NAT

NAT

"NAT" beralih ke halaman ini. Untuk kegunaan lain, lihat Nat (disambiguasi) .

Dalam jaringan komputer , jaringan terjemahan alamat ( NAT ) adalah proses memodifikasi alamat IP informasi dalam header paket IP saat transit di lalu lintas perangkat routing .

Jenis paling sederhana dari NAT menyediakan terjemahan 1-1 dari alamat IP. RFC 2663 mengacu ke jenis NAT sebagai dasar NAT . Hal ini sering juga disebut sebagai satu-ke-satu NAT . Dalam jenis ini hanya NAT alamat IP, IP dan header checksum checksum setiap tingkat yang lebih tinggi yang mencakup alamat IP perlu diubah. Sisa paket dapat dibiarkan tersentuh (setidaknya untuk dasar TCP / UDP fungsionalitas, beberapa protokol tingkat yang lebih tinggi mungkin memerlukan penerjemahan lebih lanjut). Nat dasar dapat digunakan ketika ada persyaratan untuk interkoneksi dua jaringan IP dengan alamat yang tidak kompatibel.

Namun itu adalah umum untuk menyembunyikan seluruh ruang alamat IP, biasanya terdiri dari alamat IP privat , di belakang sebuah alamat IP tunggal (atau dalam beberapa kasus sekelompok kecil alamat IP) di ruang alamat yang lain (biasanya publik). Untuk menghindari ambiguitas dalam penanganan paket yang dikembalikan, satu-ke-banyak NAT harus mengubah informasi tingkat yang lebih tinggi seperti TCP / UDP port dalam komunikasi keluar dan harus memiliki sebuah tabel terjemahan sehingga paket dapat kembali dengan benar diterjemahkan kembali. RFC 2663 menggunakan istilah NAPT ( terjemahan alamat jaringan dan port yang ) untuk jenis NAT. Nama-nama lain termasuk PAT ( Port Address Translation ), IP masquerading , NAT Overload dan banyak-ke-satu NAT . Karena ini adalah jenis yang paling umum dari NAT sering disebut hanya sebagai NAT.

Seperti dijelaskan, metode ini memungkinkan komunikasi melalui router hanya ketika percakapan berasal dalam jaringan menyamar, karena ini menetapkan tabel terjemahan. Sebagai contoh, web browser dalam jaringan menyamar dapat menelusuri website luar, tapi di luar web browser tidak dapat menelusuri situs web dalam jaringan menyamar. Namun, sebagian besar perangkat NAT hari ini memungkinkan administrator jaringan untuk mengkonfigurasi entri tabel terjemahan untuk digunakan permanen. Fitur ini sering disebut sebagai "NAT statis" atau port forwarding dan memungkinkan lalu lintas yang berasal dalam jaringan "luar" untuk mencapai host yang ditunjuk dalam jaringan menyamar.

Pada pertengahan 1990-an NAT menjadi alat populer untuk mengurangi konsekuensi dari IPv4 kelelahan alamat . ^[ 1 ] Hal ini telah menjadi fitur, umum sangat diperlukan di router untuk rumah dan kantor kecil koneksi Internet. Kebanyakan sistem menggunakan NAT melakukannya untuk mengaktifkan beberapa host pada jaringan pribadi untuk mengakses internet dengan menggunakan satu alamat IP publik.

Terjemahan alamat jaringan telah serius kelemahan pada kualitas konektivitas Internet dan memerlukan perhatian untuk rincian pelaksanaannya.Secara khusus semua jenis NAT istirahat model awalnya membayangkan IP end-to-end konektivitas di Internet dan NAPT membuat sulit untuk sistem belakang NAT untuk menerima komunikasi yang masuk. Akibatnya, NAT traversal metode telah dirancang untuk meringankan masalah yang dihadapi.

Isi   [ sembunyikan ]  1 Satu untuk Nat banyak 1.1 Metode penerjemahan Pelabuhan 1.2 Jenis NAT dan NAT Traversal 2 Implementasi 2.1 Membangun Komunikasi Dua Arah 2.2 Sebuah Analogi 2.3 Terjemahan Endpoint yang 2,4 Visibilitas Operasi 3 NAT dan TCP / UDP 4 Tujuan terjemahan alamat jaringan (DNAT) 5 SNAT 5.1 Jaringan alamat terjemahan Aman 6 Dinamis terjemahan alamat jaringan 7 Aplikasi terpengaruh oleh NAT 8 Keuntungan dari PAT 9 Kekurangan 10 Spesifikasi 11 Contoh perangkat lunak NAT 12 Lihat juga 13 Referensi 14 Pranala luar

[ sunting ]Satu untuk Nat banyak

Mayoritas Nat peta host pribadi ganda untuk satu alamat IP publik terbuka. Dalam konfigurasi khas, jaringan lokal menggunakan salah satu yang ditunjuk "swasta" alamat IP subnet ( RFC 1918 ). Sebuah router pada jaringan yang memiliki alamat pribadi dalam ruang alamat. Router juga terhubung ke Internet dengan alamat "publik" yang ditugaskan oleh penyedia layanan Internet . Sebagai lalu lintas lolos dari jaringan lokal ke Internet, alamat sumber di masing-masing paket diterjemahkan dengan cepat dari alamat pribadi ke alamat publik. Router trek data dasar tentang setiap sambungan aktif (terutama alamat tujuan dan port). Ketika balasan kembali ke router, menggunakan data pelacakan koneksi itu disimpan selama fase outbound untuk menentukan alamat pribadi pada jaringan internal yang untuk maju jawabannya.

