Tīkla adrešu translēšana

(Pāradresēts no NAT)

Tīkla adrešu translēšana (angļu: Network address translation) jeb NAT ir vienā tīklā izmantojamo IP adrešu translēšana IP adresēs, kas tiek lietotas citā tīklā. Viens no tīkliem tiek uzskatīts par iekšējo tīklu, bet otrs - par ārējo tīklu. Tipiska ir situācija, kad kādas firmas iekšējā lokālā tīkla adreses tiek piekārtotas viena vai vairāku ārējo tīklu IP adresēm un savukārt ārējo globālo tīklu IP adreses datu pārraides procesā tiek pārveidotas iekšējā lokālā tīkla adresēs.[1] Runājot specifiski par adrešu translēšanu IPv4 protokola tīklos lieto terminu NAT44, bet attiecībā uz IPv6NAT64.

Tīkla adrešu translēšana starp privāto tīklu un internetu

Visizplatītākais tīkla translēšanas veids ietver lielu privātu tīklu, kas izmanto adreses privātā diapazonā (no 10.0.0.0.0 līdz 10.255.255, no 172.16.0.0 līdz 172.31.255.255 vai no 192.168.0 0 līdz 192.168.255.255). Privātā adrešu shēma labi darbojas datoriem, kuriem tikai jāpiekļūst resursiem lokālā tīklā, piemēram, darbstacijām, kurām ir nepieciešama piekļuve failu serveriem un printeriem. Maršrutētāji privātajā tīklā var maršrutēt trafiku starp privātām adresēm bez problēmām. Tomēr, lai piekļūtu resursiem ārpus tīkla, piemēram, internetam, šiem datoriem ir nepieciešama publiska adrese, lai saņemtu atbildi uz pieprasījumiem un tās nenoklīst plašajā tīklā.

Interneta pieprasījumi, kuriem nepieciešama NAT palīdzība, ir diezgan sarežģīti, bet notiek tik ātri, ka lietotājs reti saprot, kā tie ir radušies. Tīkla darbstacija pieprasa saikni ar datoru internetā. Tīkla maršrutētāji atzīst, ka pieprasījums neattiecas uz tīkla resursu, tāpēc nosūta pieprasījumu uz ugunsmūri. Ugunsmūris redz pieprasījumu no datora ar iekšējo IP. Pēc tam tas veic to pašu pieprasījumu internetā, izmantojot savu publisko adresi, un atgriež atbildi no interneta resursa uz datoru privātajā tīklā. No resursa perspektīvas internetā tas sūta informāciju uz ugunsmūra, jeb vārtejas adresi. No darbstacijas viedokļa izskatās, ka komunikācija notiek tieši ar vietni internetā, jo maršrutētājs nosūta paketi izmantojot vietnes avota adresi kā paketes avota adrese. Šādā veidā izmantojot NAT, visiem privātā tīkla lietotājiem, kas izmanto internetu, ir viena un tā pati publiskā IP adrese. Tas nozīmē, ka simtiem vai pat tūkstošiem lietotāju var būt viena publiskā adrese.

Tīkla adrešu translēšanas plusi un mīnusi

labot šo sadaļu

NAT tiek ieviesta arī mājas maršrutētājiem un aparatūras ugunsmūriem, piemēram, Netgear un Linksys, kā arī augstas klases aparatūras ugunsmūriem, piemēram, Cisco un Juniper.

Tas ir izrādījies vērtīgs līdzeklis aparatūras ugunsmūrī, lai saglabātu publiskās IP adreses, kā arī drošības pasākums dažiem uzbrukumu veidiem, piemēram, pikšķerēšanas uzbrukumam.

Tāpat kā visam, arī NAT ir trūkumi. Dažām lietojumprogrammām un pakalpojumiem, piemēram, VPN un video konferencēm, ir grūti apstrādāt pieprasījumus kas izmanto NAT (Tas nav pilnīgi pareizi, jo jūs varat to konfigurēt darbam ar NAT, bet, iestatot kārtulas lietojumprogrammās, maršrutētājiem un ugunsmūriem, tās var nedaudz sajukt.)

Tīkla adrešu translēšanas (NAT) veidi

labot šo sadaļu

NAT tiek ieviesta arī mājas maršrutētājiem un aparatūra sugunsmūriem, piemēram, Netgear un šīs pasaules saitēm, kā arī augstas klases aparatūras ugunsmūriem, piemēram, Cisco un Juniper.

Mūsdienās tiek izmantoti trīs galvenie NAT veidi atkarībā no veicamā uzdevuma.

Statiskais NAT

labot šo sadaļu

NAT ierīcei ir piešķirts publisks IP adrešu kopums. Privātu IP adresi pēc tam var statiski kartēt uz jebkuru no šīm publiskajām adresēm. Šāda veida NAT shēmu parasti izmanto serveriem, kuriem nepieciešama viena un tā pati IP adrese, tāpēc nosaukums ir “statisks”. Tas nozīmē ka 1. serverim vienmēr būs tulkota viena un tā pati publiskā IP adrese, bet 2. serverim tiks tulkota cita publiskā IP adrese utt. Šo NAT veidu mēdz arī saukt par 1:1 NAT.

