A Network Address Translation (NAT) egy hatékony módszer, amellyel az egyének és a szervezetek biztonságos, költséghatékony és egyszerű internetkapcsolatot hozhatnak létre.
A NAT nemcsak biztonságot, hanem rugalmasságot, méretezhetőséget és sebességet is biztosít a webes kommunikációhoz.
A NAT használata azt is biztosítja, hogy hozzájáruljon a nyilvános IP-címek megőrzéséhez.
De mi is az a NAT pontosan, és miért kellene ennek megértésével vagy használatával foglalkozni?
Ebben a cikkben erre válaszolok.
Tehát kezdjük a NAT meghatározásával.
Tartalomjegyzék
Mi az a hálózati címfordítás (NAT)?
A Network Address Translation (NAT) az IP-címek egy tartományát képezi le másikra azáltal, hogy megváltoztatja a hálózati címadatokat továbbítás közben.
Más szóval, a NAT lehetővé teszi, hogy egy egyedi (Internet Protocol) IP-cím egy vagy több számítógépcsoportot képviseljen. Ez azt jelenti, hogy több eszköz nyilvánosan osztozik egy IP-címen egy hálózatban, még akkor is, ha magán IP-címeik vannak ugyanabban a hálózatban.
Kezdetben ezt a módszert arra használták, hogy kiküszöböljék annak szükségességét, hogy minden egyes gazdagéphez külön-külön új IP-címet rendeljenek, ha a upstream ISP-t (Internet Service Provider) megváltoztatták, vagy a hálózatot áthelyezték. Ennek ellenére a hálózat IP-címe változatlan marad.
Érdekes módon a NAT-átjáró egyetlen, irányítható IP-címet tud biztosítani, amely könnyen használható a teljes magánhálózathoz. Mivel a NAT megváltoztatja az IP-címadatokat az átvitel során, a különböző címzési esetekben eltérő viselkedésű NAT-megvalósítások léteznek, amelyek más hatással vannak a hálózati forgalomra.
Mit csinál a NAT?
A NAT-ban egy hálózati eszköz, például egy NAT tűzfal vagy útválasztó nyilvános IP-címet rendel egy számítógéphez vagy számítógépek egy csoportjához a magánhálózaton. Ily módon a NAT lehetővé teszi, hogy egy eszköz közvetítsen a nyilvános, privát és helyi hálózatok között.
Mit csinál a NAT?
A NAT megőrizheti az IP-címeket azáltal, hogy lehetővé teszi a privát IP-címek online csatlakozását nem regisztrált címek használatával. Mielőtt az adatcsomagokat továbbítaná a csatlakoztatott hálózatok között, a NAT lefordítja a helyi, privát hálózati címeket egyedi, globális és legális címekké.
A NAT konfigurációkkal csak egyetlen IP-cím lenne látható a külvilág számára, bár az a teljes hálózatot képviseli. Ennek eredményeként elrejtheti a teljes belső hálózatot, és nagyobb biztonságot és adatvédelmet kínálhat. A NAT-megvalósítások a legjobbak a távoli elérésű környezetekhez.
Hogyan működik a NAT?
A hálózati címfordítás lehetővé teszi, hogy egy eszköz, például egy NAT-útválasztó vagy tűzfal közvetítőként működjön a belső hálózat (helyi hálózat) és a külső hálózatok (internet) között. Ez lehetővé teszi, hogy az eszközök teljes csoportja ugyanazt az IP-címet tükrözze, amikor a hálózaton kívül végez valamit.
A NAT recepciósként viselkedik egy szervezetben, amely meghatározott utasítások alapján eldönti, hogy mely látogatókat vagy hívásokat küldje át, várja meg vagy tartsa távol. A NAT hasonlóan működik. Minden kérés a nyilvános porton és IP-címen érkezik. Itt a NAT utasítások határozzák meg, hogy a kérés hova kerüljön, miközben elrejti a cél privát IP-címét.
A NAT két különböző helyi hálózat – a külső és a belső hálózat – közötti átjárót választja. Az összes belső rendszernek lesz IP-címe, amelyet nem lehet külső hálózatra irányítani. Ezenkívül néhány külsőleg érvényes IP-cím hozzá lesz rendelve az átjáróhoz, ami lehetővé teszi, hogy a kimenő forgalom érvényes külső IP-címről érkezzen.
Ezután a bejövő forgalmat használja, és továbbítja a megfelelő belső rendszernek. Így jön létre a biztonság. Mivel a bejövő és kimenő kéréseknek át kell menniük egy fordítási folyamaton, nagyszerű módot kínál a bejövő forgalom ellenőrzésére és a kimenő adatfolyamokhoz való hozzáigazítására.
Példa egy NAT folyamatra
Íme egy példa a NAT működésére a való világban.
A felhasználó csatlakoztatja eszközeit otthoni Wi-Fi hálózatához. Az otthoni útválasztó privát IP-címet rendel az eszközhöz, amelyet csak ezen a hálózaton kell használni.
Tehát amikor a felhasználó megpróbál betölteni egy adott weboldalt, a cím kérni fogja a cél weboldalt az útválasztóján keresztül. Most a NAT útválasztó megváltoztatja a kérés forráscímét a hálózat nyilvános IP-címére az eszköz privát IP-címéről. Egy NAT tábla tárolja ezt a fordítást, ahol az átjáró megkeresi, hogy megállapítsa, hogy az adatcsomag megfelel-e a fordítási feltételnek.
Továbbá a szerver, amelyet a felhasználó megpróbál elérni, visszaküldi a kért adatcsomagot a hálózat nyilvános címére. Ezután az útválasztó módosítja a célcímet az eszköz privát IP-címére, miközben az adatcsomagokat a felhasználó eszközére irányítja.
A NAT típusai
A NAT különböző típusú, amelyeket különféle célokra használhat.
#1. SNAT
A statikus NAT (SNAT) egy olyan típusú NAT, amely a privát IP-címet nyilvános IP-címmé alakítja. A fordítás során következetesen ugyanazt a nyilvános IP-címet használja.
A SNAT leképezhet egy nem regisztrált IP-címet egy-egy NAT segítségével, hogy megfeleljen egy regisztrált IP-címnek. Ez azt jelenti, hogy a hálózaton lévő összes eszköznek ugyanaz a nyilvános címe. Ebben csak két dolog módosul a hálózati címben – a fejlécben és az IP-címben.
Hasznos azoknál az eszközöknél, amelyeket a felhasználóknak a külső hálózatról kell elérniük. Két különböző, inkompatibilis címmel rendelkező IP-hálózat összekapcsolásakor is használható. Ezenkívül webtárhelyen is használják. Az egyének és a kisebb szervezetek általában kevesebb eszközzel használják az SNAT-ot, hogy minimálisra csökkentsék a költségeket.
#2. DNAT
A dinamikus NAT (DNAT) egy olyan típusú NAT, amely egy privát IP-címet képez le nyilvános IP-címek készletéhez. A SNAT-tal ellentétben nem ugyanazt az IP-címet használja, hanem mást minden egyes fordításkor, de egy-egy kapcsolatot használ, mint például az SNT.
Ebben a DNAT tűzfal vagy útválasztó nyilvános, regisztrált IP-címek készlete áll rendelkezésre. Tehát amikor a DNAT egy hálózati címet privátról nyilvánosra fordít, lehetővé teszi az útválasztó számára, hogy bármely elérhető nyilvános IP-címet válasszon ebből a készletből. Ezután megkezdi a regisztrálatlan IP-címhez való hozzárendelését.
Következésképpen a DNAT lehetővé teszi egy eszköz számára, hogy minden fordításhoz különböző IP-címekkel rendelkezzen. Ez azt jelenti, hogy nem tudhatja, hogy egy privát cím melyik globális IP-címhez van hozzárendelve. Ez egy hatékony megoldás, mivel több eszközt csatlakoztathat a hálózathoz.
