network address translation tutorial with examples
Què és la traducció d'adreces de xarxa (NAT):
En aquest Sèrie de tutorials de formació de xarxes explícites , vam explorar el Diferències entre mòdem i enrutador en detall al nostre tutorial anterior.
En aquest tutorial, explorarem el concepte de traducció d’adreces de xarxa (NAT) analitzant la necessitat d’introduir-lo, els avantatges, els tipus i els mètodes d’implementació.
Al sistema de xarxes informàtiques, NAT s’introdueix com a metodologia de rescat quan l’espai d’adreces IPv4 s’esgotava.
Què aprendreu:
Què és NAT?
NAT és el procés de reassignar l'espai d'adreces IP únic a un altre modificant les dades de l'adreça de xarxa a la capçalera IP del paquet de dades mentre viatgen a través d'una xarxa cap al node de destinació.
En general, NAT funciona en un enrutador o passarel·la i interconnecta dues xarxes entre si traduint les adreces privades a les adreces registrades abans de transmetre les dades a una altra xarxa.
millor programari per clonar el disc dur a SSD
NAT té el potencial d’emetre només una adreça IP a la xarxa pública en nom de tota la xarxa interna. Això proporciona la característica de seguretat ocultant de manera eficient l'adreça IP general de la xarxa privada darrere d'aquesta adreça individual.
Per tant, NAT ofereix la doble característica de la traducció d'adreces i la seguretat dels sistemes de xarxa.
Per què NAT?
En qualsevol sistema de xarxa per a la comunicació entre l’ordinador i els servidors web a través d’Internet, necessitem una adreça IP única cada vegada que sigui un número de 32 bits que s’utilitza per localitzar l’ordinador o el dispositiu de xarxa que voleu arribar a la xarxa.
Durant les dècades passades, mentre utilitzàvem l’esquema d’adreces IPV4, hi havia 2 ^ 32 significa que es podrien assignar 4.300 milions d’adreces úniques als dispositius amb finalitats de comunicació. Però les adreces realment disponibles eren inferiors a aquestes, ja que algunes estaven exemptes perquè s’utilitzaven per a difusió, proves i alguns propòsits militars reservats.
Per tant, les adreces sobrants rondaven els 3.200 milions. Sembla ser un gran nombre, però a causa de l’augment de l’ús d’Internet en tots els àmbits, com ara les xarxes domèstiques, els objectius comercials, la visualització de vídeos en línia; compartint dades, etc. les adreces estaven a punt d'esgotar-se.
La solució a aquesta limitació de l’esquema d’adreces IPV4 és recrear el sistema d’adreces perquè hi hagi més opcions per assignar adreces. Això es pot fer introduint l’esquema d’adreces IPV6.
Però el procés d’implementació d’això ha trigat diversos anys, ja que això requereix una alteració de la infraestructura general del sistema de xarxa.
Mentrestant, NAT s’introdueix i es desplega àmpliament a tot arreu, cosa que permet que un dispositiu de xarxa com un enrutador es comporti com un agent entre Internet i la xarxa privada. Significa que es pot utilitzar una adreça IP única per simbolitzar la classe general de dispositius de xarxa com els PC.
Tipus de NAT
# 1) NAT estàtic : També es coneix com un a un NAT. En aquest tipus de NAT, només les adreces IP i la suma de comprovació de la capçalera s’alteren entre l’adreça de xarxa general. Aquests s’implementen per a la interconnexió de dues xarxes IP distintives que tenen una adreça incompatible.
( imatge font )
# 2) NAT dinàmic : En aquest tipus de NAT, el mapatge d'IP des d'una xarxa privada no registrada es fa amb l'adreça IP única de la xarxa registrada de la classe d'adreces IP registrades.
# 3) Sobrecàrrega NAT : També és un tipus de NAT dinàmica, que també es coneix com a NAT d'un a molts.
En aquest tipus de NAT, els paquets que viatgen a la xarxa des de la xarxa privada a una xarxa pública significa que Internet tindrà una alteració en l’adreça d’origen del paquet de dades i quan els paquets es tornin de la xarxa pública a la xarxa privada tindran una alteració en les adreces IP de destinació.
A més de l'origen o la destinació, l'adreça IP dels paquets té els números de port modificats o diferents amb cadascun dels paquets de dades per evitar qualsevol indefinició en la traducció. Així, aquesta combinació de número de port i l'adreça IP modificada es mapeja amb la IP de la xarxa privada registrada.
# 4) NAT superposada: De vegades, en un sistema de xarxa, les adreces IP registrades que utilitza la xarxa interna també les utilitza una altra xarxa i són IP registrades d’aquesta xarxa.
Per tant, en aquest cas, l’encaminador manté una taula de cerca amb si mateix per poder capturar aquests casos i intercanviar-los amb les adreces IP registrades úniques.
El router NAT tradueix les adreces IP de les adreces IP internes i externes registrades per a la xarxa privada.
Com funciona NAT?
Abans de treballar, entenem la terminologia utilitzada a NAT:
- Adreça local dins : És l'adreça IP privada de la xarxa privada.
- Adreça global interior : És l'adreça IP pública registrada assignada a l'amfitrió de la xarxa privada quan inicia la comunicació amb la xarxa externa.
- Adreça global exterior : És l'adreça IP registrada assignada a l'amfitrió a Internet.
- Adreça local fora : És l'adreça IP local assignada a l'amfitrió del domini públic.
- L'adreça que fan servir els dispositius de xarxa interns per comunicar-se internament es coneix com a adreça interna interna.
- L'adreça que fan servir els dispositius de la xarxa interna per comunicar-se amb els dispositius de xarxa externa es coneix com a adreça local externa.
- L'adreça que fan servir els dispositius de xarxa externs per comunicar-se amb els dispositius de la xarxa privada és l'adreça global interna.
- L'adreça que fan servir els dispositius externs per comunicar-se entre ells es troba fora de l'adreça global.
- Sempre que qualsevol organització hagi creat un sistema de xarxa, el proveïdor de serveis d’Internet els assignarà el conjunt d’adreces IP. L'interval assignat d'adreces inclou adreces IP registrades i úniques que es coneixen com a adreces globals internes.
- La classe d’adreces IP privades no registrades consisteix en adreces locals externes desplegades pels encaminadors NAT i adreces locals que són utilitzades per la xarxa d’àrea local també coneguda com a domini stub.
- L'adreça local externa s'utilitza per traduir les adreces IP exclusives dels dispositius de xarxa per a la xarxa pública.
- La majoria dels dispositius de xarxa de la xarxa LAN utilitzen adreces locals per a la comunicació entre ells i, generalment, no necessiten la traducció. Ara, quan qualsevol dispositiu del domini stub ha de comunicar-se amb una altra xarxa, el paquet viatjarà a través del router NAT.
- Ara l’encaminador NAT buscarà a la taula d’encaminament per esbrinar que té o no l’entrada de destinació. Si és així, tradueix el paquet i hi fa una entrada a la taula de traducció d’adreces. Si no es troba l'adreça, es declina el paquet.
- En utilitzar l’adreça global interna, l’encaminador encaminarà el paquet de dades cap a la destinació.
- Ara l’amfitrió final com el PC a la xarxa pública reenvia un paquet de dades a la xarxa privada. Aquesta vegada l'adreça d'origen es troba fora de l'adreça global i l'adreça de recepció és un tipus d'adreça interna interna.
- Una vegada més, l'encaminador NAT buscarà a la taula de traducció i descobrirà que l'adreça de destinació es troba a la taula o no i, a continuació, traça l'IP al domini de memòria al qual pertany.
- La traducció de l'adreça global interior del paquet a l'adreça local interior es realitza i es lliura al final de l'amfitrió de destinació.
- Com ja s'ha esmentat anteriorment, el NAT utilitza la funció de protocol TCP / IP d'utilitzar el paquet IP amb ports TCP o UDP amb el camp de capçalera IP modificat per a la traducció.
Per tant, la capçalera del paquet IP inclourà els camps següents:
Adreça d'origen - L'adreça IP del PC amfitrió d'inici, com ara 192.178.120.10
Port d'origen - El número de port TCP o UDP assignat pel PC d'inici, com ara el port 1020
Adreça de destinació - L'adreça IP del PC receptor com 172.145.57.20
Port de destinació - El port TCP o UDP que l’amfitrió iniciador va sol·licitar a l’amfitrió receptor per obrir-lo com 4281.
L’assignació del número de port és necessària, ja que assegura que la correlació entre els dos ordinadors té l’identificador únic.
Exemple NAT
A l'exemple següent, l'amfitrió interior (172.168.20.10) vol comunicar-se amb el món exterior i l'adreça del servidor web de destinació és 192.100.20.2. A continuació, enviarà un paquet de dades al router de passarel·la habilitat per NAT de la xarxa per a una major comunicació.
El router de passarel·la aprèn l'adreça IP d'origen del paquet i busca a la taula si el paquet compleix la condició per a la traducció. L’encaminador de passarel·la manté una llista de control d’accés (ACL) que localitza els hosts d’autenticació a efectes de traducció de xarxa interna.
Per tant, traduirà l'adreça IP local interior a una adreça IP global interna que es troba aquí 192.100.10.25. A continuació, desarà aquesta traducció a la taula NAT i l’encaminador de passarel·la encaminarà el paquet cap a la destinació.
Quan el servidor web d'Internet torna a la sol·licitud, el paquet tornarà a la direcció IP global 192.100.10.25 del router.
Ara, l’encaminador de passarel·la tornarà a buscar a la taula NAT per esbrinar l’adreça IP traduïda corresponent a l’adreça global. A continuació, el tradueix a l'adreça local interna i, a continuació, el paquet de dades es lliura a l'amfitrió a l'adreça IP 172.168.20.10. Si no es troba cap coincidència a la taula, es descarta el paquet.
Com funciona la imatge NAT:
NAT sobrecàrrega o traducció d'adreces de port
Bàsicament, els encaminadors de banda ampla domèstica l’utilitzen per assignar l’adreça IP no registrada de la xarxa privada a una adreça IP registrada en solitari del domini públic.
La traducció de l'adreça de port dibuixa les diverses adreces IP privades no registrades en una adreça IP pública única registrada fent ús de ports distintius. Per diferenciar entre les diverses traduccions fetes a la xarxa domèstica, el PAT desplegarà números de port exclusius a les adreces IP globals internes.
Suposem que per a una xarxa domèstica, quan un PC amfitrió intentarà accedir a Internet, l’encaminador NAT assignarà el número de port a la seva adreça IP d’origen.
Podria haver-hi més d’un PC en una instància de temps de la xarxa domèstica que utilitza Internet, per tant, el PAT garanteix que el PC client utilitzarà un número de port distintiu cada vegada que iniciï una nova sessió amb el servidor a Internet.
Ara, en resposta, l'encaminador encaminarà el paquet de dades en funció del número de port d'origen que ara s'ha convertit en el número de port de destinació. Tot aquest fenomen també garanteix la seguretat de la sessió de comunicació, ja que el paquet es reverteix en la resposta a una sol·licitud presentada pel client.
Taula de sobrecàrrega NAT
Dins de l'adreça IP local | Dins de l'adreça IP global | L'adreça IP global exterior | L'adreça IP local externa |
---|---|---|---|
10.20.10.2:1666 | 192.134.30.4:1666 | 192.134.20.2:80 | 192.134.20.2:80 |
10.20.10.3:2444 | 192.134.30.4:2444 | 192.134.40.3:80 | 192.134.40.3:80 |
A la figura anterior, es mostra que la sobrecàrrega NAT utilitza els números de port d’origen exclusius de les adreces IP globals internes per discriminar entre les traduccions, ja que els números de port 1666 i 2444 s’utilitzen respectivament per detectar el paquet de dades.
Aquí l'adreça d'origen és l'adreça IP local interna que s'esmenta a la taula i l'adreça de destinació és l'adreça IP local externa amb el número de port 80 ja que accedeix a Internet mitjançant HTTP.
A l'extrem de l'encaminador NAT, la sobrecàrrega NAT modifica l'adreça d'origen a l'adreça IP global interna tal com es mostra a la taula anterior i l'adreça de destinació es coneix ara com a adreça IP global externa.
Doble NAT
Double NAT és una situació en què més d’un dispositiu de xarxa, com un encaminador d’una xarxa privada, realitza la traducció d’adreces de xarxa.
L’exemple més senzill és quan un mòdem DSL i un enrutador Wi-Fi estan connectats a una xarxa amb NAT activat a cadascun d’ells. Els dispositius d’amfitrió connectats a la xarxa pública a través d’un enrutador Wi-Fi.
En aquest escenari, els PC no podran accedir a Internet ja que l’encaminador no té cap adreça IP pública pròpia mentre té una adreça IP privada limitada a l’interval de la xarxa del mòdem DSL.
Com resoldre el problema del doble NAT
Hi ha diverses maneres de resoldre el problema del doble NAT, però la solució que funcionarà exactament dependrà del tipus de configuració de la xarxa.
# 1) Configureu el router sense fils en mode pont : Vol dir que aneu a la interfície web del router i desactiveu manualment la funció NAT i DHCP del router sense fils.
Si les dues funcions es desactivaran quan el mode es conegui com a mode pont i després configureu el reenviament de ports funció del mòdem per resoldre el problema de Double NAT.
La captura de pantalla següent mostrarà el mode Bridged habilitant al router per superar el problema de Double NAT.
( imatge font )
# 2) Creeu connexió PPPoE entre enrutador i mòdem: Això no és compatible amb tots els ISP, però és una de les millors maneres de tractar el problema de Double NAT. Aneu a la configuració de la WAN a la interfície web del router i, a continuació, comproveu que marqueu el PPPoE per configurar la connexió WAN. Això evitarà el NAT al mòdem.
# 3) Activeu DMZ al mòdem: Això connectarà el vostre encaminador amb la funció DMZ directament a Internet i evitarà la configuració de la connexió IP, tallafocs i connexió DHCP del router NAT i, per tant, els dispositius obtindran automàticament els valors del router.
Els passos són els següents:
- En primer lloc, inicieu sessió a la interfície web del router i esbrineu l'adreça IP WAN del router.
- Ara, en segon lloc, inicieu sessió a la configuració administrativa del mòdem i, a la configuració DMZ del mòdem, configureu l’adreça WAN del router com a adreça IP. Això permetrà el reenviament de ports i el trànsit es dirigirà a l'amfitrió del client definit.
Encaminador NAT
Un encaminador NAT genera una xarxa d’adreces IP per a la xarxa local i interrelaciona aquesta xarxa LAN amb la xarxa pública que és Internet. La NAT executada pel router permetrà que diversos ordinadors o dispositius d’amfitrió de la xarxa LAN a la part posterior del router es puguin comunicar amb la xarxa WAN, és a dir, Internet.
Els enrutadors NAT s’utilitzen per a usos domèstics i indústries a petita escala perquè el router surt a Internet com un host solo amb una adreça IP solo. D’aquesta manera, es fa efectiu el fet que als ordinadors de la xarxa local del router se li assignarà una única adreça IP al mateix interval del temps.
Encaminador NAT ( imatge font )
Seguretat inherent del router NAT
Els enrutadors NAT tenen aquesta característica que funcionaran com a dispositiu de tallafoc de maquinari a la xarxa i protegeixen la xarxa LAN contra qualsevol tipus de trànsit no desitjat i inusual que pugui danyar la xarxa.
Així, actua com a filtre entre Internet i la xarxa LAN privada i permet passar només aquell trànsit autoritzat per entrar a la xarxa.
Com funciona? Atès que el router interconnecta la xarxa LAN a Internet, és testimoni de tots els paquets de dades enviats a Internet des de la xarxa LAN. El router manté una taula de connexió interna amb si mateix i desa cadascuna de les adreces IP de destinació del paquet de sortida i el número de port assignat. Posteriorment, assigna la seva pròpia adreça IP i el número de port al paquet per reconèixer el trànsit de tornada.
Finalment, desa la informació final del paquet de dades juntament amb l'adreça IP i el número de port a la taula de connexions actual. Quan algun dels paquets de dades aterra al router des d’Internet, el router l’examinarà a la taula de connexions actual que el paquet arribat és desitjat per a la xarxa LAN comprovant-lo a la taula.
Si es troba l'adreça IP i el número de port equivalents, el dirigeix al PC de destinació de la xarxa LAN. I si no es troba la coincidència, l’encaminador descartarà el paquet de dades i l’etiquetarà com a trànsit no desitjat.
D’aquesta manera, l’encaminador NAT protegeix la vostra connexió amb la xarxa externa i també per si només hi ha un dispositiu connectat a una xarxa LAN. Així doncs, amb l’encaminador NAT configurat a la xarxa, cap dels cucs i el virus maliciós poden danyar la vostra xarxa.
Funcions de seguretat del router NAT
Avantatges de NAT:
- En gestionar i reutilitzar les adreces IP, el NAT pot evitar l’esgotament de l’esquema d’adreces IPV4.
- Subministra la seguretat a la xarxa privada del món exterior mantenint el secret de l'adreça IP d'origen i de destinació de la xarxa externa.
- Disposa d'un sistema de xarxa flexible.
- Les organitzacions de xarxes privades mitjançant NAT poden utilitzar el rang IP que triïn per construir la xarxa interna independentment del proveïdor de serveis de la interfície pública.
Limitacions de NAT:
- Atès que el NAT examinarà tots els paquets de dades entrants i sortints per mantenir la taula de connexions i un altre registre de dades a la memòria del processador, de manera que el procés global requerirà una gran capacitat d'emmagatzematge i requereix molt de temps.
- Tots els dispositius de xarxa i els sistemes de xarxa no són compatibles amb la tecnologia NAT, de manera que no funcionarà a tot arreu en tots els escenaris.
- A causa del canvi de les adreces IP del dispositiu diverses vegades durant el procés NAT, de vegades es fa molt difícil rastrejar l’abast de la IP a tots els components de la xarxa.
- NAT provoca retards inesperats al sistema de comunicació.
Quin protocol segur es recomana per a NAT: No hi ha cap conjunt de protocols especificat que s'utilitzi específicament per a NAT. Però la traducció pertany a la suite de protocols d’Internet (IP). A més, el protocol TCP s'utilitza per a la traducció mentre realitzen el NAT pels routers.
A part d’aquests protocols, en funció de l’escenari de xarxa s’utilitzen els diferents conjunts de protocols com ICMP, UDP i IPSec que ja s’expliquen als tutorials anteriors.
Conclusió
A partir d’aquest tutorial, hem entès la raó per la qual s’ha introduït el procés de traducció d’adreces de xarxa al sistema de xarxes informàtiques i la seva importància.
També hem après amb l'ajut de diversos exemples i figures, els tipus i el funcionament de NAT.
Lectura recomanada
- LAN sense fils IEEE 802.11 i 802.11i i estàndards d’autenticació 802.1x
- 7 maneres de solucionar l'error 'La passarel·la predeterminada no està disponible'
- Mòdem Vs Router: coneixeu la diferència exacta
- Guia d’avaluació i gestió de la vulnerabilitat de la xarxa
- Què és la clau de seguretat de xarxa: com trobar-la per a Router, Windows o Android
- Què és la virtualització? Exemples de virtualització de xarxes, dades, aplicacions i emmagatzematge
- Eines i passos bàsics per solucionar problemes de xarxa
- Què és la seguretat de la xarxa: els seus tipus i gestió