A NAT-nak két fő felhasználási területe van:
A NAT lehetővé teszi az IP hostoknak (TCP/IP hálózatban működő – kiszolgáló – számítógép), hogy a saját belső hálózatukban az Internet eléréséhez ne legyen szükség globális, egyedi, bejegyzett (fix) IP címekre.
A NAT képes korlátozni a nyilvános hálózatról az IP kiszolgálón keresztül való saját hálózati erőforrásainak elérését.
Az Internet eléréséhez a kiszolgálónak rendelkeznie kell egy globális egyedi címmel, melyet az Internet cím kiadó hatóságtól (IANA) vagy egyéb Internet szolgáltatótól kapott. A regisztrált IP címek kifogyása miatt ésszerűtlen a saját hálózatunk minden elemének fix IP címet kiosztani. A NAT megoldja ezt a problémát, a globális egyedi címet automatikusan újraosztja bármely kiszolgálónak, hogy az Internet elérhető legyen az “egyedi” router interfészen keresztül. A NAT lehetővé teszi, hogy a kiszolgáló a saját hálózatán is elérhesse az Internetet, még akkor is, ha az ő IP címe nem egyedi és globális.
A NAT képes korlátozni a nyilvános hálózatról a saját hálózati erőforrásainak elérését. A NAT konfigurálásával – címek átfordításával csak azon kiszolgálók számára, melyeket elérhetővé akarunk tenni a saját hálózatunkon kívülről is – letilthatjuk az összes egyéb erőforrás elérhetőségét a belső hálózatunkban. Bár a NAT-ot leggyakrabban az Internet elérés biztosítására használják, a NAT képes még a saját hálózatunkon belül elszigetelni, vagy megvédeni bizonyos rendszerelemeket a hálózatunk többi részéről. Például, a NAT használatával korlátozható a vállalat összes kritikus erőforrásának elérése, vagy levédhetők bizonyos pénzügyi adatok vagy a személyzeti osztály elszigetelhető az általános eléréstől.
Működési módok
A NAT beállítható a következő három működési mód egyikére: csak dinamikus, csak statikus, és a dinamikus és statikus mód kombinációjára. Dinamikus módban a saját hálózat kiszolgálói számára lehetővé válik a nyilvános hálózat elérése. Statikus módban a nyilvános hálózat kiszolgálói számára lehetővé válik a belső hálózatunk kiválasztott erőforrásainak elérése, vagy bizonyos saját kiszolgálóknál a nyilvános kiszolgálók elérése. A két mód kombinációját akkor használjuk, amikor szükség van mindkét mód funkcióira.
Dinamikus módban a kiszolgálóknak az Internet eléréséhez a NAT dinamikusan osztja az IP címeket, és a port a felhasználható portok közül az, amelyik állandóan újra felhasználható. Minden alkalommal, amikor egy csomag elküldésére kerül sor, a nyilvános hálózaton a saját cím lecserélődik a globális egyedi címre és a véletlenszerűen hozzárendelt portra. Amikor az elemi munkafolyamat kész, akkor a port visszakerül, és majd újraosztásra kerül, ha szükséges. Csatlakozás nem kezdeményezhető a nyilvános hálózatról a saját hálózat felé. A dinamikus mód használatához a NAT interfészt egy nyilvános címmel kell konfigurálni.
A NAT tartalmaz 5000 portot a TCP csatlakozásra, 5000 portot az UDP hozzárendeléséhez és 5000 portot az ICMP hozzárendeléséhez. Új kapcsolat létesítéséhez, amikor mind az UDP vagy ICMP hozzárendelés használatban van, akkor a NAT megszünteti (eldobja) a legrégebbi hozzárendelést, és a port számát az új hozzárendelésnek adja. Új TCP kapcsolat létesítése, amikor mind az 5000 kapcsolat használatban van, a NAT átadja az új kapcsolatnak a port számát, miközben megszünteti a legrégebbi kapcsolatot a következő szempontok szerint (sorrendben):
Bármely kapcsolat, mely már több mint 8 órája nem vitt át csomagot.
Bármely kapcsolat, melynél a csatlakozási próbálkozás több mint 2 percig sikertelen volt. (Azon a három utas TCP handshake nem teljes.)
Statikus módban a NAT IP cím pár táblázattal konfigurálható. Minden egyes táblázatbejegyzés tartalmaz egy IP cím párt, minden egyes kiszolgáló számára engedélyezve van a nyilvános kiszolgáló elérése. Minden egyes párban az első IP cím a nyilvános IP cím, melyhez az egyéni cím hozzárendelődik, a második cím a saját hálózatban a kiszolgáló címe. Mivel a nyilvános kiszolgáló a saját kiszolgálót csak a nyilvános IP cím használatával érheti el, ezért a nyilvános kiszolgálók csak azokat a kiszolgálókat érhetik el, amelyeknek a saját IP címeik definiálva vannak ebben a hálózati cím átalakító táblázatban (NAT-ban). Ráadásul, ha egy saját IP hostnak bejegyzést készítünk a NAT táblázatban, annak teljes elérése lesz a nyilvános IP kiszolgálók felé. A statikus mód használatához, egy nyilvános IP címet kell konfigurálni minden egyes saját kiszolgálónak.
A NAT konfigurálható a statikus és dinamikus üzemmód párhuzamos működésére is. Ez az összetett mód akkor használható, amikor a saját hálózatban vannak olyan kiszolgálók, melyek el akarják érni az Internetet, és vannak olyan erőforrásaik, amelyeket elérhetővé akarnak tenni a nyilvános hálózatról. A dinamikus és statikus mód használatakor egy nyilvános címet kell konfigurálni az egyes saját kiszolgálókhoz.
Megvalósítás
Az IP cím átalakításon kívül a NAT-nak a következő előnyei vannak még:
Dinamikus módban a NAT lehetővé teszi az Internet elérését anélkül, hogy szerezni és újraosztani kellene globális egyedi (fix) IP címeket minden egyes egységnek a saját hálózatunkban.
A NAT fokozza a saját hálózat biztonsági szintjét elrejtve azok egyedi címeit.
Dinamikus módban a NAT (hivatalosan) lehetővé teszi nagyszámú felhasználó Internet elérését egyetlen hálózati cím felhasználásával, mivel minden egyes Internetre csatlakozó felhasználó eltérő portszámot használ.
A NAT szűrőként is viselkedik, csak bizonyos kifelé és befelé irányuló kapcsolatokat engedélyez. A szűrő típusát az határozza meg, hogy a NAT-ot dinamikus vagy statikus módú működésre konfiguráltuk-e.
A NAT egy proxy szerver funkcióit nyújtja az adminisztratív többletmunka és szükséges speciális kliens szoftver nélkül.
Megkötések
A NAT a következő megszorításokat teszi:
A NAT nem támogatja azokat az alkalmazásokat, amelyek az IP címet beágyazzák az adatcsomagokba. Azonban a NAT végrehajtja azokat a speciális műveleteket, melyek lehetővé teszik az FTP funkciók helyes végrehajtását. (RFC 1631)
A multicast és broadcast csomagok nem kerülnek lefordításra (átalakításra).
A NAT táblázatban beállított minden saját és nyilvános címpár nem állítható be ugyanarra az IP címre, hacsak nem a nyilvános címet helyi szolgáltatások elérésére használjuk a NAT-os routeren. Például, ha a helyi szolgáltatás magában foglal egy FTP és egy WWW szervert is.
A NAT nem teszi lehetővé, hogy két LAN vagy WAN interfészen keresztül is elérhető legyen ugyanaz a saját kiszolgáló, ha ez a kiszolgáló konfigurálva van a NAT táblázatban.
NAT-os WAN interfészt konfigurálni kell “WAN hálózati módban” (WAN Network Mode), be kell állítani a “számozott pont-pont kapcsolatot” (Numbered Point-to-Point), vagy a “többszörös elérést” (Multiacces).
A router konfigurálásánál az “IP elküldést” (IP Forwarding) “Yes”-re kell állítani.
Ha a “távoli router dinamikusan fog hozzárendelni IP címet” (Remote Router Will Dynamically Assign the IP Address) “Yes”-re van állítva, akkor a címhozzárendelés a csere tárgya, ez csak dinamikus módban praktikus.
A NAT lehetővé teszi az IP hostoknak (TCP/IP hálózatban működő – kiszolgáló – számítógép), hogy a saját belső hálózatukban az Internet eléréséhez ne legyen szükség globális, egyedi, bejegyzett (fix) IP címekre.
A NAT képes korlátozni a nyilvános hálózatról az IP kiszolgálón keresztül való saját hálózati erőforrásainak elérését.
Az Internet eléréséhez a kiszolgálónak rendelkeznie kell egy globális egyedi címmel, melyet az Internet cím kiadó hatóságtól (IANA) vagy egyéb Internet szolgáltatótól kapott. A regisztrált IP címek kifogyása miatt ésszerűtlen a saját hálózatunk minden elemének fix IP címet kiosztani. A NAT megoldja ezt a problémát, a globális egyedi címet automatikusan újraosztja bármely kiszolgálónak, hogy az Internet elérhető legyen az “egyedi” router interfészen keresztül. A NAT lehetővé teszi, hogy a kiszolgáló a saját hálózatán is elérhesse az Internetet, még akkor is, ha az ő IP címe nem egyedi és globális.
A NAT képes korlátozni a nyilvános hálózatról a saját hálózati erőforrásainak elérését. A NAT konfigurálásával – címek átfordításával csak azon kiszolgálók számára, melyeket elérhetővé akarunk tenni a saját hálózatunkon kívülről is – letilthatjuk az összes egyéb erőforrás elérhetőségét a belső hálózatunkban. Bár a NAT-ot leggyakrabban az Internet elérés biztosítására használják, a NAT képes még a saját hálózatunkon belül elszigetelni, vagy megvédeni bizonyos rendszerelemeket a hálózatunk többi részéről. Például, a NAT használatával korlátozható a vállalat összes kritikus erőforrásának elérése, vagy levédhetők bizonyos pénzügyi adatok vagy a személyzeti osztály elszigetelhető az általános eléréstől.
Működési módok
A NAT beállítható a következő három működési mód egyikére: csak dinamikus, csak statikus, és a dinamikus és statikus mód kombinációjára. Dinamikus módban a saját hálózat kiszolgálói számára lehetővé válik a nyilvános hálózat elérése. Statikus módban a nyilvános hálózat kiszolgálói számára lehetővé válik a belső hálózatunk kiválasztott erőforrásainak elérése, vagy bizonyos saját kiszolgálóknál a nyilvános kiszolgálók elérése. A két mód kombinációját akkor használjuk, amikor szükség van mindkét mód funkcióira.
Dinamikus módban a kiszolgálóknak az Internet eléréséhez a NAT dinamikusan osztja az IP címeket, és a port a felhasználható portok közül az, amelyik állandóan újra felhasználható. Minden alkalommal, amikor egy csomag elküldésére kerül sor, a nyilvános hálózaton a saját cím lecserélődik a globális egyedi címre és a véletlenszerűen hozzárendelt portra. Amikor az elemi munkafolyamat kész, akkor a port visszakerül, és majd újraosztásra kerül, ha szükséges. Csatlakozás nem kezdeményezhető a nyilvános hálózatról a saját hálózat felé. A dinamikus mód használatához a NAT interfészt egy nyilvános címmel kell konfigurálni.
A NAT tartalmaz 5000 portot a TCP csatlakozásra, 5000 portot az UDP hozzárendeléséhez és 5000 portot az ICMP hozzárendeléséhez. Új kapcsolat létesítéséhez, amikor mind az UDP vagy ICMP hozzárendelés használatban van, akkor a NAT megszünteti (eldobja) a legrégebbi hozzárendelést, és a port számát az új hozzárendelésnek adja. Új TCP kapcsolat létesítése, amikor mind az 5000 kapcsolat használatban van, a NAT átadja az új kapcsolatnak a port számát, miközben megszünteti a legrégebbi kapcsolatot a következő szempontok szerint (sorrendben):
Bármely kapcsolat, mely már több mint 8 órája nem vitt át csomagot.
Bármely kapcsolat, melynél a csatlakozási próbálkozás több mint 2 percig sikertelen volt. (Azon a három utas TCP handshake nem teljes.)
Statikus módban a NAT IP cím pár táblázattal konfigurálható. Minden egyes táblázatbejegyzés tartalmaz egy IP cím párt, minden egyes kiszolgáló számára engedélyezve van a nyilvános kiszolgáló elérése. Minden egyes párban az első IP cím a nyilvános IP cím, melyhez az egyéni cím hozzárendelődik, a második cím a saját hálózatban a kiszolgáló címe. Mivel a nyilvános kiszolgáló a saját kiszolgálót csak a nyilvános IP cím használatával érheti el, ezért a nyilvános kiszolgálók csak azokat a kiszolgálókat érhetik el, amelyeknek a saját IP címeik definiálva vannak ebben a hálózati cím átalakító táblázatban (NAT-ban). Ráadásul, ha egy saját IP hostnak bejegyzést készítünk a NAT táblázatban, annak teljes elérése lesz a nyilvános IP kiszolgálók felé. A statikus mód használatához, egy nyilvános IP címet kell konfigurálni minden egyes saját kiszolgálónak.
A NAT konfigurálható a statikus és dinamikus üzemmód párhuzamos működésére is. Ez az összetett mód akkor használható, amikor a saját hálózatban vannak olyan kiszolgálók, melyek el akarják érni az Internetet, és vannak olyan erőforrásaik, amelyeket elérhetővé akarnak tenni a nyilvános hálózatról. A dinamikus és statikus mód használatakor egy nyilvános címet kell konfigurálni az egyes saját kiszolgálókhoz.
Megvalósítás
Az IP cím átalakításon kívül a NAT-nak a következő előnyei vannak még:
Dinamikus módban a NAT lehetővé teszi az Internet elérését anélkül, hogy szerezni és újraosztani kellene globális egyedi (fix) IP címeket minden egyes egységnek a saját hálózatunkban.
A NAT fokozza a saját hálózat biztonsági szintjét elrejtve azok egyedi címeit.
Dinamikus módban a NAT (hivatalosan) lehetővé teszi nagyszámú felhasználó Internet elérését egyetlen hálózati cím felhasználásával, mivel minden egyes Internetre csatlakozó felhasználó eltérő portszámot használ.
A NAT szűrőként is viselkedik, csak bizonyos kifelé és befelé irányuló kapcsolatokat engedélyez. A szűrő típusát az határozza meg, hogy a NAT-ot dinamikus vagy statikus módú működésre konfiguráltuk-e.
A NAT egy proxy szerver funkcióit nyújtja az adminisztratív többletmunka és szükséges speciális kliens szoftver nélkül.
Megkötések
A NAT a következő megszorításokat teszi:
A NAT nem támogatja azokat az alkalmazásokat, amelyek az IP címet beágyazzák az adatcsomagokba. Azonban a NAT végrehajtja azokat a speciális műveleteket, melyek lehetővé teszik az FTP funkciók helyes végrehajtását. (RFC 1631)
A multicast és broadcast csomagok nem kerülnek lefordításra (átalakításra).
A NAT táblázatban beállított minden saját és nyilvános címpár nem állítható be ugyanarra az IP címre, hacsak nem a nyilvános címet helyi szolgáltatások elérésére használjuk a NAT-os routeren. Például, ha a helyi szolgáltatás magában foglal egy FTP és egy WWW szervert is.
A NAT nem teszi lehetővé, hogy két LAN vagy WAN interfészen keresztül is elérhető legyen ugyanaz a saját kiszolgáló, ha ez a kiszolgáló konfigurálva van a NAT táblázatban.
NAT-os WAN interfészt konfigurálni kell “WAN hálózati módban” (WAN Network Mode), be kell állítani a “számozott pont-pont kapcsolatot” (Numbered Point-to-Point), vagy a “többszörös elérést” (Multiacces).
A router konfigurálásánál az “IP elküldést” (IP Forwarding) “Yes”-re kell állítani.
Ha a “távoli router dinamikusan fog hozzárendelni IP címet” (Remote Router Will Dynamically Assign the IP Address) “Yes”-re van állítva, akkor a címhozzárendelés a csere tárgya, ez csak dinamikus módban praktikus.
Nincsenek megjegyzések:
Megjegyzés küldése