Превођење мрежних адреса (НАТ): Увод

by
Tweet
Share
Share
Pin

Prevođenje mrežnih adresa (NAT) je efikasan pristup koji omogućava pojedincima i firmama da uspostave sigurnu, ekonomičnu i jednostavnu vezu sa internetom.

NAT pruža ne samo zaštitu, već i prilagodljivost, mogućnost širenja i brzinu komunikacije sa webom.

Upotreba NAT-a takođe doprinosi očuvanju javnih IP adresa.

Ali šta tačno predstavlja NAT i zbog čega bi trebalo da ga razumete ili primenjujete?

Ovaj tekst će odgovoriti na to pitanje.

Krenimo od definisanja pojma NAT.

Šta je prevođenje mrežnih adresa (NAT)?

Prevođenje mrežnih adresa (NAT) vrši preslikavanje skupa IP adresa u drugi skup, menjajući informacije o mrežnoj adresi tokom prenosa.

Drugim rečima, NAT dozvoljava da jedna (Internet Protokol) IP adresa predstavlja jedan ili više računara. To znači da više uređaja deli istu javnu IP adresu na mreži, čak i kada imaju privatne IP adrese unutar te iste mreže.

Prvobitno, ova metoda se koristila da se izbegne potreba za dodeljivanjem nove IP adrese svakom pojedinačnom hostu kada bi se promenio upstream ISP (Internet Service Provider) ili kada bi se mreža premestila. Međutim, IP adresa mreže ostaje nepromenjena.

Zanimljivo je da NAT gateway može obezbediti jednu rutabilnu IP adresu koju cela privatna mreža može lako koristiti. Pošto NAT menja IP adresne podatke tokom prenosa, postoje različite implementacije NAT-a koje se različito ponašaju u različitim scenarijima adresiranja, što dalje utiče na mrežni saobraćaj.

Kako NAT funkcioniše?

U NAT-u, mrežni uređaj poput NAT firewall-a ili rutera, dodeljuje javnu IP adresu jednom računaru ili grupi računara unutar privatne mreže. Na ovaj način, NAT omogućava jednom uređaju da posreduje između javne, privatne i lokalne mreže.

NAT može sačuvati IP adrese time što omogućava privatnim IP adresama da budu online koristeći neregistrovane adrese. Pre nego što se paketi podataka proslede između povezanih mreža, NAT prevodi lokalne, privatne mrežne adrese u jedinstvene, globalne i validne adrese.

Sa NAT konfiguracijama, samo jedna IP adresa je vidljiva spoljašnjem svetu, iako ona predstavlja celu mrežu. Kao rezultat toga, cela interna mreža može biti sakrivena, nudeći time veću sigurnost i privatnost. NAT implementacije su najefikasnije u okruženjima sa udaljenim pristupom.

Kako NAT radi?

Prevođenje mrežnih adresa omogućava uređaju, kao što je NAT ruter ili firewall, da deluje kao posrednik između interne mreže (lokalne mreže) i eksternih mreža (interneta). Ovo dozvoljava celoj grupi uređaja da koristi istu IP adresu prilikom komunikacije sa spoljnim mrežama.

NAT se ponaša kao recepcionar u firmi, odlučujući koje posetioce ili pozive će proslediti, zadržati ili staviti na čekanje, na osnovu specifičnih instrukcija. NAT funkcioniše slično. Svi zahtevi stižu na javni port i IP adresu. Ovde, NAT instrukcije odlučuju gde zahtev treba da bude prosleđen, istovremeno skrivajući privatnu IP adresu odredišta.

NAT uspostavlja prolaz između dve različite lokalne mreže – eksterne i interne. Svi sistemi unutar mreže imaće IP adrese koje nisu rutabilne na spoljnoj mreži. Štaviše, neke od eksterno validnih IP adresa biće dodeljene gateway-u, što omogućava da odlazni saobraćaj izgleda kao da dolazi sa validne spoljne IP adrese.

Nakon toga, koristi dolazni saobraćaj i prosleđuje ga do odgovarajućeg internog sistema. Na taj način se uspostavlja bezbednost. S obzirom da dolazni i odlazni zahtevi moraju proći kroz proces prevođenja, ovo pruža odličan način da se validira dolazni saobraćaj i upari sa odlaznim tokovima.

Primer NAT procesa

Evo primera kako NAT radi u stvarnom okruženju.

Korisnik poveže svoje uređaje na kućnu Wi-Fi mrežu. Kućni ruter će dodeliti privatnu IP adresu uređaju, koja se može koristiti samo unutar te mreže.

Dakle, kada korisnik pokuša da učita neku web stranicu, adresa će zatražiti odredišnu web stranicu putem rutera. Sada će NAT ruter promeniti izvornu adresu zahteva sa privatne IP adrese korisnikovog uređaja u javnu IP adresu njegove mreže. NAT tabela će sačuvati ovu translaciju, gde će gateway tražiti da utvrdi da li paket podataka ispunjava uslov prevođenja.

Štaviše, server kojem korisnik pokušava da pristupi vratiće traženi paket podataka na javnu adresu njegove mreže. Zatim, ruter će izmeniti odredišnu adresu u privatnu IP adresu uređaja dok usmerava pakete podataka ka korisnikovom uređaju.

Vrste NAT-a

Postoji više vrsta NAT-a koje možete koristiti za različite svrhe.

#1. SNAT

Statički NAT (SNAT) je tip NAT-a koji prevodi privatnu IP adresu u javnu IP adresu. On dosledno koristi istu javnu IP adresu svaki put kada obavlja prevod.

SNAT može mapirati neregistrovanu IP adresu uz pomoć NAT-a jedan-na-jedan, kako bi se uskladila sa registrovanom IP adresom. To znači da će svi uređaji na ovoj mreži imati istu javnu adresu. U ovom slučaju, samo dve stvari se menjaju u mrežnoj adresi – zaglavlje i IP adresa.

Korisno je za uređaje kojima korisnici moraju da pristupe sa spoljne mreže. Takođe se koristi kada se povezuju dve različite IP mreže sa nekompatibilnim adresama. Pored toga, koristi se u web hostingu. Pojedinci i manje organizacije obično koriste SNAT sa manjim brojem uređaja kako bi troškovi bili minimalni.

#2. DNAT

Dinamički NAT (DNAT) je tip NAT-a koji preslikava privatnu IP adresu u skup javnih IP adresa. Za razliku od SNAT-a, on ne koristi istu IP adresu, već drugu svaki put kada obavlja prevođenje, ali koristi vezu jedan-na-jedan kao i SNAT.

U ovom slučaju, DNAT firewall ili ruter ima na raspolaganju skup javnih, registrovanih IP adresa. Dakle, kada DNAT prevede mrežnu adresu iz privatne u javnu, on omogućava ruteru da odabere bilo koju dostupnu javnu IP adresu iz ovog skupa. Zatim počinje da mapira neregistrovanu u registrovanu IP adresu.

Shodno tome, DNAT omogućava uređaju da ima različite IP adrese za svaki prevod. To implicira da ne možete znati koja je globalna IP adresa mapirana na privatnu adresu. Ovo je efikasno rešenje jer omogućava povezivanje više uređaja na mrežu.

Međutim, može biti skupo jer je potrebno ulaganje u javni IP pool. Pored toga, broj paketa podataka koji se mogu preneti je ograničen. Možete slati i primati samo pakete podataka koji su jednaki ukupnom broju javnih IP adresa dostupnih u vašem pool-u.

Pogodan je za velike organizacije sa nekoliko internih mreža. Takođe je odličan ako imate fiksni broj korisnika koji žele pristup internetu.

#3. PAT

Prevođenje adresom porta (PAT), takođe nazvano NAT preopterećenje, je situacija gde svaki interni uređaj koristi zajedničku javnu IP adresu. Međutim, svakoj privatnoj IP adresi biće dodeljen drugačiji port.

U PAT-u, različiti portovi se koriste za mapiranje različitih lokalnih, neregistrovanih i privatnih IP adresa na samo jednu registrovanu IP adresu. Takođe se razlikuje koji mrežni saobraćaj odgovara kojoj IP adresi.

PAT je tip NAT-a gde će paketi podataka imati izmenjene izvorne adrese kada putuju iz privatne u javnu mrežu. Takođe će imati izmenjenu odredišnu adresu kada se vraćaju sa javne na privatnu mrežu.

Štaviše, paketi podataka će imati izmenjene uzajamne brojeve portova kako bi se osiguralo da je prevod jasan. Ova kombinacija izmenjene IP adrese i broja porta mapira se korišćenjem registrovane privatne IP adrese.

Mnogi smatraju da je PAT isplativiji od NAT-a. Razlog je što se mnogi korisnici mogu povezati na web koristeći samo jednu javnu IP adresu. Dakle, bez obzira da li ste velika, mala ili srednja organizacija, možete ga koristiti.

Pored SNAT-a, DNAT-a i PAT-a, možete naići i na RNAT i preklapajući NAT.

  • RNAT vam omogućava da se povežete na svoju mrežu koristeći javni internet ili intranet.
  • Preklapanje NAT-a se dešava kada se mreže dve organizacije koje koriste RFC 1918 IP-ove spoje. To se takođe može dogoditi kada se registrovane IP adrese dodeljuju na nekoliko uređaja ili koriste u više internih mreža. Ovde, preklapanje NAT-a povezuje mreže bez ponovnog adresiranja svakog uređaja.

Zašto je NAT važan?

Uređaju ili mrežnom sistemu je potrebna IP adresa, jedinstveni skup brojeva razdvojenih tačkama, da bi se uspostavila komunikacija sa webom. Ovaj broj se koristi za identifikaciju i lociranje mrežnog uređaja, omogućavajući korisnicima interakciju sa webom.

IP adrese su dva tipa – IPv4 i IPv6. U prvim danima interneta, stvoreno je samo oko 4,3 milijarde IPv4 adresa. Međutim, nije svaki mogao biti dodeljen uređaju za uspostavljanje komunikacije. Neki su ostavljeni za testiranje, vojsku i emitovanje, dok je preostalih 3 milijarde IP-ova bilo dostupno za komunikaciju.

Godine 2019, RIPE NCC je dodelio poslednje IPv4 adrese preostale iz dostupnog skupa, i time je ponestalo IPv4 adresa. IPv6 adresiranje je uvedeno kako bi se prevazišao ovaj problem. IPv6 ponovo stvara IP adresiranje i pruža više mogućnosti za dodelu IP adresa. Međutim, bilo je potrebno mnogo godina da se promeni ili implementira sistem umrežavanja.

U međuvremenu, Cisco je uveo NAT, koji je sada široko rasprostranjen.

NAT je postao vredan i popularan način očuvanja globalnog adresnog prostora, posebno kada su IPv4 adrese iscrpljene. NAT se takođe koristi za skrivanje opsega IP adresa privatne mreže radi ekonomičnosti i bezbednosti.

Prednosti NAT-a

Očuvanje IP adresa

NAT pomaže u očuvanju legalno registrovanih IP adresa i takođe sprečava njihovo iscrpljivanje. Imajući u vidu sve veći broj korisnika interneta širom sveta, ovo je odlična inicijativa ka tome da web postane pristupačan prostor za sve.

Bezbednost

Uz pomoć NAT-a, možete pristupiti webu uz poboljšanu bezbednost i privatnost jer on može sakriti IP vašeg uređaja od javne mreže, čak i dok su paketi podataka u prenosu. Ograničavanje NAT brzine vam takođe omogućava da ograničite maksimalan broj NAT operacija koje se istovremeno odvijaju na vašem ruteru.

Na ovaj način dobijate bolju kontrolu nad upotrebom NAT adrese i možete minimizirati efekte virusa, crva, napada uskraćivanjem usluge (DoS) itd. Implementacija dinamičkog NAT-a (DNAT) će automatski stvoriti firewall između interneta i interne mreže. Pored toga, neki NAT ruteri mogu ponuditi sigurnosne funkcije kao što su filtriranje saobraćaja i logovanje.

Višestruke veze

Uspostavljanje više internet konekcija pomaže u održavanju pouzdanosti mreže i smanjuje mogućnost gašenja tokom prekida veze. Takođe doprinosi balansiranju opterećenja smanjenjem broja uređaja koji koriste jednu vezu.

Pored toga, višedomne mreže se obično povezuju sa nekoliko ISP-ova koji organizaciji dodeljuju jednu ili više IP adresa. Osim toga, ruteri mogu koristiti NAT za rutiranje mreža sa različitim NAT protokolima.

Štaviše, višedomna mreža komunicira tako što omogućava ruteru da iskoristi deo TCP ili IP protokola, Border Gateway Protocol (BGP). Slično tome, sajtovi poddomena dele uz pomoć internog BGP-a (IBGP) dok ruteri koriste eksterni BGP (EBGP) za interakciju. U slučaju da veza ne uspe, multi-homing će preusmeriti podatke preko drugog rutera.

Brzina

NAT je transparentniji za izvorne i odredišne računare od proxy servera. Ovo omogućava direktno upravljanje brzinom. Proxy serveri takođe obično rade na četvrtom sloju ili transportnom sloju OSI modela ili čak i više od toga. To ih čini sporijim od NAT-a, koji se nalazi na trećem ili mrežnom sloju.

