Учебник для вузов в. Олифер Н. Олифер Компьютерные Принципы, технологии, протоколы

Трансляция сетевых адресов
617
случае определяется положением инициатора: если обмен данными инициируется прило­
жением, работающем на узле внутренней сети, то сеанс называется исходящим несмотря на то, что в его рамках в сеть могут поступать данные извне1.
Идея технологии NAT состоит в следующем. Пусть сеть предприятия образует тупико­
вый домен, узлам которого присвоены частные адреса (рис. 18.7). На маршрутизаторе, связывающем сеть предприятия с внешней сетью, установлено программное обеспечение
NAT. Это NAT-устройство динамически отображает набор частных адресов {IP*} на набор глобальных адресов {IP}, полученных предприятием от поставщика услуг и присвоенных внешнему интерфейсу маршрутизатора предприятия.
Внутренняя сеть
Важным для работы NAT-устройства является правило распространения маршрутных объявлений через границы частных сетей. Объявления протоколов маршрутизации о внешних сетях «пропускаются» пограничными маршрутизаторами во внутренние сети и обрабатываются внутренними маршрутизаторами. Обратное утверждение неверно — маршрутизаторы внешних сетей не получают объявлений о внутренних сетях, объявления о них отфильтровываются при передаче на внешние интерфейсы. Поэтому внутренние маршрутизаторы «знают» маршруты ко всем внешним сетям, а внешним маршрутизаторам ничего не известно о существовании частных сетей.
Традиционная технология NAT подразделяется на технологии базовой трансляции сетевых адресов (Basic Network Address Translation, Basic NAT) и трансляции сетевых адресов и портов (Network Address Port Translation, NAPT). В технологии Basic NAT для отображения используются только ІР-адреса, а в технологии NAPT — еще и так на­
зываемые транспортные идентификаторы, в качестве которых чаще всего выступают
TCP- и UDP-порты.
1 Традиционная технология NAT в виде исключения допускает сеансы обратного направления, за­
ранее выполняя статическое взаимно однозначное отображение внутренних и внешних адресов для
некоторого ограниченного набора узлов.

618
Глава 18. Дополнительные функции маршрутизаторов ІР-сетей
Базовая трансляция сетевых адресов
Если количество локальных узлов, которым необходимо обеспечить выход во внешнюю сеть, меньше или равно имеющегося количества глобальных адресов, то для каждого частного адреса гарантировано однозначное отображение на глобальный адрес. В каждый момент времени количество внутренних узлов, которые получают возможность взаимо­
действовать с внешней сетью, ограничивается количеством адресов в глобальном наборе.
Понятно, что в такой ситуации целью трансляции является не столько решение проблемы дефицита адресов, сколько обеспечение безопасности.
Внутренняя сеть А
Сеть 10.0.2.0/24
Внутренняя сеть В
Таблица NAT-отображения
Частные
адреса
Глобальные
адреса
10.0.1.4
181.230.25.1
10.0.2.15
181.230.25.2
10.0.2.3
181.230.25.3
10
.
0
.
1.2
\
Сеть 10.0.1.0/24
185.127.125.2
185.127.125.3
185.127.125.4
Таблица NAT-отображения
Частные
адреса
Глобальные
адреса
10.0.1.1
185.127.125.2
10.0.1.2
185.127.125.3
10.0.1.4
185.127.125.4
Внешняя
сеть
Рис. 18.8. Базовая трансляция сетевых адресов для исходящих сеансов

