Павликевич М.Й Телекомунікаційні мережі ч2. Мережі ІР

Подождите немного. Документ загружается.

2. Мережі IP.

_______________________________________________________________________________________

___________________________________________________________________________________________________

М. Павликевич. Телекомунікаційні мережі. Навчальний посібник для студентів спеціальності

"Інформаційні мережі зв'язку, 2009.

NAT діє на рівні роутера як агент між внутрішньою (локальною) і зовнішньою (глобальною)

мережами і допомагає зберігати адресний простір, оскільки, як вказано вище, принципово потрібна

лише одна унікальна IP-адреса, щоб репрезентувати цілу групу станцій. NAT часто використовується

зі спеціальною групою приватних IP-адрес (див. табл. 3.4), однак може працювати з довільною

схемою адресації IP. В основному NAT здійснює трансляцію (відображення) IP-адрес, встановлюючи

їх відповідність одна одній (так звана схема 11) або відповідність багатьох адрес одній (схема

n1). Відображення внутрішньої (локальної) IP-адреси на зовнішню (глобальну) адресу означає, що

внутрішня IP-адреса замінюється відповідною зовнішньою і навпаки.

Переваги використання NAT:

 дозволяє станціям у мережі, яка використовує приватний адресний простір, здійснювати

доступ до глобально адресованих мереж (Internet);

 дозволяє встановлювати зв’язок між мережами, адресні простори яких перекриваються;

 виключає потребу перенумерації станцій при зміні ISP або схеми адресації;

 зменшує час і витрати на адміністрування адрес;

 застосування PAT економить глобальні IP-адреси;

 підвищує рівень “приватності” мережі, тобто її захищеність, бо дійсні адреси невидимі зовні.

4.2. Термінологія NAT

Трансляція мережевих IP-адрес полягає в тому, що при пересиланні данограми між приватною

мережею організації і публічним Internet одна або більше адрес у цій данограмі змінюються роутером NAT.

Ця трансляція означає, що будь-яка транзакція в середовищі NAT включає в себе не тільки адреси джерела і

призначення, але можливо й багато адрес кожного джерела і призначення. Щоб зробити більш ясним

викладення того, як працює NAT, були опрацьовані спеціальні позначення і терміни для різних типів адрес,

які можна знайти в IP-данограмах при використанні NAT. Оскільки без знання тлумачення цих термінів

правильне розуміння операцій NAT неможливе, насамперед необхідно викласти їх суть.

Терміни для адрес NAT, які базуються на розташуванні пристроїв (внутрішня/зовнішня

адреса) є першим варіантом для розрізнення IP- адрес:

 Будь-який пристрій в приватній мережі організації (мережі-відгалуженні – stub network), яка

використовує NAT, вважається розташованим у внутрішній мережі (inside network). Тому

будь-яка адреса, яка у будь-якій формі стосується пристрою у внутрішній мережі називається

внутрішньою адресою.

 Публічний Internet, тобто будь-яка мережа зовні приватної мережі організації, розглядається

як зовнішня мережа (outside network). Будь-яка адреса, яка стосується пристрою в зовнішній

публічній мережі, є зовнішньою адресою.

Таким чином, перша ключова концепція NAT полягає в тому, що терміни внутрішня і зовнішня

пов'язані з локалізацією пристрою (станції) всередині приватної мережі організації або зовні неї відповідно.

Другий варіант для розрізнення IP- адрес у NAT базується на локалізації данограми у внутрішній або

у зовнішній мережах (локальна/глобальна адреса):

 Локальна адреса з’являється в данограми у внутрішній мережі незалежно від того, чи вона

стосується внутрішньої, чи зовнішньої адреси.

 Глобальна адреса описує адресу данограми у зовнішній мережі незалежно від того, чи вона

стосується до внутрішньої, чи до зовнішньої адреси.

Отже, друга ключова концепція NAT полягає у тому, що терміни локальна і глобальна стосуються

локалізації данограми у внутрішній чи зовнішній мережах відповідно.

Як вказано вище, термін внутрішня стосується до мережі, яка належить певній організації та адреси

якої необхідно транслювати. Всередині цієї області станції можуть мати адреси в одному конкретному

адресному просторі, тоді як зовні, якщо NAT сконфігурована, вони виглядають так, ніби мають адреси в

іншому адресному просторі. Перший адресний простір називають локальним, тоді як другий – глобальним

адресними просторами.

2. Мережі IP.

_______________________________________________________________________________________

___________________________________________________________________________________________________

М. Павликевич. Телекомунікаційні мережі. Навчальний посібник для студентів спеціальності

"Інформаційні мережі зв'язку, 2009.

Подібним чином, зовнішня стосується до мережі, до якої під’єднана мережа-відгалуження і

яка загалом не є під управлінням згаданої організації. Як описано нижче, адреси станцій в зовнішніх

мережах також можуть бути суб’єктами трансляції і можуть мати локальні і глобальні адреси.

Підсумовуючи, NAT використовує такі означення:

 Внутрішня локальна адреса (Inside Local – IL) – IP-адреса, призначена станції, розміщеній у

внутрішній мережі. Такі адреси можуть бути глобально унікальними, виділеними з приватного

адресного простору, визначеного RFC 1918, або можуть бути офіційно виділені деякій іншій

організації.

 Внутрішня глобальна адреса (Inside Global – IG) – IP-адреса внутрішньої станції, якою вона

виявляється назовні. Такі адреси також можуть бути виділені з приватного адресного простору,

визначеного RFC 1918, або можуть бути офіційно виділені іншій організації, або бути виділеними

з глобально-унікального адресного простору, що звичайно забезпечують ISP (якщо організація

під’єднана до Internet.

 Зовнішня локальна адреса (Outside Local - OL) – IP-адреса зовнішньої станції, якою вона

виявляється у внутрішній мережі. Ці адреси (за побажанням) можуть бути виділені з приватного

адресного простору RFC 1918.

 Зовнішня глобальна адреса (Outside Global – OG) – IP-адреса, призначена станції, розташованій у

зовнішній мережі.

Роутер NAT транслює локальні адреси у глобальні і навпаки, тобто внутрішня локальна адреса

транслюється у внутрішню глобальну адресу і навпаки (IL  IG), а зовнішя локальна адреса

транслюється у зовнішню глобальну адресу і навпаки (OL  OG).

4.3. Основні концепції NAT

4.3.1. Трансляція адрес

Для зрозуміння суті трансляції мережних адрес розглянемо типову ситуацію використання різних

IP-адрес в локальній мережі одної організації, коли роутер NAT сконфігурований для трансляції

незареєстрованих (внутрішніх) IP-адрес у зареєстровані (зовнішні) IP-адреси.

 Якщо станція з домену-відгалуження має внутрішню локальну IP-адресу і потребує

комунікуватися з зовнішніми мережами, то пакет висилається до роутера NAT.

 Роутер NAT перевіряє свою таблицю роутінгу для встановлення наявності входу для адреси

призначення. Якщо такий вхід наявний, то роутер транслює адресу пакету і створює вхід для неї

в таблиці трансляції адрес. Якщо адреса призначення відсутня в таблиці роутінгу, то пакет

знищується.

 Роутер висилає пакет до призначення, вживаючи внутрішню глобальну адресу.

 Якщо станція з публічної мережі висилає пакет до приватної мережі, то адреса джерела – це

зовнішня глобальна адреса, а адреса призначення – внутрішня глобальна адреса станції-

призначення в домені-відгалуженні.

 Отримавши такий пакет, роутер NAT визначає наявність цієї внутрішньої глобальної адреси в

таблиці трансляції адрес.

 Роутер транслює внутрішню глобальну адресу пакету у внутрішню локальну адресу станції-

призначення і висилає пакет до цієї станції.

Трансляція мережних адрес включає такі кроки:

 IP-адреса в заголовку IP-пакету замінюється новою внутрішньою або зовнішньою адресою.

Номер порта в заголовку пакету TCP або UDP замінюється новим портом, якщо потрібна

трансляція номерів портів.

 Контрольна сума IP-пакету перераховується і контролюється на цілісність.

 Контрольна сума заголовка TCP також перераховується, оскільки вона обчислюється з

використанням нової внутрішньої або зовнішньої IP-адреси, нового номера порта (якщо він

використовується) і корисного навантаження (при його наявності).

2. Мережі IP.

_______________________________________________________________________________________

___________________________________________________________________________________________________

М. Павликевич. Телекомунікаційні мережі. Навчальний посібник для студентів спеціальності

"Інформаційні мережі зв'язку, 2009.

Існують два типи NAT – статична і динамічна. Вони можуть застосовуватися сумісно. Якщо

використовуться протоколи TCP або UDP, то NAT може також здійснювати трансляцію номерів

портів (PAT) і ця трансляція також може відбуватися статично або динамічно.

4.4. Статична NAT.

На рис.4.1 показана проста функція NAT. Станція A має IP-адресу, яка належить до

приватного діапазону, визначеного RFC 1918, тоді як станція B має публічну IP-адресу. Коли станція

A висилає пакет до станції B, пакет переходить через роутер, який виконує трансляцію. NAT заміняє

приватну адресу станції A 102.168.2.23 у полі адреси джерела на публічну адресу 203.10.5.23, яка

може бути маршрутована через Internet, і пересилає пакет. Коли станція B вишле відповідь до станції

A, адреса призначення пакету є 203.10.5.23. Цей пакет знову переходить через роутер NAT, де адреса

призначення замінюється на приватну адресу A.

Рис.4.1. Роутер NAT замінює приватну адресу станції A 192.168.2.23 на маршрутовану публічну

адресу 203.10.5.23.

NAT прозора для кінцевих систем, залучених до трансляції. На рис4.1 станція A знає лише

свою IL-адресу 192.168.2.23 і не знає нічого про свою IG-адресу 203.10.5.23. З іншого боку, станція B

знає IG-адресу 203.10.5.23 станції A, але вона не знає про IL-адресу 192.168.2.23. Ця адреса

«невидима» для станції B. NAT може приховувати адреси в обидвох напрямках. На рис.4.2 NAT

застосовується до адрес в обидвох станціях A і B. Станція A вважає адресою станції B 172.16.80.9,

тоді як у дійсності адреса є 102.31.7.130. Можна бачити, що роутер NAT транслює адреси джерела і

призначення в обидвох напрямках для підтримки цієї схеми адресації.

Рис. 4.2. Роутер NAT транслює обидві адреси джерела і призначення в обидвох напрямках.

На рис.4.2 станція A знаходиться всередині, а станція B назовні. Внутрішня локальна адреса

(IL) – це 192.168.2.23, а внутрішня глобальна адреса (IG) – 203.10.5.23; 172.16.80.91 – це зовнішня

локальна адреса (OL) і 192.31.7.130 – це зовнішня глобальна адреса (OG).

2. Мережі IP.

_______________________________________________________________________________________

___________________________________________________________________________________________________

М. Павликевич. Телекомунікаційні мережі. Навчальний посібник для студентів спеціальності

"Інформаційні мережі зв'язку, 2009.

Як вказано вище, передовсім IG-адреси відображаються на IL-адреси, а OL-адреси – на OG-

адреси. Пристрій NAT вносить ці відображення в таблицю трансляції адрес. Приклад 4.1 показує

таблицю трансляції адрес роутера NAT на рис. 2.2. Ця таблиця має три входи. Читаючи входи знизу

вгору, бачимо, що перший вхід відображає OL-адресу 172.16.80.91 на OG-адресу 192.31.7.130.

Наступний вхід відображає IG-адресу 203.10.5.23 на IL-адресу 192.168.2.23. Ці два входи статичні і

створюються, коли роутер конфігурується для трансляції визначених адрес. Останній (верхній) вхід

відображає внутрішні адреси на відповідні зовнішні. Цей вхід динамічний і роутер NAT створює

його, коли станція A вперше висилає пакет до пристрою B.

Приклад 4.1. Таблиця трансляції адрес роутера NAT на рис.4.2.

NATrouter#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- 203.10.5.23 192.168.2.23 172.16.80.91 192.31.7.130

--- 203.10.5.23 192.168.2.23 --- ---

--- --- --- 172.16.80.91 192.31.7.130

NATrouter#

Отже, статична NAT визначає статично сконфігуровану (фіксовану) трансляцію внутрішніх

локальних і глобальних адрес з відповідністю 11. На рис. 4.3 показано приклад статичної

трансляції внутрішніх локальних адрес 10.1.1.13 і 10.1.1.27 у внутрішні глобальні адреси

206.245.160.13 та 206.245.160.27 відповідно. Ситуація, показана на рисунку, відповідає висиланню

пакету від клієнта, визначеного парою <IP-адреса: порт>, до сервера, визначеного іншою парою <IP-

адреса: порт>; наприклад, клієнт 10.1.1.13:1108 пересилає пакет до FTP-сервера 207.135.89.111:21, а

клієнт 10.1.1.27:1101 – до Web-сервера 207.135.89.15:80. З боку зовнішнього середовища клієнти

мають адреси джерела, замінені відповідно до таблиці статичної трансляції. Відзначимо, що як

внутрішня, так і зовнішня мережі мають мережний префікс /24, і перетворюється лише мережна

частина адреси, а номер станції залишається незмінним.

Рис. 4.3. Приклад статичної NAT.

За особливих обставин статична NAT, яку тоді також називають вхідним відображенням

(inbound mapping) може дозволити зовнішнім пристроям зініціювати сполучення зі станцією в

домені-відгалуженні. Наприклад, якщо потрібно перейти від внутрішніх глобальних адрес до

визначених внутрішніх локальних адрес, які призначені Web-серверу домену-відгалуження, то

статична NAT може забезпечити сполучення.

2. Мережі IP.

_______________________________________________________________________________________

___________________________________________________________________________________________________

М. Павликевич. Телекомунікаційні мережі. Навчальний посібник для студентів спеціальності

"Інформаційні мережі зв'язку, 2009.

4.5. Динамічна NAT.

4.5.1. Динамічна NAT і ощадність IP-адрес

Початкове завдання NAT полягає у сповільненні вичерпання IP-адрес, як це вказано в RFC

1631. Основним припущенням є те, що тільки певні станції в організації можуть одночасно

сполучатися з Internet. Деякі пристрої, наприклад, принт-сервери і DHCP-сервери, взагалі ніколи не

вимагатимуть сполучення назовні організації. Внаслідок цього станції в організації можна адресувати

в межах приватних адрес згідно з RFC 1918 і лише значно менша кількість унікальних адрес будуть

поміщені в пул NAT на межі організації. Наприклад, у внутрішній мережі можна використати 65535

неунікальних (приватних) адрес в діапазоні 10.1.0.0 .. 10.1.255.255, а для їх трансляції отримати пул з

8192 унікальних (публічних) адрес у діапазоні 205.110.96.0 .. 205.йй0.127.255. Неунікальні приватні

адреси є внутрішніми локальними адресами, а публічні адреси - це внутрішні глобальні адреси.

Як показано вище, вхід NAT може бути статичний або динамічний. Статичні входи

здійснюють відображення “один-до-одного” між локальними та глобальними адресами. Динамічні

входи можуть бути типів “ багато-до-одного” або “один-до-багатьох”. Відображення “ багато-до-

одного” означає, що багато адрес можуть бути відображені на одну адресу, При відображенні “один-

до-багатьох” одна адреса можне бути відображена на одну з декількох наявних адрес.

Динамічна NAT здійснює трансляцію з пулу внутрішніх локальних IP-адрес у пул внутрішніх

глобальних IP-адрес, якщо це потрібно. Обидва пули адрес повинні бути визначені користувачем.

Призначення адрес здійснюється роутером, оснащеним NAT, автоматично, тобто динамічно будуючи

таблицю NAT. Сполученням, ініційованим станціями з приватної мережі, призначаються публічні

адреси з відповідного пулу. Користувач не має впливу на те, яка IP-адреса підібрана з адресного

пулу. Доки приватна станція має вихідне сполучення, вона може бути досягнена вхідним пакетом,

висланим за цією публічною адресою. Коли сполучення завершене, пов’язання адрес припиняється і

адреса повертається до пулу для подальшого використання. Щоб пришвидшити конфігурування,

можна відображати діапазон IP-адрес.

Коли внутрішній пристрій висилає пакет до Internet, NAT динамічно виділяє публічну адресу

з пулу внутрішніх глобальних адрес і відображає її на внутрішню локальну адресу. Це відображення

вноситься в таблицю NAT. Наприклад, у прикладі 4.2 показано, що три внутрішні пристрої з

адресами 10.1.1.1.20, 10.1.197.64 і 10.1.63.148 висилають пакети через NAT. Тоді три адреси з пулу

глобальних внутрішніх адрес – 205.110.96.2, 205.110.96.3 і 205.110.96.1 відповідно будуть

відображені на внутрішні локальні адреси.

Приклад 4.2. Три адреси з внутрішнього локального адресного простору динамічно

відображаються на три адреси з пулу внутрішніх глобальних адрес.

