روتر شبکه, مطلب ها

مترجم آدرس شبکه (NAT) چیست و چگونه کار می‌کند؟

آبان 13, 1404

اشتراک

مترجم آدرس شبکه (NAT) چیست و چگونه کار می‌کند؟

ترجمه آدرس شبکه (NAT) به شبکه‌های خصوصی اجازه می‌دهد با ترجمه آدرس‌های IP خصوصی به آدرس‌های IP عمومی، با شبکه‌های عمومی مانند اینترنت ارتباط برقرار کنند. این فناوری به حفظ فضای آدرس‌دهی IPv4 کمک می‌کند، با پنهان کردن ساختارهای داخلی IP یک لایه امنیتی اضافه می‌کند و دسترسی یکپارچه به اینترنت را برای دستگاه‌های درون شبکه‌های خصوصی فراهم می‌نماید.

ترجمه آدرس شبکه (NAT) چیست؟

NAT اطلاعات آدرس IP در هدر بسته‌ها را هنگام عبور ترافیک از یک روتر یا فایروال تغییر می‌دهد. این فرآیند، آدرس‌های IP خصوصی را به آدرس‌های IP عمومی ترجمه می‌کند و بالعکس. این قابلیت به دستگاه‌های موجود در شبکه‌های خصوصی (شبکه خانگی، شعب، مراکز داده) اجازه می‌دهد به اینترنت دسترسی داشته باشند، در حالی که در فضای آدرس‌دهی IP جهانی صرفه‌جویی می‌شود.

چرا به NAT نیاز داریم؟

صرفه‌جویی در آدرس‌ها: پروتکل IPv4 تنها حدود ۴.۳ میلیارد آدرس در اختیار می‌گذارد که برای دستگاه‌های امروزی کافی نیست. NAT به شبکه‌های خصوصی اجازه می‌دهد تنها با یک آدرس IP عمومی به اینترنت متصل شوند و نیاز به استفاده از چندین آدرس IP عمومی را کاهش می‌دهد.

حریم خصوصی و امنیت پایه: NAT با پنهان کردن آدرس‌های IP داخلی از دید اینترنت عمومی، یک لایه امنیتی ایجاد می‌کند و از برقراری اتصالات ورودی ناخواسته جلوگیری می‌کند، مگر اینکه به طور صریح پیکربندی شده باشد.

امکان ارتباط بین IPهای خصوصی و عمومی: آدرس‌های IP خصوصی (مطابق استاندارد RFC 1918) قابلیت مسیریابی در اینترنت عمومی را ندارند. NAT این شکاف را پر می‌کند و به دستگاه‌های خصوصی اجازه می‌دهد با سرورهای عمومی ارتباط برقرار کنند.

انواع NAT

نوع NAT	شرح	کاربرد
NAT ایستا	یک آدرس IP خصوصی به طور ثابت به یک آدرس IP عمومی نگاشت می‌شود	میزبانی سرورهای داخلی که نیاز به دسترسی عمومی ثابت دارند
NAT پویا	آدرس‌های IP خصوصی به آدرس‌های IP عمومی از یک ذخیره (پول) نگاشت می‌شوند	وجود ذخیره محدود آدرس IP عمومی، تخصیص چرخشی
PAT (NAT با اضافه بار)	چندین آدرس IP خصوصی با استفاده از پورت‌های مختلف به یک آدرس IP عمومی نگاشت می‌شوند	رایج‌ترین نوع؛ امکان دسترسی به اینترنت را برای بسیاری از دستگاه‌ها تنها با استفاده از یک IP فراهم می‌کند

NAT چگونه کار می‌کند؟

هنگامی که یک دستگاه در شبکه خصوصی ارتباط را آغاز می‌کند:

دستگاه NAT آدرس IP مبدأ خصوصی را با آدرس IP عمومی خود جایگزین می‌کند
در PAT، یک پورت مبدأ یکتا برای تفکیک sessionها اختصاص می‌دهد
دستگاه NAT یک جدول ترجمه نگهداری می‌کند که mapping بین IP/پورت خصوصی به IP/پورت عمومی را ثبت می‌کند
ترافیک بازگشتی بر اساس این جدول بررسی شده و آدرس و پورت مقصد به آدرس و پورت داخلی بازنویسی می‌شوند
اگر mapping از پیش موجودی وجود نداشته باشد، اتصالات ورودی ناخواسته معمولاً drop می‌شوند مگر اینکه توسط پیکربندی‌ها مجاز شده باشند (مانند NAT ایستا)

روش پیکربندی Source NAT) NAT/PAT) روی روترهای سیسکو

تعریف رابط‌های Inside و Outside:

interface GigabitEthernet0/0
 ip nat inside
!
interface GigabitEthernet0/1
 ip nat outside

ایجاد لیست دسترسی برای تطبیق ترافیک داخلی:

access-list 1 permit 192.168.1.0 0.0.0.255

پیکربندی NAT/PAT:

NAT ایستا:

ip nat inside source static 192.168.1.10 203.0.113.10

NAT پویا:

ip nat pool PUBLIC_POOL 203.0.113.100 203.0.113.110 netmask 255.255.255.0
ip nat inside source list 1 pool PUBLIC_POOL

PAT) Overload NAT):

ip nat inside source list 1 interface GigabitEthernet0/1 overload

تأیید پیکربندی NAT:

show ip nat translations
show ip nat statistics

روش پیکربدی NAT Traversal روی روترهای سیسکو

هنگام استفاده از VPN‌ها، NAT ممکن است با ترافیک تداخل ایجاد کند. (NAT Traversal( NAT-T ترافیک IPsec را درون UDP کپسوله می‌کند تا از دستگاه‌های NAT عبور کند. برای فعال‌سازی NAT-T روی روترهای سیسکو:

crypto isakmp nat-traversal 20

این دستور، NAT-T را با زمان نگهداری (keepalive) 20 ثانیه فعال می‌کند (مقدار پیش‌فرض ۱۰ ثانیه است).

تأیید پیکربندی:

show crypto isakmp sa

اطمینان حاصل کنید که لیست‌های دسترسی (ACL) شما UDP/4500 را مجاز می‌دانند و همتایان VPN شما از NAT-T پشتیبانی می‌کنند.

کاربردهای متداول NAT

دسترسی به اینترنت در خانه و شعب: چندین دستگاه با یک آدرس IP عمومی به اشتراک گذاشته می‌شوند
میزبانی سرور: استفاده از NAT ایستا برای دسترسی ورودی به سرورهای داخلی
NAT در سطح سرویس‌دهنده (CGNAT): مدیریت پایگاه بزرگ مشترکین با آدرس‌های IP عمومی محدود توسط ارائه‌دهندگان خدمات اینترنت
انتقال به IPv6 (NAT64): امکان ارتباط دستگاه‌های فقط IPv6 با سرورهای IPv4
افزایش حریم خصوصی: پنهان‌سازی ساختار آدرس‌دهی داخلی از شبکه‌های خارجی

محدودیت‌ها و چالش‌های NAT

شکستن ارتباط End-to-End: برای برقراری ارتباطات ورودی مستقیم، نیاز به پیکربندی صریح NAT وجود دارد
پیچیده کردن پروتکل‌های جاسازی کننده اطلاعات IP: پروتکل‌هایی مانند FTP و SIP ممکن است به ALGها یا روش‌های عبور از NAT نیاز داشته باشند
اتمام پورت‌ها: در شرایط بار سنگین، PAT ممکن است پورت‌های در دسترس را تمام کند
جایگزین فایروال نیست: NAT اگرچه حریم خصوصی را افزایش می‌دهد، اما ترافیک مخرب را بررسی یا مسدود نمی‌کند

سوالات متداول درباره NAT

سوال ۱: NAT در سیسکو چیست؟
NAT روی روترهای سیسکو، آدرس‌های IP خصوصی را به آدرس‌های IP عمومی ترجمه می‌کند و امکان دسترسی به اینترنت را فراهم می‌کند در حالی که در فضای آدرس‌دهی صرفه‌جویی می‌شود.

سوال ۲: چگونه یک شبکه NAT را پیکربندی کنیم؟
اینترفیس‌های inside/outside را تعریف کنید، لیست‌های دسترسی (ACL) برای ترافیک داخلی ایجاد کنید، قواعد NAT (ایستا، پویا یا PAT) را پیکربندی کنید و با استفاده از دستور show ip nat translations تأیید کنید.

سوال ۳: چگونه NAT Traversal را روی روترهای سیسکو پیکربندی کنیم؟
از دستور crypto isakmp nat-traversal برای فعال‌سازی NAT-T استفاده کنید تا ترافیک VPN بتواند از دستگاه‌های NAT عبور کند.

سوال ۴: چگونه Source NAT را پیکربندی کنیم؟
از دستورات ip nat inside source برای ترجمه آدرس‌های IP مبدأ داخلی به آدرس‌های IP عمومی استفاده کنید که از پیکربندی‌های ایستا، پویا و PAT پشتیبانی می‌کند.