Osoitteenmuunnos

Network Address Translation (Englanti Network Address Translation , pian NAT ) on tietoverkkoja on kollektiivinen termi muutokset osoitteet IP-otsikossa on IP- paketteja ( kerros 3 on ISO / OSI-mallin ).

NAT (tarkemmin sanottuna SNAT) mahdollistaa muun muassa useiden isäntien samanaikaisen julkisen osoitteen (katso yksityiset IP -osoitteet ) käytön. Yleensä verkon reititin ottaa haltuunsa SNAT: n, joka muodostaa yhteyden Internetiin (siksi tämä reititin on yleensä isännän oletusyhdyskäytävä).

NAT -tyypit

NAT on jaettu Source-NAT (SNAT; saksa: " Quellen-NAT ") ja Destination-NAT (DNAT; saksa: " Target NAT "). Lähteen NAT kanssa yhteys muodostavan tietokoneen osoite (lähde) kirjoitetaan uudelleen. Määränpäässä NAT kirjoitetaan uudelleen osoitetun tietokoneen osoite (kohde).

NAT: n käyttö

Lähteen NAT käyttö

Lähde -NATia käytetään eniten julkisten IPv4 -osoitteiden niukkuuden ja taipumuksen vuoksi yhdistää yhä useammat kotitaloudet (joissa käytetään yksityisiä aliverkkoja ) Internetiin . SNAT: n erityismuotoa kutsutaan myös masqueradingiksi tai masqueradeksi , jota käytetään pääasiassa puhelinverkkoyhteyksissä. Peitettäessä algoritmi muuttaa automaattisesti paketin lähettäjän osoitteen sen käyttöliittymän IP -osoitteeksi, jolla paketti poistuu reitittimestä, kun taas SNAT -toiminnolla (uusi) lähdeosoite on määritettävä nimenomaisesti.

Lähde -NATia käytetään eräänlaisena suojaominaisuutena ja sisäisten ja ulkoisten verkkojen erottamiseen, erityisesti yksityisissä verkkoasennuksissa tai mahdollisimman edullisissa verkkoasennuksissa. Peittämällä lähde -IP -osoitteen, sisäisiä tietokoneita ei voi enää käsitellä suoraan ulkopuolelta, mutta tätä on pidettävä sivuvaikutuksena, koska se ei korvaa turvallisuusinfrastruktuuria eikä sitä ole tarkoitettu erottamaan verkkoja.

Kohteen NAT käyttö

Kohde NAT: ää käytetään IP -paketin määränpään muuttamiseen. DNAT: n yleisin käyttötapa on muuttaa Internet -yhteyden julkinen IP -osoite yksityisen aliverkon palvelimen yksityiseksi IP -osoitteeksi. Tämä menetelmä tunnetaan "portin edelleenlähetyksenä" UDP / TCP -yhteyksien yhteydessä. Siksi DNAT: ää voidaan käyttää myös tarjoamaan useita eri palvelinpalveluja, joita käytetään eri tietokoneissa yhdellä (julkisella) IP -osoitteella . Katso myös NAT-Traversal tai NAT-T DNAT: n rajaamiseksi.

toiminnallisuutta

NAT -reititin, NAT -istunto ja NAT -taulukko

Moderni reititin, jossa on NAT -toiminto, on tilallinen, ja siksi sitä kutsutaan myös tilatilaksi. Tilapäisen palomuurin avulla liittyvät yhteystiedot (mukaan lukien IP -osoitteet, protokolla / portit ja aikakatkaisut ) tallennetaan istuntotaulukkoon (katso netfilter - yhteyden seuranta ) jokaiselle asiakkaan pyytämälle yhteydelle . Tallennettujen tietojen avulla NAT -reititin voi sitten määrittää vastaavan datapaketin uudelleen oikealle asiakkaalle . Kun istunto on päättynyt, merkinnät poistetaan istuntotaulukosta. Niiden istuntojen määrää, jotka NAT -reititin voi pitää auki samanaikaisesti, rajoittaa sen päämuisti, 10000 istuntoa vie vain noin 3 Mt.

Lähde NAT

Aina, kun sisäinen asiakas muodostaa yhteyden, sisäisen lähde -IP -osoite korvataan reitittimen julkisella IP -osoitteella. Lisäksi sisäisen asiakkaan lähdeportti korvataan reitittimen vapaalla portilla, jos lähdeportti on varattu. Tämä tehtävä tallennetaan reitittimen istuntotaulukkoon (NAT -taulukko). Tallennettujen tietojen avulla NAT -reititin voi sitten määrittää vastaavan datapaketin uudelleen oikealle asiakkaalle . Prosessi tunnetaan nimellä PAT (Port and Address Translation).

lähde	kohde	lähde	kohde
lähiverkko ( LAN )		julkinen verkko ( WAN )
192.168.0.2:49701	170.0.0.1:80	205.0.0.2:49701	170.0.0.1:80
192.168.0.3:50387	170.0.0.1:80	205.0.0.2:50387	170.0.0.1:80
192.168.0.4:49152	170.0.0.1:23	205.0.0.2:49152	170.0.0.1:23

Lähteen NAT- ja IP -reititys esimerkin avulla

Tässä esimerkissä yksityinen verkko käyttää IP -osoitetta 192.168.0.0/24. Lähteen NAT -reititin , jonka julkinen osoite on 205.0.0.2/32, sijaitsee tämän verkon ja julkisen Internetin välissä .

Reititys vaaditaan yleensä aina, kun lähettäjä ja vastaanottaja ovat eri verkoissa. Jos lähde -NAT -reitittimen kautta yhdistetty asema haluaa lähettää paketin (yksityisen) verkon ulkopuoliselle vastaanottajalle, esimerkiksi Telnet -palvelimelle, joka on jossain Internetin kaukana, viestintäprosessi (esitetty yksinkertaistetussa muodossa) toimii seuraavasti: Ensinnäkin asema määrittää Telnet -palvelimen kohde -IP: n DNS: n kautta, ja reititystaulukon kautta reititin, joka on lähimpänä haluttua kohdetta (katso reititystaulukko ), tämä on lähde -NAT -reititin . Asema määrittää sitten sen MAC-osoitteen kautta ARP ja kokoaa paketin seuraavasti: Se vastaanottaa MAC-osoite lähteen NAT-reitittimen , kuten määränpään MAC-osoite , kohde-IP-osoite vastaanottajan (tässä 170.0.0.1), kohde- portin osoite 23 Telnet -palvelimelle sekä lähettäjän MAC- ja IP -osoite (tässä 192.168.0.4) ja lähettäjän portti (mikä tahansa vapaa korkea dynaaminen portti ) tällä hetkellä pyytävälle Telnet -istunnolle samoin kuin muut tiedot. Lähde NAT-reitittimen vastaanottaa ja prosessoi paketin, koska se on suunnattu sen MAC-osoite. Kun käsittely suoritetaan reitittimessä, paketti välitetään muokatussa muodossa: reititin käyttää vastaanottajan IP -osoitetta seuraavan reitittimen määrittämiseen, määrittää ARP: n avulla MAC -osoitteen ja muuntaa paketin seuraavasti: Se vastaanottaa nyt MAC -osoitteen eri tavalla seuraava reititin , kohde-IP-osoite vastaanottajan (170.0.0.1), määräsatama 23 ja yleisön MAC- ja IP-osoitteen lähde NAT-reitittimen (205.0.0.2), valitse hetkellä vapaa lähettäjän portti säiliön reitittimen ( 49152) ja käyttäjätiedot, jotka pysyvät samana. Tämä alkuperäisen lähettäjän osoitteen ja portin (192.168.0.4:49152) osoittaminen nyt sisältyvälle osoitetyypille (205.0.0.2:49152) tallennetaan reitittimeen, kunnes Telnet -istunto päättyy tai päättyy. NAT muuttaa paketin kerroksessa 3 ( IP ) merkittävästi.

Kun käsitellään myöhemmissä IP-reitittimiä, paketti ei muuteta kerros 2: Reititin määrittää seuraavan reitittimen , määrittää sen MAC-osoitteen kautta ARP ja uusintoihin paketin seuraavasti: Nyt vastaanottaa eri kohde-MAC-osoite MAC-osoite on seuraava reititin ja lähettäjän MAC -osoite vaihdetaan omaan. Vastaanottajan IP -osoite (170.0.0.1), kohdeportti 23 ja lähde -NAT -reitittimen (205.0.0.2) lähettäjän IP -osoite, sen lähettäjäportti 49152 ja käyttäjätiedot säilytetään. Tämä tarkoittaa: Pakettia ei muuteta tässä kerroksessa 3 ( IP ). Tämä prosessi toistetaan, kunnes viimeinen reititin löytää kohdeaseman suoraan yhdistetystä verkosta; Sitten paketti muodostuu seuraavasti: Se vastaanottaa viimeisen reitittimen lähettäjän MAC -osoitteen, määränpään kohdeaseman MAC -osoitteen, vastaanottajan IP -osoitteen (= kohdeasema, 170.0.0.1), kohdeportin 23 samoin lähettäjän lähteen NAT -reitittimen (205.0.0.2), sen lähettäjän portin 49152 ja tietysti käyttäjätietojen IP -osoitteena .