Semua paket internet memiliki alamat IP sumber dan alamat tujuan IP. Biasanya paket-paket yang lewat dari jaringan pribadi untuk jaringan publik akan memiliki alamat sumber paket dimodifikasi sementara lewat dari jaringan publik kembali ke jaringan swasta akan memiliki alamat tujuan mereka dimodifikasi. Konfigurasi yang lebih kompleks juga mungkin.

Untuk menghindari ambiguitas dalam cara untuk menerjemahkan paket yang dikembalikan, modifikasi lebih lanjut untuk paket-paket yang diperlukan. Sebagian besar lalu lintas internet adalah TCP dan UDP paket dan untuk protokol ini nomor port akan berubah sehingga kombinasi IP dan informasi port pada paket yang dikembalikan dapat jelas dipetakan ke alamat pribadi yang sesuai dan informasi port. Tidak didasarkan pada protokol TCP atau UDP memerlukan teknik terjemahan lain. Paket ICMP biasanya berhubungan dengan koneksi yang ada dan perlu dipetakan menggunakan IP yang sama dan pemetaan port sebagai koneksi.

[ sunting ]Metode penerjemahan Pelabuhan

Ada beberapa cara untuk mengimplementasikan terjemahan alamat jaringan dan pelabuhan. Dalam beberapa protokol aplikasi yang menggunakan informasi alamat IP, aplikasi yang berjalan pada node dalam jaringan menyamar perlu menentukan alamat eksternal NAT, yaitu, alamat yang rekan-rekan komunikasinya mendeteksi, dan, selanjutnya, sering perlu memeriksa dan mengkategorikan jenis pemetaan yang digunakan. Biasanya ini dilakukan karena diinginkan untuk membuat sebuah jalur komunikasi langsung (baik untuk menghemat biaya mengambil data melalui server atau untuk meningkatkan kinerja) antara dua klien baik yang berada di belakang Nat terpisah. Untuk tujuan ini, traversal dari UDP lebih sederhana Nat (STUN) protokol dikembangkan ( RFC 3489 , Maret 2003). Ini diklasifikasikan sebagai NAT pelaksanaan penuh cone NAT , (alamat) dibatasi kerucut NAT , pelabuhan dibatasi kerucut NAT atau simetris NAT dan mengusulkan sebuah metodologi untuk pengujian perangkat yang sesuai. Namun, prosedur ini telah sejak usang dari status standar, sebagai metode yang telah terbukti rusak dan tidak memadai untuk benar menilai banyak perangkat. Metode baru telah dibakukan dalam RFC 5389 ​​(Oktober 2008) dan sekarang merupakan singkatan STUN judul baru spesifikasi: Sesi Traversal Utilitas untuk NAT .

Full-kerucut NAT , juga dikenal sebagai satu-ke-satu NAT Setelah alamat internal (iAddr: iPort) dipetakan ke alamat eksternal (eAddr: ePort), setiap paket-paket dari iAddr: iPort akan dikirim melalui eAddr: ePort. Setiap host eksternal dapat mengirimkan paket ke iAddr: iPort dengan mengirimkan paket ke eAddr: ePort.
(Alamat) dibatasi kerucut NAT Setelah alamat internal (iAddr: iPort) dipetakan ke alamat eksternal (eAddr: ePort), setiap paket-paket dari iAddr: iPort akan dikirim melalui eAddr: ePort. Sebuah host eksternal ( hAddr: apapun ) dapat mengirimkan paket ke iAddr: iPort dengan mengirimkan paket ke eAddr: ePort hanya jika iAddr: iPort sebelumnya telah mengirimkan sebuah paket ke hAddr: apapun . "Setiap" berarti nomor port tidak masalah.
Port-dibatasi kerucut NAT Seperti alamat dibatasi kerucut NAT, tetapi pembatasan termasuk nomor port. Setelah alamat internal (iAddr: iPort) dipetakan ke alamat eksternal (eAddr: ePort), setiap paket-paket dari iAddr: iPort akan dikirim melalui eAddr: ePort. Sebuah host eksternal ( hAddr: hPort ) dapat mengirimkan paket ke iAddr: iPort dengan mengirimkan paket ke eAddr: ePort hanya jika iAddr: iPort sebelumnya telah mengirimkan sebuah paket ke hAddr: hPort.
Symmetric NAT Setiap permintaan dari alamat IP yang sama internal dan port untuk alamat IP tujuan tertentu dan port dipetakan ke alamat IP sumber dan port eksternal yang unik, jika host internal yang sama bahkan mengirimkan sebuah paket dengan alamat sumber yang sama dan port tetapi berbeda tujuan, pemetaan yang berbeda digunakan. Hanya sebuah host eksternal yang menerima sebuah paket dari host internal dapat mengirim paket kembali.

