NAT چیست ؟ : ترجمه آدرس شبکه در روتر

NAT چیست

از ژوئن 2012 با نسخه ششم پروتکل اینترنت (IPv6)، راه حلی برای کمبود فزاینده آدرس های IP در دسترس است. اما حرکت به سمت استاندارد جدید اینترنت یک روند کند و طولانی است.

طبق آمار گوگل، در اکتبر 2016 بیش از 85 درصد از کاربران اینترنت در سراسر جهان هنوز از IPv4 قدیمی استفاده می کنند. اما با حدود 4.3 میلیارد آدرس، دیگر برای تامین تعداد زیادی از دستگاه‌های مجهز به اینترنت با IP منحصر به فرد کافی نیست. نه تنها رایانه‌ها، تبلت‌ها یا گوشی‌های هوشمند نیاز به دسترسی به دنیای آنلاین دارند – در اینترنت اشیا (IoT)، حتی یخچال‌ها، ترازوهای شخصی یا دستگاه‌های قهوه به تجهیزات شبکه هوشمند تبدیل می‌شوند.

IPv4 مشکل در دسترس بودن آدرس را از اوایل دهه 90 با جدایی واضح بین فضای آدرس خصوصی و عمومی جبران کرده است. در شبکه‌های محلی (LAN)، دستگاه‌های دارای قابلیت اینترنت با آدرس‌های IP خصوصی به صورت محلی آدرس‌دهی می‌شوند و با یک IP عمومی مشترک به اینترنت متصل می‌شوند. میانبر برای مناطق آدرس عمومی و خصوصی، روتر است. اینجا جایی است که ترجمه آدرس شبکه یا NAT انجام می شود.

NAT چیست؟

مخفف NAT مخفف Network Address Translation است، فرآیندی که بین دو شبکه و به طور کلی در روتر انجام می شود. دو نوع مختلف ترجمه آدرس شبکه وجود دارد: Source-NAT (SNAT) و Destination-NAT (DNAT).

Source-NAT

کاربران خصوصی بیشتر با ترجمه آدرس شبکه به شکل Source-NAT مواجه می شوند. این روش در شبکه‌های خانگی و شرکتی زمانی استفاده می‌شود که یک دستگاه شبکه با آدرس IPv4 خصوصی برای دسترسی به اینترنت از طریق یک IP عمومی استفاده می‌شود. به طور کلی، اصطلاح NAT حتی اگر معنای آن واضح نباشد استفاده می شود.

NAT چیست ؟ : NAT در مقابل PAT

اساساً، باید تمایز قائل شد که آیا هر آدرس IP خصوصی در یک شبکه باید به آدرس IP عمومی خود اختصاص داده شود (ترجمه 1:1) یا اینکه آیا همه دستگاه های شبکه یک IP عمومی مشترک دارند (n:1 ترجمه).

به بیان دقیق تر، ترجمه آدرس شبکه فقط با ترجمه 1:1 به معنای واقعی کلمه سروکار دارد، زیرا در این مورد فقط آدرس های شبکه بازنویسی می شوند. از سوی دیگر، ترجمه n:1 نیاز به تطبیق شماره پورت دارد. این روش با نام های PAT (ترجمه پورت و آدرس) یا NAPT (ترجمه پورت آدرس شبکه) شناخته می شود.

از آنجایی که مفهوم PAT در شبکه های خانگی و شرکتی مبتنی بر IPv4 مورد استاندارد است، این روش اغلب به اشتباه به عنوان NAT نامیده می شود. عبارات رایج مانند روتر NAT یا جدول NAT نیز در چارچوب مفاهیم PAT استفاده می شود. بنابراین، وقتی امروز در مورد NAT صحبت می شود، معمولا PAT یا NAPT منظور می شود.

توابع ترجمه پورت و آدرس (PAT)

ترجمه آدرس شبکه عموماً به شکل PAT به منظور اتصال چندین دستگاه محلی به اینترنت از طریق یک آدرس IP مشترک استفاده می شود.

از آنجایی که IPهای خصوصی قابل مسیریابی نیستند (و بنابراین در اینترنت معنایی ندارند)، بسته های داده ای که یک کامپیوتر (کلینت) در شبکه محلی به سروری در اینترنت می فرستد باید با یک IP عمومی توسط روتر ارائه شود. برای این منظور، آدرس IP خصوصی مشتری ذخیره شده در هدر بسته داده با آدرس IP عمومی خود تغییر می کند. علاوه بر این، شماره پورت استفاده شده داخلی با یکی از پورت های رایگان روتر جایگزین می شود. این برای سرورهای اینترنت به عنوان فرستنده همه بسته‌های داده‌ای که از شبکه محلی ارسال می‌شوند ظاهر می‌شود.