Ez azonban költséges lehet, mivel nyilvános IP-készletbe kell fektetni. Ráadásul a továbbítható adatcsomagok száma korlátozott. Csak a készletben elérhető nyilvános IP-címek számával megegyező adatcsomagokat küldhet és fogadhat.
Alkalmas nagy, több belső hálózattal rendelkező szervezetek számára. Az is nagyszerű, ha meghatározott számú felhasználója szeretne internet-hozzáférést elérni.
#3. PAT
A Port Address Translation (PAT), más néven NAT-túlterhelés, ahol minden belső eszköz közös nyilvános IP-címet használ. Azonban minden privát IP-címhez más port lesz rendelve.
A PAT-ban különböző portokat használnak a különböző helyi, nem regisztrált és privát IP-címek egyetlen regisztrált IP-címhez való hozzárendelésére. Azt is megkülönbözteti, hogy melyik hálózati forgalom melyik IP-címnek felel meg.
A PAT egyfajta NAT, ahol az adatcsomagok forráscíme megváltozik, amikor a privát hálózatról nyilvános hálózatra jutnak. Ezenkívül megváltozik a célcímük, amikor visszatérnek a nyilvánosról a magánhálózatra.
Ezen túlmenően, az adatcsomagok portszámai megváltoztak, hogy a fordítás egyértelmű legyen. A megváltozott IP-cím és portszám kombinációja egy regisztrált privát IP-cím használatával van leképezve.
Sokan a PAT-ot költséghatékonyabbnak tartják, mint a NAT-ot. Ennek az az oka, hogy sok felhasználó egyetlen nyilvános IP-cím használatával csatlakozhat az internethez. Tehát nem számít, hogy Ön egy nagy, kicsi vagy közepes méretű szervezet. Használhatod.
A SNAT, DNAT és PAT mellett tanúja lehet az RNAT-nak és az átfedő NAT-nak is.
- Az RNAT lehetővé teszi a hálózathoz való csatlakozást a nyilvános internet vagy az internet használatával.
- Átfedő NAT akkor fordul elő, amikor két szervezet RFC 1918 IP-címeket használó hálózata egyesül. Ez akkor is előfordulhat, ha a regisztrált IP-címeket több eszközhöz osztják ki, vagy több belső hálózatban használják. Itt az átfedő NAT összeköti a hálózatokat anélkül, hogy minden eszközt újracímezne.
Miért fontos a NAT?
Egy eszköznek vagy hálózati rendszernek szüksége van egy IP-címre, egy egyedi, pontokkal elválasztott számkészletre, hogy kommunikálni tudjon az internettel. Ez a szám egy hálózati eszköz azonosítására és helyének meghatározására szolgál, valamint lehetővé teszi a felhasználók számára, hogy kommunikáljanak az internettel.
Az IP-címeknek két típusa van – Ipv4 és IPv6. Az internet kezdeti napjaiban mindössze 4,3 milliárd IPv4-címet hoztak létre. Azonban nem mindegyiket lehetett hozzárendelni az eszközhöz a kommunikáció létrehozásához. Néhányat tesztelésre, katonai és sugárzási célokra hagytak, míg a megmaradt 3B IP-k elérhetőek voltak a kommunikációhoz.
2019-ben a RIPE NCC kiosztotta a rendelkezésre álló készletből fennmaradó végső IPv4-címeket, amelyek kifogytak az IPv4-ből. Ennek ellensúlyozására bevezették az IPv6-címzést. Az IPv6 újra létrehozza az IP-címeket, és több lehetőséget biztosít a g címek kiosztására. A hálózati rendszer megváltoztatása vagy bevezetése azonban sok évbe telt.
Írja be a NAT-ot. A Cisco időközben bevezette a NAT-ot, amely mára széles körben elterjedt.
