NAT - นี่คืออะไร? การตั้งค่า NAT

Network Address Translation (NAT) เป็นวิธีการของการจัดเรียงใหม่พื้นที่ที่อยู่หนึ่งไปยังอีกโดยการเปลี่ยนข้อมูลที่ อยู่ในเครือข่าย IP (Internet Protocol) นั่นคือส่วนหัวของแพ็คเก็ตที่มีการเปลี่ยนแปลงได้ตลอดเวลาเมื่อพวกเขาอยู่ในระหว่างการขนส่งผ่านอุปกรณ์เส้นทาง วิธีการนี้ถูกนำมาใช้ในการเปลี่ยนเส้นทางจราจรในความเรียบง่าย IP-เครือข่ายแต่ละพื้นที่โดยไม่ต้องจัดเลขระบุฉบับ เขาได้กลายเป็นเครื่องมือที่นิยมและมีความสำคัญในการอนุรักษ์และการกระจายของพื้นที่ที่อยู่ทั่วโลกในเงื่อนไขของการขาดแคลน IPv4 ที่

NAT - นี่คืออะไร?

ใช้ต้นฉบับของการแปลที่อยู่เครือข่ายคือการ map แต่ละที่อยู่จากพื้นที่ที่อยู่หนึ่งไปยังที่อยู่ที่สอดคล้องกันในพื้นที่อื่น ๆ ยกตัวอย่างเช่นมันเป็นสิ่งจำเป็นหากผู้ให้บริการอินเทอร์เน็ตที่มีการเปลี่ยนแปลงและผู้ใช้จะไม่สามารถที่จะประกาศต่อสาธารณชนเส้นทางใหม่ไปยังเครือข่าย ภายใต้เงื่อนไขอันใกล้พร่องระดับโลกที่อยู่ IP เทคโนโลยีอวกาศ NAT ถูกนำมาใช้มากขึ้นตั้งแต่ปลายปี 1990 ร่วมกับ IP-การเข้ารหัส (ซึ่งเป็นวิธีการของการขนส่งหลายที่อยู่ IP ที่พื้นที่เดียวกัน) กลไกนี้จะดำเนินการในอุปกรณ์ที่ใช้เส้นทางตารางการแปล stateful ที่จะแสดงที่อยู่ "ซ่อน" ให้เป็นหนึ่งในที่อยู่ IP และส่งต่อขาออก IP-แพ็กเก็ตเพื่อการส่งออก ดังนั้นพวกเขาจะปรากฏออกมาจากอุปกรณ์เส้นทางมา ในสิ่งที่ตรงกันข้าม ช่องทางการสื่อสาร การตอบสนองจะแสดงอยู่ในแหล่งที่อยู่ IP โดยใช้กฎที่เก็บไว้ในตารางการแปล ตารางกฎการแปลในที่สุดก็เคลียร์หลังจากช่วงเวลาสั้นถ้าการจราจรใหม่ไม่ได้อัปเดตสถานะของ นี่คือกลไกพื้นฐานของ NAT ก็ว่าหมายความว่าอย่างไร

วิธีการนี้จะช่วยให้คุณสามารถติดต่อสื่อสารผ่านเราเตอร์เฉพาะเมื่อมีการเชื่อมต่อกับเครือข่ายที่เข้ารหัสที่จะสร้างตารางการแปล ยกตัวอย่างเช่นเว็บเบราเซอร์ภายในเครือข่ายสามารถเรียกดูเว็บไซต์ต่างประเทศ แต่ถ้าไม่ได้ติดตั้งนอกก็ไม่สามารถเปิดทรัพยากรในตำแหน่งนั้น แต่ส่วนใหญ่อุปกรณ์ NAT วันนี้ช่วยให้ ผู้ดูแลระบบเครือข่าย เพื่อกำหนดค่ารายการตารางการแปลสำหรับการใช้งานถาวร คุณลักษณะนี้มักจะเรียกว่า NAT เป็นแบบคงที่หรือส่งต่อพอร์ตและจะช่วยให้การจราจรที่มีต้นกำเนิดใน "นอก" เครือข่ายในการเข้าถึงโฮสต์ปลายทางในเครือข่ายที่มีการเข้ารหัส

เนื่องจากความนิยมของวิธีการนี้จะใช้ในการรักษาพื้นที่ที่อยู่ IPv4 ที่ระยะ NAT (นี่คือสิ่งที่เป็นจริง - ด้านบน) มันได้กลายเป็นเกือบจะตรงกันกับวิธีการเข้ารหัส

เพราะ NAT เปลี่ยนแปลงข้อมูลที่อยู่ของ IP-แพ็คเก็ตมันมีผลกระทบอย่างรุนแรงต่อคุณภาพของการเชื่อมต่ออินเทอร์เน็ตและต้องให้ความสนใจใกล้เคียงกับรายละเอียดของการดำเนินงานของ

วิธีการใช้ NAT แตกต่างจากกันในการทำงานโดยเฉพาะอย่างยิ่งในกรณีที่แตกต่างที่เกี่ยวข้องกับผลกระทบต่อการจราจรของเครือข่าย

พื้นฐาน NAT

ชนิดที่ง่ายที่สุดของการแปลที่อยู่เครือข่าย (NAT) ให้ออกอากาศที่อยู่ IP ของ "หนึ่งต่อหนึ่ง." RFC 2663 เป็นประเภทหลักของการออกอากาศ ในประเภทของการเปลี่ยนแปลงนี้เฉพาะที่อยู่ IP และ การตรวจสอบ IP-ส่วนหัว ประเภทหลักของการแปลสามารถใช้ในการเชื่อมต่อทั้งสองเครือข่าย IP-ที่เข้ากันไม่ได้อยู่

NAT - คือการเชื่อมต่อ "อย่างใดอย่างหนึ่งต่อหลายคน"?

พันธุ์มากที่สุดของ NAT สามารถแมเจ้าภาพส่วนตัวหลายคนที่จะเป็นหนึ่งเดียวที่กำหนดสาธารณชนที่อยู่ IP ในการกำหนดค่าทั่วไปเครือข่ายท้องถิ่นใช้อย่างใดอย่างหนึ่งที่ได้รับมอบหมาย "เอกชน" ที่อยู่ IP-เครือข่ายย่อย (RFC 1918) เราเตอร์บนเครือข่ายที่มีอยู่ของภาคเอกชนในพื้นที่นี้

เราเตอร์ยังเชื่อมต่อกับอินเทอร์เน็ตโดยใช้ที่อยู่ "สาธารณะ" ได้รับมอบหมายจาก ISP ของคุณ ขณะที่การจราจรผ่านจากเครือข่ายท้องถิ่น ไปยังที่อยู่อินเทอร์เน็ตของ แหล่งที่มาของแต่ละแพ็คเก็ตจะแปลได้ทันทีจากที่อยู่ส่วนตัวถึงประชาชน เราเตอร์ติดตามข้อมูลพื้นฐานเกี่ยวกับการเชื่อมต่อแต่ละที่ใช้งาน (โดยเฉพาะอย่างยิ่งที่อยู่ปลายทางและพอร์ต) เมื่อการตอบสนองกลับไปที่เขามาเขาใช้การเชื่อมต่อข้อมูลที่เก็บอยู่ในช่วงขาออกไปตรวจสอบที่อยู่ส่วนตัวของเครือข่ายภายในเพื่อที่จะส่งข้อความตอบกลับ

ข้อดีอย่างหนึ่งของการทำงานนี้คือการที่มันทำหน้าที่เป็นวิธีการแก้ปัญหาการปฏิบัติเพื่อความอ่อนเพลียกำลังจะมาถึงพื้นที่ที่อยู่ IPv4 แม้เครือข่ายขนาดใหญ่ที่สามารถเชื่อมต่อกับอินเทอร์เน็ตผ่านทางหนึ่งที่อยู่ IP

แพ็คเก็ตเดตาแกรมไปยังเครือข่าย IP-based มี 2 ที่อยู่ IP - แหล่งที่มาและปลายทาง โดยปกติแพ็คเก็ตผ่านจากเครือข่ายส่วนตัวไปยังเครือข่ายประชาชนจะมีแหล่งที่อยู่ของแพ็คเก็ตที่เปลี่ยนแปลงในช่วงการเปลี่ยนแปลงจากเครือข่ายของประชาชนที่จะกลับส่วนตัว การกำหนดค่าที่ซับซ้อนมากขึ้นนอกจากนี้ยังเป็นไปได้

