ترجمة عنوان الشبكة (NAT) هيطريقة لإعادة تعيين مساحة عنوان إلى أخرى عن طريق تغيير معلومات عنوان الشبكة في IP (بروتوكول الإنترنت). أي أن رؤوس الحزم تتغير أثناء مرورها عبر جهاز توجيه حركة المرور. تم استخدام هذه الطريقة في الأصل لإعادة توجيه حركة المرور بسهولة على شبكات IP دون إعادة ترقيم كل مضيف. لقد أصبحت أداة شائعة ومهمة للحفاظ على مساحة العنوان العالمية وتوزيعها في مواجهة نقص عناوين IPv4.
الاستخدام الأصلي لترجمة الشبكةتتكون العناوين في تعيين كل عنوان من مساحة عنوان واحدة إلى العنوان المقابل في مساحة أخرى. على سبيل المثال ، يعد ذلك ضروريًا إذا تغير مزود خدمة الإنترنت ، ولم يكن المستخدم قادرًا على الإعلان علنًا عن طريق جديد إلى الشبكة. مع النضوب العالمي المتوقع لمساحة عنوان IP ، تم استخدام NAT بشكل متزايد منذ أواخر التسعينيات بالاقتران مع تشفير IP (وهو وسيلة لنقل عناوين IP متعددة إلى مساحة واحدة). يتم تنفيذ هذه الآلية في جهاز توجيه يستخدم جداول ترجمة ذات حالة لتعيين العناوين "المخفية" إلى عنوان IP واحد ، ويعيد توجيه حزم IP الصادرة إلى المخرجات. وبالتالي ، يتم عرضها الخروج من جهاز التوجيه. في الارتباط العكسي ، يتم عرض الردود في عنوان IP المصدر باستخدام القواعد المخزنة في جداول الترجمة. قواعد جدول الترجمة ، بدورها ، يتم محوها بعد فترة قصيرة ، إذا لم تقم حركة المرور الجديدة بتحديث حالتها. هذه هي الآلية الأساسية ل NAT. ماذا يعني هذا؟
هذه الطريقة تتيح التواصل من خلالجهاز توجيه فقط عندما يكون الاتصال على شبكة مشفرة ، لأن هذا ينشئ جداول ترجمة. على سبيل المثال ، يمكن لمستعرض ويب داخل هذه الشبكة عرض موقع خارجه ، لكن إذا تم تثبيته خارجًا ، فلن يتمكن من فتح مورد مستضاف عليه. ومع ذلك ، تسمح معظم أجهزة NAT اليوم لمسؤول الشبكة بتكوين إدخالات جدول الترجمة للاستخدام الدائم. يُشار إلى هذه الميزة غالبًا باسم NAT الثابت أو إعادة توجيه المنفذ ، وتسمح لحركة المرور الناشئة في شبكة "خارجية" بالوصول إلى المضيفين المعينين على شبكة مشفرة.
نظرًا لشعبية هذه الطريقة ، والتي يتم استخدامها للحفاظ على مساحة عنوان IPv4 ، أصبح مصطلح NAT (ما هو عليه بالفعل - المشار إليه أعلاه) مرادفًا عمليًا لطريقة التشفير.
لأن ترجمة عنوان الشبكة تتغيرالمعلومات على عنوان حزمة IP ، وهذا له عواقب وخيمة على جودة الاتصال بالإنترنت ويتطلب عن كثب تفاصيل تنفيذه.
تختلف استخدامات NAT عن بعضها البعض في سلوكها المحدد في حالات مختلفة فيما يتعلق بالتأثير على حركة مرور الشبكة.
أبسط نوع من ترجمة عنوان الشبكة (NAT)يوفر واحد إلى واحد ترجمة عنوان IP. RFC 2663 هو النوع الرئيسي لهذا البث. في هذا النوع ، يتم تغيير عناوين IP واختباري رؤوس IP فقط. يمكن استخدام الأنواع الأساسية للترجمة لتوصيل شبكتي IP التي تحتوي على عناوين غير متوافقة.
معظم أصناف NAT قادرةتعيين مضيفين خاصين متعددين لعنوان IP معين بشكل عام. في تكوين نموذجي ، تستخدم الشبكة المحلية أحد عناوين شبكة IP الفرعية "الخاصة" المعينة (RFC 1918). للموجه على هذه الشبكة عنوان خاص في هذه المساحة.
يتصل جهاز التوجيه أيضًا بالإنترنتباستخدام العنوان "العام" المعين من قبل مزود الخدمة. نظرًا لأن حركة المرور تنتقل من الشبكة المحلية إلى الإنترنت ، يتم ترجمة عنوان المصدر في كل حزمة على الفور من عنوان خاص إلى عنوان عام. يراقب جهاز التوجيه البيانات الأساسية حول كل اتصال نشط (على وجه الخصوص ، العنوان وميناء الوجهة). عندما تعود الاستجابة إليها ، فإنها تستخدم بيانات الاتصال المخزنة أثناء مرحلة الخروج لتحديد العنوان الخاص للشبكة الداخلية التي ينبغي توجيه الاستجابة إليها.
