اينترنت با سرعتي باورنکردني همجنان در حال گسترش است . تعداد کامپيوترهاي ارائه دهنده اطلاعات ( خدمات ) و کاربران اينترنت روزانه تغيير و رشد مي يابد. با اينکه نمي توان دقيقا" اندازه اينترنت را مشخص کرد ولي تقريبا" يکصد ميليون کامپيوتر ميزبان (Host) و 350 ميليون کاربر از اينترنت استفاده مي نمايند. رشد اينترنت چه نوع ارتباطي باNetwork Address Translation) NAT ) دارد؟ هر کامپيوتر به منظور ارتباط با ساير کامپيوترها و سرويس دهندگان وب بر روي اينترنت، مي بايست داراي يک آدرس IP باشد. IP يک عدد منحصر بفرد 32 بيتي بوده که کامپيوتر موجود در يک شبکه را مشخص مي کند.
اولين مرتبه اي که مسئله آدرس دهي توسط IP مطرح گرديد، کمتر کسي به اين فکر مي افتاد که ممکن است خواسته اي مطرح شود که نتوان به آن يک آدرس را نسبت داد. با استفاده از سيستم آدرس دهي IP مي توان 4.294.976.296 (232) آدرس را توليد کرد. ( بصورت تئوري ). تعداد واقعي آدرس هاي قابل استفاده کمتر از مقدار ( بين 3.2 ميليارد و 3.3 ميليارد ) فوق است . علت اين امر، تفکيک آدرس ها به کلاس ها و رزو بودن برخي آدرس ها براي multicasting ، تست و موارد خاص ديگر است .
همزمان با انفجار اينترنت ( عموميت يافتن) و افزايش شبکه هاي کامپيوتري ، تعداد IP موجود، پاسخگوي نيازها نبود. منطقي ترين روش، طراحي مجدد سيستم آدرس دهي IP است تا امکان استفاده از آدرس هاي IP بيشَتري فراهم گردد. موضوع فوق در حال پياده سازي بوده و نسخه شماره شش IP ، راهکاري در اين زمينه است . چندين سال طول خواهد کشيد تا سيستم فوق پياده سازي گردد، چراکه مي بايست تمامي زيرساخت هاي اينترنت تغيير واصلاح گردند. NAT با هدف کمک به مشکل فوق طراحي شده است . NAT به يک دستگاه اجازه مي دهد که بصورت يک روتر عمل نمايد. در اين حالت NAT به عنوان يک آژانس بين اينترنت ( شبکه عمومي ) و يک شبکه محلي ( شبکه خصوصي ) رفتار نمايد. اين بدان معني است که صرفا" يک IP منحصر بفرد به منظور نمايش مجموعه اي از کامپيوترها( يک گروه ) مورد نياز خواهد بود.
کم بودن تعداد IP صرفا" يکي از دلايل استفاده از NAT است .در ادامه به بررسي علل استفاده از NATخواهيم پرداخت .
قابليت هاي NAT
عملکرد NAT مشابه يک تلفتچي در يک اداره بزرگ است . فرض کنيد شما به تلفنچي اداره خود اعلام نموده ايد که تماس هاي تلفني مربوط به شما را تا به وي اعلام ننموده ايد ، وصل نکند . در ادامه با يکي ازمشتريان تماس گرفته و براي وي پيامي گذاشته ايد که سريعا" با شما تماس بگيرد. شما به تلفتچي اداره مي گوئيد که منتظر تماس تلفن از طرف يکي از مشتريان هستم، در صورت تماس وي ، آن را به دفتر من وصل نمائيد. در ادامه مشتري مورد نظر با اداره شما تماس گرفته و به تلفنچي اعلام مي نمايد که قصد گفتگو با شما را دارد ( چراکه شما منتظر تماس وي هستيد ). تلفنچي جدول مورد نظر خود را بررسي تا نام شما را در آن پيدا نمايد. تلفنچي متوجه مي شود که شما تلفن فوق را درخواست نموده ايد، بنابراين تماس مورد نظر به دفتر شما وصل خواهد شد.
NAT توسط شرکت سيسکو و به منظور استفاده در يک دستگاه ( فايروال ، روتر، کامپيوتر ) ارائه شده است .NAT بين يک شبکه داخلي و يک شبکه عمومي مستقر و شامل مدل ها ي متفاوتي است .
• NAT ايستا . عمليات مربوط به ترجمه يک آدرس IP غير ريجستر شده ( ثبت شده ) به يک آدرس IP ريجستر شده را انجام مي دهد. ( تناظر يک به يک ) روش فوق زمانيکه قصد استفاده از يک دستگاه را از طريق خارج از شبکه داشته باشيم، مفيد و قابل استفاده است . در مدل فوق همواره IP 192.168.32.10 به IP 213.18.123.110 ترجمه خواهد شد.
• NAT پويا . يک آدرس IP غير ريجستر شده را به يک IP ريجستر شده ترجمه مي نمايد. در ترجمه فوق از گروهي آدرس هاي IP ريجستر شده استفاده خواهد شد.
• OverLoading . مدل فوق شکل خاصي از NAT پويا است . در اين مدل چندين IP غير ريجستر شده به يک IP ريجستر شده با استفاده از پورت هاي متعدد، ترجمه خواهند شد. به روش فوق PAT)Port Address Translation) نيز گفته مي شود.
• Overlapping . در روش فوق شبکه خصوصي از مجموعه اي IP ريجستر شده استفاده مي کند که توسط شبکه ديگر استفاده مي گردند. NAT مي بايست آدرس هاي فوق را به آدرس هاي IP ريجستر شده منحصربفرد ترجمه نمايد. NAT همواره آدرس هاي يک شبکه خصوصي را به آدرس هاي ريجستر شده منحصر بفرد ترجمه مي نمايد. NAT همچنين آدرس هاي ريجستر شده عمومي را به آدرس هاي منحصر بفرد در يک شبکه خصوصي ترجمه مي نمايد. ( در هر حالت خروجي NAT ، آدرس هاي IP منحصر بفرد خواهد بود. آدرس هاي فوق مي تواند در شبکه هاي عمومي ريجستر شده جهاني باشند و در شبکه هاي خصوصي ريجستر شده محلي باشند )
شبکه اختصاصي ( خصوصي ) معمولا" بصورت يک شبکه LAN مي باشند . به اين نوع شبکه ها که از آدرس هاي IP داخلي استفاده مي نمايند حوزه محلي مي گويند. اغلب ترافيک شبکه در حوزه محلي بصورت داخلي بوده و بنابراين ضرورتي به ارسال اطلاعات خارج از شبکه را نخواهد داشت . يک حوزه محلي مي تواند داراي آدرس هاي IP ريجستر شده و يا غيرريجستر شده باشد. هر کامپيوتري که از آدرس هاي IP غيرريجستر شده استفاده مي کنند، مي بايست از NAT به منظور ارتباط با دنياي خارج از شبکه محلي استفاده نمايند.
NAT مي تواند با استفاده از روش هاي متفاوت پيکربندي گردد. در مثال زير NAT بگونه اي پيکربندي شده است که بتواند آدرس هاي غير ريجستر شده IP ( داخلي و محلي ) که بر روي شبکه خصوصي ( داخلي ) مي باشند را به آدرس هاي IP ريجستر شده ترجمه نمايد.
• يک ISP ( مرکز ارائه دهنده خدمات اينترنت ) يک محدوده از آدرس هاي IP را براي شرکت شما در نظر مي گيرد. آدرس هاي فوق ريجستر و منحصر بفرد خواهند بود . آدرس هاي فوق Inside global ناميده مي شوند. آدرس هاي IP خصوصي و غيرريچستر شده به دو گروه عمده تقسيم مي گردند : يک گروه کوچک که توسط NAT استفاده شده (Outside local address) و گروه بزرگتري که توسط حوزه محلي استفاده خواهند شد ( Inside local address) . آدرس هاي Outside local به منظور ترجمه به آدرس هاي منحصربفرد IP استفاده مي شوند.آدرس هاي منحصر بفرد فوق، outside global ناميده شده و اختصاص به دستگاههاي موجود بر روي شبکه عمومي ( اينترنت) دارند.
• اکثر کامپيوترهاي موجود در حوزه داخلي با استفاده از آدرس هاي inside local با يکديگر ارتباط برقرار مي نمايند.
• برخي از کامپيوترهاي موجود در حوزه داخلي که نيازمند ارتباط دائم با خارج از شبکه باشند ،از آدرس هاي inside global استفاده و بدين ترتيب نيازي به ترجمه نخواهند داشت .
• زمانيکه کامپيوتر موجود در حوزه محلي که داراي يک آدرس inside local است، قصد ارتباط با خارج شبکه را داشته باشد بسته هاي اطلاعاتي وي در اختيار NAT قرار خواهد گرفت .
• NAT جدول روتينگ خود را بررسي تا به اين اطمينان برسد که براي آدرس مقصد يک entry در اختيار دارد. در صورتي که پاسخ مثبت باشد، NAT بسته اطلاعاتي مربوطه را ترجمه و يک entry براي آن ايجاد و آن را در جدول ترجمه آدرس (ATT) ثبت خواهد کرد. در صورتي که پاسخ منفي باشد بسته اطلاعاتي دور انداخته خواهد شد.
• با استفاده از يک آدرس inside global ، روتر بسته اطلاعاتي را به مقصد مورد نظر ارسال خواهد کرد.
• کامپيوتر موجود در شبکه عمومي ( اينترنت )، يک بسته اطلاعاتي را براي شبکه خصوصي ارسال مي دارد. آدرس مبداء بسته اطلاعاتي از نوع outside global است . آدرس مقصد يک آدرس inside global است .
• NAT در جدول مربوطه به خود جستجو و آدرس مقصد را تشخيص و در ادامه آن را به کامپيوتر موجود در حوزه داخلي نسبت خواهد کرد.
• NAT آدرس هاي inside global بسته اطلاعاتي را به آدرس هاي inside local ترجمه و آنها را براي کامپيوتر مقصد ارسال خواهد کرد.
روش Overloading از يک ويژگي خاص پروتکل TCP/IP استفاده مي نمايد. ويژگي فوق اين امکان را فراهم مي آورد که يک کامپيوتر قادر به پشتيباني از چندين اتصال همزمان با يک و يا چندين کامپيوتر با استفاده از پورت هاي متفاوت TCP و يا UDP باشد.. يک بسته اطلاعاتي IP داراي يک هدر(Header) با اطلاعات زير است :
• آدرس مبداء . آدرس کامپيوتر ارسال کننده اطلاعات است .
• پورت مبداء. شماره پورت TCP و يا UDP بوده که توسط کامپيوتر مبداء به بسته اطلاعاتي نسبت داده شده است .
• آدرس مقصد : آدرس کامپيوتر دريافت کننده اطلاعات است .
• پورت مقصد. شماره پورتTCP و يا UDP بوده که کامپيوتر ارسال کننده براي باز نمودن بسته اطلاعاتي براي گيرنده مشخص کرده است .
آدرس ها ، کامپيوترهاي مبداء و مقصد را مشخص کرده ، در حاليکه شماره پورت اين اطمينان را بوجود خواهد آورد که ارتباط بين دو کامپيوتر داراي يک مشخصه منحصر بفرد است . هر شماره پورت از شانزده بيت استفاده مي نمايد.( تعداد پورت هاي ممکن 65536 ( 16 2 ) خواهد بود ) . عملا" از تمام محدوده پورت هاي فوق استفاده نشده و 4000 پورت بصورت واقعي استفاده خواهند شد.
NAT پويا و Overloading
نحوه کار NAT پويا بصورت زير است :
• يک شبکه داخلي ( حوزه محلي) با استفاده از مجموعه اي از آدرس هاي IP که توسط IANA)Internet Assigned Numbers Authority) به شرکت و يا موسسه اي اختصاص داده نمي شوند پيکربندي مي گردد. ( سازمان فوق مسئول اختصاص آدرس هاي IP در سطح جهان مي باشد) آدرس هاي فوق بدليل اينکه منحصربفرد مي باشند، غير قابل روتينگ ناميده مي شوند.
• موسسه مربوطه يک روتر با استفاده از قابليت هاي NAT را پيکربندي مي نمايد. روتر داراي يک محدوده از آدرس هاي IP منحصر بفرد بوده که توسط IANA د ر اختيار موسسه و يا شرکت مربوطه گذاشته شده است .
• يک کامپيوتر موجود بر روي حوزه محلي سعي درايجاد ارتباط با کامپيوتري خارج از شبکه ( مثلا" يک سرويس دهنده وب) را دارد.
• روتر بسته اطلاعاتي را از کامپيوتر موجود در حوزه محلي دريافت مي نمايد.
• روتر آدرس IP غيرقابل روت را در جدول ترجمه آدرس ها ذخيره مي نمايد. روتر آدرس IP غير قابل روت را با يک آدرس از مجموعه آدرس هاي منحصر بفرد جايگزين مي نمايد. بدين ترتيب جدول ترجمه، داراي يک رابطه ( معادله ) بين آدرس IP غيرقابل روت با يک آدرس IP منحصر بفرد خواهد بود.
• زمانيکه يک بسته اطلاعاتي از کامپيوتر مقصد مراچعت مي نمايد، روتر آدرس مقصد بسته اطلاعاتي را بررسي خواهد کرد.بدين منظور روتر در جدول آدرسهاي ترجمه شده جستجو تا از کامپيوتر موجود در حوزه محلي که بسته اطلاعاتي به آن تعلق دارد، آگاهي پيدا نمايد.روتر آدرس مقصد بسته اطلاعاتي را تغيير ( از مقادير ذخيره شده قبلي استفاده مي کند ) و آن را براي کامپيوتر مورد نظر ارسال خواهد کرد. در صورتي که نتيجه جستجو در جدول، موفقيت آميز نباشد، بسته اطلاعاتي دور انداخته خواهد شد.
• کامپيوتر موجود در حوزه ، بسته اطلاعاتي را دريافت مي کند. فرآيند فوق ماداميکه کامپيوتر با سيستم خارج از شبکه ارتباط دارد، تکرار خواهد شد.
نحوه کار Overloading پويا بصورت زير است :
• يک شبکه داخلي ( حوزه محلي) با استفاده از مجموعه اي از آدرس هاي IP که توسط IANA)Internet Assigned Numbers Authority) به شرکت و يا موسسه اي اختصاص داده نمي شوند پيکربندي مي گردد. آدرس هاي فوق بدليل اينکه منحصربفرد مي باشند غير قابل روتينگ ناميده مي شوند.
• موسسه مربوطه يک روتر را با استفاده از قابليت هاي NAT ، پيکربندي مي نمايد. روتر داراي يک محدوده از آدرس هاي IP منحصر بفرد بوده که توسط IANA د ر اختيار موسسه و يا شرکت مربوطه گذاشته شده است .
• يک کامپيوتر موجود بر روي حوزه داخلي ، سعي درايجاد ارتباط با کامپيوتري خارج از شبکه( مثلا" يک سرويس دهنده وب) را دارد.
• روتر بسته اطلاعاتي را از کامپيوتر موجود در حوزه داخلي دريافت مي نمايد.
• روتر آدرس IP غيرقابل روت و شماره پورت را در جدول ترجمه آدرس ها ذخيره مي نمايد. روتر آدرس IP غير قابل روت را با يک آدرس منحصر بفرد جايگزين مي نمايد. روتر شماره پورت کامپيوتر ارسال کننده را با شماره پورت اختصاصي خود جايگزين و آن را در محلي ذخيره تا با آدرس کامپيوتر ارسال کننده اطلاعات ، مطابقت نمايد.
• زمانيکه يک بسته اطلاعاتي از کامپيوتر مقصد مراچعت مي نمايد ، روتر پورت مقصد بسته اطلاعاتي را بررسي خواهد کرد.بدين منظور روتر در جدول آدرس هاي ترجمه شده جستجو تا از کامپيوتر موجود در حوزه داخلي که بسته اطلاعاتي به آن تعلق دارد آگاهي پيدا نمايد.روتر آدرس مقصد بسته اطلاعاتي و شماره پورت را تغيير ( از مقادير ذخيره شده قبلي استفاده مي کند ) و آن را براي کامپيوتر مورد نظر ارسال خواهد کرد. در صورتي که نتيجه جستجو در جدول ، موفقيت آميز نباشد بسته اطلاعاتي دور انداخته خواهد شد.
• کامپيوتر موجود در حوزه داخلي ، بسته اطلاعاتي را دريافت مي کند. فرآيند فوق ماداميکه کامپيوتر با سيستم خارج از شبکه ارتباط دارد، تکرار خواهد شد.
• با توجه به اينکه NAT آدرس کامپيوتر مبداء و پورت مربوطه آن را در جدول ترجمه آدرس ها ذخيره شده دارد، ماداميکه ارتباط فوق برقرار باشد از شماره پورت ذخيره شده ( اختصاص داده شده به بسته اطلاعاتي ارسالي) استفاده خواهد کرد. روتر داراي يک Timer بوده وهر بار که يک آدرس از طريق آن استفاده مي گردد reset مي گردد.در صورتي که در مدت زمان مربوطه ( Timer صفر گردد ) به اطلاعات ذخيره شده در NAT مراجعه اي نشود، اطلاعات فوق ( يک سطر از اطلاعات ) از داخل جدول حذف خواهند شد.
Source
Computer | Source
Computer's
IP Address | Source
Computer's
Port | NAT Router's
IP Address | NAT Router's
Assigned
Port Number |
A | 192.168.32.10 | 400 | 215.37.32.203 | 1 |
B | 192.168.32.13 | 50 | 215.37.32.203 | 2 |
C | 192.168.32.15 | 3750 | 215.37.32.203 | 3 |
D | 192.168.32.18 | 206 | 215.37.32.203 | 4 |
در صورتي که برخي ازکامپيوترهاي موجود در شبکه خصوصي از آدرس هاي IP اختصاصي خود استفاده مي نمايند ، مي توان يک ليست دستيابي از آدرس هاي IP را ايجاد تا به روتر اعلام نمايد که کداميک از کامپيوترهاي موجود در شبکه به NAT نياز دارند.
تعداد ترجمه هاي همزماني که يک روتر مي تواند انجام دهد، ارتباط مستقيم با حافظه اصلي سيستم دارد. با توجه به اينکه در جدول ترجمه آدرس هر entry صرفا" 160 بايت را اشغال خواهد کرد، يک روتر با 4 مگابايت حافظه قادر به پردازش 26.214 ترجمه همزمان است. مقدار فوق براي اغلب موارد کافي بنظر مي آيد.
IANA محدوده اي از آدرس هاي IP را که غيرفابل روت بوده و شامل آدرس هاي داخلي شبکه هستند مشخص نموده است .آدرس هاي فوق غيرريجستر شده مي باشند.. هيچ شرکت و يا آژانسي نمي تواند ادعاي مالکيت آدرس هاي فوق را داشته باشد و يا آنها را در شبکه هاي عمومي ( اينترنت ) استفاده نمايد. روترها بگونه اي طراحي شده اند که آدرس هاي فوق را عبور (Forward) نخواهند کرد.
- Range 1: Class A - 10.0.0.0 through 10.255.255.255
- Range 2: Class B - 172.16.0.0 through 172.31.255.255
- Range 3: Class C - 192.168.0.0 through 192.168.255.255
|
امنيت
همزمان با پياده سازي يک NAT پويا، يک فايروال بصورت خودکار بين شبکه داخلي و شبکه هاي خارجي ايجاد مي گردد. NAT صرفا" امکان ارتباط به کامپيوترهائي را که در حوزه داخلي مي باشند را خواهد داد. اين بدان معني است که يک کامپيوتر موجود در خارج از شبکه داخلي ، قادر به ارتباط مستقيم با يک کامپيوتر موجود در حوزه داخلي نبوده ، مگر اينکه ارتباط فوق توسط کامپيوتر شما مقدار دهي اوليه ( هماهنگي هاي اوليه از بعد مقداردهي آدرس هاي مربوطه ) گردد. شما براحتي قادر به استفاده از اينترنت دريافت فايل و ... خواهيد بود ولي افراد خارج از شبکه نمي توانند با استفاده از آدرس IP شما، به کامپيوتر شما متصل گردند. NAT ايستا ، امکان برقراري ارتباط با يکي از کامپيوترهاي موجود در حوزه داخلي توسط دستگاههاي موجود در خارج از شبکه را ، فراهم مي نمايند.
برخي از روترهاي مبتني بر NAT امکان فيلترينگ و ثبت ترافيک را ارائه مي دهند. با استفاده از فيلترينگ مي توان سايت هائي را که پرسنل يک سازمان از آنها استفاده مي نمايند را کنترل کرد.با ثبت ترافيک يک سايت مي توان از سايت هاي ملاقات شده توسط کاربران آگاهي و گزارشات متعددي را بر اساس اطلاعات ثبت شده ايجاد کرد.
NAT دربرخي موارد با سرويس دهندگان Proxy ، اشتباه در نظر گرفته مي شود. NAT و Proxy داراي تفاوت هاي زيادي مي باشند. NAT بي واسطه بين کامپيوترهاي مبداء و مقصد قرار مي گيرد. Proxy بصورت بي واسطه نبوده و پس از استقرار بين کامپيوترهاي مبداء و مقصد تصور هر يک از کامپيوترهاي فوق را تغيير خواهد داد. کامپيوتر مبداء مي داند که درخواستي را از Proxy داشته و مي بايست به منظور انجام عمليات فوق ( درخواست ) پيکربندي گردد. کامپيوتر مقصد فکر مي کند که سرويس دهنده Proxy به عنوان کامپيوتر مبداء مي باشد. Proxy در لايه چهارم (Transport) و يا بالاتر مدل OSI ايفاي وظيفه مي نمايد در صورتي که NAT در لايه سوم (Network) فعاليت مي نمايد. Proxy ، بدليل فعاليت در لايه بالاتر در اغلب موارد از NAT کندتر است .