คุณสมบัติ

ฟังก์ชั่น NAT อาจมีคุณสมบัติพิเศษบางอย่าง เพื่อหลีกเลี่ยงปัญหาที่เป็นวิธีการแปลแพคเกจที่ส่งคืนต้องปรับเปลี่ยนต่อไปของพวกเขา ส่วนใหญ่ของการจราจรทางอินเทอร์เน็ตไปผ่านโปรโตคอล TCP และ UDP และหมายเลขพอร์ตที่มีการเปลี่ยนแปลงเพื่อให้การรวมกันของที่อยู่ IP และหมายเลขพอร์ตในทิศทางตรงกันข้ามเริ่มที่จะถูกแมปข้อมูล

โปรโตคอลที่ไม่ได้อยู่บนพื้นฐานของ TCP หรือ UDP ต้องใช้วิธีการที่แตกต่างกันของการแปล Control Message Protocol อินเทอร์เน็ต (ICMP) เป็นกฎความสัมพันธ์ของข้อมูลที่ส่งมีการเชื่อมต่อที่มีอยู่ ซึ่งหมายความว่าพวกเขาควรจะแสดงโดยใช้ที่อยู่ IP เดียวกันและจำนวนชุดแรก

สิ่งที่ฉันควรพิจารณา?

การกำหนดค่า NAT บนเราเตอร์ไม่ได้ให้เขาเป็นไปได้ของการเชื่อมต่อ "ตั้งแต่ต้นจนจบ." ดังนั้นเราเตอร์เหล่านี้ไม่สามารถมีส่วนร่วมในบางอินเทอร์เน็ตโปรโตคอล บริการที่จำเป็นต้องมีการเริ่มต้นของ TCP เชื่อมต่อจากเครือข่ายภายนอกหรือผู้ใช้ที่ไม่มีโปรโตคอลที่อาจจะใช้งานไม่ได้ ถ้าเราเตอร์ NAT ไม่ได้ทำให้ความพยายามมากที่จะสนับสนุนโปรโตคอลเช่นแพ็คเก็ตที่เข้ามาไม่สามารถเข้าถึงปลายทางของพวกเขา บางโปรโตคอลที่สามารถรองรับการแปลระหว่างการเข้าร่วมเป็นเจ้าภาพ ( "โหมด passive » FTP เป็นต้น) บางครั้งด้วยความช่วยเหลือของแอพพลิเคชันเกตเวย์ แต่การเชื่อมต่อจะจัดตั้งขึ้นเมื่อทั้งสองระบบจะแยกออกจากอินเทอร์เน็ตโดยใช้ NAT ใช้ NAT ยังมีความซับซ้อนเช่น "อุโมงค์" โปรโตคอลเช่น IPsec เพราะมันมีการเปลี่ยนแปลงค่าในส่วนหัวซึ่งโต้ตอบกับความสมบูรณ์ของคำขอตรวจสอบ

ปัญหาที่เกิดขึ้นในปัจจุบัน

Compound "ตั้งแต่ต้นจนจบ" เป็นหลักการพื้นฐานของอินเทอร์เน็ตที่มีอยู่ตั้งแต่การพัฒนา สถานะปัจจุบันของเครือข่ายที่แสดงให้เห็นว่า NAT เป็นการละเมิดหลักการนี้ ผู้เชี่ยวชาญมีความกังวลอย่างจริงจังเกี่ยวกับการใช้งานอย่างแพร่หลายของ IPv6 ในการแปลที่อยู่เครือข่ายและเพิ่มปัญหาของวิธีการที่มีประสิทธิภาพกำจัดมัน

เพราะธรรมชาติของตารางชั่วคราว Stateful ออกอากาศเราเตอร์ NAT, อุปกรณ์เครือข่ายภายในสูญเสีย IP-การเชื่อมต่อเป็นกฎภายในระยะเวลาที่สั้นมากของเวลา นอกเหนือจากข้อเท็จจริงที่ว่าเช่น NAT เราเตอร์ที่คุณไม่สามารถลืมความจริงข้อนี้ นี้อย่างจริงจังจะช่วยลดระยะเวลาการทำงานของอุปกรณ์ขนาดเล็กที่ทำงานบนแบตเตอรี่และสะสม

