Algún resumen sobre NAT
Etiqueta: tcp/ip
La traducción de direcciones de red, también conocida como enmascaramiento de red y enmascaramiento de IP (inglés: Network Address Translation, abreviatura: NAT), es un tipo de IP en la computadora. Redes Tecnología que reescribe la dirección IP de origen o la dirección IP de destino cuando un paquete de datos pasa a través de un enrutador o firewall. Esta técnica se usa comúnmente en redes privadas que tienen múltiples hosts pero solo acceden a Internet a través de una dirección IP pública. Es una tecnología conveniente y ampliamente utilizada. Por supuesto, NAT también complica la comunicación entre hosts, lo que lleva a una reducción en la eficiencia de la comunicación.
NAT se popularizó como solución a la escasez de direcciones IPv4 y para evitar la dificultad de reservar direcciones IP.
En una configuración típica, una red local utiliza una subred designada de una red privada (como 192.168.x.x o 10.x.x.x) y un enrutador conectado a esta red. Este enrutador ocupa una dirección privada en este espacio de direcciones de red (como 192.168.0.1) y también está conectado a Internet a través de direcciones IP públicas proporcionadas por uno o más proveedores de servicios de Internet (llamado NAT de "sobrecarga"). Cuando la información pasa de la red local a Internet, la dirección de origen se convierte de una dirección privada a una dirección pública. El enrutador rastrea los datos básicos de cada conexión, principalmente la dirección y el puerto de destino. Cuando una respuesta regresa al enrutador, utiliza los datos de seguimiento de la conexión registrados durante la etapa de salida para decidir a qué host de la red interna reenviar si hay varias direcciones públicas disponibles, se puede usar el número de puerto del cliente TCP o UDP; cuando el paquete regresa. Se utiliza para descomponer paquetes de datos. Para las comunicaciones a través de Internet, el propio enrutador actúa como origen y destino.
Una opinión popular en Internet es que la adopción generalizada de IPv6 hará que NAT ya no sea necesario, porque NAT es solo un método para lidiar con el espacio de direcciones insuficiente de IPv4.
Texto original: /gui951753/article/details/79593307
Los hosts bajo un enrutador con funcionalidad NAT no tienen direcciones IP reales creadas y no pueden participar en algunos protocolos de Internet. Algunas conexiones TCP y protocolos sin estado (como UDP) que requieren inicialización desde la red externa no se pueden implementar. A menos que el administrador del enrutador NAT establezca reglas de antemano, los paquetes de datos entrantes no llegarán a la dirección de destino correcta. En ocasiones, algunos protocolos pueden acomodar una instancia de NAT entre hosts participantes, como FTP, con la ayuda de una puerta de enlace de capa de aplicación (ver más abajo). NAT también complica los protocolos de seguridad, como IPsec.
Las conexiones de extremo a extremo son uno de los protocolos de Internet principales respaldados por la Junta de Arquitectura de Internet (IAB), por lo que algunas personas creen que NAT es una interrupción de la Internet pública. Algunos proveedores de servicios de Internet (ISP) sólo proporcionan direcciones IP locales a sus clientes, por lo que deben utilizar NAT para acceder a servicios fuera de la red del ISP, y también se ha debatido la cuestión de si estas empresas realmente pueden proporcionar servicios de Internet.
Además de la conveniencia y el costo de NAT, la falta de soporte para conexiones full-duplex puede verse como una característica beneficiosa en lugar de una limitación en algunos casos. En la medida en que NAT dependa de una máquina en la red local para iniciar cualquier conexión a un host en el otro lado del enrutador, puede evitar actividades maliciosas de los hosts en la red externa. De esta manera, se pueden bloquear los gusanos de red para mejorar la confiabilidad del sistema local y se puede bloquear la navegación maliciosa para mejorar la privacidad del sistema local. Muchos firewalls con funcionalidad NAT utilizan esta funcionalidad para brindar protección central. Además, también proporciona comodidad para la transmisión UDP entre LAN.
NAT básica y traducción de números de puerto
Traducción de direcciones de red básica (NAT básica)
Este tipo también puede denominarse NAT o "NAT estática". proporcionado en RFC 2663. Es técnicamente relativamente simple y solo admite la traducción de direcciones y no admite el mapeo de puertos. La NAT básica requiere que cada conexión actual corresponda a una dirección IP de red pública, por lo que se debe mantener un grupo de direcciones de red pública. Los enrutadores de banda ancha suelen utilizar este método para permitir que un dispositivo designado administre todos los enlaces externos, incluso cuando el enrutador solo tiene una IP externa disponible. Este enrutador a veces está marcado como un host DMZ. Debido al cambio de la dirección IP de origen, se debe volver a calcular la suma de verificación cuando se vuelve a encapsular el paquete de datos. Se debe volver a calcular cualquier suma de verificación del encabezado por encima de la capa de red que involucre la dirección IP.
Traducción de puertos de direcciones de red (NAPT)
Este método admite el mapeo de puertos y permite que varios hosts compartan una dirección IP pública.
La NAT que admite la traducción de puertos se puede dividir en dos categorías: traducción de direcciones de origen y traducción de direcciones de destino.
En el primer caso, la dirección IP de la computadora que inicia la conexión se reescribirá para que los paquetes de datos enviados por el host de la red interna puedan llegar al host de la red externa. En el último caso, la dirección IP de la computadora conectada se reescribirá para que los paquetes de datos enviados por el host de la red externa puedan llegar al host de la red interna. De hecho, los dos métodos anteriores generalmente se usan juntos para admitir la comunicación bidireccional.
La unicidad del número de puerto se utiliza para realizar el paso de convertir la IP de la red pública a la IP de la red privada. PAT (recarga NAT) puede usar números de puerto de la capa de transporte para identificar hosts, por lo que, en teoría, hasta aproximadamente 65 000 hosts pueden usar una dirección IP pública
NAPT mantiene una La tabla NAT de números de IP y puertos tiene la siguiente estructura.
IP interna IP externa
192.168.1.55:5566 219.152.168.222:9200
192.168.1.59:80 219.152.168.222:9201
192.168.1.59:4465 219.152.168.222:9202
Diferentes tipos de NAT:
NAT de cono completo (Full cone NAT), es decir, uno a uno a- one) NAT
Una vez que una dirección interna (iAddr:puerto) se asigna a una dirección externa (eAddr:puerto), todos los paquetes enviados desde iAddr:puerto se envían a través de eAddr:puerto. Cualquier host externo puede llegar a iAddr:port enviando un paquete a eAddr:port (nota: no es necesario que los puertos sean iguales)
Port-Restricted cone NAT (Port-Restricted cone NAT)
Similar a Restricted cone NAT (NAT de cono restringido), pero con restricciones de puertos.
Una vez que una dirección interna (iAddr:port1) se asigna a una dirección externa (eAddr:port2), todos los paquetes enviados desde iAddr:port1 se envían a través de eAddr:port2.
Basado en el cono restringido NAT, se agrega que el puerto de origen del host externo debe ser fijo.
NAT simétrica (NAT simétrica)
Cada solicitud desde la misma IP y puerto interno a una dirección y puerto de destino específicos se asigna a una dirección IP y puerto externos únicos.
Los paquetes enviados desde la misma IP interna y puerto a diferentes destinos y puertos utilizan diferentes asignaciones. Solo los hosts externos que han recibido datos del host interno pueden enviar los paquetes de datos de vuelta.
p. >