Istilah ini telah menjadi sumber banyak kebingungan, karena telah terbukti tidak memadai di kehidupan nyata menggambarkan perilaku NAT. ^[ 2 ]Banyak implementasi NAT menggabungkan jenis ini, dan karena itu lebih baik untuk mengacu pada perilaku yang spesifik NAT individu, bukan menggunakan Cone yang / Symmetric terminologi. Terutama, yang paling NAT penerjemah menggabungkan setangkup NAT untuk koneksi keluar dengan statis port pemetaan , di mana paket masuk ke alamat eksternal dan port yang diarahkan ke alamat internal dan port yang spesifik. Beberapa produk dapat redirect paket ke beberapa host internal, misalnya untuk membagi beban antara beberapa server. Namun, ini memperkenalkan masalah dengan komunikasi yang lebih canggih yang memiliki banyak paket yang saling berhubungan, dan dengan demikian jarang digunakan.

[ sunting ]Jenis NAT dan NAT Traversal

Masalah NAT traversal muncul ketika dua rekan di belakang NAT yang berbeda mencoba untuk berkomunikasi. Salah satu cara untuk memecahkan masalah ini adalah dengan menggunakan port forwarding , cara lain adalah dengan menggunakan teknik NAT traversal berbagai.Teknik yang paling populer untuk TCP NAT traversal TCP meninju lubang , yang memerlukan NAT untuk mengikuti pelabuhan pelestarian desain untuk TCP, seperti dijelaskan di bawah.

Banyak implementasi NAT mengikuti pelabuhan pelestarian desain terutama untuk TCP, yang mengatakan bahwa mereka menggunakan nilai yang sama seperti nomor port internal dan eksternal. NAT pelabuhan pelestarian untuk koneksi TCP keluar sangat penting untuk TCP NAT traversal , karena program-program yang berbeda biasanya mengikat soket TCP untuk port singkat untuk koneksi TCP yang berbeda, render prediksi NAT port yang tidak mungkin untuk TCP.

Di sisi lain, untuk UDP, Nat tidak perlu memiliki pelabuhan pelestarian karena aplikasi biasanya menggunakan kembali soket UDP yang sama untuk mengirim paket ke host yang berbeda, membuat prediksi pelabuhan langsung, karena merupakan port sumber yang sama untuk setiap paket.

Selain itu, pelabuhan pelestarian di NAT untuk TCP memungkinkan protokol P2P untuk menawarkan kompleksitas kurang dan latency kurang karena tidak ada perlu menggunakan pihak ketiga untuk menemukan port NAT sejak aplikasi sudah tahu port NAT. ^[ 3 ]

Namun, jika dua host internal berusaha untuk berkomunikasi dengan host eksternal yang sama dengan menggunakan nomor port yang sama, nomor port eksternal yang digunakan oleh kedua host akan dipilih secara acak. NAT tersebut akan kadang-kadang dianggap sebagai (alamat) dibatasi kerucut NAT dan kali lain sebagai NAT simetris .

Studi terbaru menunjukkan bahwa sekitar 70% dari klien di P2P jaringan menggunakan beberapa bentuk dari NAT. ^[ 4 ]

[ sunting ]Implementasi

[ sunting ]Membangun Komunikasi Dua Arah

Setiap paket TCP dan UDP berisi sumber alamat IP dan nomor port sumber serta alamat IP tujuan dan nomor port tujuan. Port alamat / IP address bentuk soket . Secara khusus, port sumber dan alamat IP sumber membentuk soket sumber.

Untuk layanan yang dapat diakses publik seperti server web dan server mail nomor port adalah penting. Sebagai contoh, port 80 menghubungkan ke web server yang lunak dan port 25 ke mail server itu SMTP daemon . Alamat IP dari sebuah server publik juga penting, serupa dalam keunikan global ke alamat pos atau nomor telepon. Kedua alamat IP dan port harus benar dikenal oleh semua host yang ingin berhasil berkomunikasi.

Alamat IP privat seperti yang dijelaskan dalam RFC 1918 yang signifikan hanya pada jaringan pribadi di mana mereka digunakan, yang juga berlaku untuk port host. Port komunikasi endpoint yang unik pada host, sehingga koneksi melalui perangkat NAT dikelola oleh gabungan pemetaan port dan alamat IP.

PAT menyelesaikan konflik yang akan timbul melalui dua host yang berbeda menggunakan nomor port sumber yang sama untuk menjalin hubungan yang unik pada waktu yang sama.

[ sunting ]Analogi Sebuah

Sebuah perangkat NAT adalah mirip dengan sistem telepon di sebuah kantor yang memiliki satu nomor telepon publik dan beberapa ekstensi.Outbound panggilan telepon yang dibuat dari kantor semua tampak datang dari nomor telepon yang sama. Namun, panggilan masuk yang tidak menentukan perpanjangan tidak dapat ditransfer ke individu di dalam kantor. Dalam skenario ini, kantor adalah LAN pribadi, nomor telepon utama adalah alamat IP publik, dan ekstensi individu nomor port yang unik. ^[ 5 ]

[ sunting ]Terjemahan dari Endpoint yang

Dengan NAT, semua komunikasi yang dikirimkan ke host eksternal benar-benar berisi eksternal alamat IP dan informasi port dari perangkat NAT bukan IP host internal atau nomor port.