واحدة من مزايا هذه الوظيفةأنها بمثابة حل عملي لاستنفاد مساحة عنوان IPv4 الوشيكة. يمكن توصيل حتى الشبكات الكبيرة بالإنترنت بعنوان IP واحد.
تحتوي جميع مخططات حزم البيانات على شبكات IP على 2عناوين IP - المصدر والوجهة. عادةً ما يكون للحزم التي تمر من شبكة خاصة إلى شبكة عامة عنوان مصدر حزم يتغير أثناء الانتقال من الشبكة العامة إلى الشبكة الخاصة. من الممكن أيضًا تكوينات أكثر تعقيدًا.
قد يحتوي تكوين NAT على بعض الميزات.لتجنب الصعوبات في ترجمة الحزم المرتجعة ، يلزم إجراء المزيد من التعديلات. تمر الغالبية العظمى من حركة الإنترنت عبر بروتوكولات TCP و UDP ، ويتم تغيير أرقام المنافذ الخاصة بها بطريقة تبدأ في الجمع بين عنوان IP ورقم المنفذ في الاتجاه العكسي للبيانات.
تتطلب البروتوكولات غير المستندة إلى TCP و UDPطرق الترجمة الأخرى. يقوم بروتوكول رسائل الإنترنت (ICMP) ، كقاعدة ، بربط البيانات المرسلة باتصال موجود. هذا يعني أنه يجب عرضها باستخدام نفس عنوان IP ومجموعة الأرقام في البداية.
لا يسمح تكوين NAT في جهاز التوجيه بذلكاتصالات من طرف إلى طرف. لذلك ، لا يمكن لأجهزة التوجيه هذه المشاركة في بعض بروتوكولات الإنترنت. قد لا تتوفر الخدمات التي تتطلب بدء اتصالات TCP من شبكة خارجية أو مستخدمين بدون بروتوكولات. إذا لم يقم جهاز توجيه NAT بجهد كبير لدعم هذه البروتوكولات ، فلن تتمكن الحزم الواردة من الوصول إلى وجهتها. يمكن وضع بعض البروتوكولات في نفس البث بين المضيفين المشاركين (FTP "الوضع السلبي" ، على سبيل المثال) ، أحيانًا باستخدام بوابة طبقة التطبيق ، ولكن لن يتم تأسيس الاتصال عندما يتم فصل النظامين عن الإنترنت باستخدام NAT. يؤدي استخدام ترجمة عنوان الشبكة أيضًا إلى تعقيد بروتوكولات الأنفاق مثل IPsec لأنه يغير القيم في الرؤوس التي تتفاعل مع عمليات التحقق من سلامة الطلب.
الاتصال من طرف إلى طرف أمر أساسيمبدأ الإنترنت الموجود منذ نشأته. تشير الحالة الحالية للشبكة إلى أن NAT تعد انتهاكًا لهذا المبدأ. لدى المتخصصين مخاوف جدية بشأن الاستخدام الواسع النطاق لعناوين الشبكات في ترجمة IPv6 ، ويتم طرح المشكلة حول كيفية التخلص منها بشكل فعال.
بسبب الطبيعة قصيرة العمر للاحتفاظ بالطاولاتحالة الترجمة في أجهزة توجيه NAT ، تفقد أجهزة الشبكة الداخلية اتصال IP الخاص بها ، عادةً خلال فترة زمنية قصيرة جدًا. بالحديث عن NAT في جهاز التوجيه ، يجب ألا ننسى هذا الظرف. هذا يقلل بشكل كبير من وقت تشغيل الأجهزة المدمجة التي تعمل بالبطارية.
بالإضافة إلى ذلك ، عند تتبع استخدام NATفقط المنافذ التي يمكن استنفادها بسرعة من خلال التطبيقات الداخلية التي تستخدم اتصالات متزامنة متعددة (على سبيل المثال ، طلبات HTTP لصفحات الويب التي تحتوي على الكثير من الكائنات المضمنة). يمكن تخفيف هذه المشكلة عن طريق تتبع عنوان IP الوجهة بالإضافة إلى المنفذ (وبالتالي ، تتم مشاركة منفذ محلي واحد من قبل عدد كبير من المضيفين البعيدين).
منذ تم إخفاء جميع العناوين الداخلية على أنهاجمهور واحد ، يصبح من المستحيل للمضيفين الخارجيين بدء اتصال بمضيف داخلي معين بدون تكوين خاص على جدار الحماية (والذي يجب أن يعيد توجيه الاتصالات إلى منفذ معين). يجب أن تستخدم تطبيقات مثل المهاتفة عبر بروتوكول الإنترنت ومؤتمرات الفيديو والخدمات المماثلة طرق تجاوز NAT لتعمل بشكل صحيح.
