Преводът на мрежови адреси (NAT) еметод за преназначаване на едно адресно пространство в друго чрез промяна на информацията за мрежовия адрес в IP (Интернет протокол). Тоест, заглавките на пакетите се променят, докато са в транзит през устройство за маршрутизиране на трафика. Този метод първоначално е бил използван за лесно пренасочване на трафика в IP мрежи, без преномериране на всеки хост. Той се превърна в популярен и важен инструмент за запазване и разпространение на глобалното адресно пространство в условията на недостиг на IPv4 адреси.
Оригиналната употреба на излъчваната мрежаадресите се състои от картографиране на всеки адрес от едно адресно пространство към съответния адрес в друго пространство. Например това е необходимо, ако доставчикът на интернет услуги се е променил и потребителят не може публично да обяви новия маршрут до мрежата. С предвидимото глобално изчерпване на IP адресното пространство NAT се използва все повече от края на 90-те години заедно с IP криптиране (което е метод за предаване на множество IP адреси в едно пространство). Този механизъм е реализиран в маршрутизиращо устройство, което използва таблици за превод на състоянието, за да картографира "скритите" адреси към един IP адрес и пренасочва изходящите IP пакети. По този начин те изглежда напускат маршрутизиращото устройство. В обратната връзка отговорите се съпоставят с оригиналния IP адрес, като се използват правила, съхранявани в таблици за превод. Правилата на таблицата за преводи от своя страна се изчистват след кратък период, ако новият трафик не актуализира състоянието си. Това е основният NAT механизъм. Какво означава това?
Този метод позволява комуникация чрезмаршрутизаторът само когато връзката е в криптирана мрежа, тъй като това създава таблици за превод. Например, уеб браузър в такава мрежа може да преглежда сайт извън него, но тъй като е инсталиран извън него, той не може да отвори ресурс, хостван в него. Повечето NAT устройства обаче днес позволяват на мрежовия администратор да конфигурира записи за таблици за превод за постоянно използване. Тази функция често се нарича статична NAT или пренасочване на портове и позволява изходящ трафик към "външната" мрежа да достигне определени хостове в криптирана мрежа.
Поради популярността на този метод, използван за запазване на IPv4 адресното пространство, терминът NAT (това е, което всъщност е - посочено по-горе) стана почти синоним на метод на криптиране.
Тъй като преводът на мрежовия адрес се променяинформация за адреса на IP пакетите, това има сериозни последици за качеството на интернет връзката и изисква внимателно внимание към детайлите по нейното изпълнение.
Начинът, по който се прилага NAT, се различава един от друг в специфичното им поведение в различни случаи по отношение на въздействието върху мрежовия трафик.
Тип на най-простият превод на мрежови адреси (NAT)осигурява индивидуален превод на IP адреси. RFC 2663 е основният тип на този превод. При този тип се променят само IP адресите и контролната сума на IP заглавията. Основните видове излъчване могат да се използват за свързване на две IP мрежи, които имат несъвместимо адресиране.
Повечето видове NAT са способнисвържете множество частни хостове към един публично определен IP адрес. В типична конфигурация LAN използва един от присвоените "частни" IP адреси за подмрежата (RFC 1918). Рутерът в тази мрежа има личен адрес в това пространство.
Рутерът също се свързва с интернет сизползвайки „публичния“ адрес, определен от доставчика. Тъй като трафикът преминава от локалната мрежа към Интернет, адресът на източника във всеки пакет се превежда в движение от частен адрес към обществен. Рутерът следи основните данни за всяка активна връзка (по-специално адреса и адреса на дестинация). Когато отговорът се върне към него, той използва данните за връзката, които се съхраняват по време на изходящата фаза, за да определи частния адрес във вътрешната мрежа, към който трябва да бъде насочен отговорът.
Едно от предимствата на тази функционалност ече служи като практично решение за предстоящото изчерпване на IPv4 адресното пространство. Дори големи мрежи могат да бъдат свързани към Интернет с помощта на един IP адрес.
Всички пакетни дейтаграми в IP мрежите имат 2IP адреси - източник и дестинация. Обикновено пакетите, пътуващи от частната мрежа към публичната мрежа, ще променят адреса на източника на пакети по време на прехода от публичната мрежа обратно към частната мрежа. Възможни са и по-сложни конфигурации.
NAT конфигурацията може да има някои особености.Необходими са допълнителни модификации, за да се избегнат трудности при превода на върнатите пакети. По-голямата част от интернет трафика преминава през протоколите TCP и UDP и номерата на техните портове се променят по такъв начин, че комбинацията от IP адрес и номер на порт в обратна посока на данните започва да съвпада.
Необходими са протоколи, които не са TCP и UDPдруги методи за превод. Протоколът за контрол на Интернет съобщения (ICMP) обикновено свързва предадените данни със съществуваща връзка. Това означава, че те трябва да се показват със същия IP адрес и номер, както първоначално са зададени.
Конфигурирането на NAT в рутера не го позволявавръзки от край до край. Следователно такива рутери не могат да участват в някои интернет протоколи. Услугите, които изискват иницииране на TCP връзки от външната мрежа или потребители без протоколи, може да не са налични. Освен ако NAT маршрутизаторът не полага специални усилия за поддържане на такива протоколи, входящите пакети не могат да достигнат целта си. Някои протоколи могат да живеят в един превод между участващите хостове (например FTP "пасивен режим"), понякога използвайки шлюз на приложния слой, но връзката няма да бъде установена, когато и двете системи са отделени от интернет с помощта на NAT. Използването на транслация на мрежови адреси също усложнява тунелни протоколи като IPsec, тъй като променя стойностите в заглавията, които взаимодействат с проверките на целостта на заявките.
