ДЕПАРТАМЕНТ ОБРАЗОВАНИЯ, НАУКИ
И МОЛОДЕЖНОЙ ПОЛИТИКИ ВОРОНЕЖСКОЙ ОБЛАСТИ
государственное образовательное бюджетное учреждение
среднего профессионального образования Воронежской области
«Воронежский государственный промышленно-гуманитарный колледж»
(ГОБУ СПО ВО «ВГПГК»)
Кафедра «Вычислительная техника»
Курсовая работа
На тему: «Использование маршрутизаторов с поддержкой технологии NAT в сетях TCP/IP»
по дисциплине «Сети и системы передачи информации»
для специальности:
«Компьютерные системы и комплексы»
Выполнил: студент группы КК-121
Кузнецов Д.В.
Проверил: преподаватель
Колтаков Г.В..
Воронеж 2014
Содержание
Введение
1. Технология NAT
. Функционирование NAT
Способы работы NAT
Статический NAT
Динамический NAT
Перекрытие
. Конфигурация NAT
. Безопасность и администрирование
. Преимущества и недостатки NAT
. Применение NAT
. Маршрутизаторы с NAT
Заключение
Список используемых источников
Введение
Для компьютера, чтобы общаться с другими компьютерами и Web-серверами в Интернете, он должен иметь IP адрес. IP адрес (IP означает Интернет Протокол) - это уникальное 32-битовое число, которое идентифицирует местоположение вашего компьютера на сети. В основном это работает точно так же как ваш уличный адрес: способ точно выяснить, где вы находитесь и доставить вам информацию. Теоретически, можно иметь 4,294,967,296 уникальных адресов (2^32). Фактическое число доступных адресов является меньшим (где-нибудь между 3.2 и 3.3 миллиарда) из-за способа, которым адреса разделены на классы и потребности отвести некоторые из адресов для мультивещания, тестирования или других определенных нужд. С увеличением домашних сетей и деловых сетей, число доступных IP адресов уже не достаточно. Очевидное решение состоит в том, чтобы перепроектировать формат адреса, чтобы учесть больше возможных адресов. Таким образом, развивается протокол IPv6, но, это развитие займет несколько лет, потому что требует модификации всей инфраструктуры Интернета.
Вот здесь нам на помощь приходит технология NAT. В основном, Сетевая Трансляция Адресов, позволяет единственному устройству, типа маршрутизатора, действовать как агент между Интернетом (или "публичной сетю") и локальной (или "частной") сетью. Это означает, что требуется только единственный уникальный IP адрес, чтобы представлять всю группу компьютеров чему-либо вне их сети. Нехватка IP адресов - только одна причина использовать NAT. Два других серьезных основания это безопасность и администрирование.
Технология NAT
Две ключевые проблемы встают перед Интернетом - это нехватка адресного пространства и эффективность маршрутизации. Трансляция сетевых адресов позволяет IP-сетям организаций выглядеть снаружи так, будто они используют адресное пространство, отличное от того, которое они на самом деле используют. Таким образом, NAT дает возможность организациям с адресами, глобально недействительными, подключаться к Интернету путем трансляции своих адресов в глобальные. Также NAT предоставляет более гибкую стратегию для тех организаций, которые часто меняют поставщиков сетевого сервиса. В качестве решения проблемы связуемости NAT имеет практическую пользу только тогда, когда сравнительно немного станций из локальной сети открывают связь с внешним миром одновременно. В этом случае лишь малое подмножество IP-адресов в локальной сети должно транслироваться в глобальные адреса. После того, как станция перестает "занимать" глобальный адрес, он может быть использован вновь.
Значительное преимущество технологии адресной трансляции заключается в том, что она может конфигурироваться, не требуя вносить изменения в настройки станций и маршрутизаторов, кроме тех граничных маршрутизаторов, на которых будет включен механизм NAT. Как обсуждалось ранее, применение NAT может быть не очень практичным при большом количестве станций. Более того, некоторые приложения используют встроенные IP-адреса, что делает трасляцию неуместной. Проходя через NAT-устройство, эти приложения могут работать непрозрачно либо вообще не работать. NAT также прячет идентичность станций, что может иметь свои преимущества и недостатки одновременно.
Маршрутизатор, осуществляющий адресную трасляцию, должен иметь, по крайней мере, один внутренний и один внешний интерфейс. В обычных условиях NAT конфигурируется на граничном маршрутизаторе, являющимся для данной локальной сети выходом в глобальную, точкой подключения к сетевой магистрали (рис.1). Когда пакет покидает внутреннюю область, NAT транслирует локальный адрес источника в глобально уникальный адрес. Когда пакет входит в локальную сеть извне, NAT транслирует глобальный адрес назначения в локальный. Если существует более одной выходной точки в глобальную сеть, все устройства, работающие с NAT, должны иметь идентичные таблицы трансляции. Если программное обеспечение не может транслировать адрес, вследствие того, что имеющееся глобальное адресное пространство полностью занято, оно уничтожает пакет и посылает сообщение ICMP Host Unreachable.
Рис.1 Устройство работы маршрутизатора с технологией NAT
Маршрутизатор, на котором сконфигурирована трансляция, не должен передавать информацию о внутренней сети наружу. Тем не менее, данные о маршрутизации, получаемые извне, могут передаваться в локальную сеть, как обычно. протокол network address translation
Как было упомянуто ранее, термин внутренний относится к сетям, которыми владеет данная организация и к которым должна применяться адресная трансляция. Внутри этой области станции будут иметь адреса из одного адресного пространства, в то время, с точки зрения внешнего мира, они будут иметь адреса из другого пространства, если трансляция сконфигурирована. Первое адресное пространство называется локальным, а второе - глобальным.
Подобным образом, термин внешний относится к тем сетям, к которым локальная сеть подключается и которые, вообще говоря, не находятся под контролем данной организации. Станции во внешних сетях также могут быть предметом адресной трансляции и, следовательно, могут иметь локальные и глобальные адреса.
Функционирование NAT
Преобразование адреса методом NAT может производиться почти любым маршрутизирующим <https://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F> устройством - маршрутизатором <https://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80>, сервером доступа, межсетевым экраном <https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%8D%D0%BA%D1%80%D0%B0%D0%BD>. Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника (англ. <https://ru.wikipedia.org/wiki/%D0%90%D0%BD%D0%B3%D0%BB%D0%B8%D0%B9%D1%81%D0%BA%D0%B8%D0%B9_%D1%8F%D0%B7%D1%8B%D0%BA> source) при прохождении пакета в одну сторону и обратной замене адреса назначения (англ. <https://ru.wikipedia.org/wiki/%D0%90%D0%BD%D0%B3%D0%BB%D0%B8%D0%B9%D1%81%D0%BA%D0%B8%D0%B9_%D1%8F%D0%B7%D1%8B%D0%BA> destination) в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов <https://ru.wikipedia.org/wiki/%D0%9F%D0%BE%D1%80%D1%82_(TCP/UDP)> источника и назначения.
Принимая пакет от локального компьютера, роутер смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет. Но ведь обратным адресом в пакете указан локальный адрес компьютера, который из интернета будет недоступен. Поэтому роутер «на лету» транслирует (подменяет) обратный IP-адрес пакета на свой внешний (видимый из интернета) IP-адрес и меняет номер порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам). Комбинацию, нужную для обратной подстановки, роутер сохраняет у себя во временной таблице. Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, роутер сотрет у себя в таблице запись о n-ом порте за сроком давности.
Помимо source NAT (предоставления пользователям локальной сети <https://ru.wikipedia.org/wiki/%D0%9B%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F_%D0%B2%D1%8B%D1%87%D0%B8%D1%81%D0%BB%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F_%D1%81%D0%B5%D1%82%D1%8C> с внутренними адресами <https://ru.wikipedia.org/wiki/%C2%AB%D0%A1%D0%B5%D1%80%D1%8B%D0%B9%C2%BB_IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81> доступа к сети Интернет <https://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82>) часто применяется также destination NAT, когда обращения извне транслируются межсетевым экраном <https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%8D%D0%BA%D1%80%D0%B0%D0%BD> на компьютер пользователя в локальной сети, имеющий внутренний адрес <https://ru.wikipedia.org/wiki/%C2%AB%D0%A1%D0%B5%D1%80%D1%8B%D0%B9%C2%BB_IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81> и потому недоступный извне сети непосредственно (без NAT).
Способы работы NAT
Статический NAT
Отображение незарегистрированного IP адреса на зарегистрированный IP адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети. (рис. 2)
Рис.2 Принцип работы статического NAT
Динамический NAT
Отображает незарегистрированный IP адрес на зарегистрированный адрес от группы зарегистрированных IP адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.
Рис.3 Принцип работы динамического NAT
Перегрузка (Overload)
Форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP адрес, используя различные порты. Известен также как PAT (Port Address Translation)
Перекрытие
Когда IP адреса, используемые в вашей внутренней сети, также используются в другой сети, маршрутизатор должен держать таблицу поиска этих адресов так, чтобы он мог перехватить и заменить их зарегистрированными уникальными IP адресами. Важно отметить, что NAT маршрутизатор должен транслировать "внутренние" адреса в зарегистрированные уникальные адреса, а также должен транслировать "внешние" зарегистрированные адреса в адреса, которые являются уникальными для частной сети. Это может быть сделано либо через статический NAT, либо вы можете использовать DNS и реализовать динамический NAT.
Конфигурация NAT
NAT может быть сконфигурирован различными способами. В примере ниже NAT-маршрутизатор сконфигурирован так, чтобы транслировать незарегистрированные IP адреса (локальные внутренние адреса), которые постоянно находятся в приватной (внутренней) сети в зарегистрированные IP адреса. Это случается всякий раз, когда устройство на внутренней части с незарегистрированным адресом должно общаться с внешней сетью. назначает диапазон адресов IP вашей компании. Назначенный блок адресов - это уникальные зарегистрированные IP адреса и называются внутренними глобальными адресами (inside global). Незарегистрированные частные IP адреса разбиты на две группы, маленькая группа, внешние локальные адреса (outside local), будет использоваться NAT маршрутизаторами и основная, которая будет использоваться в домене, известна как внутренние локальные адреса (inside local). Внешние локальные адреса используются, чтобы транслировать уникальные IP адреса, известные как внешние глобальные адреса(outside global), устройств на общественной сети. транслирует только тот трафик, который проходит между внутренней и внешней сетью и определен для трансляции. Любой трафик, не соответствующий критериям трансляции или тот, который проходит между другими интерфейсами на маршрутизаторе, никогда не транслируется, и пересылается как есть. адреса имеют различные обозначения, основанные на том, находятся ли они на частной сети (домен) или на общественной сети (Интернет) и является ли трафик входящим или исходящим.
Большинство компьютеров в домене общается друг с другом, используя внутренние локальные адреса.
Некоторые компьютеры в домене взаимодействуют с внешней сетью. Эти компьютеры имеют внутренние глобальные адреса, что означает, что они не требуют трансляции.
Когда компьютер в домене, который имеет внутренний локальный адрес, хочет взаимодействовать с внешней сетью, пакет идет в один из NAT-маршрутизаторов посредством обычной маршрутизации. маршрутизатор проверяет таблицу маршрутизации, чтобы посмотреть, имеется ли у него запись для конечного адреса. Если адрес приемника не находится в таблице маршрутизации, пакет отбрасывается. Если запись доступна, роутер проверяет, идет ли пакет из внутренней сети во внешнюю, а также, соответствует ли пакет критериям, определенным для трансляции. Затем маршрутизатор проверяет таблицу трансляции адресов, чтобы выяснить, существует ли запись для внутреннего локального адреса и соответствующего ему внутреннего глобального адреса. Если запись найдена, он транслирует пакет, используя внутренний глобальный адрес. Если сконфигурирован только статический NAT, и никакой записи не найдено, то роутер посылает пакет без трансляции.
Используя внутренний глобальный адрес, маршрутизатор пересылает пакет его адресату. Компьютер на общественной сети посылает пакет в частную сеть. Адрес источника в пакете - это внешний глобальный адрес. Адрес приемника - внутренний глобальный адрес. Когда пакет прибывает во внешнюю сеть, NAT-маршрутизатор смотрит в таблицу трансляций и определяет адрес приемника, отображенный на компьютер в домене. маршрутизатор транслирует внутренний глобальный адрес пакета на внутренний локальный адрес и затем проверяет таблицу маршрутизации прежде, чем пошлет пакет конечному компьютеру. Всякий раз, когда запись не найден для адреса в таблице трансляций, пакет не транслируется и роутер продолжает поверку таблицы маршрутизации на поиск адреса приемника.
IP адреса определяют две машины с каждой стороны, в то время как номера портов гарантируют, что соединение между этими двумя компьютерами имеет уникальный идентификатор. Комбинация этих четырех чисел определяет единственное соединение TCP/IP. Каждый номер порта использует 16 битов, что означает, что существует 65 536 (2^16) возможных значения. В действительности, так как различные изготовители отображают порты немного различными способами, вы можете ожидать приблизительно 4 000 доступных портов.
Безопасность и администрирование
Реализация динамического NAT автоматически создает межсетевую защиту между вашей внутренней сетью и внешними сетями или Интернет. Динамический NAT позволяет только подключения, которые порождаются в локальной сети. По существу, это означает, что компьютер на внешней сети не может соединиться с вашим компьютером, если ваш компьютер не начал соединение. Таким образом, вы можете работать в Интернете и соединиться с сайтом, и даже выгрузить файл. Но больше никто не может просто покуситься на ваш IP адрес и использовать его, чтобы соединиться с портом на вашем компьютере.
Статический NAT, также называемый входным мапингом (inbound mapping), позволяет подключения, инициированные внешними устройствами к компьютерам в LAN при определенных обстоятельствах. Например, вы можете отобразить внутренний глобальный адрес на определенный внутренний локальный адрес, который назначен на ваш Web-сервер.
Статический NAT позволяет компьютеру в LAN поддерживать определенный адрес, общаясь с устройствами вне сети (рис.4).
Рис.4 Входной мапинг в статическом NAT
Некоторые NAT маршрутизаторы предусматривают обширную фильтрацию и логирование трафика. Фильтрация позволяет вашей компании контролировать, какие сайты на Сети посещают работники, препятствуя им просматривать сомнительный материал. Вы можете использовать регистрацию трафика, чтобы создать журнал, какие сайты посещаются и на основании этого генерировать различные отчеты.
Иногда Сетевую Трансляцию Адресов путают с прокси-серверами, где есть определенные различия. NAT прозрачен для компьютеров источника и приемника. Никто из них не знает, что это имеет дело с третьим устройством. Но прокси сервер не прозрачен. Исходный компьютер знает, что это делает запрос на прокси. Компьютер адресата думает, что прокси сервер - это исходный компьютер и имеет дело с непосредственно ним. Кроме того, прокси-серверы обычно работают на уровне 4 (Transport) модели OSI или выше, в то время как NAT - это протокол уровня 3 (Network). Работа на более высоких уровнях делает прокси-серверы медленнее чем NAT устройства в большинстве случаев.
Реальная выгода NAT очевидна в сетевом администрировании. Например, Вы можете переместить ваш Web-сервер или сервер FTP к другому компьютеру, не волнуясь о разорванных соединениях. Просто измените входной мапинг на новый внутренний локальный адрес в маршрутизаторе, чтобы отразить новый хост. Вы можете также делать изменения в вашей внутренней сети так как любой ваш внешний IP адрес либо принадлежит маршрутизатору либо пулу глобальных адресов.