Частные адреса и система NAT

Другое временное решение проблемы исчерпания адресного пространства заключается в использовании частных областей IP-адресов (RFC 1918).

В эпоху протокола CIDR организации получали свои IP-адреса у провайдеров Интернет. Если организация хотела сменить провайдера, она должна была оплатить услуги по переадресации своих сетей.

Дело в том, что провайдер предоставлял адресное пространство только своим клиентам. При смене провайдера можно было попытаться убедить старого провайдера оставить зарезервированные за организацией адреса и попросить нового провайдера настроить на них систему маршрутизации.

Но обычно провайдеры не хотели заниматься подобными вещами и требовали от клиентов перерегистрации.

В противоположность этому частные адреса не известны провайдеру. Документ RFC1918 определил, что одна сеть класса А, 16 сетей класса В и 256 сетей класса С резервируются для частного использования и никогда не выделяются глобально. Это делается для того, чтобы пакеты, несущие в себе частные адреса, никогда не выходили в глобальную сеть. Их должен фильтровать маршрутизатор.

Чтобы узлы, использующие частные адреса, могли получать доступ в Интернет, на пограничном маршрутизаторе организации выполняется система NAT (Network Address Translation — трансляция сетевых адресов). Эта система перехватывает пакеты и заменяет в них адрес отправителя реальным внешним IP-адресом. Может также происходить замена номера порта.

Система хранит таблицу преобразований между внутренними и внешними адресами/портами, чтобы ответные пакеты могли поступить правильному адресату.

Благодаря использованию номеров портов появляется возможность подключить несколько исходящих соединений к общему IP-адресу. Таким образом, группа внутренних узлов может совместно использовать одинаковый внешний IP-адрес. Иногда в организации достаточно иметь один-единственный «настоящий» внешний адрес.

Организация, использующая систему NAT, по-прежнему должна запрашивать диапазон адресов у провайдера, но большинство адресов теперь используется для внутрисистемных привязок и не назначается отдельным компьютерам.

Если организация захочет сменить провайдера, потребуется лишь изменить конфигурацию пограничного маршрутизатора и системы NAT, но не самих компьютеров. Система NAT реализована в маршрутизаторах большинства фирм-производителей, включая Cisco.

Можно также заставить непосредственно операционную систему выполнять функции NAT, хотя данный способ и не рекомендуется.

Подобной способностью обладают операционные системы Red Hat и FreeBSD (строго говоря, Red Hat поддерживает систему PAT (Port Address Translation — трансляция адресов портов), а не NAT; IP-адрес машины, выполняющей трансляцию, используется в качестве единственного “внешнего” адреса, а номер исходящего порта служит основой для мультиплексирования соединений).

Неправильная конфигурация системы NAT может привести к тому, что пакеты с частными адресами начнут проникать в Интернет. Они достигнут узла назначения, но ответные пакеты не смогут прийти обратно. Организация CAIDA (Cooperative Association for Интернет Data Analysis — совместная ассоциация по анализу данных в сети Интернет), занимающаяся замером трафика магистральных сетей, сообщает о том, что 0.1-0.2% пакетов, проходящих через магистраль, имеют либо частные адреса, либо неправильные контрольные суммы.

На первый взгляд, это кажется очень незначительным показателем, но на самом деле он приводит к тому, что через узел МАЕ-West (одна из основных точек обмена, через которую идет трафик различных провайдеров Интернет) каждые 10 минут проходит более 20000 «лишних» пакетов.

Дополнительную информацию по статистике сети Интернет и средствам измерения производительности глобальной сети можно получить на Web-узле www_caida_org.

Особенностью системы NAT, которую можно рассматривать и как недостаток, и как преимущество, является то, что произвольный узел в сети Интернет не может напрямую подключиться к внутреннему компьютеру вашей организации.

В некоторых реализациях (например, в брандмауэрах Cisco PIX) разрешается создавать туннели, которые поддерживают прямые соединения с выбранными узлами.

Другая проблема заключается в том, что некоторые приложения встраивают IP-адреса в информационную часть пакетов. Такие приложения (к ним относятся определенные протоколы маршрутизации, программы потоковой доставки данных RealVideo и SHOUTcast, FTP-команды PORT и PASV, сообщения ICQ и многие игры) не могут нормально работать совместно с NAT.

Система NAT скрывает внутреннюю структуру сети. Это может показаться достоинствам с точки зрения безопасности, но специалисты в данной области говорят, что на самом деле система NAT не обеспечивает должную безопасность и уж во всяком случае не устраняет потребность в брандмауэре. Кроме того, она препятствует попыткам оценить размеры и топологию сети Интернет.