اطلاعات کامل اتصال (آدرس‌های IP، پورت‌ها و زمان‌بندی‌ها) در یک جدول به اصطلاح NAT ذخیره می‌شوند (از نظر فنی، این جدول PAT نیز نامیده می‌شود). سرور آدرس‌دهی شده به درخواست رایانه محلی با یک بسته داده پاسخ می‌دهد که ابتدا به پورت روتر مربوطه ارسال می‌شود. اکنون این وظیفه دارد که بسته های داده ورودی را به دستگاه شبکه مربوطه ای که درخواست را آغاز کرده است اختصاص دهد. هر چیزی که روتر برای این کار نیاز دارد در اطلاعات اتصال جدول NAT موجود است.

در اینجا یک مثال برای روشن شدن وجود دارد:

تصور کنید یک روتر آدرس IP عمومی 217.229.111.18 را توسط یک ارائه دهنده خدمات اینترنتی (ISP) اختصاص داده است و به عنوان یک دروازه پیش فرض برای یک شبکه محلی عمل می کند. این دارای محدوده آدرس IP خصوصی 192.168.0.0/24 (همه آدرس ها از 192.168.0.0 تا 192.168.0.24) برای دستگاه های شبکه در دسترس است. حال، اگر دستگاهی (مثلاً رایانه ای با آدرس IP خصوصی 192.168.0.2) بخواهد به اینترنت اتصال برقرار کند (مثلاً به یک وب سرور با IP عمومی 71.123.239.82 در پورت شماره 80 خود)، یک پورت داخلی (به عنوان مثال 22433) را رزرو می کند و درخواست اتصال به روتر فهرست شده به عنوان دروازه پیش فرض را ارسال می کند. این به صورت داخلی از طریق IP خصوصی 192.168.0.1 آدرس دهی می شود و با IP عمومی 217.229.111.18 با خارج ارتباط برقرار می کند.

روتر اطلاعات زیر را دریافت می کند: دستگاه 192.168.0.2 می خواهد در پورت 22433 به 71.123.239.82 در پورت 80 اتصال برقرار کند. برای مطابقت با این درخواست، روتر باید آدرس منبع دستگاه LAN (آدرس IP و پورت) را جایگزین کند. شماره) با آدرس خود فرستنده. برای این، هر پورت رایگان را رزرو می کند (مثلاً 61001) و ترجمه آدرس شبکه را فوروارد می کند: 192.168.0.2:22433 به 217.229.111.18:61001 تبدیل می شود.

تمام اطلاعات مربوطه در جدول NAT روی روتر ذخیره می شود.

پس از دریافت آن توسط وب سرور، درخواست پردازش می شود و در صورت امکان با بسته داده درخواستی (یعنی داده های یک وب سایت) پاسخ داده می شود. این پاسخ ابتدا به روتر می رسد و سپس با استفاده از اطلاعات اتصال ذخیره شده ارسال می شود. طبق جدول NAT، پورت خارجی 61001 برای بسته های پاسخ ارسال شده به پورت 22433 دستگاه شبکه 192.168.0.2 رزرو شده است.

علاوه بر آدرس های IP و شماره پورت، روتر یک نشانگر زمان برای هر اتصال در جدول NAT یادداشت می کند. این به عنوان یک بازه زمانی عمل می کند و نشان می دهد که چه زمانی می توان ورودی مربوطه را حذف کرد. این تضمین می کند که پورت ها به طور دائم در هنگام عدم فعالیت باز نمی مانند و به دروازه ای برای حملات اینترنتی تبدیل نمی شوند.

Destination-NAT

در حالی که Source-NAT اتصال از LAN به اینترنت را امکان پذیر می کند، Destination-NAT برای دسترسی دائمی یک دستگاه محلی برای اتصالات ورودی از اینترنت استفاده می شود. برای این کار، یک پورت عمومی از طریق پیکربندی روتر به طور دائم به آدرس IP یک دستگاه شبکه محلی متصل می شود. تمام بسته های داده ای که به پورت مربوطه می روند به طور خودکار به آدرس هدف محلی ارسال می شوند. به این کار انتقال پورت می گویند.

این روش، برای مثال، اگر قرار است سروری خدماتی را از شبکه LAN در اینترنت ارائه کند، استفاده می شود. اما پورت های باز یک خطر امنیتی دارند. بنابراین، توصیه می‌شود با جداسازی دستگاه‌هایی که با ارسال پورت در مناطق غیرنظامی (DMZ) آدرس‌پذیر هستند، از شبکه محلی در برابر ترافیک داده‌های اینترنتی محافظت شود.

NAT چیست ؟ : ویژگی یا مسئولیت امنیتی؟

ترجمه آدرس شبکه در روتر گاهی اوقات به عنوان یک ویژگی امنیتی به دلیل جدایی شدید LAN و اینترنت مورد بحث قرار می گیرد. عملکرد حفاظتی فرضی فقط یک عارضه جانبی است. NAT و PAT برای مقابله با کمبود آدرس های IPv4 توسعه یافته اند. این روش نمی تواند عملکردهای فایروال یا فیلتر بسته را ارائه دهد.

اما NAT و PAT به کاربران در شبکه های خصوصی درجه خاصی از حریم خصوصی را ارائه می دهند. از آنجایی که همه دستگاه‌های محلی IPv4 LAN از طریق یک آدرس IP عمومی یکسان آنلاین می‌شوند، کاربران می‌توانند کم و بیش به صورت ناشناس گشت و گذار کنند. میزبان مجزا در پشت روتر شبکه مستقیماً از طریق اینترنت قابل آدرس‌دهی نیست – مگر اینکه ارسال پورت برای این منظور ایجاد شده باشد.

برای ناظران خارجی، به نظر می رسد که همه درخواست ها از LAN به روتر می روند.

این روش همچنین دارای یک عملکرد حفاظتی است که تضمین می‌کند تا زمانی که آن را با انتشار پورت لغو نکنید، تمام تلاش‌های اتصال خارجی آغاز شده به‌طور خودکار کنار گذاشته می‌شوند. بسته‌های پاسخ تنها در صورتی از اینترنت پذیرفته می‌شوند که پاسخ سرور در یک پورت روتر خاص مورد انتظار باشد. کدام وب سرور پاسخ می دهد در NAT یا PAT بررسی نمی شود. اگر یک پورت روتر به عنوان بخشی از راه‌اندازی اتصال داخلی باز شود، یک مسئولیت امنیتی ایجاد می‌کند. توصیه می شود مکانیسم های امنیتی اضافی مانند فایروال ها و فیلترهای بسته را پیاده سازی کنید.

نقاط ضعف ترجمه آدرس شبکه از طریق NAT یا PAT که عمدتاً ناشی از جداسازی دقیق فضاهای آدرس خصوصی و عمومی است را نمی توان نادیده گرفت. این نقض اصل end-to-end طراحی اینترنت است، بنابراین NAT برای برنامه های اینترنتی که بر اساس این اصل طراحی شده اند یک مشکل است.

پروتکل‌هایی مانند FTP با این فرض عمل می‌کنند که میزبان‌ها در اینترنت مستقیماً با یکدیگر ارتباط برقرار می‌کنند، بدون اینکه گره‌ای مداخله‌گر آدرس IP یا شماره پورت را تغییر دهد. در شبکه‌های IPv4 مبتنی بر NAT، تنها با کمک فناوری‌های دور زدن می‌توان از آن‌ها استفاده کرد. هر مکانیزم اضافی مورد نیاز، پیچیدگی و احتمال خطای یک سیستم فناوری اطلاعات را افزایش می دهد. بنابراین، اجرای مداوم اصل end-to-end هدف اصلی طراحی استاندارد وب جدید IPv6 است.

IPv6: پایان NAT؟

با نسخه ششم پروتکل اینترنت، تعداد آدرس های IP موجود در سراسر جهان چندین برابر شده است. به جای 4.3 میلیارد آدرس IPv4، اکنون از نظر تئوری 340 شش میلیارد آدرس IPv6 برای اتصال دستگاه های شبکه به اینترنت در دسترس است. به عبارت دیگر: هر قهوه ساز آدرس IP منحصر به فرد خود را دارد که در سطح جهانی قابل مسیریابی است. ترجمه آدرس شبکه از طریق NAT اساساً غیرضروری است، اما همچنان می‌تواند در شبکه‌های IPv6 برای محافظت از مناطق آدرس خصوصی از شبکه عمومی استفاده شود.

NAT چیست ؟

ترجمه شده توسط سایت دریای شرق از سایت
کپی بدون ذکر نام و لینک سایت دریای شرق ممنوع است !

NAT چیست ؟

About The Author