Трансляция сетевых адресов. Традиционная технология. Базовая трансляция. Трансляция адресов и портов

Содержание

Введение 3
Глава 1. Традиционная технология NAT 5
Глава 2. Базовая трансляция сетевых адресов 7
Глава 3. Трансляция сетевых адресов и портов 9
Глава 3. Трансляция сетевых адресов и портов. Групповое вещание 12
Глава 5. Причины подмены адресов 18
Глава 6. Дополнительные возможности NAT 19
6.1. Деление адресов на приватные и публичные 19
6.2. Рекомендации по выбору приватных адресов 19
6.3. Маршрутизация через NAT 20
6.4. Переключение с Basic NAT на NAPT 20
7. Ограничения NAT 21
7.1. Безопасность и сохранность тайны 21
7.2. Отклики ARP на транслированные публичные адреса интерфейсов ЛВС 21
7.3. Трансляция исходящих фрагментов TCP/UDP в NAPT 22
Заключение 23
Список литературы 25

Введение

Маршрутизация в составной сети осуществляется на основе тех адресов назначения, которые помещены в заголовки пакетов. Как правило, эти адреса остаются неизменными с момента их формирования отправителем до момента поступления на узел получателя [3]. Необходимость преобразования (трансляции) адресов IP возникает в тех случаях, когда используемые внутри сети адреса IP невозможно использовать за пределами сети из соображений сохранения тайны или по той причине, что эти адреса корректны только внутри сети [4].
Технология трансляция сетевых адресов (NAT) (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation [5].
Перед посылкой пакетов во внешнюю сеть, NAT транслирует внутренние локальные адреса в глобальные уникальные IP-адреса и наоборот. Эта технология осуществляется для скрытия внутренних адресов своей сети, чтобы не дать злоумышленнику возможности получить информацию о структуре и масштабах сети, а также о структуре и интенсивности исходящего и входящего трафиков [1].
Сетевая топология за пределами локального домена может изменяться по разным причинам. Абоненты могут менять провайдеров, опорные сети компаний могут реорганизоваться, а провайдеры могут делиться или объединяться. Всякий раз при изменении внешней топологии выделение адресов внутри локального домена также требуется соответствующим образом изменять. Эти изменения могут оставаться незаметными для пользователей внутри домена при централизованном изменении на одном маршрутизаторе, обеспечивающем трансляцию адресов.
Базовая трансляция во многих случаях может обеспечивать доступ пользователей из частной сети во внешние сети, а также доступ извне к некоторым локальным хостам. Организациям, в которых сеть используется для решения внутренних задач, а доступ во внешние сети требуется нерегулярно, такая схема будет весьма удобна.
Многие пользователи SOHO (от англ. Small office/home office — «малый офис/домашний офис») [4, 6] и удаленные сотрудники используют в своих офисах множество узлов с приложениями TCP/UDP, но имеют лишь один адрес IP, выделенный их маршрутизатору провайдером для доступа во внешнюю сеть. Эта постоянно растущая группа удаленных пользователей может применить метод трансляции NAPT, который позволяет множеству узлов из локальной сети одновременно получить доступ во внешние сети с использованием единственного адреса IP, выделенного для их маршрутизатора.
Существуют ограничения на использование метода трансляции. Обязательно, чтобы все запросы и отклики, относящиеся к одной сессии, маршрутизировались одним NAT-маршрутизатором. Одним из вариантов решения задачи является организация NAT на граничном маршрутизаторе, который является единственным для краевого домена и все пакеты IP, адресованные в домен или исходящие из него, проходят через этот маршрутизатор. Существуют также варианты решения задачи при использовании множества устройств NAT. Например, частная сеть может иметь две разных точки выхода в сети различных провайдеров и поток пакетов той или иной сессии внутреннего хоста может проходить через любое устройств NAT, которое будет обеспечивать лучшую метрику для внешнего хоста. При отказе одного из маршрутизаторов NAT оставшийся маршрутизатор сможет обслуживать трафик для всех соединений. Однако в этой модели при смене маршрутизации во время организованной сессии и переключении на другой маршрутизатор NAT соединение данной сессии будет разорвано. В качестве варианта решения этой проблемы можно использовать одинаковую конфигурацию NAT на обоих маршрутизаторах и обмен информацией о состоянии соединений для обеспечения безопасного переключения трафика между маршрутизаторами.
Трансляция адресов не зависит от приложений и часто сопровождается специализированными шлюзами (ALG для мониторинга и изменения передаваемой информации. FTP является наиболее популярным представителем ALG на устройствах NAT. Приложениям, которым требуется наличие ALG, недопустимо передавать свои данные в шифрованном виде, поскольку это будет нарушать работу ALG, если последний не имеет ключа для расшифровки информации.
Недостатком этого решения является сквозная значимость адресов IP и рост числа хранимых состояний. В результате сквозная защита IP на сетевом уровне, обеспечиваемая IPSec, не может использоваться конечными станциями при наличии в пути устройств NAT. Преимуществами этого варианта является то, что его можно реализовать без внесения изменений в настройки хостов и маршрутизаторов.
Определения терминов "Address Realm", "Transparent Routing", "TU Ports", "ALG" и др., используемые в данном документе, можно найти в [NAT-TERM] [4].
Глава 1. Традиционная технология NATТехнология трансляции сетевых адресов имеет несколько разновидностей, наиболее популярная из которых — традиционная технология трансляции сетевых адресов — позволяет узлам из частной сети прозрачным для пользователей образом получать доступ к узлам внешних сетей. В данном варианте NAT решается проблема организации только тех сеансов связи, которые исходят из частной сети. Направление сеанса в данном случае определяется положением инициатора: если обмен данными инициируется приложением, работающем на узле внутренней сети, то сеанс называется исходящим, несмотря на то, что в его рамках в сеть могут поступать данные извне.
Идея NAT состоит в следующем. Пусть сеть предприятия образует тупиковый домен, узлам которого присвоены частные адреса (рис. 1) [7, 11].
Рис. 1. Схема действия традиционной технологии NAT
На маршрутизаторе, связывающем сеть предприятия с внешней сетью, установлено программное обеспечение NAT. Это NAT-устройство динамически отображает набор частных адресов {IP*} на набор глобальных адресов {IP}, полученных предприятием от поставщика услуг и присвоенных внешнему интерфейсу маршрутизатора предприятия.
Важным для работы NAT-устройства является правило распространения маршрутных объявлений через границы частных сетей. Объявления протоколов маршрутизации о внешних сетях «пропускаются» пограничными маршрутизаторами во внутренние сети и обрабатываются внутренними маршрутизаторами. Обратное утверждение неверно — маршрутизаторы внешних сетей не получают объявлений o внутренних сетях, объявления о них отфильтровываются при передаче на внешние интерфейсы. Поэтому внутренние маршрутизаторы «знают» маршруты ко всем внешним сетям, а внешним маршрутизаторам ничего не известно о существовании частных сетей.
Традиционная технология NAT подразделяется на технологии базовой трансляции сетевых адресов (Basic Network Address Translation, Basic NAT) и трансляции сетевых адресов и портов (Network Address Port Translation, NAPT). В технологии Basic NAT для отображения используются только IP-адреса, а в технологии NAPT — еще и так называемые транспортные идентификаторы, в качестве которых чаще всего выступают TCP- и UDP-порты [7].
Глава 2. Базовая трансляция сетевых адресовЕсли количество локальных узлов, которым необходимо обеспечить выход во внешнюю сеть, меньше или равно имеющегося количества глобальных адресов, то для каждого частного адреса гарантировано однозначное отображение на глобальный адрес. В каждый момент времени количество внутренних узлов, которые получают возможность взаимодействовать с внешней сетью, ограничивается количеством адресов в глобальном наборе. Понятно, что в такой ситуации целью трансляции является не столько решение проблемы дефицита адресов, сколько обеспечение безопасности [8, 11].
Рис. 2. Базовая трансляция сетевых адресов для исходящих сеансов
Частные адреса некоторых узлов могут отображаться на глобальные адреса статически. К таким узлам можно обращаться извне, используя закрепленные за ними глобальные адреса. Соответствие внутренних адресов внешним задается таблицей, поддерживаемой маршрутизатором или другим устройством (например, брандмауэром), на котором установлено программное обеспечение NAT.
