Трансляция сетевых адресов и портов

Пусть некоторая организация имеет частную IP-сеть и глобальную связь с поставщиком услуг Интернета. Внешнему интерфейсу пограничного маршрутизатора R2 назначен глобальный адрес, а остальным узлам сети организации назначены частные адреса. NAPT позволяет всем узлам внутренней сети одновременно взаимодействовать с внешними сетями, используя единственный зарегистрированный IP-адрес. Возникает законный во­прос, каким образом внешние пакеты, поступающие в ответ на запросы из частной сети, находят узел-отправитель, ведь в поле адреса источника всех пакетов, отправляющихся во внешнюю сеть, помещается один и тот же адрес — адрес внешнего интерфейса погра­ничного маршрутизатора?

Для однозначной идентификации узла отправителя привлекается дополнительная ин­формация. Если в IP-пакете находятся данные протокола UDP или TCP, то в качестве такой информации выступают номер UDP- или TCP-порта соответственно. Но и это не вносит полной ясности, поскольку из внутренней сети может исходить несколько запро­сов с совпадающими номерами портов отправителя, а значит, опять возникает вопрос

об однозначности отображения единственного глобального адреса на набор внутренних адресов. Решение состоит в том, что при прохождении пакета из внутренней во внешнюю сеть каждой паре {внутренний частный адрес; номер TCP- или UDP-порта отправителя} ставится в соответствие пара {глобальный IP-адрес внешнего интерфейса; назначенный номер TCP- или UDP-порта}. Назначенный номер порта выбирается произвольно, однако должно быть выполнено условие его уникальности в пределах всех узлов, получающих выход во внешнюю сеть. Соответствие фиксируется в таблице.

Эта модель при наличии единственного зарегистрированного IP-адреса, полученного от поставщика услуг, удовлетворяет требованиям по доступу к внешним сетям большинства сетей средних размеров.

На рис. 18.9 приведен пример, когда в тупиковой сети А используются внутренние адреса из блока 10.0.0.0. Внешнему интерфейсу маршрутизатора этой сети поставщиком услуг назначен адрес 181.230.25.1.

Рис. 18.9. Трансляция сетевых адресов и портов для исходящих TCP- и UDP-сеансов

 

Когда хост 10.0.1.4 внутренней сети посылает во внешнюю сеть пакет серверу telnet, то он в качестве адреса назначения использует его глобальный адрес 136.56.28.8. Пакет поступает маршрутизатору R1, который знает, что путь к сети 136.56.0.0/16 идет через пограничный маршрутизатор R2. Модуль NAPT маршрутизатора R2 транслирует адрес 10.0.1.4 и порт TCP 1245 источника в глобально уникальный адрес 181.230.25.1 и уникально назначенный TCP-порт, в приведенном примере — 3451. В таком виде пакет отправляется во внешнюю сеть и достигает сервера telnet. Когда получатель генерирует ответное сообщение, то он в качестве адреса назначения указывает единственный зарегистрированный глобальный адрес внутренней сети, являющийся адресом внешнего интерфейса NAPT-устройства. В поле номера порта получателя сервер помещает назначенный номер TCP-порта, взятый из поля порта отправителя пришедшего пакета. При поступлении ответного пакета на

NAPT-устройство внутренней сети именно по номеру порта в таблице трансляции вы­бирается нужная строка. По ней определяется внутренний IP-адрес соответствующего узла и действительный номер порта. Эта процедура трансляции полностью прозрачна для конечных узлов.

ВНИМАНИЕ

Заметьте, что в таблице имеется еще одна запись с номером порта 1245, такая ситуация вполне воз­можна: операционные системы на разных компьютерах независимо присваивают номера портов кли­ентским программам. Именно для разрешения такой неоднозначности и привлекаются уникальные назначенные номера портов.

В технологии NAPT разрешаются только исходящие из частной сети TCP- и UDP-сеансы. Однако возникают ситуации, когда нужно обеспечить доступ к некоторому узлу внутрен­ней сети извне. В простейшем случае, когда служба зарегистрирована, то есть ей присвоен хорошо известный номер порта (например, WWW или DNS), и, кроме того, эта служба представлена во внутренней сети в единственном экземпляре, задача решается достаточно просто. Служба и узел, на котором она работает, однозначно определяются хорошо извест­ным зарегистрированным номером порта службы.

Завершая рассмотрение технологии NAT, заметим, что помимо традиционной технологии NAT существуют и другие ее варианты, например технология двойной трансляции сете­вых адресов, когда модифицируются оба адреса — и источника, и приемника (в отличие от традиционной технологии NAT, когда модифицируется только один адрес). Двойная трансляция сетевых адресов необходима, когда частные и внешние адресные простран­ства имеют коллизии. Наиболее часто это происходит, когда внутренний домен имеет некорректно назначенные публичные адреса, которые принадлежат другой организации. Подобная ситуация может возникнуть из-за того, что сеть организации была изначально изолированной и адреса назначались произвольно, причем из глобального пространства. Или же такая коллизия может быть следствием смены поставщика услуг, причем органи­зация хотела бы сохранить старые адреса для узлов внутренней сети.

Групповое вещание

Групповое вещание, то есть доставка данных из одного источника сразу нескольким получателям, давно доказала свою полезность и необходимость в мире коммуникаций. Применяемая ранее только в радио и телевизионных сетях, в последние годы технология группового вещания все шире внедряется в компьютерные сети. В условиях, когда ком­пьютерные сети постепенно становятся средством для передачи практически всех видов информации, без реализации направленного широковещания в них не обойтись.

Поэтому технологии группового вещания являются сегодня предметом интенсивного изучения в исследовательском сетевом сообществе. Ведущие производители сетевого оборудования и программных средств стремятся встроить поддержку группового вещания в свои продукты — маршрутизаторы, коммутаторы, операционные системы.

Наиболее актуальна проблема реализации группового вещания в Интернете. Из-за своей популярности и доступности Интернет представляет собой идеальную среду для массового распространения по подписке мультимедийной информации — аудиозаписей, видеофиль­мов, информационных дайджестов и т. п. Приложения, реализующие такого рода услуги, требуют наличия механизма доставки одной и той же информации определенному кругу абонентов сети. В связи с этим технология группового вещания имеет очень хорошие перспективы, и уже сейчас некоторые провайдеры предлагают такие услуги своим кли­ентам.

Концепция группового вещания (multicast) нашла свое воплощение в ряде спецификаций протоколов группового взаимодействия в Интернете. В 1992 году появилась эксперимен­тальная магистраль MBone которая объединила 20 сетей через Интернет. С помощью этой магистрали была проведена первая аудиоконференция, которая позволила группе, образованной из членов IETF по всему миру, слышать то, что говорилось на собрании IETF в Сан-Диего.