ความยืดหยุ่น

นอกจากนี้เมื่อใช้ NAT ติดตามพอร์ตเดียวที่สามารถหมดการใช้งานภายในใช้การเชื่อมต่อพร้อมกันหลายอย่างรวดเร็ว (เช่น HTTP ร้องขอสำหรับหน้าเว็บที่มีจำนวนมากของวัตถุที่ฝังตัว) ปัญหานี้สามารถลดลงได้โดยการตรวจสอบปลายทางที่อยู่ IP นอกเหนือไปจากพอร์ต (หนึ่งจึงพอร์ตท้องถิ่นแบ่งโฮสต์ระยะไกลมากขึ้น)

ปัญหาบางอย่าง

ตั้งแต่ที่อยู่ภายในทั้งหมดปลอมตัวเป็นสาธารณะโฮสต์ภายนอกเป็นไปไม่ได้ที่จะเริ่มต้นการเชื่อมต่อกับโหนดภายในเฉพาะโดยไม่ต้องกำหนดค่าพิเศษใด ๆ ในไฟร์วอลล์ (ซึ่งก็คือการเปลี่ยนเส้นทางการเชื่อมต่อกับพอร์ตที่เฉพาะเจาะจง) การใช้งานเช่นโทรศัพท์ IP, การประชุมทางวิดีโอและบริการเหล่านี้มีการใช้เทคนิคการสำรวจเส้นทาง NAT ไปทำงานตามปกติ

ที่อยู่ผู้ส่งและการแปลพอร์ต (Rapt) ช่วยให้เจ้าภาพจริงที่อยู่ IP ซึ่งแตกต่างจากเวลาที่จะยังคงมีอยู่เป็นเซิร์ฟเวอร์ที่มีการแก้ไขที่อยู่ IP ของเครือข่ายภายในบ้าน ในหลักการก็ควรอนุญาตให้มีการตั้งค่าเซิร์ฟเวอร์เพื่อรักษาเชื่อมต่อ แม้จะมีความจริงที่ว่านี้ไม่ได้เป็นโซลูชั่นที่สมบูรณ์แบบ ปัญหาก็ อาจจะเป็นเครื่องมือที่มีประโยชน์อื่นในคลังแสงของผู้ดูแลระบบเครือข่ายเพื่อแก้ปัญหาวิธีการกำหนดค่า NAT บนเราเตอร์

พอร์ต Address Translation (PAT)

การดำเนินงานของซิสโก้ Rapt คือพอร์ต Address Translation (PAT) ซึ่งแสดงหลายที่อยู่ IP ส่วนตัวเป็นหนึ่งในประชาชน อยู่หลายที่สามารถแสดงผลเป็นที่อยู่เพราะแต่ละของพวกเขาถูกตรวจสอบโดยหมายเลขพอร์ต PAT ใช้หมายเลขพอร์ตแหล่งที่ไม่ซ้ำกันบน IP ทั่วโลกภายในที่จะแยกแยะทิศทางของการถ่ายโอนข้อมูล ตัวเลขเหล่านี้เป็นจำนวนเต็ม 16 บิต ที่อยู่ภายในรวมที่สามารถแปลเป็นหนึ่งด้านนอกในทางทฤษฎีสามารถเข้าถึง 65536 จำนวนที่แท้จริงของพอร์ตที่อยู่ IP เดียวสามารถได้รับมอบหมายเป็นเรื่องเกี่ยวกับ 4000 โดยปกติ PAT พยายามที่จะบันทึกแหล่งพอร์ต "ต้นฉบับ" ถ้ามันมีอยู่แล้วในการใช้งานแปลพอร์ตที่อยู่กำหนดหมายเลขพอร์ตแรกที่มีการเริ่มต้นจากจุดเริ่มต้นของกลุ่มนั้น - 0-511, 512-1023 หรือ 1024-65535 เมื่อมีพอร์ตไม่มีมีมากขึ้นและมีมากกว่าหนึ่งที่อยู่ IP ภายนอก PAT ย้ายไปถัดไปที่จะพยายามที่จะระบุแหล่งที่มาของพอร์ต กระบวนการนี้อย่างต่อเนื่องจนกว่าจะไม่มีข้อมูลเพิ่มเติม

