NAT - apa ini? NAT Pengaturan

Network Address Translation (NAT) adalah metode penataan kembali satu ruang alamat yang lain dengan mengubah informasi alamat jaringan dalam IP (Internet Protocol). Artinya, header paket berubah pada saat mereka berada di transit melalui perangkat routing. Metode ini awalnya digunakan untuk mengarahkan kesederhanaan lalu lintas di IP-jaringan, setiap host tanpa penomoran ulang. Ia menjadi alat populer dan penting untuk konservasi dan distribusi ruang alamat global dalam kondisi kekurangan alamat IPv4.

NAT - apa ini?

Penggunaan asli dari terjemahan alamat jaringan untuk memetakan setiap alamat dari satu ruang alamat ke alamat yang sesuai dalam ruang lainnya. Misalnya, perlu jika penyedia layanan Internet telah berubah, dan pengguna tidak mampu untuk mengumumkan rute baru ke jaringan. Di bawah kondisi mendatang penipisan global yang IP-address teknologi NAT ruang semakin digunakan sejak akhir 1990-an bersamaan dengan IP-enkripsi (yang merupakan metode transportasi beberapa alamat IP di ruang yang sama). Mekanisme ini diimplementasikan dalam perangkat routing yang menggunakan tabel terjemahan stateful untuk menampilkan "tersembunyi" alamat ke salah satu IP-address, dan meneruskan keluar IP-paket ke output. Jadi, mereka ditampilkan keluar dari perangkat routing. Dalam sebaliknya komunikasi saluran tanggapan ditampilkan dalam sumber IP-address menggunakan aturan yang disimpan dalam tabel terjemahan. Aturan tabel terjemahan, pada gilirannya, dibersihkan setelah periode singkat jika lalu lintas baru tidak memperbarui statusnya. Ini adalah mekanisme dasar NAT. Ini artinya?

Metode ini memungkinkan Anda untuk berkomunikasi melalui router hanya ketika sambungan dibuat ke jaringan terenkripsi, karena menciptakan tabel terjemahan. Misalnya, web browser dalam jaringan dapat menelusuri situs luar negeri, tapi, jika tidak dipasang di luar, itu tidak dapat membuka sumber daya, diposisikan di dalamnya. Namun demikian, sebagian besar perangkat NAT hari ini memungkinkan administrator jaringan untuk mengkonfigurasi entri tabel terjemahan untuk digunakan permanen. Fitur ini sering disebut sebagai NAT statis atau port forwarding, dan memungkinkan lalu lintas yang berasal dari "luar" jaringan untuk mencapai host tujuan dalam jaringan dienkripsi.

Karena popularitas dari metode ini digunakan untuk melestarikan ruang alamat IPv4, istilah NAT (ini adalah apa yang sebenarnya - di atas), telah menjadi hampir identik dengan metode enkripsi.

Karena NAT mengubah informasi alamat IP-paket, ia memiliki implikasi serius bagi kualitas koneksi internet, dan membutuhkan perhatian terhadap detail pelaksanaannya.

Metode Menggunakan NAT berbeda satu sama lain dalam perilaku khusus mereka dalam kasus yang berbeda yang melibatkan dampak pada lalu lintas jaringan.

NAT dasar

Jenis paling sederhana dari Network Address Translation (NAT) menyediakan menyiarkan alamat IP dari "satu-ke-satu." RFC 2663 adalah jenis utama dari siaran. Dalam jenis ini perubahan hanya IP-address dan checksum IP-header. Jenis utama dari penerjemahan dapat digunakan untuk menghubungkan dua IP-jaringan yang menangani tidak kompatibel.

NAT - adalah bahwa menghubungkan "satu-ke-banyak"?

Kebanyakan varietas NAT dapat memetakan beberapa host swasta untuk ditunjuk publik IP-address tunggal. Dalam konfigurasi khas, jaringan lokal menggunakan salah satu alamat yang ditunjuk "swasta" IP-subnet (RFC 1918). Router pada jaringan yang memiliki alamat pribadi di ruang ini.

router juga menghubungkan ke Internet menggunakan "publik" alamat yang diberikan oleh ISP Anda. Sebagai lalu lintas melewati dari jaringan lokal ke alamat Internet dari sumber masing-masing paket diterjemahkan dengan cepat dari alamat pribadi untuk umum. Router trek data dasar tentang setiap sambungan aktif (terutama alamat tujuan dan port). Ketika respon datang kembali kepadanya, ia menggunakan data koneksi yang disimpan selama fase keluar untuk menentukan alamat pribadi dari jaringan internal yang mengirim balasan.

