2010/05/12 15:13:26

NAT

NAT (Network Address Translation, преобразование сетевых адресов) - стандарт IETF, с помощью которого несколько компьютеров частной сети (с частными адресами из таких диапазонов, как 10.0.x.x, 192.168.x.x, 172.x.x.x) могут совместно пользоваться одним адресом IPv4, обеспечивающим выход в глобальную сеть. Основная причина растущей популярности NAT связана со все более обостряющимся дефицитом адресов протокола IPv4. Средство общего доступа к подключению интернета в операционных системах Windows XP и Windows Me, а также многие шлюзы интернета активно используют NAT, особенно для подключения к широкополосным сетям, например, через DSL или кабельные модемы.

NAT дает немедленное, но временное решение проблемы дефицита адресов IPv4, которая рано или поздно отпадет сама собой с появлением протокола IPv6. Сейчас эта проблема особенно актуальна в Азии и некоторых других регионах; вскоре она заявит о себе и в Северной Америке. Поэтому понятен интерес к использованию IPv6 в качестве более долговременного решения проблемы дефицита адресов.

NAT не только позволяет сократить число необходимых адресов IPv4, но и образует дополнительную защиту частной сети, поскольку с точки зрения любого узла, находящегося вне сети, связь с ней осуществляется лишь через один, совместно используемый IP-адрес. NAT ? это не то же самое, что брандмауэр или прокси-сервер, но это, тем не менее, важный элемент безопасности. Общие принципы работы NAT

Клиентам сети, находящимся с внутренней стороны устройства NAT, назначаются частные IP-адреса; обычно это делается через службу DHCP (Dynamic Host Configuration Protocol ? протокол динамической настройки узлов) или путем статической настройки, выполняемой администратором. В ходе сеанса связи с узлом, находящимся снаружи этой частной сети, обычно происходит следующее. На стороне клиента

Приложение, собирающееся установить связь с сервером, открывает сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Эти параметры идентифицируют обе конечные точки, между которыми будет происходить сеанс связи. Когда приложение передает данные через сокет, частный IP-адрес клиента (IP-адрес источника) и клиентский порт (порт источника) вставляются в пакет в поля параметров источника. Поля параметров пункта назначения будут содержать IP-адрес сервера (IP-адрес назначения ? удаленный узел) и порт сервера. Поскольку пункт назначения пакета находится вне частной сети, клиент направляет его в основной шлюз. В данном сценарии роль основного шлюза играет устройство NAT.Российский рынок облачных ИБ-сервисов только формируется 2.5 т Исходящий пакет в устройстве NAT

Устройство NAT перехватывает исходящий пакет и производит сопоставление порта, используя IP-адрес назначения (адрес сервера), порт назначения, внешний IP-адрес устройства NAT, внешний порт, сетевой протокол, а также внутренние IP-адрес и порт клиента.

Устройство NAT ведет таблицу сопоставлений портов и сохраняет созданное сопоставление в этой таблице. Внешние IP-адрес и порт ? это общие IP-адрес и порт, которые будут использоваться в текущем сеансе передачи данных вместо внутренних IP-адреса и порта клиента.

Затем устройство NAT Lтранслирует¦ пакет, преобразуя в пакете поля источника: частные, внутренние IP-адрес и порт клиента заменяются общими, внешними IP-адресом и портом устройства NAT.

Преобразованный пакет пересылается по внешней сети и в итоге попадает на заданный сервер. На стороне сервера

Получив пакет, сервер полагает, что имеет дело с каким-то одним компьютером, IP-адрес которого допускает глобальную маршрутизацию. Сервер будет направлять ответные пакеты на внешние IP-адрес и порт устройства NAT, указывая в полях источника свои собственные IP-адрес и порт. Входящий пакет в устройстве NAT

NAT принимает эти пакеты от сервера и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP-адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP-адресом удаленного узла, удаленным портом и сетевым протоколом, указанным в сопоставлении портов, NAT выполнит обратное преобразование. NAT заменяет внешний IP-адрес и внешний порт в полях назначения пакета на частный IP-адрес и внутренний порт клиента.

