1 Традиционная технология nat в виде исключения допускает сеансы обратного направ-

направления, заранее выполняя статическое взаимно однозначное отображение внутренних

и внешних адресов для некоторого ограниченного набора узлов.

Рис. 20.7. Схема действия традиционной технологии NAT

Важным для работы NAT-устройства является правило распространения маршрут-

маршрутных объявлений через границы частных сетей. Объявления протоколов маршру-

маршрутизации о внешних сетях «пропускаются» пограничными маршрутизаторами во

внутренние сети и обрабатываются внутренними маршрутизаторами. Обратное

утверждение неверно — маршрутизаторы внешних сетей не получают объявле-

объявлений о внутренних сетях, объявления о них отфильтровываются при передаче на

внешние интерфейсы. Поэтому внутренние маршрутизаторы «знают» маршруты

ко всем внешним сетям, а внешним маршрутизаторам ничего не известно о су-

существовании частных сетей.

Традиционная технология NAT подразделяется на технологии базовой трансляции

сетевых адресов (Basic Network Address Translation, Basic NAT) и трансляции

сетевых адресов и портов (Network Address Port Translation, NAPT). В техноло-

технологии Basic NAT для отображения используются только IP-адреса, а в технологии

NAPT — еще и так называемые транспортные идентификаторы, в качестве кото-

которых чаще всего выступают TCP- и UDP-порты.

Базовая трансляция сетевых адресов

Если количество локальных узлов, которым необходимо обеспечить выход во

внешнюю сеть, меньше или равно имеющегося количества глобальных адресов,

то для каждого частного адреса гарантировано однозначное отображение на гло-

глобальный адрес. В каждый момент времени количество внутренних узлов, кото-

которые получают возможность взаимодействовать с внешней сетью, ограничивается

количеством адресов в глобальном наборе. Понятно, что в такой ситуации целью

трансляции является не столько решение проблемы дефицита адресов, сколько

обеспечение безопасности.

Частные адреса некоторых узлов могут отображаться на глобальные адреса ста-

статически. К таким узлам можно обращаться извне, используя закрепленные за

ними глобальные адреса. Соответствие внутренних адресов внешним задается

таблицей, поддерживаемой маршрутизатором или другим устройством (напри-

(например, брандмауэром), на котором установлено программное обеспечение NAT.

В нескольких тупиковых доменах могут быть совпадающие частные адреса. На-

Например, в сетях А и В на рис. 20.8 для внутренней адресации применяется один

и тот же блок адресов 10.0.1.0/24.

Рис. 20.8. Базовая трансляция сетевых адресов для исходящих сеансов

В то же время адреса внешних интерфейсов обеих сетей A81.230.25.1/24,

181.230.25.2/24 и 181.230.25.3/24 в сети А и 185.127.125.2/24, 185.127.125.3/24

185.127.125.4/24 в сети В) уникальны глобально, то есть никакие другие узлы

в составной сети их не используют. В данном примере в каждой из сетей толь-

только три узла имеют возможность «выхода» за пределы сети своего предприятия.

Статическое соответствие частных адресов этих узлов глобальным адресам зада-

задано в таблицах пограничных устройств обеих сетей.

Когда узел 10.0.1.4 сети А посылает пакет хосту 10.0.1.2 сети В, то он помещает

в заголовок пакета в качестве адреса назначения глобальный адрес 185.127.125.3/24.

Узел-источник направляет пакет своему маршрутизатору R1 по умолчанию, ко-

которому известен маршрут к сети 185.127.125.0/24. Маршрутизатор передает пакет

на пограничный маршрутизатор R2, которому также известен маршрут к сети

185.127.125.0/24. Перед отправкой пакета протокол NAT, работающий на данном

пограничном маршрутизаторе, используя таблицу отображения, заменяет в поле

адреса источника частный адрес 10.0.1.4 соответствующим ему глобальным адре-

адресом 181.230.25.1/24. Когда пакет после путешествия по внешней сети поступает

на внешний интерфейс NAT-устройства сети В, глобальный адрес назначения

185.127.125.3/24 преобразуется в частный адрес 10.0.1.2. Пакеты, передаваемые

в обратном направлении, проходят аналогичную процедуру трансляции адресов.

Заметим, что в описанной операции не требуется участия узлов отправителя

и получателя, то есть она прозрачна для пользователей.

Трансляция сетевых адресов и портов

Пусть некоторая организация имеет частную IP-сеть и глобальную связь с по-

поставщиком услуг Интернета. Внешнему интерфейсу пограничного маршрути-

маршрутизатора R2 назначен глобальный адрес, а остальным узлам сети организации

назначены частные адреса. NAPT позволяет всем узлам внутренней сети одно-

одновременно взаимодействовать с внешними сетями, используя единственный заре-

зарегистрированный IP-адрес. Возникает законный вопрос, каким образом внешние

пакеты, поступающие в ответ на запросы из частной сети, находят узел-отпра-

узел-отправитель, ведь в поле адреса источника всех пакетов, отправляющихся во внеш-

внешнюю сеть, помещается один и тот же адрес — адрес внешнего интерфейса погра-

пограничного маршрутизатора?

Для однозначной идентификации узла отправителя привлекается дополнитель-

дополнительная информация. Если в IP-пакете находятся данные протокола UDP или TCP,

то в качестве такой информации выступает номер UDP- или TCP-порта соот-

соответственно. Но и это не вносит полной ясности, поскольку из внутренней сети

может исходить несколько запросов с совпадающими номерами портов отправи-

отправителя, а значит, опять возникает вопрос об однозначности отображения единст-

единственного глобального адреса на набор внутренних адресов. Решение состоит в

том, что при прохождении пакета из внутренней во внешнюю сеть каждой паре

{внутренний частный адрес; номер TCP- или UDP-порта отправителя} ставится

в соответствие пара {глобальный IP-адрес внешнего интерфейса; назначенный

номер TCP- или UDP-порта}. Назначенный номер порта выбирается произволь-

но, однако должно быть выполнено условие его уникальности в пределах всех

узлов, получающих выход во внешнюю сеть. Соответствие фиксируется в таб-

таблице.

Эта модель при наличии единственного зарегистрированного IP-адреса, полу-

полученного от поставщика услуг, удовлетворяет требованиям по доступу к внешним

сетям большинства сетей средних размеров.

На рис. 20.9 приведен пример, когда в тупиковой сети А используются внутрен-

внутренние адреса из блока 10.0.0.0. Внешнему интерфейсу маршрутизатора этой сети

поставщиком услуг назначен адрес 181.230.25.1.

Рис. 20.9. Трансляция сетевых адресов и портов для исходящих TCP- и UDP-сеансов

Когда хост 10.0.1.4 внутренней сети посылает во внешнюю сеть пакет серверу

telnet, то он в качестве адреса назначения использует его глобальный адрес

136.56.28.8. Пакет поступает маршрутизатору R1, который знает, что путь к сети

136.56.0.0/16 идет через пограничный маршрутизатор R2. Модуль NAPT маршру-

маршрутизатора R2 транслирует адрес 10.0.1.4 и порт TCP 1245 источника в глобально

уникальный адрес 181.230.25.1 и уникально назначенный TCP-порт, в приведен-

приведенном примере — 3451. В таком виде пакет отправляется во внешнюю сеть и дости-

достигает сервера telnet. Когда получатель генерирует ответное сообщение, то он в

качестве адреса назначения указывает единственный зарегистрированный гло-

глобальный адрес внутренней сети, являющийся адресом внешнего интерфейса NAPT-

устройства. В качестве номера порта получателя сервер помещает назначенный

номер TCP-порта, взятый из поля порта отправителя пришедшего пакета. При

поступлении ответного пакета на NAPT-устройство внутренней сети именно по

номеру порта в таблице трансляции выбирается нужная строка. По ней опреде-

определяется внутренний IP-адрес соответствующего узла и действительный номер

порта. Эта процедура трансляции полностью прозрачна для конечных узлов.

ВНИМАНИЕ

Заметьте, что в таблице имеется еще одна запись с номером порта 1245, такая ситуация

вполне возможна: операционные системы на разных компьютерах независимо присваива-

присваивают номера портов клиентским программам. Именно для разрешения такой неоднозначно-

неоднозначности и привлекаются уникальные назначенные номера портов.

В технологии NAPT разрешаются только исходящие из частной сети TCP- и UDP-

сеансы. Однако возникают ситуации, когда нужно обеспечить доступ к некото-

некоторому узлу внутренней сети извне. В простейшем случае, когда служба зарегист-

зарегистрирована, то есть ей присвоен хорошо известный номер порта (например, WWW

или DNS), и, кроме того, эта служба представлена во внутренней сети в единст-

единственном экземпляре, задача решается достаточно просто. Служба и узел, на котором

она работает, однозначно определяются хорошо известным зарегистрированным

номером порта службы.

Завершая рассмотрение технологии NAT, заметим, что помимо традиционной

технологии NAT существуют и другие ее варианты, например двойной трансля-

трансляции сетевых адресов, при которой модифицируются оба адреса — и источника,

и приемника (в отличие от традиционной технологии NAT, когда модифициру-

модифицируется только один адрес). Двойная трансляция сетевых адресов необходима, ко-

когда частные и внешние адресные пространства имеют коллизии. Наиболее час-

часто это происходит, когда внутренний домен имеет некорректно назначенные

публичные адреса, которые принадлежат другой организации. Подобная ситуа-

ситуация может возникнуть из-за того, что сеть организации была изначально изо-

изолированной и адреса назначались произвольно, причем из глобального про-

пространства. Или же такая коллизия может быть следствием смены поставщика

услуг, причем организация хотела бы сохранить старые адреса для узлов внут-

внутренней сети.

Маршрутизаторы

Ключевые слова: маршрутизатор, таблица маршрутизации, интерфейсы

маршрутизатора, получение доступа к среде, формирование битовых

сигналов, прием кадра, подсчет контрольной суммы, ARP, магистральные,

региональные, корпоративные, пограничные маршрутизаторы,

маршрутизаторы операторов связи, программные маршрутизаторы,

маршрутизаторы локальных сетей и удаленных офисов,

мультипроцессорная организация, операционная система маршрутизатора.

Функции маршрутизаторов

Основная функция маршрутизатора — чтение заголовков пакетов сетевых про-

протоколов, принимаемых и буферизуемых по каждому порту (например, IPX, IP,

AppleTalk или DECnet), и принятие решения о дальнейшем маршруте следо-

следования пакета по его сетевому адресу, включающему, как правило, номера сети

и узла.

Функции маршрутизатора могут быть разбиты на три группы в соответствии

с уровнями модели OSI (рис. 20.10).

Рис. 20.10. Функциональная модель маршрутизатора

Уровень интерфейсов

На нижнем уровне маршрутизатор, как и любое устройство, подключенное к сети,

обеспечивает физический интерфейс со средой передачи, включая согласование

уровней электрических сигналов, линейное и логическое кодирование, осна-

оснащение определенным типом разъема. В разных моделях маршрутизаторов часто

предусматриваются различные наборы физических интерфейсов, представляю-

представляющих собой комбинацию портов для подсоединения локальных и глобальных сетей.

С каждым интерфейсом для подключения локальной сети неразрывно связан оп-

определенный протокол канального уровня, например семейства Ethernet, Token

Ring, FDDI. Интерфейсы для присоединения к глобальным сетям чаще всего оп-

определяют только некоторый стандарт физического уровня, над которым в мар-

маршрутизаторе могут работать различные протоколы канального уровня. Напри-

Например, глобальный порт может поддерживать интерфейс V.35, над которым могут

работать различные протоколы канального уровня: РРР (передает трафик про-

протокола IP и других сетевых протоколов), LAP-B (используемый в сетях Х.25),

LAP-F (используемый в сетях frame relay), LAP-D (используемый в сетях ISDN),

ATM. Разница между интерфейсами локальных и глобальных сетей объясняется

тем, что технологии локальных сетей определяют стандарты как физического,

так и канального уровней, которые могут применяться только вместе.

Интерфейсы маршрутизатора выполняют полный набор функций физического

и канального уровней по передаче кадра, включая получение доступа к среде

(если это необходимо), формирование битовых сигналов, прием кадра, подсчет

его контрольной суммы и передачу поля данных кадра верхнему уровню при кор-

корректном значении контрольной суммы.

ПРИМЕЧАНИЕ

Как и любой конечный узел, каждый порт маршрутизатора имеет собственный аппарат-

аппаратный адрес (в локальных сетях МАС-адрес), по которому ему другие узлы направляют кад-

кадры, требующие маршрутизации.

Перечень физических интерфейсов, которые поддерживает та или иная модель

маршрутизатора, является его важнейшей потребительской характеристикой.

Маршрутизатор должен поддерживать все протоколы канального и физического

уровней, используемые в каждой из сетей, к которым он будет непосредственно

присоединен. На рис. 20.10 показана функциональная модель маршрутизатора с

четырьмя портами, реализующими следующие физические интерфейсы: 10Base-T

и 10Base-2 для двух портов Ethernet, UTP для Token Ring, а также интерфейс