A NAT értékes és népszerű módja a globális címterület megőrzésének, különösen akkor, ha az IPv4-címek kimerültek. A NAT a magánhálózati IP-címtartományok elrejtésére is szolgál a költséghatékonyság és a biztonság érdekében.
A NAT előnyei
IP-cím megőrzése
A NAT segít megőrizni a legálisan regisztrált IP-címeket, és megakadályozza azok kimerülését. A világszerte növekvő internetfelhasználók számát tekintve ez egy nagyszerű kezdeményezés annak érdekében, hogy az internetet mindenki számára hozzáférhető hellyé tegyük.
Biztonság
A NAT segítségével fokozott biztonsággal és adatvédelemmel érheti el az internetet, mivel elrejtheti eszköze IP-jét a nyilvános hálózat elől, még az adatcsomagok átvitele közben is. A NAT sebességkorlátozása azt is lehetővé teszi, hogy korlátozza az útválasztón egyidejűleg végrehajtható NAT-műveletek maximális számát.
Így jobban kézben tarthatja a NAT-címek használatát, és minimalizálhatja a vírusok, férgek, szolgáltatásmegtagadási (DoS) támadások stb. hatásait. A dinamikus NAT (DNAT) megvalósítása automatikusan tűzfalat hoz létre az internet és a belső hálózat között. Ezenkívül egyes NAT-routerek biztonsági funkciókat is kínálhatnak, például forgalomszűrést és naplózást.
Több kapcsolat
Több internetkapcsolat létrehozása segít megőrizni a hálózat megbízhatóságát, és csökkenti a kapcsolat meghibásodása esetén bekövetkező leállások lehetőségét. A terheléselosztáshoz is hozzájárul azáltal, hogy csökkenti az egyetlen csatlakozást használó eszközök számát.
Ezenkívül a több otthonos hálózatok általában több internetszolgáltatóhoz csatlakoznak, amelyek egyetlen vagy több IP-címet rendelnek egy szervezethez. Ráadásul az útválasztók használhatják a NAT-ot a különböző NAT-protokollokkal rendelkező hálózatok irányítására.
Ezenkívül a több otthonos hálózat úgy kommunikál, hogy lehetővé teszi az útválasztó számára, hogy kihasználja a TCP vagy IP protokoll egy részét, a Border Gateway Protocol (BGP) protokollt. Hasonlóképpen, az aldomain helyek belső BGP (IBGP) segítségével osztoznak, míg az útválasztók külső BGP-t (EBGP) használnak az interakcióhoz. Ha a kapcsolat meghiúsul, a multi-homing átirányítja az adatokat egy másik útválasztón keresztül.
Sebesség
A NAT átláthatóbb a forrás- és célszámítógépek számára, mint a proxykiszolgálók. Ez lehetővé teszi a gyors közvetlen kereskedést. A proxyszerverek általában az OSI-modell negyedik rétegében vagy szállítási rétegében, vagy még ennél is magasabb szinten működnek. Ez lassabbá teszi őket, mint a NAT, amely a harmadik vagy a hálózati rétegben található.
Méretezhetőség
Az Ön igényeinek több IP-címre lesz szüksége a felhasználóknak és az eszközöknek, amikor az Ön igényei nőnek. Tehát kihasználhatja a NAT-ot ahelyett, hogy további IP-címeket kérne az IANA-tól. És ha a NAT-ot Dynamic Host Configuration Protocol-lal (DHCP) használja, a méretezés könnyebbé válik.
Ennek az az oka, hogy a NAT és a DHCP jól együttműködik a nem regisztrált IP-címek kiosztásában az aldomain számára a rendelkezésre álló listából az Ön igényei szerint. Így kibővítheti az elérhető IP-címtartományt, a DHCP pedig gyorsan konfigurálhatja és helyet biztosíthat több hálózati számítógépnek.
Rugalmasság és egyszerűség
A NAT rugalmasságot kínál a telepítésben és a kapcsolatok létrehozásában. Vezeték nélküli, nyilvános LAN-on telepítheti. Néha a statikus NAT (SNAT) és a bejövő leképezés lehetővé teszi a külső eszközök számára, hogy eszközkapcsolatokat hozzanak létre az aldomainben.
Ezenkívül a NAT csökkenti a bonyolultságot, és egyszerű internetkapcsolatokat tesz lehetővé, mivel nincs szükség az IP-címek újraszámozására a hálózat módosítása vagy összevonása után. A NAT lehetővé teszi egy virtuális gazdagép létrehozását is a belső hálózatban, amely koordinálja a TCP terheléselosztását.
A NAT korlátai
A NAT korlátai
A NAT néhány korlátozása:
- Erőforrásokat fogyaszt: A NAT jelentős processzorterületet és memória erőforrásokat fogyaszthat. Ennek az az oka, hogy lefordítja az összes IPv4-címet a bejövő és kimenő IPv4-datagramokhoz, valamint elmenti az összes fordítási részletet a memóriába.
- Funkcionalitás: A NAT engedélyezése egyes technológiák és alkalmazások funkcionalitásának csökkenését eredményezheti.
- Alagútépítési komplikációk: A NAT bonyolíthatja az alagútkezelési protokollokat. Ehhez használhatja az IPsec-et a biztonságos hálózati címfordításhoz.
- Rétegproblémák: Ha egy útválasztó NAT-eszközként működik, portszámként beavatkozhat a 4. rétegbe vagy a szállítási rétegbe, mivel a 3. rétegre vagy a hálózati rétegre vonatkozik.
- Késések: Az útvonal késések fordulhatnak elő a fordítás során.
Néhány gyakori kifejezés a NAT-ban
- Forráscím: A kezdeményező gazdagép IP-címe.
- Forrásport: A kezdeményező gazdagép által hozzárendelt TCP/UDP portszám.
- Cél címe: A vevő IP-címe.
- Cél port: Ez az a TCP vagy UDP port, amelynek megnyitását a kezdeményező gazdagép kéri a vevőtől.
- Belső helyi cím: Ez egy privát IP-cím, amely egy helyi (belső) hálózaton lévő gazdagéphez van hozzárendelve. Szolgáltató nem rendeli hozzá. Ez a belső gazdagép egy belső hálózathoz.
- Belső globális cím: Ez egy vagy több helyi IP-címet képviselő IP-cím. Ez a külső/külső hálózat belső gazdagépe.
- Helyi címen kívül: A célállomás valódi IP-címe a fordítás befejeztével a helyi hálózatban található.
- Külső globális cím: A külső célállomás IP-címe a fordítás előtt. Ez a külső/külső hálózat külső gazdagépe.
- Aldomain: Ez egy nem regisztrált privát IP-cím, amely a következőkből áll:
- NAT-tábla: A NAT újra hozzárendeli a portszámokat és IP-címeket, és nyomon követi őket egy NAT-fordítási táblával.
Tegyük fel, hogy egy útválasztó adatcsomagot kapott egy nyilvános IP-címhez rendelt helyi eszköztől. Az útválasztó mostantól megváltoztatja a forráseszköz IP-címét, lehetővé téve az IP-címének használatát. Ezután megváltoztatja a forrás portszámát, hogy biztosítsa a kapott csomagok kézbesítésére vonatkozó információkat. Az IP-címek újbóli hozzárendelése be van jelentkezve a NAT fordítási táblába.
Következtetés
A növekvő internetes felhasználók és a biztonsági problémák világszerte terjedése miatt szükség van egy biztonságosabb és hatékonyabb csatlakozási módra. A NAT célja ez. Segít megőrizni a nyilvános IP-címeket, miközben a biztonság, a sebesség, a rugalmasság és a méretezhetőség előnyeit biztosítja az internethez való csatlakozás során.