NAT - Энэ юу вэ? NAT тохируулах

Сүлжээний хаягийн Хөрвүүлэлт (NAT) мэдээллийг өөрчлөх замаар нь нэг хаягийн талбарыг reordering арга юм IP (Internet Protocol) сүлжээний хаяг. Өөрөөр хэлбэл, пакет толгой нь чиглүүлэлтийн төхөөрөмж дамжин өнгөрөх үед ч үед өөрчилж болно. Энэ арга нь анх IP-сүлжээнд замын хялбар, renumbering ямар хост бүр дахин чиглүүлэх ашиглаж байна. Тэр IPv4 хаягийн хомсдол нөхцөлд хамгаалах, дэлхий нийтийн хаягийн зайг хуваарилах алдартай, чухал арга хэрэгсэл болсон юм.

NAT - Энэ юу вэ?

сүлжээний хаягийн хөрвүүлэлтийн анхны хэрэглээ нь бусад орон зай дахь холбогдох хаяг руу нэг хаяг сансраас хаягийг бүрийн зураглал юм. Жишээ нь, энэ нь Интернэтийн үйлчилгээ үзүүлэгч өөрчлөгдсөн бол шаардлагатай бөгөөд хэрэглэгч олон нийтэд сүлжээнд шинэ чиглүүлэлт зарлаж чадахгүй байна. нөхцөлд ойрын дэлхийн хомсдол IP-хаяг сансрын NAT технологи улам бүр IP-шифрлэлт хамт 1990 оны сүүлээр (нэг орон зайд үед тээврийн хэд хэдэн IP хаягийн арга юм) оноос хойш ашиглаж байна. Энэ механизм нь нэг IP-хаяг руу "далд" хаягийг харуулах орчуулга хүснэгт төлөвт ашигладаг ба гаралт гарч байгаа IP-пакетуудыг дамжуулдаг чиглүүлэлтийн төхөөрөмж хэрэгжиж байна. Тиймээс тэд чиглүүлэлтийн төхөөрөмж гарч ирж үзүүлсэн байна. урвуу онд харилцаа холбооны суваг хариу эх үүсвэр нь IP-хаяг орчуулга хүснэгтэд хадгалагдаж дүрмүүдээс гарч ирнэ. Дүрэм орчуулга ширээ, эргээд богино хугацаанд шинэ замын статусаа шинэчлэх тохирохгүй байвал дараа нь засав. Энэ нь NAT үндсэн механизм юм. Энэ нь гэсэн үг юм бэ?

Энэ нь орчуулга хүснэгтийг үүсгэдэг Энэ арга нь та холболт нь шифрлэгдсэн сүлжээнд хийж байгаа үед л чиглүүлэгчийн дамжуулан харилцах боломжийг олгодог. Жишээ нь, сүлжээн дэх вэб хөтчийн гадаадад сайтыг үзэх болно, гэхдээ, гадна суулгасан Хэрэв тийм биш бол, энэ тэнд байрлана нөөц, нээж чадахгүй. Гэсэн хэдий ч, өнөөдөр хамгийн NAT төхөөрөмжүүд боломж нь сүлжээний администратор байнгын хэрэглээ нь орчуулга хүснэгт оруулгыг тохируулах талаар. Энэ боломж нь ихэвчлэн статик NAT болон порт зуучлал нэрлэдэг бөгөөд энэ нь урсгалыг нь шифрлэгдсэн сүлжээнд очих хост хүрэх "гадна" сүлжээнд гаралтай боломжийг олгодог.

Энэ аргын тархсанаар нь IPv4 хаягийн талбарыг хадгалахын тулд ашигладаг улмаас, NAT хугацааны (энэ нь үнэндээ юу юм - дээш), энэ нь шифрлэх аргаа нь бараг ижил утгатай болсон байна.

NAT IP-пакет хаяг мэдээллийг өөрчилдөг учраас энэ нь интернет холболтын чанарт ноцтой үр дагавартай байдаг, түүний хэрэгжилтийг нарийвчлан ойр анхаарал шаарддаг.

NAT-ийг ашиглах арга сүлжээний урсгалыг үзүүлэх нөлөөллийг холбоотой янз бүрийн тохиолдолд тэдний тодорхой зан өөр хоорондоо ялгаатай.

үндсэн NAT

Сүлжээний Хаягийн Хөрвүүлэлт хялбар төрөл (NAT) нь IP-цацах хаяг олгодог "нэг-нэг." RFC 2663 нэвтрүүлгийн гол төрөл юм. өөрчлөлтийн энэ төрлийн цорын ганц IP-хаяг ба шалгалтын IP-толгой. орчуулгын үндсэн төрлийн нийцгүй хандаж байгаа хоёр IP-сүлжээг холбох ашиглаж болно.

NAT - нь "нэг-олон" холбогдож байна вэ?

NAT ихэнх сортууд нь нэг олон нийтэд томилсон IP-хаяг руу олон хувийн хостуудыг зураглал болно. нь ердийн тохиргоонд, орон нутгийн сүлжээний томилсон "хувийн" IP-дэд хаягууд (RFC 1918) нэг ашигладаг. тэр сүлжээний чиглүүлэгч нь энэ талбар дахь хувийн хаяг байна.

чиглүүлэгч нь таны ISP томилсон нь "олон нийтийн" хаягийг ашиглан интернэтэд холбогддог. замын орон нутгийн сүлжээнээс өнгөрөх тусам Интернэт хаяг руу пакет бүрийн эх сурвалжаас олон нийтэд хувийн хаягаасаа ялаа дээр орчуулсан байна. чиглүүлэгч идэвхтэй холболт бүрийн (ялангуяа очих хаяг болон порт) тухай үндсэн мэдээллийг тооцдог. хариу буцаж түүнд ирэхдээ ямар хариу илгээх дотоод сүлжээнд хувийн хаягийг тодорхойлохын тулд гадагшаа шатанд хадгалагдаж байгаа холболтын мэдээллийг ашигладаг.

Энэ үйл ажиллагаанд нэг давуу тал нь IPv4 хаяг зай ойртож ядарч практик шийдэл болж байгаа юм. Тэр ч байтугай том сүлжээ нь IP-хаяг дамжуулан интернэтэд холбогдсон байж болно.

эх үүсвэр болон очих - IP-д суурилсан сүлжээнд мэдээлэл Datagram пакетуудыг 2 IP-хаяг байна. Ер нь, олон нийтийн сүлжээнд хувийн сүлжээнээс өнгөрөх пакетуудыг пакет эх үүсвэр хаяг нь хувийн хэвшлийн нуруун дээр нь олон нийтийн сүлжээнд шилжих шилжилтийн үед өөрчлөгдөж болно. Илүү нарийн тохиргоонуудын бас боломжтой байдаг.

онцлог

NAT функц нь зарим нэг онцлог байж болох юм. бэрхшээлээс зайлсхийж буцаж багцууд нь тэдний цаашдын өөрчлөлтүүдийг шаарддаг орчуулж хэрхэн юм. Интернэт урсгалын дийлэнх нь протокол нь TCP болон UDP замаар явдаг бөгөөд ингэснээр урвуу чиглэлд IP-хаяг ба портын дугаарыг хослол мэдээллийг хөрвүүлэн эхлэх портын дугаар өөрчлөгдсөн байна.

TCP эсвэл UDP дээр тулгуурласан биш юм протокол, орчуулгын өөр өөр арга барилыг шаарддаг. Control Message Protocol Internet (ICMP) нь дүрмийн дагуу одоо байгаа холболтоор дамжуулсан өгөгдлийг хамааралтай. Энэ нь тэд ижил IP-хаяг ашиглан дэлгэцэн дээр байх ёстой бөгөөд тоо нь анх тогтоосон гэсэн үг юм.

Би юу анхаарах ёстой вэ?

чиглүүлэгч дээр NAT тохируулах нь түүнд "эцэст нь төгсгөл хүртэл." холболтын боломжийг олгож байгаа юм биш Тиймийн тул, эдгээр чиглүүлэгчид зарим нь Интернэт протокол-д оролцох боломжгүй. протокол ч гадаад сүлжээнээс TCP-холболт, хэрэглэгчдийн авшиг шаардаж үйлчилгээ байхгүй байж болно. NAT чиглүүлэгч нь ийм протоколуудыг дэмждэг их хүчин чармайлт гаргаж байгаа бол орж ирж байгаа пакетуудыг тэдний хүрэх чадахгүй. Зарим протоколууд нь заримдаа програм гарц тусламжтайгаар, хостууд (жишээ нь "идэвхгүй горимыг» FTP) оролцогч хооронд нэг орчуулгыг багтах боломжтой, гэхдээ аль аль нь систем NAT-ийг ашиглан интернэтээс тусгаарлагдсан үед холболт тогтоосон байна. NAT ашиглах нь бас хянах хүсэлтийг бүрэн бүтэн байдлыг харилцан толгой дахь үнэт зүйлс, өөрчлөлт, учир нь ийм IPsec зэрэг "хонгилоор" протокол, төвөгтэй болгодог.

одоогийн асуудал

"Эцсийн эцэст нь" Нийлмэл түүний хөгжил хойш одоо байгаа, Интернэтийн үндсэн зарчим юм. сүлжээний өнөөгийн байдал NAT энэ зарчмыг зөрчсөн байна гэдгийг харуулж байна. Мэргэжилтнүүд IPv6-д сүлжээний хаягийн хөрвүүлэлтийн өргөнөөр ашиглах талаар ноцтой асуудал байдаг, хэрхэн үр дүнтэй үүнийг арилгах асуудлыг бий болгож байна.

Учир нь хүснэгтийн NAT дамжуулагчдыг нэвтрүүлэг төлөвт нь түр зуурын шинжтэй, дотоод сүлжээний төхөөрөмжүүд нь дүрэм гэж IP-холболт, цаг хугацаа маш богино хугацаанд алддаг. Үүнээс гадна ер нь чиглүүлэгч нь ийм NAT, та энэ үнэнийг мартаж чадахгүй юм. Энэ бол ноцтой зай болон аккумлятор дээр ажилладаг авсаархан төхөөрөмжийн үйл ажиллагааны хугацааг бууруулдаг.

өргөтгөх боломж

Үүнээс гадна, NAT ашиглан хурдан шавхагдаж болох олон нэгэн зэрэг холболтуудыг ашиглан дотоод програмуудыг зөвхөн портуудыг хянадаггүй (жишээ нь, суулгагдсан объект нь олон тооны вэб хуудасны HTTP-хүсэлт). Энэ асуудал нь порт гадна очих IP-хаяг хяналт бууруулж болно (ингэснээр орон нутгийн нэг порт нь илүү алсын хостуудаас хуваагдаж байна).

зарим нэг бэрхшээл

бүх дотоод хаягууд нь нийтийн зэрэг өнгөлөн далдалсан оноос хойш, гадаад хостууд галт ханын (тодорхой нэг боомт руу холболтыг дахин чиглүүлэх явдал юм) дээр ямар нэг тусгай тохиргоо ямар тодорхой дотоод зангилаа нь холболт үүсгэх боломжгүй болж байна. Ийм IP телефон, видео хурал гэх мэт програмууд, эдгээр үйлчилгээ хэвийн ажиллахын тулд NAT нэвтрэлтийн арга техникийг ашиглах хэрэгтэй.

Буцах хаяг болон порт орчуулга (Rapt) хост, үүнээс бодит IP-хаяг Гэрийн сүлжээг тогтмол IP-хаяг нь сервер байгаа байх, үе үе харилцан адилгүй олгодог. Зарчмын хувьд энэ нь тохируулах серверүүд холболтыг хангах боломжийг олгох ёстой. энэ нь төгс шийдэл биш юм байгаа хэдий ч асуудал, энэ асуудлыг шийдэхийн тулд чиглүүлэгч дээр NAT хэрхэн тохируулах сүлжээний администратор нь Арсеналын өөр нэг ашигтай арга хэрэгсэл байж болох юм.

Порт Address Translation (PAT)

Cisco Rapt хэрэгжүүлэх Порт Хаягийн Хөрвүүлэлт нь олон нийтэд нэг зэрэг хэд хэдэн хувийн IP-хаяг харуулна (PAT) юм. Тэдний тус боомтын тоог хянаж байдаг, учир нь Олон хаяг, хаяг гэх мэт харагдах болно. PAT өгөгдөл дамжуулах чиглэлийг ялгаж, дотор дэлхий нийтийн IP дээр байгаа давтагдашгүй эх портын дугаарыг ашигладаг. Эдгээр тоо нь 16-битийн бүхэл тоо байна. гадна нэг рүү орчуулж болно Нийт дотоод хаягууд нь онолын хувьд 65536. нь тухайн нэг IP-хаяг даалгасан болно портуудын бодит тоог хүрч болох, PAT эхлэл порт "анхны" аврахаар хичээж буй тухай 4000. Ер нь юм. нь ашиглагдаж байгаа бол портын хаягийн Хөрвүүлэлт тухайн бүлгийн эхнээс эхлэн эхний боломжтой портын дугаарыг томилдог - 0-511, 512-1023, эсвэл 1024-65535. ямар ч боломжгүй портууд байдаг болон нэгээс илүү гадаад IP-хаяг байгаа бол, дараагийн PAT алхамууд эхлэл порт тодорхойлохын тулд хичээх болно. боломжтой ямар ч мэдээлэл байхгүй байна хүртлээ Энэ үйл явц үргэлжилж байна.

хаягийг харуулна болон порт Cisco IPv4 интранет дээр порт хаяг орчуулга мэдээлэл хонгилоор IPv6 пакетуудыг хослуулсан үйлчилгээг хэрэгжүүлсэн. Үнэн хэрэгтээ, IP-хаяг орчуулга / нь портыг дэмждэг гэсэн албан бус өөр CarrierGrade NAT болон DS-Lite (Тиймээс, болон NAT тохиргоог дэмжиж). Тиймээс энэ нь суурилуулах, холболтын засвар үйлчилгээ асуудлуудыг тойрон гарч, мөн IPv6 байршуулах шилжилтийн механизмыг олгодог.

орчуулга арга

сүлжээний хаяг, порт орчуулгыг хэрэгжүүлэх хэд хэдэн арга байдаг. Зарим програмууд нь програмууд нь шифрлэгдсэн сүлжээний үйл ажиллагаа явуулж байгаа, IP-хаяг хамтран ажиллах ашиглах протоколууд, та гадаад хаяг NAT (холболтын бусад эцэст ашиглаж байгаа нь), тодорхойлох ёстой, мөн үүнээс гадна, энэ нь судалж, дамжуулах төрлийг ангилах шаардлагатай олонтаа байдаг. Энэ нь хоёр харилцагч, аль аль нь бие даасан NAT байдаг хооронд шууд харилцаа холбооны сувгийг бий болгох (эсвэл серверээр дамжуулан өгөгдлийг тасралтгүй дамжуулах аварч, эсвэл үйл ажиллагааг сайжруулахын тулд) нь зүйтэй, учир нь ихэвчлэн энэ хийж байна.

Энэ зорилгоор (NAT хэрхэн тохируулах талаар) 2003 онд UDP нь 3489 Энгийн модоор нэвтрэх NATS дамжуулан олгодог тусгай протокол RFC боловсруулсан. Өнөөдөр, хуучирсан эдгээр аргууд нь одоо зөв олон төхөөрөмжүүдийн ажлыг үнэлэх хангалтгүй байдаг учраас. Шинэ арга RFC 5389 протокол, 2008 оны аравдугаар сард боловсруулсан нь стандартын дагуу болгосон. Энэ стандарт нь одоо SessionTraversal гэгддэг болон NAT нь ашигтай юм.

нь хоёр талын холбоог үүсгэх

пакет бүр TCP болон UDP IP эх үүсвэр хаяг болон портын дугаарыг, түүнчлэн очих боомт координатыг агуулдаг.

үйл ажиллагааны и-мэйл сервер зэрэг олон нийтийн үйлчилгээний хувьд, портын дугаар нь чухал юм. Жишээлбэл, боомт 80 SMTP мэйл серверийн - програм хангамж, вэб сервер, болон 25 холбогдсон байна. серверийн нийтийн IP-хаяг шуудангийн хаяг, утасны дугаар гэх мэт нь мөн чухал юм. Эдгээр параметрүүдийг хоёуланг нь холбох гэж байгаа бүх цэгээр authentically мэдэгдэж байх ёстой.

Хувийн IP-хаяг нь зөвхөн орон нутгийн сүлжээ, тэдгээр нь ашиглаж байгаа, түүнчлэн тухайн боомт чухал ач холбогдолтой байдаг. Портын хост дээр ганц эцсийн цэг холболт, тийм нийлмэл порт зураглал, IP-хаяг дэмжигдсэн бол NAT дамжуулан холболт юм.

PAT (Порт AddressTranslation) нэг эх үүсвэр нь портын дугаарыг ашиглан тэр үед өвөрмөц холбоог бий болгох хоёр өөр хостын хооронд гарч болох зөрчил шийдвэрлэдэг.