NAT (Network Address Translation), IP Maquerading, Network Maquerading, Native Address Translation – трансляция сетевого адреса

Технология описана в RFC 3022.

Назначение

Проблема, которую решает NAT: недостаточное количество IP-адресов для всех пользователей. Например необходимо обеспечить уникальными адресами все устройства, имеющие выход в Интернет в одной квартире, а уникальных адресов не хватает. Проблема актуальная для протокола IPv4, количество IP-адресов в котором ограничено ~ четырьмя миллиардами.

Описание

Технология, заключающаяся в предоставлении провайдером одного IP-адреса маршрутизатору и в замене на него адреса отправителя в сетевом пакете, исходящем от одного из клиентов подсети, находящейся за NAT-маршрутизатором. При поступлении ответных пакетов из Интернет ожидающему клиенту, происходит обратная замена адреса (адрес маршрутизатора на адрес клиента подсети). Внутри подсети, находящейся за NAT-маршрутизатором, каждый клиент имеет свой уникальный IP-адрес.

Для подсети, находящейся за NAT, применяются следующие диапазоны адресов:

Для однозначной идентификации IP-адресов (NAT-маршрутизатора и клиента) применяются порты, значения которых хранятся в полях TCP- или UDP-пакетов.

Механизм

Преобразование пакета, идущего от клиента подсети в Интернет.

Когда исходящий пакет от клиента подсети (источник) приходит в NAT-блок, его IP-адрес заменяется IP-адресом, выделенным провайдером и назначенным интерфейсу маршрутизатора, обращенного к Интернет.

Добавление к пакету уникального номера порта из таблицы преобразования (NAT), который однозначно идентифицирует источник.

Пересчет контрольных сумм заголовков TCP и IP, т.к. в них изменились адрес и порт источника.

Далее пакет передается в следующий логический блок для пересылки в Интернет.

Преобразование пакета, идущего из Интернета к клиенту подсети.

Когда пакет прибывает на NAT-блок со стороны Интернет, из него (заголовок TCP) извлекается значение порта источника. По нему NAT-блок находит в своей таблице IP-адрес клиента, которому предназначается этот пакет.

Происходит замена IP-адреса адресата: с адреса маршрутизатора на адрес клиента. Также определяется настоящий номер порта адресата, который подставляется в заголовок TCP-пакета. Номера портов до замены и после могут отличаться. И только после сопоставления их через NAT-таблицу однозначно определяется адресат.

Заново происходит пересчет контрольной суммы пакета.

После чего пакет передается в следующий логический блок маршрутизатора для его доставки.

Недостатки NAT:

1) Технология нарушает парадигму протокола IP, которая указывает IP-адресам быть уникальными для каждого хоста в Интернет. При использовании NAT тысячи машин могут иметь уникальные IP-адреса из диапазонов, предназначенных для локальных сетей.

2) Нарушается «сквозной» принцип, согласно которому каждый хост должен уметь отправлять пакет любому другому хосту в любой момент времени. Отображение адресов в NAT-блоке задается исходящими пакетами, входящие пакеты не принимаются до тех пор, пока не отправлены исходящие. Клиент домашней сети с NAT может создать TCP/IP-соединение с удаленным сервером, но удаленный пользователь не может подключиться к игровому серверу в домашней сети с NAT. Решение: технология NAT Traversal (NAT-T).

3) NAT преобразует способ передачи данных в сети «без установления соединения» в способ передачи с установлением соединения. NAT-блок должен поддерживать таблицу преобразования адресов и портов для пакетов проходящих через него и требующих это. Запоминать состояние соединения — необходимость для сетей, ориентированных на соединение. Если вдруг NAT-таблица будет повреждена, то все TCP-соединения, связанные с клиентами локальной сети и проходящие через NAT-блок, будут потеряны.

4) Нарушается базовый принцип независимости сетевых уровней друг от друга. Для трансляции IP-адресов используются служебные поля TCP, UDP протоколов (транспортный уровень), которые содержат номера портов, необходимых для определения IP-адреса клиента в локальной сети, чтобы правильно доставить ему IP-пакет (сетевой уровень). Очевидна зависимость сетевого уровня от транспортного: если вдруг поменяется протокол TCP и в нем исчезнут (поменяются) поля, предназначенные для указания портов отправителя и адресата, то технология NAT перестанет работать.

5) Нарушение принципа, при котором процессы в сети не обязаны использовать уже существующие протоколы, а могут использовать свои. Принцип нарушается технологией NAT: используются TCP и UDP, а именно поля их пакетов для хранения номеров портов отправителя и адресата. При использовании другого протокола, отличного от TCP и UDP, NAT работать не будет.

6) Нарушение работы некоторых протоколов, требующих множественных TCP-соединений, или UDP-портов (FTP).

7) Лишь ограниченное число IP-адресов клиентов (и их процессов в совокупности) в локальной сети могут быть сопоставлены с номерами портов, число которых ограничено. 65535 – это общее число портов, из которых зарезервировано 1023. Лишь у одного клиента локальной сети могут быть несколько процессов, требующих каждый для себя отдельного номер порта. Следовательно, на одного клиента может уйти несколько номеров портов.