Hálózati cím fordítása



Soha az emberiség történetében nem volt ennyi információ róla A hálózati címfordítás felfedezése 2023-ban: Átfogó útmutató mint ma az internetnek köszönhetően. Azonban ez a hozzáférés minden kapcsolódó A hálózati címfordítás felfedezése 2023-ban: Átfogó útmutató nem mindig könnyű. Telítettség, rossz használhatóság és a helyes és helytelen információk megkülönböztetésének nehézsége A hálózati címfordítás felfedezése 2023-ban: Átfogó útmutató gyakran nehéz leküzdeni. Ez motivált bennünket egy megbízható, biztonságos és hatékony webhely létrehozására.

Egyértelmű volt számunkra, hogy célunk eléréséhez nem elegendő a helyes és ellenőrzött információk birtokában A hálózati címfordítás felfedezése 2023-ban: Átfogó útmutató . Minden, amiről összegyűjtöttünk A hálózati címfordítás felfedezése 2023-ban: Átfogó útmutató is áttekinthetően, olvashatóan, a felhasználói élményt megkönnyítő struktúrában, letisztult és hatékony dizájnnal, a betöltési sebességet előtérbe helyezve kellett bemutatni. Bízunk benne, hogy ezt elértük, bár mindig azon dolgozunk, hogy apróbb fejlesztéseket tegyünk. Ha megtaláltad, amiben hasznosnak találtad A hálózati címfordítás felfedezése 2023-ban: Átfogó útmutató és jól érezte magát, nagyon boldogok leszünk, ha visszatér scientiaen.com amikor csak akarja és kell.

Hálózati cím fordítása magánhálózat és az internet között

Hálózati cím fordítása (NAT) egy IP leképezési módszer címtér módosításával egy másikba hálózati cím információk a IP-fejléc csomagokat, miközben azok egy forgalomban vannak útválasztó eszköz. A technikát eredetileg arra használták, hogy megkerüljék annak szükségességét, hogy minden gazdagéphez új címet rendeljenek, amikor egy hálózatot áthelyeztek, vagy amikor a felfelé irányuló Internet szolgáltatók ki lett cserélve, de nem tudta irányítani a hálózat címterét. Népszerű és nélkülözhetetlen eszközzé vált a globális címtér megőrzésében IPv4 cím kimerültség. Egy internetes útválasztó IP-cím egy NAT-átjáró egy egészhez használható magánhálózati.

Mivel a hálózati címfordítás módosítja a csomagokban lévő IP-címinformációkat, a NAT-megvalósítások különböző címzési esetekben és a hálózati forgalomra gyakorolt ​​hatásukban változhatnak. A NAT viselkedésének sajátosságait általában nem dokumentálják a NAT-megvalósításokat tartalmazó berendezések szállítói.

Alap NAT

A NAT legegyszerűbb típusa biztosítja az IP-címek egy az egyhez fordítását. Az RFC 2663 az ilyen típusú NAT-ra hivatkozik alap NAT; más néven a egy az egyhez NAT. Ebben a típusú NAT-ban csak az IP-címek, IP-fejléc checksum, és az IP-címet tartalmazó magasabb szintű ellenőrző összegek módosulnak. Az alapszintű NAT használható két inkompatibilis címzésű IP-hálózat összekapcsolására.

Egy a többhez NAT

Hálózati cím leképezés

A hálózati címfordítók többsége több privát gazdagépet társít egy nyilvánosan elérhető IP-címhez.

Íme egy tipikus konfiguráció:

  1. A helyi hálózat a kijelöltek egyikét használja magán IP-cím alhálózatok (RFC 1918).
  2. A hálózat rendelkezik egy routerrel, amely privát és nyilvános címmel is rendelkezik. A privát címet az útválasztó a helyi magánhálózat más eszközeivel való kommunikációhoz használja. A nyilvános cím (általában egy Internet szolgáltatók) az útválasztó az internet többi részével való kommunikációhoz használja.
  3. Ahogy a forgalom a hálózatról az internetre halad, az útválasztó lefordítja az egyes csomagokban lévő forráscímeket egy privát címről az útválasztó saját nyilvános címére. A router nyomon követi az alapadatokat minden aktív kapcsolatról (különösen a célcímet és kikötő). Amikor az útválasztó bejövő forgalmat fogad az internetről, a kimenő fázisban tárolt kapcsolatkövetési adatok alapján határozza meg, hogy melyik privát címre (ha van ilyen) továbbítsa a választ.

Minden IP-csomagnak van forrás IP-címe és cél IP-címe. Általában a magánhálózatból a nyilvános hálózatba átmenő csomagok forráscíme módosul, míg a nyilvános hálózatból a magánhálózatba visszamenő csomagok célcíme módosul. A válaszok lefordításának félreértéseinek elkerülése érdekében további módosításokra van szükség a csomagokon. Az internetes forgalom nagy része igénybe veszi Transmission Control Protocol (TCP) ill User Datagram Protocol (UDP). Ezeknél a protokolloknál a portszámok úgy módosulnak, hogy az IP-cím kombinációja (a IP-fejléc) és a portszámot (a Szállítási réteg fejléce) a visszaküldött csomagon egyértelműen leképezhető a megfelelő magánhálózati célállomásra. Az RFC 2663 ezt a kifejezést használja hálózati cím és port fordítás (NAPT) ehhez a típusú NAT-hoz. Egyéb nevek közé tartozik port cím fordítása (PAT), IP-maszkolás, NAT túlterhelés és a sok az egyhez NAT. Ez a NAT leggyakoribb típusa, és a közhasználatban a "NAT" kifejezés szinonimájává vált.

Ez a módszer csak akkor teszi lehetővé az útválasztón keresztüli kommunikációt, ha a beszélgetés a magánhálózatból indul, mivel a kezdeti kiinduló átvitel határozza meg a szükséges információkat a fordítási táblákban. Így a webböngésző A magánhálózaton belül a hálózaton kívüli webhelyeken böngészhetnének, míg a hálózaton kívüli webböngészők nem tudnának böngészni a hálózaton kívüli webhelyeken. A nem TCP-n és UDP-n alapuló protokollok más fordítási technikákat igényelnek.

Az egy a többhez NAT további előnye, hogy enyhíti IPv4 cím kimerültség azáltal, hogy egyetlen nyilvános IP-cím használatával egész hálózatok csatlakozhatnak az internethez.

Fordítási módszerek

A hálózati cím- és portfordítás többféleképpen is megvalósítható. Egyes, IP-címadatokat használó alkalmazásoknak meg kell határozniuk a hálózati címfordító külső címét. Ez az a cím, amelyet a külső hálózat kommunikációs partnerei észlelnek. Ezenkívül szükséges lehet a használt leképezés típusának vizsgálata és kategorizálása, például ha közvetlen kommunikációs útvonalat kíván létrehozni két kliens között, amelyek mindegyike külön NAT-átjáró mögött található.

Erre a célra az RFC 3489 egy úgynevezett protokollt írt elő Az UDP egyszerű bejárása NAT-okon keresztül (KÁBÍTÁS) 2003-ban. A NAT implementációkat a következő kategóriába sorolta teljes kúpú NAT, (cím) korlátozott kúp NAT, port-korlátozott kúp NAT or szimmetrikus NAT, és ennek megfelelő módszertant javasolt egy eszköz tesztelésére. Ezek az eljárások azonban azóta elavultak a szabványos státuszból, mivel a módszerek nem megfelelőek számos eszköz helyes értékeléséhez. Az RFC 5389 szabványosította az új módszereket 2008-ban és a mozaikszót KÁBÍTÁS most a specifikáció új címét jelenti: Session Traversal Utilities for NAT.

NAT megvalósítási osztályozások
Teljes kúpos NAT, más néven egy az egyhez NAT
  • Miután egy belső címet (iAddr:iPort) leképeztek egy külső címre (eAddr:ePort), az iAddr:iPortból származó csomagok az eAddr:ePorton keresztül kerülnek elküldésre.
  • Bármilyen külső gazdagép csomagokat küldhet az iAddr:iPortnak, ha csomagokat küld az eAddr:ePort címre.
Full Cone NAT.svg
(Cím)-restricted-cone NAT
  • Miután egy belső címet (iAddr:iPort) leképeztek egy külső címre (eAddr:ePort), az iAddr:iPortból származó csomagok az eAddr:ePorton keresztül kerülnek elküldésre.
  • Egy külső gazdagép (hAddr:any) csak akkor tud csomagokat küldeni az iAddr:iPortnak, ha csomagokat küld az eAddr:ePortnak, ha az iAddr:iPort korábban már küldött egy csomagot a hAddr:bármilyen. A „bármely” azt jelenti, hogy a portszám nem számít.
Korlátozott kúp NAT.svg
Port-korlátozott kúp NAT Mint egy címkorlátozott NAT-kúp, de a korlátozás magában foglalja a portszámokat is.
  • Miután egy belső címet (iAddr:iPort) leképeztek egy külső címre (eAddr:ePort), az iAddr:iPortból származó csomagok az eAddr:ePorton keresztül kerülnek elküldésre.
  • Egy külső gazdagép (hAddr:hPort) csak akkor tud csomagokat küldeni az iAddr:iPortnak, ha csomagokat küld az eAddr:ePortnak, ha az iAddr:iPort korábban már küldött egy csomagot a hAddr:hPort címre.
Port Restricted Cone NAT.svg
Szimmetrikus NAT
  • Egy belső IP-cím plusz egy cél IP-cím és port kombinációja egyetlen egyedi külső forrás IP-címhez és porthoz van leképezve; ha ugyanaz a belső gazdagép ugyanazzal a forráscímmel és porttal küld csomagot, de más célállomásra, akkor más leképezést használunk.
  • Csak egy külső gazdagép küldhet vissza csomagot, amely csomagot fogad egy belső gazdagéptől.
Szimmetrikus NAT.svg

Sok NAT-megvalósítás kombinálja ezeket a típusokat, ezért jobb, ha konkrét egyedi NAT-viselkedésre hivatkozunk, ahelyett, hogy a Cone/Symmetric terminológiát használnánk. Az RFC 4787 a megfigyelt viselkedésekre vonatkozó szabványos terminológia bevezetésével próbálja enyhíteni a zavart. A fenti táblázat minden sorában az első felsorolásnál az RFC úgy jellemezné a teljes kúpú, a korlátozott kúpos és a porton korlátozott kúpos NAT-okat, mint amelyek rendelkeznek Végpont-független leképezés, míg a szimmetrikus NAT-ot úgy jellemezné, hogy rendelkezik egy Cím- és portfüggő leképezés. A fenti táblázat minden sorában a második felsorolásnál az RFC 4787 a Full-Cone NAT-ot is úgy jelöli meg, hogy van Végpont-független szűrés, Restricted-Cone NAT as having an Címfüggő szűrés, Port-Restricted Cone NAT as having an Cím- és portfüggő szűrés, és a szimmetrikus NAT-ot, amely vagy egy Címfüggő szűrés or Cím- és portfüggő szűrés. A NAT viselkedésének az RFC-ben említett egyéb osztályozásai közé tartozik, hogy megőrzik-e a portokat, mikor és hogyan frissülnek a leképezések, használhatják-e a külső leképezéseket a belső gazdagépek (pl. hajcsavarás viselkedés), valamint a NAT-ok determinizmusának szintjét mindezen szabályok alkalmazásakor. Pontosabban, a legtöbb NAT kombinálódik szimmetrikus NAT a kimenő kapcsolatokhoz statikus port leképezés, ahol a külső címre és portra címzett bejövő csomagok egy adott belső címre és portra kerülnek átirányításra.

A NAT és a NAT bejárás típusa, a TCP portmegőrzésének szerepe

A NAT bejárás probléma akkor merül fel, amikor a különböző NAT-ok mögött álló társak megpróbálnak kommunikálni. A probléma megoldásának egyik módja a használata port forwarding. Egy másik módszer a különféle NAT bejárási technikák használata. A TCP NAT bejárás legnépszerűbb technikája az TCP lyukasztás.

A TCP lyukasztáshoz a NAT-nak követnie kell a kikötői megőrzés tervezés TCP-hez. Egy adott kimenő TCP kommunikációhoz ugyanazokat a portszámokat használják a NAT mindkét oldalán. A kimenő TCP-kapcsolatok NAT-portjának megőrzése kulcsfontosságú a TCP NAT-bejárásához, mivel TCP-ben egy port egyszerre csak egy kommunikációra használható, így a programok különálló TCP-foglalatokat kötnek a hálózathoz. efemer portok Minden egyes TCP-kommunikációhoz lehetetlenné teszi a NAT-port előrejelzését a TCP számára.

Másrészt az UDP esetében a NAT-oknak nincs szükségük portmegőrzésre. Valójában több UDP-kommunikáció (mindegyik külön végpont). Ez egyszerűvé teszi a port előrejelzését, mivel minden csomaghoz ugyanaz a forrásport.

Ezenkívül a NAT for TCP portmegőrzése lehetővé teszi, hogy a P2P protokollok kevésbé bonyolultak és kevesebb késleltetést kínáljanak, mivel nincs szükség harmadik fél (például STUN) igénybevételére a NAT-port felderítéséhez, mivel maga az alkalmazás már ismeri a NAT-portot.

Ha azonban két belső gazdagép megpróbál kommunikálni ugyanazzal a külső gazdagéppel ugyanazon portszámon, a NAT megpróbálhat másik külső IP-címet használni a második kapcsolathoz, vagy le kell mondania a portmegőrzésről, és át kell képeznie a portot.: 9 

Mivel a 2006, az ügyfelek nagyjából 70%-a P2P a hálózatok a NAT valamilyen formáját alkalmazták.

Implementáció

Kétirányú kommunikáció kialakítása

A kétirányú NAT-ban a munkamenet belülről és kívülről is létrehozható.

Minden TCP- és UDP-csomag tartalmaz egy forrásportszámot és egy célportszámot. Ezen csomagok mindegyike egy IP-csomagba van tokozva, amelynek IP-fejléc forrás IP-címet és cél IP-címet tartalmaz. Az IP-cím/protokoll/portszám hármasa az a-val való társítást határozza meg hálózati aljzat.

A nyilvánosan elérhető szolgáltatások, például a web- és levelezőszerverek esetében a portszám fontos. Például a 80-as port egy aljzaton keresztül csatlakozik a webszerver szoftver és a 25-ös port egy levelezőszerverhez SMTP démon. A nyilvános szerver IP-címe is fontos, globális egyediségében hasonló a postai címhez vagy telefonszámhoz. Mind az IP-címet, mind a portszámot helyesen kell tudnia minden sikeresen kommunikálni kívánó gazdagépnek.

Az RFC 1918-ban leírt privát IP-címek csak olyan magánhálózatokon használhatók, amelyek nem csatlakoznak közvetlenül az internethez. A portok az adott gazdagép egyedi kommunikációs végpontjai, így a NAT-eszközön keresztüli kapcsolatot a port és az IP-cím kombinált leképezése tartja fenn. A NAT belsejében található privát cím külső nyilvános címhez van rendelve. A portcímfordítás (PAT) feloldja azokat az ütközéseket, amelyek akkor keletkeznek, ha több gazdagép ugyanazt a forrásportszámot használja különböző külső kapcsolatok egyidejű létrehozására.

Telefonszám-kiterjesztés analógia

A NAT-eszköz hasonló egy olyan iroda telefonrendszeréhez, amely egy nyilvános telefonszámmal és több mellékállomással rendelkezik. Úgy tűnik, hogy az irodából indított kimenő telefonhívások mind ugyanarról a telefonszámról érkeznek. Az olyan bejövő hívás azonban, amely nem határoz meg melléket, nem továbbítható automatikusan az irodán belüli személyhez. Ebben a forgatókönyvben az iroda privát LAN, a fő telefonszám a nyilvános IP-cím, az egyes mellékek pedig egyedi portszámok.

Fordítási folyamat

A NAT segítségével a külső gépeknek küldött összes kommunikáció tartalmazza a külső A NAT-eszköz IP-címe és portinformációi a belső gazdagép-IP-címek vagy portszámok helyett. A NAT csak a belső gazdagépei IP-címeit és portjait fordítja le, elrejti a magánhálózaton lévő belső gazdagép valódi végpontját.

Amikor a privát (belső) hálózaton lévő számítógép IP-csomagot küld a külső hálózatnak, a NAT-eszköz lecseréli a belső forrás IP-címét a csomag fejlécében a NAT-eszköz külső IP-címére. A PAT ezután hozzárendelhet egy portszámot a kapcsolathoz az elérhető portok készletéből, beillesztve ezt a portszámot a forrásport mezőbe. A csomag ezután a külső hálózathoz kerül továbbításra. A NAT-eszköz ezután bejegyzést készít egy fordítási táblázatban, amely tartalmazza a belső IP-címet, az eredeti forrásportot és a lefordított forrásportot. Az azonos belső forrás IP-címétől és portszámától származó későbbi csomagok ugyanarra a külső forrás IP-címére és portszámára fordítódnak. A NAT-on átesett csomagot fogadó számítógép kapcsolatot létesít a módosított csomagban megadott porttal és IP-címmel, figyelmen kívül hagyva, hogy a megadott címet lefordítják.

A külső hálózattól érkező csomag fogadásakor a NAT-eszköz a csomagfejlécben lévő célport alapján keres a fordítási táblában. Ha talál egyezést, a cél IP-címe és portszáma lecserélődik a táblázatban található értékekkel, és a csomag továbbítódik a belső hálózatba. Ellenkező esetben, ha a bejövő csomag célportjának száma nem található a fordítási táblában, a csomag eldobásra kerül vagy elutasításra kerül, mert a PAT-eszköz nem tudja, hova küldje.

A működés láthatósága

A NAT működése jellemzően átlátható mind a belső, mind a külső gazdagép számára. A NAT-eszköz a belső gazdagép alapértelmezett átjárójaként működhet, amely általában ismeri a külső gazdagép valódi IP-címét és TCP- vagy UDP-portját. A külső gazdagép azonban csak a NAT-eszköz nyilvános IP-címét és azt a portot ismeri, amely egy adott belső gazdagép nevében kommunikál.

Alkalmazási területek

útvonalválasztás
A hálózati címfordítással csökkenthető az IP-címek átfedése. Címátfedés akkor fordul elő, ha a különböző hálózatokon, azonos IP-címtérrel rendelkező gazdagépek ugyanazt a célállomást próbálják elérni. Ez legtöbbször hibás konfiguráció, és két hálózat vagy alhálózat egyesüléséből adódhat, különösen az RFC 1918 használatakor. magánhálózati megszólítás. A célállomáson láthatóan ugyanarról a hálózatról érkező forgalom észlelhető, és a közbenső útválasztóknak nincs módjuk meghatározni, hová kell küldeni a válaszforgalmat. A megoldás vagy a számozás az átfedés megszüntetése érdekében, vagy a hálózati cím fordítása.
Terheléselosztás
In kliens-szerver alkalmazások, terheléselosztók továbbítja a klienskéréseket a kiszolgálószámítógépek egy csoportjához, hogy kezelje az egyes kiszolgálók munkaterhelését. A hálózati cím fordítása használható a szerverfürt reprezentatív IP-címének leképezésére a kérést kiszolgáló adott gazdagépekhez.

Kapcsolódó technikák

IEEE A fordított cím- és portfordítás (RAPT vagy RAT) olyan gazdagépet tesz lehetővé, amelynek valódi IP-cím időről időre változik, hogy szerverként elérhető maradjon egy rögzített otthoni IP-címen keresztül. CiscoA RAPT megvalósítása PAT vagy NAT túlterhelés, és több privát IP-címet képez le egyetlen nyilvános IP-címre. Több cím is hozzárendelhető egyetlen címhez, mivel minden privát címet egy portszám követ. A PAT egyedi forrásportszámokat használ a belső globális IP-címen a fordítások megkülönböztetésére. A PAT megpróbálja megőrizni az eredeti forrásportot. Ha ez a forrásport már használatban van, a PAT hozzárendeli az első elérhető portszámot a megfelelő portcsoport 0–511, 512–1023 vagy 1024–65535 elejétől kezdve. Ha nincs több elérhető port, és egynél több külső IP-cím van konfigurálva, a PAT a következő IP-címre lép, hogy újra megpróbálja lefoglalni az eredeti forrásportot. Ez a folyamat addig folytatódik, amíg el nem fogynak a rendelkezésre álló portok és külső IP-címek.

Cím és port feltérképezése egy Cisco-javaslat, amely egyesíti Cím plusz kikötő fordítás az IPv4-csomagok alagútkezelésével egy internetszolgáltató belső szolgáltatóján keresztül IPv6 hálózat. Valójában ez egy (majdnem) hontalan alternatívája szolgáltatói szintű NAT és a DS-Lite hogy nyomja a IPv4 cím/port fordítási funkció (és a NAT állapot fenntartása) teljes egészében a meglévőbe ügyfélhelyiség berendezései NAT megvalósítás. Így elkerülve a NAT444 és a szolgáltatói szintű NAT állapotszerűségi problémái, valamint átmeneti mechanizmust biztosít a natív IPv6 egyidejű telepítéséhez, nagyon kevés bonyolultsággal.

