Трансляция сетевых адресов (Л 9/1-6).
· 31 января 2011 года последние два незарезервированные IANA блока адресов были выделены APNIC в соответствии со стандартными процедурами выделения адресов региональным интернет-регистраторам. В соответствии с правилами IANA приступила к распределению каждого из этих блоков каждому из региональных интернет-регистраторов после пресс-конференции 3 февраля 2011 года, что привело к окончанию запаса адресов IANA.
IANA (от англ. Internet Assigned Numbers Authority — «Администрация адресного пространства Интернет») — американская некоммерческая организация, управляющая пространствами IP-адресов,Vдоменов верхнего уровня, а также регистрирующая типы данных MIME и параметры прочих протоколов Интернета. Находится под контролем ICANN. IANA отвечает за распределение всех зарезервированных имён и номеров, которые используются в протоколах, определённых в RFC. IANA делегирует свои полномочия по распределению IP-адресов региональным регистраторам в виде диапазонов класса A («/8»). Региональные регистраторы, в свою очередь, делегируют более мелкие диапазоны интернет-провайдерам. Также выдаются IPv6-адреса, но в данном случае разделение полномочий небольшое, так как предложение на данный момент значительно превышает спрос.
· APNIC является первым региональным интернет-регистратором, который прекратил свободно выделять IPv4 адреса. (У Китая закончились адреса) Это произошло 15 апреля 2011 года. С этой даты начался период, когда уже не каждый локальный интернет-регистратор (LIR) может получить IPv4-адреса в нужном ему количестве. Как следствие этого истощения, требуемые многими приложениями соединения точка-точка не будут всегда доступны в IPv4-Интернете до тех пор, как IPv6 будет полностью внедрён.
· Региональный интернет-регистратор (англ. Regional Internet Registry) — организация, занимающаяся вопросами адресации и маршрутизации в сети Интернет.
Возникший в наше время дефицит IP-адресов частично решается с помощью протокола трансляции сетевых адресов.
¢ NAT (Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.
¢ Статический NAT — Отображение незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.
¢ Динамический NAT — Отображает незарегистрированный IP-адрес на зарегистрированный адрес от группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.
¢ Перегруженный NAT (NAPT, NAT Overload, PAT, маскарадинг) — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. Известен также как PAT (Port Address Translation). При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.
В своей основе NAT позволяет одному устройству, такому, как маршрутизатор, действовать в качестве посредника между Internet и локальной (частной) сетью. Это значит, что только один IP-адрес требуется для подключения к Internet (или к любой внешней сети) целой группы компьютеров. Заметим, что преодоление ограничений адресации является не единственным назначением NAT. Дополнительно с помощью этого протокола решаются также вопросы безопасности и администрирования.
Для использования NAT маршрутизатор, подсоединяющий LAN к Internet, имеет два IP-адреса (для простоты мы возьмем двухпортовый маршрутизатор). Один (внутренний) со стороны LAN, который выбирается из зарезервированного RFC 1918 адресного пространства, и второй (внешний) -- со стороны Internet, предоставляемый оператором услуг Internet. Теперь продолжим рассмотрение нашего примера. Клиент посылает пакет узлу с адресом someserver.com. В заголовке пакета содержатся IP-адрес и номер порта источника наряду с IP-адресом и номером порта получателя. Когда пакет прибывает на маршрутизатор, тот модифицирует заголовок таким образом, что в Internet отправляется пакет, содержащий внешний IP-адрес маршрутизатора и номер порта источника, присвоенный из набора доступных адресов, имеющихся в таблице маршрутизатора, и те же IP-адрес и номер порта получателя, сгенерированные компьютером клиента. Далее маршрутизатор добавит в свою таблицу запись, которая приводит в соответствие внутренний адрес и номер порта машины клиента номеру порта, присвоенному этой сессии. Когда узел someserver.com посылает ответный пакет маршрутизатору, тот согласно таблице восстанавливает адресные атрибуты клиента и направляет пакет во внутреннюю сеть. Таким образом, NAT может представлять сотни компьютеров внутренней сети только одним внешним IP-адресом. Существует несколько схем отображения внутренних, незарегистрированных адресов на внешние, зарегистрированные. При статической схеме NAT отображает один внутренний адрес на один внешний адрес. Так, IP-адрес 192.168.32.10 будет всегда транслироваться в адрес 213.18.123.110 (рис. 1). Такой метод используется, если необходимо обеспечить доступ к компьютеру клиента извне.
Рис. 1
При динамической трансляции NAT отображает незарегистрированный IP-адрес на один из свободных из группы зарегистрированных адресов. IP-адрес 192.168.32.10 компьютера будет транслироваться на первый доступный адрес из диапазона 213.18.123.100 -- 213.18.123.150 (рис. 2). Динамическая трансляция также действует по схеме "один к одному". Однако, как говорится, возможны варианты.
Рис. 2
Первый из них, при котором множество незарегистрированных адресов отображаются на один зарегистрированный с использованием различных портов, известен как overloading или Port Address Translation (PAT). В этой схеме каждый внутренний сетевой адрес компьютера клиента отображается на один и тот же внешний IP-адрес, но с разными номерами портов (рис. 3).
Может существовать ситуация, когда внутренние адреса, применяемые в частной LAN, являются зарегистрированными IP-адресами в другой сети (overlapping). В таком случае маршрутизатор должен иметь таблицу соответствия этих адресов, чтобы перехватить их и заменить на уникальные зарегистрированные адреса.
Рассмотрим вкратце, как обеспечивается безопасность и выполняются административные функции с использованием NAT.
Реализация динамической схемы NAT автоматически создает брандмауэр между внутренней и внешней сетями или Internet. Динамическая трансляция позволяет осуществлять соединения, инициированные только компьютерами внутренней сети. Это значит, что компьютеры из внешней сети не могут подключаться к рабочей станции LAN, если только последняя не инициирует соединение. Таким образом, компьютеры внутренней сети могут осуществлять Internet-серфинг их и даже загружать файлы с сайтов, но никто извне не может захватить их IP-адреса и использовать последние для соединения с каким-нибудь портом клиентского компьютера. С помощью NAT маршрутизаторы способны выполнять фильтрацию пакетов и регистрацию трафика. Это позволяет контролировать посещаемость Web-узлов сотрудниками организации и тем самым предотвращать просмотр материалов сомнительного содержания.
Заметим, что NAT иногда путают с прокси-сервером. Однако между ними существует различие. NAT прозрачна как для отправителя, так и для получателя: ни один из них не может обнаружить, что имеет дело с третьим устройством. Но прокси-сервер не является прозрачным. Компьютер-источник знает, что он обращается к прокси-серверу и должен быть соответствующим образом сконфигурирован. Компьютер-получатель считает, что прокси-сервер представляет собой источник и имеет дело непосредственно с ним. К тому же прокси-сервер обычно работает на четвертом (транспортном) уровне эталонной модели OSI, тогда как NAT является протоколом третьего (сетевого) уровня.
Протокол NAT не только успешно справляется со своей основной работой - сохранением IP-адресов, но во многих случаях он также значительно упрощает архитектуру внутренних сетей.
Трансляция сетевых адресов:
¢ Позволяет сэкономить IP-адреса
¢ Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.
¢ Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов. По сути, выполняется та же указанная выше трансляция на определённый порт, но возможно подменить внутренний порт официально зарегистрированной службы (например, 80-й порт TCP (HTTP-сервер) на внешний 54055-й).
(Возможен доп. вопрос. Почитайте про IP-соединение )
Дата добавления: 2015-08-09; просмотров: 62 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Медленный старт | | | История создания сети Интернет. |