Kun Telnet -palvelin on suorittanut onnistuneen käsittelyn , vastaus kootaan seuraavasti: Paluureitistä vastaavan reitittimen MAC -osoite (vaikka lähtö- ja paluureittien ei välttämättä tarvitse olla identtisiä), pyytävän lähteen NAT -osoite reititin (205.0.0.2), kohdeportin osoite 49152 ja Telnet -palvelimen (170.0.0.1) ja sen lähettäjän portin 23 MAC- ja IP -osoite sekä vastaustiedot (hyötykuorma). Kun kaikki reitittimet on suoritettu, lähde -NAT -reititin (205.0.0.2) johtaa lopulta : pyytävän tietokoneen MAC -osoitteeseen ja IP -osoitteeseen (tässä 192.168.0.4) ja sen porttiosoitteeseen 49152 sekä lähteen MAC -osoitteeseen NAT -reititin ja Telnet -palvelimen (170.0.0.1) ja sen lähetinportin 23 IP -osoite sekä vastaustiedot. Jos tämä Telnet -istunto lopetetaan, myös portti 49152 vapautetaan uudelleen.

Kohde NAT

Aina kun asiakas muodostaa yhteyden, kohde -IP -osoite korvataan lähiverkossa olevan vastaanottajan osoitteella. Lisäksi kohdeportti korvataan reitittimen vapaalla portilla, joka sitten on varattu. Tämä tehtävä tallennetaan reitittimen NAT -taulukkoon.

lähde	kohde	lähde	kohde
julkinen verkko (WAN)		lähiverkko (LAN)
170.0.0.1: 1001	171.4.2.1:80	170.0.0.1: 1001	192.168.0.2:80
170.0.0.1: 1001	171.4.2.1:22	170.0.0.1: 1001	192.168.0.3:22
170.0.0.1: 1001	171.4.2.1:81	170.0.0.1: 1001	192.168.0.3:81

Luokittelu

RFC 3489 , joka kuvaa STUN -protokollaa NAT -yhdyskäytävien kulkemiseen, luokitteli ne neljään eri luokkaan, joita käytetään usein myös luokittelussa STUN -kontekstin ulkopuolella:

	Vuonna Full Cone NAT skenaario, yhdyskäytävä muuntaa sisäisen osoitteet ja portit ulkoiseen osoite ja sen portit mukaan staattinen malli. Erityisesti se mahdollistaa myös ulkoisten isäntien muodostaa yhteyksiä sisäisiin isäntiin NAT -yhdyskäytävän ulkoisen osoitteen kautta. Full Cone NAT tunnetaan myös nimellä englantilainen portinsiirto .
	Vuonna Rajoitettu Cone NAT skenaario, yhdyskäytävä sallii vain ulkoinen isäntä ottaa yhteyttä sisäisen isäntä, jos tämä yhteys yritetään edelsi välisen kosketuksen tämä sisäinen isäntä ja ulkoinen isäntä ja samaan määräpaikkaan porttia käytetään.
	Vuonna Port Restricted Cone NAT skenaario, yhdyskäytävä sallii vain ulkoinen isäntä ottaa yhteyttä sisäisen isäntä, jos tämä yhteys yritetään edelsi välisen kosketuksen tämä sisäinen isäntä ja ulkoinen isäntä ja sama kohdeportin ja saman lähteen portin käytetään.
	Vuonna Symmetrinen NAT skenaario, kunkin yksittäisen liitäntä tehdään eri lähdeportin, rajoitukset ovat samat kuin rajoitettujen Cone NAT skenaario. Koska jokaiselle yhteydelle on määritetty oma lähdeportti, ulkoisten isäntien väliset yhteydet voidaan aloittaa sisäisesti tai se on tuskin mahdollista.

Nykyaikaisissa NAT -järjestelmissä nämä prototyyppiset perusskenaariot tarjoavat kuitenkin usein vain vihjeitä yhdyskäytävien erityiskäyttäytymisen luokittelulle. Nämä käyttävät toisinaan klassisten lähestymistapojen sekalaisia muotoja kääntämiseen tai vaihtavat dynaamisesti kahden tai useamman käyttäytymismallin välillä. RFC 3489 on korvattu RFC 5389: llä , joka ei enää yritä luokitella sitä.

etuja

NAT auttaa hidastamaan IPv4 -osoitteiden puutetta. Se tekee tämän korvaamalla useiden päätejärjestelmien useat osoitteet yhdellä IP -osoitteella.
Yhden verkon IP -osoitteet voidaan piilottaa toisesta verkosta. Siten NAT: ää voidaan käyttää yksityisyyden parantamiseen .
Useat suljetut yksityiset verkot voivat käyttää samoja IP -osoitealueita ilman yhteentörmäyksiä, koska vain NAT -reitittimen IP -osoite näkyy ulkopuolelle.

haitta

Yksi NAT: n ongelma on, että "1 isäntä, jolla on ainutlaatuinen IP -osoite", oikeaa määritystä ei noudateta. Protokollaotsikoiden määritelmän mukaan man-in-the-middle -hyökkäys on samanlainen kuin etenkin vanhemmat protokollat ja salaus verkko- ja siirtotasolla tämän suunnitteluvirheongelman kautta ( esim. IPsec AH). Protokollakomplikaatioita NAT: sta kuvataan julkaisussa RFC 3027 .
Samoin kärsivät tietyt verkkopalvelut, jotka käyttävät kaistan ulkopuolisia signalointi- ja palautuskanavia, kuten IP-puhelinprotokollat , mukaan lukien NAT-yhdyskäytävien komplikaatiot.
Päästä päähän -periaatetta rikotaan, kun NAT-reititin muuttaa IP-paketin tai TCP-segmentin olematta itse lähettävä isäntä.

NAT -läpikulku

Verkko-osoitteen kääntäminen rikkoo päästä päähän -yhteyden tarpeen. Sovellukset, jotka tyypillisesti muodostavat yhteyden isäntäkoneesta isäntään (esimerkiksi vertaisverkko- ja IP-puhelinsovelluksiin tai VPN-yhteyksiin), vaativat siksi NAT-tunkeutumistekniikoita. On olemassa useita tekniikoita, joista yksikään ei ole yleisesti sovellettavissa. Monet tekniikat edellyttävät palvelimen apua, joka on suoraan julkisesti saatavilla molemmille osapuolille. Jotkut menetelmät käyttävät tällaista palvelinta vain yhteyden muodostamiseen, toiset reitittävät koko yhteyden liikenteen tämän apupalvelimen kautta.

Useimmat menetelmät kiertävät usein yrityksen turvallisuusohjeita, minkä vuoksi yritysverkoissa suositellaan tekniikoita, jotka ovat nimenomaan yhteistyössä NAT: n ja palomuurien kanssa ja mahdollistavat hallinnolliset toimenpiteet NAT -siirtopisteessä. Maailma-tietyn IP ja middlebox viestintä (MIDCOM) standardeja käytetään harvoin.

SOCKS , vanhin protokolla NAT -tunkeutumiseen, on laajalle levinnyt, mutta sitä käytetään yhä harvemmin. SOCKSin avulla asiakas muodostaa yhteyden SOCKS -yhdyskäytävään (joka on yleensä suoraan yhteydessä Internetiin) niin, että viestintäkumppanin viestintä näyttää siltä, kuin se olisi tullut suoraan SOCKS -yhdyskäytävältä.

Kotisovellukset ovat Universal Plug and Play (UPnP) -käyttöliittymää, minkä seurauksena asiakas sallii dynaamisen määritysportin edelleenlähetyksen.

NAT-T: tä käytetään yleisimmin IPsec VPN: n kanssa, kun suojaavia hyötykuormapaketteja koteloidaan Internet-yhteyksissä NAT-reitittimien kanssa. ESP -paketit on pakattu UDP / 4500 -paketteihin. Jotkut reitittimet tukevat myös ESP-läpivientiä, joten ESP-paketit voidaan välittää suoraan VPN-yhdyskäytävään eikä NAT-T-yhteyttä tarvita.

Toinen esimerkki NAT -läpivientiprotokollasta on STUN , joka on erittäin tärkeä VoIP: ssä.

Katso myös

Portin uudelleenohjaus
Windowsin Internet -yhteyden jakaminen
NAT64 , käännös kahden protokollaperheen välillä
Verkko -osoitteen portin käännös

Tekniset tiedot

RFC 2663 . - IP -verkko -osoitteiden kääntäjän (NAT) terminologia ja näkökohdat . [Virhe: RFC 2663 ]. Elokuu 1999. (Englanti).
RFC 2766 . - Verkko -osoitteen muuntaminen - Protokollan kääntäminen (NAT -PT) . Helmikuu 2000. (Päivitetty RFC 3152 - Historiallinen - englanti).
RFC 3022 . - Perinteinen IP -verkko -osoitteen kääntäjä (perinteinen NAT) . [Virhe: RFC 3022 ]. Tammikuu 2001. (Korvaa RFC 1631 - englanti).

nettilinkit

Tunneli NAT -yhdyskäytävien kautta ilman tarvittavia reitittimiä (Englanti)
NAT: n määrittäminen Windows 2003: ssa (englanti)
NAT -läpikulkutesti
Vertaisviestintä eri verkko-osoitteiden kääntäjissä (englanti)

Yksilöllisiä todisteita

↑ Verkko -osoitteen kääntämisen ymmärtäminen. Microsoft , käytetty 9. joulukuuta 2015 .
↑ Olaf Kirch, Terry Dawson: Linux - Guide to Networkers . 2. painos. O'Reilly , 2001, ISBN 3-89721-135-1 , luku 11-IP-naamiointi ja verkko- osoitteiden muuntaminen ( saksaksi ja englanniksi verkossa-alkuperäinen nimi: Linux Network Administrator's Guide . Kääntäjä Peter Klicman ja Ingo Marks).
↑ Usein kysytyt kysymykset verkko -osoitteen kääntämisestä (NAT) . Cisco Systems .
↑ ^a^b^c^d RFC 1631 . - IP -verkko -osoitteen kääntäjä (NAT) . Toukokuu 1994. ( Internet Engineering Task Force - englanti).
↑ M. Holdrege, P. Srisuresh: RFC 3027 . - Protokollakomplikaatiot IP -verkko -osoitekääntäjän kanssa . Tammikuu 2001. (Englanti).
^ Tony Hain: RFC 2993 . - NAT: n arkkitehtoniset vaikutukset . (Englanti).
↑ RFC 3102 , RFC 3103 , RFC 3104
↑ ietf.org ( Memento of alkuperäisen alkaen 05 kesäkuu 2011 on Internet Archive ) Info: arkisto yhteys oli lisätään automaattisesti, ei ole vielä tarkastettu. Tarkista alkuperäinen ja arkistolinkki ohjeiden mukaisesti ja poista tämä ilmoitus. @1@ 2Malli: Webachiv / IABot / www.ietf.org

[ms-1] Verkko -osoitteen kääntämisen ymmärtäminen. Microsoft , käytetty 9. joulukuuta 2015 .

[LDP-2] Olaf Kirch, Terry Dawson: Linux - Guide to Networkers . 2. painos. O'Reilly , 2001, ISBN 3-89721-135-1 , luku 11-IP-naamiointi ja verkko- osoitteiden muuntaminen ( saksaksi ja englanniksi verkossa-alkuperäinen nimi: Linux Network Administrator's Guide . Kääntäjä Peter Klicman ja Ingo Marks).

[Cisco_FAQ-3] Usein kysytyt kysymykset verkko -osoitteen kääntämisestä (NAT) . Cisco Systems .

[RFC_1631-4] RFC 1631 . - IP -verkko -osoitteen kääntäjä (NAT) . Toukokuu 1994. ( Internet Engineering Task Force - englanti).

[RFC_3027-5] M. Holdrege, P. Srisuresh: RFC 3027 . - Protokollakomplikaatiot IP -verkko -osoitekääntäjän kanssa . Tammikuu 2001. (Englanti).

[6] Tony Hain: RFC 2993 . - NAT: n arkkitehtoniset vaikutukset . (Englanti).

[7] RFC 3102 , RFC 3103 , RFC 3104

[8] tf.org ( Memento of alkuperäisen alkaen 05 kesäkuu 2011 on Internet Archive ) Info: arkisto yhteys oli lisätään automaattisesti, ei ole vielä tarkastettu. Tarkista alkuperäinen ja arkistolinkki ohjeiden mukaisesti ja poista tämä ilmoitus. @1@ 2Malli: Webachiv / IABot / www.ietf.org

Languages