Problémák és korlátok

A NAT-képes útválasztók mögötti gazdagépek nem rendelkeznek végpontok közötti kapcsolat és nem tud részt venni egyes internetes protokollokban. Kezdeményezést igénylő szolgáltatások TCP kapcsolatokat a külső hálózatról, vagy olyan állapot nélküli protokollokat használnak, mint például a használók UDP, megzavarható. Hacsak a NAT útválasztó nem tesz konkrét erőfeszítéseket az ilyen protokollok támogatására, a bejövő csomagok nem érhetik el a célt. Egyes protokollok egy NAT-példányt képesek befogadni a résztvevő gazdagépek között ("passzív mód" FTPpéldául), néha egy segítségével alkalmazás szintű átjáró (Lásd: § A NAT által érintett alkalmazások), de sikertelen, ha mindkét rendszert NAT választja el az internettől. A NAT használata is bonyolítja alagútépítési protokollok mint például IPsec mert a NAT olyan értékeket módosít a fejlécekben, amelyek zavarják az általa végzett integritás-ellenőrzéseket IPsec és más alagútépítési protokollok.

A végpontok közötti kapcsolat az internet alapelve volt, amelyet például a Internet Architecture Board. A jelenlegi internetes építészeti dokumentumok szerint a NAT megsérti a end-to-end elv, de a NAT-nak érvényes szerepe van a gondos tervezésben. Sokkal nagyobb aggodalomra ad okot az IPv6 NAT használata, és sok IPv6-építész úgy véli, hogy az IPv6-nak az volt a célja, hogy eltávolítsa a NAT szükségességét.

Egy olyan megvalósítást, amely csak a portokat követi, gyorsan kimeríthetik az olyan belső alkalmazások, amelyek több egyidejű kapcsolatot használnak, mint pl. HTTP sok beágyazott objektumot tartalmazó weboldal kérése. Ez a probléma enyhíthető a cél IP-címének követésével a porton kívül, így egyetlen helyi porton osztoznak sok távoli gazdagéppel. Ez a további nyomon követés növeli a megvalósítás bonyolultságát és a fordítóeszköz számítási erőforrásait.

Mivel a belső címek mindegyike egy nyilvánosan elérhető cím mögé rejtve van, lehetetlen, hogy külső gazdagépek közvetlenül kapcsolatot kezdeményezzenek egy adott belső gazdagéppel. Alkalmazások, mint pl VOIP, videókonferenciázás, és más peer-to-peer alkalmazásoknak kell használniuk NAT bejárás technikák a működéshez.

Töredezettség és ellenőrző összegek

A tisztán NAT, amely egyedül IP-n működik, lehet, hogy helyesen elemzi a protokollokat az IP-re vonatkozó információkat tartalmazó hasznos adatokkal, mint pl. ICMP. Ez attól függ, hogy a hasznos terhet értelmezi-e a gazdagép a belső or kívül a fordításról. Alapvető protokollok, mint TCP és a UDP nem működik megfelelően, hacsak a NAT nem lép fel a hálózati rétegen túl.

Az IP-csomagok mindegyik fejlécében van egy ellenőrző összeg, amely csak a fejléc hibaérzékelését biztosítja. Az IP-adatgramok töredezetté válhatnak, és a NAT-nak újra össze kell állítania ezeket a töredékeket, hogy lehetővé tegye a magasabb szintű ellenőrző összegek helyes újraszámítását és annak helyes nyomon követését, hogy mely csomagok melyik kapcsolathoz tartoznak.

A TCP-nek és az UDP-nek van egy ellenőrző összege, amely lefedi az általuk hordozott összes adatot, valamint a TCP- vagy UDP-fejlécet, valamint egy álfejléc amely tartalmazza a TCP vagy UDP fejlécet hordozó csomag forrás- és cél IP-címét. Ahhoz, hogy a kiinduló NAT sikeresen átadja a TCP-t vagy az UDP-t, újra kell számítania a TCP vagy UDP fejléc ellenőrző összegét a lefordított IP-címek, nem pedig az eredeti címek alapján, és ezt az ellenőrző összeget be kell helyeznie a töredezett készlet első csomagjának TCP vagy UDP fejlécébe. csomagok közül.

Alternatív megoldásként a kiinduló gazdagép is végrehajthat útvonal MTU Discovery hogy meghatározzuk a töredezettség nélkül továbbítható csomagméretet, majd állítsuk be a ne töredezzen (DF) bitet a megfelelő csomagfejléc mezőben. Ez csak egyirányú megoldás, mert a válaszoló gazdagép tetszőleges méretű csomagokat küldhet, amelyek a NAT elérése előtt feldarabolhatók.

Változatos kifejezések

DNAT

A célhálózati címfordítás (DNAT) a cél transzparens megváltoztatására szolgáló technika IP-cím egy irányított csomagot, és végrehajtja az inverz funkciót minden válasz esetén. Bármi router két végpont között elhelyezkedő, végrehajthatja a csomag ezen átalakítását.

A DNAT-t általában egy magánhálózatban található szolgáltatás közzétételére használják nyilvánosan elérhető IP-címen. A DNAT ezen használatát más néven port forwardingvagy Demilitarizált zóna egészben használva szerver, amely kiszolgáltatottá válik a WAN-nak, és hasonlóvá válik egy védtelen hadsereghez demilitarizált zóna (DMZ).

SNAT

A kifejezés jelentése SNAT gyártónként változik:

  • forrás NAT egy közös bővítés és a megfelelője cél NAT (DNAT). Ez az egy a sokhoz NAT leírására szolgál; NAT a közszolgáltatásokhoz való kimenő kapcsolatokhoz.
  • állapottartó NAT által használt Cisco Systems
  • statikus NAT a WatchGuard használja
  • biztonságos NAT által használt F5 hálózatok és a Microsoft (a ISA Server)

A biztonságos hálózati címfordítás (SNAT) a Microsoft része Internet Security and Acceleration Server és a beépített NAT-illesztőprogram kiterjesztése Microsoft Windows Server. Kapcsolatkövetést és szűrést biztosít a szükséges további hálózati kapcsolatokhoz FTP, ICMP, H.323és PPTP protokollokat, valamint egy transzparens HTTP konfigurálásának lehetőségét proxy szerver.

Dinamikus hálózati címfordítás

Hogyan működik a dinamikus NAT.

A dinamikus NAT, csakúgy, mint a statikus NAT, nem gyakori a kisebb hálózatokban, de megtalálható az összetett hálózatokkal rendelkező nagyobb vállalatoknál. Ahol a statikus NAT egy-egy belső és nyilvános statikus IP-cím leképezést biztosít, a dinamikus NAT egy csoport nyilvános IP-címekről.

NAT hajcsavarás

NAT hajcsavarás, más néven NAT loopback or NAT reflexió, számos fogyasztói útválasztó szolgáltatása ahol egy gép a LAN képes elérni egy másik gépet a LAN-on a LAN/router külső IP-címén keresztül (az útválasztón beállított porttovábbítással, hogy a kéréseket a LAN megfelelő gépére irányítsa). Ezt a fogalmat hivatalosan 2008-ban ismertették, RFC 5128.

Az alábbiakban egy példahálózatot ismertetünk:

  • Nyilvános cím: 203.0.113.1. Ez a címe a WAN interfész az útválasztón.
  • A router belső címe: 192.168.1.1
  • A szerver címe: 192.168.1.2
  • Helyi számítógép címe: 192.168.1.100

Ha csomagot küldenek a 203.0.113.1 számítógéppel a címen 192.168.1.100, a csomag általában a alapértelmezett átjáró (a router) A NAT loopback funkcióval rendelkező útválasztó ezt észleli 203.0.113.1 a WAN interfész címe, és úgy kezeli a csomagot, mintha arról az interfészről érkezne. Ez határozza meg az adott csomag célállomását a DNST (port forwarding) szabályai alapján. Ha az adatokat a 80-as portra küldték, és létezik egy DNAT-szabály a 80-as portra irányítva 192.168.1.2, akkor az adott címen lévő gazdagép megkapja a csomagot.

Ha nem áll rendelkezésre alkalmazható DNAT-szabály, az útválasztó eldobja a csomagot. An Az ICMP cél elérhetetlen válasz küldhető. Ha bármilyen DNAT-szabály volt jelen, a címfordítás továbbra is érvényben van; a router továbbra is átírja a forrás IP-címét a csomagban. A helyi számítógép (192.168.1.100) úgy küldi el a csomagot, mint ahonnan származik 192.168.1.100, de a szerver (192.168.1.2) úgy fogadja, mint ahonnan származik 203.0.113.1. Amikor a szerver válaszol, a folyamat megegyezik a külső feladóéval. Így kétirányú kommunikáció lehetséges a LAN hálózaton belüli gazdagépek között a nyilvános IP-címen keresztül.

NAT IPv6-ban

A hálózati címfordítást általában nem használják IPv6 mert az IPv6 egyik tervezési célja a végpontok közötti hálózati kapcsolat helyreállítása. Az IPv6 nagy címzési területe szükségtelenné teszi a címek megőrzését, és minden eszköz egyedi, globálisan irányítható címet kaphat. Használata egyedi helyi címeket kombinálva valamivel hálózati előtag fordítása a NAT-hoz hasonló eredményeket érhet el.

Az IPv6 nagy címzési területe továbbra is legyőzhető a szolgáltató által adott tényleges előtag hosszától függően. Nem ritka, hogy egy /64 előtagot – a legkisebb ajánlott alhálózatot – adják át egy teljes otthoni hálózathoz, amihez különféle technikák szükségesek a tartomány manuális felosztására, hogy minden eszköz elérhető maradjon. Időnként még a tényleges IPv6-IPv6 NAT, a NAT66 is hasznos lehet: az APNIC blog felvázol egy esetet, amikor a szerzőnek csak egyetlen címet adtak meg (/128).

A NAT által érintett alkalmazások

Néhány alkalmazás réteg protokollok, mint pl File Transfer Protocol (FTP) és Munkamenet-kezdeményezési protokoll (SIP), explicit hálózati címeket küldenek az alkalmazásadataikon belül. Az aktív módban lévő FTP például külön kapcsolatokat használ a forgalom vezérlésére (parancsok) és az adatforgalomra (fájltartalom). Fájlátvitel kérésekor a kérelmező gazdagép a megfelelő adatkapcsolatot azonosítja hálózati réteg és a szállítási réteg címek. Ha a kérelmet benyújtó gazdagép egy egyszerű NAT tűzfal mögött található, az IP-cím vagy a TCP-portszám fordítása érvényteleníti a szerver által kapott információkat. A SIP általában vezérli Voice over IP telefonál, és ugyanaz a probléma. SIP és a hozzá tartozó Session Description Protocol több portot használhat a kapcsolat létrehozásához és a hangfolyam továbbításához Valós idejű szállítási protokoll. Az IP-címek és portszámok a hasznos adatokban vannak kódolva, és ezeket ismerni kell a NAT-ok bejárása előtt. Különleges technikák nélkül, mint pl KÁBÍTÁS, a NAT viselkedése kiszámíthatatlan, és a kommunikáció meghiúsulhat. Alkalmazási réteg átjáró (ALG) szoftver vagy hardver javíthatja ezeket a problémákat. A NAT tűzfaleszközön futó ALG szoftvermodul frissíti a címfordítás miatt érvénytelenné tett hasznos adatokat. Az ALG-knek meg kell érteniük a javítandó magasabb szintű protokollt, ezért minden ezzel a problémával rendelkező protokollhoz külön ALG szükséges. Például sok Linux rendszeren vannak úgynevezett kernelmodulok kapcsolatkövetők amelyek az ALG-k végrehajtását szolgálják. Az ALG azonban nem működik, ha a protokolladatok titkosítva vannak.

