NAT

Постараемся объяснить в общих чертах механизм работы технологии NAT, а также причины ее возникновения. В 90-х годах прошлого столетия стало очевидно, что дефицит IP-адресов в адресном пространстве глобальной сети не за горами. Количество отдельных серверов, подключенных к Интернету, росло и растет быстрыми темпами. Назрела необходимость каким-то образом обеспечить доступ к глобальным ресурсам большему количеству компьютеров и одновременно упростить их индексацию.

В 1994-м году группой разработчиков сетевых технологий Network Working Group был предложен метод, с помощью которого решалась задача экономии IP-адресов. В этом документе участники группы NWG опубликовали описание, как актуальности, так и возможного решения проблемы с помощью объединения отдельных IP-адресов в группы. В том же году была разработана технология NAT (Network Address Translation – преобразование сетевых адресов). Подробное описание принципов работы NAT вы найдете по этому адресу. И хотя разработчики заявили, что NAT временное решение проблемы, технология прижилась, не смотря на некоторые свои недостатки.

Технология NAT позволяет:

- обеспечить корпоративные и частные локальные сети большим количеством внутренних IP-адресов. При этом не возникает конфликтов между одинаковыми IP-адресами разных локальных сетей.

- обеспечить безопасность всех узлов локальной сети, путем сокрытия внутренних IP-адресов от внешней сети.

- организовать доступа к сети Интернет всем компьютерам локальной сети через единый шлюз, используя единственный внешний IP-адрес.


Современные реализации NAT позволяют решать многие другие задачи касающиеся администрирования сетей, например: контроль и учет трафика конечных пользователей Интернет, мониторинг и ведение статистики. В Windows встроена реализация механизма преобразования сетевых адресов. Аппаратная реализация NAT применяется в модемах, маршрутизаторах и коммутаторах.

Основные принципы работы технологии NAT заключаются в следующем. В модуль NAT встроена таблица, которая ведет запись о каждом соединении. В ней содержатся IP-адреса и номера портов источников и приемников пакетов информации. С помощью этой таблицы NAT преобразовывает адреса.

Рассмотрим следующий пример для уяснения работы NAT

На предприятии развернута локальная сеть, IP-адреса компьютеров в локальной сети 10.0.0.1 – 10.0.0.4. Один из компьютеров (IP-адрес 10.0.0.1), являясь одновременно устройством NAT, устанавливает соединение с сетью Интернет. При этом, для всех внешних обращений (запросов) к внешним источникам он использует единый внешний IP-адрес 157.55.1.10.

Допустим, компьютер с адресом 10.0.0.2 совершает запрос на внешний сервер www.cwsl.ru на внешний порт – 80. В IP-пакете запроса компьютер 10.0.0.2 указывает адрес назначения www.cwsl.ru, порт назначения 80 и указывает свой обратный IP-адрес 10.0.0.2 и порт 1025. В отсутствии NAT, web-сервер, получив такой IP-пакет с обратным адресом 10.0.0.2, не сможет ответить на него, поскольку он является IP-адресом локальной сети. Устройство NAT реализует механизм подмены адреса и порты отправителя локальной сети на свой внешний адрес. IP-пакет, проходя через NAT от локального компьютера к веб-серверу, меняет обратный адрес с 10.0.0.2 на внешний IP-адрес NAT 157.55.1.10 и порт с 1025, например, на 2000 (для каждого исходящего IP-пакета NAT открывает свой порт на который он ждет ответный пакет). В собственной таблице запросов, NAT добавляется запись о пакете – IP-адрес и номер порта отправителя. При получении обратного пакета на свой адрес и порт 2000, NAT, сверяясь с таблицей запросов, отсылает ответный пакет от web-сервера www.cwsl.ru на компьютер локальной сети с адресом 10.0.0.2 и портом 1025.

Основным недостатком NAT является отсутствие возможности обратиться с внешнего сервера непосредственно на компьютер локальный сети без первоначального запроса изнутри. Если два оборудования IP-телефонии находятся по разные стороны NAT, например, софтфон, находится в локальной сети, а сервер телефонии на внешнем IP-адресе. То исходящий вызов с софтфона на сервер телефонии проходить будет без проблем, а вот обратный вызов, отправленный с сервера телефонии на IP-адрес NAT, не достигнет адресата. Поскольку устройство NAT не будет знать для какого устройства в локальной сети эти пакеты предназначены. Для устранения этого недостатка предназначена технология обхода NAT. Эта технология одинаково применима как для программных телефонов (софтфонов), так и для сервера телефонии в целом. Технологию обхода NAT необходимо использовать только в тех случаях, когда одно или оба устройства VoIP-телефонии находится за устройством NAT по отношению друг к другу.

Существует два распространенных механизма обхода NAT

Первый – использование внешнего отдельно стоящего STUN сервера, который реализует механизмы передачи пакетов, если одно или два устройства находятся за NAT. Для реализации этого механизма необходимо установить и настроить внешний STUN -сервер.

Второй, более простой, способ – использование технологии подмены IP-адреса. Технология подмены IP-адреса заключается в том, что VoIP-устройство отправляя пакеты во внешнюю сеть, указывает в качестве обратного адреса не свой внутренний IP-адрес, а внешний IP-адрес NAT. Устройство NAT, получая ответные пакеты, передает их обратно на VoIP-устройство. Для того же, чтобы внешнее VoIP-устройство могло отправить вызов на VoIP-устройство, находящееся в локальной сети, на устройстве NAT настраивается прямое перенаправление портов.

Пример 1. Софтфон установлен в локальной сети на компьютере с IP-адресом 10.0.0.2, диапазон портов 5000-5200 и протокол SIP, устройство NAT использует внешний IP-адрес 157.55.1.10. Для решения поставленной задачи в настройках софтфона указываем способ обхода NAT "подмена IP-адреса", в качестве внешнего IP-адреса указываем адрес NAT – 157.55.1.10. В настройках самого устройства NAT реализуем перенаправление UDP портов 5000–5200 на IP-адрес 10.0.0.2. Это означает, что любой пакет, поступивший на внешний IP-адрес NAT на порты 5000–5200, будет направлен на обработку на IP-адрес 10.0.0.2 софтфона.

Пример 2. «Infinity IP АТС» установлен в локальной сети на сервере с IP-адресом 10.0.0.2, диапазон портов 6000-6200 и протокол H.323, устройство NAT использует внешний IP-адрес 157.55.1.10. Для решения поставленной задачи в настройках IP-узла указываем способ обхода NAT "подмена IP-адреса", в качестве внешнего IP-адреса указываем адрес NAT – 157.55.1.10. В настройках самого устройства NAT реализуем перенаправление портов TCP и UDP портов 6000–6200 на IP-адрес 10.0.0.2. Кроме того, отдельно настраиваем перенаправление для TCP порта 1720 на IP-адрес 10.0.0.2, поскольку он не входит в указанный диапазон, но является сигнальным портом для протокола H.323. Это означает, что любой пакет, поступивший на внешний IP-адрес NAT на TCP/UDP порты 6000–6200 и TCP порт 1720, будет направлен на обработку на IP-адрес 10.0.0.2 сервера телефонии «Infinity IP АТС».

Если оба VoIP устройства находятся за NAT, обход NAT для каждого из устройств настраивается аналогично. 

Нашли ошибку?
Выделите текст, нажмите Ctrl + Enter

Сообщение об ошибке

Адрес страницы *
Ошибочный текст *
Комментарий *
Защита от автоматического заполнения

Введите символы с картинки*

Дополнить статью

Адрес *
Ваше ФИО
Ваш Email
Текст дополнения *

Попробовать InfinitySmart бесплатно

Зарегистрируйтесь, чтобы получить доступ
к бесплатной версии на 14 дней

Заказ презентации

После отправки запроса наш менеджер свяжется с вами для демонстрации системы, рассчитает ее стоимость, ответит на вопросы