ที่อยู่หน้าจอแสดงผลและพอร์ตของซิสโก้นำมาใช้บริการที่รวมแพ็คเก็ตที่อยู่พอร์ตข้อมูลแปลอุโมงค์ IPv6 มากกว่า IPv4 อินทราเน็ต ในความเป็นจริงทางเลือกทางการ CarrierGrade NAT และ DS-Lite ซึ่งสนับสนุนอยู่ IP แปล / พอร์ต (และดังนั้นจึงได้รับการสนับสนุนการตั้งค่า NAT) ดังนั้นจึงหลีกเลี่ยงปัญหาในการติดตั้งและการบำรุงรักษาของการเชื่อมต่อและยังมีกลไกการเปลี่ยนแปลงสำหรับการใช้งาน IPv6

วิธีการแปล

มีหลายวิธีที่จะดำเนินการแปลที่อยู่เครือข่ายและพอร์ตที่มี ในการใช้งานบางโปรโตคอลที่โปรแกรมประยุกต์ใช้ในการทำงานร่วมกับที่อยู่ IP, การดำเนินงานในเครือข่ายที่มีการเข้ารหัสคุณต้องกำหนดที่อยู่ภายนอก NAT (ซึ่งถูกนำมาใช้ในส่วนอื่น ๆ ของการเชื่อมต่อ) และยิ่งไปกว่านั้นก็มักจะจำเป็นที่จะต้องศึกษาและจำแนกประเภทของการส่ง นี้มักจะทำเพราะมันเป็นที่พึงปรารถนาในการสร้างช่องทางการสื่อสารโดยตรง (หรือบันทึกการส่งอย่างต่อเนื่องของข้อมูลผ่านเซิร์ฟเวอร์หรือเพื่อปรับปรุงประสิทธิภาพ) ระหว่างสองลูกค้าทั้งที่เป็นของบุคคลที่ NAT

เพื่อจุดประสงค์นี้ (วิธีการกำหนดค่า NAT) ในปี 2003 การพัฒนา RFC โปรโตคอลพิเศษ 3489 ข้ามง่ายของ UDP ให้ผ่าน NATS วันนี้มันเป็นล้าสมัยเพราะวิธีการเหล่านี้ในปัจจุบันไม่เพียงพอที่จะประเมินการทำงานของอุปกรณ์หลาย ๆ วิธีการใหม่ได้รับมาตรฐานในโปรโตคอล RFC 5389 ซึ่งได้รับการพัฒนาในเดือนตุลาคม 2008 ข้อกำหนดนี้เป็นที่รู้จักกันในขณะนี้เป็น SessionTraversal และเป็นโปรแกรมสำหรับ NAT

การสร้างการสื่อสารสองทาง

แต่ละแพ็คเก็ตมี TCP และ UDP IP-แหล่งที่อยู่และหมายเลขพอร์ตเช่นเดียวกับพิกัดของพอร์ตปลายทาง

สำหรับการบริการสาธารณะเช่นเซิร์ฟเวอร์อีเมลทำงานหมายเลขพอร์ตเป็นสิ่งที่สำคัญ ยกตัวอย่างเช่น พอร์ต 80 เชื่อมต่อกับซอฟต์แวร์เว็บเซิร์ฟเวอร์และ 25 - ไปยังเซิร์ฟเวอร์อีเมลของ SMTP เซิร์ฟเวอร์ของประชาชนที่อยู่ IP ยังเป็นสิ่งจำเป็นเช่นที่อยู่ไปรษณีย์หรือหมายเลขโทรศัพท์ ทั้งสองของพารามิเตอร์เหล่านี้ควรจะไว้ใจที่รู้จักกันทุกโหนดที่จะไปเชื่อมต่อ

ที่อยู่ IP เอกชนมีความสำคัญเฉพาะในเครือข่ายท้องถิ่นที่พวกเขาจะใช้เช่นเดียวกับพอร์ตโฮสต์ พอร์ตการเชื่อมต่อจุดสิ้นสุดที่ไม่ซ้ำกันในพื้นที่ดังนั้นการเชื่อมต่อผ่าน NAT ได้รับการสนับสนุนโดยการทำแผนที่พอร์ตรวมและ IP-อยู่

PAT (พอ AddressTranslation) ช่วยแก้ปัญหาความขัดแย้งที่อาจเกิดขึ้นระหว่างสองครอบครัวที่แตกต่างกันโดยใช้หมายเลขพอร์ตแหล่งเดียวกันเพื่อสร้างการเชื่อมต่อที่ไม่ซ้ำกันในเวลาเดียวกัน