TAN - cad é seo? Socrú NAT

Is Network Seoladh Aistriúcháin (TAN) modh athordú spás Seoladh amháin go ceann eile trí athrú a dhéanamh an t-eolas seoladh líonra san IP (Prótacal Idirlín). Is é sin, na ceanntásca phacáid a athrú tráth a bhíonn siad faoi bhealach tríd an fheiste ródú. Bhí an modh seo in úsáid ar dtús chun atreorú simplíocht tráchta in IP-líonraí, gach ósta gan athuimhriú. Bhí sé ina uirlis tóir agus tábhachtach do chaomhnú agus a dháileadh ar an spás seoltaí uilíoch sna coinníollacha ganntanas seoltaí IPv4.

TAN - cad é seo?

Is é an úsáid bhunaidh Seoladh líonra aistriúcháin a mhapáil ar gach seoladh ó seoladh spás amháin ainm comhfhreagrach sa spás eile. Mar shampla, tá sé riachtanach má tá an soláthraí seirbhíse idirlín athraithe, agus nach bhfuil an t-úsáideoir in ann a bealach nua a fhógairt go poiblí ar an líonra. Faoi na coinníollacha atá ídiú domhanda IP-seoladh teicneolaíocht NAT spás intuartha mó úsáide ó na 1990í déanacha i gcomhar le IP-criptithe (a bhfuil an modh iompair éagsúla IP-seoltaí ag an spás céanna). Tá an mheicníocht chun feidhme i gléas ródú go n-úsáideann táblaí aistriúchán stateful a chur ar taispeáint "i bhfolach" seoltaí ceann IP-seoladh, agus cuireann an dul as oifig IP-paicéid leis an aschur. Dá bhrí sin, tá siad suífear teacht amach as an gléas ródú. Go droim ar ais cumarsáide cainéal freagraí ar taispeáint sa bhfoinse IP-seoladh ag baint úsáide as na rialacha a stóráil sna táblaí aistriúcháin. Rialacha tábla aistrithe, ar a seal, glanta tar éis tréimhse ghearr mura gcomhlíonann an trácht nua a stádas cothrom le dáta. Is é seo an mheicníocht bhunúsach de NAT. Tá sé sin i gceist?

Ligeann an modh seo leat a chur in iúl tríd an ródaire ach amháin nuair a dhéantar ceangal le líonra criptithe, mar cruthaíonn sé tábla aistrithe. Mar shampla, is féidir le brabhsálaí gréasáin laistigh den líonra brabhsáil ar an suíomh thar lear, ach, más rud é nach bhfuil suiteáilte taobh amuigh, ní féidir é a acmhainn, suite ann a oscailt. Mar sin féin, an chuid is mó gléasanna NAT sa lá atá inniu a cheadú riarthóir líonra a chumrú iontráil tábla aistrithe lena n-úsáid buan. Tá an gné seo dá minic mar statach TAN nó calafort ar aghaidh, agus ceadaíonn sé trácht thionscnamh an "taobh amuigh" líonra chun teacht ar an ósta scríbe sa líonra criptithe.

Mar gheall ar go bhfuil an tóir a bhí ar an modh a úsáidtear chun a chaomhnú an seoladh spáis IPv4, an téarma NAT (is é seo a bhfuil i ndáiríre - thuas), tá sé beagnach synonymous leis an modh criptithe.

Toisc go n-athraíonn an t-eolas TAN seoladh an IP-data, tá impleachtaí tromchúiseacha maidir le cáilíocht an nasc idirlín, agus éilíonn aird ghéar ar mhionsonraí a chur chun feidhme.

Modhanna Ag baint úsáide TAN difriúil óna chéile i n-iompar go háirithe i gcásanna éagsúla a bhaineann le tionchar ar thrácht líonra.

Bunúsach NAT

Soláthraíonn an cineál is simplí na Seoladh Líonra Aistriúcháin (TAN) chraoladh ar an IP-seoltaí ar "duine-le-duine." Is RFC 2663 an cineál is mó de na craoladh. Sa chineál seo de athrú ach amháin ar an IP-seoladh agus sheiceála IP-header. Is féidir na príomhchineálacha aistriúchán a úsáid chun nascadh an dá IP-líonraí atá ag dul i ngleic nach luíonn.

TAN - is é sin nascadh "duine-le-leor"?

Is féidir le cineálacha an chuid is mó de TAN léarscáil hóstach príobháideacha il ainmnithe go poiblí IP-seoladh amháin. I chumraíocht tipiciúil, úsáideann líonra áitiúil ar cheann de na seoltaí IP-subnet "príobháideacha" ainmnithe (RFC 1918). Tá an ródaire an ghréasáin sin a ainm príobháideach sa spás seo.

An ródaire nasc freisin leis an Idirlíon ag baint úsáide as "poiblí" seoltaí arna sannadh ag do ISP. Mar Gabhann trácht ón líonra logánta go dtí an seoladh idirlín ar Foinse gach paicéad aistrithe ar an eitilt ó na seoltaí príobháideacha don phobal. Rianta an ródaire bunsonraí a thabhairt faoin gach ceangal gníomhach (go háirithe an seoladh scríbe agus calafoirt). Nuair a thagann an freagra ar ais dó, úsáideann sé na sonraí nasc atá stóráilte le linn na céime amach chun a chinneadh an seoladh an líonra inmheánach lena a sheoladh chuig an freagra.

Tá buntáiste amháin de fheidhm seo go feidhmíonn sé mar réiteach praiticiúil a bheith ídithe déanamh ar IPv4 seoladh spáis. Is féidir fiú líonraí móra a bheith ceangailte leis an Idirlíon trí amháin IP-seoladh.

Tá gach paicéid datagram do ghréasáin IP-bhunaithe 2 IP-seoladh - an fhoinse agus an ceann scríbe. De ghnáth, paicéid a rith as an líonra príobháideach don líonra poiblí a bheidh, tú leis na foinse na paicéid, ag athrú le linn an t-aistriú ó líonra poiblí chuig ais príobháideach. Tá níos bhfoirmíochtaí casta freisin agus is féidir.

gnéithe

D'fhéadfadh feidhm NAT bhfuil roinnt gnéithe speisialta. Chun na deacrachtaí a sheachaint é an chaoi a aistriú a cheangal ar na pacáistí ar ais a tuilleadh athruithe. Téann an chuid is mó de thrácht Idirlíon tríd an TCP prótacail agus UDP, agus uimhreacha calafoirt a athrú ionas go dtosaíonn an teaglaim de IP-seoladh agus uimhir an phoirt sa treo droim ar ais a bheidh le sonraí a mhapáil.

Prótacail nach bhfuil bunaithe ar TCP nó UDP, a cheangal ar na modhanna difriúla aistriúcháin. Rialú Teachtaireachtaí Idirlín Prótacal (ICMP), mar riail comhghaolú, na sonraí arna dtarchur a bhfuil nasc atá ann cheana féin. Ciallaíonn sé seo gur chóir iad a chur ar taispeáint ag baint úsáide as an gcéanna IP-seoladh agus uimhir leagadh síos ar dtús.

Cad ba chóir dom a mheas?

Ní Chumrú TAN ar an ródaire a thabhairt dó an bhféidearthacht naisc "ó dheireadh go deireadh." Dá bhrí sin, ní féidir leis na ródairí bheith rannpháirteach i roinnt prótacail idirlín. D'fhéadfadh seirbhísí atá riachtanach dtosófaí ar TCP-naisc ón ngréasán seachtracha nó úsáideoirí gan prótacail a bheith ar fáil. Mura ndéanfaidh an ródaire NAT dhéanamh iarracht i bhfad chun tacú le prótacail den sórt sin, ní féidir le paicéid ag teacht isteach a bhaint amach a gceann scríbe. Is féidir le roinnt prótacail freastal aistriúchán amháin idir hóstach ( "mód éighníomhach» FTP, mar shampla) rannpháirteacha, uaireanta le cabhair ó gheata iarratais, ach tá an nasc bunaithe nuair atá an dá chóras scartha ón Idirlíon ag baint úsáide as NAT. Ag baint úsáide as TAN casta freisin den sórt sin "tollánú" prótacail, ar nós an IPSec, mar gheall ar athruithe sé na luachanna sa cheanntásc, a bhíonn ag idirghníomhú leis an sláine iarraidh ar athbhreithniú.

An fhadhb atá ann faoi láthair

Is cumaisc "ó dheireadh go deireadh" an bunphrionsabal an Idirlíon, atá ann faoi láthair ó fhorbairt. Léiríonn an staid reatha an líonra go bhfuil TAN sárú an phrionsabail. Speisialtóirí tá imní dáiríre faoi an úsáid fhorleathan IPv6-sa seoladh líonra aistriúcháin, agus ardaíonn an fhadhb ar conas chun deireadh a chur go héifeachtach é.

Mar gheall ar nádúr ephemeral táblaí stateful chraoladh ródairí TAN, caillfidh na feistí líonra inmheánach IP-nasc, mar riail, laistigh de thréimhse an-ghearr ama. Amach as an bhfíric go bhfuil a leithéid de TAN sa ródaire, is féidir leat déan dearmad ar an bhfíric. Laghdaíonn sé seo go mór an t-am oibriúcháin feistí dhlúth go n-oibreoidh maidir le ceallraí agus taisc-.

scalability

Lena chois sin, rianú nuair a úsáid TAN ach calafoirt is féidir a laghdú go tapa iarratais inmheánacha ag baint úsáide as naisc comhuaineach il (mar shampla, an t-HTTP-iarratas ar leathanaigh ghréasáin a bhfuil líon mór de na rudaí leabaithe). Is féidir an fhadhb a mhaolú trí mhonatóireacht scríbe IP-seoladh chomh maith le port (dá bhrí sin tá calafort áitiúil a haon arna roinnt ina hóstach ar níos iargúlta).

roinnt deacrachtaí

Ós rud é gach seoladh inmheánacha cheilt a dhéanamh mar phobal, thiocfaidh chun bheith ina hóstach seachtracha dodhéanta chun tús a chur ceangal le nód inmheánach ar leith gan aon chumraíocht speisialta ar an balla dóiteáin (atá a atreorú an nasc go dtí port ar leith). tá iarratais den sórt sin IP-teileafónaíochta, físchomhdháil, agus na seirbhísí sin a úsáid a bhaint as teicnící traversal TAN a fheidhm de ghnáth.

Ceadaíonn Seoladh Fillte agus Aistriúchán port (Rapt) an ósta, an fíor IP-seoladh a athraíonn ó am go ham, a bheith ar fáil mar fhreastalaí le seasta IP-seoladh an líonra bhaile. I bprionsabal, ba cheart go gceadófaí don freastalaithe a chur ar bun a choimeád ar bun nasc. In ainneoin an bhfíric nach bhfuil an réiteach foirfe ar an bhfadhb, go d'fhéadfadh a bheith eile uirlis úsáideach sa Arsenal na riarthóir líonra an fhadhb a réiteach, conas a chumrú TAN ar an ródaire.

Port Seoladh Aistriúcháin (PAT)

Tá cur i bhfeidhm Cisco Rapt Seoladh Port Aistriúcháin (PAT), a thaispeánann roinnt príobháideach IP-seoladh mar cheann de na bpobal. Is féidir le seoltaí Il a chur ar taispeáint mar sheoladh, toisc go bhfuil monatóireacht ar gach ceann acu ag an uimhir phoirt. Úsáideann PAT Uimhreacha foinse port uathúil ar an IP domhanda taobh istigh, chun idirdhealú a dhéanamh ar an treo an aistriú sonraí. Tá na huimhreacha slánuimhreacha 16-giotán. Is féidir leis an líon iomlán na n seoltaí inmheánacha is féidir a aistriú go cuma amháin, go teoiriciúil a bhaint amach 65536. An líon iarbhír na gcalafort is féidir a shannadh do IP-seoladh amháin, tá thart ar 4000. Go ginearálta, tá an PAT ag iarraidh a chaomhnú an gcalafort bunaidh an "bunaidh". Má tá sí in úsáid cheana, shannadh Port Seoladh Aistriúcháin an uimhir phoirt an chéad fáil ag tosú ó thús na grúpaí faoi seach - 0-511, 512-1023, nó 1024-65535. Nuair nach bhfuil aon calafoirt níos mó ar fáil agus tá níos mó ná seachtracha IP-seoladh, mbogann an PAT dtí an chéad cheann eile chun iarracht a dhéanamh an gcalafort fhoinse a aithint. Leanann an próiseas go dtí go bhfuil aon sonraí níos mó ar fáil.

Taispeáin seoltaí agus calafoirt Cisco seirbhís a chomhcheanglaíonn an seoladh port paicéid tollánú sonraí Aistriúchán IPv6 thar IPv4 inlíon i bhfeidhm. Go deimhin, (tacaíocht agus, dá bhrí sin, an suíomh NAT) rogha eile neamhfhoirmiúil CarrierGrade NAT agus DS-Lite, a thacaíonn le IP-seoladh aistriúcháin / port. Dá bhrí sin, seachnaíonn sé fhadhbanna i suiteáil agus cothabháil an nasc, agus cuireann sé meicníocht idirthréimhse do IPv6 imscaradh.

modhanna aistriúcháin

Tá roinnt bealaí chun an t-aistriúchán an seoladh líonra agus calafoirt a chur i bhfeidhm. I roinnt iarratais, na prótacail a úsáid le hiarratais a bheith ag obair le IP-seoltaí, ag feidhmiú i líonra criptithe, ní mór duit a shainmhíniú ar an seoladh seachtrach NAT (a úsáidtear ag an taobh eile den nasc), agus, ina theannta sin, tá sé riachtanach go minic chun staidéar a dhéanamh agus a rangú an cineál tarchuir. De ghnáth déantar é seo toisc go bhfuil sé inmhianaithe a bhunú cainéal cumarsáide díreach (nó a tharchur gan bhriseadh sonraí a shábháil tríd an fhreastalaí nó feidhmíocht a fheabhsú) idir an dá cliaint, an dá cheann acu atá de NAT aonair.

Chun na críche sin, (conas a chumrú NAT) in 2003 d'fhorbair RFC prótacal speisialta Soláthraíonn 3489 traversal simplí de UDP trí NATS. Sa lá atá inniu go bhfuil sé imithe i léig, mar go bhfuil na modhanna lá atá inniu ann nach leor a mheas i gceart ar an obair na gléasanna go leor. Modhanna nua a standardized sa RFC 5389 prótacal, a forbraíodh i nDeireadh Fómhair 2008. Tá an tsonraíocht anois ar a dtugtar SessionTraversal agus fóntais don NAT.

Ag cruthú cumarsáid dhá-bhealach

Tá gach paicéad TCP agus UDP IP-fhoinse seoladh agus uimhir phoirt, chomh maith leis na comhordanáidí an port ceann scríbe.

I gcás seirbhísí poiblí den sórt sin mar freastalaithe ríomhphoist feidhme, is é an uimhir phoirt tábhachtach. Mar shampla, port 80 ceangailte leis na bogearraí, freastalaí gréasáin, agus 25 - go dtí an freastalaí ríomhphoist SMTP. Is an fhreastalaí poiblí IP-seoladh riachtanach freisin, cosúil le seoladh poist ná uimhir ghutháin. Ba chóir an dá de na paraiméadair a bheith authentically ar eolas do gach nód go bhfuil dul chun ceangal.

tá Private IP-seoltaí tábhacht ach amháin i líonraí áitiúla, i gcás ina n-úsáidtear iad, chomh maith le calafoirt óstach. Tá Calafoirt nasc gcríochphointe uathúil ar an ósta, agus mar sin an ceangal trí NAT arna dtacú ag an mapáil calafoirt le chéile agus IP-seoltaí.

PAT (Port AddressTranslation) mbeartaíonn coinbhleachtaí fhéadfadh teacht chun cinn idir dhá óstach eile leis an líon bhfoinse phoirt céanna chun naisc uathúil ag an am céanna a bhunú.