Трансляция сетевых адресов
619
Частные адреса некоторых узлов могут отображаться на глобальные адреса статически.
К таким узлам можно обращаться извне, используя закрепленные за ними глобальные адреса. Соответствие внутренних адресов внешним задается таблицей, поддерживаемой маршрутизатором или другим устройством (например, брандмауэром), на котором уста­
новлено программное обеспечение NAT.
В нескольких тупиковых доменах могут быть совпадающие частные адреса. Например, в сетях А и В на рис. 18.8 для внутренней адресации применяется один и тот же блок адре­
сов 10.0.1.0/24. В то же время адреса внешних интерфейсов обеих сетей (181.230.25.1/24,
181.230.25.2/24 и 181.230.25.3/24 в сети А и 185.127.125.2/24, 185.127.125.3/24 и
185.127.125.4/24 в сети В) уникальны глобально, то есть никакие другие узлы в составной сети их не используют. В данном примере в каждой из сетей только три узла имеют возмож­
ность «выхода» за пределы сети своего предприятия. Статическое соответствие частных адресов этих узлов глобальным адресам задано в таблицах пограничных устройств обеих сетей.
Когда узел 10.0.1.4 сети А посылает пакет хосту 10.0.1.2 сети В, то он помещает в заголовок пакета в качестве адреса назначения глобальный адрес 185.127.125.3/24. Узел-источник направляет пакет своему маршрутизатору R1 по умолчанию, которому известен маршрут к сети 185.127.125.0/24. Маршрутизатор передает пакет на пограничный маршрутизатор
R2, которому также известен маршрут к сети 185.127.125.0/24. Перед отправкой пакета модуль NAT, работающий на данном пограничном маршрутизаторе, используя таблицу отображения, заменяет в поле адреса источника частный адрес 10.0.1.4 соответствующим ему глобальным адресом 181.230.25.1/24. Когда пакет после путешествия по внешней сети поступает на внешний интерфейс NAT-устройства сети В, глобальный адрес назначения
185.127.125.3/24 преобразуется в частный адрес 10.0.1.2. Пакеты, передаваемые в обратном направлении, проходят аналогичную процедуру трансляции адресов.
Заметим, что в описанной операции не требуется участия узлов отправителя и получателя, то есть она прозрачна для пользователей.
Трансляция сетевых адресов и портов
Пусть некоторая организация имеет частную IP-сеть и глобальную связь с поставщиком услуг Интернета. Внешнему интерфейсу пограничного маршрутизатора R2 назначен глобальный адрес, а остальным узлам сети организации назначены частные адреса. NAPT позволяет всем узлам внутренней сети одновременно взаимодействовать с внешними сетями, используя единственный зарегистрированный IP-адрес. Возникает законный во­
прос, каким образом внешние пакеты, поступающие в ответ на запросы из частной сети, находят узел-отправитель, ведь в поле адреса источника всех пакетов, отправляющихся во внешнюю сеть, помещается один и тот же адрес — адрес внешнего интерфейса погра­
ничного маршрутизатора?
Для однозначной идентификации узла отправителя привлекается дополнительная ин­
формация. Если в IP-пакете находятся данные протокола UDP или TCP, то в качестве такой информации выступают номер UDP- или TCP-порта соответственно. Но и это не вносит полной ясности, поскольку из внутренней сети может исходить несколько запро­
сов с совпадающими номерами портов отправителя, а значит, опять возникает вопрос об однозначности отображения единственного глобального адреса на набор внутренних адресов. Решение состоит в том, что при прохождении пакета из внутренней во внешнюю сеть каждой паре {внутренний частный адрес; номер TCP- или UDP-порта отправителя}

620
Глава 18. Дополнительные функции маршрутизаторов ІР-сетей ставится в соответствие пара {глобальный ІР-адрес внешнего интерфейса; назначенный номер TCP- или UDP-порта}. Назначенный номер порта выбирается произвольно, однако должно быть выполнено условие его уникальности в пределах всех узлов, получающих выход во внешнюю сеть. Соответствие фиксируется в таблице.
Эта модель при наличии единственного зарегистрированного IP-адреса, полученного от поставщика услуг, удовлетворяет требованиям по доступу к внешним сетям большинства сетей средних размеров.
На рис. 18.9 приведен пример, когда в тупиковой сети А используются внутренние адреса из блока 10.0.0.0. Внешнему интерфейсу маршрутизатора этой сети поставщиком услуг назначен адрес 181.230.25.1.
Внутренняя сеть
Частный
адрес
Порт
Глобальный
адрес
Назначенный
порт
10.0.1.4
1245
181.230.25.1
3451
10.0.2.15
1245
181.230.25.1
3452
10.0.2.3
1045
181.230.25.1
3455
Рис. 18.9.
Трансляция сетевых адресов и портов для исходящих TCP- и UDP-сеансов
Когда хост 10.0.1.4 внутренней сети посылает во внешнюю сеть пакет серверу telnet, то он в качестве адреса назначения использует его глобальный адрес 136.56.28.8. Пакет поступает маршрутизатору R1, который знает, что путь к сети 136.56.0.0/16 идет через пограничный маршрутизатор R2. Модуль NAPT маршрутизатора R2 транслирует адрес 10.0.1.4 и порт
TCP 1245 источника в глобально уникальный адрес 181.230.25.1 и уникально назначенный
TCP-порт, в приведенном примере — 3451. В таком виде пакет отправляется во внешнюю сеть и достигает сервера telnet. Когда получатель генерирует ответное сообщение, то он в качестве адреса назначения указывает единственный зарегистрированный глобальный адрес внутренней сети, являющийся адресом внешнего интерфейса NAPT-устройства.
В поле номера порта получателя сервер помещает назначенный номер TCP-порта, взятый из поля порта отправителя пришедшего пакета. При поступлении ответного пакета на

Групповое вещание
621
NAPT-устройство внутренней сети именно по номеру порта в таблице трансляции вы­
бирается нужная строка. По ней определяется внутренний IP-адрес соответствующего узла и действительный номер порта. Эта процедура трансляции полностью прозрачна для конечных узлов.
ВНИМАНИЕ-------------------------------------------------------------------------------------------------------------------
Заметьте, что в таблице имеется еще одна запись с номером порта 1245, такая ситуация вполне воз­
можна: операционные системы на разных компьютерах независимо присваивают номера портов кли­
ентским программам. Именно для разрешения такой неоднозначности и привлекаются уникальные
назначенные номера портов.
В технологии NAPT разрешаются только исходящие из частной сети TCP- и UDP-сеансы.
Однако возникают ситуации, когда нужно обеспечить доступ к некоторому узлу внутрен­
ней сети извне. В простейшем случае, когда служба зарегистрирована, то есть ей присвоен хорошо известный номер порта (например, WWW или DNS), и, кроме того, эта служба представлена во внутренней сети в единственном экземпляре, задача решается достаточно просто. Служба и узел, на котором она работает, однозначно определяются хорошо извест­
ным зарегистрированным номером порта службы.
Завершая рассмотрение технологии NAT, заметим, что помимо традиционной технологии
NAT существуют и другие ее варианты, например технология двойной трансляции сете­
вых адресов, когда модифицируются оба адреса — и источника, и приемника (в отличие от традиционной технологии NAT, когда модифицируется только один адрес). Двойная трансляция сетевых адресов необходима, когда частные и внешние адресные простран­
ства имеют коллизии. Наиболее часто это происходит, когда внутренний домен имеет некорректно назначенные публичные адреса, которые принадлежат другой организации.
Подобная ситуация может возникнуть из-за того, что сеть организации была изначально изолированной и адреса назначались произвольно, причем из глобального пространства.
Или же такая коллизия может быть следствием смены поставщика услуг, причем органи­
зация хотела бы сохранить старые адреса для узлов внутренней сети.
Групповое вещание
Групповое вещание, то есть доставка данных из одного источника сразу нескольким получателям, давно доказала свою полезность и необходимость в мире коммуникаций.
Применяемая ранее только в радио и телевизионных сетях, в последние годы технология группового вещания все шире внедряется в компьютерные сети. В условиях, когда ком­
пьютерные сети постепенно становятся средством для передачи практически всех видов информации, без реализации направленного широковещания в них не обойтись.
Поэтому технологии группового вещания являются сегодня предметом интенсивного изучения в исследовательском сетевом сообществе. Ведущие производители сетевого оборудования и программных средств стремятся встроить поддержку группового вещания в свои продукты — маршрутизаторы, коммутаторы, операционные системы.
Наиболее актуальна проблема реализации группового вещания в Интернете. Из-за своей популярности и доступности Интернет представляет собой идеальную среду для массового распространения по подписке мультимедийной информации — аудиозаписей, видеофиль­
мов, информационных дайджестов и т. п. Приложения, реализующие такого рода услуги,

622
Глава 18. Дополнительные функции маршрутизаторов ІР-сетей требуют наличия механизма доставки одной и той же информации определенному кругу абонентов сети. В связи с этим технология группового вещания имеет очень хорошие перспективы, и уже сейчас некоторые провайдеры предлагают такие услуги своим кли­
ентам.
Концепция группового вещания (multicast) нашла свое воплощение в ряде спецификаций протоколов группового взаимодействия в Интернете. В 1992 году появилась эксперимен­
тальная магистраль МВопе, которая объединила 20 сетей через Интернет. С помощью этой магистрали была проведена первая аудиоконференция, которая позволила группе, образованной из членов IETF по всему миру, слышать то, что говорилось на собрании
IETF в Сан-Диего.
Стандартная модель группового вещания IP
Основной целью группового вещания является создание эффективного механизма пере­
дачи данных от одного источника нескольким получателям. Для решения этой задачи могут использоваться несколько подходов, например индивидуальная рассылка, широко­
вещательная рассылка, привлечение сервисов прикладного уровня.
Узел, желающий
Узел, не желающий
получить пакет
получить пакет
Рис. 18.10. Групповая доставка на основе индивидуальных адресов
При индивидуальной рассылке (unicast) на основе уникальных адресов источник данных, которые надо доставить некоторой группе узлов, генерирует их в количестве экземпляров,

Групповое вещание
623
равном количеству узлов-получателей, состоящих в данной группе (рис. 18.10). То есть передача по принципу «один ко многим» сводится к нескольким передачам «один к одно­
му». Очевидно, что передача нескольких идентичных копий на участках, где маршруты к разным членам группы перекрываются (это особенно характерно для начальных участ­
ков), приводит к избыточному трафику.
При широковещательной рассылке (broadcast) станция направляет пакеты, используя широковещательные адреса (рис. 18.11). В этой схеме, для того чтобы доставить данные группе узлов-получателей, источник генерирует один экземпляр данных, но снабжает этот экземпляр широковещательным адресом, который диктует маршрутизаторам сети копировать эти данные и рассылать их всем конечным узлам независимо от того, «заин­
тересованы» узлы в получении этих данных или нет. В этом случае, как и в предыдущем, существенная доля трафика является избыточной.