підключеннями з’єднуються з кількома провайдерами, які призначають організації одну або декілька IP-адрес. Маршрутизатори можуть застосовувати NAT для маршрутизації мереж з різними протоколами NAT.

Мережа з декількома адресами з’єднується, дозволяючи маршрутизатору використовувати частину протоколу TCP або IP – Border Gateway Protocol (BGP). Сайти субдоменів поєднуються за допомогою внутрішнього BGP (IBGP), а маршрутизатори використовують зовнішній BGP (EBGP) для взаємодії. У разі збою з’єднання дані перенаправляються через інший маршрутизатор.

Швидкість

NAT більш прозорий для початкового та цільового комп’ютера, ніж проксі-сервери, що забезпечує прямі операції на швидкості. Проксі-сервери зазвичай працюють на четвертому рівні або на транспортному рівні моделі OSI, а інколи й вище. Це робить їх повільнішими, ніж NAT, який знаходиться на третьому рівні або мережевому рівні.

Масштабованість

Зі збільшенням потреби, виникає необхідність у додаткових IP-адресах для користувачів та пристроїв. У такому випадку, можна використовувати NAT замість того, щоб запитувати додаткові IP-адреси у IANA. В поєднанні NAT з протоколом динамічної конфігурації хоста (DHCP), масштабування стає більш простим.

NAT і DHCP добре працюють разом для виділення незареєстрованих IP-адрес для субдомена з доступного списку. Це дозволяє розширити діапазон доступних IP-адрес, а DHCP може швидко налаштовувати та звільняти ресурси для нових мережевих комп’ютерів.

Гнучкість та Простота

NAT надає гнучкість у розгортанні та встановленні з’єднань, дозволяючи використовувати його в бездротовій загальнодоступній локальній мережі. Статичний NAT (SNAT) і вхідне відображення дозволяють зовнішнім пристроям встановлювати з’єднання з пристроями в піддомені.

NAT зменшує складність та спрощує підключення до Інтернету, оскільки не вимагає перенумерації IP-адрес при зміні або об’єднанні мережі. NAT також дозволяє створити віртуальний хост у внутрішній мережі, який координує балансування навантаження TCP.

Обмеження NAT

Деякі обмеження NAT:

  • Використання ресурсів: NAT може вимагати значних обсягів процесорних ресурсів та пам’яті, оскільки він переводить всі адреси IPv4 для вхідних та вихідних дейтаграм, та зберігає деталі трансляцій в пам’яті.
  • Функціональність: Включення NAT може призвести до зниження функціональності деяких технологій та програм.
  • Ускладнення тунелювання: NAT може ускладнювати протоколи тунелювання. У цьому випадку, для безпечної трансляції мережевих адрес, можна використовувати IPsec.
  • Проблеми рівня: Маршрутизатор, що працює як NAT, може втручатися на четвертому або транспортному рівні через номери портів, хоча він призначений для третього або мережевого рівня.
  • Затримки: Під час трансляції можливі затримки в передачі даних.

Загальні Терміни NAT

  • Адреса джерела: IP-адреса хоста-ініціатора.
  • Порт джерела: номер порту TCP/UDP, призначений хостом-ініціатором.
  • Адреса призначення: IP-адреса одержувача.
  • Порт призначення: порт TCP або UDP, який хост-ініціатор запитує одержувача відкрити.
  • Внутрішня локальна адреса: приватна IP-адреса хоста у локальній (внутрішній) мережі, не призначена провайдером.
  • Внутрішня глобальна адреса: IP-адреса, що представляє одну або декілька локальних IP-адрес, для зовнішньої мережі.
  • Зовнішня локальна адреса: реальна IP-адреса цільового хоста в локальній мережі після трансляції.
  • Зовнішня глобальна адреса: IP-адреса зовнішнього цільового хоста до трансляції, для зовнішньої мережі.
  • Субдомен: незареєстрована приватна IP-адреса, що складається з:
    • Зовнішніх локальних адрес, що використовуються маршрутизаторами NAT, і
    • Локальних адрес, що використовуються локальною мережею.
  • Таблиця NAT: таблиця трансляції NAT, що відстежує перепризначення номерів портів та IP-адрес.

Коли маршрутизатор отримує пакет даних від локального пристрою, якому призначено публічну IP-адресу, він замінює IP-адресу вихідного пристрою, використовуючи власну IP-адресу. Потім він змінює номер порту джерела, щоб мати інформацію про те, куди має бути доставлено отримані пакети. Це перепризначення IP-адрес реєструється у таблиці трансляції NAT.

Висновок

Зі зростанням кількості користувачів Інтернету та поширенням проблем з безпекою, виникає потреба в більш безпечних та ефективних методах підключення. NAT є відповіддю на ці виклики, допомагаючи зберігати загальнодоступні IP-адреси, та забезпечуючи переваги безпеки, швидкості, гнучкості та масштабованості при підключенні до Інтернету.