Překlad síťových adres (NAT) je výkonná metoda, kterou mohou jednotlivci a organizace použít k vytvoření bezpečného, nákladově efektivního a jednoduchého připojení k internetu.
NAT poskytuje nejen zabezpečení, ale také flexibilitu, škálovatelnost a rychlost komunikace s webem.
Použití NAT také zajistí, že přispíváte k zachování veřejných IP adres.
Ale co přesně je NAT a proč byste se měli obtěžovat jeho pochopením nebo používáním?
V tomto článku na to odpovím.
Začněme tedy definováním NAT.
Table of Contents
Co je překlad síťových adres (NAT)?
Překlad síťových adres (NAT) mapuje rozsah IP adres na jinou změnou dat síťové adresy při přenosu.
Jinými slovy, NAT umožňuje jedinečné (Internet Protocol) IP adrese reprezentovat jeden nebo skupinu počítačů. To znamená, že více zařízení veřejně sdílí jednu IP adresu v síti, i když mají soukromé IP adresy ve stejné síti.
Zpočátku se tato metoda používala k odstranění potřeby přidělování nové IP adresy každému hostiteli zvlášť v případě změny poskytovatele internetových služeb (ISP) nebo přemístění sítě. IP adresa sítě však zůstává stejná.
Je zajímavé, že brána NAT může poskytnout jedinou směrovatelnou IP adresu, kterou lze snadno použít pro celou privátní síť. Protože NAT mění data IP adresy při přenosu, existují různé implementace NAT s různým chováním v různých případech adresování s jinými účinky na síťový provoz.
Co dělá NAT?
V NAT síťové zařízení, jako je NAT firewall nebo router, přiděluje veřejnou IP adresu jednomu počítači nebo skupině počítačů v privátní síti. Tímto způsobem NAT umožňuje jednomu zařízení zprostředkovat mezi veřejnou, privátní a místní sítí.
Co dělá NAT?
NAT může šetřit IP adresy tím, že soukromým IP adresám umožní přejít online pomocí neregistrovaných adres. Před předáváním datových paketů mezi připojenými sítěmi překládá NAT místní, privátní síťové adresy na jedinečné, globální a legální adresy.
S konfiguracemi NAT by vnějšímu světu byla viditelná pouze jedna IP adresa, i když bude reprezentovat celou síť. Díky tomu dokáže skrýt kompletní interní síť a nabídnout větší bezpečnost a soukromí. Implementace NAT jsou nejlepší pro prostředí se vzdáleným přístupem.
Jak NAT funguje?
Překlad síťových adres umožňuje zařízení, jako je router NAT nebo firewall, fungovat jako prostředník mezi vnitřní sítí (místní sítí) a vnějšími sítěmi (internet). To umožňuje celé skupině zařízení odrážet stejnou IP adresu při provádění něčeho mimo síť.
NAT se chová jako recepční v organizaci, která na základě konkrétních pokynů rozhoduje o tom, které návštěvníky nebo hovory poslat, čekat nebo držet venku. NAT funguje podobně. Všechny požadavky přicházejí na veřejný port a IP adresu. Instrukce NAT zde rozhodují o tom, kam má požadavek směřovat, a přitom skrývají soukromou IP adresu cíle.
NAT vybírá brány mezi dvěma různými lokálními sítěmi – vnější sítí a vnitřní sítí. Všechny systémy uvnitř budou mít IP adresy, které nemohou být směrovány do externí sítě. Kromě toho budou některé z externě platných IP adres přiděleny bráně, což umožňuje, aby odchozí provoz vypadal, že pochází z platné externí IP adresy.
Dále používá příchozí provoz a přenáší ho do správného interního systému. Tímto způsobem je zajištěna bezpečnost. Protože příchozí a odchozí požadavky musí procházet procesem překladu, nabízí skvělý způsob, jak ověřit příchozí provoz a přiřadit je k odchozím tokům.
Příklad procesu NAT
Zde je příklad toho, jak NAT funguje v reálném světě.
Uživatel připojí svá zařízení ke své domácí síti Wi-Fi. Domácí router přidělí zařízení privátní IP adresu, která musí být používána pouze v rámci této sítě.