• Ketika komputer pada jaringan (internal) swasta mengirimkan paket ke jaringan eksternal, perangkat NAT akan mengganti alamat IP internal di bidang sumber dari header paket ( alamat pengirim ) dengan alamat IP eksternal dari perangkat NAT. PAT kemudian dapat menetapkan koneksi tersebut dengan nomor port dari kolam port yang tersedia, memasukkan nomor port dalam bidang sumber port (mirip dengan nomor pos box office ), dan meneruskan paket ke jaringan eksternal. Perangkat NAT kemudian membuat sebuah entri dalam tabel terjemahan yang berisi alamat IP internal, port sumber asli, dan port sumber diterjemahkan. Paket berikutnya dari koneksi yang sama diterjemahkan ke nomor port yang sama.

• Komputer yang menerima paket yang telah mengalami NAT menetapkan koneksi ke port dan alamat IP yang ditetapkan dalam paket diubah, tidak menyadari fakta bahwa alamat yang diberikan sedang diterjemahkan (analog dengan menggunakan sejumlah pos box office ).

• Sebuah paket datang dari jaringan eksternal dipetakan ke alamat IP yang sesuai internal dan nomor port dari tabel terjemahan, mengganti alamat IP eksternal dan nomor port dalam header paket masuk (mirip dengan terjemahan dari kotak pos nomor untuk alamat jalan ) . Paket ini kemudian diteruskan melalui jaringan dalam. Jika tidak, jika port nomor tujuan dari paket yang masuk tidak ditemukan dalam tabel terjemahan, paket akan ditolak karena terjatuh atau perangkat PAT tidak tahu di mana untuk mengirimnya.

NAT hanya akan menerjemahkan alamat IP dan port host internal, menyembunyikan titik akhir sebenarnya dari host internal pada jaringan pribadi.

[ sunting ]Visibilitas Operasi

Operasi NAT biasanya transparan untuk kedua host internal dan eksternal.

Biasanya host internal sadar dari alamat IP yang benar dan port TCP atau UDP dari host eksternal. Biasanya perangkat NAT dapat berfungsi sebagai gateway default untuk host internal. Namun host eksternal hanya menyadari dari alamat IP publik untuk perangkat NAT dan port tertentu yang digunakan untuk berkomunikasi atas nama host internal spesifik.

[ sunting ]NAT dan TCP / UDP

"Murni NAT", operasi pada IP saja, mungkin atau mungkin tidak benar parse totally protokol yang berkaitan dengan informasi IP, seperti ICMP , tergantung pada apakah payload adalah diinterpretasikan oleh host pada "dalam" atau "luar" penerjemahan . Begitu protokol stack dilalui, bahkan dengan protokol dasar seperti TCP dan UDP , protokol akan mematahkan NAT kecuali mengambil tindakan di luar lapisan jaringan.

Paket IP memiliki checksum dalam setiap header paket, yang menyediakan deteksi kesalahan hanya untuk header. Datagram IP dapat menjadi terfragmentasi dan perlu untuk NAT untuk memasang kembali fragmen-fragmen ini untuk memungkinkan perhitungan kembali yang benar tingkat tinggi checksum dan pelacakan yang benar dari yang paket milik yang koneksi.

Protokol lapisan utama transportasi, TCP dan UDP, memiliki checksum yang mencakup semua data yang mereka bawa, serta TCP / UDP, ditambah "pseudo-header" yang berisi sumber dan tujuan alamat IP dari paket yang membawa TCP / UDP header. Untuk berasal NAT untuk lulus TCP atau UDP berhasil, harus recompute checksum TCP / UDP header yang didasarkan pada alamat IP diterjemahkan, bukan yang asli, dan menempatkan checksum yang ke header TCP / UDP dari paket pertama set terfragmentasi paket. NAT penerima harus recompute IP checksum pada setiap paket lolos ke host tujuan, dan juga mengenali dan recompute header TCP / UDP menggunakan alamat diterjemahkan kembali dan pseudo-header. Ini bukan masalah benar-benar diselesaikan. Salah satu solusi untuk NAT penerima untuk memasang kembali seluruh segmen kemudian recompute checksum dihitung di semua paket.

Host yang berasal dapat melakukan unit transmisi maksimum (MTU) penemuan jalan untuk menentukan ukuran paket yang dapat ditransmisikan tanpa fragmentasi, dan kemudian mengatur tidak fragmen (DF) bit di bidang header paket yang sesuai.

[ sunting ]Tujuan terjemahan alamat jaringan (DNAT)

DNAT adalah teknik untuk transparan mengubah tujuan alamat IP dari sebuah en-rute paket dan melakukan fungsi invers untuk setiap balasan.Setiap router yang terletak di antara dua endpoint dapat melakukan transformasi dari paket.

DNAT umumnya digunakan untuk mempublikasikan layanan yang terletak di jaringan pribadi pada diakses publik alamat IP . Ini menggunakan DNAT juga disebut port forwarding , atau DMZ bila digunakan pada seluruh server, yang menjadi terkena WAN, menjadi analog ke dipertahankan militer zona demiliterisasi (DMZ).

[ sunting ]SNAT

Arti dari istilah SNAT bervariasi oleh vendor. Banyak vendor memiliki definisi eksklusif untuk SNAT . Sebuah ekspansi yang umum adalahsumber NAT , mitra dari tujuan NAT ( DNAT ). Microsoft menggunakan akronim untuk NAT Aman , berkaitan dengan ISA Server . Untuk Cisco Systems, SNAT berarti stateful NAT .

[ sunting ]terjemahan alamat jaringan Aman

Dalam jaringan komputer , proses penerjemahan alamat jaringan dilakukan dengan cara yang aman melibatkan penulisan ulang sumber dan / atau tujuan alamat dari IP paket ketika mereka melewati router atau firewall .

[ sunting ]Dinamis terjemahan alamat jaringan

NAT dinamis, seperti NAT statis, tidak umum dalam jaringan yang lebih kecil tetapi ditemukan dalam perusahaan yang lebih besar dengan jaringan yang kompleks. Cara dinamis NAT berbeda dari NAT statis adalah bahwa di mana NAT statis menyediakan satu-ke-satu pemetaan internal untuk alamat IP publik statis, dinamis NAT tidak membuat pemetaan ke alamat IP publik statis dan biasanya menggunakan sekelompok publik yang tersedia alamat IP.

[ sunting ]Aplikasi terpengaruh oleh NAT

Beberapa Application Layer protokol (seperti FTP dan SIP ) mengirim eksplisit alamat jaringan dalam data aplikasi mereka. FTP dalam mode aktif, misalnya, menggunakan koneksi yang terpisah untuk lalu lintas kontrol (perintah) dan untuk lalu lintas data (isi file). Ketika meminta transfer file, host membuat permintaan mengidentifikasi sambungan data yang sesuai dengan yang lapisan jaringan dan lapisan transport alamat.Jika host membuat permintaan tersebut terletak di belakang firewall NAT yang sederhana, terjemahan dari alamat IP dan / atau nomor port TCP membuat informasi yang diterima oleh server tidak valid. Para Session Initiation Protocol (SIP) banyak kontrol Voice over IP (VoIP) panggilan, dan menderita masalah yang sama. SIP dan SDP dapat menggunakan beberapa port untuk mengatur koneksi dan mengirimkan aliran suara melalui RTP . Alamat IP dan nomor port yang dikodekan dalam data payload dan harus diketahui sebelum traversal dari Nat. Tanpa teknik khusus, seperti STUN , NAT perilaku tak terduga dan komunikasi mungkin gagal.

Layer aplikasi gerbang (ALG) perangkat lunak atau perangkat keras dapat memperbaiki masalah ini. Sebuah modul perangkat lunak ALG berjalan pada firewall NAT pembaruan perangkat apapun payload data yang dibuat valid oleh terjemahan alamat. Algs jelas perlu memahami protokol layer yang lebih tinggi bahwa mereka harus memperbaiki, dan sehingga setiap protokol dengan masalah ini memerlukan ALG terpisah.Sebagai contoh, pada sistem Linux banyak, ada modul kernel disebut koneksi pelacak yang berfungsi untuk melaksanakan algs. Namun, ALG tidak bekerja jika saluran kontrol dienkripsi (misalnya FTPS ).

Solusi lain yang mungkin untuk masalah ini adalah dengan menggunakan NAT traversal teknik menggunakan protokol seperti STUN atau ICE , atau pendekatan proprietary dalam kontroler perbatasan sesi . NAT traversal mungkin dalam TCP dan UDP berbasis aplikasi, tetapi teknik UDP berbasis sederhana, lebih luas dipahami, dan lebih kompatibel dengan Nat warisan. ^{[ kutipan diperlukan ]} Dalam kedua kasus, protokol tingkat tinggi harus dirancang dengan NAT traversal dalam pikiran, dan tidak bekerja andal di Nat Nat simetris atau yang lain warisan buruk berperilaku.

Kemungkinan lain adalah UPnP (Universal Plug and Play) atau NAT-PMP (NAT Pelabuhan Protokol Pemetaan), tetapi ini membutuhkan kerja sama dari perangkat NAT.

Paling tradisional client-server protokol (FTP menjadi pengecualian utama), bagaimanapun, tidak mengirim informasi kontak lapisan 3 dan karena itu tidak memerlukan perlakuan khusus oleh Nat. Bahkan, menghindari komplikasi NAT persyaratan praktis saat merancang baru-lapisan protokol yang lebih tinggi hari ini (misalnya penggunaan SFTP bukan FTP).

Nat juga dapat menyebabkan masalah di mana IPsec enkripsi diterapkan dan dalam kasus di mana beberapa perangkat seperti SIP telepon yang terletak di belakang NAT. Telepon yang mengenkripsi signaling mereka dengan IPsec merangkum informasi port dalam sebuah paket terenkripsi, yang berarti bahwa NA (P) T perangkat tidak dapat mengakses dan menerjemahkan pelabuhan. Dalam kasus ini NA (P) T perangkat kembali ke operasi NAT sederhana. Ini berarti bahwa semua lalu lintas kembali ke NAT akan dipetakan ke satu klien menyebabkan layanan ke lebih dari satu klien "di belakang" NAT untuk gagal. Ada beberapa solusi untuk masalah ini: satu adalah dengan menggunakan TLS , yang beroperasi pada tingkat 4 dalam OSI Reference Model dan karenanya tidak masker nomor port, yang lain adalah untuk merangkum IPsec dalamUDP - yang terakhir menjadi solusi yang dipilih oleh TISPAN untuk mencapai mengamankan NAT traversal.

DNS protokol kerentanan diumumkan oleh Dan Kaminsky pada 8 Juli 2008 secara tidak langsung dipengaruhi oleh pemetaan port NAT. Untuk menghindari server DNS cache keracunan , sangat diinginkan untuk tidak menerjemahkan nomor port UDP sumber permintaan DNS keluar dari server DNS yang berada di belakang firewall yang mengimplementasikan NAT. Merekomendasikan kerja-sekitar untuk kerentanan DNS adalah untuk membuat semua DNS cache server menggunakan port UDP secara acak sumber. Jika fungsi NAT de-merandomisasi port UDP sumber, server DNS akan menjadi rentan.

[ sunting ]Keuntungan dari PAT

Selain keuntungan yang disediakan oleh NAT:

• PAT (Port Address Translation) memungkinkan host internal untuk berbagi satu alamat IP eksternal.
• Pengguna yang tidak memerlukan dukungan untuk koneksi inbound tidak mengkonsumsi alamat IP publik .

[ sunting ]Kekurangan

Tujuan utama IP-masquerading NAT adalah bahwa ia telah menjadi solusi praktis untuk kelelahan yang akan datang dari ruang alamat IPv4.Bahkan jaringan yang besar dapat terhubung ke Internet dengan sebagai sedikit sebagai alamat IP tunggal. Pengaturan lebih umum adalah memiliki komputer yang membutuhkan end-to-end konektivitas disediakan dengan alamat IP yang dapat dirutekan, sementara memiliki mesin yang tidak memberikan layanan kepada pengguna di luar di belakang NAT dengan hanya beberapa alamat IP yang digunakan untuk mengaktifkan akses internet, bagaimanapun, ini membawa beberapa masalah, diuraikan di bawah ini.

Beberapa ^[ 6 ] juga disebut fitur yang tepat kelemahan besar, karena penundaan kebutuhan untuk pelaksanaan IPv6 :

"[...] Adalah mungkin bahwa perusahaan [NAT yang] digunakan secara luas secara signifikan akan menunda kebutuhan untuk menyebarkan IPv6 [...] Ini mungkin aman untuk mengatakan bahwa jaringan akan lebih baik tanpa NAT. [...]"

Host di belakang NAT-enabled router tidak harus end-to-end konektivitas dan tidak dapat berpartisipasi dalam beberapa protokol internet.Pelayanan yang membutuhkan inisiasi dari TCP koneksi dari jaringan luar, atau status protokol seperti mereka yang menggunakan UDP , dapat terganggu. Kecuali router NAT membuat upaya khusus untuk mendukung protokol seperti, paket masuk tidak dapat mencapai tujuan mereka.Beberapa protokol dapat menampung satu contoh NAT berpartisipasi antara host ("mode pasif" FTP , misalnya), kadang-kadang dengan bantuan sebuah gateway aplikasi-tingkat (lihat di bawah), tapi gagal ketika kedua sistem terpisah dari internet oleh NAT. Penggunaan NAT juga mempersulit tunneling protokol seperti IPsec karena NAT memodifikasi nilai dalam header yang mengganggu integritas pemeriksaan dilakukan oleh IPsec dan protokol tunneling lainnya.

End-to-end konektivitas telah menjadi prinsip inti dari Internet, misalnya didukung oleh Internet Architecture Board . Internet saat ini arsitektur dokumen mengamati bahwa NAT merupakan pelanggaran terhadap Prinsip End-to-End, tapi itu NAT memang memiliki peran yang valid dalam desain hati-hati. ^[ 7 ] Ada kekhawatiran jauh lebih dengan penggunaan IPv6 NAT, dan banyak arsitek IPv6 percaya IPv6 dimaksudkan untuk menghapus kebutuhan untuk NAT. ^[ 8 ]

Karena sifat singkat dari tabel stateful NAT terjemahan dalam router, perangkat pada jaringan internal kehilangan IP konektivitas biasanya dalam waktu yang sangat singkat kecuali mereka menerapkan NAT tetap-hidup mekanisme dengan sering mengakses host luar. Hal ini secara dramatis lebih pendek cadangan daya pada baterai-dioperasikan perangkat genggam dan telah digagalkan penyebaran lebih luas seperti IP-pribumi perangkat Internet-enabled. ^{[ kutipan diperlukan ]}

Beberapa penyedia layanan Internet (ISP), khususnya di India , Rusia , bagian di Asia dan lainnya "mengembangkan" daerah menyediakan pelanggan mereka hanya dengan "lokal" alamat IP, karena sejumlah alamat IP eksternal dialokasikan untuk entitas-entitas ^{[ kutipan diperlukan ]} .Dengan demikian, pelanggan harus mengakses layanan eksternal ke jaringan ISP melalui NAT. Akibatnya, pelanggan tidak dapat mencapai end-to-end konektivitas, yang melanggar prinsip-prinsip inti dari internet sebagai ditetapkan oleh Internet Architecture Board ^{[ kutipan diperlukan ]} .

• Skalabilitas - Sebuah implementasi yang hanya melacak port dapat cepat terkuras oleh aplikasi internal yang menggunakan koneksi simultan (seperti HTTP permintaan untuk halaman web dengan objek tertanam banyak). Masalah ini dapat dikurangi dengan melacak alamat IP tujuan selain port (sehingga berbagi port lokal tunggal dengan banyak remote host), dengan mengorbankan kompleksitas implementasi dan CPU / sumber daya memori dari perangkat terjemahan.
• Kompleksitas firewall - Karena alamat internal semua menyamar di balik satu alamat publik dapat diakses, adalah mustahil untuk host eksternal untuk memulai sambungan ke host internal tertentu tanpa konfigurasi khusus pada firewall untuk meneruskan koneksi ke port tertentu. Aplikasi seperti VOIP , konferensi video , dan lainnya peer-to-peer aplikasi harus menggunakan NAT traversal teknik untuk fungsi.

[ sunting ]Spesifikasi

IEEE ^[ 9 ] Alamat Reverse dan Terjemahan Pelabuhan (diculik, atau RAT) memungkinkan sebuah host yang alamat IP yang sebenarnya berubah dari waktu ke waktu untuk tetap dapat dicapai sebagai server melalui alamat IP rumah tetap. Pada prinsipnya, ini harus memungkinkan pengaturan server DHCP-menjalankan jaringan. Meskipun bukan solusi mobilitas yang sempurna, penuh bersama-sama dengan protokol yang akan datang seperti DHCP-DDNS, mungkin berakhir menjadi alat yang berguna dalam gudang admin jaringan.

IETF ^[ 10 ] penuh (Reachability IP Menggunakan Dua kali Network Address dan Alih Port) Peta perangkat RAT datagram IP ke CN yang terkait dan 0MN dengan menggunakan tiga bidang tambahan: jenis nomor protokol IP dan sumber lapisan transport dan pengenal koneksi tujuan ( misalnya port TCP nomor atau echo request / balasan kolom ID ICMP).

Cisco penuh pelaksanaan PAT (Port Address Translation) atau overloading, dan peta beberapa alamat IP privat ke alamat IP publik. Beberapa alamat dapat dipetakan ke alamat tunggal karena masing-masing alamat pribadi dilacak oleh nomor port. PAT menggunakan nomor port sumber yang unik pada alamat IP dalam global untuk membedakan antara terjemahan. Nomor port dikodekan dalam 16 bit. Jumlah total alamat internal yang dapat diterjemahkan ke satu alamat eksternal secara teoritis bisa setinggi 65.536 per alamat IP. Realistis, jumlah port yang dapat diberi alamat IP tunggal adalah sekitar 4000. PAT akan mencoba untuk melestarikan port sumber aslinya. Jika ini port sumber sudah digunakan, PAT akan menetapkan nomor port pertama yang tersedia mulai dari awal kelompok pelabuhan, sesuai 0-511 512-1023, atau 1024-65535. Ketika ada port tidak lagi tersedia dan ada lebih dari satu alamat IP eksternal dikonfigurasi, PAT bergerak ke alamat IP berikutnya untuk mencoba mengalokasikan port sumber asli lagi. Proses ini berlanjut sampai kehabisan port yang tersedia dan alamat IP eksternal.

3COM US Paten 6.055.236 (Metode dan sistem untuk mencari layanan jaringan dengan terjemahan alamat jaringan terdistribusi) Metode dan sistem untuk mencari layanan terjemahan alamat jaringan dengan jaringan terdistribusi. Sertifikat digital dibuat yang memungkinkan perangkat jaringan eksternal pada jaringan eksternal, seperti Internet, untuk meminta layanan dari perangkat jaringan internal pada sebuah jaringan terdistribusi terjemahan alamat jaringan internal, seperti jaringan area stub lokal. Sertifikat digital meliputi informasi yang diperoleh dengan Protokol Alokasi Pelabuhan digunakan untuk terjemahan alamat jaringan terdistribusi. Sertifikat digital yang dipublikasikan di jaringan internal sehingga mereka dapat diakses oleh perangkat jaringan eksternal. Sebuah perangkat jaringan eksternal mengambil sertifikat digital, ekstrak informasi yang sesuai, dan mengirimkan paket permintaan layanan ke perangkat jaringan internal pada jaringan terdistribusi jaringan terjemahan alamat internal. Perangkat jaringan eksternal dapat menemukan dan permintaan layanan dari perangkat jaringan internal. Sebuah perangkat jaringan eksternal juga dapat meminta layanan keamanan, seperti keamanan Internet Protocol ("IP Security") layanan dari perangkat jaringan internal. Perangkat jaringan eksternal dan perangkat jaringan internal dapat membangun layanan keamanan (misalnya, Internet Key Exchange protokol layanan). Perangkat jaringan internal dan perangkat jaringan eksternal kemudian dapat mendirikan Asosiasi Keamanan menggunakan Parameter Indeks Keamanan ("SPI") diperoleh dengan menggunakan alamat protokol jaringan terjemahan didistribusikan.Perangkat jaringan eksternal dapat meminta layanan, dan layanan keamanan pada perangkat jaringan internal pada jaringan jaringan terjemahan alamat internal mendistribusikan yang sebelumnya tidak diketahui dan tidak tersedia untuk perangkat jaringan eksternal.

[ sunting ]Contoh perangkat lunak NAT

• Internet Connection Sharing (ICS): Windows NAT + DHCP sejak W98SE
• WinGate : seperti ICS ditambah banyak kontrol
• iptables : paket Linux filter dan NAT (antarmuka untuk Netfilter)
• Ipfilter : Solaris, NetBSD, FreeBSD, xMach.
• PF (firewall) : OpenBSD Packet Filter.
• Netfilter Linux filter paket kerangka

[ sunting ]Lihat juga

• AYIYA (IPv6 melalui IPv4 UDP sehingga IPv6 tunneling bekerja lebih dari Nat yang paling)
• Kelas pembawa NAT
• Firewall
• Pintu gerbang
• Internet Gateway Device (IGD) Protokol : UPnP NAT traversal-metode
• Middlebox
• Internet Protocol versi 4
• NAT-PT
• Port forwarding
• Pelabuhan memicu
• Alamat IP pribadi
• Server proxy
• Rute
• Subnet
• pelabuhan
• Teredo tunneling : NAT traversal menggunakan IPv6

[ sunting ]Referensi

1. ^ www.tcpipguide.com / gratis / t_IPNetworkAddressTranslationNATProtocol.htm
2. ^ François Audet;. dan Cullen Jennings (Januari 2007) (teks) RFC 4787 Network Address Translation (NAT) Persyaratan Perilaku untuk Unicast UDP . IETF . Diperoleh 2007/08/29 .
3. ^ "Karakterisasi dan Pengukuran TCP Traversal melalui Nat dan Firewall" . Desember 2006 .
4. ^ "Menerangi bayang-bayang: jaringan oportunistik dan pengukuran web" . Desember 2006 .
5. ^ "The Audio selama Expert Guide IP Instan" . Tieline. Januari 2010 . Diperoleh 2011/08/19 .
6. ^ Larry L. Peterson, dan Bruce S. Davie; Jaringan Komputer: Suatu Pendekatan Sistem , Morgan Kaufmann, 2003, hlm 328-330, ISBN 1-55860-832-X
7. ^ R. Bush; dan D. Meyer, RFC 3439 , Pedoman internet Beberapa Arsitektur dan Filsafat , Desember 2002
8. ^ G. Van de Velde et al. ; RFC 4864 , Jaringan Perlindungan Lokal untuk IPv6 , Mei 2007
9. ^ http://ieeexplore.ieee.org/iel4/6056/16183/00749275.pdf
10. ^ http://www3.ietf.org/proceedings/99nov/ID/draft-ietf-nat-rnat-00.txt

[ sunting ]Pranala luar

• Traversal NAT-Test dan hasil
• Karakterisasi Nat TCP yang berbeda - Kertas membahas berbagai jenis NAT
• Anatomi: Sebuah Look Inside Network Address Translators - Volume 7, Issue 3, September 2004
• Jeff Tyson, HowStuffWorks: Bagaimana Network Address Translation Pekerjaan
• NAT traversal teknik di Jaringan multimedia - White Paper dari Newport Jaringan
• Peer-to-Peer Komunikasi Di Network Address Translators (PDF) - NAT traversal teknik untuk UDP dan TCP
• http://www.zdnetasia.com/insight/network/0, 39044847,39050002,00. htm
• RFC
  • RFC 1631 (Status: Usang) - Alamat IP Network Penterjemah (NAT)
  • RFC 1918 - Alamat Alokasi untuk Internets pribadi
  • RFC 3022 (Status: Informational) - Jaringan IP tradisional Alamat Penterjemah (NAT Tradisional)
  • RFC 4008 (Status: Standar Track) - Definisi Objek Dikelola untuk Penerjemah Alamat Jaringan (NAT)
  • RFC 5128 (Status: Informational) - Negara rekan-to-Peer (P2P) di seluruh Komunikasi Network Address Translators (Nat)
  • RFC 4966 (Status: Informational) - Alasan untuk Pindahkan Network Address Translator - Penerjemah Protokol (NAT-PT) Status Bersejarah
• Bicara Bebas Akhir Pengumuman Hidup - diskusi John Walker mengapa ia berhenti mengembangkan program terkenal untuk komunikasi internet gratis, bagian yang langsung berhubungan dengan NAT
• NATD
• SNAT, DNAT dan OCS2007R2 - membahas SNAT di Microsoft OCS 2007R2
• Alternatif Taksonomi (Bagian dari dokumentasi untuk iSeries IBM)
  • NAT Statis
  • NAT Dinamis
  • NAT Masquerade
• Network Address Translation - NAT
• Cisco Systems
  • Dokumen ID 6450: Bagaimana Bekerja NAT
  • Dokumen ID 26704: Network Address Translation (NAT) FAQ
  • White Paper: Cisco IOS Network Address Translation Ikhtisar
  • Cisco IOS NAT Perintah perintah Cisco IOS
  • Animasi Cisco NAT sampel