Затем NAT отправляет пакет клиенту по внутренней сети. Однако если NAT не находит подходящего сопоставления портов, входящий пакет отвергается и соединение разрывается.

Благодаря устройству NAT клиент получает возможность передавать данные в глобальной среде интернета, используя лишь частный IP-адрес; ни от приложения, ни от клиента не требуется никаких дополнительных усилий. Приложению не приходится обращаться к каким-либо специальным API-интерфейсам, а клиенту не нужно выполнять дополнительную настройку. В данном случае механизм NAT оказывается прозрачным по отношению к клиенту и к серверному приложению ? все работает просто и четко.

Однако не все сетевые приложения пользуются протоколами, способными взаимодействовать с NAT. В этом-то и заключается проблема.

Проблемы взаимодействия NAT и приложений

Средство NAT успешно обеспечивает совместное использование единого глобального IP-адреса, когда клиент инициирует контакт и принимает ответ через один и тот же порт. Однако многие приложения используют стратегии, основанные на предположениях, которые становятся неверными, если для доступа в интернет применяется устройство NAT. Некоторые из подобных проблем обсуждаются ниже. Службы во внутренней сети

Многие сетевые службы и серверы исходят из того, что если они установили прослушивающий сокет, то любой клиент в интернете сможет инициировать с ними контакт. Если на периферии сети размещено устройство NAT, то для прохождения входящего трафика к службам внутренней сети потребуется наличие соответствующего сопоставления портов. Поэтому такая служба будет доступна только клиентам частной сети, но не остальным узлам интернета.

Чаще всего эту проблему обходят, вручную настраивая сопоставление портов, которое позволяет устройству NAT передавать трафик, адресованный в NAT с указанием неких внешних IP-адреса и порта, на внутренние IP-адрес и порт, используемые службой.

Когда такое сопоставление установлено, служба может получать входящие пакеты и становится доступной для клиентов, внешних по отношению к частной сети. Пока сопоставление портов не выполнено, связь с сетью не поддерживается.

Настроить сопоставление портов вручную, как правило, довольно сложно; это требует определенного опыта. Поэтому многие индивидуально работающие пользователи и сотрудники небольших офисов не могут работать с нужными им приложениями и службами без посторонней помощи и вынуждены в поисках решения проблемы обращаться в службу технической поддержки своего интернет-провайдера, производителя компьютера, торговой фирмы или производителя шлюза интернета. К тому же такое сопоставление накладывает меньше ограничений ? любой внешний клиент сможет воспользоваться им для инициирования контакта с сервером. Вложенные адреса и порты

Некоторые сетевые приложения предполагают, что IP-адрес и порт, назначенные клиенту, всегда будут доступны для глобальной маршрутизации и смогут непосредственно использоваться в интернете. Во многих случаях эти адреса являются частными IP-адресами из диапазонов, зарезервированных группой IETF. Приложение включает такой частный IP-адрес или порт в содержащую полезные данные часть пакета, посылаемого на сервер. Сервер может использовать этот вложенный адрес для связи с клиентом.

Если сервер попытается ответить, используя вложенные IP-адрес и порт вместо сопоставленных значений адреса и порта, предоставленных средством NAT, то пакет будет отброшен при передаче. Это происходит потому, что вложенный IP-адрес нельзя маршрутизировать. Если сетевое приложение обнаружило бы устройство NAT и получило у него внешний IP-адрес и внешний порт, оно смогло бы поместить в пакет правильные данные. Приложения, использующие различные сокеты

