5. Преобразование сетевых адресов (nat) и адресов портов (pat)
NAT — это протокол, который допускает преобразование внутреннего IP-адреса, используемого в локальной сетевой среде, в адрес внешней сетевой среды, и наоборот. Есть много оснований для применения NAT в сетевой среде. Среди преимуществ NAT выделяются следующие:
· Возможность использования частной сетью незарегистрированных IP-адресов для доступа к внешней сети, например, Интернет.
· Возможность повторного применения выделенных IP-адресов, которые уже используются в Интернете.
· Обеспечение связи с Интернетом в сетях, где недостаточно зарегистрированных индивидуальных IP-адресов.
· Правильное преобразование адресов в двух объединенных интрасетях, например в сетях двух слившихся компаний.
· Перевод внутренних IP-адресов, выделенных старыми Интернет-провайдерами, в недавно выделенные адреса нового провайдера без ручной настройки локальных сетевых интерфейсов.
5.1. Терминология nat
Внутренняя сеть (Inside network) Это набор сетевых адресов, которые будут преобразовываться. Используемые внутри сети IP-адреса недействительны во внешней сети, например в сети Интернет или в сети провайдера.
Часто IP- адреса, используемые внутри сети, являются устаревшими, или же подпадают под действие спецификации RFC 1918, которая резервирует определенные IP-адреса для особого применения.
Внешняя сеть (Outside network) Это сеть, не находящаяся в собственности организации, которой принадлежит внутренняя сеть, а также ее филиалов. Это может быть сеть другой компании, когда происходит слияние двух предприятий, но обычно это сеть Интернет-провайдера. Адреса, используемые в этой сети, являются законно зарегистрированными.
Слияние сетевых комппексов двух предприятий, что иногда происходит с корпоративными слияниями при использовании протокола NAT, называют "многоярусными NAT".
Внутренний локальный IP-адрес (Inside local IP address) IP-адрес, выделенный интерфейсу внутренней сети. Этот адрес не может использоваться в Интернете, или же он
36
сразу определен спецификацией RFC 1918 как неиспользуемый в Интернете. Данный адрес не подлежит глобальной маршрутизации. Если адрес глобально маршрутизируемый, он скорее всего выделен другой организацией и не может использоваться в Интернете.
Внутренний глобальный IP-адрес (Inside global IP address) IP-адрес внутреннего узла после его преобразования с помощью NAT, каким он представляется интерфейсам внешних сетей. Этот адрес можно использовать во внешней сети или в Интернете.
Простая запись преобразования (Simple translation entry) Запись в таблице NAT, в которой маршрутизатор NAT сопоставляет не имеющий законной силы внутренний IP-адрес с глобально направляемым IP-адресом, последний официально зарегистрирован для использования в Интернете.
Расширенная запись преобразования (Extended translation entry) Это запись в таблице NAT, которая сопоставляет пару из IP-адреса и порта с внутренним IP-адресом.
5.2. Принцип работы nat
NAT
настраивается
на
маршрутизаторе
или
маршрутном
процессоре,
ближайшем
к
границе
ответвления,
между
внутренней
сетью
(локальной
сетью)
и
внешней
сетью
(общедоступной сетью,
например сетью Интернет-провайдера или Интернета). Внешней сетью может быть также сеть другой компании,
например, при слиянии двух
сетей после поглощения (см.
Рис 18. Маршрутизатор NAT на границе внутренней и внешней сетей
рис. 18). Обратите внимание,
что маршрутизатор разделяет внутреннюю и внешнюю сеть. NAT переводит внутренние, локальные адреса в глобально уникальные IP-адреса. Таким образом, данные могут переходить во внешнюю сеть.
Протокол NAT учитывает, что немногие люди пользуются внешней сетью в определенный момент времени. Применяется коммутации процессов для изменения адреса источника исходящих пакетов и направления их обратно соответствующему маршрутизатору. Потребляется меньше IP-адресов, чем узлов внутри сети. Перед применением протокола NAT на всех корпоративных маршрутизаторах Cisco, единственным способом реализации этих функций было использование сквозных шлюзов брандмауэров.
37