Връзката от край до край е основнапринципа на Интернет, който съществува от самото му създаване. Текущото състояние на мрежата показва, че NAT нарушава този принцип. Съществува сериозна загриженост сред специалистите във връзка с широкото използване на преобразуването на мрежови адреси IPv6 и се повдига проблемът за ефективното му премахване.
Поради краткотрайния характер на запазването на масисъстояние на транслация в NAT рутери, вътрешните мрежови устройства губят своята IP връзка, обикновено в рамките на много кратък период от време. Говорейки за това какво е NAT в рутера, не трябва да забравяме за това обстоятелство. Това драстично намалява времето за работа на компактните батерии и акумулаторни устройства.
Освен това, когато използвате NAT,само портове, които могат бързо да се източат от вътрешни приложения, като се използват множество едновременни връзки (например HTTP заявки за уеб страници с много вградени обекти). Този проблем може да бъде смекчен чрез проследяване на IP адреса на дестинацията в допълнение към порта (по този начин един локален порт се споделя от много отдалечени хостове).
Тъй като всички вътрешни адреси са маскирани катоедин публичен, става невъзможно външните хостове да инициират връзка към конкретен вътрешен хост без специална конфигурация на защитната стена (която трябва да пренасочи връзките към определен порт). Приложения като IP телефония, видеоконференции и подобни услуги трябва да използват техники за обръщане на NAT, за да функционират правилно.
Адресът за връщане и портът за превод (Rapt) позволяватхост, чийто реален IP адрес се променя от време на време, остава на разположение като сървър, използвайки фиксирания IP адрес на домашната мрежа. По принцип това трябва да позволи на сървъра да поддържа връзката. Въпреки че това не е идеалното решение на проблема, може да бъде друг полезен инструмент в арсенала на мрежов администратор при решаване на проблема как да конфигурирате NAT на рутер.
Реализацията на Cisco Rapt е Адрес на портПревод (PAT), който съпоставя множество частни IP адреси като един публичен. Няколко адреса могат да бъдат показани като адрес, тъй като всеки се проследява с помощта на номер на порт. PAT използва уникални вътрешни глобални номера на портове източници на IP, за да различи посоката на трансфер на данни. Тези числа са 16-битови цели числа. Общият брой на вътрешните адреси, които могат да бъдат преведени на един външен адрес, теоретично може да достигне 65536. Действителният брой портове, на които може да бъде присвоен един IP адрес, е около 4000. По правило PAT се опитва да запази оригиналния порт на „оригинал“. Ако вече се използва, Port Address Translation присвоява първия наличен номер на порт от началото на съответната група - 0-511, 512-1023 или 1024-65535. Когато няма повече налични портове и има повече от един външен IP адрес, PAT се премества на следващия, за да се опита да разпредели порта на източника. Този процес продължава до изчерпване на наличните данни.
Картографирането на адреса и порта се извършва от услугатаCisco, която комбинира адрес на порт за превод с тунелиране на данни IPv4 пакети през вътрешна IPv6 мрежа. По принцип това е неофициална алтернатива на CarrierGrade NAT и DS-Lite, която поддържа превод на IP адрес / порт (и следователно се поддържа персонализиране на NAT). По този начин той избягва проблеми с настройката и поддръжката на връзката и осигурява механизъм за преход за внедряване на IPv6.
Има няколко начина за прилагане на преводамрежов адрес и порт. В някои протоколи за приложения, които използват приложения за IP адресиране, работещи в шифрована мрежа, е необходимо да се определи външният NAT адрес (който се използва в другия край на връзката) и освен това често е необходимо да се проучи и класифицира вида на предаването. Обикновено това се прави, защото е желателно да се създаде директен комуникационен канал (или за да се поддържа безпроблемно преминаване на данните през сървъра, или за подобряване на производителността) между двама клиенти, и двамата зад отделни NAT.
За тази цел (как да конфигурирам NAT) през 2003 г. имашеспециален протокол RFC 3489 е разработен, за да осигури просто UDP обхождане чрез NATS. Днес тя е остаряла, тъй като подобни методи днес не са достатъчни за правилна оценка на работата на много устройства. Новите методи са стандартизирани в RFC 5389, разработен през октомври 2008 г. Тази спецификация днес се нарича SessionTraversal и е помощна програма за NAT.
Всеки TCP и UDP пакет съдържа IP адреса на източника и номера на порта, както и координатите на порта дестинация.
За да получавате обществено достъпни услуги катофункционалността на пощенските сървъри, номерът на порта е важен. Например порт 80 се свързва със софтуера на уеб сървъра и 25 се свързва със SMTP сървъра за поща. IP адресът на публичен сървър също е от съществено значение, като пощенски адрес или телефонен номер. И двата параметъра трябва да бъдат надеждно известни на всички възли, които възнамеряват да установят връзка.
Частните IP адреси имат значение само влокални мрежи, където се използват, както и за хостови пристанища. Портовете са уникални комуникационни крайни точки на хост, така че обръщането на NAT се поддържа с помощта на комбинирано картографиране на портове и IP адреси.
PAT (Превод на адрес на порт) позволяваконфликти, които могат да възникнат между два различни хоста, използващи един и същ номер на порт източник, за да установят уникални връзки едновременно.