Некоторые сетевые приложения отправляют трафик на сервер или в другой узел, используя сокет в одном порте ?X¦, а ожидают ответа с сервера на другом, прослушивающем сокете в порте ?Y¦. NAT изучает исходящий трафик и производит сопоставление порта ?X¦, но не знает о том, что нужно еще выполнить сопоставление портов для возвращающихся пакетов, адресованных в порт ?Y¦. Входящие пакеты, адресованные в порт ?Y¦, отбрасываются. Ожидание доступа к портам

Некоторые сетевые протоколы исходят из того, что нужный им порт, широко известный и допускающий глобальную маршрутизацию, всегда будет для них доступен. Когда несколько клиентов сообща используют один IP-адрес, в каждый момент времени только один клиент имеет доступ к стандартному порту. Например, только одна веб-служба может в каждый момент времени пользоваться внешним портом 80 в локальной сети. Если бы это было не так, устройство NAT не смогло бы определить, к какому клиенту относится внешний запрос. Необходимо, помимо настройки пользователем сопоставления портов, принять специальные меры к тому, чтобы разные клиенты могли быть распознаны извне локальной сети. Использование нескольких устройств NAT

Если клиент находится с внутренней стороны устройства NAT, которое, в свою очередь, защищено еще одним устройством NAT, возникают новые проблемы, суть которых выходит за рамки настоящего документа. Последствия для пользователей и для отрасли

Выше описывались технические аспекты проблем прохождения NAT. По отношению к пользователю эти проблемы проявляются очень просто: применяя NAT, он не сможет работать с нужными ему службами или приложениями.

Большинство пользователей сегодня и не подозревают, что становятся Lжертвами¦ NAT. Они знают одно: когда они пытаются сыграть в коллективную игру или воспользоваться приложениями одноранговой связи (например, средствами общения в режиме реального времени), им это не удается. На экране появляется сообщение об ошибке (что-нибудь вроде LНевозможно установить связь¦) или приложение, пытавшееся запуститься, завершается аварийно.

В некоторых случаях пользователь, подключающийся к интернету через обычный модем удаленного доступа, не будет сталкиваться с подобными неполадками. Но если он станет абонентом службы широкополосного доступа и перейдет на модем DSL или кабельный модем, проблемы станут неизбежны. Пользователи, рассчитывавшие на более эффективную связь через интернет, будут озадачены внезапно появившимися помехами, не дающими им играть в игры и применять другие службы.

Это может привести к росту недовольства среди пользователей, которое будет направлено на изготовителей компьютеров, интернет-провайдеров, производителей шлюзов интернета и др. Клиент часто не знает, в чем причина неполадок, и сотрудникам службы технической поддержки не всегда удается помочь ему по телефону.

Но это проблема касается не только пользователя. Это также проблема производителей, предоставляющих пользователю продукты и услуги. Обращения в службу поддержки, вызванные проблемами NAT, означают повышение расходов и могут неблагоприятно отразиться на прибылях производителя или продавца продукта. В итоге какая-то часть пользователей может утратить интерес к новым службам и приложениям, испытывая неудовлетворенность из-за неудачных попыток доступа к старым службам, так что NAT превращается в тормоз на пути создания и распространения новейших продуктов и служб.

Учитывая все эти факторы, следует признать, что решение проблемы NAT становится важнейшей задачей для всей отрасли. Что такое NAT Traversal?

NAT Traversal (прохождение NAT) ? это набор возможностей, позволяющих сетевым приложениям определять, что они находятся Lпод защитой¦ устройства NAT, узнавать внешний IP-адрес и выполнять сопоставление портов для пересылки пакетов из внешнего порта NAT во внутренний порт, используемый приложением; все это выполняется автоматически, так что пользователю не приходится вручную настраивать сопоставления портов или какие-либо другие параметры.

Данная технология представляет собой более целостное решение проблем связи, обусловленных применением устройств NAT, по сравнению с использовавшимися раньше методами, ориентированными на конкретные приложения. До сих пор подобные специализированные решения требовали либо наличия у пользователя технических знаний, либо специальной доработки со стороны создателя приложения или производителя шлюза интернета, либо всего этого вместе.

Хотя средство прохождения NAT направлено на решение некоторых проблем, связанных с NAT, оно не являются панацеей и не способно разрешить ВСЕ проблемы. Тем не менее его воплощение в автоматизированном виде представляет собой существенный шаг вперед в деле более полного удовлетворения пользователей, снижения нагрузки на службу технической поддержки и продвижения новейших служб и приложений, особенно в среде домашней сети.

Технологию NAT Traversal следует рассматривать как подручный механизм, который должен использоваться в случае необходимости, а не во всех ситуациях подряд. Потребность в NAT и, следовательно, в технологии NAT Traversal отпадет с появлением IPv6, когда каждый клиент получит IP-адрес, допускающий глобальную маршрутизацию. Существуют различные прогнозы относительно того, как скоро завершится повсеместное развертывание IPv6. Компании отрасли, включая Microsoft, вкладывают значительные средства в продвижение IPv6, однако решение NAT Traversal, описываемое ниже, принесет немало пользы сейчас и в ближайшие несколько лет всем, кто работает дома и в небольших офисах и испытывает трудности с использованием NAT. Принципы работы NAT Traversal

NAT Traversal в своей работе опирается на протоколы обнаружения и управления, входящие в спецификации, установленные Форумом UPnP (Universal Plug and Play). В составе Форума UPnP имеется рабочий комитет, занимающийся составлением протокола управления шлюзовыми устройствами интернета (Internet Gateway Device, IGD) и определением служб для этих устройств.

Шлюзы интернета, поддерживающие обязательные элементы протокола управления устройствами IGD, будут объявлять о своем присутствии и публиковать XML-документы с описаниями для пунктов управления своих локальных сетей. Из этих документов пункты управления смогут узнать, какие операции UPnP требуется вызвать для того, чтобы определить, включена ли поддержка NAT в шлюзе, и выполнить сопоставление портов.

API-интерфейс NAT Traversal в составе Windows позволяет избежать необходимости доступа к UPnP напрямую; он включает функции обнаружения, управления и настройки устройства NAT. NAT Traversal API

Когда сетевому приложению нужно обнаружить устройство NAT и отрегулировать параметры его работы, приложение может воспользоваться интерфейсом NAT Traversal API, входящим в комплект Windows (и полностью описанным в материалах пакета Platform SDK), и выполнить следующие функции: определить, присутствует ли устройство NAT; получить внешний IP-адрес NAT; получить данные о статическом сопоставлении конкретного внешнего порта, если таковое существует; добавить статическое сопоставление портов, если внешний порт не был ранее назначен; включить или отключить конкретное сопоставление портов, не удаляя его; изменить описание статического сопоставление портов, понятное для пользователя; удалить статическое сопоставление портов; получить список статических сопоставлений портов для локальной сети.

С помощью этих функций приложения могут обходить многие проблемы, вызываемые наличием NAT. Следует учесть, что API-интерфейсы NAT Traversal в составе Windows на сегодняшний день поддерживают сопоставления портов только неограниченного срока действия ? так называемые статические сопоставления портов. API-интерфейсы NAT Traversal в составе Windows XP

API-интерфейсы NAT Traversal устанавливаются в Windows XP по умолчанию. Их также можно устанавливать на компьютерах, работающих под управлением Windows Me и Windows 98; для этого используется специальная программа, имеющаяся на компакт-диске Windows XP, ? мастер настройки сети (Network Setup Wizard). Для доступа к API-интерфейсам NAT Traversal пользователи также должны установить обозреватель Internet Explorer версии 6.0, обеспечивающий дополнительную поддержку средства синтаксического разбора XML.

NAT Traversal в Windows 2000 на данный момент не поддерживается. Поддержка NAT Traversal в шлюзах интернета

Поддержка NAT Traversal в шлюзах интернета реализована в виде поддержки спецификации IGD (Internet Gateway Device), определенной Рабочим комитетом по шлюзам интернета в рамках Форума UPnP. Производители шлюзов должны иметь в виду, что API-интерфейсы NAT Traversal, включенные в Windows, исходят из следующих предположений о работе устройств IGD. Устройства IGD объявляют в каждый момент времени только один внешний интерфейс. Хотя с технической точки зрения допустимо объявление нескольких внешних интерфейсов, API-функции NAT Traversal будут использовать только первый из них. IGD поддерживают сопоставления портов, обеспечивающие пересылку пакетов с любого удаленного IP-адреса внутренним клиентам. IGD поддерживают сопоставления портов, в которых в качестве клиента указан широковещательный адрес. IGD поддерживают различные номера для внешнего порта NAT и внутреннего порта клиента. IGD генерируют объявления с номером версии 1. Статические сопоставления портов действуют неограниченно долго, невзирая на перезагрузки, изменения IP-адресов и присутствие клиента на сервере.

Чем больше производителей шлюзов интернета осознают преимущества технологии UPnP как средства обхода проблем NAT и чем больше пользователей знакомятся с этими средствами, тем выше шансы на то, что решение NAT Traversal на базе UPnP станет непременным атрибутом устройств данной категории.

Производителям шлюзов интернета следует вступать в ряды Форума UPnP ? так они смогут быстрее узнать о том, как добиться совместимости своих устройств со стандартами UPnP.

Следует заметить, что средство общего доступа к подключению интернета в Windows XP поддерживает версию 0.9 стандарта UPnP IGD. Ожидается, что версия 1.0 будет совместима с версией 0.9. Как приложения используют NAT Traversal

Способ использования NAT Traversal приложением зависит от ряда факторов, например, от того, каким должен быть срок действия сопоставления портов и сколько клиентов или служб используют данный порт. Очень важно, чтобы приложения в конце уничтожали (Lочищали¦) создаваемые ими статические сопоставления портов, чтобы освобождать порты для других приложений.

Если приложение представляет собой сетевую службу (например, веб-сервер), которой требуется какой-либо широко известный порт на всем протяжении ее существования, программа установки такого приложения может настроить статическое сопоставление порта с помощью API-интерфейсов NAT Traversal. Если сетевая топология остается постоянной и механизмы очистки не затрагивают это сопоставление, внешние клиенты смогут контактировать со службой в течение всего периода ее работы. Удалить сопоставление должна будет программа удаления приложения. После аварийного сбоя статические сопоставления портов останутся, несмотря на отсутствие службы. Изменение внешнего IP-адреса будет автоматически учтено статическим сопоставлением портов.

Если приложение не будет работать постоянно или нет гарантии, что его статические сопоставления портов будут все время поддерживаться сетью, оно может резервировать какой-либо известный порт при каждом запуске и возвращать его при каждом завершении работы. Это можно делать с помощью параллельно активизируемого сценария. Возможен и иной вариант: вместо добавления и удаления сопоставления портов приложение будет каждый раз включать и выключать его. Можно также оставить статическое сопоставление портов постоянно действующим и просто обновлять его при запуске приложения.

И в этом случае изменение внешнего IP-адреса автоматически учитывается статическим сопоставлением портов.

Если один и тот же внутренний номер порта используется сразу несколькими приложениями разных клиентов частной сети, эти приложения придется немного изменить, чтобы обеспечить работу нескольких клиентов. В каждый момент времени только один клиент может сопоставлять внешнему порту этот внутренний номер порта. Рекомендуется такой режим: право на использование порта получает первый клиент. Остальные клиенты должны запрашивать асимметричные сопоставления, в которых внутренний порт отличался бы от внешнего.

Следует рассмотреть такой особый случай: несколько клиентов могут прослушивать один и тот же внешний порт с единственной целью ? быть обнаруженными удаленными узлами. Входящие пакеты могут преобразовываться так, чтобы в качестве внутреннего IP-адреса клиента указывался широковещательный адрес, а не адрес конкретного клиента. Клиенты, прослушивающие сеть через этот порт, смогут ответить, инициируя свое собственное подключение к удаленному узлу. Такой метод не рекомендуется для общего пользования, поскольку входящие пакеты с этим адресом назначения будут приниматься каждым клиентом сети, создавая для них дополнительную нагрузку.

Если службе необходимо прослушивать произвольный порт в течение короткого промежутка времени, она должна запросить статическое сопоставление порта в приложении, а не в сценарии. Закончив работу, служба должна сразу же выполнить очистку (удалить сопоставление). В приложении следует вести учет собственных действующих сопоставлений портов. В итоге если произойдет сбой приложения и оно не успеет закрыть сопоставления портов, при следующем запуске приложения оно сможет получить все данные, необходимые для очистки.

Если приложение должно выйти из сети без очистки своих сопоставлений портов, они будут сохранены, и ответственность за очистку перекладывается на пользователя. В настоящее время в Windows механизм очистки отсутствует, поскольку трудно определить, когда приложение заканчивает пользоваться сопоставлением. Недостатки NAT Traversal

Хотя NAT Traversal позволяет решить ряд проблем, связанных с подключением через устройства NAT, некоторые проблемы все же остаются. Они перечислены ниже. NAT Traversal использует модель открытых доверительных отношений. Это означает, что все приложения в частной сети имеют доступ ко всем сопоставлениям портов, установленным в NAT. В результате значительно повышается гибкость администрирования (точек управления становится больше), однако приложения лишаются прав монопольного владения своими сопоставлениями. Разрешение конфликтов является обязанностью приложений. Если приложение пытается сопоставить порт, уже сопоставленный другому клиенту, следует либо найти другой порт, либо соответственно изменить программный код. NAT Traversal не решает проблемы интернет-провайдеров, которые сами распределяют частные адреса и используют NAT для подключения клиентов. В этом случае NAT оказывается снаружи шлюза интернета, фактически в сети провайдера. Средство NAT Traversal в домашней или небольшой офисной сети не сможет работать, если устройство NAT в клиентской сети защищено еще одним таким же устройством NAT. Поэтому интернет-провайдерам не рекомендуется развертывать NAT в своих сетях. Изначально приложение не имеет доступа к NAT Traversal ? его необходимо изменить, чтобы можно было вызывать функции API, или сопроводить соответствующим сценарием. Впрочем, это вполне осуществимая задача для разработчика, особенно учитывая тот факт, что как только механизмы NAT Traversal интегрированы в приложение, оно приобретает способность работать с множеством различных шлюзов интернета. Приложения, закончив работу с сопоставлениями портов, должны выполнить после себя очистку. Статические сопоставления сохраняются неопределенно долго и наиболее всего подходят для служб, которые собираются прослушивать широко известные порты на протяжении всего существования приложения. Шлюз интернета, на котором установлены средства NAT, должен поддерживать спецификацию Universal Plug and Play Internet Gateway Device версии 0.9 или более поздней. Заключение

NAT представляет собой одобренное группой IETF решение проблемы исчерпания пространства имен IPv4. Шлюзы интернета, использующие NAT, часто устанавливаются дома и в небольших офисах. Они применяются потому, что дешевы, легко управляемы и не требуют установки специального программного обеспечения.

Недостатком использования NAT является то, что оно препятствует применению коллективных игр, служб общения в режиме реального времени и приложений одноранговой связи. Это объясняется тем, что сетевые протоколы действуют исходя из предположений об архитектуре сети, которые с появлением NAT перестают выполнятся.

Технология NAT Traversal позволяет приложениям обнаружить устройство NAT, определить совместно используемый IP-адрес, допускающий глобальную маршрутизацию, и настроить статические сопоставления портов с целью устранения некоторых проблем связи. Решение NAT Traversal не избавляет от всех проблем, связанных с NAT, но предотвращает некоторые из них.

Источники

VRN.ru