В нескольких тупиковых доменах могут быть совпадающие частные адреса. Например, в сетях А и В на рис. 1 для внутренней адресации применяется один и тот же блок адресов 10.0.1.0/24. В то же время адреса внешних интерфейсов обеих сетей (181.230.25.1/24, 181.230.25.2/24 и 181.230.25.3/24 в сети А и 185.127.125.2/24, 185.127.125.3/24 и 185.127.125.4/24 в сети В) уникальны глобально, то есть никакие другие узлы в составной сети их не используют. В данном примере в каждой из сетей только три узла имеют возможность «выхода» за пределы сети своего предприятия. Статическое соответствие частных адресов этих узлов глобальным адресам задано в таблицах пограничных устройств обеих сетей.
Когда узел 10.0.1.4 сети А посылает пакет хосту 10.0.1.2 сети В, то он помещает в заголовок пакета в качестве адреса назначения глобальный адрес 185.127.125.3/24. Узел-источник направляет пакет своему маршрутизатору R1 по умолчанию, которому известен маршрут к сети 185.127.125.0/24. Маршрутизатор передает пакет на пограничный маршрутизатор R2, которому также известен маршрут к сети 185.127.125.0/24. Перед отправкой пакета модуль NAT, работающий на данном пограничном маршрутизаторе, используя таблицу отображения, заменяет в поле адреса источника частный адрес 10.0.1.4 соответствующим ему глобальным адресом 181.230.25.1/24. Когда пакет после путешествия по внешней сети поступает на внешний интерфейс NAT-устройства сети В, глобальный адрес назначения 185.127.125.3/24 преобразуется в частный адрес 10.0.1.2. Пакеты, передаваемые в обратном направлении, проходят аналогичную процедуру трансляции адресов.
Заметим, что в описанной операции не требуется участия узлов отправителя и получателя, то есть она прозрачна для пользователей [8].
Глава 3. Трансляция сетевых адресов и портовПусть некоторая организация имеет частную IP-сеть и глобальную связь с поставщиком услуг Интернета. Внешнему интерфейсу пограничного маршрутизатора R2 назначен глобальный адрес, а остальным узлам сети организации назначены частные адреса. NAPT позволяет всем узлам внутренней сети одновременно взаимодействовать с внешними сетями, используя единственный зарегистрированный IP-адрес.
Возникает законный вопрос, каким образом внешние пакеты, поступающие в ответ на запросы из частной сети, находят узел-отправитель, ведь в поле адреса источника всех пакетов, отправляющихся во внешнюю сеть, помещается один и тот же адрес — адрес внешнего интерфейса пограничного маршрутизатора?
Для однозначной идентификации узла отправителя привлекается дополнительная информация. Если в IP-пакете находятся данные протокола UDP или TCP, то в качестве такой информации выступают номер UDP-или TCP-порта соответственно. Но и это не вносит полной ясности, поскольку из внутренней сети может исходить несколько запросов с совпадающими номерами портов отправителя, а значит, опять возникает вопрос об однозначности отображения единственного глобального адреса на набор внутренних адресов. Решение состоит в том, что при прохождении пакета из внутренней во внешнюю сеть каждой паре {внутренний частный адрес; номер TCP- или UDP-порта отправителя} ставится в соответствие пара {глобальный IP-адрес внешнего интерфейса; назначенный номер TCP- или UDP-порта}. Назначенный номер порта выбирается произвольно, однако должно быть выполнено условие его уникальности в пределах всех узлов, получающих выход во внешнюю сеть. Соответствие фиксируется в таблице.
Эта модель при наличии единственного зарегистрированного IP-адреса, полученного от поставщика услуг, удовлетворяет требованиям по доступу к внешним сетям большинства сетей средних размеров.
На рис. 1 приведен пример, когда в тупиковой сети А используются внутренние адреса из блока 10.0.0.0. Внешнему интерфейсу маршрутизатора этой сети поставщиком услуг назначен адрес 181.230.25.1 [9, 11].
Рис. 3. Трансляция сетевых адресов и портов для исходящих TCP- и UDP-сеансов
Когда хост 10.0.1.4 внутренней сети посылает во внешнюю сеть пакет серверу telnet, то он в качестве адреса назначения использует его глобальный адрес 136.56.28.8. Пакет поступает маршрутизатору R1, который знает, что путь к сети 136.56.0.0/16 идет через пограничный маршрутизатор R2. Модуль NAPT маршрутизатора R2 транслирует адрес 10.0.1.4 и порт TCP 1245 источника в глобально уникальный адрес 181.230.25.1 и уникально назначенный TCP-порт, в приведенном примере — 3451. В таком виде пакет отправляется во внешнюю сеть и достигает сервера telnet. Когда получатель генерирует ответное сообщение, то он в качестве адреса назначения указывает единственный зарегистрированный глобальный адрес внутренней сети, являющийся адресом внешнего интерфейса NAPT-устройства. В поле номера порта получателя сервер помещает назначенный номер TCP-порта, взятый из поля порта отправителя пришедшего пакета. При поступлении ответного пакета на NAPT-устройство внутренней сети именно по номеру порта в таблице трансляции выбирается нужная строка. По ней определяется внутренний IP-адрес соответствующего узла и действительный номер порта. Эта процедура трансляции полностью прозрачна для конечных узлов.
В таблице имеется ещё одна запись с номером порта 1245, такая ситуация вполне возможна: операционные системы на разных компьютерах независимо присваивают номера портов клиентским программам. Именно для разрешения такой неоднозначности и привлекаются уникальные назначенные номера портов.
В технологии NAPT разрешаются только исходящие из частной сети TCP- и UDP-сеансы. Однако возникают ситуации, когда нужно обеспечить доступ к некоторому узлу внутренней сети извне. В простейшем случае, когда служба зарегистрирована, то есть ей присвоен хорошо известный номер порта (например, WWW или DNS), и, кроме того, эта служба представлена во внутренней сети в единственном экземпляре, задача решается достаточно просто. Служба и узел, на котором она работает, однозначно определяются хорошо известным зарегистрированным номером порта службы.
Завершая рассмотрение технологии NAT, заметим, что помимо традиционной технологии NAT существуют и другие ее варианты, например технология двойной трансляции сетевых адресов, когда модифицируются оба адреса — и источника, и приемника (в отличие от традиционной технологии NAT, когда модифицируется только один адрес). Двойная трансляция сетевых адресов необходима, когда частные и внешние адресные пространства имеют коллизии. Наиболее часто это происходит, когда внутренний домен имеет некорректно назначенные публичные адреса, которые принадлежат другой организации. Подобная ситуация может возникнуть из-за того, что сеть организации была изначально изолированной и адреса назначались произвольно, причем из глобального пространства. Или же такая коллизия может быть следствием смены поставщика услуг, причем организация хотела бы сохранить старые адреса для узлов внутренней сети [9, 11].
Глава 3. Трансляция сетевых адресов и портов. Групповое вещаниеСтандартный способ доставки (одноадресный) предполагает установку соединения "точка-точка", когда пакет доставляется одному получателю. В случае, когда один и тот же пакет должен быть доставлен нескольким получателям, установка нескольких точечных соединений оказывается неэффективным решением (с одной стороны, происходит увеличение сетевого трафика, а с другой, — увеличиваются затраты вычислительных ресурсов на поддержание списка конечных точек). Использование широковещательных рассылок также не является эффективным решением, поскольку широковещательные сообщения не транслируются маршрутизаторами. В качестве альтернативы можно использовать другой метод доставки, когда получателем пакета выступает не один, а несколько получателей. Данный принцип лежит в основе группового вещания (multicasting).
Каждый хост, входящий в группу вещания, помимо уникального IP-адреса, однозначно идентифицирующего хост в пределах сети, получает также некоторый групповой IP-адрес.
Этот адрес идентичен для всех хостов, являющихся членами группы. Этот адрес может быть указан в качестве получателя пакета. В этом случае пакет будет получен всеми хостами, входящими в состав группы вещания. Все другие узлы просто проигнорируют данный пакет. В этом заключается существенное отличие группового вещания от широковещательных рассылок — групповой трафик не "беспокоит" хосты, не принадлежащие к группе вещания и не ожидающие группового трафика.
Групповое вещание может использоваться для следующих целей:
обнаружения ресурсов в межсетевом пространстве;
поддержки распределенных сетевых приложений;
поддержки групповых приложений мультимедиа, предполагающих передачу потоковых данных (например, цифрового аудио и видео). В качестве примера приложения, использующего групповое вещание, можно привести Microsoft Media Services.
В приведенном на рис. 4 примере три хоста, расположенные в разных подсетях, принадлежат к одной группе вещания [11].
Рис. 4. Групповое вещание
Следует обратить внимание на то, что, хотя каждый хост уникально идентифицируется посредством IP-адреса, каждому из них выделен общий групповой адрес. В данном примере предполагается, что трафик группового вещания распространяется свободно в обоих подсетях. На самом деле, задача распространения трафика группового вещания (так же, как и в случае одноадресной маршрутизации) в условиях межсетевого взаимодействия решается на уровне маршрутизаторов.
Рассматривая процесс распространения группового трафика в корпоративной сети, следует различать пересылку группового трафика (multicast forwarding) и групповую маршрутизацию (multicast routing).
Под групповой пересылкой понимается процесс перенаправления маршрутизатором трафика группового вещания в подсети, в которых присутствуют хосты, принадлежащие к требуемой группе вещания. При этом групповой трафик не передается маршрутизатором в те подсети, в которых подобные хосты отсутствуют.
Под групповой маршрутизацией понимается процесс распространения информации о составе групп вещания между маршрутизаторами.
Безопасность передачи сообщений в сетях обеспечивается протоколом IPsec. Протокол предоставляет средства аутентификации участников соединения, шифрования сообщений и процедуры обмена секретными ключами. Применение протокола IPsec является обязательным в сетях следующего поколения IPv6, а также может использоваться в современных сетях IPv4.
Основной целью группового вещания является создание эффективного механизма передачи данных от одного источника нескольким получателям.
Для решения этой задачи могут использоваться несколько подходов, например, индивидуальная рассылка, широковещательная рассылка, привлечение сервисов прикладного уровня.
Групповая доставка на основе индивидуальных адресов равном количеству узлов-получателей, состоящих в данной группе (рис. 5) [11].
Рис. 5. Групповая доставка на основе индивидуальных адресов
При широковещательной рассылке (broadcast) станция направляет пакеты, используя широковещательные адреса (рис. 6). В этой схеме, для того чтобы доставить данные группе узлов-получателей, источник генерирует один экземпляр данных, но снабжает этот экземпляр широковещательным адресом, который диктует маршрутизаторам сети копировать эти данные и рассылать их всем конечным узлам независимо от того, «заинтересованы» узлы в получении этих данных или нет. В этом случае, как и в предыдущем, существенная доля трафика является избыточной [11].
Рис. 6. Групповая доставка на основе широковещательного адреса
В случае привлечения сервисов прикладного уровня функции по обеспечению групповой доставки перекладываются на самих членов группы. То есть, как показано на рис. 7, источник генерирует один экземпляр данных и, используя индивидуальный адрес, передает данные одному из членов группы, который генерирует копию и направляет ее другому члену группы и т. д [11]. Перемещение решения задачи с нижних транспортных уровней на прикладной уровень повышает суммарные накладные расходы сети на реализацию групповой доставки и делает этот механизм менее гибким.
Таким образом, традиционные механизмы доставки пакетов стека TCP/IP мало пригодны для поддержки группового вещания. В такой ситуации наиболее эффективным решением является использование специально разработанного механизма группового вещания, ориентированного на сокращение избыточного трафика и накладных расходов сети.
Рис. 7. Групповая доставка на основе сервисов прикладного уровня
Главная идея группового вещания состоит в следующем: источник генерирует только один экземпляр сообщения с групповым адресом, которое затем, по мере перемещения по сети, копируется на каждой из «развилок», ведущих к тому или иному члену группы, указанной в адресе данного сообщения (рис. 8). В конце концов, пакет с групповым адресом достигает маршрутизатора, к которому непосредственно подключена сеть с хостами-членами данной группы.
Как и в случае обычной маршрутизации на базе индивидуальных адресов, маршрутизатор упаковывает пакет с групповым адресом в кадр канального уровня (той технологии, которая используется в данной локальной сети, например, Ethernet), снабжая его групповым МАС-адресом, соответствующим групповому IP-адресу данного пакета. Кадр с пакетом группового вещания поступает в локальную сеть, распознается и захватывается интерфейсами хостов, являющихся членами данной группы [11].