Dinamiskais NAT

labot šo sadaļu

NAT ierīce atkal sastāvēs no IP adrešu kopas. Šoreiz IP adrešu kopa tiks izmantota pēc nepieciešamības un pēc tam nodota atpakaļ. Tāpēc, ja pieprasījumam ir nepieciešama publiskā adrese, tā tiek saņemta no IP adrešu kopas, un pēc tam, kad pieprasījumi ir pabeigti, IP adrese tiek nodota atpakaļ. Nākamreiz, kad tas pats dators pieprasa publisko IP adresi, tam var tikt piešķirta jebkura no brīvajām adrešu kopas adresēm (kas nav vienāda ar iepriekšējā pieprasījuma adresi), jo to, izmanto cits dators, tāpēc nosaukums ir “dinamisks”. Tādējādi lietotājus, kas vēlas sazināties internetā jebkurā laikā, ierobežos tas, cik publiskās IP adreses ir pieejamas NAT adrešu kopā.

Porta adreses tulkojums (PATA)

labot šo sadaļu

Šādā gadījumā uzņēmumam būtu tikai viena publiskā IP adrese, kas piešķirta, un tā pārlūkojot tīmekli, visi varētu koplietot šo publisko adresi, izmantojot internetu. Kad dators vēlas izmantot internetu, NAT ierīce, izmantojot PATA metodi, atcerēsies iekšējā resursdatora IP adresi un portu. Piemēram, 192.168.1.10 ar 55331 avota portu vēlējās pārlūkot Amazon.com. NAT ierīce to pierakstīs, un, kad Amazon atbildēs uz publisko adresi un porta numuru 55331, NAT ierīce izmantos PATA metodi un uzmeklēs informācijas pieprasītāju pēc porta informācijas, kas novirzīs uz iekšējo datoru, kurš to pieprasa. Tā teikt, šī informācija Amazon ir nosūtīta atpakaļ uz publisko adresi un portu 55331, kas iekšējā tīklā nozīmē dators ar IP adresi 192.168.1.10. Tāpēc savienojumus unikāli identificē avota ports, izmantojot vienu un to pašu publisko IP, bet ar unikāliem avota portiem, lai noteiktu, kurš ir pieprasījis informāciju.

Izmantojot šo metodi, uzņēmums ietaupītu saprātīgu naudas summu un IP adreses, jo tas izmanto tikai vienu IP adresi. Tas ir bijis svarīgs faktors, kāpēc jau vairākus gadus tiek pieminēta nepieciešamība pēc IPv6 adresācijas, bet lielākajā daļā valstu tā joprojām netiek lietota un nav nepieciešama.

Atgriezeniskais NAT

labot šo sadaļu

Atgriezeniskais NAT vai NAT atspulgs, ir funkcija kas ir pieejama daudzos patērētāju līmeņa maršrutētājos. Šī funkcija atļauj tulkot publisko IP adresi no NAT tīkla iekšpuses, norādot kā galamērķi ierīci iekšējā tīkla, skaidrojošais piemērs:

  • Rūtera publiskā adrese 203.0.113.1
  • Rūtera iekštīkla adrese (vārteja) 192.168.1.1
  • Servera adrese: 192.168.1.2
  • Vietējā tīkla darbstacijas adrese: 192.168.1.100

Ja darbstacija 192.168.1.100 nosūta paketi uz 203.0.113.1, normālos gadījumos tā tiktu maršrutēta cauri noklusējuma vārtejai jeb rūterim, ja vien nav iestatīts speciāls ceļš darbstacija maršrutēšanas tabulā. Rūteris ar atgriezeniskā NAT funkcionalitāti uztvers, ka 203.0.113.1 ir rūtera publiskā adrese un uzskatīs ka pakete nāk cauri WAN interfeisam. Tas noteiks galamērķa adresi lokālajā tīkla izmantojot Dinamisko NAT (portu pārsūtīšanas) noteikumus galamērķim. Piemēram ja pakete tika nosūtīta uz 203.0.113.1 80 portu, tas pēc DNAT noteikumiem secinās ka ir aktīvs noteikums 80 ports un paketi pārsūtīs uz 192.168.1.2.

Ja nav pieejams DNAT noteikums, rūteris paketi nometīs un atbildēs ar ICMP galamērķis nav sasniedzams kļūdu, bet ja noteikums eksistē, notiks paketes pārsūtīsana. Lokālā darbstacija paketes avotu norādīs ka savu ip adresi 192.168.1.100, bet serveris šo paketi saņems, ar avota adresi 203.0.113.1, pateicoties atgriezeniskajam NAT . Kad serveris atbildēs uz paketi, šis process ir identisks un tiks atbildēts, kā ārējam pieprasītājam. Tādējādi divu virzienu komunikācija ir iespējama divām tīkla ierīcēm vienā lokālajā tīkla, izmantojot publisko adresi.