Prilagodljivost

Vaše potrebe će zahtevati više IP adresa za vaše korisnike i uređaje kada vaše potrebe porastu. Stoga, možete koristiti NAT umesto da tražite više IP adresa od IANA-e. A kada koristite NAT sa Dynamic Host Configuration Protocol (DHCP), skaliranje će postati lakše.

Razlog je taj što NAT i DHCP dobro funkcionišu zajedno prilikom dodele neregistrovanih IP adresa za poddomen sa dostupne liste, prema vašim zahtevima. Na ovaj način, možete proširiti opseg dostupnih IP adresa, a DHCP može brzo da konfiguriše i oslobodi prostor za više mrežnih računara.

Fleksibilnost i jednostavnost

NAT nudi fleksibilnost prilikom podešavanja i uspostavljanja veza. Možete ga primeniti u bežičnoj, javnoj LAN mreži. Ponekad, pomoću statičkog NAT-a (SNAT) i mapiranja ulaza, možete omogućiti spoljnim uređajima da uspostave veze sa uređajima na poddomenu.

Pored toga, NAT smanjuje kompleksnost i omogućava jednostavne internet konekcije jer ne zahteva da prenumerišete IP adrese nakon promene ili spajanja mreže. NAT vam takođe omogućava da izgradite virtuelni host unutar vaše interne mreže koji koordinira TCP balansiranje opterećenja.

Ograničenja NAT-a

Neka od ograničenja NAT-a su:

  • Troši resurse: NAT može da troši značajnu procesorsku snagu i memorijske resurse. To je zato što prevodi sve IPv4 adrese za vaše dolazne i odlazne IPv4 datagrame, plus čuva sve detalje prevođenja u memoriji.
  • Funkcionalnost: Omogućavanje NAT-a može dovesti do smanjene funkcionalnosti nekih tehnologija i aplikacija.
  • Komplikacije tuneliranja: NAT može da zakomplikuje protokole za tuneliranje. Za ovo možete koristiti IPsec za bezbedno prevođenje mrežnih adresa.
  • Problemi sa slojevima: Kada ruter radi kao NAT uređaj, može se mešati sa slojem-4 ili transportnim slojem, po pitanju brojeva portova, jer je on predviđen za sloj-3 ili mrežni sloj.
  • Kašnjenja: Kašnjenja u putanji mogu se desiti tokom prevođenja.

Neki uobičajeni termini u NAT-u

  • Izvorna adresa: To je IP adresa inicijalnog hosta.
  • Izvorni port: To je broj TCP/UDP porta koji dodeljuje početni host.
  • Odredišna adresa: To je IP adresa primaoca.
  • Odredišni port: To je TCP ili UDP port koji inicirajući host zahteva od primaoca da otvori.
  • Unutrašnja lokalna adresa: to je privatna IP adresa dodeljena hostu na lokalnoj (unutrašnjoj) mreži. Pružalac usluga je ne dodeljuje. To je unutrašnji host za unutrašnju mrežu.
  • Unutrašnja globalna adresa: To je IP adresa koja predstavlja jednu ili više lokalnih IP adresa. To je unutrašnji host za spoljnu/eksternu mrežu.
  • Spoljna lokalna adresa: Prava IP adresa odredišnog hosta nalazi se u lokalnoj mreži kada se prevod završi.
  • Spoljna globalna adresa: IP adresa spoljnog odredišnog hosta pre prevoda. To je spoljni host za spoljnu/eksternu mrežu.
  • Poddomen: To je neregistrovana privatna IP adresa koja se sastoji od:
    • Van lokalnih adresa koje NAT ruteri primenjuju, i
    • Unutar lokalnih adresa, lokalna mreža koristi
  • NAT tabela: NAT ponovo dodeljuje brojeve portova i IP adrese, i prati ih pomoću NAT tabele prevođenja.

Pretpostavimo da je ruter primio paket podataka sa lokalnog uređaja kojem je dodeljena javna IP adresa. Ruter će sada promeniti IP adresu izvornog uređaja, omogućavajući mu da koristi sopstvenu IP adresu. Zatim menja broj porta izvora kako bi obezbedio da ima informaciju o tome gde primljeni paketi moraju biti isporučeni. Ovo ponovno dodeljivanje IP adresa se beleži u NAT tabeli translacije.

Zaključak

Sa sve većim brojem korisnika na internetu i sigurnosnim problemima koji se šire širom sveta, postoji potreba za sigurnijim i efikasnijim načinom povezivanja. NAT ima za cilj da to uradi. Pomaže u očuvanju javnih IP adresa, istovremeno pružajući prednosti sigurnosti, brzine, fleksibilnosti i skalabilnosti tokom povezivanja na internet.