Egy másik lehetséges megoldás erre a problémára a használata NAT bejárás protokollokat használó technikák, mint pl KÁBÍTÁS or Interaktív összeköttetés létrehozása (ICE), vagy szabadalmaztatott megközelítések a munkamenet határellenőr. A NAT bejárás lehetséges TCP és UDP alapú alkalmazásokban is, de az UDP alapú technika egyszerűbb, szélesebb körben érthető, és jobban kompatibilis az örökölt NAT-okkal.[Szerkesztés] A magas szintű protokollt mindkét esetben a NAT-bejárást szem előtt tartva kell megtervezni, és nem működik megbízhatóan a szimmetrikus NAT-okon vagy más, rosszul működő örökölt NAT-okon.

Más lehetőségek vannak Internet Gateway Device Protocol, NAT port-hozzárendelési protokoll (NAT-PMP), ill Port Control Protocol (PCP), de ezekhez a NAT eszközre van szükség a protokoll megvalósításához.

A legtöbb kliens-szerver protokoll (az FTP a fő kivétel), azonban ne küldjön 3. rétegbeli kapcsolattartási adatokat, és nem igényel különleges kezelést a NAT-ok részéről. Valójában a NAT-komplikációk elkerülése ma gyakorlatilag követelmény az új magasabb szintű protokollok tervezésekor.

A NAT-ok hol is okozhatnak problémákat IPsec titkosítást alkalmazunk, és olyan esetekben, amikor több eszköz, mint pl SIP telefonok NAT mögött találhatók. Azok a telefonok, amelyek IPsec-cel titkosítják a jelzéseiket, a portinformációkat egy titkosított csomagba foglalják, ami azt jelenti, hogy a NAT-eszközök nem tudják elérni és lefordítani a portot. Ezekben az esetekben a NAT-eszközök visszatérnek az egyszerű NAT-műveletekhez. Ez azt jelenti, hogy a NAT-hoz visszatérő összes forgalom egy kliensre van leképezve, így a NAT mögött több ügyfél szolgáltatása meghiúsul. Van néhány megoldás erre a problémára: az egyik a használata TLScímen üzemel 4 réteg és nem takarja el a portszámot; egy másik az IPsec beágyazása UDP – az utóbbit választotta TISPAN biztonságos NAT-bejárás eléréséhez, vagy NAT-hoz "IPsec Passthru" támogatás; egy másik az a munkamenet határellenőr hogy segítsen áthaladni a NAT-on.

Interaktív összeköttetés létrehozása egy NAT bejárási technika, amely nem támaszkodik ALG támogatásra.

által bejelentett DNS-protokoll-sebezhetőséget Dan Kaminsky 8. július 2008-án, közvetve hatással van a NAT port leképezésre. Elkerülni DNS gyorsítótár mérgezés, nagyon kívánatos, hogy ne fordítsuk le a NAT-ot megvalósító tűzfal mögötti DNS-kiszolgálóról érkező kimenő DNS-kérelmek UDP-forrás portszámait. A DNS-sebezhetőség javasolt megoldása az, hogy minden gyorsítótárazó DNS-kiszolgálót véletlenszerű UDP-forrásportok használatára kényszerítsünk. Ha a NAT függvény véletlenszerűvé teszi az UDP-forrásportokat, a DNS-kiszolgáló sebezhetővé válik.

Példák NAT szoftverre

Lásd még:

A Wikimedia Commons a következőhöz kapcsolódó médiát tartalmaz hálózati cím fordítása.

Megjegyzések

  1. ^ A legtöbb NAT-eszköz manapság lehetővé teszi a hálózati rendszergazda számára, hogy statikus fordítási táblázat bejegyzéseket állítson be a külső hálózat és a belső maszkolt hálózat közötti kapcsolatokhoz. Ezt a funkciót gyakran úgy emlegetik statikus NAT. Kétféleképpen valósítható meg: port forwarding amely a forgalmat egy adott külső portról egy meghatározott porton lévő belső gazdagépre továbbítja, és a DMZ gazda amely a külső interfészen (bármilyen portszámon) érkező összes forgalmat egy belső IP-címnek továbbítja, miközben megőrzi a célportot. Mindkét típus elérhető ugyanabban a NAT-eszközben.
  2. ^ Az elterjedtebb megoldás az, hogy a végpontok közötti kapcsolatot igénylő számítógépeket irányítható IP-címmel látják el, míg másokat, amelyek nem nyújtanak szolgáltatásokat külső felhasználóknak a NAT mögött, csak néhány IP-címet használnak az internet-hozzáféréshez.
  3. ^ A portszámok 16 bites egész számok. Az egy külső címre lefordítható belső címek száma elméletileg akár 65,536 4000 is lehet IP-címenként. Valójában XNUMX körül van az egyetlen IP-címhez hozzárendelhető portok száma.
  4. ^ Hacsak nincs konkrét útvonal beállítva a számítógépen routing táblák.
  5. ^ Használatával ez a probléma elkerülhető SFTP FTP helyett