Salah satu keuntungan dari fungsi ini adalah bahwa ia berfungsi sebagai solusi praktis untuk kelelahan yang akan datang dari ruang alamat IPv4. Bahkan jaringan yang besar dapat terhubung ke Internet melalui satu IP-address.

Semua paket datagram ke jaringan berbasis IP memiliki 2 IP-address - sumber dan tujuan. Biasanya, paket lewat dari jaringan pribadi ke jaringan publik, akan memiliki alamat sumber dari paket, mengubah selama transisi dari jaringan publik untuk kembali swasta. Lebih konfigurasi yang rumit juga yang mungkin.

fitur

fungsi NAT mungkin memiliki beberapa fitur khusus. Untuk menghindari kesulitan adalah bagaimana menerjemahkan paket kembali memerlukan modifikasi lebih lanjut mereka. Sebagian besar lalu lintas internet berjalan melalui protokol TCP dan UDP, dan nomor port berubah sehingga kombinasi IP-address dan nomor port di arah sebaliknya mulai untuk data yang dipetakan.

Protokol yang tidak didasarkan pada TCP atau UDP, membutuhkan metode yang berbeda dari terjemahan. Control Message Protocol Internet (ICMP), sebagai suatu peraturan, berkorelasi data yang ditransmisikan dengan koneksi yang ada. Ini berarti bahwa mereka harus ditampilkan menggunakan IP-address yang sama dan nomor ditetapkan awalnya.

Apa yang harus saya pertimbangkan?

Konfigurasi NAT pada router tidak memberinya kemungkinan koneksi "dari ujung ke ujung." Oleh karena itu, router ini tidak dapat berpartisipasi dalam beberapa protokol Internet. Pelayanan yang membutuhkan inisiasi dari TCP-koneksi dari jaringan eksternal atau pengguna tanpa protokol mungkin tidak tersedia. Jika router NAT tidak membuat banyak usaha untuk mendukung protokol tersebut, paket yang masuk tidak dapat mencapai tujuan mereka. Beberapa protokol dapat menampung satu terjemahan antara berpartisipasi host ( "mode pasif» FTP, misalnya), kadang-kadang dengan bantuan aplikasi gateway, namun sambungan dibuat ketika kedua sistem dipisahkan dari internet menggunakan NAT. Menggunakan NAT juga mempersulit seperti "tunneling" protokol, seperti IPsec, karena perubahan nilai dalam header, yang berinteraksi dengan integritas permintaan peninjauan.

Masalah saat ini

Senyawa "dari ujung ke ujung" adalah prinsip dasar dari Internet, ada sejak perkembangannya. Keadaan saat jaringan menunjukkan bahwa NAT merupakan pelanggaran terhadap prinsip ini. Spesialis ada keprihatinan serius tentang meluasnya penggunaan IPv6-in terjemahan alamat jaringan, dan menimbulkan masalah bagaimana untuk secara efektif menghilangkan itu.

Karena sifat fana dari tabel stateful disiarkan router NAT, perangkat jaringan internal kehilangan IP-koneksi, sebagai suatu peraturan, dalam waktu yang sangat singkat. Terlepas dari kenyataan bahwa NAT seperti di router, Anda dapat lupa fakta ini. Ini serius mengurangi waktu operasi perangkat kompak yang beroperasi pada baterai dan akumulator.

skalabilitas

Selain itu, ketika menggunakan NAT dilacak hanya port yang dapat dengan cepat habis aplikasi internal menggunakan beberapa koneksi simultan (misalnya, HTTP-permintaan untuk halaman web dengan sejumlah besar objek tertanam). Masalah ini dapat diatasi dengan memantau tujuan IP-address selain port (sehingga satu port lokal dibagi lebih jauh host).

beberapa kesulitan

Karena semua alamat internal menyamar sebagai publik, host eksternal menjadi tidak mungkin untuk memulai koneksi ke simpul internal tertentu tanpa konfigurasi khusus pada firewall (yang untuk mengarahkan koneksi ke port tertentu). Aplikasi seperti IP-telephony, video conferencing, dan layanan ini harus menggunakan teknik traversal NAT untuk berfungsi secara normal.

alamat pengirim dan port terjemahan (diculik) memungkinkan host, real IP-address yang bervariasi dari waktu ke waktu, untuk tetap tersedia sebagai server dengan tetap alamat IP dari jaringan rumah. Pada prinsipnya, itu harus memungkinkan pengaturan server untuk mempertahankan koneksi. Terlepas dari kenyataan bahwa ini bukan solusi sempurna masalah, itu bisa menjadi alat yang berguna lain di gudang administrator jaringan untuk memecahkan masalah, bagaimana mengkonfigurasi NAT pada router.

