Im Computernetzwerkanschluss ist Netzadressumrechnung (NAT) der Prozess, IP-Adressinformation in IP Paket-Kopfbällen während unterwegs über ein Verkehrsroutenplanungsgerät zu modifizieren.

Der einfachste Typ von NAT stellt einen einer Übersetzung von IP-Adressen zur Verfügung. RFC 2663 kennzeichnet diesen Typ von NAT als grundlegender NAT. Es wird häufig auch isomorphen NAT genannt. In diesem Typ von NAT müssen nur die IP-Adressen, IP Kopfball-Kontrollsumme und irgendwelche höheren Niveau-Kontrollsummen, die die IP-Adresse einschließen, geändert werden. Der Rest des Pakets kann unberührt verlassen werden (mindestens für die grundlegende TCP/UDP Funktionalität, einige höhere Niveau-Protokolle können weitere Übersetzung brauchen). Grundlegender NATs kann verwendet werden, wenn es eine Voraussetzung gibt, um zwei IP Netze mit dem unvereinbaren Wenden miteinander zu verbinden.

Jedoch ist es üblich, einen kompletten IP Adressraum zu verbergen, gewöhnlich aus privaten IP-Adressen, hinter einer einzelnen IP-Adresse (oder in einigen Fällen eine kleine Gruppe von IP-Adressen) in einem anderen (gewöhnlich Publikum) Adressraum bestehend. Um Zweideutigkeit im Berühren von zurückgegebenen Paketen zu vermeiden, muss ein one-many NAT höhere Niveau-Information wie TCP/UDP-Häfen in aus dem Amt scheidest Kommunikationen verändern und muss einen Übersetzungstisch aufrechterhalten, so dass Rückpakete zurück richtig übersetzt werden können. RFC 2663 gebraucht den Begriff NAPT (Netzadresse und Hafen-Übersetzung) für diesen Typ von NAT. Andere Namen schließen RICHTIG (Hafen-Adressumrechnung), IP masquerading, NAT Überlastung und many-one NAT ein. Da das der allgemeinste Typ von NAT ist, auf den er häufig einfach als NAT verwiesen wird.

Wie beschrieben, ermöglicht die Methode Kommunikation durch den Router nur, wenn das Gespräch im masqueraded Netz entsteht, da das die Übersetzungstische gründet. Zum Beispiel kann ein WWW-Browser im masqueraded Netz eine Website draußen durchsuchen, aber ein WWW-Browser konnte draußen keine Website im masqueraded Netz durchsuchen. Jedoch erlauben die meisten NAT Geräte heute dem Netzverwalter, Übersetzungstabelleneinträge für den dauerhaften Gebrauch zu konfigurieren. Diese Eigenschaft wird häufig "statischen NAT" oder Hafen-Versand genannt und erlaubt Verkehr, der im "Außen"-Netz entsteht, benannte Gastgeber im masqueraded Netz zu erreichen.

Mitte der 1990er Jahre ist NAT ein populäres Werkzeug geworden, für die Folgen der IPv4-Adresserschöpfung zu erleichtern. Es ist eine allgemeine, unentbehrliche Eigenschaft in Routern für Internetverbindungen des Hauses und kleinen Büros geworden. Die meisten Systeme mit NAT tun so, um vielfachen Gastgebern in einem privaten Netz zu ermöglichen, auf das Internet mit einer IP einzelnen öffentlichen Adresse zuzugreifen.

Netzadressumrechnung hat ernste Nachteile auf der Qualität der Internetkonnektivität und verlangt sorgfältige Aufmerksamkeit auf die Details seiner Durchführung. Insbesondere alle Typen von NAT brechen das ursprünglich vorgesehene Modell von IP der Länge nach die Konnektivität über das Internet und NAPT macht es schwierig für Systeme hinter einem NAT, eingehende Kommunikationen zu akzeptieren. Infolgedessen sind NAT Traversal-Methoden ausgedacht worden, um die gestoßenen Probleme zu erleichtern.

Ein zu vielen NATs

Die Mehrheit von NATs stellt vielfache private Gastgeber zu einem kartografisch dar öffentlich hat IP-Adresse ausgestellt. In einer typischen Konfiguration verwendet ein lokales Netz eines der benannten "privaten" IP-Adressteilnetze (RFC 1918). Ein Router in diesem Netz hat eine private Adresse in diesem Adressraum. Der Router wird auch mit dem Internet mit einer "öffentlichen" von einem Internetdienstleister zugeteilten Adresse verbunden. Da Verkehr vom lokalen Netz bis das Internet geht, wird die Quelladresse in jedem Paket im Fluge von einer privaten Adresse bis die öffentliche Adresse übersetzt. Der Router verfolgt grundlegende Daten über jede aktive Verbindung (besonders die Bestimmungsort-Adresse und der Hafen). Wenn eine Antwort zum Router zurückkehrt, verwendet sie die Verbindungsverfolgen-Daten, die sie während der Ausgangsphase versorgt hat, um die private Adresse im inneren Netz zu bestimmen, zu dem man die Antwort nachschickt.

Alle Internetpakete haben eine Quelle IP Adresse und ein Bestimmungsort IP Adresse. Normalerweise werden Pakete, die vom privaten Netz bis das öffentliche Netz gehen, ihre Quelladresse modifizieren lassen, während Pakete, die vom öffentlichen Netz zurück zum privaten Netz gehen, ihre Bestimmungsort-Adresse modifizieren lassen werden. Kompliziertere Konfigurationen sind auch möglich.