Referenciák

  1. ^ Hálózati protokollok kézikönyve (2. kiadás). Javvin Technologies Inc. 2005. p. 27. ISBN 9780974094526. Lekért 2014-09-16.
  2. ^ a b c d e f g h François Audet; Cullen Jennings (2007. január). A hálózati címfordítás (NAT) viselkedési követelményei az Unicast UDP-hez. IETF. két:10.17487/RFC4787. RFC 4787.
  3. ^ a b Wing, Dan (2010-07-01). "Hálózati címfordítás: Az internetes címtér kiterjesztése". IEEE internetes számítástechnika. 14 (4): 66-70. két:10.1109/MIC.2010.96. ISSN 1089-7801. S2CID 31082389.
  4. ^ "TCP-bejárás jellemzése és mérése NAT-okon és tűzfalakon keresztül". 2006. december.
  5. ^ "Az árnyékok megvilágítása: Opportunista hálózat és web mérés". 2006. december archiválva Az eredeti az 2010-07-24 rendszeren.
  6. ^ "Az Audio over IP Instant Expert Guide" (PDF). Tieline. 2010. január archiválva Az eredeti (PDF) A 2011-10 08-. Lekért 2011-08-19.
  7. ^ "NAT használata átfedő hálózatokban". 2005. augusztus.
  8. ^ "Átfedő alhálózatokkal rendelkező VPN-ek probléma forgatókönyve". Szeptember 2017.
  9. ^ Srisuresh, Pyda; Gan, Der-Hwa (1998. augusztus). „Betöltési megosztás IP-hálózati címfordítással”. két:10.17487/RFC2391. {{cite journal}}: A napló idézése szükséges |journal= (segít)
  10. ^ "Mi a 4. réteg terheléselosztása?". Június 2020.
  11. ^ "Mi az a terheléselosztás?". 2018. november.
  12. ^ "A kiszolgáló terheléselosztásának konfigurálása dinamikus NAT használatával". Június 2018.
  13. ^ Singh, R.; Tay, YC; Teo, WT; Yeow, SW (1999). "RAT: Gyors (és piszkos?) lökés a mobilitás támogatásáért". Proceedings WMCSA'99. Második IEEE Workshop a mobil számítástechnikai rendszerekről és alkalmazásokról. 32–40. CiteSeerX 10.1.1.40.461. két:10.1109/MCSA.1999.749275. ISBN 978-0-7695-0025-6. S2CID 7657883.
  14. ^ Bush, R.; Meyer, D. (2002). Néhány internetes építészeti irányelv és filozófia. IETF. két:10.17487/RFC3439. RFC 3439.
  15. ^ Velde, G. Van de; Hain, T.; Droms, R.; Carpenter, B.; Klein, E. (2007). Helyi hálózat védelme IPv6-hoz. IETF. két:10.17487/RFC4864. RFC 4864.
  16. ^ "Továbbfejlesztett IP-ellenállóképesség Cisco Stateful NAT használatával". Cisco.
  17. ^ "NAT használata nyilvános hozzáférésű kiszolgálókhoz privát IP-címekkel a magánhálózaton (WatchGuard konfigurációs példa)" (PDF). www.watchguard.com.
  18. ^ "K7820: A SNAT-szolgáltatások áttekintése". AskF5. 28. augusztus 2007. Lekért Február 24, 2019.
  19. ^ "Továbbfejlesztett IP-ellenállóképesség Cisco Stateful NAT használatával". Cisco.
  20. ^ "NAT használata nyilvános hozzáférésű kiszolgálókhoz privát IP-címekkel a magánhálózaton (WatchGuard konfigurációs példa)" (PDF). www.watchguard.com.
  21. ^ "K7820: A SNAT-szolgáltatások áttekintése". AskF5. 28. augusztus 2007. Lekért Február 24, 2019.
  22. ^ "Dinamikus NAT". 26. január 2016. Lekért 2022-04-19.
  23. ^ "Dinamikus NAT". Lekért 2022-04-19.
  24. ^ "What is NAT Reflection/NAT Loopback/NAT Hairpinning?". NYC hálózatépítők. 2014-11-09. Lekért 2017-04-27.
  25. ^ "NAT Loopback Routerek – OpenSim" (MediaWiki). OpenSimulator. 2013-10 21-. Lekért 2014-02-21.
  26. ^ Iljitsch van Beijnum (2008.). "A kitartó ellenállás után a NAT végül is IPv6-ra kerülhet". Ars Technica. Lekért 2014-04-24.
  27. ^ Dupont, Kasper (18. augusztus 2015.). "alhálózat – /6-es IPv64-alhálózat – mi fog tönkremenni, és hogyan lehet megkerülni?". Szerver hiba. Lekért 2023-04-20.
  28. ^ Cilloni, Marco (2018-02-01). "NAT66: A jó, a rossz, a csúnya". APNIC blog. Lekért 2023-04-20.
  29. ^ D. Wing, szerk.; Cheshire, S.; Boucadair, M.; Penno, R.; Selkirk, P. (2013). Port Control Protocol (PCP). IETF. két:10.17487/RFC6887. RFC 6887.
  30. ^ Messmer, Ellen (2008-07-08). "Egy jelentős DNS-hiba megzavarhatja az internetet". Hálózati világ. Archivált Az eredeti A 2009-02 13-. Lekért Június 14 2021.

Külső hivatkozások