Рис. 8. Схема группового вещания
При таком подходе данные рассылаются только тем узлам, которые заинтересованы в их получении. Функция репликации группового сообщения и продвижения копий в сторону членов группы возлагается на маршрутизаторы, для чего они должны быть оснащены соответствующими программно-аппаратными средствами. Такой режим экономит пропускную способность за счет передачи только того трафика, который необходим.
Глава 5. Причины подмены адресовОдной из наиболее популярных причин использования технологии NAT является дефицит IP-адресов. Если по каким-либо причинам предприятию, у которого имеется потребность подключиться к Интернету, не удается получить у поставщика услуг необходимого количества глобальных IP-адресов, то оно может прибегнуть к технологии NAT. В этом случае для адресации внутренних узлов служат специально зарезервированные для этих целей частные адреса.
Для того чтобы узлы с частными адресами могли связываться через Интернет между собой или с узлами, имеющими глобальные адреса, необходимо использовать технологию NAT.
Технология NAT также оказывается полезной, когда предприятие из соображений безопасности желает скрыть адреса узлов своей сети, чтобы не дать возможности злоумышленникам составить представление о структуре и масштабах корпоративной сети, а также о структуре и интенсивности исходящего и входящего трафиков [10].
Глава 6. Дополнительные возможности NAT6.1. Деление адресов на приватные и публичныеДля описанной в документе работы NAT необходимо разделить пространство адресов IP на две части — приватные адреса, используемые внутри оконечного домена, и публичные адреса с глобальной доступностью. Любой конкретный адрес должен относится к числу приватных или публичных. Области приватных и публичных адресов не перекрываются.
Проблема перекрытия приватных и публичных адресов заключается в следующем — предположим, что хост оконечного домена A хочет передать пакет хосту оконечного домена B, но публичные адреса домена B перекрываются с приватными адресами домена A. В таком случае маршрутизаторы домена A не смогут отличить публичный адрес хоста из домена B от приватного адреса в своем домене [4].
6.2. Рекомендации по выбору приватных адресовЧастный IP-адрес [RFC 1918] содержит рекомендации по выделению адресного пространства для частных сетей [12]. Агентство IANA выделило для этих целей 3 блока адресов IP — 10.0.0.0/8, 172.16.0.0/12, и 192.168.0.0/16 [4]. В нотации без использования CIDR первый блок представляет собой одну сеть класса A, второй — 16 последовательных сетей класса B, а третий — 256 последовательных сетей класса C.
Организации, которые решили использовать адреса из указанных блоков, могут делать это без какого-либо согласования с IANA или реестром Internet. Адресное пространство может, таким образом, использоваться одновременно во множестве организаций с трансляцией NAT на граничных маршрутизаторах.
6.3. Маршрутизация через NATМаршрутизаторам, обеспечивающим NAT, не следует анонсировать наружу префиксы частных сетей. За пределами оконечного домена могут быть известны только публичные адреса. Однако глобальная информация, получаемая NAT от оконечного маршрутизатора может обычным путем анонсироваться во внутреннюю сеть.
Обычно оконечный маршрутизатор NAT имеет статический маршрут для пересылки всего направленного наружу трафика маршрутизатору сервис-провайдера через канал WAN, а маршрутизатор провайдера имеет статический маршрут для пересылки пакетов NAT (т. е., пакетов, в которых IP-адрес получателя относится к используемому NAT блоку публичных адресов) маршрутизатору NAT через канал WAN [4].
6.4. Переключение с Basic NAT на NAPTВ Basic NAT, когда число узлов внутренней сети превышает число доступных для трансляции публичных адресов (например, внутренняя сеть класса B отображается в публичный блок класса C) внешний доступ к некоторым хостам внутренней сети может быть внезапно нарушен после того, как будет использован весь доступный блок публичных адресов. Это очень неудобно и вносит существенные ограничения. Таких ситуаций можно избежать, разрешая маршрутизатору с Basic NAT переключаться в режим NAPT после того, как будет исчерпан весь блок публичных адресов. Это обеспечит постоянный доступ извне к хостам внутренней сети, сохраняя возможность доступа из частной сети ко внешним ресурсам для большинства приложений. Отметим, однако, что некоторые приложения, работающие через Basic NAT, могут быть прерваны в результате переключения на трансляцию NAPT [4].
