network address translation tutorial with examples
Co je překlad síťových adres (NAT):
V tomhle Série výukových kurzů Výukový program pro vytváření sítí , prozkoumali jsme Rozdíly mezi modemem a routerem podrobně v našem předchozím tutoriálu.
V tomto tutoriálu prozkoumáme koncept překladu síťových adres (NAT) analýzou potřeby jeho zavedení, výhod, typů a metod implementace.
V počítačovém síťovém systému je NAT zaveden jako metodika záchrany, když se vyčerpal adresní prostor IPv4.
Co se naučíte:
Co je NAT?
NAT je proces opětovného přiřazení prostoru jedné adresy IP k dalšímu změnou dat síťové adresy v záhlaví IP datového paketu, zatímco cestují sítí přes cílový uzel.
NAT obecně funguje na směrovači nebo bráně a vzájemně propojuje dvě sítě překládáním soukromých adres na registrované adresy před přenosem dat do jiné sítě.
DVD Ripper pro Windows 10 ke stažení zdarma
NAT má potenciál vysílat do veřejné sítě pouze jednu IP adresu jménem celé interní sítě. Toto zajišťuje rys zabezpečení tím, že efektivně skrývá celkovou IP adresu privátní sítě za touto sólovou adresou.
NAT tedy nabízí dvojitou funkci překladu adres a zabezpečení pro síťové systémy.
Proč NAT?
V jakémkoli síťovém systému pro komunikaci mezi PC a webovými servery přes internet vyžadujeme pokaždé jedinečnou IP adresu, což je 32bitové číslo používané k vyhledání počítače nebo síťového zařízení, které chcete v síti oslovit.
V minulých desetiletích, když jsme používali schéma adresování IPV4, existovalo 2 ^ 32 prostředků, které mohly být zařízením přiřazeny 4,3 miliardy jedinečných adres pro komunikační účely. Skutečně dostupné adresy však byly menší, protože některé byly vyňaty, protože byly použity pro vysílání, testování a některé vyhrazené vojenské účely.
Zbylé adresy proto byly někde kolem 3,2 miliardy. Zdá se, že je to obrovské množství, ale kvůli nárůstu používání internetu ve všech oblastech, jako jsou domácí sítě, obchodní účely, sledování online videa; sdílení dat atd. adresy byly téměř vyčerpány.
Řešením tohoto omezení schématu adresování IPV4 je znovu vytvořit adresovací systém tak, aby mohlo existovat více možností pro přidělování adres. Toho lze dosáhnout zavedením schématu adresování IPV6.
Proces implementace tohoto však trval několik let, protože to vyžaduje změnu v celkové infrastruktuře síťového systému.
Mezitím je NAT zaveden a široce nasazen všude, což umožňuje, aby se síťové zařízení jako router chovalo jako agent mezi internetem a privátní sítí. Znamená to, že jedinečnou adresu IP lze použít k symbolizaci celkové třídy síťových zařízení, jako jsou počítače.
Druhy NAT
# 1) Statický NAT : To je také známé jako jeden k jednomu NAT. U tohoto druhu NAT se mezi celkovou síťovou adresou mění pouze IP adresy a kontrolní součet záhlaví. Ty jsou implementovány pro propojení dvou odlišných IP sítí, které mají nekompatibilní adresování.
[ obraz zdroj ]
# 2) Dynamický NAT : U tohoto typu NAT se mapování IP z neregistrované privátní sítě provádí s jedinou IP adresou registrované sítě ze třídy registrovaných IP adres.
# 3) Přetížení NAT : Je to také typ dynamického NAT, který se také označuje jako NAT typu one-to-many.
V tomto typu NAT pakety cestující v síti ze soukromé sítě do veřejné sítě znamenají, že internet bude mít změnu ve zdrojové adrese datového paketu a když se pakety vrátí zpět z veřejné sítě do soukromé sítě budou mít změnu v cílových IP adresách.
Kromě zdroje nebo cíle, IP adresy mají pakety u každého z datových paketů upravená nebo odlišná čísla portů, aby se předešlo nejasnostem v překladu. Tato kombinace čísla portu a upravené adresy IP je tedy mapována s registrovanou adresou IP soukromé sítě.
# 4) Překrývající se NAT: Někdy v síťovém systému jsou registrované adresy IP používané vnitřní sítí používány také jinou sítí a jsou registrovanými adresami IP dané sítě.
V tomto případě proto směrovač uchovává vyhledávací tabulku u sebe, aby mohl takové případy zachytit a vyměnit je za jedinečné registrované adresy IP.
Směrovač NAT překládá adresy IP pro interní i externí registrované adresy IP pro privátní síť.
Jak NAT funguje?
Než projdeme prací, pochopme terminologii používanou v NAT:
- Uvnitř místní adresa : Je to soukromá IP adresa soukromé sítě.
- Uvnitř globální adresy : Je to registrovaná veřejná IP adresa přidělená hostiteli privátní sítě, když iniciuje komunikaci s vnější sítí.
- Mimo globální adresu : Je to registrovaná IP adresa přidělená hostiteli na internetu.
- Mimo místní adresu : Je to místní IP adresa přidělená hostiteli ve veřejné doméně.
- Adresa používaná zařízeními vnitřní sítě ke vzájemné interní komunikaci je známá jako vnitřní lokální adresa.
- Adresa, kterou používají zařízení v interní síti ke komunikaci s externími síťovými zařízeními, se nazývá vnější místní adresa.
- Adresa používaná vnějšími síťovými zařízeními ke komunikaci se zařízeními v privátní síti je vnitřní globální adresa.
- Adresa používaná externími zařízeními ke vzájemné komunikaci je mimo globální adresu.
- Kdykoli kterákoli organizace vybudovala síťový systém, poskytovatel internetových služeb jim přidělí skupinu IP adres. Přiřazený rozsah adres zahrnuje registrované a jedinečné adresy IP, které se označují jako globální adresy.
- Neregistrovaná třída soukromých IP adres se skládá z vnějších místních adres, které jsou nasazeny směrovači NAT, a z vnitřních místních adres, které jsou používány místní sítí známou také jako doména se zakázaným inzerováním.
- Vnější místní adresa se používá k překladu jedinečných IP adres síťových zařízení pro veřejnou síť.
- Většina síťových zařízení v síti LAN používá pro komunikaci mezi nimi místní adresy a obvykle překlad nevyžadují. Nyní, když jakékoli zařízení v doméně se zakázaným inzerováním potřebuje komunikovat s jinou sítí, paket projde směrovačem NAT.
- Nyní router NAT vyhledá ve směrovací tabulce a zjistí, že má záznam pro cílovou adresu nebo ne. Pokud ano, pak přeloží paket a vytvoří pro něj záznam v tabulce překladu adres. Pokud adresa není nalezena, paket je odmítnut.
- Pomocí vnitřní globální adresy směrovač přesměruje datový paket na místo určení.
- Nyní koncový hostitel jako počítač ve veřejné síti předává datový paket do soukromé sítě. Tentokrát je původní adresa mimo globální adresu a přijímací adresa je typem vnitřní globální adresy.
- Směrovač NAT znovu vyhledá v překladové tabulce a zjistí, že cílová adresa je v tabulce, nebo ne, a poté vykreslí IP do této domény se zakázaným inzerováním, ke které patří.
- Překlad vnitřní globální adresy paketu na vnitřní místní adresu je proveden a je doručen na konec cílového hostitele.
- Jak již bylo zmíněno dříve, NAT používá funkci protokolu TCP / IP pro použití paketu IP s porty TCP nebo UDP s upraveným polem záhlaví IP pro účely překladu.
Záhlaví paketu IP tedy bude obsahovat následující pole:
Zdrojová adresa - IP adresa iniciujícího hostitelského počítače jako 192.178.120.10
Zdrojový port - Číslo portu TCP nebo UDP přidělené iniciačním počítačem, jako je port 1020
Cílová adresa - IP adresa přijímače PC jako 172.145.57.20
Cílový port - Port TCP nebo UDP, který iniciační hostitel požadoval, aby hostitel hostitele otevřel jako 4281.
Přidělení čísla portu je nezbytné, protože zajišťuje, že korelace mezi dvěma počítači má jedinečný identifikátor.
Příklad NAT
V níže uvedeném příkladu chce vnitřní hostitel (172.168.20.10) komunikovat s vnějším světem a adresa cílového webového serveru je 192.100.20.2. Poté odešle datový paket do routeru brány s povoleným NAT v síti pro další komunikaci.
Směrovač brány zjistí zdrojovou adresu IP paketu a vyhledá v tabulce, zda paket splňuje podmínku překladu. Směrovač brány udržuje seznam řízení přístupu (ACL), který vyhledává ověřovací hostitele pro účely interního překladu sítě.
Bude tedy překládat vnitřní místní IP adresu na vnitřní globální IP adresu, která je zde 192.100.10.25. Tento překlad poté uloží do tabulky NAT a směrovač brány nasměruje paket na místo určení.
Když se webový server internetu vrátí zpět k požadavku, paket se vrátí zpět na globální IP adresu 192.100.10.25 routeru.
Nyní směrovač brány znovu vyhledá v tabulce NAT, aby zjistil přeloženou adresu IP odpovídající globální adrese. Poté jej přeloží na vnitřní lokální adresu a pak je datový paket doručen hostiteli na adresu IP 172.168.20.10. Pokud v tabulce není nalezena shoda, paket je zahozen.
