Одним из важнейших преимуществ NAT является то, что нет необходимости вносить изменения в конфигурацию конечных узлов и маршрутизаторов внутренней сети, за исключением тех устройств, на которых собственно и выполняются эти функции. Как уже отмечалось выше, функции NAT не имеют практического применения в тех сетях, где с внешней сетью одновременно работает большое количество внутренних узлов. К тому же некоторые приложения используют встроенные адреса IP, что ставит под вопрос использование NAT. Такие приложения либо не могут работать прозрачно в сетях с использованием NAT, либо их трафик вообще не будет проходить через устройства, реализующие функции NAT. Также отметим, что функции NAT скрывают внутреннее расположение узлов, что в зависимости от конкретных условий может быть как преимуществом, так и недостатком.
Маршрутизатор, выполняющий функции NAT, должен иметь, по крайней мере, один внутренний и один внешний интерфейсы. При обычном использовании NAT конфигурируется на выходном маршрутизаторе, разделяющем локальный домен и сеть общего пользования. Когда пакет покидает пределы локального домена, функции NAT транслируют содержимое поля Source (локальный адрес отправителя пакета) в значение уникального внешнего адреса. Когда же пакет входит в локальный домен, производится трансляция уникального внешнего адреса в локальный адрес. Если локальный домен имеет более одного выхода во внешнюю сеть, то все маршрутизаторы NAT должны иметь одинаковые таблицы соответствия внутренних и внешних адресов. Если программное обеспечение не в состоянии занять адрес для текущего пакета, то такой пакет будет уничтожен. Одновременно в обратном направлении будет отправлен пакет ICMP, содержащий извещение об уничтожении этого пакета (Host Unreachable).
Маршрутизатор, выполняющий функции NAT, не должен распространять во внешнюю сеть информацию о внутренних подсетях. Тем не менее, маршрутная информация, получаемая маршрутизатором NAT из внешней сети, обычно распространяется по внутренней сети.
Применение NAT
Функции NAT для решения следующих проблем и задач:
При необходимости подключения к Интернет, когда количество внутренних узлов сети превышает выданное поставщиком услуг Интернет количество реальных адресов IP. NAT позволяет частным сетям IP, использующим незарегистрированные адреса, получать доступ к ресурсам Интернет. Функции NAT конфигурируются на пограничном маршрутизаторе, разграничивающем частную (внутреннюю) сеть и сеть общего пользования (например, Интернет). Далее сеть общего пользования мы будем называть внешней сетью, а частную сеть - внутренней сетью. Функции NAT перед отправкой пакетов во внешнюю сеть осуществляют трансляцию внутренних локальных адресов в уникальные внешние адреса IP.
При необходимости изменения внутренней системы адресов. Вместо того, чтобы производить полное изменение всех адресов всех узлов внутренней сети, что представляет собой достаточно трудоемкую процедуру, функции NAT позволят производить их трансляцию в соответствии с новым адресным планом. При необходимости организации простого разделения трафика на основе портов TCP. Функции NAT предоставляют возможность установления соответствия (mapping) множества локальных адресов одному внешнему адресу, используя функции распределения нагрузки TCP.
Являясь решением проблем организации связи между различными узлами и подсетями (connectivity problems), на практике функции NAT в данный момент времени обслуживают работу лишь небольшого числа узлов во внутреннем домене. Это связано с тем, что ситуация, при которой всем узлам внутренней сети одновременно необходимо взаимодействовать с некоторыми внешними узлами, является маловероятной. В том случае, если какой-либо внешний адрес больше не используется каким-либо внутренним узлом, то он отдается в распоряжение другому внутреннему узлу.
Маршрутизаторы с NAT
Большинство современных маршрутизаторов поддерживают протокол NAT (Network Address Translation), базирующийся на сеансовом уровне и по сути представляющий собой протокол трансляции сетевых адресов. NAT позволяет реализовать множественный доступ компьютеров локальной (частной) сети (каждый из которых имеет собственный внутренний IP-адрес) в Интернет, используя всего один внешний IP-адрес WAN-порта маршрутизатора. При этом все компьютеры во внутренней локальной сети становятся невидимыми извне, но для каждого из них внешняя сеть является доступной. Протокол NAT пропускает в сеть только те данные из Интернета, которые поступили в результате запроса от компьютера из локальной сети.
