Трансляция адресов

Переадресация портов

Транслятор адресов NAT повышает информационную безопасность, поскольку запрещает доступ из Интернета к узлам внутренней сети, в том числе к серверам. Однако в ряде случаев такой доступ необходим. Технология переадресации порта (порт продвижения - Port forwarding) позволяет клиентам из внешней сети получать доступ к узлам (серверам) во внутренней сети через специального сконфигурированный транслятор адресов NAT. На рис. 9.8 приведен пример фрагмента сети, позволяющей пояснить принцип действия переадресации порта.

Рис. 9.8. Принцип действия переадресации порта

Для того, чтобы клиент из внешней сети, например 200.5.5.15, получил доступ к находящемуся во внутренней локальной сети веб серверу 192.168.10.11 с номером порта 80, на маршрутизаторе R-A необходимо сделать статическую переадресацию порта по команде:

R-A(config)#ip nat inside source static tcp 192.168.10.11 80 200.5.5.1 8008
    

Также как во всех предыдущих примерах, на маршрутизаторе R-A необходимо сконфигурировать внутренний и внешний интерфейсы.

Получив пакет с адресом назначения 200.5.5.1:8008, маршрутизатор обращается к таблице транслятора NAT, находит соответствующую строку и перенаправляет пакет по адресу 192.168.10.11:80. То есть, клиент (200.5.5.15) получает доступ к серверу во внутренней сети через глобальный адрес 200.5.5.1 интерфейса S1/1 маршрутизатора R-A с номером порта 8008. При ответе на запрос транслятор NAT маршрутизатора выполняет обратные преобразования.

Трансляция адресов в сетях IPv6

Протокол IPv6 обеспечивает адресацию узлов, поэтому проблема дефицита адресов и необходимости транслятора NAT отсутствует. Однако на период перехода от сетей IPv4 к сетям IPv6 наряду с технологией двойного стека и туннелированием используется технология трансляции адресов NAT64 ( рис. 9.9).

Рис. 9.9. Транслятор NAT64

Транслятор NAT64 конфигурируется статически или динамически на маршрутизаторе R-A. При этом формируются соответствующие пары адресов IPv6 и IPv4, что обеспечивает перевод адресов IPv6 в IPv4 и обратно. Поскольку адресов IPv6 во много раз больше IPv4, то реализовать симметричный перевод невозможно. Статические трансляторы NAT64 рекомендуется использовать для известных серверов IPv4. Для клиентов IPv6 может быть использована автоматическая трансляция адресов.

Уникальные локальные адреса IPv6

Уникальные локальные адреса IPv6 (Unique Local Addresses - ULA) диапазона FC00 - FDFF выделены документом RFC 4193 для взаимодействия узлов в пределах некоторой локальной сети. В этом отношении ULA похожи на частные адреса RFC 1918 сетей IPv4. Однако, если частные адреса RFC 1918 и трансляторы NAT, PAT создавались для экономии адресов IPv4 и, попутно, для повышения уровня безопасности, то ULA таких целей не преследуют. Уникальные локальные адреса не зависят от провайдера и полностью определяются администратором.