Um Zweideutigkeit darin zu vermeiden, wie man zurückgegebene Pakete übersetzt, sind weitere Modifizierungen zu den Paketen erforderlich. Der riesengroße Hauptteil des Internetverkehrs ist TCP und UDP Pakete, und für diese Protokolle werden die Hafen-Zahlen geändert, so dass die Kombination von IP und Hafen-Information über das zurückgegebene Paket zur entsprechenden privaten Adresse und Hafen-Information eindeutig kartografisch dargestellt werden kann. Protokolle, die nicht auf TCP oder UDP gestützt sind, verlangen andere Übersetzungstechniken. ICMP Pakete beziehen sich normalerweise auf eine vorhandene Verbindung und müssen mit demselben IP und Hafen mappings wie diese Verbindung kartografisch dargestellt werden.

Methoden der Hafen-Übersetzung

Es gibt mehrere Weisen, Netzadresse und Hafen-Übersetzung durchzuführen. In einigen Anwendungsprotokollen, die IP-Adressinformation verwenden, muss die Anwendung, die auf einem Knoten im masqueraded Netz läuft, die Außenadresse des NAT, d. h., die Adresse bestimmen, die seine Nachrichtengleichen, und außerdem entdecken, häufig muss untersuchen und den Typ davon kategorisieren, im Gebrauch kartografisch darzustellen. Gewöhnlich wird das getan, weil es gewünscht wird, um einen direkten Kommunikationspfad aufzustellen (entweder um die Kosten zu sparen, die Daten über einen Server zu nehmen oder Leistung zu verbessern), zwischen zwei Kunden, von denen beide hinter getrenntem NATs sind. Für diesen Zweck, das Einfache Traversal von UDP über NATs (BETÄUBEN) Protokoll wurde (RFC 3489, März 2003) entwickelt. Es hat NAT Durchführung als voller Kegel klassifiziert NAT, (Adresse) hat Kegel NAT eingeschränkt, Hafen hat Kegel NAT oder symmetrischer NAT eingeschränkt und hat eine Methodik vorgeschlagen, für ein Gerät entsprechend zu prüfen. Jedoch sind diese Verfahren vom Standardstatus seitdem missbilligt worden, weil sich die Methoden fehlerhaft und unzulänglich erwiesen haben, um viele Geräte richtig zu bewerten. Neue Methoden sind in RFC 5389 (Oktober 2008) standardisiert worden, und das BETÄUBEN Akronym vertritt jetzt den neuen Titel der Spezifizierung: Sitzungstraversal-Dienstprogramme für NAT.

Diese Fachsprache ist die Quelle von viel Verwirrung gewesen, weil es sich unzulänglich beim Beschreiben wahren NAT Verhaltens erwiesen hat.

Viele NAT Durchführungen verbinden diese Typen, und es ist deshalb besser, sich auf spezifische individuelle NAT Handlungsweisen zu beziehen, anstatt die Kegel-Fachsprache / Symmetrische Fachsprache zu verwenden. Besonders verbinden die meisten NAT Übersetzer symmetrischen NAT für aus dem Amt scheide Verbindungen mit dem statischen kartografisch darstellenden Hafen, wo eingehende Pakete zur Außenadresse und dem Hafen zu einer spezifischen inneren Adresse und Hafen umadressiert werden. Einige Produkte können Pakete mehreren inneren Gastgebern umadressieren, um z.B die Last zwischen einigen Servern zu teilen. Jedoch führt das Probleme mit hoch entwickelteren Kommunikationen ein, die viele miteinander verbundene Pakete haben, und so selten verwendet wird.

Typ von NAT und NAT Traversal

Das NAT überquerende Problem entsteht, wenn zwei Gleiche hinter verschiedenem NAT versuchen zu kommunizieren. Eine Weise, dieses Problem zu beheben, soll Hafen-Versand verwenden, ein anderer Weg ist, verschiedene NAT überquerende Techniken zu verwenden. Die populärste Technik für das TCP Traversal von NAT ist das TCP Loch-Lochen, das verlangt, dass der NAT dem Hafen-Bewahrungsdesign für TCP, wie erklärt, unten folgt.

Viele NAT Durchführungen folgen dem Hafen-Bewahrungsdesign besonders für TCP, der sagen soll, dass sie dieselben Werte wie innere und äußerliche Hafen-Zahlen verwenden. Die NAT Hafen-Bewahrung für aus dem Amt scheide TCP Verbindungen ist für das TCP Traversal von NAT besonders wichtig, weil Programme gewöhnlich verschiedene TCP Steckdosen zu ephemeren Häfen für verschiedene TCP Verbindungen binden, NAT für TCP unmögliche Hafen-Vorhersage machend.

Andererseits, für UDP, brauchen NATs nicht Hafen-Bewahrung zu haben, weil Anwendungen gewöhnlich dieselbe UDP Steckdose wiederverwenden, um Pakete verschiedenen Gastgebern zu senden, Hafen-Vorhersage aufrichtig machend, wie es derselbe Quellhafen für jedes Paket ist.

Außerdem erlaubt die Hafen-Bewahrung in NAT für TCP P2P Protokollen, weniger Kompliziertheit und weniger Latenz anzubieten, weil es kein Bedürfnis gibt, einen Dritten zu verwenden, um den NAT Hafen zu entdecken, da die Anwendung bereits den NAT Hafen weiß.

Jedoch, wenn zwei innere Gastgeber versuchen, mit demselben Außengastgeber zu kommunizieren, der dieselbe Hafen-Zahl verwendet, wird die vom zweiten Gastgeber verwendete Außenhafen-Zahl aufs Geratewohl gewählt. Solcher NAT wird manchmal wahrgenommen, weil (Adresse) Kegel NAT und andere Zeiten als symmetrischer NAT eingeschränkt hat.

Neue Studien haben gezeigt, dass ungefähr 70 % von Kunden in P2P Netzen eine Form von NAT verwenden.

Durchführung

Das Herstellen der Zweiwegekommunikation

Jeder TCP und UDP Paket enthalten sowohl eine Quelle IP Adresse als auch Quellhafen-Zahl sowie einen Bestimmungsort IP Adresse und Bestimmungsort-Hafen-Zahl. Der Hafen address/IP richtet Paar-Formen eine Steckdose. Insbesondere die Quellhafen-Adresse und Quelle IP Adresse bilden die Quellsteckdose.

Für öffentlich zugängliche Dienstleistungen wie Webserver und Mailserver ist die Hafen-Zahl wichtig. Zum Beispiel steht Hafen 80 zur Webserver-Software und dem Hafen 25 einem SMTP Dämon eines Mailservers in Verbindung. Die IP Adresse eines öffentlichen Servers ist auch wichtig, in der globalen Einzigartigkeit einer Postadresse oder Telefonnummer ähnlich. Sowohl IP Adresse als auch Hafen müssen von allen Gastgebern richtig bekannt sein, die möchten erfolgreich kommunizieren.

Private IP-Adressen, sind wie beschrieben, RFC 1918 nur in privaten Netzen bedeutend, wo sie verwendet werden, der auch für Gastgeber-Häfen wahr ist. Häfen sind einzigartige Endpunkte der Kommunikation über einen Gastgeber, so wird eine Verbindung durch das NAT Gerät dadurch aufrechterhalten, des Hafens und der IP-Adresse vereinigt kartografisch darzustellen.

KLOPFEN SIE Entschlossenheitskonflikte, die durch zwei verschiedene Gastgeber entstehen würden, die dieselbe Quellhafen-Zahl verwenden, um einzigartige Verbindungen zur gleichen Zeit herzustellen.

Eine Analogie

Ein Gerät von NAT ist einem Telefonsystem an einem Büro ähnlich, das eine öffentliche Telefonnummer und vielfache Erweiterungen hat. Ausgangsanrufe haben vom Büro gemacht alle scheinen, aus derselben Telefonnummer zu kommen. Jedoch kann ein eingehender Anruf, der keine Erweiterung angibt, nicht einer Person innerhalb des Büros übertragen werden. In diesem Drehbuch ist das Büro ein privater LAN, die Haupttelefonnummer ist die IP öffentliche Adresse, und die individuellen Erweiterungen sind einzigartige Hafen-Zahlen.

Übersetzung des Endpunkts

Mit NAT enthält die ganze Kommunikation, die Außengastgebern wirklich gesandt ist, die Außen-IP-Adresse und Hafen-Information des NAT Geräts statt des inneren Gastgebers IPs oder Hafen-Zahlen.

• Wenn ein Computer im privaten (inneren) Netz ein Paket an das Außennetz sendet, ersetzt das NAT Gerät die innere IP-Adresse im Quellfeld des Paket-Kopfballs (die Adresse des Absenders) mit der IP Außenadresse des NAT Geräts. RICHTIG kann dann die Verbindung eine Hafen-Zahl von einer Lache von verfügbaren Häfen zuteilen, diese Hafen-Zahl ins Quellhafen-Feld (viel wie die Postschließfach-Zahl), und vorwärts das Paket zum Außennetz einfügend. Das NAT Gerät macht dann einen Zugang in einem Übersetzungstisch, der die innere IP-Adresse, den ursprünglichen Quellhafen und den übersetzten Quellhafen enthält. Nachfolgende Pakete von derselben Verbindung werden zu derselben Hafen-Zahl übersetzt.
• Der Computer, der ein Paket erhält, das NAT erlebt hat, stellt eine Verbindung mit dem Hafen und der IP-Adresse her, die im veränderten Paket angegeben ist, das zur Tatsache vergesslich ist, dass die gelieferte Adresse (analog dem Verwenden einer Postschließfach-Zahl) übersetzt wird.
• Ein Paket, das aus dem Außennetz kommt, wird zu einer entsprechenden inneren IP-Adresse und Hafen-Zahl vom Übersetzungstisch kartografisch dargestellt, die Außen-IP-Adresse und Hafen-Zahl im eingehenden Paket-Kopfball (ähnlich der Übersetzung von der Postschließfach-Zahl bis Straßenadresse) ersetzend. Das Paket wird dann über das Innennetz nachgeschickt. Sonst, wenn die Bestimmungsort-Hafen-Zahl des eingehenden Pakets im Übersetzungstisch nicht gefunden wird, ist das Paket fallen gelassen oder zurückgewiesen, weil das KLAPS-Gerät nicht weiß, wohin man es sendet.

NAT wird nur IP-Adressen und Häfen seiner inneren Gastgeber übersetzen, den wahren Endpunkt eines inneren Gastgebers in einem privaten Netz verbergend.

Sichtbarkeit der Operation

NAT Operation ist sowohl den inneren als auch äußerlichen Gastgebern normalerweise durchsichtig.

Normalerweise ist der innere Gastgeber der wahren IP-Adresse und TCP oder des UDP Hafens des Außengastgebers bewusst. Normalerweise kann das NAT Gerät als das Verzug-Tor für den inneren Gastgeber fungieren. Jedoch ist der Außengastgeber nur der IP öffentlichen Adresse für das NAT Gerät und den besonderen Hafen bewusst, der wird pflegt, im Auftrag eines spezifischen inneren Gastgebers zu kommunizieren.

NAT und TCP/UDP

"Reiner NAT", auf dem IP allein funktionierend, kann oder kann Protokolle nicht richtig grammatisch analysieren, die völlig mit IP Information wie ICMP je nachdem beschäftigt sind, ob die Nutzlast von einem Gastgeber auf dem "Inneren" oder "außerhalb" der Übersetzung interpretiert wird. Sobald der Protokoll-Stapel, sogar mit solchen grundlegenden Protokollen als TCP und UDP überquert wird, werden die Protokolle brechen, wenn NAT außer der Netzschicht nicht handelt.

IP Pakete haben eine Kontrollsumme in jedem Paket-Kopfball, der Fehlerentdeckung nur für den Kopfball zur Verfügung stellt. IP Datenpakete können gebrochen werden, und es ist für einen NAT notwendig, diese Bruchstücke wieder zu versammeln, um richtige Wiederberechnung von Kontrollsummen des höheren Niveaus zu erlauben, und dessen richtiges Verfolgen Pakete der Verbindung gehören.

Die Haupttransportschicht-Protokolle, TCP und UDP, haben eine Kontrollsumme, die alle Daten bedeckt, die sie, sowie der TCP/UDP Kopfball plus ein "Pseudokopfball" tragen, der die Quelle und den Bestimmungsort IP Adressen des Pakets enthält, das den TCP/UDP Kopfball trägt. Für ein Entstehen NAT, um TCP oder UDP erfolgreich zu passieren, muss es die TCP/UDP Kopfball-Kontrollsumme wieder rechnen, die auf den übersetzten IP-Adressen, nicht den ursprünglichen gestützt ist, und diese Kontrollsumme in den TCP/UDP Kopfball des ersten Pakets des gebrochenen Satzes von Paketen stellen. Der Empfang NAT muss die IP Kontrollsumme auf jedem Paket wieder rechnen, das es dem Bestimmungsort-Gastgeber passiert, und auch anerkennt und rechnet den TCP/UDP Kopfball mit den wiederübersetzten Adressen und dem Pseudokopfball wieder. Das ist nicht ein völlig behobenes Problem. Eine Lösung ist für den Empfang NAT, um das komplette Segment wieder zu versammeln und dann eine über alle Pakete berechnete Kontrollsumme wieder zu rechnen.

Der entstehende Gastgeber kann Pfad-Entdeckung der Maximalen Übertragungseinheit (MTU) durchführen, um die Paket-Größe zu bestimmen, die ohne Zersplitterung übersandt werden kann, und dann den nicht setzt, hat Bruchstück (DF) im passenden Paket-Kopfball-Feld gebissen.

Bestimmungsort-Netzadressumrechnung (DNAT)

DNAT ist eine Technik, für den Bestimmungsort IP Adresse en route Paket durchsichtig zu ändern und die umgekehrte Funktion für irgendwelche Antworten durchzuführen. Jeder zwischen zwei Endpunkten gelegene Router kann diese Transformation des Pakets durchführen.

DNAT wird allgemein verwendet, um einen Dienst zu veröffentlichen, der in einem privaten Netz auf einer öffentlich zugänglichen IP-Adresse gelegen ist. Dieser Gebrauch von DNAT wird auch Hafen-Versand oder DMZ, wenn verwendet, auf einem kompletten Server genannt, der ausgestellt zum BLASSEN wird, analog einem unverteidigten Militär entmilitarisierte Zone (DMZ) werdend.

SNAT

Die Bedeutung des Begriffes SNAT ändert sich durch den Verkäufer. Viele Verkäufer haben Eigentumsdefinitionen für SNAT. Eine allgemeine Vergrößerung ist Quelle NAT, die Kopie des Bestimmungsortes NAT (DNAT). Microsoft verwendet das Akronym für Sicheren NAT hinsichtlich des ISA Servers. Für Cisco Systeme bedeutet SNAT stateful NAT.

Sichere Netzadressumrechnung

Im Computernetzwerkanschluss ist der Prozess der auf eine sichere Weise getanen Netzadressumrechnung mit dem Neuschreiben der Quelle und/oder Bestimmungsort-Adressen von IP Paketen verbunden, weil sie einen Router oder Brandmauer durchführen.

Dynamische Netzadressumrechnung

Dynamischer NAT, gerade wie statischer NAT, ist in kleineren Netzen nicht üblich, aber wird innerhalb von größeren Vereinigungen mit komplizierten Netzen gefunden. Auf die Weise unterscheidet sich dynamischer NAT von statischem NAT ist, dass, wo statisch, NAT einen isomorphen inneren der öffentlichen statischen IP-Adresse zur Verfügung stellt, die kartografisch darstellender, dynamischer NAT nicht richten lässt zum öffentlichen IP statisch kartografisch darzustellen, und gewöhnlich eine Gruppe von IP verfügbaren öffentlichen Adressen verwendet.

Anwendungen durch NAT betroffen

Einige Anwendungsschicht-Protokolle (wie FTP und NIPPEN) senden ausführliche Netzadressen innerhalb ihrer Anwendungsdaten. FTP in der aktiven Weise verwendet zum Beispiel getrennte Verbindungen für den Kontrollverkehr (Befehle) und für den Datenverkehr (Dateiinhalt). Wenn er um eine Dateiübertragung bittet, identifiziert der Gastgeber, der die Bitte macht, die entsprechende Datenverbindung durch seinen und Adressen. Wenn der Gastgeber, der die Bitte macht, hinter einer einfachen NAT Brandmauer lügt, macht die Übersetzung der IP-Adresse und/oder TCP Hafen-Zahl die Information erhalten vom Server-Invaliden. Session Initiation Protocol (SIP) kontrolliert viele Begleitkommentar IP (VoIP) Anrufe, und erträgt dasselbe Problem. NIPPEN und SDP können vielfache Häfen verwenden, um eine Verbindung aufzustellen und Stimmenstrom über RTP zu übersenden. IP Adressen und Hafen-Zahlen werden in den Nutzlast-Daten verschlüsselt und müssen vor dem Traversal von NATs bekannt sein. Ohne spezielle Techniken solche, die BETÄUBEN, ist Verhalten von NAT unvorhersehbar, und Kommunikationen können scheitern.

Software des Anwendungsschicht-Tores (ALG) oder Hardware können diese Probleme korrigieren. Ein ALG Softwaremodul, das auf einem NAT Brandmauer-Gerät läuft, aktualisiert irgendwelche Nutzlast-Daten gemachter Invalide durch die Adressumrechnung. ALGs muss offensichtlich das Protokoll der höheren Schicht verstehen, das sie befestigen müssen, und so verlangt jedes Protokoll mit diesem Problem einen getrennten ALG. Zum Beispiel, auf vielen Systemen von Linux, gibt es Kernmodule genannt Verbindungsspürenleser, die dienen, um ALGs durchzuführen. Jedoch arbeitet ALG nicht, wenn der Kontrollkanal encrypted ist (z.B. FTPS).

Eine andere mögliche Lösung dieses Problems ist, NAT überquerende Techniken mit Protokollen zu verwenden, die BETÄUBEN oder, oder Eigentumsannäherungen in einem Sitzungsgrenzkontrolleur VEREISEN. NAT Traversal ist sowohl in TCP-als auch in UDP-basierten Anwendungen möglich, aber die UDP-basierte Technik, ist weiter verstandene einfacher, und mit dem Vermächtnis NATs vereinbarer. In jedem Fall muss das hohe Protokoll mit dem NAT Traversal im Sinn entworfen werden, und es arbeitet zuverlässig über symmetrischen NATs oder anderes schlecht benommenes Vermächtnis NATs nicht.

Andere Möglichkeiten sind UPnP (Universaler Stecker und Spiel) oder NAT-PMP (NAT Hafen-Protokoll des Kartografisch darstellenden), aber diese verlangen die Zusammenarbeit des NAT Geräts.

Die meisten traditionellen Client/Server-Protokolle (FTP die Hauptausnahme zu sein), senden jedoch Schicht 3 Kontakt-Information nicht und verlangen deshalb keine spezielle Behandlung durch NATs. Tatsächlich ist das Vermeiden NAT Komplikationen praktisch eine Voraussetzung, wenn es neue Protokolle der höheren Schicht heute (z.B der Gebrauch von SFTP statt FTP) entwirft.

NATs kann auch Probleme verursachen, wo IPsec Verschlüsselung angewandt wird und in Fällen, wo vielfache Geräte wie NIPPEN-Kopfhörer hinter einem NAT gelegen werden. Kopfhörer, welche encrypt ihre Nachrichtenübermittlung mit IPsec die Hafen-Information innerhalb eines encrypted Pakets kurz zusammenfassen, bedeutend, dass NA (P) T Geräte nicht zugreifen und den Hafen übersetzen kann. In diesen Fällen kehren die NA (P) T Geräte zur einfachen NAT Operation zurück. Das bedeutet, dass der ganze Verkehr, der zum NAT zurückkehrt, auf einen Kundenverursachen-Dienst mehr als einem Kunden "hinter" dem NAT kartografisch dargestellt wird, um zu scheitern. Es gibt einige Lösungen dieses Problems: Man ist, TLS zu verwenden, der am Niveau 4 im OSI Bezugsmodell funktioniert und deshalb die Hafen-Zahl nicht maskiert; ein anderer soll den IPsec innerhalb von UDP - das letzte Wesen die durch TISPAN gewählte Lösung kurz zusammenfassen, um sicheres NAT Traversal zu erreichen.

Die DNS Protokoll-Verwundbarkeit, die von Dan Kaminsky am 8. Juli 2008 bekannt gegeben ist, wird durch den NAT kartografisch darstellenden Hafen indirekt betroffen. Um DNS Server-Vergiftung des geheimen Lagers zu vermeiden, ist es hoch wünschenswert, UDP Quellhafen-Zahlen von aus dem Amt scheidest DNS-Bitten von einem DNS Server nicht zu übersetzen, der hinter einer Brandmauer ist, die NAT durchführt. Die empfohlene Arbeit - ringsherum für die DNS Verwundbarkeit soll das ganze Verstecken machen DNS Server verwenden randomized UDP Quellhäfen. Wenn die NAT-Funktion de-randomizes die UDP Quellhäfen, der DNS Server verwundbar gemacht wird.

Vorteile von RICHTIGEN

Zusätzlich zu den durch NAT zur Verfügung gestellten Vorteilen:

• RICHTIG (Hafen-Adressumrechnung) erlaubt vielen inneren Gastgebern, eine einzelne Außen-IP-Adresse zu teilen.
• Benutzer, die Unterstützung für inbound Verbindungen nicht verlangen, verbrauchen IP öffentliche Adressen nicht.

Nachteile

Der primäre Zweck von IP-masquerading NAT besteht darin, dass es eine praktische Lösung der drohenden Erschöpfung des IPv4 Adressraums gewesen ist. Sogar große Netze können mit dem Internet mit so wenig verbunden werden wie eine einzelne IP-Adresse. Die allgemeinere Einordnung hat Maschinen, die der Länge nach Konnektivität verlangen, die mit einem routable IP Adresse geliefert ist, während sie Maschinen hat, die Dienstleistungen Außenbenutzern hinter NAT mit nur einigen IP-Adressen nicht zur Verfügung stellen, die verwendet sind, um Internetzugang jedoch zu ermöglichen, bringt das einige Probleme, die unten entworfen sind.

Einige haben auch diese genaue Eigenschaft einen Hauptnachteil genannt, da sie das Bedürfnis nach der Durchführung von IPv6 verzögert:

"[...] es ist möglich, dass der weit verbreiteter Gebrauch seines [NAT] das Bedürfnis bedeutsam verzögern wird, IPv6 einzusetzen. [...] Es ist wahrscheinlich sicher zu sagen, dass Netze aus ohne NAT [...]" sein besser würden

Gastgeber hinter NAT-ermöglichten Routern haben der Länge nach Konnektivität nicht und können an einigen Internetprotokollen nicht teilnehmen. Dienstleistungen, die die Einleitung von TCP Verbindungen von außen Netz oder staatenlose Protokolle wie diejenigen verlangen, die UDP verwenden, können gestört werden. Wenn der NAT Router keine spezifische Anstrengung macht, solche Protokolle zu unterstützen, können eingehende Pakete nicht ihren Bestimmungsort erreichen. Einige Protokolle können ein Beispiel von NAT zwischen teilnehmenden Gastgebern ("passive Weise" FTP, zum Beispiel) manchmal mit dem Beistand von einem Anwendungsniveau-Tor (sieh unten) anpassen, aber scheitern, wenn beide Systeme vom Internet durch NAT getrennt werden. Der Gebrauch von NAT kompliziert auch tunneling Protokolle wie IPsec, weil NAT Werte in den Kopfbällen modifiziert, die die Integritätskontrollen stören, die durch IPsec und andere tunneling Protokolle getan sind.

Der Länge nach ist Konnektivität ein Kerngrundsatz des Internets, unterstützt zum Beispiel vom Internetarchitektur-Ausschuss gewesen. Architektonische Dokumente des aktuellen Internets bemerken, dass NAT eine Übertretung Der Länge nach Grundsatz ist, aber dass NAT wirklich eine gültige Rolle im sorgfältigen Design hat. Es gibt beträchtlich mehr Sorge mit dem Gebrauch von IPv6 NAT, und viele IPv6 Architekten glauben, dass IPv6 beabsichtigt war, um das Bedürfnis nach NAT zu entfernen.

Wegen der kurzlebigen Natur der stateful Übersetzungstische in NAT Routern verlieren Geräte im inneren Netz IP Konnektivität normalerweise innerhalb einer sehr kurzen Zeitspanne, wenn sie NAT nicht durchführen, bleiben - lebendige Mechanismen durch das häufige Zugreifen auf Außengastgeber. Das verkürzt drastisch die Macht-Reserven auf batteriebetriebenen tragbaren Geräten und hat weit verbreitetere Aufstellung solchen IP-Eingeborenen internetermöglicht Geräte durchgekreuzt.

Einige Internetdienstleister (ISPs), besonders in Indien, Russland, Teilen Asiens und anderer "sich entwickelnder" Gebiete stellen ihren Kunden nur mit "lokalen" IP-Adressen wegen einer begrenzten Zahl von jenen Entitäten zugeteilten Außen-IP-Adressen zur Verfügung. So müssen diese Kunden auf Dienstleistungen zugreifen, die zum Netz des ISP durch NAT äußerlich sind. Infolgedessen können die Kunden nicht wahr der Länge nach Konnektivität in der Übertretung der Kerngrundsätze des Internets, wie angelegt, durch den Internetarchitektur-Ausschuss erreichen.

• Skalierbarkeit - Eine Durchführung, die nur Häfen verfolgt, kann durch innere Anwendungen schnell entleert werden, die vielfache gleichzeitige Verbindungen (wie eine HTTP-Bitte um eine Webseite mit vielen eingebetteten Gegenständen) verwenden. Dieses Problem kann durch das Verfolgen des Bestimmungsortes IP Adresse zusätzlich zum Hafen (so das Teilen eines einzelnen lokalen Hafens mit vielen entfernten Gastgebern), auf Kosten der Durchführungskompliziertheit und Mittel der Zentraleinheit/Gedächtnisses des Übersetzungsgeräts gelindert werden.
• Brandmauer-Kompliziertheit - Weil die inneren Adressen alle hinter einer öffentlich zugänglicher Adresse verkleidet werden, ist es für Außengastgeber unmöglich, eine Verbindung zu einem besonderen inneren Gastgeber ohne spezielle Konfiguration auf der Brandmauer zu beginnen, um Verbindungen zu einem besonderen Hafen nachzuschicken. Anwendungen wie VOIP, Videokonferenzführung und andere Gleicher-zu-Gleicher-Anwendungen müssen NAT überquerende Techniken verwenden, um zu fungieren.

Spezifizierungen

IEEE Rückadresse und Hafen-Übersetzung (GESPANNT, oder RATTE) erlauben einem Gastgeber, dessen sich echte IP-Adresse von Zeit zu Zeit ändert, um erreichbar als ein Server über ein festes Haus IP Adresse zu bleiben. Im Prinzip sollte das erlauben, Server in DHCP-geführten Netzen aufzustellen. Während nicht eine vollkommene Beweglichkeitslösung, GESPANNT zusammen mit kommenden Protokollen wie DHCP-DDNS, es damit enden kann, ein anderes nützliches Werkzeug im Netzadmin'S-Arsenal zu werden.

IETF GESPANNT (IP Reachability, Zweimal Netzadresse und Hafen-Übersetzung Verwendend), Das RATTE-Gerät stellt ein IP Datenpaket zu seinem verbundenen CN und 0MN durch das Verwenden von drei zusätzlichen Feldern kartografisch dar: die IP Protokoll-Typ-Zahl und die Transportschicht-Quelle und Bestimmungsort-Verbindungsbezeichner (z.B. TCP Hafen-Zahl oder ICMP werfen ID-Feld der Bitte/Antwort zurück).

Cisco ist GESPANNTE Durchführung (Hafen-Adressumrechnung) oder Überbelastung RICHTIG, und stellt vielfache private IP-Adressen zu einer IP einzelnen öffentlichen Adresse kartografisch dar. Vielfache Adressen können zu einer einzelnen Adresse kartografisch dargestellt werden, weil jede private Adresse durch eine Hafen-Zahl verfolgt wird.

KLOPFEN SIE Gebrauch einzigartige Quellhafen-Zahlen auf der globalen Innen-IP-Adresse, um zwischen Übersetzungen zu unterscheiden. Die Hafen-Zahl wird in 16 Bit verschlüsselt. Die Gesamtzahl von inneren Adressen, die zu einer Außenadresse übersetzt werden können, konnte nicht weniger als 65,536 pro IP-Adresse theoretisch sein. Realistisch ist die Zahl von Häfen, die eine einzelne IP-Adresse zugeteilt werden können, ungefähr 4000. RICHTIG wird versuchen, den ursprünglichen Quellhafen zu bewahren. Wenn dieser Quellhafen bereits verwendet wird, RICHTIG wird die erste verfügbare Hafen-Zahl zuteilen, die vom Anfang der passenden Hafen-Gruppe 0-511, 512-1023, oder 1024-65535 anfängt. Wenn es keine verfügbare Häfen mehr gibt und es mehr als eine Außen-IP-Adresse konfigurierte, RICHTIGE Bewegungen zur folgenden IP-Adresse gibt, um zu versuchen, den ursprünglichen Quellhafen wieder zuzuteilen. Dieser Prozess geht weiter, bis er an verfügbaren Häfen und Außen-IP-Adressen knapp wird.

3COM (Methode und System, um Netzdienste mit der verteilten Netzadressumrechnung ausfindig zu machen), Methoden und System, um Netzdienste mit der verteilten Netzadressumrechnung ausfindig zu machen. Digitalzertifikate werden geschaffen, die ein Außennetzgerät in einem Außennetz wie das Internet erlauben, um um einen Dienst von einem inneren Netzgerät in einem inneren verteilten Netzadressumrechnungsnetz, wie ein Stummel lokales Bereichsnetz zu bitten. Die Digitalzertifikate schließen Information ein, die mit einem für die verteilte Netzadressumrechnung verwendeten Hafen-Zuteilungsprotokoll erhalten ist. Die Digitalzertifikate werden im inneren Netz veröffentlicht, so sind sie für Außennetzgeräte zugänglich. Ein Außennetzgerät bekommt ein Digitalzertifikat, Extrakte passende Information wieder, und sendet ein Serviceanforderungspaket an ein inneres Netzgerät in einem inneren verteilten Netzadressumrechnungsnetz. Das Außennetzgerät ist im Stande, einen Dienst von einem inneren Netzgerät ausfindig zu machen und um ihn zu bitten. Ein Außennetzgerät kann auch um einen Sicherheitsdienst, wie eine Internetprotokoll-Sicherheit ("IPsec") Dienst von einem inneren Netzgerät bitten. Das Außennetzgerät und das innere Netzgerät können einen Sicherheitsdienst (z.B, Internetschlüsselaustauschprotokoll-Dienst) gründen. Das innere Netzgerät und Außennetzgerät können dann eine Sicherheit Vereinigung mit Sicherheitsparameter-Indizes das erhaltene Verwenden ("von SPI") eines verteilten Netzadressumrechnungsprotokolls gründen. Außennetzgeräte können um Dienstleistungen bitten, und Sicherheitsdienstleistungen auf inneren Netzgeräten auf einem inneren verteilen Netzadressumrechnungsnetz, die vorher unbekannt und zu den Außennetzgeräten nicht verfügbar waren.

Konfigurationsecke

Unter dieser Abteilung im Artikel wird der grundlegende Weg (E), ein NAT Schema auf einem Router zu konfigurieren, angezeigt. Erinnern Sie sich, dass die unter dieser Abteilung verwendeten Schritte unter der Einstellung ein NAT Server auf einem Router von Cisco fallen.

Das Bekommen eines echten Routers könnte nicht sogleich verfügbar sein, um dieses Experiment und Praxis jedoch durchzuführen, Sie können beschließen, einen echten Router-Simulator wie das Cisco Paket-Leuchtspurgeschoss zu verwenden.

Nehmen Sie an, dass in dieser Show wir 3 Router, einen Schalter und drei Computer haben

Die grundlegenden Wege in der Aufstellung eines NAT Servers mit Ihrem Router sind wie folgt:

• Das Anschließen Ihrer Geräte zusammen

Wir nehmen an, dass Sie wissen, wie IP Routenplanung, und wie man ein Netz mit Routenplanungsprotokollen zusammenläuft. Stellen Sie sicher, dass Ihr Diagramm ähnlich ein gezeigter im Image aussieht und gut zusammengelaufen ist. Ich empfehle, dass Sie RISS für schnellere und einfache Konfigurationen verwenden.

• Jetzt wo Ihre Geräte, wie gezeigt, im Diagramm völlig miteinander verbunden werden, folgen Sie bitte dem Code unten. Bemerken Sie auch, dass der namings, der auf dem Diagramm gefunden ist, das oben gezeigt ist, ist, was überall in der Beschreibung unten verwendet wird. Irgendwelche Änderungen, die Sie während Ihrer Aufstellung vornehmen, sollten auch dem Namengeben hier entsprechen (namings sind nicht von Bedeutung)

Router (config) #ip nat?

innerhalb der Innenadressumrechnung

außerhalb der Außenadressumrechnung

Lache Definiert Lache von Adressen

Router (config) #ip nat ins

Router (config) #ip nat innen?