Jak funguje obrázek NAT:
Přetížení NAT nebo překlad adresy portu
Toto v podstatě používají domácí širokopásmové směrovače k mapování neregistrované adresy IP ze soukromé sítě na sólo registrovanou adresu IP veřejné domény.
Překlad adresy portu vykreslí několik neregistrovaných soukromých IP adres na registrovanou veřejnou sólovou IP adresu pomocí charakteristických portů. Aby PAT rozlišil mezi různými překlady prováděnými v domácí síti, nasadí exkluzivní čísla portů na vnitřní globální IP adresy.
Předpokládejme, že pro domácí síť, když se hostitelský počítač pokusí o přístup k Internetu, router NAT přidělí číslo portu své zdrojové adrese IP.
V jednom okamžiku domácí sítě používající internet může být více než jeden počítač, takže PAT zaručuje, že klientský počítač použije charakteristické číslo portu pokaždé, když zahájí novou relaci se serverem v Internetu.
Nyní bude router směrovat datový paket na základě čísla zdrojového portu, které se nyní změnilo na číslo cílového portu. Celý tento jev také zajišťuje bezpečnost komunikační relace, protože paket je vrácen v reakci na požadavek vznesený klientem.
Tabulka přetížení NAT
Uvnitř místní IP adresy | Uvnitř globální IP adresy | Vnější globální IP adresa | Vnější místní IP adresa |
---|---|---|---|
10.20.10.2:1666 | 192.134.30.4:1666 | 192.134.20.2:80 | 192.134.20.2:80 |
10.20.10.3:2444 | 192.134.30.4:2444 | 192.134.40.3:80 | 192.134.40.3:80 |
Z výše uvedeného obrázku je ukázáno, že přetížení NAT používá exkluzivní čísla portů zdroje na vnitřních globálních IP adresách k rozlišení mezi překlady, protože číslo portu 1666 a 2444 se používá k vyhledání datového paketu.
Zde je zdrojovou adresou vnitřní lokální IP adresa, která je uvedena v tabulce, a cílová adresa je vnější lokální IP adresa s číslem portu 80, protože přistupuje k internetu přes HTTP.
Na konci směrovače NAT přetížení NAT mění zdrojovou adresu na vnitřní globální IP adresu, jak je uvedeno v tabulce výše, a cílová adresa je nyní známá jako vnější globální IP adresa.
Double NAT
Double NAT je situace, kdy překlad síťových adres provádí více než jedno síťové zařízení, například směrovač v soukromé síti.
Nejjednodušší příklad je, když jsou modem DSL a směrovač Wi-Fi připojeny k síti s povoleným NAT v každém z nich. Hostitelská zařízení připojená k veřejné síti prostřednictvím směrovače Wi-Fi.
V tomto scénáři nebudou mít počítače přístup na internet, protože směrovač nemá žádnou svou vlastní veřejnou IP adresu, zatímco má soukromou IP adresu omezenou v rozsahu sítě DSL modemu.
Jak vyřešit problém s dvojitým NAT
Existuje několik způsobů, jak vyřešit problém s dvojitým NAT, ale které řešení bude přesně fungovat, bude záležet na druhu nastavení sítě.
# 1) Nastavte bezdrátový router do přemostěného režimu : To znamená, že přejdete na webové rozhraní routeru a ručně deaktivujete funkce NAT a DHCP bezdrátového routeru.
Pokud budou obě funkce deaktivovány, když je režim známý jako přemostěný režim a poté nakonfigurovat přesměrování portů funkce modemu k vyřešení problému Double NAT.
Snímek obrazovky níže ukazuje povolení režimu přemostění ve směrovači k překonání problému Double NAT.
[ obraz zdroj ]
# 2) Vytvořte PPPoE spojení mezi routerem a modemem: To není podporováno všemi ISP, ale je to jeden z nejlepších způsobů řešení problému Double NAT. Přejděte na nastavení WAN ve webovém rozhraní routeru a poté zaškrtnutím označte PPPoE pro konfiguraci připojení WAN. Tím se obejde NAT v modemu.
# 3) Povolit DMZ v modemu: Tím se váš router s funkcí DMZ připojí přímo k internetu a obejde nastavení IP routeru, firewallu a DHCP routeru NAT a zařízení tak automaticky získá hodnoty z routeru.
Kroky jsou následující:
- Nejprve se přihlaste do webového rozhraní routeru a zjistěte WAN IP adresu routeru.
- Nyní zadruhé, přihlaste se do nastavení správy modemu a v nastavení DMZ modemu nastavte adresu WAN routeru jako IP adresu. To umožní přesměrování portů a přenos bude směrován na nastaveného hostitele klienta.
Směrovač NAT
Směrovač NAT generuje síť IP adres pro místní síť a propojuje tuto síť LAN s veřejnou sítí, kterou je internet. NAT prováděný směrovačem umožní několika počítačům nebo hostitelským zařízením v síti LAN na zadním konci směrovače komunikovat se sítí WAN, tj. S internetem.
Směrovače NAT se používají pro domácí účely a pro malá průmyslová odvětví, protože směrovač se na internetu jeví jako samostatný hostitel se samostatnou adresou IP. To efektivně odráží skutečnost, že počítačům v místní síti routeru bude přidělena jedna IP adresa ve stejném časovém intervalu.
Směrovač NAT [ obraz zdroj ]
Vrozené zabezpečení routeru NAT
Směrovače NAT mají tuto vlastnost, že budou fungovat jako hardwarové zařízení brány firewall v síti a chrání síť LAN před jakýmkoli nežádoucím a neobvyklým provozem, který může síti ublížit.
Funguje tedy jako filtr mezi internetem a privátní sítí LAN a umožňuje procházet pouze provoz, který je oprávněn vstoupit do sítě.
Jak to funguje? Vzhledem k tomu, že směrovač propojuje síť LAN s internetem, je svědkem všech datových paketů odeslaných do sítě LAN ze sítě LAN. Směrovač uchovává interní tabulku připojení a ukládá každou cílovou adresu IP odchozího paketu a do ní přidělené číslo portu. Poté přidělí své vlastní IP adresu a číslo portu paketu pro potvrzení přenosu domů.
Nakonec uloží informace o konečném datovém paketu spolu s IP adresou a číslem portu do své aktuální tabulky připojení. Když některý z datových paketů přistane na routeru z Internetu, router to zkontroluje v aktuální tabulce připojení, kde je požadovaný balíček pro síť LAN zaškrtnutím v tabulce.
Pokud je nalezena ekvivalentní IP adresa a číslo portu, přesměruje ji do cílového počítače v síti LAN. A pokud shoda není nalezena, router smaže datový paket a označí jej jako nežádoucí provoz.
Tímto způsobem router NAT chrání vaše připojení k vnější síti a také v případě, že je v síti LAN připojeno pouze jedno zařízení. S routerem NAT nakonfigurovaným v síti tedy žádný z červů a škodlivého viru nemůže poškodit vaši síť.
Funkce zabezpečení routeru NAT
Výhody NAT:
- Díky správě a opětovnému použití adres IP může NAT zabránit vyčerpání schématu adresování IPV4.
- Poskytuje zabezpečení privátní síti z vnějšího světa tím, že zachovává tajemství zdrojové a cílové adresy IP z externí sítě.
- Poskytuje flexibilní síťový systém.
- Organizace soukromé sítě mohou pomocí protokolu NAT použít rozsah IP podle svého výběru pro vybudování interní sítě bez ohledu na poskytovatele služeb veřejného rozhraní.
Omezení NAT:
- Vzhledem k tomu, že NAT zkontroluje všechny příchozí a odchozí datové pakety, aby udržel tabulku připojení a další datový záznam v paměti procesoru, takže celkový proces bude vyžadovat velkou kapacitu a časovou náročnost.
- Všechna síťová zařízení a síťové systémy nejsou kompatibilní s technologií NAT, takže nebude fungovat všude ve všech scénářích.
- Kvůli několikanásobným změnám IP adres zařízení během procesu NAT je někdy velmi obtížné vysledovat dosažitelnost IP síťových komponent mezi koncovými body.
- NAT způsobuje neočekávané zpoždění v komunikačním systému.
Jaký zabezpečený protokol se doporučuje pro NAT: Neexistuje žádná taková specifikovaná sada protokolů, která by byla specificky použita pro NAT. Překlad však spadá do sady internetového protokolu (IP). Protokol TCP se také používá k překladu při provádění NAT směrovači.
Kromě těchto protokolů se v závislosti na scénáři sítě používají různé sady protokolů, jako jsou ICMP, UDP a IPSec, které jsou již vysvětleny v předchozích cvičeních.
Závěr
Z tohoto tutoriálu jsme pochopili důvod zavedení procesu překladu síťových adres v systému počítačové sítě a jeho význam.
Také jsme se pomocí různých příkladů a obrázků naučili typy a fungování NAT.
Výukový program PREV | DALŠÍ výuka
Doporučené čtení
- Standardy bezdrátové sítě LAN IEEE 802.11 a 802.11i a ověřovací standardy 802.1x
- 7 způsobů, jak opravit chybu „Výchozí brána není k dispozici“
- Modem Vs Router: Znát přesný rozdíl
- Průvodce hodnocením a správou zranitelnosti sítě
- Co je klíč zabezpečení sítě: Jak jej najít pro router, Windows nebo Android
- Co je to virtualizace? Příklady virtualizace sítí, dat, aplikací a úložišť
- Základní kroky a nástroje pro řešení potíží se sítí
- Co je Zabezpečení sítě: jeho typy a správa