Port Address Translation (PAT)

implementasi Cisco diculik adalah Port Address Translation (PAT), yang menampilkan beberapa IP-address pribadi sebagai salah satu masyarakat. Beberapa alamat dapat ditampilkan sebagai alamat, karena masing-masing dari mereka dipantau oleh nomor port. PAT menggunakan nomor port sumber yang unik pada IP global yang dalam, untuk membedakan arah transfer data. Jumlah ini 16-bit bilangan bulat. Jumlah alamat internal yang dapat diterjemahkan ke dalam satu bagian luar, bisa mencapai teoritis 65536. Jumlah sebenarnya port yang IP-address tunggal dapat diberikan, adalah tentang 4000. Biasanya, PAT mencoba untuk menyelamatkan sumber port "asli". Jika sudah digunakan, Port Address Translation menugaskan pertama yang tersedia nomor port mulai dari awal kelompok masing - 0-511, 512-1023, atau 1.024-65.535. Ketika tidak ada lagi tersedia port dan ada lebih dari satu eksternal IP-address, yang PAT bergerak ke depan untuk mencoba mengidentifikasi port sumber. Proses ini berlanjut sampai tidak ada lagi data yang tersedia.

Menampilkan alamat dan port Cisco menerapkan layanan yang menggabungkan port alamat translasi data tunneling IPv6 paket melalui IPv4 intranet. Bahkan, alternatif informal yang CarrierGrade NAT dan DS-Lite, yang mendukung IP-address translation / port (dan, karena itu, mendukung pengaturan NAT). Dengan demikian, ia menghindari masalah dalam instalasi dan pemeliharaan koneksi, dan juga menyediakan mekanisme transisi untuk penyebaran IPv6.

metode penerjemahan

Ada beberapa cara untuk menerapkan terjemahan alamat jaringan dan port. Dalam beberapa aplikasi, protokol yang menggunakan aplikasi untuk bekerja dengan alamat IP, yang beroperasi di jaringan dienkripsi, Anda harus menentukan alamat eksternal NAT (yang digunakan di ujung sambungan), dan, apalagi, itu sering perlu untuk mempelajari dan mengklasifikasikan jenis transmisi. Biasanya ini dilakukan karena itu diinginkan untuk membangun saluran komunikasi langsung (atau menyimpan transmisi terganggu data melalui server atau untuk meningkatkan kinerja) antara dua klien, keduanya merupakan individu NAT.

Untuk tujuan ini, (cara mengkonfigurasi NAT) pada tahun 2003 mengembangkan RFC protokol khusus 3489 Traversal Sederhana dari UDP menyediakan melalui Nat. Hari ini adalah usang, karena metode ini saat ini tidak cukup untuk benar menilai karya banyak perangkat. Metode baru telah dibakukan dalam RFC 5389 protokol, yang dikembangkan pada bulan Oktober 2008. Spesifikasi ini sekarang dikenal sebagai SessionTraversal dan utilitas untuk NAT.

Menciptakan komunikasi dua arah

Tiap paket berisi TCP dan UDP IP-sumber alamat dan nomor port, serta koordinat pelabuhan tujuan.

Untuk layanan publik seperti server e-mail fungsional, nomor port adalah penting. Sebagai contoh, port 80 terhubung ke perangkat lunak, web server, dan 25 - untuk mail server SMTP. IP-address public server juga penting, seperti alamat pos atau nomor telepon. Kedua parameter ini harus otentik diketahui ke semua node yang akan terhubung.

Swasta alamat IP memiliki makna hanya dalam jaringan lokal, di mana mereka digunakan, serta port host. Port end unik sambungan jalur pada host, sehingga koneksi melalui NAT didukung oleh port pemetaan gabungan dan alamat IP.

PAT (Port AddressTranslation) menyelesaikan konflik yang mungkin timbul antara dua host yang berbeda menggunakan nomor port sumber yang sama untuk membangun koneksi yang unik pada saat yang sama.