Современные сетевые технологии


Статическое преобразование



бет17/45
Дата22.10.2022
өлшемі3,92 Mb.
#154624
1   ...   13   14   15   16   17   18   19   20   ...   45
Байланысты:
Levancevich 2020

Статическое преобразование сетевых адресов (статический NAT) – это взаимно однозначное соответствие между локальным и глобальным адресами.

  • Динамическое преобразование сетевых адресов (динамический NAT) – это сопоставление адресов по схеме «многие ко многим» между локальными и глобальными адресами.

  • Преобразование адресов портов (PAT) – это сопоставление адресов по схеме «многие к одному» между локальными и глобальным адресами. Данный метод также называется перегрузкой (NAT с перегрузкой).

    Статический NAT использует сопоставление локальных и глобальных адресов по схеме «один в один». Эти соответствия задаются администратором сети и остаются неизменными (рисунок 38).

    Рисунок 38 – Статический NAT


    Для маршрутизатора R2 настроены статические соответствия для внутренних локальных адресов Svr1, PC2 и PC3. Когда эти устройства отправляют трафик в Интернет, их внутренние локальные адреса преобразуются в заданные внутренние глобальные адреса.
    Метод статического преобразования сетевых адресов особенно полезен для веб-серверов или устройств, которые должны иметь постоянный адрес,
    доступный из Интернета, например, для веб-сервера компании. При этом сервер располагается за маршрутизатором, на котором можно настроить различные политики безопасности, защищающие сервер от атак из внешней сети.
    Статический NAT также подходит для устройств, которые должны быть доступны для удаленного управления авторизованными пользователями из внешней сети, но при этом оставаться закрытыми для общего доступа через Интернет. Например, сетевой администратор может с PC4 подключиться с помощью SSH к внутреннему глобальному адресу Svr1 (209.165.200.226). Маршрутизатор R2 преобразует этот внутренний глобальный адрес во внутренний локальный адрес и подключает сеанс администратора к Svr1.
    Для статического NAT требуется достаточное количество публичных адресов, доступных для общего количества одновременных сеансов пользователей внутренней сети.
    Метод динамического преобразования сетевых адресов (динамический NAT) использует пул публичных адресов, которые присваиваются в порядке живой очереди, и работает по схеме «многие к многим». Когда внутреннее устройство запрашивает доступ к внешней сети, динамический NAT присваивает доступный публичный IPv4-адрес из пула (рисунок 39).

    Рисунок 39 – Динамический NAT


    На рисунке 38 PC3 получает доступ к Интернету, используя первый доступный адрес из пула динамического NAT. Другие адреса по-прежнему доступны для использования. Аналогично статическому NAT для динамического NAT требуется достаточное количество публичных адресов, способное обеспечить общее количество одновременных сеансов пользователей. При отсутствии свободных глобальных адресов в пуле доступ узлу во внешнюю сеть невозможен.
    Преобразование адресов портов (PAT), также называемое NAT с перегрузкой, сопоставляет множество частных IPv4-адресов одному или нескольким публичным IPv4-адресам. NAT с перегрузкой – это наиболее распространенный метод преобразования сетевых адресов.
    В данном методе один (или несколько) глобальных адресов сопоставляются группе пар значений: частному IP-адресу источника и порту источника протокола транспортного уровня TCP или UDP.
    Преобразование PAT пытается сохранить оригинальный порт источника. В том случае, если оригинальный порт источника уже используется, PAT назначает первый доступный номер порта, начиная с начала соответствующей группы портов – 0-511, 512-1023 или 1024-65535. Если доступных портов больше нет, а в пуле адресов есть несколько внешних адресов, PAT переходит к следующему адресу, пытаясь выделить оригинальный порт источника. Данный процесс продолжается до тех пор, пока не исчерпаются как доступные порты, так и внешние IP-адреса (рисунок 40).

    Рисунок 40 – Принцип работы NAT с перегрузкой


    Так, на рисунке 40 маршрутизатор R2 обрабатывает каждый пакет, поступающий из внутренней сети. Он использует номер порта (в рассматриваемом примере номера портов совпадают – 1444) для идентификации устройства, с которого поступил пакет. Адрес источника (SA) – это внутренний локальный адрес с добавленным номером порта TCP/IP. Адрес назначения (DA) – это внешний локальный адрес с добавленным номером порта службы. В данном примере порт службы равен 80: соответствует протоколу HTTP.


    Так как номера портов источников совпадают (что бывает редко), маршрутизатор увеличивает номер порта на единицу (1445), заменяет внутренний локальный адрес на внутренний глобальный адрес и записывает это сопоставление в таблицу NAT.
    PAT гарантирует, что устройства будут использовать разные номера портов TCP для каждого сеанса взаимодействия с сервером в Интернете. При возвращении ответа от сервера номер порта источника, который становится номером порта назначения при обратной передаче, определяет, какому устройству маршрутизатор перешлет соответствующие пакеты.
    NAT обеспечивает множество преимуществ, в том числе следующие:

    • NAT сохраняет официально зарегистрированную схему адресации, разрешая частное использование внутренних сетей. NAT экономит адреса благодаря мультиплексированию приложений на уровне портов. При использовании NAT с перегрузкой внутренние узлы могут использовать для всех внешних взаимодействий один публичный IPv4-адрес. При этом типе конфигурации для поддержки множества внутренних узлов требуется очень небольшое количество внешних адресов;

      • NAT повышает гибкость подключений к публичной сети. Для обеспечения надежных подключений к публичной сети можно создать множественные пулы, резервные пулы и пулы распределения нагрузки;

    • NAT обеспечивает согласованность схем внутренней сетевой адресации. Если в сети не используются частные IPv4-адреса и NAT, изменение схемы публичных IPv4-адресов потребует изменения адресов всех узлов существующей сети. Затраты на изменение адресации узлов могут оказаться существенными. NAT позволяет сохранить существующую схему частных IPv4-адресов, одновременно поддерживая простой переход на новую схему публичной адресации. Это означает, что организация может сменить интернет- провайдера, не меняя настроек своих внутренних клиентов;

    • NAT обеспечивает безопасность сети. Поскольку частные сети не объявляют ни свои адреса, ни внутреннюю топологию, они остаются в достаточной степени защищенными при использовании NAT для получения управляемого внешнего доступа. Тем не менее, NAT не заменяет межсетевые экраны.

    Преобразование сетевых адресов (NAT) имеет ряд недостатков. Тот факт, что узлы в Интернете взаимодействуют непосредственно с устройством, поддерживающим NAT, а не с фактическим узлом частной сети, создает ряд проблем.
    Один из недостатков использования NAT связан с производительностью сети, особенно это касается протоколов реального времени, таких как VoIP. NAT увеличивает задержки коммутации, поскольку преобразование каждого IPv4-адреса в заголовках пакетов требует времени. Коммутация первого пакета является программным процессом – этот пакет всегда проходит более медленным путем. Маршрутизатор должен анализировать каждый пакет, чтобы решить, требуется ли его преобразование. Маршрутизатор должен изменить
    заголовок IPv4 и по возможности изменить заголовок TCP или UDP. При каждом преобразовании должна быть пересчитана контрольная сумма заголовка IPv4, а также контрольная сумма TCP или UDP. Если в кэше есть соответствующая запись, остальные пакеты проходят по пути с быстрой коммутацией. В противном случае они тоже задерживаются.
    Другим недостатком использования NAT является потеря сквозной адресации. Многие интернет-протоколы и приложения зависят от сквозной адресации от источника до узла назначения. Некоторые приложения не совместимы с NAT. Например, некоторые приложения безопасности, такие как электронные подписи, не работают с NAT, поскольку IPv4-адрес источника изменяется, прежде чем пакет успевает достигнуть узла назначения.
    Кроме того, утрачивается возможность трассировки сквозного соединения IPv4. Очень сильно усложняется трассировка пакетов, подвергающихся многочисленным изменениям адреса пакета при прохождении нескольких участков NAT, что, в свою очередь, затрудняет устранение неполадок.
    Использование NAT также усложняет протоколы туннелирования, такие как IPSec, так как NAT изменяет значения в заголовках, что мешает проверкам целостности, выполняемым протоколом IPSec и другими протоколами туннелирования. Кроме того, протокол IPSec является протоколом сетевого уровня и не использует порты, что затрудняет его работу через PAT.
    Использование динамических NAT и PAT не позволяет пользователям из внешней сети первыми подключиться к устройствам за NAT, используя протоколы ТСР и UDP. Для доступа к устройствам за NAT необходимо на маршрутизаторах, на которых настроен NAT, включить функцию «проброса портов». Еще один способ прохода через NAT – это использование посредника. Сначала узлы за NAT, которым надо связаться напрямую, сообщают узлу- посреднику свои параметры настройки NAT (номера портов и IP-адреса), потом каждый узел за NAT получает параметры настройки NAT-узла, с которым он хочет установить связь, и после этого узлы начинают общаться через NAT напрямую. Такие технологии носят название UDP hole punching. По такой схеме работают программы Skype, Teamviewer. Еще одна технология прохода через NAT – технология NAT Traversal. Эту технологию использует протокол организации защищенного VPN туннеля IPSec. Суть ее состоит в том, что сформированный пакет протокола IPSec перед отправкой запаковывается в UDP-пакет – в результате в пакете появляются порты, и тогда такой пакет может пройти через NAT, на котором настроен проброс портов.
    NAT для IPv6 используется в совсем другом контексте, нежели NAT для IPv4. Разнообразные варианты NAT для IPv6 используются с целью предоставления прозрачного доступа между сетями, в которых используется только протокол IPv6, и сетями, в которых используется только протокол IPv4. NAT для IPv6 не применяется для преобразования частных IPv6-адресов в глобальные IPv6-адреса.
    В идеале IPv6 должен по возможности использоваться в исходном формате. Это означает, что устройства IPv6 взаимодействуют друг с другом по сетям IPv6. IETF разработала несколько методов перехода от IPv4 к IPv6, включая использование двойного стека, туннелирование и преобразование.
    Двойной стек применяется, когда устройства используют протоколы, связанные как с IPv4, так и с IPv6. Туннелирование для IPV6 – это процесс инкапсуляции пакетов IPv6 в пакеты IPv4. Данный метод позволяет передавать пакет IPv6 по сети, в которой используется только протокол IPv4.
    NAT для IPv6 следует использовать не как долгосрочную стратегию, а как временный механизм, помогающий перейти с IPv4 на IPv6. Со временем появилось несколько типов NAT для IPv6, включая NAT-PT (Network Address Translation-Protocol Translation, преобразование сетевых адресов – преобразование протоколов). IETF признала технологию NAT-PT устаревшей и порекомендовала использовать ее замену – NAT64.




    Достарыңызбен бөлісу:
  • 1   ...   13   14   15   16   17   18   19   20   ...   45




    ©engime.org 2024
    әкімшілігінің қараңыз

        Басты бет