Раутінг у безкласовому середовищі.

Рис. 3.17 ілюструє оголошення раутінгу для організації A з попереднього прикладу.

Рис. 3.17. Оголошення раутінгу для організації A.

Оскільки маршрути організації A є частиною адресного блоку ISP №1, то вони посередньо агрегуються через агреговане оголошення ISP № 1 до Internet. Іншими словами, вісім мереж, виділених організації A, невидимі за одним оголошенням раутінгу. Використовуючи алгоритм найдовшого узгодження, раутери Internet можуть маршрутувати трафік, призначений для станції 200.25.17.25, до ISP №1, який, у свою чергу, маршрутує трафік до організації A.

Тепер приймемо, що організація A з певних міркувань вирішила змінити свого надавача послуг на ISP № 2. Це показано на рис. 3.18.

З точки зору збереження обсягу таблиць раутінгу найкраще було б, щоб організація A отримала блок адрес від ISP №2 і здійснила перенумерацію. Це дозволило б восьми мережам організації A бути невидимими за агрегованим оголошенням раутінгу від ISP #2. Однак перенумерація вимагає багато роботи і може бути складною, якщо не неможливою для організації A. Тому для організації A вигідніше зберегти свій наявний адресний простір і дати ISP №2 оголосити, як виняток, більш точний маршрут до Internet. Винятковий маршрут дозволяє висилати весь трафік для 200.25.90.0/16 до ISP №1, за винятком трафіку до 200.25.16.0/21. Це здійснюється так, що ISP №2 оголошує, крім власного блоку 199.30.0.0/16, ще маршрут до 200.25.16.0/21 (див. рис.). Використовуючи алгоритм найдовшого узгодження, раутери Internet можуть маршрутувати трафік, адресований станції 200.25.17.25, до ISP №2, який тоді пересилає трафік до організації A. Звичайно, що впровадження великої кількості виняткових маршрутів зменшує ефективність впровадження CIDR і може привести до поновного швидкого зростання обсягу таблиць раутінгу.

Рис. 3.18. Організація A змінює надавача послуг на ISP №2.

Трансляція мережевих адрес

Використання трансляції мережевих адрес визначене документом RFC 1631. NAT працює на рівні раутера як агент між внутрішньою (локальною) і зовнішньою (глобальною) мережами і допомагає зберігати адресний простір, оскільки принципово потрібна лише одна унікальна IP-адреса, щоб репрезентувати цілу групу станцій. NAT часто використовується зі спеціальною групою приватних IP-адрес (див. табл. 3.4), однак може працювати з довільною схемою адресації IP. В основному NAT здійснює трансляцію (відображення) IP-адрес, встановлюючи їх відповідність одна одній (так звана схема 1®1) або відповідність багатьох адрес одній (схема n®1). Відображення внутрішньої (локальної) IP-адреси на зовнішню (глобальну) адресу означає, що внутрішня IP-адреса замінюється відповідною зовнішньою і навпаки.

Внутрішня мережа – це звичайно локальна мережа організації (LAN), яку прийнято називати доменом-відгалуженням (stub domain). Організація має блок IP-адрес від свого надавача послуг Internet (ISP). Цей блок містить зареєстровані в IANA унікальні IP-адреси, які прийнято називати внутрішніми глобальними адресами (inside global address - IG). Внутрішні глобальні адреси використовуються окремими станціями з домену-відгалуження, які систематично комунікуються з зовнішніми мережами, і не потребують трансляції адрес. Станції, які мають незареєстровані IP-адреси, обов’язково мусять застосовувати NAT для комунікації з зовнішнім світом. Ці незареєстровані (приватні) IP-адреси ділять на дві групи. Менша група – зовнішні локальні адреси (outside local address - OL) використовується раутером NAT. Друга, значно більша група, відома як внутрішні локальні адреси (inside local address - IL) використовується тільки всередині домену-відгалуження. Більшість станцій в домені-відгалуженні комунікуються між собою з використанням внутрішніх локальних адрес. Зовнішні локальні адреси застосовуються для трансляції зареєстрованих унікальних IP-адрес, тобто зовнішніх глобальних адрес (outside global address - OG) пристроїв зовнішньої (глобальної) мережі.

q Внутрішня локальна адреса (Inside Local – IL) – IP-адреса, призначена станції, розміщеній у внутрішній мережі. Такі адреси можуть бути глобально унікальними, виділеними з приватного адресного простору, визначеного RFC 1918, або можуть бути офіційно виділені деякій іншій організації.

q Внутрішня глобальна адреса (Inside Global – IG) – IP-адреса внутрішньої станції, якою вона виявляється назовні. Такі адреси також можуть бути виділені з приватного адресного простору, визначеного RFC 1918, або можуть бути офіційно виділені іншій організації, або бути виділеними з глобально-унікального адресного простору, що звичайно забезпечують ISP (якщо організація під’єднана до Internet.

q Зовнішня локальна адреса (Outside Local - OL) – IP-адреса зовнішньої станції, якою вона виявляється у внутрішній мережі. Ці адреси (за побажанням) можуть бути виділені з приватного адресного простору RFC 1918.

q Зовнішня глобальна адреса (Outside Global – OG) – IP-адреса, призначена станції, розташованій у зовнішній мережі.

NAT може бути сконфігурована різним чином. Для зрозуміння суті трансляції мережевих адрес розглянемо типову ситуацію використання різних IP-адрес в локальній мережі одної організації, коли раутер NAT сконфігурований для трансляції незареєстрованих (внутрішніх) IP-адрес у зареєстровані (зовнішні) IP-адреси.

q Якщо станція з домену-відгалуження має внутрішню локальну IP-адресу і потребує комунікуватися з зовнішніми мережами, то пакет висилається до раутера NAT.

q Раутер NAT перевіряє свою таблицю раутінгу для встановлення наявності входу для адреси призначення. Якщо такий вхід наявний, то раутер транслює адресу пакету і створює вхід для неї в таблиці трансляції адрес. Якщо адреса призначення відсутня в таблиці раутінгу, то пакет знищується.

q Раутер висилає пакет до призначення, вживаючи внутрішню глобальну адресу.

q Якщо станція з публічної мережі висилає пакет до приватної мережі, то адреса джерела – це зовнішня глобальна адреса, а адреса призначення – внутрішня глобальна адреса станції-призначення в домені-відгалуженні.

q Отримавши такий пакет, раутер NAT визначає наявність цієї внутрішньої глобальної адреси в таблиці трансляції адрес.

q Раутер транслює внутрішню глобальну адресу пакету у внутрішню локальну адресу станції-призначення і висилає пакет до цієї станції.

Трансляція мережевих адрес включає такі кроки:

q IP-адреса в заголовку IP-пакету замінюється новою внутрішньою або зовнішньою адресою. Номер порта в заголовку пакету TCP або UDP замінюється новим портом, якщо потрібна трансляція номерів портів.

q Контрольна сума IP-пакету перераховується і контролюється на цілісність.

q Контрольна сума заголовка TCP також перераховується, оскільки вона обчислюється з використанням нової внутрішньої або зовнішньої IP-адреси, нового номера порта (якщо він використовується) і корисного навантаження (при його наявності).

Існують два типи NAT – статична і динамічна. Вони можуть застосовуватися сумісно. Якщо використосується TCP або UDP, то NAT може також здійснювати трансляцію номерів портів (PAT) і ця трансляція також може відбуватися статично або динамічно.

Статична NAT.

Статична NATвизначає статично сконфігуровану (фіксовану) трансляцію внутрішніх локальних і глобальних адрес з відповідністю 1®1. На рис. 3.19 показано приклад статичної трансляції внутрішніх локальних адрес 10.1.1.13 і 10.1.1.27 у внутрішні глобальні адреси 206.245.160.13 та 206.245.160.27 відповідно. Ситуація, показана на рисунку, відповідає висиланню пакету від клієнта, визначеного парою <IP-адреса: порт>, до сервера, визначеного іншою парою <IP-адреса: порт>; наприклад, клієнт 10.1.1.13:1108 пересилає пакет до FTP-сервера 207.135.89.111:21, а клієнт 10.1.1.27:1101 – до Web-сервера 207.135.89.15:80. З боку зовнішнього середовища клієнти мають адреси джерела, замінені відповідно до таблиці статичної трансляції. Відзначимо, що як внутрішня, так і зовнішня мережі мають мережевий префікс /24, і перетворюється лише мережева частина адреси, а номер станції залишається незмінним.

Рис. 3.19. Приклад статичної NAT.

За особливих обставин статична NAT, яку тоді також називають вхідним відображенням (inbound mapping) може дозволити зовнішнім пристроям зініціювати сполучення зі станцією в домені-відгалуженні. Наприклад, якщо потрібно перейти від внутрішніх глобальних адрес до визначених внутрішніх локальних адрес, які призначені Web-серверу домену-відгалуження, то статична NAT може забезпечити сполучення.

Динамічна NAT.

Динамічна NAT здійснює трансляцію з пулу внутрішніх локальних IP-адрес у пул внутрішніх глобальних IP-адрес, якщо це потрібно. Обидва пули адрес повинні бути визначені користувачем. Призначення адрес здійснюється раутером, оснащеним NAT, автоматично, динамічно будуючи таблицю NAT. Сполученням, ініційованим станціями з приватної мережі, призначаються публічні адреси з відповідного пулу. Користувач не має впливу на те, яка IP-адреса підібрана з адресного пулу. Доки приватна станція має вихідне сполучення, вона може бути досягнена вхідним пакетом, висланим за цією публічною адресою. Коли сполучення завершене, пов’язання адрес припиняється і адреса повертається до пулу для подальшого використання. Щоб пришвидшити конфігурування, можна відображати діапазон IP-адрес. На рис. 3.20 показано приклад динамічної NAT між локальним і віддаленим адресними пулами.

Рис. 3.20. Приклад динамічної NAT між локальним і віддаленим адресними пулами.

Динамічна NAT працює таким чином.

q Внутрішня мережа (домен-відгалуження) має незареєстровані IP-адреси, які не маршрутуються у зовнішньому середовищі, оскільки вони не є унікальними.

q Організація має раутер, оснащений NAT. Цей раутер має блок унікальних IP-адрес, зареєстрованих IANA.

q Станція у домені-відгалуженні потребує з’єднатися зі станцією зовні мережі організації, наприклад, з віддаленим Web-сервером.

q Раутер приймає пакет від станції в домені-відгалуженні.

q Раутер зберігає немаршрутовану IP-адресу станції-надавача в таблиці трансляції IP-адрес і замінює цю адресу першою наявною IP-адресою з блоку унікальних IP-адрес. Таблиця трансляції адрес тепер відображає немаршрутовану IP-адресу на узгоджену унікальну IP-адресу.

q Коли пакет-відповідь повертається від станції-призначення, раутер перевіряє адресу призначення в пакеті та контролює наявність такої адреси в таблиці трансляції адрес, щоб встановити, чи пакет адресований до станції в домені-відгалуженні. Далі раутер замінює адресу призначення в пакеті на відповідну адресу, яка зберігається в цій таблиці, і висилає пакет до станції. Якщо адреса призначення відсутня в таблиці, то пакет знищується.

Динамічна NAT більш складна, бо стани повинні обслуговуватися і сполучення повинне були вилучене, коли пул вичерпано і вільних адрес немає. Але, на відміну від статичної NAT, динамічна NAT дозволяє повторне використання адрес, зменшуючи потребу в легально зареєстрованих публічних адресах. Впровадження динамічної NAT автоматично створює “пожежну стінку” (firewall) між внутрішньоюмережею організації та зовнішніми мережами. NAT дозволяє тільки сполучення, ініційовані зсередини домену-відгалуження. Це означає, що станція зі зовнішньої мережі не може з’єднатися зі станцією у внутрішній мережі якщо остання не зініціювала сполучення. Користувачі з домену-відгалуження можуть мати доступ до зовнішніх Web-серверів і отрмувати файли, наприклад, з допомогою FTP, однак будь-хто зовні не може отримати IP-адресу станції з домену-відгалуження і використати її для сполучення.