Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно
Лекция 16:

Архитектура интернета

Что такое трансляция сетевых адресов?

NAT - это технология трансляции одного или нескольких адресов в другие адреса. Каким же образом она может помочь? При построении сетей мы используем 30 (или около того) адресов, предоставляемых провайдером, которые должны быть видны из интернета. Внутри сети мы используем адреса, невидимые из внешней среды, но являющиеся транслированными для связи с интернетом.

В большей части сетей межсетевой экран выполняет функции NAT. Маршрутизаторы также при необходимости могут выполнять эту функцию. Межсетевые экраны прикладного уровня реализуют трансляцию сетевых адресов как одну из своих функциональных возможностей (см. "Межсетевые экраны" ). Так как все соединения заканчиваются на межсетевом экране, из внешней среды виден только адрес межсетевого экрана. Межсетевые экраны с фильтрацией пакетов также имеют эту возможность, однако ее необходимо конфигурировать в процессе установки межсетевого экрана.

NAT выполняет также функцию безопасности, так как скрытые адреса внутренних систем являются невидимыми из интернета. Если система невидима, нельзя осуществить ее адресацию и направить на нее пакеты данных.

Примечание

NAT не обеспечивает полную защиту от атак, и не стоит полагаться на эту технологию и пренебрегать другими мерами защиты. Если злоумышленник находится внутри организации или имеет прямой доступ ко внутренней сети через VPN или телефонное соединение, то NAT и вовсе никак не сможет защитить сеть.

Частные адреса

Итак, у нас есть технология NAT, однако нам по-прежнему требуются адреса для внутренней сети. Неправильный выбор внутренних адресов может привести к возникновению всевозможных проблем маршрутизации. В RFC (Request for Comment - запросы на комментарий, в которых публикуется стандарты интернета) 1918 приводится определение того, что такое частные адреса. Эти адреса предназначены для использования во внутренних сетях, защищенных межсетевым экраном, выполняющим трансляцию сетевых адресов.

В RFC указывается, что следующие адреса являются частными:

  • 10.0.0.0 - 10.255.255.255 (10.0.0.0 с 8-битной маской);
  • 172.16.0.0 - 172.31.255.255 (172.16.0.0 с 12-битной маской);
  • 192.168.0.0 - 192.168.255.255 (192.168.0.0 с 16.битной маской).

Использование этих адресов предоставляет организации широкие возможности по разработке своей внутренней схемы адресации. Во внутренней сети организации могут использоваться любые комбинации указанных адресов - нет никаких ограничений.

Ни один из этих адресов не является маршрутизируемым в интернете. Если попытаться выполнить команду ping, направленную на частный адрес, в ответ будут получены пакеты network unreachable (сеть недоступна).

Примечание

Некоторые провайдеры используют частные адреса в своей внутренней сети. В некоторых местах в данном случае будет получен ответ на ping-запрос по частному адресу. Если на провайдере во внутренней сети используются частные адреса, то маршруты на эти сети не должны передаваться за пределы внутренней сети провайдера, чтобы не влиять на использование организацией этих адресов.

Статическая NAT

Мы настраиваем сеть на использование частных адресов, и нам нужно использовать NAT, чтобы обеспечить доступ к системам из интернета. В данном случае используется технология, называемая статической NAT. Статическая NAT связывает один реальный адрес из внешней сети организации с системой в демилитаризованной зоне. На рисунке 16.12 показано, как работает такая трансляция. Можно было бы связать адрес с системой во внутренней сети, но система тогда окажется доступной из внешней среды, и такие системы необходимо размещать в демилитаризованной зоне.

Статическая трансляция сетевых адресов

увеличить изображение
Рис. 16.12. Статическая трансляция сетевых адресов

Здесь очевиден вопрос: зачем усложнять жизнь и использовать NAT? Можно просто присвоить реальные адреса демилитаризованной зоне и все будет прекрасно! Конечно, так оно и есть, но тут возникают две проблемы. Во-первых, для реализации такого подхода потребуется еще один набор адресов, иначе понадобится разделить 30 предоставляемых провайдером адресов, чтобы некоторые адреса находились по внешнюю сторону от межсетевого экрана, а другие - по внутреннюю. Если вы захотите разместить некоторые системы во второй демилитаризованной зоне, потребуется еще один набор адресов. Во-вторых, не все системы в DMZ требуют реальные адреса. Если обратиться к рис. 16.8, можно увидеть сервер приложения, расположенный в демилитаризованной зоне. Этот сервер не требует доступ из интернета. Он предназначен для обработки информации, принимаемой веб-сервером, и для взаимодействия с внутренним сервером баз данных.

Статическая NAT - это конфигурация "один к одному". Для каждой системы, которая должна быть доступна из Интернета, используется один реальный адрес. Статическая NAT пригодна для серверов в демилитаризованной зоне, однако не годится для клиентских рабочих станций.

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Евгений Рогонков
Евгений Рогонков
Россия, Гремячево, Гремячевская СОШ, 2008