Протокол NAT решает две главные задачи:помогает справиться с дефицитом IP-адресов, который становится все более острым по мере роста количества компьютеров и обеспечивает безопасность внутренней сети - компьютеры локальной сети, защищенные маршрутизатором с активированным NAT-протоколом (устройством NAT), становятся недоступными из внешней сети.Хотя протокол NAT не заменяет брандмауэр, он все же является важным элементом безопасности.
Принцип работы протокола NAT достаточно прост. Когда клиент внутренней сети устанавливает связь с сервером внешней сети, открывается сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Когда приложение передает данные через этот сокет, то IP-адрес источника и порт источника вставляются в пакет в поля параметров источника. Поля параметров пункта назначения будут содержать IP-адрес сервера и портсервера.
Устройство NAT (маршрутизатор) перехватывает исходящий из внутренней сети пакет и заносит в свою внутреннюю таблицу сопоставления портов источника и получателя пакета, используя IP-адрес назначения, порт назначения, внешний IP-адрес устройства NAT, внешний порт, сетевой протокол, а также внутренние IP-адрес и порт клиента. Затем устройство NAT транслирует пакет, преобразуя в пакете поля источника: внутренние IP-адрес и порт клиента заменяются внешними IP-адресом и портом устройства NAT.
Преобразованный пакет пересылается по внешней сети и в итоге попадает на заданный сервер. Получив пакет, сервер будет направлять ответные пакеты на внешний IP-адрес и порт устройства NAT (маршрутизатора), указывая в полях источника свои собственные IP-адрес и порт.
Устройство NAT принимает эти пакеты от сервера и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP-адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP-адресом удаленного узла, удаленным портом и сетевым протоколом, указанным в сопоставлении портов, то NAT выполнит обратное преобразование: заменит внешний IP-адрес и внешний порт в полях назначения пакета на IP-адрес и внутренний порт клиента внутренней сети. Однако если в таблице сопоставления портов не находится соответствия, то входящий пакет отвергается и соединение разрывается.
В некоторых маршрутизаторах возможно отключение NAT-протокола. Однако имеются модели, где NAT-протокол активирован и отключить его невозможно. При этом важно, чтобы маршрутизатор мог частично обойти ограничения NAT-протокола. Дело в том, что не все сетевые приложения пользуются протоколами, способными взаимодействовать с NAT. Поэтому все маршрутизаторы имеют функции, позволяющие наложить ограничения на использование протокола NAT. Сервер, устанавливаемый во внутренней сети и являющийся прозрачным для протокола NAT, называют виртуальным сервером (Virtual Server). Прозрачным для протокола NAT может быть не весь сервер, а лишь определенные приложения, запускаемые на нем. Для того чтобы реализовать виртуальный сервер во внутренней сети, на маршрутизаторе используется технология перенаправления портов.
Заключение
представляет собой решение проблемы исчерпания пространства имен IPv4. Шлюзы Интернета, использующие NAT, часто устанавливаются дома и в небольших офисах. Они применяются потому, что дешевы, легко управляемы и не требуют установки специального программного обеспечения. Устройство NAT (маршрутизатор) перехватывает исходящий из внутренней сети пакет и заносит в свою внутреннюю таблицу сопоставления портов источника и получателя пакета, используя IP-адрес назначения, порт назначения, внешний IP-адрес устройства NAT, внешний порт, сетевой протокол, а также внутренние IP-адрес и порт клиента. Затем устройство NAT транслирует пакет, преобразуя в пакете поля источника: внутренние IP-адрес и порт клиента заменяются внешними IP-адресом и портом устройства NAT.
Таким образом, NAT позволяет реализовать множественный доступ компьютеров локальной (частной) сети (каждый из которых имеет собственный внутренний IP-адрес) в Интернет, используя всего один внешний IP-адрес WAN-порта маршрутизатора. При этом все компьютеры во внутренней локальной сети становятся невидимыми извне, но для каждого из них внешняя сеть является доступной. Протокол NAT пропускает в сеть только те данные из Интернета, которые поступили в результате запроса от компьютера из локальной сети.