NATrouter#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- 205.110.96.2 10.1.1.20 --- ---

--- 205.110.96.3 10.1.197.64 --- ---

--- 205.110.96.1 10.1.63.148 --- ---

NATrouter#

Адреси призначення будь-якого пакету від зовнішнього пристрою, який надає відповідь

внутрішньому пристрою, є внутрішньою глобальною адресою. Тому початкове відображення мусить

утримуватися в таблиці NAT певен час, щоб усі пакети конкретного сполучення транслювалися

узгоджено. Утримання входу в таблиці NAT протягом певного часу також зменшує витрати часу на

послідовні перегляди таблиці, коли той сам пристрій регулярно висилає пакети до того самого або

різних зовнішніх призначень.

Коли вхід вперше поміщається в таблицю, таймер стартує; період таймера називають часом

утримання трансляції (translation timeout). Кожного разу, коли даний вхід використовується для

трансляції джерела або призначення наступного пакету, таймер встановлюється у початковий стан.

Якщо таймер вичерпано, вхід видаляється з таблиці NAT і динамічно призначена адреса повертається

у пул. Час утримання трансляції за замовчуванням для роутерів Cisco дорівнює 86400 с (або 24 год.);

2. Мережі IP.

_______________________________________________________________________________________

___________________________________________________________________________________________________

М. Павликевич. Телекомунікаційні мережі. Навчальний посібник для студентів спеціальності

"Інформаційні мережі зв'язку, 2009.

його можна змінити командою ip nat translation timeout . Зауважимо, що час утримання

трансляції змінюється залежно від протоколу. Нижче у табл.4-3 наведені ці значення.

Ці особливі застосування NAT відносяться до типу «багато-до-одного», бо кожній внутрішній

глобальній адресі у пулі відповідають багато внутрішніх локальних адрес, які відображаються на цю

IG-адресу. У випадку, показаному на ри. 2.3, це відношення 81. Ризик полягає у виникненні

непередбачених періодів піку використання і вичерпання ємності пулу адрес. Однак немає обмежень

на використання співвідношення між кількістю локальних і глобальних адрес. Реальне обмеження

полягає не в кількості можливих адрес у визначеному діапазоні IL, а в кількості чинних пристроїв, які

використовують адреси в цьому діапазоні. Якщо всередині мережі діють багато станцій, то пул слід

збільшити.

Якщо адреса з динамічного пулу поміщена в таблицю NAT, то вона не може бути

використана для відображення інших адрес. Якщо таким чином використані всі адреси з пулу, то

внутрішні пакети, які слід було б переслати через роутер NAT, не можуть бути трансльовані і будуть

знищені. Тому важливо мати пул NAT достатньо великим, а час утримання трансляції достатньо

малим, щоб пул динамічних адрес ніколи повністю не вичерпувався.

Майже всі організації мають такі системи, як сервери електронної пошти, Web та FTP, які

повинні бути доступними зовні. Адреси цих систем мусять утримуватися без змін, бо інакше

зовнішні станції від одного моменту часу до іншого не будуть знати, як звернутися до цих серверів.

Отже, не можна вживати динамічну NAT для цих систем; їх IL-адреси повинні статично

відображатися на їх IG-адреси. IG-адреси, які вживаються для статичного відображення, не можуть

бути включені до пулу динамічних адрес, бо це привело б до неоднозначності

4.5.2. Приклад динамічної NAT з пулом глобальних адрес

На рис. 4.4 показано приклад динамічної NAT між локальним і віддаленим адресними

пулами.

Рис. 4.4. Приклад динамічної NAT між локальним і віддаленим адресними пулами.

Динамічна NAT працює таким чином.

 Внутрішня мережа (домен-відгалуження) має незареєстровані IP-адреси, які не маршрутуються у

зовнішньому середовищі, оскільки вони не є унікальними.

 Організація має роутер, оснащений NAT. Цей роутер має блок унікальних IP-адрес,

зареєстрованих IANA.

2. Мережі IP.

_______________________________________________________________________________________

___________________________________________________________________________________________________

М. Павликевич. Телекомунікаційні мережі. Навчальний посібник для студентів спеціальності

"Інформаційні мережі зв'язку, 2009.

 Станція у домені-відгалуженні потребує з’єднатися зі станцією зовні мережі організації,

наприклад, з віддаленим Web-сервером.

 Роутер приймає пакет від станції в домені-відгалуженні.

 Роутер зберігає немаршрутовану IP-адресу станції-надавача в таблиці трансляції IP-адрес і

замінює цю адресу першою наявною IP-адресою з блоку унікальних IP-адрес. Таблиця

трансляції адрес тепер відображає немаршрутовану IP-адресу на узгоджену унікальну IP-адресу.

 Коли пакет-відповідь повертається від станції-призначення, роутер перевіряє адресу

призначення в пакеті та контролює наявність такої адреси в таблиці трансляції адрес, щоб

встановити, чи пакет адресований до станції в домені-відгалуженні. Далі роутер замінює адресу

призначення в пакеті на відповідну адресу, яка зберігається в цій таблиці, і висилає пакет до

станції. Якщо адреса призначення відсутня в таблиці, то пакет знищується.

Динамічна NAT більш складна, бо стани повинні обслуговуватися і сполучення повинне були

вилучене, коли пул вичерпано і вільних адрес немає. Але, на відміну від статичної NAT, динамічна

NAT дозволяє повторне використання адрес, зменшуючи потребу в легально зареєстрованих

публічних адресах. Впровадження динамічної NAT автоматично створює “пожежну стінку” (firewall)

між внутрішньоюмережею організації та зовнішніми мережами. NAT дозволяє тільки сполучення,

ініційовані зсередини домену-відгалуження. Це означає, що станція зі зовнішньої мережі не може

з’єднатися зі станцією у внутрішній мережі якщо остання не зініціювала сполучення. Користувачі з

домену-відгалуження можуть мати доступ до зовнішніх Web-серверів і отрмувати файли, наприклад,

з допомогою FTP, однак будь-хто зовні не може отримати IP-адресу станції з домену-відгалуження і

використати її для сполучення.

4.5.3. Динамічна NAT з перевантаженням.

Динамічна NAT з перевантаженням IP або трансляція мережних адрес і портів (Network

Address Port Translatin – NAPT). Це варіант динамічної NAT з відображенням багатьох внутрішніх IP-

адрес на одну зовнішню IP-адресу мультиплексуванням потоків, які розрізняються за номерами

портів TCP/UDP. Це також називають трансляцією номерів портів (Port Address Translation – PAT),

одноадресною NAT або NAT з мультиплексуванням на рівні портів. NAT з перевантаженням

використовує властивість мультиплексування у стеку протоколів TCP/IP, що дозволяє станції

коректно обслуговувати декілька конкурентних сполучень з віддаленою станцією (або станціями),

застосовуючи різні порти TCP або UDP. Термін “перевантаження” (overloading), який вживають у

цьому випадку, стосується до ситуації, коли в пулі більше нема вільних IP-адрес і порти

призначаються для того, щоб розрізнити два різні сполучення. Для цього можна використати біля

4000 номерів портів, наприклад, від 1024 до 4999.

NAPT широко впроваджується у роутерах малих офісів і домашніх офісів (Small Office/Home

Office – SOHO), уможливлюючи спільний доступ д Internet для цілої LAN через одну IP-адресу.

Оскільки NAPT відображає індивідуальні порти, то неможливо здійснити зворотнє відображення для

вхідних сполучень для інших портів, доки не сконфігурована інша таблиця. Таблиця віртуального

сервера дозволяє забезпечити доступ до сервера у приватно адресованій “демілітаризованій зоні”

(DeMilitarized Zone – DMZ)

з Internet через публічну адресу роутера NAPT (для одного сервера на

порт). У дійсності це обмежена форма статичної NAT, яка застосовується для вхідних запитів.

Динамічна NAT з перевантаженням працює так:

 Внутрішня мережа (домен-відгалуження) має немаршрутовані (незареєстровані) IP-адреси.

 Організація має NAT-роутер з унікальною IP-адресою.

 Станція з домену-відгалуження потребує комунікуватися зі станцією зовні мережі, наприклад, з

Web-сервером.

 Роутер приймає пакет від станції з домену-відгалуження.

 Роутер зберігає немаршрутовану IP-адресу і номер порта в таблиці трансляції IP-адрес. Далі

роутер замінює немаршрутовану IP-адресу станції унікальною IP-адресою роутера, замінює

номер порта станції-надавача на номер порта, який узгоджується, коли роутер записує адресну

“Демілітаризована зона” – жаргонна назва спеціальної підмережі, захищеної від Internet “пожежною

стінкою” (firewall), у якій розташовані захищені сервери організації.

2. Мережі IP.

_______________________________________________________________________________________

___________________________________________________________________________________________________

М. Павликевич. Телекомунікаційні мережі. Навчальний посібник для студентів спеціальності

"Інформаційні мережі зв'язку, 2009.

інформацію станції-надавача у таблицю трансляції IP-адрес. Тепер ця таблиця відображає

внутрішню локальну адресу станції і номер порта на IP-адресу роутера.

 Коли пакет-відповідь повертається від станції-призначення. То роутер перевіряє порт

призначення в пакеті і визначає через таблицю трансляції адрес, якій станції ваін належить. Далі

роутер замінює адресу призначення і номер порта тими, які зберігалися в таблиці і висилає пакет

до станції.

Процес повторюється протягом тривання сполучення, при чому адреса станції-джерела і

номер порта джерела зберігаються без змін. Таймер оновлюється кожного разу, коли роутер здійснює

доступ до відповідного входу таблиці. Якщо ж доступ до цього входу не наступив перед вичерпанням

таймера, то цей вхід видаляється з таблиці трансляції адрес.

На рис. 4.5 показано приклад NAT з перевантаженням. Нехай приватні станції 10.1.1.13 і

10.1.1.27 обидві висилають пакети від джерельного порта 1108. Роутер NAPT може транслювати їх в

одну публічну IP-адресу 206.245.160.1 і два різні джерельні порти, наприклад, 61001 і 61002. Трафік

відповіді, прийнятий портом 61001 маршрутується назад до 10.1.1.13:1108, тоді як трафік порта 61002

маршрутується назад до 10.1.1.27:1108.

Рис. 4.5 . Приклад динамічної NAT з перевантаженням.

Таблиця трансляції адрес може мати, наприклад, такий вигляд:

Станція

джерело

адреса

станції-

джерела

Номер порта

станції-

джерела

адреса

роутера NAT

Номер порта,

призначений

NAT-роутером

192.168.32.10

400

215.37.32.203

192.168.32.13

215.37.32.203

192.168.32.15

3750

215.37.32.203

192.168.32.18

206

215.37.32.203

Слід відзначити, що в домені-відгалуженні можуть бути окремі станції, які мають внутрішні

глобальні адреси. Можна створити список IP-адрес, який інформує роутер, які станції з мережі

потребують NAT. Усі інші IP-адреси пересилаються без трансляції.

Кількість одночасних трансляцій, які може підтримувати роутер, визначається головним

чином обсягом DRAM (динамічної пам’яті з випадковим доступом). Оскільки типовий вхід в таблиці

трансляції IP-адрес займає біля 160 байтів, то роутер з 4 МБ DRAM може обробляти понад 26000

одночасних трансляцій, що цілком достатньо для більшості застосувань.

2. Мережі IP.

_______________________________________________________________________________________

___________________________________________________________________________________________________

М. Павликевич. Телекомунікаційні мережі. Навчальний посібник для студентів спеціальності

"Інформаційні мережі зв'язку, 2009.

4.6. Приклади використання NAT для вирішення проблем в

IP-мережах

4.6.1. NAT і міграція між надавачами Internet-послуг

Одним зі суттєвих недоліків CIDR є ускладнення зміни надавача послуг Internet. Якщо

наявний блок адрес, виділений ISP1, і бажано змінити його на ISP2, то необхідно повернути ISP1

виділені ним адреси і отримати новий діапазон адрес від ISP2. Ця операція може бути досить

коштовною для організації.

Припустимо, що організація є абонентом ISP1, який має адресний блок 205.113.48.0/20, і цей

ISP виділив для організації адресний простір 205.113.50.0/23. Якщо організація вирішила змінити

надавача послуг на ISP2, який має блок CIDR 207.36.64.0/19, то цей ISP може виділити організації

новий адресний простір 207.36.76.0/23. замість перенумерації внутрішньої мережі можна використати

NAT (рис. 4.6). Адресний простір 205.113.50.0/23 повернений ISP1, але можна далі використовувати

ці адреси як внутрішні локальні. Хоч це адреси з публічного адресного простору, однак організація

не може далі використовувати їх для доступу до Internet. Натомість організація вживає адреси

207.36.76.0/23 від ISP2 як внутрішні глобальні (IG) адреси і відображає IL-адреси на ці IG-адреси.

