Traducere adresă de rețea

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare

În domeniul rețelelor telematice , traducerea adreselor de rețea sau NAT , sau traducerea adreselor de rețea , cunoscută și sub numele de mascare a rețelei , este o tehnică care constă în modificarea adreselor IP conținute în antetele pachetelor aflate în tranzit pe un sistem care acționează ca un router în cadrul unei comunicări între două sau mai multe gazde .

Unele tipuri specifice de NAT sunt, de asemenea, bine cunoscute, cum ar fi mascherarea IP și redirecționarea porturilor .

Descriere

Tipuri de NAT

NAT este adesea implementat de routere și firewall-uri .

Se poate face o distincție între NAT sursă (SNAT) și NAT destinație (DNAT), în funcție de modificarea adresei sursă sau a destinației pachetului care inițiază o nouă conexiune .

Pachetele care călătoresc în direcția opusă vor fi modificate în consecință, pentru a oferi cel puțin unuia dintre cele două computere care comunică iluzia de a vorbi cu o adresă IP diferită de cea utilizată efectiv de cealaltă parte.

Prin urmare, pentru a implementa NAT, un router trebuie să efectueze urmărirea conexiunilor , adică să țină evidența tuturor conexiunilor care trec prin el. O „conexiune” în acest context înseamnă un flux bidirecțional de pachete între două gazde, identificate prin caracteristici particulare la niveluri peste nivelul rețelei ( IP ):

  • în cazul TCP este o conexiune TCP în sensul corect, caracterizată printr-o pereche de porturi .
  • în cazul UDP , deși UDP este un protocol de transport fără conexiune, o conexiune este considerată un schimb de pachete UDP între două gazde folosind aceeași pereche de numere de port.
  • alte protocoale sunt tratate într-un mod similar, folosind caracteristicile pachetelor la niveluri peste IP pentru a identifica pachetele care aparțin aceleiași conexiuni.

Sursa NAT

În sursa NAT, conexiunile realizate de unul sau mai multe computere sunt modificate astfel încât să prezinte una sau mai multe adrese IP diferite de cele originale către lumea exterioară. Deci, cine primește conexiunile îi vede venind de la o adresă diferită de cea utilizată de cei care le generează de fapt.

Motive

Din punct de vedere istoric, NAT sa stabilit ca un mijloc de a depăși deficitul de adrese IP publice disponibile, în special în acele țări care, spre deosebire de SUA , au mai puțin spațiu de adrese IP alocat pe cap de locuitor.

  • Având în vedere că adresele IP publice statice au adesea un preț, pentru mulți utilizatori de internet acest cost al adreselor IP suplimentare nu ar fi fost compensat de beneficiile pe care le-ar fi putut obține. Se utilizează apoi un IP public dinamic gestionat de furnizorul de servicii Internet ( ISP ).
  • Tehnicile folosite pentru salvarea adreselor IP publice fac ca dispozitivele să nu poată fi accesate direct de pe internet, astfel încât această configurație este adesea aleasă din motive de securitate , chiar dacă NAT nu a fost conceput pentru a funcționa ca un sistem de protecție, deci rămâne din ce în ce mai puțin eficient. comparativ cu un firewall . [1]

Mascare IP sau PAT (Traducere adresă port)

Mascherarea IP (uneori NAT dinamică ) este un caz special al sursei NAT, în care conexiunile generate de un set de computere sunt „prezentate” către exterior cu o singură adresă IP. Tehnica este, de asemenea, cunoscută sub denumirea de Port Address Translation ( PAT ), IP Overloading sau NAPT (Network Address and Port Translation), întrucât nu doar adresele IP, ci și porturile TCP și UDP ale conexiunilor în tranzit sunt modificate. Această tehnică este codificată în RFC2663 , cu numele de "Network Address Port Translation (NAPT)".

Adresele de rețea și traducerile de porturi sunt, prin urmare, Traducere de adrese de rețea, la care se adaugă funcția de traducere a porturilor și, prin urmare, oferă o mapare diferită și dinamică a porturilor în comparație cu cea văzută din exterior. Când un software solicită utilizarea unei anumite uși, care este închisă, NAPT începe să funcționeze, traducându-l și redirecționându-l către o a doua ușă deschisă. Cu această cartografiere ne rezervăm dreptul de a utiliza software-ul chiar și de la distanță, dar fără a deschide ușile care ar putea fi supuse unor posibile atacuri de virus sau hacker.

Această metodă implică identificarea unei rețele „interne” (care utilizează de obicei adrese IP private) și a unei rețele „externe” (care utilizează de obicei adrese IP publice) și vă permite să gestionați numai conexiunile care provin de la gazde din rețeaua „internă”.

Fiecare conexiune TCP sau UDP este tratată individual: când conexiunea este inițiată, portul sursă original poate fi schimbat, iar routerul NAT menține un tabel de corespondență între porturile de pe adresa externă și porturile private și adresele IP corespunzătoare. Când primiți un pachet TCP sau UDP pe adresa IP externă, consultați tabelul pentru a afla la ce gazdă internă și la ce port să-l trimiteți. Ruterul NAT trebuie să urmărească toate conexiunile TCP și UDP active între rețeaua internă și externă (și să aibă grijă să elimine intrările neutilizate din acest tabel printr-un mecanism de expirare). Unele implementări schimbă sistematic porturile sursă ale tuturor conexiunilor, folosind de obicei numere de port foarte mari (de obicei peste 61000), altele tind să păstreze numerele de port originale și le schimbă numai dacă un număr de port sursă este utilizat de două gazde în același timp .

Un exemplu de comunicare deghizată.

Această tehnică este adesea utilizată pentru a conecta Intranet-urile (rețele private dezvoltate după modelul Internetului) la Internet , permițând menținerea unui plan de adresare IP care nu ar permite conexiunea directă la Internet, pentru a salva adresele IP publice și pentru a „ascunde” extern o rețea privată. Într-un intranet, gazdele folosesc în mod normal adrese IP private și au nevoie de un dispozitiv care să poată traduce dintr-o adresă IP privată (valabilă doar pe Intranet) într-o adresă IP publică (prin urmare utilizabilă pe Internet): acest dispozitiv poate fi un gazdă conectată făcând releu Layer 3 sau un router tipic.

Cu toate acestea, este posibil ca unele gazde să fie nevoite să își folosească propria adresă publică de ieșire specifică, păstrându-și în același timp adresa privată. În acest caz, prin NAT static puteți face o mapare 1: 1 în care mascarea este garantată, dar unicitatea gazdei de ieșire vă permite să traduceți doar adresa IP sursă, lăsând neschimbat portul TCP / UDP (această tehnică se numește NAT 444).

Destinație NAT

În NAT de destinație, conexiunile realizate de unul sau mai multe computere sunt modificate astfel încât să fie redirecționate către alte adrese IP decât cele originale. Deci, oricine face conexiunile se conectează de fapt la o altă adresă decât cea pe care o selectează.

Utilizări posibile ale destinației NAT

  • Redirecționarea portului: într-o configurație mascherată , poate fi necesar ca unele gazde sau servicii de rețea găzduite în rețeaua „mascat” să fie accesibile din exterior. Pentru a realiza acest lucru, este utilizată o configurație numită Redirecționare port , prin care conexiunile la un anumit port TCP sau UDP al adresei externe sunt redirecționate către o anumită gazdă din rețeaua internă.
  • Echilibrarea volumului de muncă: prin destinația NAT puteți crea un sistem în care o conexiune destinată unei adrese IP este redirecționată către o altă adresă aleasă dintre cele ale unui set de servere disponibile. Acest lucru vă permite să distribuiți volumul de lucru între diferite servere, îmbunătățind astfel performanța serviciului de rețea oferit de sistem.
  • Gestionarea eșecurilor: NAT-ul de destinație poate fi utilizat pentru a construi un sistem cu disponibilitate ridicată. Un sistem de acest tip trebuie să poată oferi întotdeauna serviciul de care este responsabil. Toate serverele sunt supuse unor posibile erori. Dacă utilizați un router cu NAT de destinație , routerul poate detecta eșecul serverului principal și poate redirecționa conexiunile către un server secundar, menținând astfel serviciul activ.
  • Transparența serviciului proxy : NAT-ul de destinație poate redirecționa conexiunile (de exemplu HTTP ) către un server special, numit proxy , care are o memorie temporară în care stochează conținutul site-urilor web vizitate anterior. Dacă conexiunea solicitată de un client este la o adresă pentru care proxy-ul are deja conținutul disponibil, acesta va trimite datele solicitate clientului fără a fi nevoie să facă o conexiune reală la Internet. Această tehnică este utilizată de furnizorii de servicii de internet pentru a reduce utilizarea lățimii de bandă fără a cere clienților să își configureze browserul pentru a accepta proxy, deși există dezavantaje.

NAT dublu

Uneori este necesar să comunicați două rețele LAN , ambele conectate la Internet prin mascare IP (de exemplu, două birouri ale aceleiași companii). În aceste cazuri, un VPN ( rețea privată virtuală ) este utilizat în general între cele două routere care conectează rețelele la internet, direcționând traficul între cele două rețele LAN către VPN.

În unele cazuri, totuși, se întâmplă ca rețelele LAN să utilizeze același interval de adrese IP, deci nu este posibil să le conectați direct, dar ar fi necesar să renumerotați una dintre cele două rețele sau să reatribuiți adresele IP într-un alt mod. subrețea către toate gazdele. Această operațiune este în mod normal obositoare, implică ineficiențe și cheltuieli, de aceea este adesea preferată recurgerea la configurații „duble NAT”, care ascund cele două rețele una de alta, permițându-le să comunice de parcă nu ar folosi adrese IP suprapuse.

Configurațiile NAT duble pot fi descrise ca combinații de NAT sursă și destinație.

Probleme

NAT nu este bine văzut de puriștii rețelelor, deoarece subminează profund simplitatea IP și încalcă în special principiul comunicării „de la orice gazdă la orice gazdă” (oricare la oricare). Această critică „filosofică” are consecințe practice:

  • Rutarea pachetelor depinde nu numai de adresa IP de destinație, ci și de caracteristicile stratului de transport .
  • Configurațiile NAT pot deveni foarte complexe și dificil de înțeles.
  • Dispozitivul care efectuează NAT trebuie să dedice unul dintre porturile sale pentru fiecare conexiune activă dintre computerele interne și externe, limitând considerabil numărul de porturi totale utilizabile.
  • Aparatul care efectuează NAT trebuie să păstreze în memorie starea conexiunilor active în orice moment. La rândul său, acest lucru încalcă un principiu inerent al proiectării IP, prin care routerele nu trebuie să mențină o stare de trafic care trece prin ele.
    • Este posibil să fie necesare cantități mari de memorie pe router
    • Protocoalele de înaltă disponibilitate ale routerului, cum ar fi HSRP , devin mult mai complexe de implementat, deoarece routerul de rezervă trebuie să păstreze întotdeauna o copie a tabelei NAT a directorului actualizată.
  • Unele aplicații inserează în datele utile (adică cadrul minus antetul și suma de control, sarcina utilă ) informații referitoare la stratul IP sau TCP / UDP. Acest lucru face dificilă traversarea unui NAT, iar dispozitivul NAT trebuie să analizeze traficul de control și să rescrie aceste informații.

Notă

  1. ^ (RO) Traducerea adresei de rețea: o urâciune și o groază , a otacon22.com. Adus 02/11/2014 .

Elemente conexe

linkuri externe

Adus de la „ https://it.wikipedia.org/w/index.php?title=Network_address_translation&oldid=116441396