Quellquelladressumrechnung

Router (config) #ip nat innerhalb von saurem

Router (config) #ip nat Innenquelle?

Liste Gibt Zugriffsliste An, die lokale Adressen beschreibt

statisch Geben statischen Vorortszug-> An global kartografisch darzustellen

Router (config) #ip nat Innenquellliste

Router (config) #ip nat Innenquellliste?

WORT-Zugang verzeichnet Namen für lokale Adressen

Router (config) #ip nat Innenquellliste 10?

Schnittstelle Gibt Schnittstelle für die globale Adresse An

vereinen Sie Namenlache von globalen Adressen

Router (config) #ip nat Innenquellliste 10 Lache?

WORT-Namenlache von globalen Adressen

Router (config) #ip nat Innenquellliste 10 Lache NAT?

Überlastung Überlädt eine Adressumrechnung

Router (config) #ip nat Innenquellliste 10 Lache NAT

Router (config) #no ip nat Innenquellliste 10 Lache NAT

Router (config) #ip nat Außenquellliste 10 Lache NAT

Router (config) #access-list 10?

bestreiten Sie Geben Pakete An, um zurückzuweisen

Erlaubnis Gibt Pakete An, um nachzuschicken

bemerken Sie Zugriffslistenzugang-Anmerkung

Router (config) #access-list 10 pro

Router (config) #access-list 10 Erlaubnis irgendwelcher?

Router (config) #access-list 10 Erlaubnis jeder

Router (config)

#exit

</Code>

Erfolg

Jetzt wo Sie Ihren Router als solcher konfigurieren ließen, sollten Sie Erfolg haben.

Beispiele der NAT Software

• Internet Connection Sharing (ICS): Windows NAT+DHCP seitdem W98SE
• WinGate: wie ICS plus viel Kontrolle
• iptables: Der Paket-Filter von Linux und NAT (verbinden für NetFilter)
• IPFilter: Solaris, NetBSD, FreeBSD, xMach.
• PF (Brandmauer): Der Paket-Filter von OpenBSD.
• Paket-Filterfachwerk von Netfilter Linux

Siehe auch

• AYIYA (IPv6 über IPv4 UDP, so IPv6 tunneling über den grössten Teil von NATs arbeitend)

,

• Transportunternehmen-Rang NAT
• Brandmauer
• Tor
• Protokoll von Internet Gateway Device (IGD): NAT-Traversal-Methode von UPnP
• Middlebox
• Internetprotokoll-Version 4
• NAT-PT
• Hafen, nachschickend
• Hafen, der auslöst
• Private IP richten
• Proxyserver
• Routenplanung
• Teilnetz
• Hafen
• Teredo tunneling: NAT Traversal, das IPv6 verwendet

Links

• NAT-überquerender Test und Ergebnisse
• Charakterisierung von verschiedenem TCP NATs - Papier, die verschiedenen Typen von NAT besprechend
• Einführung ins NAT Konzept, Router NAT Tisch & Beispiele der Statischen, Dynamischen und NAT Überlastung (Cisco Router) - www. Firewall.cx
• Anatomie: Ein Blick Innerhalb von Netzadressübersetzern - Band 7, Ausgabe 3, September 2004
• Jeff Tyson, HowStuffWorks: Wie Netzadressumrechnungsarbeiten
• NAT Traversal-Techniken in Multimedianetzen - Weißbuch von Newport Netzen
• NAT Traversal für IP Kommunikationen - Weißbuch von Augapfel-Netzen
• Gleicher-zu-Gleicher-Kommunikation Über Netzadressübersetzer (PDF) - NAT Traversal-Techniken für UDP und TCP

http://www.zdnetasia.com/insight/network/0,39044847,39050002,00.htm

• RFCs
• RFC 1631 (Status: Veraltet) - IP Network Address Translator (NAT)
• RFC 1918 - Adresszuteilung für das Private Internet
• RFC 3022 (Status: Informations-) - Traditioneller IP Netzadressübersetzer (Traditioneller NAT)
• RFC 4008 (Status: Standardspur) - Definitionen von Geführten Gegenständen für Network Address Translators (NAT)
• RFC 5128 (Status: Informations-) - Staat von Gleicher-zu-Gleicher-(P2P) Kommunikationen über Netzadressübersetzer (NATs)
• RFC 4966 (Status: Informations-) - Gründe, den Netzadressübersetzer - Protokoll-Übersetzer (NAT-PT) zum Historischen Status Zu bewegen
• Sprechen Sie Frei Ende der Lebensansage - die Diskussion von John Walker dessen, warum er aufgehört hat, ein berühmtes Programm für die freie Internetkommunikation zu entwickeln, deren Teil direkt mit NAT verbunden ist
• natd
• SNAT, DNAT und OCS2007R2 - das Besprechen des SNAT in Microsoft OCS 2007R2
• Alternative Taxonomie (Ein Teil der Dokumentation für IBM iSeries)
• Statischer NAT
• Dynamischer NAT
• Maskerade NAT
• Netzadressumrechnung - NAT
• Cisco Systeme
• Dokumentenpersonalausweis 6450: Wie NAT-Arbeiten
• Dokumentenpersonalausweis 26704: Häufig gestellte Fragen von Network Address Translation (NAT)
• Weißbuch: Cisco Ein/Ausgabe-Steuersystem-Netzadressumrechnungsübersicht
• Ein/Ausgabe-Steuersystem von Cisco Befehle von NAT ein/Ausgabe-Steuersystem von Cisco befiehlt
• Zeichentrickfilm Cisco NAT Probe