etechblog

Překlad síťových adres (NAT): Úvod

Photo of author

By etechblogcz

Překlad síťových adres, známý jako NAT, je efektivní technika, kterou jednotlivci i organizace mohou využít k vytvoření zabezpečeného, cenově dostupného a snadného připojení k internetu.

NAT nabízí nejen ochranu, ale také adaptabilitu, rozšiřitelnost a rychlou komunikaci s webem.

Používání NAT navíc napomáhá k zachování veřejných IP adres.

Ale co přesně NAT je a proč byste se měli obtěžovat ho chápat a používat?

V tomto článku se na to podíváme.

Začněme tedy s definicí NAT.

Co je překlad síťových adres (NAT)?

Překlad síťových adres (NAT) je proces, který mapuje sadu IP adres na jinou, a to změnou dat síťové adresy během přenosu.

Jednoduše řečeno, NAT umožňuje jedné veřejné (Internet Protocol) IP adrese reprezentovat jeden nebo více počítačů. To znamená, že více zařízení může sdílet jednu veřejnou IP adresu v síti, i když mají vlastní privátní IP adresy ve stejné síti.

Původně se tato metoda používala k tomu, aby nebylo nutné přidělovat každému hostiteli novou IP adresu při změně poskytovatele internetových služeb (ISP) nebo přesunu sítě. IP adresa sítě však zůstala stejná.

Zajímavé je, že NAT brána může poskytnout jedinou směrovatelnou IP adresu, kterou lze snadno použít pro celou interní síť. Vzhledem k tomu, že NAT mění data IP adresy během přenosu, existují různé implementace NAT s různým chováním v různých situacích adresování a s různými dopady na síťový provoz.

Jakou funkci má NAT?

V rámci NAT síťové zařízení, jako je firewall nebo router s NAT, přidělí veřejnou IP adresu jednomu nebo skupině počítačů v interní síti. Tímto způsobem NAT umožňuje zařízení fungovat jako prostředník mezi veřejnou, interní a lokální sítí.

Jak tedy NAT funguje?

NAT může šetřit IP adresy tím, že umožní privátním IP adresám jít online pomocí neregistrovaných adres. Před předáváním datových paketů mezi připojenými sítěmi NAT překládá místní, interní síťové adresy na unikátní, globální a legální adresy.

Při správné konfiguraci NAT by byla pro vnější svět viditelná pouze jedna IP adresa, i když by reprezentovala celou síť. Tímto způsobem je možné skrýt celou interní síť, což nabízí vyšší úroveň zabezpečení a soukromí. Implementace NAT jsou ideální pro prostředí se vzdáleným přístupem.

Jak funguje NAT?

Překlad síťových adres umožňuje zařízením, jako je router nebo firewall s NAT, fungovat jako zprostředkovatel mezi interní (místní) sítí a externími sítěmi (internet). To umožňuje celé skupině zařízení používat stejnou IP adresu při komunikaci mimo síť.

NAT se chová jako recepční v organizaci, která na základě daných instrukcí rozhoduje, které návštěvy nebo hovory spojit, podržet nebo odmítnout. NAT funguje podobně. Všechny požadavky přicházejí na veřejný port a IP adresu. Instrukce NAT pak určují, kam má požadavek směřovat, a zároveň skrývají privátní IP adresu cíle.

NAT vybírá brány mezi dvěma různými lokálními sítěmi – vnější a vnitřní. Všechny systémy uvnitř budou mít IP adresy, které nelze směrovat do vnější sítě. Kromě toho budou některé z externě platných IP adres přiděleny bráně, což umožňuje, aby odchozí provoz vypadal, že pochází z platné externí IP adresy.

Dále NAT zpracovává příchozí provoz a směruje ho do správného interního systému. Tímto způsobem je zajištěna bezpečnost. Protože příchozí a odchozí požadavky musí projít procesem překladu, nabízí to skvělý způsob, jak ověřit příchozí provoz a přiřadit ho k odchozím tokům.

Příklad fungování NAT

Zde je příklad toho, jak NAT funguje v reálném světě.

Uživatel připojí svá zařízení k domácí Wi-Fi síti. Domácí router přidělí zařízení privátní IP adresu, která se používá pouze v rámci této sítě.

Když se tedy uživatel pokusí načíst webovou stránku, jeho zařízení odešle požadavek na cílovou stránku prostřednictvím routeru. Router s NAT změní zdrojovou adresu požadavku z privátní IP adresy zařízení na veřejnou IP adresu sítě. NAT tabulka uloží tento překlad, přičemž brána ověří, zda datový paket splňuje podmínku překladu.

Server, ke kterému se uživatel snaží přistoupit, následně vrátí požadovaný datový paket na veřejnou adresu jeho sítě. Router pak upraví cílovou adresu na privátní IP adresu zařízení a zároveň směruje datové pakety k uživatelskému zařízení.

Typy NAT

Existují různé typy NAT, které můžete použít pro různé účely.

#1. SNAT

Statický NAT (SNAT) je typ NAT, který převádí privátní IP adresu na veřejnou IP adresu. Při každém překladu používá stejnou veřejnou IP adresu.

SNAT může mapovat neregistrovanou IP adresu pomocí NAT typu one-to-one tak, aby odpovídala registrované IP adrese. To znamená, že všechna zařízení v dané síti budou mít stejnou veřejnou adresu. Během tohoto procesu se v síťové adrese mění pouze dvě věci – hlavička a IP adresa.

Je to užitečné pro zařízení, ke kterým uživatelé potřebují přístup z externí sítě. Používá se také při propojení dvou různých IP sítí s nekompatibilními adresami. Kromě toho se používá při webhostingu. Jednotlivci a menší organizace obvykle používají SNAT s menším počtem zařízení, aby byly náklady minimální.

#2. DNAT

Dynamický NAT (DNAT) je typ NAT, který mapuje privátní IP adresu na skupinu veřejných IP adres. Na rozdíl od SNAT nepoužívá při překladu stále stejnou IP adresu, ale pokaždé jinou, ačkoliv využívá připojení typu one-to-one jako SNAT.

V tomto případě má firewall nebo router s DNAT k dispozici fond veřejných registrovaných IP adres. Když tedy DNAT přeloží síťovou adresu z privátní na veřejnou, router si může vybrat jakoukoli dostupnou veřejnou IP adresu z tohoto fondu. Dále se začne mapovat neregistrovaná adresa na registrovanou IP adresu.

Výsledkem je, že DNAT umožňuje, aby zařízení mělo různé IP adresy pro každý překlad. To znamená, že nelze s jistotou vědět, která globální IP adresa byla mapována na privátní adresu. Jedná se o efektivní řešení, protože je možné připojit k síti více zařízení.

Může to však být nákladné, protože byste museli investovat do veřejného fondu IP adres. Navíc je omezený počet datových paketů, které lze přenášet. Můžete odesílat a přijímat pouze datové pakety v počtu rovnajícím se celkovému počtu veřejných IP adres dostupných ve vašem fondu.

Je vhodný pro velké organizace s několika interními sítěmi. Je také ideální, pokud máte pevný počet uživatelů, kteří chtějí přistupovat k internetu.

#3. PAT

Port Address Translation (PAT), také nazývaný přetížení NAT, je situace, kdy každé interní zařízení používá společnou veřejnou IP adresu. Každé privátní IP adrese je však přiřazen jiný port.

V PAT se používají různé porty k mapování různých lokálních, neregistrovaných a privátních IP adres na jedinou registrovanou IP adresu. To také rozlišuje, který síťový provoz odpovídá které IP adrese.

PAT je druh NAT, kde datové pakety mají změněné zdrojové adresy, když putují z privátní do veřejné sítě. Budou mít také změněnou cílovou adresu, když se vrátí z veřejné do privátní sítě.

Datové pakety mezi sebou navíc budou mít změněná čísla portů, aby byl zajištěn jasný překlad. Tato kombinace změněné IP adresy a čísla portu je mapována pomocí registrované privátní IP adresy.

Mnozí považují PAT za nákladově efektivnější než NAT. Důvodem je, že mnoho uživatelů se může připojit k webu pomocí jediné veřejné IP adresy. Nezáleží tedy na tom, zda jste velká, malá nebo středně velká organizace. Můžete to použít.

Kromě SNAT, DNAT a PAT jste se možná setkali i s RNAT a překrývajícím se NAT.

  • RNAT vám umožňuje připojit se k síti pomocí veřejného internetu.
  • K překrývajícímu se NAT dochází, když se sloučí sítě dvou organizací používajících IP adresy RFC 1918. Může k tomu dojít také, když je registrovaná IP adresa přidělena několika zařízením nebo používána ve více interních sítích. Zde překrývající se NAT spojuje sítě bez nutnosti přečíslování každého zařízení.

Proč je NAT důležitý?

Zařízení nebo síťový systém potřebuje k navázání komunikace s webem IP adresu, což je unikátní sada čísel oddělených tečkami. Toto číslo se používá k identifikaci a lokalizaci síťového zařízení a umožňuje uživatelům komunikovat s webem.

Existují dva typy IP adres – IPv4 a IPv6. V počátcích internetu bylo vytvořeno pouze asi 4,3 miliardy IPv4 adres. Nicméně ne každá z nich mohla být přidělena zařízení pro navázání komunikace. Některé byly vyhrazeny pro testování, armádu a vysílání, zatímco zbývající 3 miliardy IP adres byly k dispozici pro komunikaci.

V roce 2019 organizace RIPE NCC přidělila poslední IPv4 adresy ze zbývajícího fondu, čímž se vyčerpaly. Proto bylo zavedeno adresování IPv6. IPv6 vytváří IP adresy znovu a poskytuje více možností pro přidělování adres. Změna nebo implementace síťového systému však trvala mnoho let.

A to je kde přichází NAT. Cisco mezitím představilo NAT, který je dnes široce používán.

NAT se stal cenným a oblíbeným způsobem, jak šetřit globální adresní prostor, zejména když se vyčerpaly adresy IPv4. NAT se také používá ke skrytí rozsahů IP adres privátní sítě, a to z ekonomických a bezpečnostních důvodů.

Výhody NAT

Úspora IP adres

NAT pomáhá šetřit legálně registrované IP adresy a zabraňuje jejich vyčerpání. S ohledem na rostoucí počet uživatelů internetu na celém světě je to důležitý krok k tomu, aby se web stal dostupným prostorem pro každého.

Zabezpečení

S NAT můžete přistupovat na web s vyšší úrovní zabezpečení a soukromí, protože dokáže skrýt IP adresu vašeho zařízení před veřejnou sítí, i když jsou přenášeny datové pakety. Omezení rychlosti NAT vám také umožňuje omezit maximální počet NAT operací, které probíhají současně na vašem routeru.

Tímto způsobem získáte lepší kontrolu nad používáním adres NAT a můžete minimalizovat dopad virů, červů, útoků typu Denial of Service (DoS) a dalších. Implementace dynamického NAT (DNAT) automaticky vytváří firewall mezi internetem a interní sítí. Některé směrovače NAT navíc mohou nabízet funkce zabezpečení, jako je filtrování provozu a protokolování.

Více připojení

Navázání více připojení k internetu pomáhá zachovat spolehlivost sítě a snižuje pravděpodobnost výpadku při selhání připojení. Přispívá také k vyrovnávání zátěže tím, že snižuje počet zařízení používajících jedno připojení.

Sítě s více přístupovými body se navíc obvykle připojují k několika poskytovatelům internetových služeb, kteří organizaci přidělí jednu nebo více IP adres. Směrovače navíc mohou používat NAT pro směrování sítí s různými protokoly NAT.

Síť s více přístupovými body navíc komunikuje tak, že routeru umožňuje používat část protokolu TCP nebo IP, Border Gateway Protocol (BGP). Podobně se webové stránky subdomény sdílejí pomocí interního BGP (IBGP), zatímco směrovače používají pro komunikaci externí BGP (EBGP). Pokud dojde k selhání připojení, přesměruje multi-homing data přes jiný router.

Rychlost

NAT je pro zdrojové i cílové počítače transparentnější než proxy servery. To umožňuje přímé jednání v rychlosti. Proxy servery navíc obvykle pracují na čtvrté nebo transportní vrstvě modelu OSI, nebo dokonce výše. Díky tomu jsou pomalejší než NAT, který je umístěn na třetí, tedy síťové vrstvě.

Škálovatelnost

Jak se vaše potřeby rozšiřují, budete potřebovat více IP adres pro vaše uživatele a zařízení. Místo toho, abyste IANA žádali o další IP adresy, můžete využít NAT. A pokud použijete NAT s protokolem DHCP (Dynamic Host Configuration Protocol), bude škálování ještě snadnější.

Důvodem je, že NAT a DHCP spolupracují efektivně při přidělování neregistrovaných IP adres pro subdoménu z dostupného seznamu na základě vašich požadavků. Tímto způsobem můžete rozšířit dostupný rozsah IP adres a DHCP může rychle konfigurovat a uvolňovat prostor pro více počítačů v síti.

Flexibilita a jednoduchost

NAT nabízí flexibilitu při nasazování a navazování připojení. Lze jej nasadit do bezdrátové veřejné sítě LAN. Někdy můžete pomocí statického NAT (SNAT) a příchozího mapování umožnit externím zařízením navazování připojení se zařízeními v subdoméně.

NAT navíc snižuje složitost a umožňuje snadné připojení k internetu, protože po změně nebo sloučení sítě není nutné přečíslovávat IP adresy. NAT také umožňuje vytvářet virtuální hostitele ve vaší interní síti, kteří koordinují vyrovnávání zátěže TCP.

Omezení NAT

Omezení NAT

NAT má některá omezení:

  • Vysoká spotřeba zdrojů: NAT může spotřebovat značné množství procesorového výkonu a paměťových zdrojů. Důvodem je, že překládá všechny adresy IPv4 pro vaše příchozí a odchozí datagramy IPv4 a ukládá všechny podrobnosti o překladu do paměti.
  • Funkčnost: Povolení NAT může vést ke snížení funkčnosti některých technologií a aplikací.
  • Komplikace tunelování: NAT může komplikovat protokoly tunelování. K tomu můžete použít IPsec pro bezpečný překlad síťových adres.
  • Problémy s vrstvami: Pokud router funguje jako zařízení NAT, může zasahovat do 4. nebo transportní vrstvy jako čísla portů, ačkoliv je určen pro 3. nebo síťovou vrstvu.
  • Zpoždění: Během překladu může dojít ke zpoždění trasy.

Některé běžné termíny v NAT

  • Zdrojová adresa: Je to IP adresa hostitele, který iniciuje komunikaci.
  • Zdrojový port: Je to číslo portu TCP/UDP, které přidělí hostitel, který zahájil komunikaci.
  • Cílová adresa: Je to IP adresa příjemce.
  • Cílový port: Je to port TCP nebo UDP, o jehož otevření žádá příjemce iniciující hostitel.
  • Vnitřní lokální adresa: Jedná se o privátní IP adresu přidělenou hostiteli v lokální (vnitřní) síti. Poskytovatel služeb ji nepřiděluje. Je to interní hostitel pro interní síť.
  • Vnitřní globální adresa: Jedná se o IP adresu reprezentující jednu nebo více lokálních IP adres. Je to interní hostitel pro vnější/externí síť.
  • Vnější lokální adresa: Jedná se o skutečnou IP adresu cílového hostitele umístěného v lokální síti po dokončení překladu.
  • Vnější globální adresa: IP adresa vnějšího cílového hostitele před překladem. Je to externí hostitel pro vnější/externí síť.
  • Subdoména: Jedná se o neregistrovanou privátní IP adresu, která se skládá z:
  • Vnějších lokálních adres, které směrovače NAT nasazují, a
  • Vnitřních lokálních adres, které používá lokální síť.
    • Tabulka NAT: NAT znovu přiřazuje čísla portů a IP adresy a sleduje je pomocí tabulky překladů NAT.

    Předpokládejme, že router přijal datový paket z místního zařízení s veřejnou IP adresou. Router nyní změní IP adresu zdrojového zařízení a umožní mu použít jeho IP adresu. Poté změní číslo portu zdroje, aby měl informaci o tom, kam mají být doručeny přijaté pakety. Toto nové přiřazení IP adres se zaznamená do tabulky překladů NAT.

    Závěr

    S rostoucím počtem uživatelů internetu a celosvětově se šířícími bezpečnostními problémy je potřeba mít bezpečnější a efektivnější způsob připojení. NAT si klade za cíl toho dosáhnout. Pomáhá zachovat veřejné IP adresy a zároveň vám poskytuje výhody zabezpečení, rychlosti, flexibility a škálovatelnosti při připojení k internetu.

    Tweet
    Share
    Share
    Pin

    14 retro herních konzolí, které si můžete koupit hned teď

    Vše, co jste chtěli vědět o objemu vyhledávání klíčových slov pro SEO v roce 2022