Схема днат: Схема подключения ДНаТ — GrowHobby.ru

Содержание

Балласты для газоразрядных ламп. Схема подключения ДНаТ и МГЛ

Что такое балласт (дроссель) и какая пускорегулирующая аппаратура нужна для подключения газоразрядных ламп (ДНаТ и МГЛ). Как подключить лампу ДНаТ.

Балласты прошли долгий путь за прошедшие годы — от больших неуклюжих коробок, которые можно использовать вместо якоря для лодки, до новых тонких и легких приборов. Переход от магнитных к электрическим и электронным балластам меняет правила игры на рынке искусственного освещения для растений. 

Новые технологии и компьютеризация проникают во все сферы нашей жизни, даже в комнатное садоводство. Обновив балласт своей лампы – по сути электрический ограничитель, сменив его с магнитного на электрический, вы сможете получить максимум от своего газоразрядного освещения. 

Давайте на минуту вспомним, что такое балласт и какое значение он имеет для освещения. Для начала представим, что могло бы случиться, если мы подключим даже 1000-ваттную натриевую лампу напрямую в розетку? Ничего хорошего – гореть она не будет, а если вам и удастся каким-то чудом ее зажечь, то она сгорит за считанные секунды – ток будет слишком высок.

  

Балласт занимается тем, что регулирует силу тока до нужных пределов и позволяет лампе работать на максимальной мощности без волнений о безопасности. Все газоразрядные лампы требуют использования балласта, который бывает трех видов: магнитный, электронный и цифровой. 

Магнитные балласты (ЭмПРА)

Магнитные балласты – это проверенная веками технология, однако в наш век слегка архаичная по дизайну. Магнитные балласты – это по своей сути электромагниты, отсюда и название. Электричество подается на одиночную индукционную катушку (медный провод, намотанный на стальной сердечник), которая, в тандеме с конденсаторами уменьшает ток до необходимого. 

Магнитный балласт – это самое простое из электроприборов, что только можно придумать. Он был стандартом многие годы потому что других вариантов просто не было. Не поймите неправильно, магнитные балласты делают то, что и должны, но сейчас в век продвинутых технологий, у садоводов появилось очень много других вариантов.  

Одна проблема, с которой обладателям магнитных балластов не придется сталкиваться – это радиочастотные помехи. Старомодные магнитные балласты не выделяют радиочастотных помех, в то время как цифровой балласт вполне может стать причиной появления проблем с соседствующим электронным оборудованием, например, Wi-Fi роутерами. 

Если вы планируете немного сэкономить на новой системе и приобрести магнитный балласт, то можете так и сделать. Однако, как и все старые технологии, они работают не так эффективно, как современные – магнитные балласты примерно на 10% менее эффективны в плане расхода электроэнергии.

Схема подключения ДНаТ и МГЛ

На рисунке представлена классическая схема подключения газоразрядной лампы. Данная схема не включает в себя конденсатор, но в последнее время все популярнее становятся готовые решения — балласты «все в одном», которые уже содержат все необходимое и работают максимально эффективно для своего класса.

Электронные балласты (ЭПРА)

Большой скачок технологий произошел в виде перехода на электронные балласты. Вся начинка балластов изменилась – ушли тяжелые стальные сердечники и медные провода, появилась современная электронная оснастка. Электронные балласты уже прочно вошли в нашу жизнь, а первые образцы датируются аж 1950 годами. 

Первый крупный переход на электронные балласты произошел в 1988-1998 годах, преимущественно во люминесцентном освещении. В культурном садоводстве такие балласты появились еще раньше своих массовых потребительских собратьев. 

Электронные балласты работают тихо, не излучают большое количество тепла, а также выдают мощность на крайне стабильном уровне. В отличие от магнитных балластов, электронные выдают стабильный ток даже если в подающей линии присутствуют скачки напряжения. Кроме того, электронный балласт выдает ток на высокой частоте – до 20 кГц, что позволяет лампе работать более эффективно. 

Нравится сам это или нет, но время меняется и технологии меняются вместе с ними.

Развитие новых технологий позволяет использовать более новые и эффективные балласты, выдавать больше света и увеличивать урожаи в долгосрочных периодах. Ключевое слово в этом – эффективность. 

Домашний сад может серьезно увеличить ваш счет за электричество, поэтому если вы хотите сэкономить средства, то вам, возможно, стоит перейти от магнитных к электронным балластам. Вообще переход от магнитных к электронным балластам – это примерно как переход от видеокассет к DVD. В любом случае компьютерные технологии одерживают верх. 

Цифровые балласты

Если вам нужны самые современные и технологичные балласты, то вам подойдет цифровой. Некоторые люди используют термины электронный и цифровой балласт по отношению к одной и той же вещи, но существует фундаментальное различие. Переход от электронных балластов к цифровым – это больше похоже на эволюционное развитие, а не на революционный скачок технологий. 

Наиболее крупное преимущество цифровых балластов над электронными и магнитными – это использование микропроцессоров. Микропроцессоры перевернули как мир компьютеров, так и мир балластов. Микропроцессор – это мозг балласта. 

Он максимизирует эффективность этого блока, следит за мощностью и позволяет регулировать её через предустановленные настройки. Вы можете настроить мощность в определенных пределах, обычно от 400 до 1000 ватт. Некоторые балласты выдают до 1,1 киловатт. Это позволяет устанавливать лампы другой мощности, не меняя сам балласт, что продлевает сроки его эксплуатации. 

Цифровые балласты на данный момент – это самые дорогие балласты на рынке. Их стоимость, конечно, уменьшилась за последние годы, но все еще гораздо выше стоимости магнитных балластов. Если вы рассчитываете на очень долгие годы вперед, то цифровой балласт может окупить себя, так как он работает примерно на 10% эффективнее своего магнитного собрата. 

Если вы используете магнитный балласт и получаете хороший результат, то вы можете продолжать это делать. Однако преимущество новых технологий именно в эффективности, которая и приводит к лучшим результатам.

Увеличение результатов при уменьшении затрат – это цель вообще любой деятельности и садоводство не исключение. Сложно сказать, как будут развиваться технологии в будущем, однако, сегодня они уже позволяют, например, следить за показателями своего сада со смартфона или планшета. Быть садоводом в наше время – это крайне интересное занятие.

24.10.2017

Диммируемый балласт днат | intelar.ru

Электромагнитные балласты с регулированием светового потока

2СД-ДНАТ-70Т – для ламп мощностью 70 Вт с переключением в режим 50Вт;
2СД-ДНАТ-100Т – для ламп мощностью 100 Вт с переключением в режим 70 Вт;
2СД-ДНАТ-150Т – для ламп мощностью 150 Вт с переключением в режим 100Вт;
2СД-ДНАТ-250Т – для ламп мощностью 250 Вт с переключением в режим 150Вт;
2СД-ДНАТ-400Т – для ламп мощностью 400 Вт с переключением в режим 250Вт.

Диммируемый электромагнитный балласт в комплекте с зажигающим устройством (ignitor) любого производителя по командам контроллера К2000Т, К2000Л может переводить в энергосберегающий режим (режим пониженной мощности) светильники с лампами ДНАТ (60% от номинальной яркости). Применение: фасадное освещение, освещение прилегающей к зданию территории, освещение погрузочно-разгрузочных комплексов и уличных автопаркингов с датчиками движения, уличное освещение и др.

Рис. 1 Схема управления электромагнитными балластами ДНаТ с функцией ночного снижения мощности (диммированием)

При капитальном ремонте систем наружного освещения объектов рекомендуем производить замену ламп ДРЛ-250 на лампы ДНАТ-150 с диммированием.

Показатели изменения мощности источника света при замене ламп ДРЛ-250 на ДНАТ-150 с диммированием:

Тип лампы Номинальная мощность, Вт Потребляемая активная мощность, Вт Световой поток, Лм
ДРЛ-250 250 280 13000
ДНАТ-150 150 170/112* 14000

* — 112 Вт – в экономичном режиме с диммированием

Экономический эффект:
— до 40% экономии от прямой замены лампы ДРЛ-250 на ДНАТ-150
— дополнительная экономия 30% при работе лампы в режиме пониженной мощности 100Вт.

Балласт имеет встроенный термодатчик для защиты от возгорания в случае перегрева, например при межвитковом замыкании.

КАК УПРАВЛЯТЬ НАРУЖНЫМ ОСВЕЩЕНИЕМ БЕЗ КОНТРОЛЛЕРА, PLC И РАДИОКАНАЛА?

СКАЧАТЬ ПАСПОРТ И ПРИМЕРЫ ИСПОЛЬЗОВАНИЯ ИЗДЕЛИЯ МОЖНО ЗДЕСЬ!

Схема подключения лампы ДНАТ — 5 ошибок

Газоразрядная дуговая натриевая лампа ДНаТ применяется для освещения площадей большого размера, улиц мегаполисов, теплиц.

Не путайте натриевые лампы невысокого и большого давления. У них различная конструкция и рабочий принцип.

В спектре свечения у двоих доминирует оранжевый свет. У изделий малого давления, излучение фактически монохромное, они светят светлым золотистым светом.

Если их использовать для освещения в помещениях, то цвета будут почти не отчетливо видны.

В лампах большого давления спектр более разнородный.

В тех моделях, которые применяются в теплицах для выращивания растений, в световой спектр именно добавлено чуть-чуть синего света.

В набор для подсоединения лампы большого давления входит несколько элементов, без которых вы ее просто не запустите. Другими словами, просто подав на нее 220 вольт, она у вас не загорится.

Для этого необходимо специализированное устройство – дроссель или баласт, который со своей стороны подсоединяется по конкретной схеме.

Схема эта очень часто показана конкретно на корпусе.

Вот ее более развернутый рисунок.

На ней изображены:

    сам дроссель (баласт), на который подается фаза
    дальше эта фаза поступает на импульсно зажигающее устройство – ИЗУ

Через него можно включать экземпляры различной мощности, от 70 до 400Вт.

ИЗУ создаёт стартовый импульс для пробоя содержимого горелки в колбе и образования дуги. Напряжение при этом может достигать нескольких тысяч вольт!

А сама горелка во время работы разогревается до 1300 градусов.

Лишь после ИЗУ, подсоединяется сама разрядная лампа.

Такая же схема подсоединения может быть показана на стенках зажигающего устройства.

Более того, в комплекте для подсоединения лучше всего использовать конденсатор. Хотя он есть довольно таки не во всех схемах.

Для чего он требуется? Насколько известно, цепи с применением дросселей питания, потребляют как энергичную, так и реактивную мощность. От второй, никакого полезного эффекта вы не получите.

Лампа от этого ярче освещать не станет, а вот потери возрастут. Собственно для того, чтобы убрать эту реактивную составляющую и применяют фазокомпенсирующий конденсатор.

Наглядное сравнивание тока употребления осветительного прибора ДНаТ с конденсатором и без него:

Как можно заметить, более чем двухкратная разница. В первом варианте показан компенсированный ток (энергичный), а в другом варианте полный (без конденсатора в цепи).

Некоторые думают, что таким образом они еще и делают меньше употребление эл.энергии, однако это не правильно.

Счетчик у вас не рассчитывается на подсчет реактивной или полной энергии, и практическая экономия по расходам может составить максимум 3-4%.

Но вы устраните лишние потери на нагрев проводов и железа.

Вот собранный собственными руками небольшой щиток, согласно схемы подсоединения.

Можно разумеется все это собрать и в габаритном корпусе осветительного прибора, если дают возможность размеры.

Чрезвычайно важно, прежде чем самому собирать такую схему и применять какие-нибудь элементы, обыкновенным мультиметром в режиме замера самого большого сопротивления, проверить изоляцию дросселя и конденсатора.

Нет ли пробоя на корпус.

Для подачи и размыкания 220В применяйте двухполюсный вводной автомат.

Для одного осветительного прибора мощность до 400Вт вполне подойдет автомат номиналом 5-6А. Помимо коммутационных операций вкл-выкл, он еще будет играть роль защитного аппарата.

Устанавливается автоматичный выключатель в начале схемы. Не забывайте также заземлить корпус всего щитка.

С автомата выходят два нулевых провода. Один из них согласно схемы, пускаете напрямую к лампе, а второй подключаете к соответствующему зажиму, подписанному «N» на пусковом устройстве.

Иначе можно нечаянно сжечь изделие, если во время работы нулевой кабель после балластного дросселя, нечаянно коротнет.

А кабель с выходящего контакта подключаете на клемму “В” (Balast) пускорегулирующего изделия.

После этого, усредненный вывод Lp (Lampa) пускаете на патрон лампочки.

Заметьте, есть ИЗУ двухконтактные и трехконтактные. Первые подключаются параллельно самой лампе.

5.1. Обоснование и введение в NAT

5.1. Обоснование и введение в NAT

Трансляция сетевых адресов (NAT) — это метод прозрачного отображения от IP-адреса или диапазона до другого IP-адреса или диапазона. Любая маршрутизация устройство, расположенное между двумя конечными точками, может выполнять это преобразование пакет. Однако проектировщики сетей должны учитывать один ключевой элемент. соображения при прокладке сети с учетом NAT. Маршрутизатор (ы) при выполнении NAT должна быть возможность перезаписать пакет при входе в сеть и при выходе из сети .

Поскольку преобразование сетевых адресов манипулирует адресацией пакет, преобразование NAT становится пассивным, но критическая часть диалога между хостами, обменивающимися пакетами. NAT по необходимости прозрачен для конечных точек прикладного уровня. и работает с любыми типами IP-пакетов. Есть какое-то приложение и даже протоколы сетевого уровня, которые сломаются в результате этого переписывание. Проконсультируйтесь Раздел 5.2, «Протоколы прикладного уровня со встроенной сетевой информацией» для обсуждения этих случаев.

Вот несколько распространенных причин, по которым стоит рассмотреть NAT наряду с потенциальными Кандидаты в решения NAT указаны в скобках.

  • Общедоступные услуги должны предоставляться на зарегистрированном IP-адреса в Интернете, которые меняются или могут измениться. NAT позволяет отделение внутренних схем IP-адресации от общедоступных IP-адресов пространство, облегчая бремя изменения внутренней адресации или внешние IP-адреса. (NAT, DNAT, PAT с DNAT PAT из пользовательского пространства)

  • Приложению требуются входящие и исходящие соединения.В этом случае SNAT / маскарада не хватит. Смотрите также Раздел 6.3, «Где маскарадинг и SNAT ломаются». (NAT, SNAT и поддержка приложений отслеживание соединения)

  • Схема сетевой нумерации меняется. Умное использование NAT обеспечивает доступность услуг как по IP-адресу, так и по IP-адресу диапазонов во время миграции сетевой нумерации. (NAT, DNAT)

  • Две сети используют одно и то же пространство IP-адресов, и им необходимо обмениваться пакетами. Использование преобразования сетевых адресов для публикации Сетевые пространства NAT с разными схемами нумерации будут позволяют каждой сети сохранять схему адресации при доступе другая сеть. (NAT, DNAT, SNAT)

Это самые частые причины для рассмотрения и внедрения NAT.Другой нишевые приложения NAT, особенно как часть систем балансировки нагрузки, существуют, хотя в этой главе основное внимание будет уделено использованию NAT. чтобы скрыть, изолировать или перенумеровать сети. Это также будет охватывать входящие соединения, оставив обсуждение NAT, SNAT и маскировки «многие-к-одному» для Chapter6, Маскировка и преобразование сетевых адресов источника .

Одним из мотивирующих факторов для развертывания NAT в сети является преимущество виртуализация сети.Изолируя услуги, предоставляемые в одной сети от изменений в других сетях, последствия таких изменений могут быть сведены к минимуму. Недостаток таким образом виртуализировать сеть — это все больше полагаться на Устройство NAT.

Предоставление входящих услуг через NAT может осуществляться в несколько различные пути. Два распространенных метода: iproute2 NAT и сетевой фильтр DNAT. Менее распространенный (и, возможно, менее желательный) можно использовать перенаправление порта. инструменты.В зависимости от того, какой инструмент используется, различные характеристики пакета могут инициировать адрес трансформация.

Самая простая форма NAT в Linux — это iproute2 NAT. Для этого типа NAT требуются две совпадающие команды, одна из которых заставляет ядро для перезаписи входящих пакетов ( ip route add nat $ NATIP через $ REAL ) и один для перезаписи исходящих пакетов ( ip rule add from $ REAL nat $ NATIP ).Настроенный таким образом маршрутизатор будет не сохранять состояние для соединений. Он просто преобразует любые пакеты проходя через. Напротив, netfilter может сохранять состояние о соединениях, проходящих через роутер и выборе пакетов подробнее более детально, чем это возможно с помощью всего инструментов iproute2 .

До появления движка netfilter в ядре Linux было доступно несколько инструментов для администрирования NAT, DNAT и PAT.Эти инструменты не были включены во многие дистрибутивы и не были широко принят в сообществе. Хотя вы можете найти ссылки на ipmasqadm , ipnatadm и ipportfw через Интернет в старой документации, эти инструменты были заменены по функциональности и получили широкое распространение развертывание механизмом netfilter и его партнером по пользовательскому пространству, iptables .

Движок netfilter обеспечивает более гибкую язык для выбора пакетов, которые нужно преобразовать, чем предусмотрено набором iproute2 и функцией маршрутизации ядра.Кроме того, любые Услуги NAT, предоставляемые механизмом netfilter, экономят трудозатраты. ресурсоемкий механизм отслеживания соединений. DNAT переводит адрес на входящий пакет и создает запись в состоянии отслеживания соединения стол. Даже для скромных машин ресурс отслеживания соединений расход не должен быть проблематичным.

Netfilter DNAT позволяет пользователю выбирать пакеты на основе такие характеристики, как порт назначения.Это стирает различие между преобразованием сетевых адресов и преобразованием адресов порта. NAT всегда преобразует содержимое пакета уровня 3. Порт перенаправление работает на уровне 4. С практической точки зрения существует небольшая разница между перенаправлением порта и сетевым фильтром DNAT, который выбрал единственный порт. Способ, которым пакет и его содержимое ретранслируются, однако сильно отличается.

Еще один менее распространенный метод предоставления входящих услуг: использование перенаправление порта.Несмотря на то что есть инструменты более высокого уровня, которые могут выполнять прозрачное приложение проксирование слоя (например, Squid), это выходит за рамки данной документации.

В любых преобразованиях NAT участвует ряд IP-адресов. или состояния подключения. В следующем списке указаны эти имена и соглашение, используемое для описания каждого IP-адреса. Остерегайтесь того, что преобладание NAT для публикации услуг в Интернете через общедоступные IP-адреса. привести к жаргону сервера / клиента, который часто используется при обсуждении NAT.

сервер NAT IP, NAT IP

IP-адрес, на который адресованы пакеты. Это адрес в пакете перед устройством, выполняющим NAT манипулирует им. Это часто также называют общедоступным IP-адресом, хотя любое конкретное приложение NAT не знает различия между общедоступными и частные диапазоны адресов.

реальный IP, IP сервера, скрытый IP, частный IP, внутренний IP

IP-адрес после того, как устройство NAT выполнило свое трансформация.Часто это описывается как частный IP-адрес, хотя любое конкретное приложение NAT не знает различия между диапазоны публичных и частных адресов.

IP клиента

Адрес отправителя начального пакета. Клиентский IP в NAT трансформация не меняется; этот IP-адрес является исходным IP-адресом на любых входящих пакетах как до, так и после трансляции. Это также является адресом назначения в исходящем пакете.

Вышеупомянутые термины будут использоваться ниже и в общих обсуждениях NAT.

проект-борелла-атн-днат-01

 ИНТЕРНЕТ-ПРОЕКТ Майкл Борелла
Срок действия истекает апрель 1999 Давид Грабельски
                                                     Ихлак Сидху
                                                     Брайан Петри
                                                     3Com Corp.Распределенная трансляция сетевых адресов

Статус этого меморандума

   Этот документ является Интернет-проектом. Интернет-проекты работают
   документы Инженерной группы Интернета (IETF), ее областей,
   и его рабочие группы.  Обратите внимание, что другие группы также могут распространять
   рабочие документы в виде Интернет-проектов.

   Интернет-проекты - это проекты документов, срок действия которых составляет не более шести месяцев.
   и могут быть обновлены, заменены или исключены другими документами в любое время
   время. Использовать Интернет-черновики в качестве справочника неуместно.
   материала или цитировать их иначе, как "незавершенная работа"."

   Чтобы просмотреть весь список текущих Интернет-проектов, проверьте
   Листинг "1id-abstracts.txt" в Интернет-черновиках Shadow
   Каталоги на ftp.is.co.za (Африка), ftp.nordu.net (Северный
   Европа), ftp.nis.garr.it (Южная Европа), munnari.oz.au (Тихоокеанский
   Rim), ftp.ietf.org (восточное побережье США) или ftp.isi.edu (западное побережье США).

Абстрактный

   NAT (преобразование сетевых адресов) был предложен для расширения
   время жизни IPv4, позволяя одной или нескольким подсетям существовать за
   один IP-адрес.Желательно поддерживать десятки, если нет
   сотни узлов в подсети NAT.  Согласно текущему определению, NAT
   не может корректно масштабироваться за пределы сетей, содержащих несколько десятков
   узлы. В частности, вычислительная нагрузка на NAT
   маршрутизатор может иметь большое значение, особенно если маршрутизатор используется совместно
   несколько подсетей с включенным NAT. Кроме того, NAT требует этой поддержки.
   для многих протоколов быть специально запрограммировано на перевод
   механизм. В этом документе мы представляем DNAT (распределенная сеть
   Преобразование адресов), альтернатива NAT.В частности, DNAT
   устранит всю трансляцию адресов и портов на маршрутизаторе,
   предоставление независимого от приложения механизма для совместного использования IP
   адрес между множеством хостов, обеспечивая при этом сквозное соединение.

Вступление

   Версия 4 Интернет-протокола (IPv4) содержит 32 бита адреса.
   пространство, которое теоретически позволяет около четырех миллиардов индивидуально
   адресуемые компьютеры, существующие в Интернете. Однако чрезмерно



Borella, et.  al. <черновик-борелла-атн-днат-01.txt> [Страница 1] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


   щедрые схемы распределения адресов прошлого
   уменьшено количество доступных адресов. IP версии 6 (IPv6),
   Предлагаемый преемник IPv4 содержит 128 бит адресного пространства.
   Хотя код и путь обновления существуют для IPv6 [Huit96], по состоянию на
   при написании этой статьи было несколько, но не так много, развертывание IPv6 в
   общедоступный Интернет.Преобразование сетевых адресов (NAT) [EP94] имеет
   был разработан как средство сохранения адреса для IPv4. Это позволяет
   несколько хостов в одной или нескольких подсетях для совместного использования пула IP-адресов
   (для простоты на протяжении большей части этого черновика мы только
   рассмотрите возможность совместного использования одного IP-адреса), где размер
   пул меньше, чем количество хостов.

   Сильным рынком в ближайшие годы будет малый офис / домашний офис.
   (SOHO) сети, состоящие из нескольких подсетей примерно до одной
   всего сто узлов, а также корпоративные сети среднего размера,
   состоящий из нескольких сотен узлов. Эти сети могут быть
   соединены мостами MAC-уровня или выделенными линиями. Вероятно
   что эти сети будут иметь единую точку доступа к
   Интернет через Интернет-провайдера (ISP) с использованием PPP или
   аналогичный протокол точка-точка. Традиционно у интернет-провайдера есть
   для выделения блока IP-адресов для использования в сети. С участием
   NAT, пространство IP-адресов сохраняется за счет разрешения всем хостам
   одновременно использовать один и тот же IP-адрес для внешней связи.
   (Из-за редкости и стоимости IP-адресов может быть выгодно
   для провайдера динамически выделять IP-адреса по запросу с помощью DHCP
   [Drom97] или IPCP [Mcgr92].Эти IP-адреса по запросу также могут
   использоваться с NAT для облегчения подключения к Интернету.) Это делает
   NAT - идеальная архитектура-кандидат для включения виртуальных частных
   сети (VPN) с очень небольшим количеством глобально маршрутизируемых IP-адресов. Вне
   корпоративной среде, мы ожидаем, что NAT будет использоваться внутри
   Интернет-провайдер мультиплексирует адресное пространство нескольких клиентов.  Мы тоже
   ожидают, что NAT будет активно использоваться на конференциях и за пределами площадки.
   встречи, чтобы участники могли подключать свои ноутбуки к локальной сети
   порты и удаленный доступ к сети своей организации.В последнее время,
   Были предложены расширения NAT, которые позволят переводить между
   Сети IPv4 и IPv6 [TS98]. Наконец, NAT можно использовать с помощью набора номера.
   пользователей, которые хотят использовать одно соединение SLIP или PPP между
   несколько компьютеров в их доме.

   По сути, маршрутизатор NAT изменяет все исходящие пакеты из локальной сети.
   хосты, чтобы их исходный IP-адрес был таким же, но их источник
   номера портов разные. Поддерживая таблицу порта источника для
   сопоставления хостов, входящие пакеты могут быть перенаправлены на соответствующий
   направления.NAT был развернут в ряде коммерческих
   маршрутизаторы и шлюзы. Существуют также реализации для бесплатного программного обеспечения.
   операционные системы, такие как Linux и FreeBSD.  Несмотря на рост
   развертывания и коммерческой поддержки, у NAT есть фундаментальная проблема - это
   ломает "сквозную" модель подключения к Интернету и транспорта.



Borella, et. al.  [Страница 2] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


   Это имеет нежелательный эффект, заключающийся в том, что протоколы, передающие IP
   данные адреса и порта в полезных данных пакета не будут работать с NAT.Реализации NAT обходят эту проблему путем кодирования приложения.
   специальная поддержка в маршрутизаторе NAT. Однако это коряво,
   немасштабируемое и краткосрочное решение. Кроме того, неясно, как
   для реализации протоколов безопасности и аутентификации, таких как IPSEC
   [Atki95] в связке с NAT.

   В этом проекте мы представляем распределенную трансляцию сетевых адресов,
   или DNAT. DNAT сохраняет сквозной характер сеансов за счет
   выполнение трансляции адресов на хосте, а не на
   роутер.Мы утверждаем, что модификации существующего кода TCP / IP на
   хост может включить DNAT.  Маршрутизатору DNAT нужно только назначить порты для
   хостов и отслеживать эти назначения. Мы ожидаем, что DNAT будет
   быть очень выгодным для NAT, потому что нет поддержки для конкретных приложений
   обязательно - DNAT будет работать "из коробки" практически с любыми
   существующий протокол прикладного уровня.

Архитектура

   Типичная архитектура подсети LAN с включенным NAT показана ниже. В
   подсети назначается IP-адрес 149.112.240.55 от своего интернет-провайдера. Этот
   адрес привязан к внешнему порту маршрутизатора NAT и является
   глобально маршрутизируемый. В локальной сети находятся два ПК с IP-адресами.
   (10.0.0.2 и 10.0.0.3) выбран из части хорошо известного частного
   адресное пространство 10.X.Y.Z [RMKDL96], где X, Y и Z принимают значения
   от 0 до 255. Внутреннему порту маршрутизатора NAT также назначается
   IP-адрес (10.0.0.1) из этого места.

   + ---------- +
   | ПК 1 |
   | + - +
   | 10.0.0.2 | | + -------- +
   + ---------- + | 10.0.0.1 | NAT или | 149. 112.240.55
                 + ----------------- + DNAT + ------------------
   + ---------- + | | маршрутизатор |
   | ПК 2 | | + -------- +
   | + - + Локальный (внутренний) Глобальный (внешний)
   | 10.0.0.3 | сетевая сеть
   + ---------- +

                    Типичная локальная сеть с поддержкой NAT или DNAT.

   Мы будем использовать архитектуру этого рисунка на протяжении всего этого
   проект. В отношении этой архитектуры мы определяем следующие
   терминология:

   - Внешний IP-адрес: глобально маршрутизируемый IP-адрес,



Borella, et.al.  [Страница 3] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


     назначен подсети с поддержкой NAT или DNAT (в нашем случае
     149.112.240.55). Мы используем этот адрес для связи с остальными
     Интернета.

     - Внутренние IP-адреса: IP-адреса назначаются нашим хостам.
     из частного домена 10.X.Y.Z.

     - Содержимое порта (адреса): протокол, передающий транспортный-
     номер порта уровня или IP-адрес считается портом передачи (и / или
     адрес) содержание. - Уникальный локально порт: номер порта, который используется только на одном хосте.
     на NAT или DNAT LAN.

     - Входящий трафик: пакеты, поступающие на маршрутизатор NAT или DNAT из
     интернет.

     - Исходящий трафик: пакеты, поступающие на маршрутизатор NAT или DNAT от
     один из внутренних (локальных) хостов, подключенных к Интернету.

Работа NAT

   В этом разделе мы описываем работу NAT в соответствии с определением RFC.
   1631 [EP94] и [SE98]. Традиционный или «базовый» NAT [EP94] состоит
   только о механизме трансляции IP-адресов.На практике,
   «NAT» означает использование номеров портов для облегчения этого
   перевод (иногда называемый NAPT), как обсуждается в [SE98]). NAT
   требует, чтобы маршрутизатор выполнял все преобразования адресов
   функциональность - в хосты не требуется встроенной поддержки NAT. В
   Маршрутизатор NAT выполняет три задачи:

   - Преобразование IP-адреса источника и номера порта источника
   исходящие пакеты.

   - Трансляция IP-адреса назначения и порта назначения
   количество входящих пакетов. - Ведение и обновление номера порта в таблице локальных хостов, чтобы
   что входящие пакеты могут быть демультиплексированы на соответствующие хосты
   на основе номера порта назначения.

   Другими словами, для всех исходящих пакетов маршрутизатор NAT транслирует
   исходный IP-адрес на глобально маршрутизируемый IP-адрес, назначенный
   его внешний интерфейс. (Обратите внимание, что «перевод» требует, чтобы
   Маршрутизатор NAT меняет содержимое заголовка пакета, а в некоторых
   случаях, полезная нагрузка также.) Ответы на эти пакеты будут
   адресованный маршрутизатору NAT.По их прибытии маршрутизатор NAT должен
   преобразовать IP-адрес назначения в адрес соответствующего хоста



Borella, et. al.  [Страница 4] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


   (то есть хост, который отправил соответствующий исходящий пакет).
   Поскольку все входящие пакеты будут иметь один и тот же IP-адрес назначения
   когда они прибывают на маршрутизатор, какое-то другое поле в IP или
   Заголовки транспортного уровня должны использоваться в качестве токена для однозначной идентификации
   целевой хост. Метод NAT указывает, что номер порта назначения
   входящие пакеты - это токен. Таким образом, никакие локальные хосты не могут использовать один и тот же
   номер порта источника одновременно. Маршрутизатор NAT отслеживает
   номера портов источника, которые используют локальные хосты. Если локальный хост
   передает пакет с номером порта источника, который не уникален с
   по отношению ко всем исходным портам, которые в настоящее время используются в подсети,
   Маршрутизатор NAT изменит этот номер порта, чтобы он стал уникальным.

   Обратите внимание, что мы предполагаем, что локальные хосты действуют как клиенты,
   не серверы.На практике мы ожидаем, что это будет так для
   большинство ситуаций. Однако серверы в локальной подсети могут быть
   с некоторыми усилиями поддерживается NAT и DNAT; подробности см. ниже.


Недостатки NAT

   Когда IP-адрес транслируется, IP и TCP (или UDP) пакета
   контрольные суммы должны быть пересчитаны (контрольная сумма TCP / UDP включает
   псевдо-заголовок, который содержит IP-адрес источника и назначения пакета
   адреса [Stev94]).  Когда порт транслируется, TCP пакета (или
   UDP) необходимо пересчитать контрольную сумму.Однако, поскольку эти контрольные суммы
   реализованы как 16-битное дополнение, необходимо только
   рассчитать разницу полей порта до и после
   перевод, затем добавьте эту разницу к текущей контрольной сумме.
   Записи в таблице трансляции маршрутизатора могут быть сохранены и доступны
   эффективно, используя стандартные хеш-таблицы. Таким образом, основная стоимость
   перевод является вычислительным. Однако, если маршрутизатор NAT сильно
   при использовании, это может стать узким местом в производительности.

   Главный недостаток NAT - обработка приложений, которые передают
   IP-адреса и / или номера портов как данные приложения.Например,
   FTP-клиент передает кортеж IP-адреса / порта (с помощью PORT
   command) к FTP-серверу через управляющее соединение. Затем сервер
   использует эту информацию для установления соединения для передачи данных с клиентом.
   Не только IP-адрес (и, возможно, номер порта) внутри
   необходимо перевести полезную нагрузку, этот перевод может изменить
   длина IP-пакета.  (IP-адрес и порт отправляются как ASCII
   data, поэтому заменив IP-адрес 10.0.0.4 на 149.112.240.55 будет
   увеличьте размер полезной нагрузки данных на 6 байтов.) Это приведет к
   в больших вычислительных требованиях для вычисления контрольной суммы TCP
   (хотя на расчет контрольной суммы IP это не повлияет, так как IP
   контрольная сумма покрывает только заголовок IP) и требует, чтобы TCP



Borella, et. al.  [Страница 5] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


   порядковый номер быть изменен. Смещение текущего порядкового номера (дельта)
   должны поддерживаться на протяжении оставшейся части соединения.Этот
   дельта должна применяться ко всему будущему контрольному трафику, включая
   номера подтверждения. Кроме того, фрагментация IP-адресов может привести к
   команда PORT должна быть разделена на более чем один пакет, в результате чего
   задача более ресурсоемкая.

   Как правило, приложения, передающие IP-адрес и / или номер порта
   информация может поддерживаться NAT.  Код для конкретного приложения должен
   быть добавленным к маршрутизатору NAT, чтобы эти приложения можно было
   идентифицированы и их вредоносные полезные нагрузки переведены.Например,
   большинство реализаций NAT поддерживают FTP через модуль ядра IP-уровня.
   Однако добавление кода конкретного приложения для каждого приложения, которое
   требует поддержки - неэлегантное и дорогое решение. Некоторые
   проприетарные протоколы, которые передают IP-адреса или порты в не-
   Формат ASCII может быть недостаточно хорошо документирован, чтобы этот метод мог
   работать эффективно. Неполный, но представительный список
   приложения, требующие специальной поддержки NAT, приведены в Приложении.
   А.К сожалению, в этом списке много нового поколения, работающего в режиме реального времени.
   мультимедийные протоколы того типа, который, как мы ожидаем, станет очень
   популярны в Интернете. В частности, NAT не будет работать с
   любой вид механизма сквозного IP-шифрования, например IPSEC.  А
   более полное рассмотрение преимуществ и недостатков NAT.
   приведено в [Hain98].


Предложение DNAT

   В этом разделе мы представляем DNAT, модифицированную версию NAT, в которой
   узлы подсети выполняют преобразование адресов и туннелируют
   транслировал пакеты на маршрутизатор DNAT.Маршрутизатор DNAT удаляет
   туннель (исходящий IP-заголовок) и пересылает внутренние пакеты без изменений на
   общедоступная сеть. На самом деле, правильнее было бы сказать, что
   каждый хост создает пакеты с внешней привязкой таким образом, что
   трансляция адресов на маршрутизаторе не требуется. Главный
   Преимущество DNAT в том, что он избавляет от необходимости кодировать приложение -
   конкретная поддержка в реализации перевода. DNAT также
   распределяет некоторые требования обработки от маршрутизатора к
   хосты, которые могут позволить более крупным подсетям поддерживаться
   одиночный роутер.Архитектура

      Рассмотрим архитектуру LAN, показанную выше. У хозяев есть свои
      собственные IP-адреса, которые необходимо преобразовать в 149. 112.240.55, когда
      эти хосты передают данные в Интернет. Используя DNAT, TCP / IP
      стеки хостов запрограммированы так, что их IP-уровни используют свои



Borella, et. al.  [Стр. 6] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


      локальные адреса (10.X.Y.Z) для связи внутри подсети.
      Однако пакеты, предназначенные для удаленных хостов, туннелируются через
      Маршрутизатор DNAT. Таким образом, каждый хост использует два IP-адреса - свои
      постоянный локальный адрес и адрес их подсети. Последний
      внешний адрес маршрутизатора DNAT.

      Чтобы избежать трансляции всех портов на маршрутизаторе, мы требуем
      хост для использования набора уникальных локально исходных портов для всех
      внешняя связь. Маршрутизатор DNAT выделяет блоки не-
      перекрывающиеся, локально уникальные исходные порты для хостов по запросу.В
      протоколы транспортного уровня на хостах должны выбирать исходный порт
      из их выделенного пула.  Процесс запроса хостов и
      назначение маршрутизатора DNAT, исходные порты контролируются портом
      Протокол распространения, который обсуждается ниже.

  Протокол распределения портов

      В этом разделе описывается протокол распределения портов (PDP), который
      используется в DNAT LAN, чтобы гарантировать, что все хосты используют локально уникальные
      эфемерные номера портов источника. В настоящее время мы рассматриваем
      реализации PDP как расширения ICMP и разработали
      формат пакета с учетом ICMP.Однако было бы разумно
      вместо этого используйте UDP (это устранит необходимость в полях контрольной суммы
      в полезной нагрузке).

      Протокол состоит из трех типов сообщений:

      - запрос PDP

      - ответ PDP

      - PDP недействителен

      - Релиз PDP

      - PDP ACK

      Эти сообщения подробно описаны ниже.

      Запрос PDP

         Запрос PDP отправляется с хоста на маршрутизатор, чтобы запросить
         блок номеров портов. Кроме того, он имеет следующий формат
         в заголовок IP:







Borella, et. al.  [Страница 7] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


             0 1 2 3
             0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
            | Тип | Код | Контрольная сумма |
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
            | # Треб.| Не используется |
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +

                                Формат пакета запроса PDP.

