Защита локальной сети с помощью межсетевых экранов. NAT, PAT
Преобразование сетевых адресов (NAT) позволяет большой группе частных пользователей подключаться к Интернету через небольшой пул публичных IP-адресов. Эта система работает примерно так же, как телефонная система внутри компании. По достижении определенного количества персонала сотрудники перестают подключаться непосредственно к общедоступной телефонной линии. Вместо этого каждому сотруднику компании присваивается добавочный номер. Это возможно потому, что не все они одновременно пользуются телефоном. При использовании частных добавочных номеров компания может сократить количество внешних линий, которые арендуются у телефонной компании.
NAT работает примерно так же, как внутренняя телефонная линия. Одна из основных причин создания NAT - возможность сэкономить зарегистрированные IP-адреса. Кроме того, NAT обеспечивает безопасность компьютеров, серверов и сетевых устройств, блокируя непосредственный доступ в Интернет с реального IP-адреса узла.
Основное преимущество NAT - возможность повторного использования IP-адресов и совместного использования уникальных в глобальном масштабе IP-адресов многочисленными узлами внутри одной ЛВС. Кроме того, NAT обеспечивает прозрачность работы пользователей. Другими словами, для того, чтобы выйти в Интернет из частной сети, им не нужно знать о NAT. Наконец, NAT позволяет заблокировать доступ к частной сети извне.
У NAT есть определенные недостатки, в частности:
Воздействие на определенные приложения, где в информационном наполнении сообщения используются IP-адреса. Такие IP-адреса также нужно преобразовывать, увеличивая нагрузку на процессор маршрутизатора. Дополнительная нагрузка снижает эффективность сети.
NAT прячет частные IP-адреса от общедоступных сетей. Контроль доступа в некоторых случаях желателен, но может оказаться и недостатком в том случае, если нужен удаленный доступ к устройству в частной сети из Интернета.
В процессе настройки NAT на маршрутизаторе используется несколько терминов, помогающих интерпретировать процесс реализации NAT.
"Внутренней локальной сетью" называется любая сеть, подключенная к интерфейсу маршрутизатора и входящая в ЛВС с частной адресацией. IP-адреса узлов во внутренних сетях преобразуются до передачи внешним адресатам.
Внешняя глобальная сеть - это любая сеть, подключенная к внешнему по отношению к ЛВС маршрутизатору и не распознающая частные адреса узлов в ЛВС.
Внутренний локальный адрес - это частный IP-адрес узла по внутренней сети. До передачи за пределы структуры адресации локальной сети его нужно преобразовать.
Внутренний глобальный адрес - это IP-адрес внутреннего узла, который используется во внешней сети. Это преобразованный IP-адрес.
Внешний локальный адрес - это адрес узла назначения пакета, находящегося в локальной сети. Обычно он совпадает с внешним глобальным адресом.
Внешний глобальный адрес - это реальный частный IP-адрес внешнего узла. Адрес выделяется из пространства глобально маршрутизируемых адресов или сетевых адресов.
Одно из преимуществ использования NAT состоит в том, что отдельные узлы недоступны из Интернета напрямую. А что, если один или несколько узлов сети используют службы, к которым необходимо подключаться через Интернет-устройства, и устройства, находящиеся в локальной частной сети?
Один из способов это сделать - присвоить устройству статическое преобразование адреса. Статические преобразования гарантируют, что частный IP-адрес отдельного узла будет всегда преобразовываться в один и тот же зарегистрированный глобальный адрес. Кроме того, благодаря этому адрес никогда не получит другой локальный узел.
Динамическое преобразование NAT происходит в том случае, если маршрутизатор присваивает IP-адреса из доступного пула внешних глобальных адресов. Пока сессия открыта, маршрутизатор отслеживает внутренние глобальные адреса и отправляет подтверждения внутренним устройствам. В конце сеанса он просто возвращает внутренний глобальный адрес в пул.
Динамическое преобразование NAT позволяет узлам с частными IP-адресами из Интранета подключаться к общедоступной сети, например, сети Интернет. Статическое преобразование сетевых адресов (NAT) позволяет узлам из общедоступной сети подключаться к отдельным узлам из частной сети. Это означает, что при настройке NAT для внешнего доступа следует использовать динамический вариант NAT. Если устройство из внутренней сети должно быть доступно извне, используйте статический вариант NAT.
При необходимости оба метода можно использовать одновременно.
Если зарегистрированный пул IP-адресов организации очень небольшой или если у нее есть всего один IP-адрес, к общедоступной сети все равно могут одновременно подключаться несколько пользователей, с использованием механизма, который называется перегрузкой NAT или преобразованием адресов портов (PAT).
PAT преобразует несколько локальных адресов в один глобальный IP-адрес. Когда узел источника отправляет сообщение узлу назначения, он использует сочетание IP-адреса и номера порта и таким образом отслеживает каждый отдельный сеанс связи с адресатом. В режиме PAT шлюз преобразует адрес локального источника и номер порта из пакета в один глобальный IP-адрес и уникальный номер порта выше 1024. Хотя каждый узел получает одинаковый глобальный IP-адрес, номер порта остается уникальным.
Ответный трафик адресуется на преобразованный IP-адрес и номер порта узла. В таблице маршрутизатора находится список внутренних IP-адресов и номеров портов, которые преобразуются во внешние адреса. Ответный трафик направляется на соответствующий внутренний адрес и номер порта. Поскольку в наличии есть более 64 000 портов, маршрутизатору вряд ли не хватит адресов, как это могло бы случиться при динамическом преобразовании NAT.
Преобразование на основе локального адреса и локального порта выполняется отдельно для каждого соединения, при котором генерируется новый порт источника.
Например, 10.1.1.1:1025 нужно отдельно преобразовать из 10.1.1.1:1026.
Преобразование действует только на время соединения, так что после завершения обмена данными пользователь не сохраняет данное сочетание глобального адреса и порта.
Пользователи из внешней сети не смогут установить надежное соединение с узлом сети, где используется PAT. Дело не только в том, что локальный или глобальный номер порта невозможно прогнозировать, но и в том, что шлюз даже не создает преобразование, пока внутренний узел не установит соединение.
Большинство операций NAT происходит незаметно. Пользователи подключаются к Интернету из частных сетей, даже не зная, что для этого делает маршрутизатор.
Большой недостаток NAT -дополнительная нагрузка, которую создает преобразование IP-адреса и порта.
Некоторые приложения увеличивают рабочую нагрузку маршрутизатора, поскольку включают в инкапсулированные данные IP-адрес. Маршрутизатору приходится заменять комбинации IP-адресов и портов источника в пакете и адреса источника в заголовке IP.
Из-за того, что маршрутизатору с поддержкой NAT приходится выполнять дополнительную работу, для внедрения NAT в сети требуется хорошее планирование, тщательный подбор оборудования, правильная конфигурация и регулярное обслуживание.
Будучи протоколом с поддержкой IPv4, NAT помог отложить полный отказ от адресного пространства IPv4. Функция NAT теперь настолько часто встречается у интегрированных сетевых устройств для дома и небольших компаний, что некоторые полагают, что для настройки нужно только установить соответствующий флажок. По мере расширения бизнеса и возникновения потребности в более сложных шлюзах и маршрутизаторах настройка устройств для использования NAT и других функций становится сложнее.
Широковещательный домен
Возьмём некоторую локальную сеть в которой есть один домен широковещания, т.е. один компьютер или узел может найти другого по широковещательному запросу или как его ещё называют – броадкасту (broadcast). Широковещательные запросы свободно проходят через хабы и свитчи и ограничиваются лишь маршрутизаторами, которые не пропускают широковещательные пакеты в другие сети.
В кратце ситуация происходит следующим образом: при запуске компьютеров в сети начинают происходить выборы главного компьютера, который будет отвечать за списки компьютеров в сетевом окружении и которого называют главным обозревателем или мастер-браузером (master browse server). В выборах участвуют только компьютеры с запущенной службой Computer Browser. После выбора мастер-браузера выбираются ноль или больше резервных обозревателей или резервных браузеров (backup browse server), которые будут обслуживать клиентов. Мастер-браузер (здесь и далее термин “браузер” будет использоваться для обозначения главного обозревателя компьютеров или резервного обозревателя). После прохождения всех выборов каждый узел с запущенной службой Server объявляет себя мастер-браузеру, чтобы тот включил его в общий список компьютеров. Когда все узлы объявят себя мастер-браузеру, то тот в свою очередь сформирует список для сетевого окружения. Регулярно, через некоторый интервал времени (от 1 до 12 минут) компьютер обращается к мастер-браузеру за списком резервных обозревателей. Получив его, компьютер произвольно выбирает одного из резервных браузеров и запрашивает уже у него список компьютеров в сети. Если же резервных браузеров нету, то сам мастер-браузер будет обслуживать клиента и передавать ему списки компьютеров. Именно этот список можно видеть в папке My Networks Places.