Když se tedy uživatel pokusí načíst danou webovou stránku, adresa si vyžádá cílovou webovou stránku prostřednictvím svého routeru. Nyní router NAT změní zdrojovou adresu požadavku na veřejnou IP své sítě ze soukromé IP adresy jeho zařízení. NAT tabulka uloží tento překlad, kde brána vyhledá, zda datový paket splňuje podmínku překladu.
Kromě toho server, ke kterému se uživatel pokouší přistupovat, vrátí požadovaný datový paket na veřejnou adresu jeho sítě. Dále router upraví cílovou adresu na soukromou IP zařízení a zároveň směruje datové pakety do zařízení uživatele.
Typy NAT
NAT je různých typů, které můžete použít pro různé účely.
#1. SNAT
Statický NAT (SNAT) je typ NAT, který převádí soukromou IP adresu na veřejnou IP adresu. Při každém překladu používá konzistentně stejnou veřejnou IP adresu.
SNAT může mapovat neregistrovanou IP adresu pomocí NAT typu one-to-one, aby se shodovala s registrovanou IP adresou. To znamená, že všechna zařízení v této síti budou mít stejnou veřejnou adresu. Přitom se v síťové adrese mění pouze dvě věci – hlavička a IP adresa.
Je to užitečné pro zařízení, ke kterým uživatelé potřebují přístup z externí sítě. Používá se také při propojení dvou různých IP sítí s nekompatibilními adresami. Kromě toho se používá při webhostingu. Jednotlivci a menší organizace obvykle používají SNAT s menším počtem zařízení, aby byly náklady minimální.
#2. DNAT
Dynamic NAT (DNAT) je typ NAT, který mapuje soukromou IP adresu na skupinu veřejných IP adres. Na rozdíl od SNAT nepoužívá stejnou IP adresu, ale pokaždé jinou, když provádí překlad, ale používá připojení typu one-to-one jako SNT.
V tomto má firewall nebo router DNAT k dispozici fond veřejných registrovaných IP adres. Když tedy DNAT přeloží síťovou adresu z privátní na veřejnou, umožní routeru vybrat libovolnou dostupnou veřejnou IP adresu z tohoto fondu. Dále začne mapovat neregistrovaný na registrovanou IP adresu.
V důsledku toho DNAT umožňuje zařízení mít různé IP adresy pro každý překlad. To znamená, že nemůžete vědět, která globální IP adresa byla namapována na soukromou adresu. Jedná se o efektivní řešení, protože k síti můžete připojit více zařízení.
Může to však být nákladné, protože byste museli investovat do veřejného fondu IP. Navíc je omezený počet datových paketů, které lze přenášet. Můžete odesílat a přijímat pouze datové pakety rovnající se celkovému počtu veřejných IP adres dostupných ve vašem fondu.
Je vhodný pro velké organizace s několika interními sítěmi. Je to také skvělé, pokud máte pevný počet uživatelů, kteří chtějí přístup k internetu.
#3. PAT
Port Address Translation (PAT), také nazývaný přetížení NAT, je místo, kde každé interní zařízení používá společnou veřejnou IP adresu. Každé soukromé IP adrese však bude přiřazen jiný port.
V PAT se používají různé porty pro mapování různých místních, neregistrovaných a privátních IP adres pouze na jednu registrovanou IP adresu. Také rozlišuje, který síťový provoz odpovídá které IP adrese.
PAT je druh NAT, kde datové pakety budou mít změněné zdrojové adresy, když putují ze soukromé do veřejné sítě. Také budou mít změněnou cílovou adresu, když se vrátí z veřejné do privátní sítě.
Kromě toho budou mít datové pakety mezi sebou změněná čísla portů, aby byl zajištěn jasný překlad. Tato kombinace změněné IP adresy a čísla portu je mapována pomocí registrované soukromé IP adresy.
Mnozí považují PAT za nákladově efektivnější než NAT. Důvodem je, že mnoho uživatelů se může připojit k webu pomocí jediné veřejné IP adresy. Nezáleží tedy na tom, zda jste velká, malá nebo středně velká organizace. Můžete to použít.
Kromě SNAT, DNAT a PAT jste mohli být také svědky RNAT a překrývajících se NAT.
