Транслятор сетевых адресов NAT
Развитие и широкое применение сетевых технологий в науке, производстве и бизнесе и коммерциализация Internet привели к взрывному росту количества подключений. 32-разрядного адресного пространства, предусмотренного спецификацией IPv4, к тому же используемого нерационально, стало катастрофически не хватать.
Возникший в наше время дефицит IP-адресов частично решается с помощью протокола трансляции сетевых адресов.
Первым шагом в решении проблемы ограничений IPv4 было определение блоков адресов, которые могли бы использоваться повторно. Ими стали диапазоны адресов 10.0.0.0 – 10.255.255. 255; 172.16.0.0 – 172.16.255.255 и 192.168.0.0 – 192.168.255.255. RFC 1918 гарантировал, что они никогда не будут применяться во внешних сетях.
В своей основе NAT позволяет одному устройству, такому, как маршрутизатор, действовать в качестве посредника между Internet и локальной (частной) сетью. Это значит, что только один IP-адрес требуется для подключения к Internet (или к любой внешней сети) целой группы компьютеров. Заметим, что преодоление ограничений адресации является не единственным назначением NAT. Дополнительно с помощью этого протокола решаются также вопросы безопасности и администрирования.
Для использования NAT маршрутизатор, подсоединяющий LAN к Internet, имеет два IP-адреса (для простоты мы возьмем двухпортовый маршрутизатор). Один (внутренний) со стороны LAN, который выбирается из зарезервированного RFC 1918 адресного пространства, и второй (внешний) – со стороны Internet, предоставляемый оператором услуг Internet. Теперь продолжим рассмотрение нашего примера. Клиент посылает пакет узлу с адресом someserver.com. В заголовке пакета содержатся IP-адрес и номер порта источника наряду с IP-адресом и номером порта получателя. Когда пакет прибывает на маршрутизатор, тот модифицирует заголовок таким образом, что в Internet отправляется пакет, содержащий внешний IP-адрес маршрутизатора и номер порта источника, присвоенный из набора доступных адресов, имеющихся в таблице маршрутизатора, и те же IP-адрес и номер порта получателя, сгенерированные компьютером клиента. Далее маршрутизатор добавит в свою таблицу запись, которая приводит в соответствие внутренний адрес и номер порта машины клиента номеру порта, присвоенному этой сессии. Когда узел someserver.com посылает ответный пакет маршрутизатору, тот согласно таблице восстанавливает адресные атрибуты клиента и направляет пакет во внутреннюю сеть. Таким образом, NAT может представлять сотни компьютеров внутренней сети только одним внешним IP-адресом.
Реализация динамической схемы NAT автоматически создает брандмауэр между внутренней и внешней сетями или Internet. Динамическая трансляция позволяет осуществлять соединения, инициированные только компьютерами внутренней сети. Это значит, что компьютеры из внешней сети не могут подключаться к рабочей станции LAN, если только последняя не инициирует соединение. Таким образом, компьютеры внутренней сети могут осуществлять Internet-серфинг их и даже загружать файлы с сайтов, но никто извне не может захватить их IP-адреса и использовать последние для соединения с каким-нибудь портом клиентского компьютера. С помощью NAT маршрутизаторы способны выполнять фильтрацию пакетов и регистрацию трафика. Это позволяет контролировать посещаемость Web-узлов сотрудниками организации и тем самым предотвращать просмотр материалов сомнительного содержания.
Преимущества протокола NAT
NAT выполняет две важных функции:
1) Позволяет сэкономить IP-адреса, транслировав несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньше, чем внутренних).
2) Позволяет предотвратить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Для остальных пакетов, поступающих снаружи, соответствующей трансляции не существует, поэтому они не пропускаются.
Недостатки протокола NAT
Не все протоколы могут «преодолеть» NAT. Некоторые (например, IPSec) не в состоянии работать, если на пути между взаимодействующими хостами есть трансляция адресов. Некоторые межсетевые экраны, осуществляющие трансляцию IP-адресов, могут исправить этот недостаток, соответствующим образом заменяя IP-адреса не только в заголовках IP, но и на более высоких уровнях (например, в командах протоколов FTP или H.323).
Из-за трансляции адресов «много в один» появляются дополнительные сложности с идентификацией пользователей. Необходимо хранить полные логи трансляций.
Яндекс.Новости