عنوان المرسل وميناء الترجمة (رابت) يسمحمضيف يتغير عنوان IP الحقيقي الخاص به من وقت لآخر ، ليظل متاحًا كخادم باستخدام عنوان IP الثابت للشبكة المنزلية. من حيث المبدأ ، يجب أن يسمح هذا لتكوين الخوادم بالحفاظ على الاتصال. على الرغم من حقيقة أن هذا ليس حلاً مثاليًا للمشكلة ، إلا أنه يمكن أن يكون أداة مفيدة أخرى في ترسانة مسؤول الشبكة في حل مشكلة كيفية تكوين NAT على جهاز التوجيه.
تنفيذ Cisco Rapt هو عنوان المنفذالترجمة (PAT) ، التي تعرض العديد من عناوين IP الخاصة كعامة واحدة. يمكن عرض عناوين متعددة كعنوان لأنه يتم تعقب كل منها باستخدام رقم منفذ. يستخدم PAT أرقام منافذ مصدر فريدة على IP العالمي الداخلي للتمييز بين اتجاه نقل البيانات. هذه الأرقام هي أعداد صحيحة 16 بت. يمكن أن يصل العدد الإجمالي للعناوين الداخلية التي يمكن ترجمتها إلى واحدة خارجية نظريًا إلى 65536. يبلغ العدد الفعلي للمنافذ التي يمكن تعيين عنوان IP واحد لها حوالي 4000. وكقاعدة عامة ، تحاول PAT الحفاظ على منفذ المصدر الأصلي. إذا كان قيد الاستخدام بالفعل ، تقوم ترجمة عنوان المنفذ بتعيين أول رقم منفذ متاح ، بدءًا من بداية المجموعة المقابلة - 0-511 أو 512-1023 أو 1024-65535. عندما لا يتوفر المزيد من المنافذ وكان هناك أكثر من عنوان IP خارجي ، ينتقل PAT إلى العنوان التالي لمحاولة تخصيص المنفذ المصدر. تستمر هذه العملية حتى نفاد البيانات المتاحة.
يتم تنفيذ العنوان وتعيين المنفذ بواسطة الخدمةCisco ، التي تجمع بين عنوان منفذ الترجمة وبيانات الأنفاق لحزم IPv4 عبر شبكة IPv6 داخلية. في الواقع ، هذا بديل غير رسمي لـ CarrierGrade NAT و DS-Lite ، والذي يدعم ترجمة عنوان IP / المنفذ (وبالتالي يدعم تكوين NAT). وبالتالي ، فإن هذا يتجنب المشاكل في إنشاء اتصال والحفاظ عليه ، كما يوفر آلية انتقالية لنشر IPv6.
هناك عدة طرق لتنفيذ الترجمة.عنوان الشبكة والمنفذ. في بعض بروتوكولات التطبيق التي تستخدم التطبيقات للعمل مع عناوين IP التي تعمل على شبكة مشفرة ، من الضروري تحديد عنوان NAT الخارجي (الذي يتم استخدامه في الطرف الآخر من الاتصال) ، بالإضافة إلى ذلك ، غالبًا ما يكون من الضروري دراسة وتصنيف نوع الإرسال. يتم ذلك عادة لأنه من المستحسن إنشاء قناة اتصال مباشر (إما للحفاظ على نقل البيانات دون انقطاع من خلال الخادم ، أو لتحسين الأداء) بين عميلين ، وكلاهما يقعان خلف NAT منفصلة.
لهذا الغرض (كيفية تكوين NAT) في عام 2003 كانطور بروتوكول خاص RFC 3489 ، يوفر تجاوز UDP بسيط من خلال NATS. اليوم أصبح عفا عليه الزمن ، لأن مثل هذه الأساليب اليوم غير كافية للتقييم الصحيح لتشغيل العديد من الأجهزة. تم توحيد الطرق الجديدة في RFC 5389 ، والتي تم تطويرها في أكتوبر 2008. تسمى هذه المواصفات اليوم SessionTraversal وهي أداة للعمل مع NAT.
تحتوي كل حزمة TCP و UDP على عنوان IP المصدر ورقم المنفذ الخاص به ، بالإضافة إلى إحداثيات منفذ الوجهة.
للحصول على الخدمات العامة مثلوظائف خادم البريد ، رقم المنفذ مهم. على سبيل المثال ، يتصل المنفذ 80 ببرنامج خادم الويب ، و 25 يتصل بخادم بريد SMTP. عنوان IP الخاص بالخادم العام مهم أيضًا ، مثل العنوان البريدي أو رقم الهاتف. يجب أن تكون كل من هذه المعلمات معروفة بشكل موثوق به لجميع العقد التي تنوي إنشاء اتصال.
عناوين IP الخاصة مهمة فقط فيالشبكات المحلية حيث يتم استخدامها ، وكذلك لمنافذ المضيف. تعد المنافذ نقاط نهاية اتصال فريدة على المضيف ، لذلك يتم دعم اتصال NAT من خلال مجموعة من تعيين المنفذ وتعيين عنوان IP.
PAT (Port AddressTranslation) يسمحالتعارضات التي يمكن أن تنشأ بين مضيفين مختلفين يستخدمان نفس رقم منفذ المصدر لإنشاء اتصالات فريدة في نفس الوقت.