- RNAT vám umožňuje připojit se k vaší síti pomocí veřejného internetu nebo internetu.
- K překrývajícímu se NAT dochází, když se sloučí sítě dvou organizací používajících IP adresy RFC 1918. Může k tomu také dojít, když jsou registrované adresy IP přiděleny několika zařízením nebo používány ve více interních sítích. Zde překrývající se NAT spojuje sítě bez přeadresování každého zařízení.
Proč je NAT důležitý?
Zařízení nebo síťový systém potřebuje k navázání komunikace s webem IP adresu, jedinečnou sadu čísel oddělených tečkami. Toto číslo se používá k identifikaci a lokalizaci síťového zařízení a umožňuje uživatelům komunikovat s webem.
IP adresy jsou dvou typů – IPv4 a IPv6. V počátečních dnech internetu bylo vytvořeno pouze asi 4,3 miliardy IPv4 adres. Ne každý však mohl být přidělen k zařízení pro navázání komunikace. Některé byly ponechány pro testování, armádu a vysílání, zatímco zbývající 3B IP byly k dispozici pro komunikaci.
V roce 2019 přidělilo RIPE NCC poslední adresy IPv4 zbývající z dostupného fondu, kterým došel IPv4. Proto bylo zavedeno IPv6 adresování. IPv6 znovu vytváří IP adresy a poskytuje více možností pro přidělování g adres. Změnit nebo implementovat síťový systém však trvalo mnoho let.
Zadejte NAT. Cisco mezitím představilo NAT, který je nyní široce nasazený.
NAT se stal cenným a oblíbeným způsobem, jak šetřit globální adresní prostor, zvláště když jsou IPv4 adresy vyčerpány. NAT se také používá ke skrytí rozsahů IP adres privátní sítě z důvodu hospodárnosti a bezpečnosti.
Výhody NAT
Zachování IP adresy
NAT pomáhá zachovat legálně registrované IP adresy a také zabraňuje jejich vyčerpání. Při pohledu na rostoucí počet uživatelů internetu po celém světě je to skvělá iniciativa směřující k tomu, aby se web stal dostupným prostorem pro každého.
Bezpečnostní
S NAT můžete přistupovat na web s vylepšeným zabezpečením a soukromím, protože dokáže skrýt IP adresu vašeho zařízení před veřejnou sítí, i když jsou datové pakety přenášeny. Omezení rychlosti NAT vám také umožňuje omezit maximální počet operací NAT probíhajících současně na vašem routeru.
Tímto způsobem získáte lepší kontrolu nad používáním adres NAT a můžete minimalizovat účinky virů, červů, útoků typu Denial of Service (DoS) atd. Implementace dynamického NAT (DNAT) automaticky vytvoří firewall mezi internetem a vnitřní sítí. Některé směrovače NAT navíc mohou nabízet funkce zabezpečení, jako je filtrování provozu a protokolování.
Vícenásobná připojení
Navázání více připojení k internetu pomáhá udržovat spolehlivost sítě a snižuje možnost vypnutí při selhání připojení. Přispívá také k vyrovnávání zátěže snížením počtu zařízení používajících jedno připojení.
Sítě s více domovy se navíc obvykle připojují k několika poskytovatelům internetových služeb, kteří organizaci přidělují jednu nebo více IP adres. Směrovače navíc mohou používat NAT pro směrování sítí s různými protokoly NAT.
Síť s více domovy navíc komunikuje tak, že routeru umožňuje využívat část protokolu TCP nebo IP, Border Gateway Protocol (BGP). Podobně se weby subdomény sdílejí pomocí interního BGP (IBGP), zatímco směrovače používají k interakci externí BGP (EBGP). V případě, že spojení selže, multi-homing přesměruje data přes jiný router.
Rychlost
NAT je pro zdrojové i cílové počítače transparentnější než proxy servery. To umožňuje přímé jednání v rychlosti. Proxy servery také obvykle pracují na čtvrté vrstvě nebo transportní vrstvě modelu OSI nebo dokonce vyšší. Díky tomu jsou pomalejší než NAT, který je umístěn na třetí nebo síťové vrstvě.
Škálovatelnost
Když vaše potřeby porostou, vaše potřeby budou vyžadovat více IP adres pro vaše uživatele a zařízení. Můžete tedy využít NAT místo toho, abyste IANA požádali o více IP adres. A když použijete NAT s protokolem DHCP (Dynamic Host Configuration Protocol), škálování bude snazší.
Důvodem je, že NAT a DHCP dobře spolupracují při přidělování neregistrovaných IP adres pro subdoménu z dostupného seznamu podle vašich požadavků. Tímto způsobem můžete rozšířit dostupný rozsah IP adres a DHCP může rychle nakonfigurovat a uvolnit místo pro více počítačů v síti.
Flexibilita a jednoduchost
NAT nabízí flexibilitu při nasazení a navazování spojení. Můžete jej nasadit do bezdrátové veřejné sítě LAN. Někdy můžete pomocí statického NAT (SNAT) a příchozího mapování povolit externím zařízením navazování připojení zařízení na subdoméně.
NAT navíc snižuje složitost a umožňuje jednoduché připojení k internetu, protože nevyžaduje přečíslování IP adres po změně nebo sloučení sítě. NAT vám také umožňuje vytvořit virtuální hostitele ve vaší interní síti, který koordinuje vyrovnávání zátěže TCP.
Omezení NAT
Omezení NAT
NAT má některá omezení:
- Spotřebovává prostředky: NAT může spotřebovat značné místo procesoru a paměťové prostředky. Je to proto, že překládá všechny adresy IPv4 pro vaše příchozí a odchozí datagramy IPv4 a ukládá všechny podrobnosti o překladu do paměti.
- Funkčnost: Povolení NAT může vést ke snížení funkčnosti některých technologií a aplikací.
- Komplikace tunelování: NAT může komplikovat protokoly tunelování. K tomu můžete použít IPsec pro bezpečný překlad síťových adres.
- Problémy s vrstvami: Když router funguje jako zařízení NAT, může zasahovat do vrstvy 4 nebo transportní vrstvy jako čísla portů, protože je určen pro vrstvu 3 nebo síťovou vrstvu.
- Zpoždění: Během překladu může dojít ke zpoždění trasy.
Některé běžné termíny v NAT
- Zdrojová adresa: Je to IP adresa iniciačního hostitele.
- Zdrojový port: Je to číslo portu TCP/UDP, které přiděluje iniciující hostitel.
- Cílová adresa: Je to IP adresa příjemce.
- Cílový port: Je to port TCP nebo UDP, o jehož otevření iniciující hostitel požaduje přijímač.
- Vnitřní místní adresa: Je to soukromá IP adresa přidělená hostiteli v místní (vnitřní) síti. Poskytovatel služeb jej nepřiděluje. Je to vnitřní hostitel pro vnitřní síť.
- Uvnitř globální adresy: Je to IP adresa představující jednu nebo více lokálních IP adres. Je to vnitřní hostitel pro vnější/externí síť.
- Mimo místní adresu: Skutečná IP adresa cílového hostitele je po dokončení překladu umístěna v místní síti.
- Vnější globální adresa: IP adresa vnějšího cílového hostitele před překladem. Je to vnější hostitel pro vnější/externí síť.
- Subdoména: Je to neregistrovaná soukromá IP adresa sestávající z:
- Tabulka NAT: NAT znovu přiřazuje čísla portů a IP adresy a sleduje je pomocí překladové tabulky NAT.
Předpokládejme, že router přijal datový paket z místního zařízení s veřejnou IP adresou. Router nyní změní IP adresu zdrojového zařízení a umožní mu využívat jeho IP adresu. Dále změní číslo portu zdroje, aby zajistil, že má informace o tom, kam musí být doručeny přijaté pakety. Toto opětovné přiřazení IP adres se zaznamená do překladové tabulky NAT.
Závěr
S rostoucím počtem uživatelů na internetu a celosvětově se šířícími bezpečnostními problémy je potřeba mít bezpečnější a efektivnější způsob připojení. NAT si to klade za cíl. Pomůže zachovat veřejné IP adresy a zároveň vám poskytne výhody zabezpečení, rychlosti, flexibility a škálovatelnosti při připojení k internetu.