Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

NAT: маскировка в пределах прямой видимости

Майк Фратто

Имея соединение с территориально распределенной сетью и IP-адрес, едва ли не каждый может получить доступ в Интернет. Плохо лишь то, что пространство разрешенных IP-адресов ограниченно.

При возникновении конфликтов можно попытаться изменить адресацию непосредственно в вашей IP-сети, но это займет много времени, к тому же появится риск нарушить работу унаследованных приложений. Кроме того, из-за недостаточного размера адресного пространства получить зарегистрированный IP-адрес от вашего поставщика услуг Интернет (ISP) может оказаться трудно, а подчас и дорого. Стандарт IPv6 (см.: Сети и системы связи. 1998. № 12. С. 94) позволяет решить проблему недостатка адресного пространства, однако, с одной стороны, многие организации уже «связали себе руки», используя в своих сетях незарегистрированные адреса, а с другой — нельзя мгновенно перейти с IPv4 на IPv6.

Итак, если вы планируете предоставить своим пользователям доступ в Интернет, вам понадобятся зарегистрированные IP-адреса. Поддерживая трансляцию сетевых адресов (Network Address Translation — NAT), вы сможете решить целый ряд проблем.

NAT позволяет разрешать конфликты, связанные с IP-адресами, заменяя в IP-пакете незарегистрированный адрес на зарегистрированный (хотя из-за изменения с помощью NAT IP-адресов в пакетах многие сторонники «чистоты» протокола IP считают этот прием некорректным).

Обычно функция NAT реализуется такими устройствами, как сетевые маршрутизаторы, межсетевые экраны, маршрутизаторы ISDN, или специальными NAT-устройствами. Используя статические таблицы, они устанавливают соответствие между незарегистрированными и зарегистрированными IP-адресами, имеющимися по разные стороны устройства.

Перед последующей пересылкой каждый пакет, проходящий через NAT-устройство, преобразуется, получая правильный адрес. И хотя этот процесс требует некоторой дополнительной обработки, вызываемые трансляцией адресов потери производительности для большинства сетей невелики, если только ее не применяют к большому числу хостов при значительных потоках данных.

Помните, что NAT не является защитной функцией и не дает никаких гарантий безопасности вашей сети. NAT маскирует IP-адреса от внешнего мира, но не предотвращает разные «каверзные трюки» со стороны взломщиков: например, прослушивание соединений, перехват сеансов связи или иные виды вторжения. Такие функции, как фильтрация пакетов, туннелирование и межсетевое экранирование обеспечиваются совершенно другими механизмами.

В то же время NAT становится все более привычной функцией для устройств, работающих с IP-пакетами, таких, как межсетевые экраны и маршрутизаторы. А поскольку эти устройства «по долгу службы» имеют дело с содержимым пакетов, затраты на замену адресов оказываются минимальными.

Имеются три вида трансляции сетевых адресов: статическая, динамическая и на уровне портов (иногда называемая Port Address Translation — PAT). Наиболее просто установить статическую трансляцию. В этом случае за каждым хостом внутренней сети постоянно закрепляется адрес для выхода во внешнюю сеть. При динамической трансляции используется некий пул адресов внешней сети, которые назначаются внутренним хостам. PAT ставит в соответствие внутренним соединениям единственный IP-адрес внешней сети, но с номером порта TCP, выбранным устройством NAT.

В зависимости от решаемых вами задач каждый из видов трансляций имеет определенные преимущества и недостатки.

Мы весьма успешно реализовали все три вида трансляции сетевых адресов как на испытательном стенде лаборатории журнала Network Computing в Сиракузском университете, так и в промышленных сетях. Теперь можно перейти к рассмотрению их достоинств и способов применения.

Как это делается

Когда один – это много

Вопросы безопасности

Полную версию данной статьи смотрите в 1-м номере журнала за 1999 год.





  
1 '1999
СОДЕРЖАНИЕ

колонка редактора

• Ирония судьбы, или NDS по осени считают

локальные сети

• Хорошая проводка - это оптимальный кабель, бережливость, изобретательность

• Как построить высокопроизводительную сеть Ethernet

• Портативные приборы для тестирования сети

• Выбираем высокопроизводительный сетевой принтер

• Недорогая кластерная технология

• Парад коммутаторов Gigabit Ethernet (часть вторая)

бизнес

• Стратегия-партнерство

• Nortel продолжает интеграцию

• Newbridge сегодня: масштабируемость, управляемость, надежность

интернет и интрасети

• Java готовится к штурму предприятий

• Бизнес-планирование в электронной коммерции

• NAT: маскировка в пределах прямой видимости

корпоративные сети

• Распределенная файловая система Microsoft

• IP-телефония на вашем предприятии

• Раскроем тайну РРР

услуги сетей связи

• Европа на перекрестке технологий

• Внимание-границе

• Новые продукты для эффективного использования полосы пропускания

• Все услуги - по одной линии

• IP - телефония: все дело в дополнительных услугах

• WiseWan - новое поколение систем сетевого управления

защита данных

• Охота за вирусом: взять живым или мертвым

новые продукты

• Распределенная маршрутизация от RADLAN; Новый оптический соединитель LightCrimpPlus компании AMP; FibeAir 1500: по воздуху - как по волокну; Тестер DST 2000 - прибор нового поколения



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх