Трансляция сетевых адресов (9.2.2.6-r2 Lab - Configuring Dynamic and Static NAT)

NAT (Network Address Translation) – трансляция (подмена) сетевых адресов. Эта технология широко используется. Позволяет с одной стороны, противостоять нехватке IPv4 адресов, а с другой – повысить защищённость сети.

Приватные адреса

IPv4 адреса бывают публичные и приватные. Приватные адреса может использовать кто угодно в своей сети, для этого нет необходимости арендовать адресное пространство, или выделять адреса у провайдера. Очевидный недостаток таких адресов – к устройству, имеющему приватный адрес нельзя подключиться из интернета – только из вашей собственной локальной сети. Это связанно с тем, что ни один провайдер мира не знает, что эти адреса используются в вашей сети и соответственно эти сети отсутствуют в таблице маршрутизации сторонних маршрутизаторов и трафик к ним не маршрутизируется. Понятно, что при всём желании маршруты нельзя прописать на сторонних маршрутизаторах, так как не только вы пользуетесь этими адресами. Основное преимущество приватных адресов в том, что за них не надо платить, ими можно пользоваться на своё усмотрение и главное – одни и те же адреса используются в разных локальных сетях разных организаций, что приводит к экономии адресного пространства IPv4.

Трансляция адресов

Для того чтобы организовать возможность выхода в интернет с устройств, имеющих приватные адреса применяется технология трансляции адресов, либо используется прокси-сервер. Если попытаться отправить, например, запрос к веб-серверу, находящемуся в интернете, с приватного адреса, то сам запрос теоретически дойдёт, так как веб сервер имеет публичный адрес, а вот ответ от сервера не вернётся, так как обратный адрес, на который этот ответ надо слать – приватный. Трансляция адресов заключается в том, что есть некоторое NAT-устройство, например, сервер или маршрутизатор, который имеет один или несколько публичных адресов. Клиенты с приватными адресами пытаются отправить запросы напрямую получателю в интернете, но ip пакеты по пути попадают на такое устройство. При этом в пакете подменяется адрес отправителя: вместо приватного адреса клиента, устройство ставит в это поле один из своих публичных адресов, после чего пакет отправляется в сеть. Теперь у него и адрес отправителя и адрес получателя – публичные. Получатель обрабатывает пакет и возвращает на него ответ (например, содержимое запрошенной из интернета странички). Этот ответ, как несложно догадаться, идёт на публичный адрес устройства, занимающегося NAT-ом. Устройство помнит, когда и какой адрес оно подменяло и в этом пакете адрес получателя снова меняется: публичный адрес устройства заменяется на приватный адрес клиента, после чего пакет идёт дальше во внутреннюю сеть. Клиент получает данные, как будто бы никакого преобразования адресов не было. Но это всё хорошо в теории. На практике, есть ряд протоколов, которые не могут работать с NAT-ом. На это есть свои причины. Какие-то протоколы в данных седьмого уровня могут содержать копию ip адреса, и эта копия, естественно не подменяется, так как NAT-устройство работает на 3-ем и 4-ом уровнях модели OSI. Другие протоколы подразумевают появление дополнительных соединений в процессе работы, которые могу исходить от внешней стороны. Про такие соединения NAT-устройство так же не знает и не будет передавать их клиенту. Но, если пользователям в вашей сети надо сидеть в интернете и читать почту, то проблем не будет.

 

Преимущества трансляции адресов:

· Минимизация использования публичных адресов

· Повышенная гибкость использования адресов

· Возможность изменения внешних адресов без необходимости изменять адресный план локальной сети

· Повышенная безопасность в связи с тем, что из интернета нельзя обратиться ко внутренним устройствам напрямую.

Недостатки трансляции адресов:

· Уменьшение производительности в связи с дополнительными действиями на маршрутизаторе.

· Проблемы с работой некоторых протоколов.

· Сложности при организации туннелей.

· Сложности с организацией входящих соединений извне.

Раз уж мы изучаем оборудование Cisco, то в качестве NAT-устройства у нас выступает маршрутизатор. Любой маршрутизатор Cisco умеет организовывать трансляцию адресов.

 

В NAT предусмотрено 4 типа адресов:

· Внутренний локальный адрес

· Внутренний глобальный адрес

· Внешний локальный адрес

· Внешний глобальный адрес

При определении используемого типа адреса важно помнить, что терминология NAT всегда применяется с точки зрения устройства, адрес которого будет транслироваться:

Внутренний адрес — это адрес устройства, преобразуемый механизмом NAT.

Внешний адрес — это адрес устройства назначения.

В рамках NAT по отношению к адресам также используется понятие локальности или глобальности:

Локальный адрес — это любой адрес, появляющийся во внутренней части сети.

Глобальный адрес — это любой адрес, появляющийся во внешней части сети.

 

Внутренний локальный адрес — это адрес источника, видимый из внутренней сети.

Внутренний глобальный адрес — это адрес источника, видимый из внешней сети.

Внешний глобальный адрес — это адрес назначения, видимый из внешней сети.

Внешний локальный адрес — это адрес назначения, видимый из внутренней сети.

 

Существуют три механизма преобразования:

Статическое преобразование (статический NAT) — это взаимно-однозначное соответствие между локальным и глобальным адресами.

Динамическое преобразование (динамический NAT) — это сопоставление адресов по схеме «многие ко многим» между локальными и глобальными адресами. Преобразования выполняются по наличию. Например, если имеется 100 внутренних локальных адресов и 10 внутренних глобальных адресов, в любой момент времени могут быть преобразованы только 10 из 100 внутренних локальных адресов. Из-за такого ограничения динамическое преобразование NAT подходит для производственных сетей гораздо меньше, чем преобразование адресов портов.

Преобразование адреса и номера порта (PAT) — это сопоставление адресов по схеме «многие к одному» между локальными и глобальным адресами. Данный метод также называется перегрузкой (NAT с перегрузкой). Например, если имеется 100 внутренних локальных адресов и 10 внутренних глобальных адресов, PAT использует порты в качестве дополнительного параметра для создания эффекта умножения сложности. Это позволяет повторно использовать любой из 10 внутренних глобальных адресов до 65 536 раз (в зависимости от процесса: UDP, TCP или ICMP).

 

Для проверки работы NAT используется команда show ip nat translations. Эта команда отображает активные преобразования NAT. В отличие от динамических преобразований, статические преобразования всегда присутствуют в таблице NAT.

Другой полезной командой является show ip nat statistics. Она выводит сведения о суммарном количестве активных преобразований, параметрах настройки NAT, числе адресов в пуле и числе выделенных адресов.

        

 

⇐ Предыдущая18192021222324252627Следующая ⇒

Поделиться: