Раздел – Информационная безопасность и защита информации.
Вопрос 25 – Динамическая трансляция ip-адресов.
Трансляция ip NAT, определенная в RFC 3022, позволяет узлу, который не имеет действительного, зарегистрированного глобального уникального IP адреса, осуществлять связь с другими узлами через сети передачи данных. Эти узлы могут использовать частные адреса. Трансляция NAT позволяет продолжать использование этих адресов, не готовых для интернета, и осуществлять связь с узлами в интернете.
Эта цель достигается настройкой NAT, и дальнейшим использования действительных зарегистрированных IP-адресов для представления данного частного адреса всем остальным узлам интернета. Функция NAT заменяет частные IP-адреса открытыми зарегистрированными IP-адресами в каждом пакете протокола IP, как показано на рисунке
В некоторых сетях требуется, чтобы большинство их IP-узлов, если не все, имели доступ к Интернету. Если такая сеть использует частные IP-адреса, то маршрутизатору NAT необходим очень большой набор зарегистрированных IP-адресов. При использовании статической трансляции ip NAT для каждого частного IP-узла, которому требуется доступ к интернету, необходимо иметь открытый зарегистрированный IP-адрес, что полностью подрывает намерение уменьшить количество нужных организации открытых адресов протокола IPv4. Динамическая трансляция NAT в определенной степени смягчает эту проблему, поскольку редко требуется одновременный выход в интернет всем узлам объединенной сети. Однако если большей части узлов сети необходим доступ к Интернету в течении всего обычного рабочего дня, то трансляции NAT по-прежнему нужно большое количество зарегистрированных IP-адресов, что вновь не позволяет уменьшить расход адресов протокола IPv4.
Функция PAT, также называемая трансляцией адресов портов, решает эту проблему. PAT позволяет трансляции NAT выполнить масштабирование для поддержки многих клиентов всего лишь несколькими открытыми IP-адресами. Для того чтобы понять функционирование перезагрузки, следует вспомнить, как узлы используют порты протоколов TCP и UDP (транспортный уровень). Ниже будет приведен пример, который помогает понять и сделать более ясной логику PAT.
В верхней части рисунка показана сеть с тремя различными узлами, подключенными к веб-серверу с использованием протокола TCP. В нижней части рисунка показана та же самая сеть позднее, с тремя соединениями протокола TCP от одного и того же клиента. Все шесть соединений связывают IP адрес сервера (170.1.1.1) с портом (в данной ситуации общеизвестный порт 80 для веб-служб). В каждом случае сервер различает отдельные соединения, поскольку комбинация «IP-адрес — номер порта» уникальны.
Трансляция NAT Учитывает тот факт, что серверу не важно, имеется ли одно соединение с тремя различными узлами или три соединения с одним IP-адресом узла. Поэтому для поддержки многих внутренних локальных IP-адресов с помощью всего лишь нескольких внутренних глобальных открытых зарегистрированных IP-адресов, PAT транслирует как адрес, так и, возможно, номера портов. На рисунке ниже проиллюстрирована логика этого процесса.
При создании динамического преобразования PAT cisco выбирает не только внутренний глобальный IP адрес, но и уникальный номер порта, который будет использоваться с этим адресом. Маршрутизатор поддерживает запись в таблице NAT для каждой уникальной комбинации внутреннего локального адреса и порта; при этом поддерживается трансляция во внутренний глобальный адрес и уникальный номер порта, связанный с внутренним глобальным адресом. И поскольку поле номера порта состоит из 16 бит, PAT позволяет использовать более 65тыс. номеров портов, что предоставляет возможность выполнять масштабирование без необходимости иметь много зарегистрированных IP-адресов (во многих случаях требуется лишь один внешний глобальный IP адрес).
Из рассмотренных типов трансляции, PAT, безусловно, является наиболее популярным. Как статическая ip NAT, так и динамическая NAT требуют взаимно однозначного преобразования внутреннего локального адреса во внутренний глобальный. Трансляция PAT значительно уменьшает количество необходимых зарегистрированных IP-адресов по сравнению с двумя другими NAT-альтернативами.