Раздел – Информационная безопасность и защита информации.
Вопрос 23 – Динамическая трансляция ip-адресов.
Трансляция ip NAT, определенная в RFC 3022, позволяет узлу, который не имеет действительного, зарегистрированного глобального уникального IP адреса, осуществлять связь с другими узлами через сети передачи данных. Эти узлы могут использовать частные адреса. Трансляция NAT позволяет продолжать использование этих адресов, не готовых для интернета, и осуществлять связь с узлами в интернете.
Эта цель достигается настройкой NAT, и дальнейшим использования действительных зарегистрированных IP-адресов для представления данного частного адреса всем остальным узлам интернета. Функция NAT заменяет частные IP-адреса открытыми зарегистрированными IP-адресами в каждом пакете протокола IP, как показано на рисунке
В сравнении со статической динамическая трансляция NAT имеет как сходства, так и отличия. Как и в случае использования статической NAT, маршрутизатор NAT осуществляет взаимно однозначное преобразование между внутренним локальным и внутренним глобальным адресами и изменяет IP-адреса в пакетах, когда они входят во внутреннюю сеть и выходят из нее. Однако преобразование внутренних локальных адресов во внутренние глобальные адреса происходит динамически.
Динамическая трансляция NAT создает пул возможных внутренних глобальных адресов и определяет критерий соответствия для определения того, какие внутренние глобальные IP-адреса должны транслироваться с помощью NAT. Например, на рисунке ниже, был установлен пул из пяти глобальных IP-адресов в диапазоне 200.1.1.1 — 200.1.1.5 . Трансляция NAT также сконфигурирована для трансляции всех внутренних локальных адресов, которые начинаются с октетов 10.1.1 .
Номера 1,2,3 и 4 на рисунке относятся к такой последовательности событий.
Узел 10.1.1.1 посылает свой первый пакет на сервер, расположенный по адресу 170.1.1.1
Когда данный пакет поступает на маршрутизатор NAT, этот маршрутизатор применяет логику проверки соответствия и решает, следует ли применить к этому пакету трансляцию NAT. Поскольку логика маршрутизатора сконфигурирована на соответствие IP-адресам отправителя, которые начинаются с 10.1.1, маршрутизатор добавляет запись в свою таблицу NAT для адреса 10.1.1.1 в качестве внутреннего адреса
Маршрутизатору NAT Требуется выделить IP адрес из пула действительных внутренних глобальных адресов. Он выбирает первый доступный адрес (в данном случае 200.1.1.1) и добавляет его в таблицу NAT для завершения записи.
Маршрутизатор NAT транслирует IP адрес отправителя и пересылает пакет. Динамическая запись остается в таблице до тех пор, пока продолжается передача данных. Можно задать значение тайм-аута, который определяет, как долго должен ожидать маршрутизатор пока не транслируются пакеты с таким адресом, перед удалением этой динамической записи.
Трансляция NAT может быть сконфигурирована с большим количеством IP-адресов в списке внутренних локальных адресов, чем в пуле внутренних глобальных адресов. Маршрутизатор выделяет адреса из пула до тех пор, пока все они не будут выделены. Если поступает новый пакет от еще одного внутреннего узла и ему требуется запись NAT, а все находящиеся в пуле IP-адреса уже используются, то маршрутизатор просто отбрасывает данный пакет. Пользователь должен повторять попытку до тех пор, пока не истечет время тайм-аута записи NAT; в этот момент функция NAT работает для следующего узла, который отправляет пакет. По существу, размер внутреннего глобального пула адресов должен соответствовать максимальному количеству конкурирующих узлов, которым требуется одновременный доступ к сети интернет (кроме случая использования трансляции PAT, описанной ниже).