Динамічна nat з перевантаженням.
Динамічна NAT з перевантаженням IP або трансляція мережевих адрес і портів (Network Address Port Translatin – NAPT). Це варіант динамічної NAT з відображенням багатьох внутрішніх IP-адрес на одну зовнішню IP-адресу мультиплексуванням потоків, які розрізняються за номерами портів TCP/UDP. Це також називають трансляцією номерів портів (Port Address Translation – PAT), одноадресною NAT або NAT з мультиплексуванням на рівні портів. NAT з перевантаженням використовує властивість мультиплексування у стеку протоколів TCP/IP, що дозволяє станції коректно обслуговувати декілька конкурентних сполучень з віддаленою станцією (або станціями), застосовуючи різні порти TCP або UDP. Термін “перевантаження” (overloading), який вживають у цьому випадку, стосується до ситуації, коли в пулі більше нема вільних IP-адрес і порти призначаються для того, щоб розрізнити два різні сполучення. Для цього можна використати біля 4000 номерів портів, наприклад, від 1024 до 4999.
На рис. 3.21 показано приклад NAT з перевантаженням. Нехай приватні станції 10.1.1.13 і 10.1.1.27 обидві висилають пакети від джерельного порта 1108. Раутер NAPT може транслювати їх в одну публічну IP-адресу 206.245.160.1 і два різні джерельні порти, наприклад, 61001 і 61002. Трафік відповіді, прийнятий портом 61001 маршрутується назад до 10.1.1.13:1108, тоді як трафік порта 61002 маршрутується назад до 10.1.1.27:1108.
Рис. 3.21 . Приклад динамічної
NAT з перевантаженням.
NAPT широко впроваджується у раутерах малих офісів і домашніх офісів (Small Office/Home Office – SOHO), уможливлюючи спільний доступ д Internet для цілої LAN через одну IP-адресу. Оскільки NAPT відображає індивідуальні порти, то неможливо здійснити зворотнє відображення для вхідних сполучень для інших портів, доки не сконфігурована інша таблиця. Таблиця віртуального сервера дозволяє забезпечити доступ до сервера у приватно адресованій “демілітаризованій зоні” (DeMilitarized Zone – DMZ)5 з Internet через публічну адресу раутера NAPT (для одного сервера на порт). У дійсності це обмежена форма статичної NAT, яка застосовується для вхідних запитів.
Динамічна NAT з перевантаженням працює так:
Внутрішня мережа (домен-відгалуження) має немаршрутовані (незареєстровані) IP-адреси.
Організація має NAT-раутер з унікальною IP-адресою.
Станція з домену-відгалуження потребує комунікуватися зі станцією зовні мережі, наприклад, з Web-сервером.
Раутер приймає пакет від станції з домену-відгалуження.
Раутер зберігає немаршрутовану IP-адресу і номер порта в таблиці трансляції IP-адрес. Далі раутер замінює немаршрутовану IP-адресу станції унікальною IP-адресою раутера, замінює номер порта станції-надавача на номер порта, який узгоджується, коли раутер записує адресну інформацію станції-надавача у таблицю трансляції IP-адрес. Тепер ця таблиця відображає внутрішню локальну адресу станції і номер порта на IP-адресу раутера.
Коли пакет-відповідь повертається від станції-призначення. То раутер перевіряє порт призначення в пакеті і визначає через таблицю трансляції адрес, якій станції ваін належить. Далі раутер замінює адресу призначення і номер порта тими, які зберігалися в таблиці і висилає пакет до станції.
Процес повторюється протягом тривання сполучення, при чому адреса станції-джерела і номер порта джерела зберігаються без змін. Таймер оновлюється кожного разу, коли раутер здійснює доступ до відповідного входу таблиці. Якщо ж доступ до цього входу не наступив перед вичерпанням таймера, то цей вхід видаляється з таблиці трансляції адрес.
Таблиця трансляції адрес може мати, наприклад, такий вигляд:
Станція-джерело |
IP-адреса станції-джерела |
Номер порта станції-джерела |
IP-адреса раутера NAT |
Номер порта, призначений NAT-раутером |
A |
192.168.32.10 |
400 |
215.37.32.203 |
1 |
B |
192.168.32.13 |
50 |
215.37.32.203 |
2 |
C |
192.168.32.15 |
3750 |
215.37.32.203 |
3 |
D |
192.168.32.18 |
206 |
215.37.32.203 |
4 |
Слід відзначити, що в домені-відгалуженні можуть бути окремі станції, які мають внутрішні глобальні адреси. Можна створити список IP-адрес, який інформує раутер, які станції з мережі потребують NAT. Усі інші IP-адреси пересилаються без трансляції.
Кількість одночасних трансляцій, які може підтримувати раутер, визначається головним чином обсягом DRAM (динамічної пам’яті з випадковим доступом). Оскільки типовий вхід в таблиці трансляції IP-адрес займає біля 160 байтів, то раутер з 4 МБ DRAM може обробляти понад 26000 одночасних трансляцій, що цілком достатньо для більшості застосувань.