logo

TechCodeview

Překlad síťových adres (NAT)

Pro přístup k internetu je potřeba jedna veřejná IP adresa, ale můžeme použít privátní IP adresu v naší privátní síti. Myšlenkou NAT je umožnit více zařízením přístup k internetu prostřednictvím jedné veřejné adresy. K tomu je nutný překlad privátní IP adresy na veřejnou IP adresu. Překlad síťových adres (NAT) je proces, ve kterém je jedna nebo více lokálních IP adres přeložena na jednu nebo více globálních IP adres a naopak, aby byl místním hostitelům poskytnut přístup k internetu. Také provádí překlad čísel portů, tj. maskuje číslo portu hostitele jiným číslem portu v paketu, který bude směrován do cíle. Poté provede odpovídající záznamy IP adresy a čísla portu v tabulce NAT. NAT obecně funguje na routeru nebo firewallu.

Překlad síťových adres (NAT) funguje –
Obecně je hraniční směrovač konfigurován pro NAT, tj. směrovač, který má jedno rozhraní v místní (vnitřní) síti a jedno rozhraní v globální (vnější) síti. Když paket prochází mimo místní (uvnitř) síť, NAT převede tuto místní (soukromou) IP adresu na globální (veřejnou) IP adresu. Když paket vstoupí do místní sítě, globální (veřejná) IP adresa se převede na lokální (soukromou) IP adresu.



Pokud NAT dojdou adresy, tj. v nakonfigurovaném fondu nezůstane žádná adresa, pakety budou zahozeny a do cíle je odeslán paket s nedosažitelným hostitelem protokolu ICMP (Internet Control Message Protocol).

Proč maskovat čísla portů?
Předpokládejme, že v síti jsou připojeni dva hostitelé A a B. Nyní oba požadují stejnou destinaci, na stejném čísle portu, řekněme 1000, na straně hostitele ve stejnou dobu. Pokud NAT provádí pouze překlad IP adres, pak když jejich pakety dorazí na NAT, obě jejich IP adresy budou maskovány veřejnou IP adresou sítě a odeslány do cíle. Cíl bude odesílat odpovědi na veřejnou IP adresu routeru. Po obdržení odpovědi tedy nebude NAT jasné, která odpověď patří kterému hostiteli (protože čísla zdrojových portů pro A i B jsou stejná). Proto, aby se předešlo takovému problému, NAT maskuje také číslo zdrojového portu a provede záznam do tabulky NAT.

NAT vnitřní a vnější adresy –
Uvnitř odkazuje na adresy, které je třeba přeložit. Vnější odkazuje na adresy, které nejsou pod kontrolou organizace. Toto jsou síťové adresy, ve kterých bude proveden překlad adres.



    Vnitřní místní adresa – IP adresa, která je přiřazena hostiteli v vnitřní (místní) síti. Adresa pravděpodobně není IP adresa přidělená poskytovatelem služby, tj. jedná se o soukromé IP adresy. Toto je vnitřní hostitel viděný z vnitřní sítě.
    Vnitřní globální adresa – IP adresa, která vnějšímu světu představuje jednu nebo více vnitřních lokálních IP adres. Toto je vnitřní hostitel, jak je vidět z vnější sítě.
    Outside local address – Toto je skutečná IP adresa cílového hostitele v místní síti po překladu.
    Vnější globální adresa – Toto je vnější hostitel z vnější sítě. Je to IP adresa vnějšího cílového hostitele před překladem.

Typy překladu síťových adres (NAT) –
Existují 3 způsoby, jak nakonfigurovat NAT:

    Statický NAT – V tomto případě je jedna neregistrovaná (soukromá) IP adresa mapována s legálně registrovanou (veřejnou) IP adresou, tj. mapování jedna ku jedné mezi lokální a globální adresou. To se obecně používá pro webhosting. Ty se v organizacích nepoužívají, protože existuje mnoho zařízení, která budou potřebovat přístup k internetu a pro poskytování přístupu k internetu je potřeba veřejná IP adresa.

    Předpokládejme, že pokud existuje 3000 zařízení, která potřebují přístup k internetu, musí organizace koupit 3000 veřejných adres, což bude velmi nákladné.
    Dynamic NAT – U tohoto typu NAT je neregistrovaná IP adresa převedena na registrovanou (Veřejnou) IP adresu ze skupiny veřejných IP adres. Pokud IP adresa fondu není volná, paket bude zahozen, protože na veřejné adresy lze přeložit pouze pevný počet privátních IP adres.



    Předpokládejme, že pokud existuje fond 2 veřejných IP adres, pak lze v daný čas přeložit pouze 2 soukromé IP adresy. Pokud chce 3. soukromá IP adresa přistupovat k Internetu, paket bude zahozen, proto je mnoho privátních IP adres mapováno do fondu veřejných IP adres. NAT se používá, když je pevně stanoven počet uživatelů, kteří chtějí mít přístup k internetu. To je také velmi nákladné, protože organizace musí koupit mnoho globálních IP adres, aby vytvořila fond.
    Port Address Translation (PAT) – Toto je také známé jako přetížení NAT. V tomto případě lze mnoho místních (soukromých) IP adres přeložit na jedinou registrovanou IP adresu. Čísla portů se používají k rozlišení provozu, tj. který provoz patří ke které IP adrese. To se používá nejčastěji, protože je to nákladově efektivní, protože tisíce uživatelů se mohou připojit k internetu pouze pomocí jedné skutečné globální (veřejné) IP adresy.

Výhody NAT -

  • NAT zachovává legálně registrované IP adresy.
  • Poskytuje soukromí, protože IP adresa zařízení, odesílání a přijímání provozu, bude skryta.
  • Eliminuje přečíslování adres, když se síť vyvíjí.

Nevýhoda NAT -

  • Překlad má za následek zpoždění přepínací cesty.
  • Některé aplikace nebudou fungovat, pokud je povolen NAT.
  • Komplikuje tunelování protokolů, jako je IPsec.
  • Router, který je zařízením na síťové vrstvě, by také neměl manipulovat s čísly portů (přepravní vrstva), ale musí tak činit kvůli NAT.