         Поля соответствуют стандартному формату, определенному ICMP, и
         определяется как:

         - Тип (1 байт): 32.

         - Код (1 байт): 0.

         - Контрольная сумма (2 байта): 16-битное дополнение единиц до единицы
         дополнять сумму всего запроса.  Для целей
         вычисляя контрольную сумму, само поле контрольной суммы равно 0.- Запрошенные порты (1 байт): количество портов, запрошенных
         хозяин. По умолчанию в этом поле должно быть 16 или 32, что является
         разумное количество для большинства нужд хозяина.

         - Не используется (3 байта): должно быть 0.

         Хост будет передавать запрос PDP при загрузке (возможно,
         связан с BOOTP или DHCP), или если в какой-то момент это требует
         больше портов, чем было выделено в настоящее время.

      Ответ PDP

         Ответ PDP отправляется от маршрутизатора к хосту либо
         подтверждение или отклонение запроса PDP.Он имеет следующие
         формат в дополнение к заголовку IP:

             0 1 2 3
             0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
            | Тип | Код | Контрольная сумма |
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
            | Самый низкий порт | Всего портов | Не используется |
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +

                                Формат пакета ответа PDP. Поля определены как:



Borella, et. al.  [Страница 8] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


         - Тип (1 байт): 32

         - Код (1 байт): 1.

         - Контрольная сумма (2 байта): 16-битное дополнение единиц до единицы
         дополнять сумму всего запроса. Для целей
         вычисляя контрольную сумму, само поле контрольной суммы равно 0.

         - Самый низкий порт (2 байта): самый низкий номер порта, выделенный в
         блокировать.- Всего портов (1 байт): общее количество портов, выделенных
         хозяин.

         - Не используется (1 байт): должно быть 0.

         После получения успешного ответа PDP хост передает
         PDP ACK к роутеру. Он сохраняет свои выделенные порты в
         структура данных и помечает каждую как использованную или неиспользуемую. На
         получив неудачный ответ PDP, хост может отправить другой
         при необходимости запросите меньшее количество портов.  Если роутер не может
         выделить хосту достаточно большой блок смежных портов,
         он может ответить кодом успеха, но выделить меньше портов
         чем просили.Маршрутизатор может истечь время ожидания и повторно передать PDP
         ответ, если он не получает PDP ACK от целевого
         хозяин.

         Маршрутизатор поддерживает сопоставление портов с внутренним IP-адресом.
         адреса в таблице Port-To-IP (PTIP). Запись в ПТИП
         таблица приведена ниже. Может быть несколько записей для
         тот же IP-адрес.

             0 1 2 3
             0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
            | Внутренний IP-адрес |
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
            | Самый низкий порт | Количество портов |
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +

                                      Формат записи PTIP. PDP Invalidate

         Сообщение PDP о недействительности используется для аннулирования (отмены выделения)
         порты, которые в настоящее время выделены хосту. Он имеет следующие
         формат:




Borella, et. al.  [Страница 9] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


             0 1 2 3
             0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
            | Тип | Код | Контрольная сумма |
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
            | Порт | Не используется |
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +

                                PDP аннулирует формат пакета. Поля определены как:

         - Тип (1 байт): 32

         - Код (1 байт): 2.

         - Контрольная сумма (2 байта): 16-битное дополнение единиц до единицы
         дополнять сумму всего запроса. Для целей
         вычисляя контрольную сумму, само поле контрольной суммы равно 0.

         - Порт (1 байт): номер порта, используемый хостом.

         - Не используется (3 байта): должно быть 0.

         После получения сообщения о недействительности PDP хост передает PDP ACK.
         к роутеру. Маршрутизатор может истечь время ожидания и повторно передать PDP
         сделать недействительным, если он не получает PDP ACK от целевого
         хозяин.Выпуск PDP

         Сообщение о выпуске PDP используется, чтобы позволить хосту явно
         сообщить маршрутизатору DNAT, что ему больше не потребуется блок
         порты. Он имеет следующий формат:

             0 1 2 3
             0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
            | Тип | Код | Контрольная сумма |
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
            | Самый низкий порт | Всего портов | Не используется |
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +

                                Формат пакета выпуска PDP. Поля определены как:

         - Тип (1 байт): 32



Borella, et. al.  [Стр. 10] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


         - Код (1 байт): 3.

         - Контрольная сумма (2 байта): 16-битное дополнение единиц до единицы
         дополнять сумму всего запроса. Для целей
         вычисляя контрольную сумму, само поле контрольной суммы равно 0.

         - Самый низкий порт (2 байта): выпущен самый низкий номер порта.- Всего портов (1 байт): общее количество освобожденных портов.

         - Не используется (1 байт): должно быть 0.

         После получения сообщения о выпуске PDP маршрутизатор сначала проверяет
         что отправляющему хосту был выделен блок портов
         что он выпускает, то он удаляет запись PTIP для этих
         порты. Маршрутизатор также должен передать сообщение PDP ACK в
         гостья. Хост может истечь тайм-аут и передать релиз PDP, если он
         не получает подтверждение PDP от маршрутизатора. PDP ACK

         PDP ACK отправляется для подтверждения получения PDP.
         сообщение. Он имеет следующий формат:

             0 1 2 3
             0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
            | Тип | Код | Контрольная сумма |
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
            | Не используется |
            + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +

                                Формат пакета PDP ACK.- Тип (1 байт): 32

         - Код (1 байт): 8.

         - Контрольная сумма (2 байта): 16-битное дополнение единиц до единицы
         дополнять сумму всего запроса. Для целей
         вычисляя контрольную сумму, само поле контрольной суммы равно 0. 

         - Не используется (4 байта): должно быть 0.


      Возможно, ошибочно выделены два хоста.
      перекрывающиеся блоки номеров портов (возможно, в результате
      сбой роутера или перезагрузка). При получении пакета от хоста



Borella, et.al.  [Стр. 11] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


      к Интернету, маршрутизатор должен проверить таблицу PTIP, чтобы
      убедитесь, что номер порта источника находится в назначенном блоке
      к хозяину. Если номер порта не назначен хосту,
      маршрутизатор отбрасывает рассматриваемый пакет и отправляет PDP недействительный
      сообщение хозяину. После получения сообщения PDP о недействительности,
      хост должен прекратить использовать все выделенные в данный момент порты, и
      запросить новый блок (ы) портов.Сообщение PDP о недействительности может
      также может использоваться для предотвращения нехватки портов путем принудительного отключения хоста. 
      выделить некоторые или все выделенные порты. В
      маршрутизатор должен отправить сообщение о недействительности PDP любому хосту,
      не обменивается данными с внешним хостом более 10 минут.
      Когда маршрутизатор перезагружается, он должен аннулировать все выделенные порты на
      отправка недействительного PDP на каждый хост.

      Когда порт или некоторый набор портов на хосте становятся недействительными, все
      текущие транзакции между хостом и некоторым внешним сервером
      будет прерван.Маршрутизатор DNAT должен попытаться выполнить «черный»
      out "недавно аннулированные номера портов на время, чтобы
      что они не назначены хосту, в то время как внешний сервер может
      все еще пытаюсь передать им.

      Может быть желательно, чтобы роутер не выделял весь
      диапазон портов (0-65535) для хостов. Хост в локальной сети может
      необходимо открыть пассивный прослушивающий сокет для сервера. Акт
      открытие этого сокета не будет распространяться ниже транспорта
      слой хозяина. Наиболее известные серверы привязаны к номерам портов
      в диапазоне 0-1023. Однако некоторые выберут произвольный порт
      номера для использования, хотя большинство из них не выберет порты выше 10000. Мы
      рекомендуется, чтобы маршрутизатор выделял только номера портов выше 1023 для
      хозяева.

      Количество портов, выделяемых каждому хосту, является проблемой, которая
      требует дальнейшего рассмотрения. Форматы сообщений PDP позволяют
      хост для запроса до 255 портов на запрос. Маршрутизатор может
      выделить столько, сколько требуется, или меньше.Правильное количество
      количество портов на хост, скорее всего, будет зависеть от сайта и приложения.
      Хотя многим простым клиентам может потребоваться очень небольшое количество
      портов (5 или меньше) занятых внутренних хостов или серверов может потребоваться много
      более. Естественно, мы не хотим, чтобы хост мог быть выделен
      все доступные порты и голодать другие хосты. Механизм охраны
      должен быть встроен в маршрутизатор DNAT.  Хорошая реализация DNAT
      оставит этот механизм настраиваемым, чтобы можно было
      индивидуальное административное решение.Диаграммы состояний

      В этом разделе мы проиллюстрируем процессы, которым необходимо следовать.
      локальными хостами и маршрутизатором DNAT. Мы представляем эти процессы



Borella, et. al.  [Стр. 12] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


      в виде блок-схем. Эти блок-схемы являются реализацией
      руководящие принципы и служат для дальнейшей иллюстрации техники DNAT.
      Для простоты мы не включаем записи для сообщений PDP ACK или
      ретрансляции.Когда хост передает данные на внешний сервер, он отправляет туннелированные
      IP-пакеты в локальной подсети. Внешний заголовок IP будет содержать
      локальный IP-адрес хоста в качестве источника и локальный IP-адрес маршрутизатора
      адрес как место назначения. Внутренний заголовок IP будет содержать
      внешний IP-адрес подсети в качестве источника и внешний сервер
      IP-адрес как место назначения.  Исходный порт должен быть уникальным локально.
      - если на хосте нет свободного порта источника из блока,
      был передан ему маршрутизатором DNAT, он должен запросить новый
      блокировать, используя сообщение запроса PDP.Когда хост передает
      другой локальный хост, ни туннели, ни локально уникальный источник
      порты обязательны. Весь этот процесс проиллюстрирован на
      рисунок ниже.

      Проблема, которая не рассматривается на рисунке, заключается в том, как локальный хост
      может определить, является ли данный IP-адрес
      пункт назначения передачи - местный или внешний. Эта проблема
      более подробно обсуждается ниже.

      + ----------------- +
      | Пуск + <----------------------------------------------- - +
      + -------- + -------- + |
               | |
               | |
               | |
               v |
      + -------- + -------- + + -------- + -------- + |
      | Есть | | Создать IP | |
      | пункт назначения + -Да-> | с хостом + ------------- + |
      | адрес местный? | | адрес как | | |
      + -------- + -------- + | источник | | |
               | + ----------------- + | |
               Нет | |
               | | |
               v v |
      + -------- + -------- + + -------- + -------- + + -------- + - ------ + |
      | Есть ли | | Отправить PDP | | | |
      | бесплатно локально + -Нет -> + запрос в DNAT | | Передать пакет + - +
      | уникальный порт | | маршрутизатор | | |
      | на этом хосте? | + -------- + -------- + + -------- + -------- +
      + -------- + -------- + | ^
               | | |
              Да | |
               | | |



Borella, et. 
               | + -------- + -------- + |
               | | Создайте внутренний IP | |
               + --------------> + заголовок с + ------------- +
                               | адрес подсети |
                               | как источник |
                               + -------- + -------- +

                          Процесс передачи хоста DNAT.Когда туннелируемый пакет поступает на маршрутизатор DNAT от локального
      хоста, маршрутизатор должен проверить с помощью своей таблицы PTIP, что источник
      IP-адрес находится в блоке, который был назначен
      хозяин. Если это не так, маршрутизатор передает PDP.
      аннулирует сообщение хосту и отбрасывает пакет. Иначе,
      маршрутизатор DNAT удаляет внешний заголовок IP и передает
      оставшийся пакет серверу. Этот процесс проиллюстрирован ниже.

                               + ----------------- +
               + --------------> + Пуск + <-------------- +
               | + -------- + -------- + |
               | | |
               | v |
      + -------- + -------- + + -------- + -------- + + -------- + - ------ +
      | Отправить PDP | | Является ли | | Снимите внешний |
      | аннулировать | | исходный порт | | Заголовок IP, |
      | сообщение хосту, + <- Нет - + назначено + -Да -> + передать внутренний |
      | сбросить пакет | | отправляющий хост? | | IP-пакет в |
      + ----------------- + + ----------------- + | место назначения |
                                                        + ----------------- +

                   Маршрутизатор DNAT работает с исходящими пакетами. Когда пакет приходит на маршрутизатор DNAT с внешнего хоста,
      маршрутизатор сначала проверяет в своем PTIP, что пакет
      номер порта назначения был назначен хосту. Если это
      не тот случай, пакет отбрасывается и ICMP "хост неизвестен"
      ошибка отправляется на внешний хост. В противном случае маршрутизатор DNAT
      находит IP-адрес локального (целевого) хоста в PTIP. Это



Borella, et. al.  [Стр. 14] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


      формирует туннель к локальному хосту, создавая внешний заголовок IP
      с IP-адресом локального хоста в качестве назначения и собственным
      внутренний IP-адрес в качестве источника.Полученный пакет добавляется в
      этот внешний заголовок, и туннелируемый пакет передается. Этот
      процесс проиллюстрирован ниже.

                               + ----------------- +
               + --------------> + Пуск + <-------------- +
               | + -------- + -------- + |
               | | |
               | v |
      + -------- + -------- + + -------- + -------- + + -------- + - ------ +
      | Падение пакета, | | Является ли | | Посмотрите местные |
      | отправить ошибку ICMP | | место назначения | | (пункт назначения) |
      | сообщение на + <- Нет - + назначенный порт + -Да -> + хост в PTIP, |
      | отправитель | | к локальному хосту? | добавить внешний IP |
      + ----------------- + + ----------------- + | заголовок с |
                                                        | локальный хост как |
                                                        | место назначения и |
                                                        | Маршрутизатора DNAT |
                                                        | внутренний адрес |
                                                        | как источник, |
                                                        | передать пакет |
                                                        + ----------------- +

                    Операции маршрутизатора DNAT с входящими пакетами. Когда хост DNAT получает пакет, он сначала определяет,
      не источник является местным или внешним. Это можно сделать
      проверка следующего поля протокола внешнего IP-заголовка и
      возможно место назначения внутреннего IP-заголовка. Если источник
      на местном уровне может использоваться обычная процедура приема. Если источник
      external, внешний IP-заголовок должен быть удален, а затем
      может использоваться обычная процедура приема. Этот процесс
      показано ниже.+ ----------------- +
               + --------------> + Пуск + <-------------- +
               | + -------- + -------- + |
               | | |
               | v |
      + -------- + -------- + + -------- + -------- + + -------- + - ------ +
      | Получить пакет | | Отправитель | | Снимите внешний |
      | нормально | | внешний? | | Заголовок IP, |
      | + <- Нет - + + -Да -> + пакет приемника |
      | | | | | нормально |
      + ----------------- + + ----------------- + + ----------- ------ +




Borella, et. al.  [Стр. 15] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


                              Процесс приема хоста DNAT.

   Пример

      В этом разделе мы рассмотрим пример работы DNAT. Наш
      цель состоит в том, чтобы прояснить предыдущий раздел с помощью этого примера -
      этот раздел не дополняет техническое описание DNAT.
      Мы предполагаем ту же архитектуру локальной сети, что и раньше, со всеми хостами и
      маршрутизатор, на котором запущен DNAT, и что маршрутизатор DNAT выделил
      исходные порты 10000-10008 к ПК 2 (10.0.0.2). Мы предполагаем, что
      Читатель знаком с деталями FTP.

      Предположим, что ПК 2 инициирует FTP-соединение с внешним сервером.
      по адресу 192.156.136.22. Стек TCP / IP ПК 2 создает показанный пакет
      ниже. ПК 2 выбрал порт источника 10000. Он туннелирует FTP.
      запрос управления через маршрутизатор DNAT.

          Внешний IP-заголовок Внутренний IP-заголовок TCP-заголовок
      + ---------------------- + ---------------------- + --- -------------- +
      | Src: 10. 0.0.2 | Источник: 149.112.240.55 | Порт SRC: 10000 |
      + ---------------------- + ---------------------- + --- -------------- +
      | Dst: 10.0.0.1 | Dst: 192.156.136.22 | Dst порт: 21 |
      + ---------------------- + ---------------------- + --- -------------- +

                  Исходящий контрольный пакет FTP в подсети DNAT.

                           Заголовок IP Заголовок TCP
                    + ---------------------- + ----------------- +
                    | Src: 149.112.240.55 | Порт SRC: 10000 |
                    + ---------------------- + ----------------- +
                    | Летнее время: 192.156.136.22 | Dst порт: 21 |
                    + ---------------------- + ----------------- +

                Исходящий контрольный пакет FTP во внешней сети.

      После того, как маршрутизатор DNAT получит пакет на свой внутренний
      интерфейс и проверяет, что правильный номер порта источника
      используется, он удаляет внешний заголовок IP и передает пакет
      к 192. 156.136.22. Ответ, который приходит обратно в DNAT
      маршрутизатор с внешнего сервера показан ниже.

                           Заголовок IP Заголовок TCP
                    + ---------------------- + ----------------- +
                    | Источник: 192.156.136.22 | Порт SRC: 21 |
                    + ---------------------- + ----------------- +
                    | Dst: 149.112.240.55 | Порт Dst: 10000 |
                    + ---------------------- + ----------------- +




Borella, et. al.  [Стр. 16] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


                Входящий контрольный пакет FTP во внешней сети.

          Внешний IP-заголовок Внутренний IP-заголовок TCP-заголовок
      + ---------------------- + ---------------------- + --- -------------- +
      | Источник: 10.0.0.1 | Src: 192.156.136.22 | Порт SRC: 21 |
      + ---------------------- + ---------------------- + --- -------------- +
      | Dst: 10. 0.0.2 | Dst: 149.112.240.55 | Порт Dst: 10000 |
      + ---------------------- + ---------------------- + --- -------------- +

                  Входящий контрольный пакет FTP в подсети DNAT.

      Маршрутизатор DNAT ищет номер порта назначения в PTIP.
      Обнаружив сопоставление порта 10000 с локальным хостом 10.0.0.2, он
      добавляет внешний IP-заголовок и передает этот туннелированный пакет
      в локальной подсети.Клиент FTP инициирует соединения для передачи данных с помощью команды PORT.
      Клиент указывает свой IP-адрес и номер порта, для которого
      он откроет пассивный сокет. Сервер откроет соединение
      к этому сокету и передать (получить) данные. Для этого
      операция для работы с DNAT, выбор порта транспортного уровня
      код на локальном хосте должен дать FTP-клиенту номер порта из
      блок, выделенный маршрутизатором DNAT. Предположим, что
      ПК 2 выбирает порт 10001 для передачи данных.Когда
      Приходит SYN-пакет подключения к серверу, маршрутизатор DNAT знает
      что он должен туннелировать пакет на ПК 2, потому что пункт назначения
      номер порта будет в блоке, выделенном для ПК 2.  Хост DNAT
      также необходимо знать, как использовать глобальный IP-адрес (подсети), когда он
      передает свой IP-адрес на внешний сервер.

Обсуждение

   В этом разделе мы кратко обсудим ряд вопросов, которые необходимо решить.
   адресованы для того, чтобы DNAT работал как можно более беспрепятственно в
   производственная среда.Цель этого раздела - сделать так, чтобы
   ясно, что ни одна из этих проблем не повлияет серьезно на развертывание
   DNAT. На практике эти вопросы можно решить в любом количестве
   способами. Описанные здесь решения не обязательно являются единственными.

   В туннель или не в туннель

      Как правило, хост DNAT должен знать для конкретного IP-адреса,
      должен ли он нормально передавать пакет для локальной доставки,
      или туннелируйте пакет к маршрутизатору DNAT. Поскольку более одного
      подсеть может находиться за маршрутизатором DNAT, глядя на локальную подсеть
      маска не подойдет.Мы бы предпочли не распространять маршрутизацию
      таблицы для всех хостов DNAT.  Простая альтернатива, которая решит
      эта проблема состоит в том, чтобы требовать, чтобы маршрутизатор DNAT знал все



Borella, et. al.  [Стр. 17] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


      маски подсети, используемые подсетями DNAT, за которые он отвечает. Этот
      информацию можно ввести вручную, потому что не ожидается
      часто меняют.Затем, если рассматриваемый IP-адрес не находится на
      локальной подсети хоста, хост может запросить маршрутизатор с
      адрес. Маршрутизатор вернет простой ответ «да» или «нет» -
      да, это местный адрес, или нет, это не так.

      В качестве альтернативы хост DNAT может отправлять все пакеты для пунктов назначения.
      без явного статического маршрута к маршрутизатору DNAT. Если они
      прибыть на маршрутизатор DNAT, он информирует хост, что он должен
      вместо этого туннелируйте пакет. Затем хост получает блок
      порты (при необходимости) и туннелирует пакет (с локально уникальным
      номер порта источника) к маршрутизатору DNAT. Такой подход может
      требуют значительных изменений в стеке TCP / IP на хосте,
      поскольку полуоткрытый сокет TCP должен быть отброшен. Точно так же
      Хост DNAT может сначала туннелировать пакеты к маршрутизатору. Если
      маршрутизатор определяет, что пункт назначения является локальным, он сообщает
      хост этого факта, и хост может передать пакет
      стандартным способом.

      Считаем этот вопрос открытым. Независимо от решения
      выбрано, хосты кэшируют "местонахождение" недавно подключенного IP
      адреса могут быть полезными.ICMP

      ICMP отправляет информацию об IP-адресе в части данных
      сообщение. DNAT может справиться с этим путем декодирования каждого сообщения ICMP.
      типа и «зная», что делать с вложенными заголовками IP. В
      Маршрутизатор DNAT должен был бы заглянуть внутрь сообщения ICMP из
      Интернет и определите, какой локальный хост должен получить
      сообщение. Большинство сообщений ICMP отправляются в ответ на TCP или UDP. 
      запросы, такие как «хост недоступен» или «время жизни истекло».
      У них есть номера портов TCP или UDP внутри, и маршрутизатор DNAT
      должен иметь возможность выполнять перевод и туннелировать сообщение в
      локальный хост.Однако некоторые сообщения, такие как "echo" (используются ping)
      и «отметка времени» имеют только значение идентификатора. DNAT, как и обычный NAT,
      должен запомнить идентификатор запроса от локального хоста, чтобы он мог
      правильно сопоставьте ответ.

   DNS

      Чтобы поддерживать схему локальной адресации DNAT, DNS должен
      работать в локальной сети. Записи локального DNS не должны быть
      распространяется во внешнюю сеть, но DNS во внешней сети
      записи должны быть доступны хостам в подсети DNAT.Для
      по этой причине может быть желательно разместить DNS-сервер в
      Маршрутизатор DNAT. Хотя эта схема может повлиять на производительность, она



Borella, et. al.  [Страница 18] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г. 


      облегчить управление сетью.


   ARP и DHCP

      Протокол ARP должен быть запущен в подсети DNAT для сопоставления локального IP-адреса.
      адреса на MAC-адреса. Если DHCP или IPCP используются для назначения
      внешний IP-адрес маршрутизатора, маршрутизатор должен транслировать этот
      обращаться ко всем хостам при каждом изменении.Маршрутизатор DNAT должен
      не служить прокси-сервером ARP для любых хостов DNAT.


   Входящие подключения к локальным серверам

      В то время как соединения, инициированные локальным хостом, могут обрабатываться с помощью
      DNAT, место назначения соединения, исходящего от внешнего
      host может быть неоднозначным. Например, предположим, что WWW-сервер
      работает на ПК 1 через порт 80, а другой - на ПК 2 через порт
      80. Внешний хост, пытающийся получить доступ к серверу на ПК 1, будет
      отправить свой запрос на кортеж IP-адреса / порта
      (149.112.240.55, 80). Маршрутизатор DNAT не сможет
      определить, на какой хост должен быть перенаправлен запрос.  Этот
      проблема может быть не такой серьезной, как кажется, если учесть
      типичная архитектура малого бизнеса с общедоступным WWW или FTP
      места. Обычно эти серверы расположены за пределами локального
      подсеть в целях безопасности. Таким образом, клиенты могут получить
      информацию на этих сайтах без доступа к местным
      подсеть, в которой может существовать конфиденциальная информация.Если один WWW или FTP-сервер должен быть размещен в локальной подсети,
      подключение может быть облегчено путем ввода порта вручную
      номер для сопоставления IP-адреса на сервере DNAT. Как
      в качестве альтернативы API сокетов хостов DNAT может быть изменен таким образом, чтобы
      что маршрутизатор DNAT автоматически уведомляется о номере порта
      используется, когда хост открывает пассивный (прослушивающий) сокет. Затем маршрутизатор
      решает, следует ли туннелировать пакеты, предназначенные этому порту, в
      соответствующий хост на основе локальной политики. Обратите внимание, что для простоты мы не рассматривали
      тот факт, что DNAT может быть назначено несколько внешних IP-адресов.
      подсеть в обсуждении выше. Если это будет сделано, то несколько
      серверы, прослушивающие один и тот же номер порта, могут поддерживаться, хотя
      с немного более сложным кодом на хостах и ​​маршрутизаторе.

   Протоколы, поддерживающие DNAT

      Несмотря на свою гибкость, существует ряд протоколов, которые
      быть трудным для использования с DNAT. Например, рассмотрим одноранговую



Borella, et.al.  [Стр. 19] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


      одноранговое приложение Интернет-телефонии, которое требует, чтобы оба узла
      прослушивать и передавать данные через определенный порт. Поскольку DNAT
      архитектура позволяет только одному хосту получать пакеты на
      конкретный порт в любой момент времени, два или более таких приложения
      не сможет одновременно работать в подсети DNAT. Кроме того, этот тип протокола может быть жестко запрограммирован для использования номера порта.
      который не был выделен маршрутизатором DNAT. Использование фиксированного порта
      числа - это решение о реализации, принятое, вероятно, для простоты
      дизайн; однако нет причин, по которым приложение не могло
      используйте произвольный номер порта. Дополнительные усилия по проектированию
      не было бы великим, и было бы намного перевешивать выгода
      работает в среде DNAT.

      В IETF было некоторое обсуждение «дружественных к NAT» протоколов.
      встреч и в списках рассылки NAT.Есть свидетельства того, что некоторые
      новые протоколы разрабатываются с учетом NAT, поэтому это безопасно
      предположить, что, если DNAT станет популярным, дизайн, дружественный к DNAT, будет
      становятся желательной особенностью новых протоколов. В частности,
      Протокол, совместимый с DNAT, позволит избежать использования жестко запрограммированного номера порта, если
      все возможно.  Он всегда будет пытаться использовать временные порты
      назначается маршрутизатором DNAT. Мы ожидаем, что механизм использования
      такие порты могут быть прозрачно встроены в существующий API сокетов
      и код выбора порта транспортного уровня.Представление

      Традиционный NAT требует трансляции IP-адресов, а также IP и
      Пересчет контрольной суммы TCP / UDP на маршрутизаторе для всех входящих и
      исходящие пакеты. Также может потребоваться перевод порта. В
      маршрутизатор должен поддерживать таблицу трансляции с записью для каждого
      активная сессия и соединение. DNAT требует, чтобы заголовки IP были
      добавлен или удален на маршрутизаторе, но в сравнительно небольшом состоянии
      (таблица PTIP) обязательна. Единственный другой вычислительный
      Расходы DNAT - это обработка PDP.Протоколы, которые отправляют
      IP-адрес и номера портов как данные приложения, такие как FTP или
      H.323, не требует специальной обработки маршрутизатором. Это
      большое преимущество с точки зрения простоты, производительности и
      управление.  Мы ожидаем увеличения пропускной способности роутера.
      скромно при использовании DNAT в отличие от NAT. Сквозная задержка может
      также улучшить (если на маршрутизаторе требуется меньшая обработка,
      Ожидается, что задержки в очереди уменьшатся), но это улучшение
      вероятно, не будет иметь большого значения, учитывая, что отдельные хосты
      придется еще поработать.В целом влияние DNAT на
      производительность обнадеживает, особенно если учесть, что цель
      DNAT заключается в улучшении масштабируемости и управления, не обязательно
      для увеличения производительности.

   Настойчивый



Borella, et. al.  [Стр. 20] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


      Мы рассматриваем DNAT как часть гораздо большей головоломки. Особенно,
      структура альтернативных NAT архитектур, скорее всего, будет
      включают множество решений.В частности, DNAT - один из нескольких
      туннельные решения.  Другие протоколы туннелирования (кроме DNAT
      Туннели IP-IP) могут использовать L2TP или IPSEC. Может быть желательно
      устанавливать туннели для каждого сеанса и назначать
      глобально-маршрутизируемый IP-адрес, а также локально уникальные блоки портов
      изнутри этих динамических туннелей. Другими словами, когда DNAT
      хосту необходимо передать пакет на внешний сайт, он
      установить туннель к маршрутизатору DNAT.В рамках
      фаза управления / согласования туннеля, маршрутизатор DNAT назначает
      IP-адрес и номера портов для хоста. В конце
      сеанс, IP-адрес и порты отменяются, а
      туннель разрушен (как традиционный NAT, концепция сеанса
      будет более понятным для TCP, чем для UDP-транзакций, и в любом
      случае должен существовать механизм тайм-аута для устаревших сеансов). В
      фактический IP-адрес и протокол распределения портов могут быть версией
      представленный здесь PDP или, возможно, модификация DHCP.L2TP
      и IPSEC может быть более легко расширен для поддержки этой архитектуры
      чем IP-IP, но последний имеет то преимущество, что он проще и
      более эффективным.  Обратите внимание, что туннели также могут быть инициированы
      Маршрутизатор DNAT, таким образом поддерживая внутренние серверы.

Выводы и дальнейшая работа

   Мы предложили DNAT, альтернативу архитектуре NAT, которая
   может значительно упростить совместное использование одного или нескольких IP-адресов.
   адреса. Основным недостатком DNAT является то, что он требует TCP / IP.
   модификация ядра всех локальных хостов.Однако DNAT избегает
   многие проблемы, связанные с NAT, и если DNAT стандартизирован,
   реализации подключаемых модулей должны стать доступными для многих систем.
   Наша текущая работа с DNAT включает эталонную реализацию в виде
   а также продолжение работы в IETF. Другие вопросы, которые мы хотели бы
   хотел бы обратиться к мобильному IP и безопасности. Для первых мы
   модифицировали DNAT для работы с домашним и внешним маршрутизатором Mobile IP
   рекламное сообщение. Для последнего в настоящее время мы разрабатываем
   версия DNAT, которая будет работать с ассоциацией безопасности IPSEC
   и архитектура центра сертификации. DNAT был реализован агентом, не являющимся авторами этого
   проект. Предварительные отчеты показывают, что реализация работает
   как описано в этом проекте, и является достаточно надежным и масштабируемым.

Благодарности

   Авторы выражают благодарность Дэну Нессетту, Синди Юнг, Гарри.
   Брайсону, Джорджу Цирцису и Джиму Баунду за отзывы о
   более ранний вариант этого документа. Особо благодарим Брюса



Borella, et. al.  [Страница 21] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


   Вуттону за его предложение о выпуске PDP и сообщениях PDP ACK.Предложение об обходе туннелирования NAT [TO98] с использованием L2TP было
   индивидуально разработан, но в том же духе, что и DNAT.
   Повторное использование согласованного адреса (NAR) [Mont98] обеспечивает аналогичный
   функциональность аналогична DNAT, но работает в контексте
   НОСКИ.

Приложение A. Приложения, которые передают содержимое адреса / порта как полезную нагрузку

   В этом разделе содержится неполный список приложений, которые будут
   нарушить простые реализации NAT, потому что они передают IP-адрес
   и / или содержимое порта в качестве полезной нагрузки пакета. Многие реализации NAT
   содержат код, специально поддерживающий один или несколько из этих протоколов.
   Этот список не является исчерпывающим - более свежий список см.
   http://dijon.nais.com/~nevo/masq/.

   FTP, IRC, H.323, CUSeeMe, реальное аудио, реальное видео, Vxtreme / Vosiac,
   VDOLive, VIVOActive, True Speech, RSTP, PPTP, StreamWorks, NTT
   AudioLink, NTT SoftwareVision, Yamaha MIDPlug, iChat Pager, Quake,
   Diablo.


использованная литература

   [Atki95] Р. Аткинсон, «Архитектура безопасности для Интернета.
   Протокол, Интернет RFC 1825, август.1995 г.

   [Drom97] Р. Дромс, "Протокол динамической конфигурации хоста", Интернет
   RFC 2131, март 1997 г.

   [EP94] К. Егеванг и П. Фрэнсис, "Переводчик сетевых IP-адресов.
   (NAT), Internet RFC 1631, май 1994 г.

   [Hain98] T. Hain, "Архитектурные последствия NAT", Интернет.
   Draft , март 1998 г. (работа в
   прогресс).

   [Huit96] К. Хайтема, IPv6: новый интернет-протокол, Прентис Холл,
   1996 г. 

   [Mont98] G. Черногория, «Повторное использование согласованного адреса», Интернет-проект.
   , май 1998 г. (в разработке).

   [Mcgr92] Г. МакГрегор, "Протокол управления интернет-протоколом PPP
   (IPCP), Интернет RFC 1332, май 1992 г.

   [RMKDL96] Ю. Рехтер, Б. Московиц, Д. Карренберг, Г. Дж. Де Гроот
   и Э. Лир, "Распределение адресов для частных сетей", Интернет.



Borella, et. al.  [Стр. 22] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


   RFC 1918, февраль 1996 г.

   [SE98] П.Срисуреш и К. Эгеванг, "Сетевой IP-адрес
   Переводчик (NAT), Интернет-проект , февраль 1998 г. (работа в процессе).

   [Stev94] W. R. Stevens, TCP / IP Illustrated, Vol. 1, Эддисон-Уэсли,
   1994 г.

   [TO98] Г. Цирцис, А. О'Нил, "Обход NAT для конца 2-го конца"
   "Чувствительные" приложения, Интернет-проект , январь 1998 г.  (в разработке).

   [TS98] Г. Цирцис и П. Срисуреш, "Трансляция сетевых адресов -
   Трансляция протоколов (NAT-PT), Internet Draft , март 1998 г. (в разработке).

Адреса авторов

   Майкл Борелла
   3Com Corp.
   Центр исследований перспективных технологий
   1800 W. Central Rd.
   Mount Prospect IL 60056
   (847) 342-6093
   [email protected]

   Давид Грабельский
   3Com Corp.
   Центр исследований перспективных технологий
   1800 W. Central Rd.
   Mount Prospect IL 60056
   (847) 222-2483
   [email protected]

   Ихлак Сидху
   3Com Corp.
   Центр исследований перспективных технологий
   1800 W. Central Rd.
   Mount Prospect IL 60056
   (847) 222-2487
   ikhlaq_sidhu @ 3com.ком









Borella, et. al.  [Страница 23] 

ПРОЕКТ ИНТЕРНЕТА Трансляция распределенных сетевых адресов, октябрь 1998 г.


   Брайан Петри
   3Com Corp.
   12230 World Trade Dr.
   Сан-Диего, Калифорния, 92128
   (619) 674-8533
   [email protected] com













































Borella, et. al.  [Стр. 24]
 

Поддержка Active Directory через NAT — Windows Server

  • 2 минуты на чтение

В этой статье

В этой статье описываются границы поддержки Active Directory через NAT.

Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 978772

Сводка

Преобразование сетевых адресов (NAT) — это набор сетевых методов, которые изменяют адресную информацию сетевого трафика во время передачи, чтобы удалить сведения о исходящей сети. Чаще всего это делается сетевыми устройствами и предназначено для упрощения использования схем адресации частной сети, а иногда и в качестве неидеальной меры безопасности.

Связь контроллера домена

с контроллером домена и связь между клиентом и контроллером домена через NAT — это сценарий, с которым клиенты часто сталкиваются в сценариях слияния и поглощения. Одна из необходимых услуг при соединении сетей двух компаний — это службы аутентификации, авторизации и каталогов, предлагаемые Active Directory.

Нет никаких свидетельств того, что конфигурация NAT между лесами по своей сути нарушает связь DC-DC или связь Client-DC.Microsoft не тестировала этот сценарий с Active Directory и другими технологиями, связанными с Active Directory. Примеры других технологий включают протокол Kerberos или DFS.

Заявление Microsoft относительно Active Directory через NAT

  • Active Directory через NAT не тестировалась Microsoft.
  • Мы не рекомендуем Active Directory через NAT.
  • Поддержка проблем, связанных с Active Directory через NAT, будет ограничена и быстро достигнет пределов коммерчески разумных усилий.

Если вам поручено настроить сеть с NAT и вы планируете запускать любое решение Microsoft Server (включая Active Directory) через NAT, обратитесь в службу технической поддержки клиентов Microsoft, используя предпочитаемый вами подход, или посетите службу поддержки Microsoft. Кроме того, вы можете связаться с Microsoft Consulting Sevices.

Нет никаких явных или подразумеваемых гарантий того, что следование предоставленным инструкциям будет работать в любом заданном сценарии, поскольку он не был протестирован. Группы поддержки будут работать над проблемами, которые возникают в результате использования предоставленных рекомендаций в пределах коммерчески разумных усилий.

Единственная конфигурация с NAT, которая была протестирована Microsoft, — это запуск клиента на частной стороне NAT, а все серверы расположены на публичной стороне NAT. NAT также будет функционировать как DNS-сервер.

Использование трансляции сетевых адресов (NAT) для предотвращения конфликтов IP-адресов

Преобразование сетевых адресов (NAT) — это сетевая функция, которая помогает подключать среды с перекрывающимися IP-адресами.NAT предотвращает конфликты IP-адресов, сопоставляя уникальный IP-адрес каждой виртуальной машине в подключенной сети. Этот IP-адрес NAT используется для входящей и исходящей связи с сетью с поддержкой NAT.

Содержание

Обзор NAT

По умолчанию каждая среда Skytap имеет частную сеть, изолированную от других сетей среды Skytap. Эта изоляция позволяет одновременно запускать несколько сред с одной и той же сетевой подсетью.

Иногда может потребоваться соединить несколько сред вместе с помощью ICNR (например, для связи между виртуальными машинами или совместного использования ресурсов между несколькими средами).Вместо того, чтобы вручную изменять подсеть каждой среды, чтобы избежать конфликтов IP-адресов, вы можете включить NAT для автоматического назначения уникальных IP-адресов подключенным виртуальным машинам. NAT также может быть включен в Skytap VPN, что позволяет идентичным средам Skytap подключаться к вашей корпоративной сети.

Стандартные адреса NAT и IPv4

Оригинальный дизайн преобразования сетевых адресов позволяет нескольким конечным клиентам использовать любой диапазон частных адресов для своих внутренних сетей.Чтобы маршрутизировать внутренние узлы на внешние узлы, служба NAT преобразует частные IP-адреса в общедоступные IP-адреса. Когда маршрутизация осуществляется между сетями IPv4, технология называется NAT44 для преобразования сетевых адресов из адресов IPv4 в адреса IPv4. На приведенной ниже диаграмме представлена ​​упрощенная схема шлюза для оборудования в помещении клиента (CPE) с NAT, преобразующим частные адреса в общедоступные.

Стандартное преобразование сетевых адресов — преобразование частного IP-адреса в общедоступные IP-адреса

Стандартный NAT, который сопоставляет несколько внутренних адресов тупиковых доменов с одним глобальным публичным адресом и наоборот, отлично работал для потребительских и корпоративных точечных решений, но развертывания NAT вскоре расширилась за пределы бизнес-сетей, включив в нее домашние и мобильные сети.Поскольку каждому клиентскому CPE или мобильному устройству требовался общедоступный IP-адрес, и по мере того, как потребительский спрос быстро увеличивался, проблема исчерпания IPv4 в Интернете стала острой.

Трансляция сетевых адресов операторского класса (CGNAT)

В результате поставщикам услуг, включая интернет-провайдеров, операторов широкополосного кабеля и мобильных операторов, вскоре потребовалась технология, которая позволила бы еще больше расширить ограниченный пул общедоступных IP-адресов и достичь некоторых уникальных характеристик. и требования к функциям. Рабочая группа IETF Network начала анализировать эту проблему и, начиная с 2009 года, опубликовала серию «Запросов на комментарии» (RFC) для улучшения традиционной трансляции сетевых адресов (NAT).

В RFC IETF представлены рекомендации, определены ограничения развертывания и требования для «NAT операторского уровня», также называемого крупномасштабным NAT (LSN) или NAT 444. Сегодня NAT операторского уровня (CGNAT) является зрелой технологией, работа которой хорошо стандартизирована IETF. RFC и проекты документов.

Общие сценарии развертывания для NAT44 и NAT444

CGNAT для поставщиков услуг

В то время как стандартный NAT преобразует частный IPv4-адрес в общедоступный IPv4-адрес, NAT операторского класса (CGNAT) добавляет дополнительный уровень трансляции.Это позволяет интернет-провайдерам сохранять свои собственные общедоступные IPv4-адреса, обрабатывать абонентский трафик через частную сеть IPv4 поставщика услуг и поддерживать абонентов или предприятия, которые также имеют свои собственные частные сети IPv4, а также несколько местоположений или устройств. Обычно NAT операторского класса (CGNAT) используется в сценарии NAT 444, который преобразует:

  • (клиент) Частный IPv4 в (ISP) Частный Сетевой адрес IPv4
  • (ISP) Частный сетевой адрес IPv4 к (ISP) Общедоступный сетевой адрес IPv4, для подключения к Интернету

Результатом развертывания NAT444 (от частного к частному к общедоступному) является то, что он позволяет нескольким клиентским сетям с их собственным внутренним сетевым адресным пространством маршрутизировать через Внутреннее сетевое адресное пространство интернет-провайдера и общий общедоступный IPv4-адрес интернет-провайдера для доступа к Интернету

Обзор международных поставщиков услуг связи 2021

Это исследование было проведено, чтобы понять проблемы и проблемы, с которыми сталкиваются поставщики услуг связи, когда дело доходит до долгосрочного воздействия что COVID-19 заразил своих подписчиков и предприятий.Он определяет тенденции спроса и моделей использования, ожидания в отношении безопасности и отказоустойчивости в беспрецедентном году. В нем рассматриваются планы поставщиков услуг связи в отношении инвестиций, внедрения новых технологий и сложности работы в текущей гибридной среде.

Получить отчет

Развертывание NAT444

На приведенной ниже схеме показано развертывание NAT444 (частный, частный, общедоступный) с тремя клиентскими сетями, использующими одно и то же внутреннее адресное пространство IPv4 с внешними IPv4-адресами, которые являются частными для провайдера. совместное использование одного общедоступного IPv4-адреса.

CGNAT реализация NAT444 с преобразованием сетевых адресов из частного в частный в общедоступный

Хотя обработка исчерпания IPv4 концептуально проста, сделать это в масштабе может быть сложно, и именно здесь опыт A10 в области NAT операторского класса (CGNAT) бесценен. Решение A10 соответствует отраслевым стандартам, а также предлагает усовершенствования для упрощения операций. См. Пример использования Uber масштабно решает проблему нехватки IPv4.

NAT64 и переход на IPv6

NAT64 — это технология, которая позволяет клиентам, использующим только IPv6, получать доступ к устаревшим службам только для IPv4.Устройство NAT64 действует как шлюз для клиентских запросов DNS (с использованием DNS64) и при необходимости преобразует ответы DNS IPv4 в ответы IPv6 DNS.

Для получения дополнительной информации о переходе IPv6 для операторов см. Спецификацию Internet Engineering Task Force (IETF) Инкрементный NAT операторского класса (CGN) для перехода IPv6.

Преимущества NAT операторского класса

IP изначально был разработан в соответствии с принципом сквозной связи для сетей. Это означает, что протоколы приложений могут ожидать прямого обмена данными между хостами без изменения промежуточными системами заголовков пакетов или полезной нагрузки.Поскольку NAT изменяет, по крайней мере, IP-адреса, а иногда изменяет заголовки и полезные данные других протоколов, NAT может нарушить связь. NAT операторского класса (CGNAT) решает эту и другие проблемы, связанные с использованием традиционного NAT в масштабе, за счет включения следующих возможностей:

  • Шлюз уровня приложения (ALG) был разработан для решения проблемы, когда серверы NAT разрывают связь. Основанные на технологии прокси-сервера, ALG интеллектуально изменяют необходимые заголовки протокола приложения и полезную нагрузку, чтобы соответствовать протоколу, маршрутизируемому NAT.
  • Независимое отображение конечных точек (EIM), фильтрация, независимая от конечных точек (EIF) и закрепление, обеспечивают прозрачное подключение к NAT. Традиционные реализации NAT не допускают никакого трафика, который инициируется извне (EIM, EIF) или для протоколов, которые необходимо закрепить, то есть замкнуть свой трафик обратно внутрь.

Высокомасштабные требования для поставщиков услуг

Операторские сети, крупные предприятия, высшие учебные заведения и интернет-провайдеры требуют гораздо более сложных возможностей NAT операторского класса (CGNAT), чем потребительские сети и сети малого бизнеса, поскольку они также обладают критически важной производительностью, надежностью и управляемостью требования.

  • Производительность — Решения NAT операторского класса должны поддерживать миллионы одновременных сетевых подключений
  • Горизонтальное масштабирование — Операторские решения должны иметь возможность динамического масштабирования, добавляя дополнительную пропускную способность по мере необходимости, не прерывая существующий сетевой трафик
  • Высокая доступность — Решения NAT операторского класса требуют очень высокой доступности 24/7 без прерывания обслуживания для пользователя. Для этого требуется плавное переключение при отказе в случае сбоя любого компонента с сохранением сеанса
  • Централизованное управление — Крупномасштабные решения NAT / NAT операторского класса должны иметь возможность интеграции с основными централизованными платформами управления сетью и инфраструктурами DevOps для централизованного ведения журналов
  • Расширенное ведение журнала — Все устройства, которые подключаются к Интернету, производят множество сеансов, поэтому отслеживание всех сеансов приводит к появлению большого количества сообщений журнала.Решения NAT операторского класса должны предоставлять передовые методы для уменьшения объема журналов, такие как группирование портов, нулевое ведение журнала и компактное ведение журнала, а также фильтрация для получения актуальной и действенной информации. Требование особой всесторонней безопасности и защиты от атак, таких как атаки распределенного отказа в обслуживании (DDoS), нацеленные на пулы CGNAT
  • Пользовательские квоты — Возможность администратора ограничивать количество портов TCP и UDP, которые могут использоваться одним подписчиком имеет решающее значение в средах ISP и Mobile Network Provider (MNP) для поддержания справедливости при совместном использовании ресурсов между подписчиками.Если оставить его неуправляемым, подключение других подписчиков может быть легко скомпрометировано внешними злоумышленниками

Переход на IPv6

IPv6 был представлен IETF в качестве проекта стандарта в декабре 1998 года для решения проблемы исчерпания IPv4 и был полностью ратифицирован в июле 2017 года. С момента его появления глобальное внедрение IPv6 постепенно увеличивалось в зависимости от устройств, сетей поставщиков услуг и поставщиков контента, но с небольшими географическими различиями по странам.

Конец IPv4? Пути миграции на IPv6

Появление новых мест, подключенных к Интернету, и устройств, подключенных к Интернету, ускорило исчерпание возможностей IPv4, поскольку каждое устройство оказывает большее давление на существующую инфраструктуру IPv4.Узнайте о различных методах миграции IPv6, сохранении IPv4 и трансляции IPv4 / IPv6.

Узнать больше

Операторы мобильной связи, интернет-провайдеры и производители мобильных устройств стали лидерами внедрения, и последние поколения мобильных устройств (4G / 5G) поддерживают как IPv4, так и IPv6. Основные поставщики веб-контента, такие как Google, Alexa, Facebook, Yahoo, YouTube и другие, развернули IPv6. Предприятия, как правило, медленнее переходили на IPv6, в основном из-за затрат на изменение существующей сетевой инфраструктуры, но внедрение ускоряется.

Тем не менее, все еще существует большое количество веб-сайтов, устройств и сетей, которые в основном являются IPv4, и большинство поставщиков услуг, образовательных учреждений и предприятий должны поддерживать соединение между IPv4 и IPv6 для своих пользователей и подписчиков, даже если их собственные сети были полностью перешел на IPv6. В результате этой гибридной среды появилось несколько технологий, которые помогают этому процессу перехода и обеспечивают связь между устройствами IPv4 и IPv6, сетями и пунктами назначения в Интернете.Эти технологии либо преобразуют адреса IPv4 в IPv6, либо инкапсулируют трафик, чтобы обеспечить прохождение через несовместимую сеть. Эти технологии перечислены ниже:

0 IPv6 9067 IPv6 9067 IPv6 9067 IPv6
Технология Тип Абонентское устройство Сеть поставщика услуг Интернет-адресат (Интернет)
9068 Перевод IPv6 IPv6 IPv4
NAT46 Перевод IPv4 IPv4 IPv6
МАР-Т Перевод IPv4 IPv6- IPv4
464XLAT Трансляция
(NAT64 + клиент CLAT)
IPv4 IPv6 IPv4 / IPv6
9067 IPv6 9067 6rdv6 9067 IPv6
DS-Lite 9 0671 Инкапсуляция IPv4 IPv6 IPv4
LW4o6 Инкапсуляция IPv4 IPv6 IPv4
МАР-Е Инкапсуляция IPv4 IPv6- IPv4

Операторы мобильных сетей часто комбинируют NAT операторского класса (CGNAT) с межсетевым экраном, чтобы обеспечить надежную защиту своих подписчиков IPv4 и IPv6.См. Тематическое исследование «Гигант на Ближнем Востоке расширяет масштабы безопасности с помощью A10 Networks Thunder CFW».

Переход на IPv6: пример NAT64

NAT64 позволяет устройствам, поддерживающим только IPv6, получать доступ к устаревшим службам, поддерживающим только IPv4, путем прозрачного преобразования адресов IPv6 в адреса IPv4 и наоборот. Но NAT64 — это только часть решения, потому что устройства, поддерживающие только IPv6, также должны делать DNS-запросы для разрешения IP-адресов других устройств. Ответ — использовать сервер DNS64 во внутренней сети IPv6.

NAT64 / DNS64 использует подход трансляции протокола, а не подход инкапсуляции, для подключения пользователей IPv6 к сервисам IPv4. Это позволяет извлекать данные, доступные только через IPv4, и возвращать их клиенту IPv6.

Сервер DNS64 принимает DNS-запрос IPv6 и, если IPv6-адрес для целевого хоста недоступен, преобразует существующий IPv4-адрес целевого объекта в синтетический IPv6-адрес, который инкапсулирует IPv4-адрес для клиентских DNS-запросов (с использованием DNS64) и преобразует IPv4. При необходимости DNS-ответы превращаются в DNS-ответы IPv6.

Затем клиент IPv6 может подключиться к синтетическому адресу IPv6 через шлюз NAT64, который преобразует запрос в правильный адрес IPv4 и, когда данные возвращаются через IPv4, преобразует ответ обратно в IPv6. Клиенты IPv6 не видят ничего, кроме IPv6.

NAT операторского класса как стратегия жизненного цикла

Поставщикам услуг необходимо реализовать стратегию трансляции сетевых адресов, которая включает как краткосрочный план по сохранению существующего распределения адресов IPv4, так и долгосрочный план беспрепятственного перехода к Инфраструктура IPv6.Для этого требуется решение, обеспечивающее надежный набор возможностей трансляции сетевых адресов операторского уровня и охватывающее весь жизненный цикл перехода от IPv4 к IPv6.

CGNAT — это не возможность, это стратегия жизненного цикла

Экспоненциальный рост числа подписчиков и подключенных устройств Интернета вещей вынудил поставщиков услуг инвестировать в инфраструктуру для поддержки увеличения трафика. В связи с глобальным истощением IPv4 и переходом на IPv6 поставщики услуг сталкиваются с проблемами в обеспечении устойчивого роста и непрерывности бизнеса.В этом техническом документе представлен обзор различных компонентов, необходимых для решения миграции CGNAT и IPv6.

Просмотреть информационный документ

Информационный документ A10, CGNAT — это не возможность, это стратегия жизненного цикла, представляет собой обзор различных компонентов, необходимых для обработки исчерпания IPv4 и предоставления полного NAT операторского класса (CGNAT) решение. В руководстве по развертыванию сетей A10 также представлены подробные сведения о различных вариантах конфигурации для крупномасштабного NAT.

Резюме

CGNAT или LSN уже много лет успешно используются в сетях крупных поставщиков услуг, предприятий и высших учебных заведений. В сочетании с технологиями миграции IPv6, ранее определенными в надежном решении CGN, например, предлагаемом A10 Networks, NAT операторского класса (CGNAT) обеспечивает хорошо зарекомендовавший себя метод использования существующих инвестиций в IPv4, обеспечивая при этом беспрепятственный путь перехода на IPv6 для подписчиков и пользователей. NAT операторского класса (CGNAT) включает в себя несколько возможностей, которые преодолевают ограничения стандартного NAT и делают его успешным для крупномасштабных развертываний операторов связи.

Благодаря работе рабочей группы IETF Network и поставщиков CGN, таких как A10 Networks, NAT операторского уровня позволил поставщикам услуг делиться своим скудным общедоступным IPv4-адресом между несколькими и растущими подписчиками и, таким образом, обрабатывать исчерпание и сохранение IPv4, обеспечивая миграцию путь для IPv6. Эти и другие RFC формализуют поведение NAT операторского уровня (CGNAT) и облегчают будущую разработку приложений:

  • CGN (draft-nishitani-cgn-05)
  • Добавочный NAT операторского класса (CGN) для перехода IPv6 (RFC 6264)
  • Проблемы с совместным использованием IP-адресов (RFC 6269)
  • Широкополосные развертывания Dual-Stack Lite после исчерпания IPv4 (RFC 6333)
  • Зарезервированный IANA префикс IPv4 для общего адресного пространства (RFC 6598)
  • 464XLAT: Комбинация трансляции с отслеживанием состояния и без сохранения состояния (RFC 6877)

Как сети A10 могут помочь

Клиенты A10 по всему миру успешно развернули A10 Thunder CGN для CGNAT, а также функции миграции IPv6.Эта технология доступна в «голом железе», контейнере, виртуальном и физическом форм-факторах, чтобы удовлетворить все сценарии развертывания сети в любом масштабе. Например, при развертывании у одного из крупнейших операторов мобильной связи в стране используется решение CGNAT от A10 для поддержки подключения IPv4 для их постоянно растущей базы пользователей мобильных устройств и смартфонов. Другой ведущий оператор мобильной связи первого уровня в Южной Корее развернул A10 Thunder CFW, включая CGNAT, в рамках развертывания 5G.

Решения A10 Thunder CGN предоставляют многофункциональное решение Carrier Grade NAT (CGNAT), соответствующее отраслевым стандартам, а также предлагает усовершенствования для упрощения операций.Например, с высокой доступностью благодаря технологии активной синхронизации сеансов (возможность для нескольких устройств отслеживать сеансы, чтобы можно было переключиться на менее загруженный маршрут в случае DDoS-атаки или сбоя службы).

A10 Thunder CGN предоставляет полное решение NAT операторского класса с превосходной вычислительной мощностью, при этом будучи чрезвычайно экономичным (обычно от 10 до 100 раз ниже затрат на абонента по сравнению с традиционными сетевыми поставщиками). Одно аппаратное устройство A10 обеспечивает большую мощность, чем несколько сверхдорогих процессорных карт на базе шасси, которые являются частью решений NAT крупных сетевых поставщиков.

Стандартные функции в решении A10 Networks Thunder CGN включают:

  • Информация для подписчиков — Полное решение NAT операторского класса для этого рынка обеспечит видимость потоков данных вплоть до уровня отдельных сетевых абонентов для управления и отслеживания их услуг.
  • Высокая прозрачность — A10 Thunder CGN реализует несколько функций для обеспечения беспрепятственного взаимодействия с пользователем в среде NAT. Эти функции обеспечивают прозрачную среду клиентского доступа к внешним ресурсам, тем самым гарантируя, что и клиент-серверные, и одноранговые приложения продолжают работать в соответствии с проектом:
    • Endpoint Independent Mapping (EIM)
    • Endpoint-Independent Filtering (EIF), объединение адресов, закрепление и сохранение портов.
  • Справедливость и совместное использование ресурсов — CGN A10 Thunder предоставляет ограничения как на уровне сеанса, так и на уровне пользователя, чтобы контролировать количество выделенных ресурсов. Это гарантирует справедливое распределение ресурсов по базе пользователей в соответствии с требованиями поставщика услуг.
  • Управление размером файла журнала — A10 Реализация Thunder CGN предоставляет множество методов ведения журнала для ограничения как количества записей журнала, так и их размера

Подробнее Благодаря встроенным функциям и большей мощности решение A10 Thunder CGN может вписаться в любую растущую сеть и адаптироваться к ней.Устройства A10 можно объединять в кластеры, сочетая вычислительную мощность с простым управлением. Узнайте больше о решении A10 Thunder® Carrier Grade Networking (CGN) для сохранения IPv4 и перехода на IPv6.

Внедрение полного решения NAT операторского класса (CGNAT)

Сеть Thunder® Carrier Grade Networking (CGN) сети A10 Networking предоставляет полное решение NAT операторского класса с превосходной вычислительной мощностью, при этом чрезвычайно экономичное.

Узнать больше

О Терри Янге

Терри Янг — директор по маркетингу 5G в A10 Networks.Она отвечает за разработку программ и маркетинговых материалов, описывающих коммерческую ценность решений A10 для операторов мобильной связи и других поставщиков услуг. До прихода в A10 Networks Терри имела 20-летний опыт работы в телекоммуникационной отрасли, включая AT&T (мобильный и фиксированный бизнес), где она разработала рекомендации по рыночной стратегии для новых бизнес-инициатив для AT&T. Как главный аналитик синдицированной компании по исследованию рынка в начале внедрения технологии 3G, ее анализ рынка 3G / 4G и прогнозы были опубликованы UMTS Forum.Ранее она также занимала должности в нескольких начинающих компаниях-поставщиках мобильной инфраструктуры и программного обеспечения, включая Infoblox и Palo Alto Networks. Терри получил степень магистра делового администрирования в Университете штата Аризона и живет в районе залива Сан-Франциско. ПОДРОБНЕЕ

Настройка свойств сопоставления NAT

Если вы работаете в среде, где вам необходимо объединить несколько пользователей (например, мобильных пользователей) за одним IP-адресом, вы можете рассмотреть возможность использования NAT (преобразование сетевых адресов), чтобы избежать возможности отказа в обслуживании большой группе. пользователей, если правила защиты от угроз применяются к одному и тому же IP-адресу.
Обнаружение NAT необходимо для обеспечения правильного правила защиты от угроз на исходных IP-адресах. Функция сопоставления NAT Infoblox позволяет вам назначать отдельные IP-адреса, сети или диапазоны вместе с диапазонами портов источника для обозначения клиентов с NAT. Любой трафик UDP или TCP, который исходит из IP-адреса в диапазоне IP-адресов NAT и использует исходный порт в сопоставлении портов NAT, считается клиентом с NAT. Важно согласовать конфигурацию отображения NAT NIOS с конфигурацией шлюза NAT, чтобы избежать неправильной классификации IP-адресов NAT.Трафик, который исходит из заданного блока порта источника, который попадает в настроенный IP-адрес NAT и диапазон портов, рассматривается как один и тот же клиент с NAT, а трафик, исходящий из другого блока портов, который попадает в тот же IP-адрес NAT и диапазон портов, считается быть другим клиентом с NAT. Если трафик исходит от того же исходного IP-адреса, но из другого блока портов, выходящего за пределы настроенного диапазона портов, то они рассматриваются как клиенты без NAT. Обнаружение NAT
NIOS разработано для работы с определенной формой NAT, когда несколько клиентов объединяются NAT на один общедоступный IP-адрес с использованием одного блока портов для каждого клиента одновременно.Некоторые поставщики NAT называют эту схему PBA (распределение блоков портов) с блоками портов фиксированного размера. Устройство NAT не может повторно использовать один и тот же IP-адрес NAT для другого клиента, по крайней мере, в течение интервала сброса правила защиты от угроз, которое выполняется в данный момент. Обратите внимание, что продолжительность тайм-аута простоя клиента устройства NAT должна быть больше, чем интервал отбрасывания правила защиты от угроз, которое выполняется в данный момент.
Вы можете настроить правила сопоставления NAT на дополнительных устройствах, сопоставив исходный IP-адрес, сеть или диапазон IP-адресов с диапазоном портов и указав размер блока портов, чтобы разделить каждый диапазон портов на части блоков портов.Каждый блок портов представляет один исходный порт клиента с NAT. IP-адреса и блоки портов, указанные в правиле сопоставления NAT, могут быть назначены клиентам в любом порядке: фиксированном, последовательном или случайном.
Устройство записывает информацию о клиентах с NAT в системный журнал. Ниже приведен пример сообщения журнала событий обнаружения угроз в системном журнале для клиентов с NAT:

2015-06-01T22: 57: 22 + 00: 00 daemon infoblox.localdomain угроза-защита-журнал [12192]: err
CEF: 0 | Infoblox | Угроза NIOS | 7.2.0-283371 | 120303001 | Черный список: block.com | 7 | src = 3.0.0.100
spt = 1221 dst = 1.1.6.2 dpt = 53 act = "DROP" cat = "BLACKLIST UDP FQDN lookup" nat = 1 nfpt = 1124
nlpt = 1223

Следующие значения в сообщении журнала событий обнаружения угроз специфичны для клиентов с NAT:

  • nat = 1 : указывает, что событие системного журнала регистрируется для NAT. клиент.
  • nfpt : указывает первый порт в блоке портов.
  • nlpt : указывает последний порт в блоке портов.

Для получения информации о системном журнале и о том, как его использовать, см. Просмотр и Системный журнал . Обратите внимание на следующее о функции сопоставления NAT:

  • Один клиент с NAT не может использовать несколько исходных IP-адресов или несколько блоков портов одновременно, в противном случае NIOS может рассматривать одного и того же клиента с NAT как разных клиентов.
  • NIOS не поддерживает трафик, исходящий как от клиентов с NAT, так и от клиентов без NAT, использующих один и тот же исходный IP-адрес.
  • Отображение NAT поддерживает только адреса, сети и диапазоны IPv4, и любой трафик, исходящий от адреса, сети или диапазона IPv6, считается клиентом без NAT.
  • Сопоставление NAT применимо только для трафика, использующего исходный порт UDP или TCP.
  • NIOS не может определить IP-адрес клиента до NAT. Однако вы можете использовать журналы защиты от угроз NIOS и отчеты о защите от угроз в сочетании с журналами устройств NAT в течение того же интервала, чтобы определить IP-адрес до NAT клиента с NAT.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *