logo

TechCodeview

Verkko-osoitteiden käännös (NAT)

Internetiin pääsyyn tarvitaan yksi julkinen IP-osoite, mutta voimme käyttää yksityistä IP-osoitetta yksityisessä verkossamme. NAT:n ideana on sallia useiden laitteiden pääsy Internetiin yhden julkisen osoitteen kautta. Tämän saavuttamiseksi yksityinen IP-osoite on muutettava julkiseksi IP-osoitteeksi. Verkko-osoitteiden käännös (NAT) on prosessi, jossa yksi tai useampi paikallinen IP-osoite käännetään yhdeksi tai useammaksi yleiseksi IP-osoitteeksi ja päinvastoin Internet-yhteyden tarjoamiseksi paikallisille koneille. Se myös kääntää porttinumerot, eli peittää isännän portin numeron toisella porttinumerolla paketissa, joka reititetään määränpäähän. Sitten se tekee vastaavat IP-osoitteen ja portin numeron merkinnät NAT-taulukkoon. NAT toimii yleensä reitittimessä tai palomuurissa.

Verkko-osoitteiden käännös (NAT) toimii –
Yleensä rajareititin on konfiguroitu NAT:lle eli reitittimelle, jolla on yksi liitäntä paikallisessa (sisäisessä) verkossa ja yksi liitäntä globaalissa (ulkopuolisessa) verkossa. Kun paketti kulkee paikallisen (sisäisen) verkon ulkopuolella, NAT muuntaa paikallisen (yksityisen) IP-osoitteen globaaliksi (julkiseksi) IP-osoitteeksi. Kun paketti saapuu paikalliseen verkkoon, globaali (julkinen) IP-osoite muunnetaan paikalliseksi (yksityiseksi) IP-osoitteeksi.

Jos NAT-osoitteet loppuvat, eli konfiguroidussa poolissa ei ole jäljellä osoitetta, paketit hylätään ja ICMP (Internet Control Message Protocol) -isäntäpaketti, jota ei voida saavuttaa, lähetetään kohteeseen.



Miksi porttinumerot peitetään?
Oletetaan, että verkossa kaksi isäntää A ja B on yhdistetty. Nyt molemmat pyytävät samaa kohdetta, samaan porttinumeroon, vaikkapa 1000, isäntäpuolella samaan aikaan. Jos NAT kääntää vain IP-osoitteita, silloin kun niiden paketit saapuvat NAT:iin, verkon julkinen IP-osoite peittäisi heidän kummankin IP-osoitteensa ja lähetettäisiin määränpäähän. Kohde lähettää vastaukset reitittimen julkiseen IP-osoitteeseen. Siten vastauksen saatuaan NATille jää epäselväksi, mikä vastaus kuuluu mille isännälle (koska sekä A:n että B:n lähdeporttinumerot ovat samat). Siksi tällaisen ongelman välttämiseksi NAT peittää myös lähdeportin numeron ja tekee merkinnän NAT-taulukkoon.

NAT-sisä- ja ulkoosoitteet -
Inside viittaa osoitteisiin, jotka on käännettävä. Ulkopuolella viittaa osoitteisiin, jotka eivät ole organisaation hallinnassa. Nämä ovat verkko-osoitteita, joissa osoitteet käännetään.

    Inside paikallinen osoite – IP-osoite, joka on määritetty Inside (paikallisessa) verkossa olevalle isännälle. Osoite ei todennäköisesti ole palveluntarjoajan antama IP-osoite, eli nämä ovat yksityisiä IP-osoitteita. Tämä on sisäinen isäntä sisäverkosta katsottuna.
    Sisäinen globaali osoite – IP-osoite, joka edustaa yhtä tai useampaa sisäistä paikallista IP-osoitetta ulkomaailmalle. Tämä on sisäinen isäntä ulkopuolisesta verkosta katsottuna.
    Ulkoinen paikallinen osoite – Tämä on kohdeisännän todellinen IP-osoite paikallisverkossa kääntämisen jälkeen.
    Ulkopuolinen globaali osoite – Tämä on ulkoinen isäntä ulkopuolisesta verkosta katsottuna. Se on ulkoisen kohdeisännän IP-osoite ennen käännöstä.

Verkko-osoitteiden käännöstyypit (NAT)
NAT:n määrittämiseen on kolme tapaa:

    Staattinen NAT – Tässä yksi rekisteröimätön (yksityinen) IP-osoite yhdistetään laillisesti rekisteröidylle (julkiselle) IP-osoitteelle, eli yksi-yhteen kartoitetaan paikallisten ja globaalien osoitteiden välillä. Tätä käytetään yleensä web-hostingissa. Näitä ei käytetä organisaatioissa, koska monet laitteet tarvitsevat Internet-yhteyden ja Internet-yhteyden tarjoamiseen tarvitaan julkinen IP-osoite.

    Oletetaan, että jos on 3000 laitetta, jotka tarvitsevat pääsyn Internetiin, organisaation on ostettava 3000 julkista osoitetta, jotka ovat erittäin kalliita.
    Dynaaminen NAT – Tämän tyyppisessä NAT:ssa rekisteröimätön IP-osoite muunnetaan rekisteröidyksi (julkiseksi) IP-osoitteeksi julkisten IP-osoitteiden joukosta. Jos poolin IP-osoite ei ole vapaa, paketti hylätään, koska vain kiinteä määrä yksityisiä IP-osoitteita voidaan kääntää julkisiksi osoitteiksi.

    Oletetaan, että jos on 2 julkista IP-osoitetta, vain 2 yksityistä IP-osoitetta voidaan kääntää kerrallaan. Jos kolmas yksityinen IP-osoite haluaa päästä Internetiin, paketti pudotetaan, joten monet yksityiset IP-osoitteet kartoitetaan julkisten IP-osoitteiden joukkoon. NAT:ia käytetään, kun Internetiä käyttävien käyttäjien määrä on kiinteä. Tämä on myös erittäin kallista, koska organisaation on ostettava monia globaaleja IP-osoitteita poolin muodostamiseksi.
    Port Address Translation (PAT) – Tätä kutsutaan myös NAT-ylikuormitukseksi. Tässä monet paikalliset (yksityiset) IP-osoitteet voidaan kääntää yhdeksi rekisteröidyksi IP-osoitteeksi. Porttinumeroita käytetään erottamaan liikenne, eli mikä liikenne kuuluu mihinkin IP-osoitteeseen. Tätä käytetään useimmin, koska se on kustannustehokasta, koska tuhannet käyttäjät voivat olla yhteydessä Internetiin käyttämällä vain yhtä todellista globaalia (julkista) IP-osoitetta.

NAT:n edut -

  • NAT säilyttää laillisesti rekisteröidyt IP-osoitteet.
  • Se tarjoaa yksityisyyttä, koska laitteen IP-osoite, joka lähettää ja vastaanottaa liikennettä, piilotetaan.
  • Poistaa osoitteiden uudelleennumeroinnin verkon kehittyessä.

NAT:n haittapuoli -

  • Käännös johtaa vaihtopolun viiveisiin.
  • Tietyt sovellukset eivät toimi, kun NAT on käytössä.
  • Monimutkaistaa tunnelointiprotokollia, kuten IPsec.
  • Lisäksi reitittimen, joka on verkkokerroksen laite, ei pitäisi peukaloida porttinumeroita (kuljetuskerros), mutta sen on tehtävä niin NAT:n vuoksi.