7. Ограничения NAT[NAT-TERM] описывает ограничения, присущие всем вариантам NAT без особой детализации. Ниже приводится более подробное описание ограничений, присущий традиционной трансляции NAT.
7.1. Безопасность и сохранность тайныТрадиционная трансляция NAT может рассматриваться как средство сокрытия внутренней структуры сети, поскольку сеансы организуются со стороны внутренних хостов и реальные адреса этих хостов недоступны извне.
Однако в силу тех же причин могут осложниться вопросы отладки (включая случаи нарушения безопасности). Если хост частной сети совершает какие-либо некорректные действия в Internet (например, атака другого хоста или рассылка спама), существенно сложней отследить реальный источник проблем, поскольку IP-адрес хоста скрыт маршрутизатором NAT [2, 4].
7.2. Отклики ARP на транслированные публичные адреса интерфейсов ЛВСТрансляция NAT должна использоваться только на граничных маршрутизаторах оконечных доменов. В примерах, иллюстрирующих Basic NAT и NAPT, поддерживался WAN-канал к внешнему маршрутизатору (т. е., к маршрутизатору сервис-провайдера) от маршрутизатора NAT. Однако, если канал WAN заменить соединением через ЛВС и часть или все публичные адреса, используемые для отображения NAT будут относиться к той же подсети IP, что и сегмент ЛВС, ожидается, что маршрутизатор NAT будет поддерживать ARP для диапазона адресов, относящегося к той же подсети. В варианте Basic NAT маршрутизатор должен отвечать на запросы ARP для отображенных с помощью NAT публичных адресов своим адресом MAC. Если маршрутизатор NAT не отвечает на такие запросы, они останутся безответными, поскольку в сети нет других узлов, которые могли бы на них ответить.
Такой случай маловероятен для NAPT, за исключением ситуаций, когда единственный адрес, используемый для отображения NAPT, не совпадает с адресом интерфейса NAT-маршрутизатора (как в описанном в параграфе 5.4 случае переключения в Basic NAT на NAPT).
Использование для трансляции NAT диапазона адресов из непосредственно подключенной подсети избавляет от необходимости задания статического маршрута на маршрутизаторе сервис-провайдера.
Авторы считают, что подключения к сервис-провайдеру через ЛВС не являются широко распространенными. Однако производители могут быть заинтересованы в поддержке для таких случаев функций proxy ARP [4].
7.3. Трансляция исходящих фрагментов TCP/UDP в NAPTТрансляция исходящих (т. е., переданных внутренними хостами) фрагментов TCP/UDP в случае NAPT обречена на неудачу. Причина этого заключается в том, что лишь первый фрагмент содержит заголовок TCP/UDP, который позволяет связать пакет с конкретной сессией для преобразования адресов. Последующие фрагменты не содержат информации о номере порта TCP/UDP, а просто включает некий идентификатор фрагментации, заданный в первом фрагменте. Предположим, что два приватных хоста передают фрагментированные пакеты TCP/UDP одному получателю. Может случиться так, что оба эти хоста используют одинаковый идентификатор фрагментации. Когда адресат получит эти два несвязанных фрагмента, содержащих один идентификатор фрагментации и адрес отправителя, он не сможет определить к какой из сессий относится каждый из фрагментов.
В результате обе сессии окажутся повреждёнными [4].
Заключение

В настоящей работы были рассмотрены понятия «трансляция сетевых адресов», «базовая трансляция», «трансляция адресов и портов». Установили, что NAT-технология — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.
Базовая трансляция сетевых адресов или Basic NAT представляет собой метод отображения адресов IP из одной группы в другую, прозрачного для конечных пользователей. Трансляция сетевых адресов и номеров портов или NAPT — метод, с помощью которого множество сетевых адресов и соответствующих портов TCP/UDP (Transmission Control Protocol/User Datagram Protocol) преобразуется в один сетевой адрес и номер порта TCP/UDP. Оба метода вместе называют традиционной трансляцией адресов (traditional NAT). NAT обеспечивает механизм подключения областей с приватными адресами к внешним областям, в которых используются уникальные в глобальном масштабе зарегистрированные адреса.
Механизм NAT определён в RFC 1631, RFC 3022 [13 - 15].
Существует три базовых концепции трансляции адресов: статическая (Static Network Address Translation), динамическая (Dynamic Address Translation), маскарадная (NAPT, NAT Overload, PAT).
Технология трансляции сетевых адресов является одним из самых эффективных механизмов, используемых для скрытия структуры и масштабов сети, а также структуры и интенсивности исходящего и входящего трафиков. Она является также частью последовательности операций, выполняемых МСЭ для обеспечения безопасности внутренней сети от всех типов атак.
По состоянию на сегодняшний день доступно множество коммерческих реализаций трансляции адресов, которые соответствуют описанию NAT в данном документе. Открытая ОС Linux содержит реализацию NAT, называемую "IP masquerade". Открытая ОС FreeBSD содержит реализацию NAPT, работающую как демон. Отметим, что исходный код Linux распространяется по лицензии GNU, а программы FreeBSD — по лицензии UC Berkeley. Программы для Linux и FreeBSD являются бесплатными. Можно также просто загрузить последний вариант программы со множества серверов FTP.
Список литературы

Бобов, М. Н. Методы использования технологии трансляции сетевых адресов в межсетевых экранах / М. Н. Бобов // Доклады БГУИР. - 2009. - № 5 (43). – С. 38 – 45.
Шаньгин В.Ф. Информационная безопасность. – М.: ДМК Пресс, 2014. – 702 с.: ил.
Трансляция сетевых адресов. [Электронный ресурс]. Адрес обращения: http://iptcp.net/translyatsiya-setevykh-adresov.html (дата обращения: 06.02.2020).
RFC 3022 — Традиционная трансляция сетевых адресов IP (NAT) [Электронный ресурс]. Адрес обращения: https://muff.kiev.ua/content/rfc-3022-traditsionnaya-translyatsiya-setevykh-adresov-ip-nat (дата обращения: 06.02.2020).
NAT. [Электронный ресурс]. Адрес обращения: https://ru.wikipedia.org/wiki/NAT (дата обращения: 06.02.2020).
SOHO (бизнес). Электронный ресурс]. Адрес обращения: https://ru.wikipedia.org/wiki/SOHO_(бизнес) (дата обращения: 06.02.2020).
Традиционная технология NAT. [Электронный ресурс]. Адрес обращения: http://iptcp.net/traditsionnaya-tekhnologiya-nat.html (дата обращения: 06.02.2020).
Базовая трансляция сетевых адресов. [Электронный ресурс]. Адрес обращения: http://iptcp.net/bazovaya-translyatsiya-setevykh-adresov.html (дата обращения: 06.02.2020).
Трансляция сетевых адресов и портов. [Электронный ресурс]. Адрес обращения: http://iptcp.net/translyatsiya-setevykh-adresov-i-portov.html (дата обращения: 06.02.2020).
Причины подмены адресов. [Электронный ресурс]. Адрес обращения: http://iptcp.net/prichiny-podmeny-adresov.html (дата обращения: 06.02.2020).
Курс лекций: «Аппаратное и программное обеспечение ЭВМ и сетей». Раздел 5. Сети TCP/IP. Сетевой уровень. Маршрутизация. Тема № 32. Дополнительные функции маршрутизаторов. Трансляция сетевых адресов. Групповое вещание. [Электронный ресурс]. Адрес обращения: http://asu.bru.by/кафедра/Учебно-методические%20материалы/Дисциплины%20кафедры/Аппаратно-программное%20обеспечение%20сетей/Лекции-3&4/Семестр-6/2015-2016/Раздел-5_Сети%20IP.Маршрутизация/5-32%20Доп_функции%20марш-в NAT.pptx (дата обращения: 06.02.2020).
Частный IP-адрес. [Электронный ресурс]. Адрес обращения: https://ru.wikipedia.org/wiki/Частный_IP-адрес (дата обращения: 06.02.2020).
List of RFCs. [Электронный ресурс]. Адрес обращения: https://en.wikipedia.org/wiki/List_of_RFCs (дата обращения: 06.02.2020).
RFC 1631: The IP Network Address Translator (NAT). [Электронный ресурс]. Адрес обращения: https://www.wikidata.org/wiki/Q47164409 (дата обращения: 06.02.2020).
RFC 3022: Traditional IP Network Address Translator (Traditional NAT). [Электронный ресурс]. Адрес обращения: https://www.wikidata.org/wiki/Q47466014 (дата обращения: 06.02.2020).