Рис. 4.6. Організація має внутрішній локальний адресний простір, який належить ISP1, але є

абонентом ISP2. Вона вживає NAT для трансляції IL-адрес у IG-адреси, виділені з CIDR-блоку ISP2.

Небезпека при використанні описаної схеми полягає в тому, що будь-яка зі внутрішніх

локальних адрес може помилково з’явитися у публічному Internet. Якщо це трапиться, то вказана

адреса конфліктуватиме з ISP1, який легально використовує свої адреси. Якщо ISP2 вживає старанне

фільтрування маршрутів, тоді така помилка не може з’явитися в Internet. Але ніколи не можна робити

припущення, що зовнішній партнер автономної системи здійснює фільтрування правильно. Тому слід

максимально дбати про те, щоб всі IL-адреси транслювалися перед появою пакетів в ISP2.

Іншою проблемою, пов’язаною з описаною схемою, є те, що ISP1 ймовірно знову виділить

діапазон 205.113.50.0/23 іншому замовнику. Тоді цей замовник недосяжний для організації.

Припустимо, наприклад, що станція в мережі організації хоче вислати пакет до newbie@ISP1.com .

DNS транслює адресу цього призначення як 205.113.50.100, так що станція вживає цю адресу. Однак

ця адреса інтерпретується як належна до мережі даної організації та або невірно маршрутується, або

буде визнана недосяжною.

Висновок з описаного полягає в тому, що така схема міграції є придатна як тимчасова для

зменшення ускладнень з негайною зміною адрес. Однак слід поступово здійснити переадресацію з

використанням приватного адресного простору.

2. Мережі IP.

_______________________________________________________________________________________

___________________________________________________________________________________________________

М. Павликевич. Телекомунікаційні мережі. Навчальний посібник для студентів спеціальності

"Інформаційні мережі зв'язку, 2009.

4.6.2. NAT і автономні системи з багатьма одночасними

під’єднаннями

Інший недолік CIDR полягає в тому, що одночасне під’єднання (multihoming) до різних надавачів

послуг ускладнене. Рис4.7 показує проблему.

Рис. 4.7. CIDR-блок абонента є підмножиною CIDR-блока ISP1, тому обидва ISP1 та ISP2 мусять

оголошувати більш конкретні агрегати адрес.

Абонент під’єднаний водночас до ISP1 та ISP2 і має блок CIDR, який є підмножиною блоку ISP1. Для

встановлення коректної комунікації з Internet, обидва надавачі послуг, ISP1 та ISP2, повинні

оголосити адресний простір абонента 205.113.50.0/23. Якщо ISP2 не оголосить цієї адреси, то весь

вхідний трафік абонента буде пересилатися через ISP1. Коли ж ISP2 оголосить 205.113.50.0/23, тоді

як ISP1 оголошує тільки власний блок CIDR, весь вхідний трафік абонента узгоджує більш

конкретний маршрут і пересилається через ISP2. Це викликає певні проблеми:

 ISP1 мусить «заткнути дірку» у своєму CIDR-блоці, що ймовірно означає модифікацію

фільтрів і політик багатьох роутерів.

 ISP2 мусить оголосити частину адресного простору конкурента, що обидва OSP ймовірно

будуть вважати небажаним.

 Оголошення більш конкретного адресного простору абонента становить незначне зменшення

ефективності CIDR в регулюванні розміру таблиць роутінгу Internet.

 Деякі національні надавачі послуг не сприймають префікси, довші від /19, а тоді маршрут

абонента через ISP2 буде невідомий для значної частини Internet.

Рис. 4.8 показує шляхи, якими NAT може допомогти вирішити проблему CIDR у середовищі з

одночасним під’єднанням до кількох ISP. Трансляція сконфігурована на роутері, сполученому з ISP2,

і пул IG-адрес – це блок CIDR, призначений ISP2. ISP2 більше не оголошує адресний простір ISP1,

так що ISP1 більше не мусить оголошувати більш конкретний адресний агрегат абонента. Станції з

організації абонента можуть отримувати доступ до Internet або вибираючи найближчий граничний

роутер, або певною встановленою політикою. IL-адреса пакетів станції може бути тією самою

незалежно від того, чи роутер пересилає його; однак, якщо пакети висилаються до ISP2, то адреса

транслюється. Щодо бачення з перспективи Internet, то адреси джерел пакетів від абонента

змінюються відповідно до того, куди ISP пересилає пакети.