Qué es NAT y cómo funciona - episodio 1

68 0 2 0

Reimpresión autorizada por el autor zhushigeng (Vinsoney)

 

 

1. Descripción de NAT


093003tgqyhqegoj3qgg9g.png

 

La traducción de direcciones de red (NAT) es una contribución importante para aliviar el agotamiento de direcciones IPv4. Una vez que se implementa NAT en los dispositivos de red, los dispositivos de red pueden traducir las direcciones IP y los números de puerto que se transportan en paquetes.

 

Hay dos tipos de direcciones IP: públicas y privadas. La dirección IP privada se puede usar solo en una red local (LAN) pero no se puede usar para acceder a una red pública (Internet). Esto significa que a una PC de LAN se le debe asignar una dirección IP pública al acceder a una red pública. Sin embargo, los recursos de direcciones IP públicas son escasos, el espacio privado de direcciones IPv4 debe implementarse en la LAN y los usuarios de la intranet deben poder acceder a Internet.

 

La tecnología NAT traduce la dirección de origen o destino en un paquete IP. Cuando un paquete con una dirección IP de origen privada alcanza una salida de red, un dispositivo NAT traduce la dirección IP privada a una dirección IP pública válida y reenvía el paquete a la red pública. Cuando llega un paquete de datos devuelto, el dispositivo NAT traduce la dirección IP de destino a la dirección IP privada anterior.

 

Tabla 1-1 Ventajas y desventajas de NAT

 

164454j3lmc5zx3mxa4nz6.png?image.png

 

 

2. Tipos de NAT

 

NAT se clasifica en dos tipos:

 

1.- NAT de origen basada en direcciones IP:

 

- Traducción de direcciones sin puerto (no-PAT)

 

- Traducción de puerto de dirección de red (NAPT)

 

2.- NAT basada en la dirección IP de destino:

 

- Función interna del servidor NAT

 

- Destino NAT

 

 

2.1 NAT Tipo 1: Traducción de direcciones IP de origen - No-PAT


No-PAT se llama traducción de dirección uno a uno. Durante la traducción de la dirección, la dirección IP de origen de un paquete se traduce de una dirección IP privada a una dirección IP pública, pero el número de puerto (número de puerto TCP o UDP) no se traduce. El dispositi****signa todos los puertos a direcciones IP antes y después de la conversión de la dirección IP. La ventaja de esta aplicación es que todos los puertos asignados a las direcciones de red privadas no están traducidos. La desventaja es que las direcciones de red pública no se pueden asignar para asignar a otras direcciones de red privada. Una dirección IP privada consume exclusivamente una dirección IP pública.

 

Por ejemplo, un grupo de direcciones contiene solo dos direcciones IP públicas. Un host en una red privada utiliza una dirección IP pública para acceder a la red pública. En este caso, solo dos hosts en la red privada pueden acceder a la red pública al mismo tiempo. Sin embargo, un dispositivo en otra red privada puede acceder a la red pública solo después de que un host no tenga acceso a la red pública y se libere la dirección IP pública.


093004abx08mr0m046memu.png

 

La figura anterior se utiliza como ejemplo. Supongamos que un administrador de red solicita una dirección IP pública (200.1.1.100) y despliega no-PAT en un firewall. Una PC en 192.168.1.1 es acceder a 8.8.8.8 en la red pública. Las direcciones IP de origen y destino de los paquetes de datos se muestran en la siguiente figura. Una vez que el paquete llega al firewall, el firewall convierte la dirección IP de origen 192.168.1.1 a 200.1.1.100 (el número de puerto no se traduce) según una entrada de mapeo de NAT y reenvía el paquete a 8.8.8.8 a través de Internet. Ahora, el host en 8.8.8.8 necesita responder al paquete. La dirección IP de destino del paquete es 200.1.1.100. Tenga en cuenta que la red pública desconoce 192.168.1.1. Una vez que el paquete llega al firewall, el firewall convierte la dirección IP de destino a 192.168.1.1 y reenvía el paquete según la entrada de mapeo de NAT a 192.168.1.1. Este es el mecanismo de la asignación de NAT uno a uno. De acuerdo con la descripción anterior, no-PAT NAT no alivia el agotamiento de la dirección IP. Si 10 PC de la intranet intentan acceder a la red pública, deben estar disponibles 10 direcciones IP públicas.

 

En la implementación real, se utiliza el no-PAT basado en el grupo de direcciones IP. Una o más direcciones IP públicas se colocan en un grupo de direcciones IP, y el grupo de direcciones se utiliza para la conversión de la dirección de origen. Si se requiere NAT para los paquetes enviados por un dispositivo de intranet, el firewall selecciona una dirección inactiva del grupo de direcciones, crea una entrada de mapeo NAT y traduce la dirección IP de origen privado del paquete a una dirección IP pública. Cuando otro dispositivo necesita acceder a Internet, el firewall selecciona otra dirección IP pública disponible del grupo de direcciones. En este modo, cada dirección IP privada se asigna a una única dirección IP pública.

 

2.2 NAT Tipo 2: NAPT.


093004zomtum7lduoz67a6.png

NAPT permite a múltiples usuarios de redes privadas compartir una dirección IP pública cuando NAT traduce las direcciones IP y los números de puerto. NAPT también se llama multiplexación de direcciones. NAPT permite que un dispositivo de red asigne varias direcciones IP privadas a la misma dirección IP pública y diferentes números de puerto, lo que implementa la traducción de direcciones de muchos a uno o de muchos a muchos. Esta solución alivia en gran medida la escasez de direcciones IPv4. Solo necesita comprar una o más direcciones IP públicas para cumplir con los requisitos de una gran cantidad de PC para acceder a la red pública al mismo tiempo.

 

Como se muestra en la figura anterior, las direcciones IP internas 192.168.1.1 y 192.168.1.2 comparten la dirección IP pública 200.1.1.100 cuando acceden a la red externa. Cuando 192.168.1.1 usa el puerto de origen TCP 1023 para enviar paquetes a la red externa a través de una sesión NAT, el firewall crea una entrada de mapeo NAT que mapea 192.168.1.1:1023 a 200.1.1.100:39612, y usa la entrada para convertir la fuente Dirección IP y número de puerto TCP de origen del paquete. Entonces el paquete convertido es enviado. Cuando recibe un paquete de devolución, el firewall convierte la dirección de destino y el número de puerto en función de la entrada de asignación de NAT. Cuando la dirección IP interna 192.168.1.2 usa el puerto de origen TCP 1569 para acceder a la red externa a través de la otra sesión NAT, el firewall mapea la dirección IP privada a una dirección IP pública 200.1.1.100 y el número de puerto 39613. De esta manera, los dos Las sesiones se distinguen en base a los números de puerto.

 

 

2.3 NAT Tipo 3: Servidor Interno NAT.


093004u2bannuuebzrz9mc.png 

 

La función de servidor interno de NAT es el método más utilizado para la traducción de direcciones de destino. Un servidor, por ejemplo, un servidor web al que se asigna una dirección IP privada se implementa en la intranet. Si el servidor necesita proporcionar servicios para la red externa, los usuarios de Internet no pueden acceder al servidor utilizando la dirección IP privada real del servidor. En este caso, la función del servidor interno NAT se puede usar para asignar la dirección IP privada de la intranet a una dirección IP pública específica para que los usuarios de la red pública puedan acceder al servidor de la intranet accediendo a la dirección IP pública.

 

La función de servidor interno de NAT permite a los servidores internos acceder a redes externas. Cuando un usuario en una red externa accede a un servidor interno, un dispositivo NAT convierte la dirección IP de destino en el paquete de solicitud en la dirección IP privada del servidor interno. Después de recibir un paquete de respuesta del servidor interno, el dispositivo NAT convierte automáticamente la dirección IP de origen privado en el paquete de respuesta en una dirección IP pública.

 

Como se muestra en la figura anterior, el servidor interno en 192.168.1.10 debe proporcionar acceso externo. La función de servidor interno NAT se puede implementar en un servidor de seguridad para asignar una dirección IP privada 192.168.1.10 y su puerto TCP 80 a una dirección IP pública 200.1.1.100 y su puerto TCP 8080, respectivamente. De esta manera, cuando un usuario de la red pública accede a 200.1.1.100:8080, el uso puede acceder al servicio web del servidor de intranet.




  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba