Основы NAT: как работает преобразование сетевых адресов

В какой-то момент почти каждый сталкивался с ситуацией, когда к интернету нужно подключить не одно, а сразу несколько устройств — дома или в офисе. Смартфоны, ноутбуки, телевизоры, камеры, умные колонки и еще десятки других гаджетов. Но ведь провайдер обычно выдает всего один или два публичных IP-адреса, а устройств может быть гораздо больше.

В таких условиях важно найти способ, который даст возможность всем вашим устройствам свободно выходить в интернет. А если речь о крупной организации, задача усложняется еще больше: нужно не только обеспечить доступ в сеть для сотен сотрудников, но и позаботиться о безопасности, гибкости и масштабируемости.

В этой статье мы разберем основы одной из самых практичных и востребованных технологий для сетей любого масштаба — NAT.

Что такое NAT 

Network Address Translation (NAT), или преобразование сетевых адресов, — это технология, которая позволяет преобразовывать локальные IP-адреса внутренней сети в один или несколько глобальных IP-адресов и обратно. По сути, он работает как посредник между частной сетью и внешним интернетом: заменяет IP-адреса устройств внутри сети на один или несколько публичных IP-адресов, под которыми эти устройства становятся видны во внешней сети.

Кроме того, NAT осуществляет преобразование портов — то есть меняет номера портов в пакетах данных, что помогает однозначно сопоставлять исходящие и входящие соединения. Для этого он ведет специальную таблицу соответствий IP-адресов и номеров портов, которая позволяет правильно направлять ответы из интернета обратно к нужному устройству внутри локальной сети.

Как правило, NAT выполняется на маршрутизаторах или брандмауэрах и позволяет целой группе устройств использовать всего один внешний IP-адрес для выхода в интернет.

Зачем нужен NAT

Основная причина появления и массового использования NAT — ограниченность пула публичных IPv4-адресов. Для выхода в интернет каждому устройству нужен уникальный IP-адрес, однако свободных IPv4-адресов стало не хватать из-за роста числа устройств и пользователей.

Технология также обеспечивает дополнительный уровень безопасности. Интернет видит только публичный IP-адрес маршрутизатора, а внутренние адреса устройств остаются скрытыми, что усложняет несанкционированный доступ к ним извне.

В целом, NAT стал временным решением проблемы исчерпания IPv4-адресов до массового внедрения IPv6, который полностью устраняет эту проблему за счет значительно большего адресного пространства.

Таким образом, преобразование сетевых адресов выполняет две ключевые функции:

• сохраняет ограниченное количество публичных IP-адресов, позволяя множеству устройств использовать один или несколько глобальных адресов;
• улучшает безопасность сети, скрывая внутреннюю структуру и адреса устройств от внешнего мира.

Принцип работы NAT

В основе работы NAT лежит преобразование адресов на границе между внутренней (локальной) и внешней (глобальной) сетями. Как правило, NAT настраивается на edge-роутере, у которого есть один интерфейс в локальной сети и другой — в глобальной.

Как работает NAT:

1. Когда устройство из частной сети отправляет пакет во внешнюю сеть, маршрутизатор перехватывает этот пакет и подменяет его исходный IP-адрес на свой внешний. 
2. Если в сети используется так называемый PAT, дополнительно происходит преобразование номеров портов, чтобы различать пакеты от разных устройств за одним адресом. 
3. После этого пакет отправляется в интернет уже с измененным адресом.
4. Когда ответный пакет приходит обратно из внешней сети, маршрутизатор ищет соответствие во внутренней таблице NAT: на какой внутренний IP-адрес и порт нужно переслать этот ответ. 
5. Затем внешний IP-адрес в пакете снова заменяется на приватный, и данные доставляются нужному устройству внутри локальной сети. Весь этот процесс полностью прозрачен для внутренних и внешних устройств — они не замечают подмены.
6. Если пул доступных внешних IP-адресов, который настроен на маршрутизаторе, заканчивается (например, потому что слишком много устройств одновременно выходят в интернет), маршрутизатор не сможет выполнить преобразование для новых соединений. В этом случае такие пакеты будут отброшены, а отправителю вернется сообщение об ошибке через протокол ICMP — «host unreachable»).

Сценарии использования NAT

NAT широко используется как в домашних, так и в корпоративных сетях, а также на различных интернет-устройствах. 

Несколько типичных ситуаций, где его используют:

Домашние сети

В большинстве домашних роутеров NAT включен по умолчанию. Благодаря этому все устройства в квартире или доме — ноутбуки, смартфоны, телевизоры — могут выходить в интернет через один общий внешний IP-адрес. Для этого обычно используется уже знакомая нам технология PAT — каждому устройству выделяется отдельный порт.

Корпоративные сети

В крупных компаниях NAT помогает управлять большим количеством внутренних устройств, экономить публичные IP-адреса и контролировать безопасность. Кроме того, NAT упрощает объединение нескольких сетей, например, при слиянии компаний — с ним нет необходимости срочно менять все адреса.

Подключение частных сетей к интернету

С помощью NAT устройства с приватными IP-адресами спокойно выходят в интернет даже без собственного публичного адреса. Все происходит автоматически — пользователю не нужно ничего дополнительно настраивать.

Проброс портов для внутренних серверов

Если организация размещает внутри сети собственные сервисы — веб-сервер, FTP или VPN — с помощью динамического NAT (DNAT) можно открыть доступ к ним из интернета. Для этого на публичном IP настраивают проброс конкретных портов на внутренние IP-адреса серверов, сохраняя при этом безопасность всей локальной сети.

Типы NAT

Есть три основных типа NAT, которые различаются способом сопоставления внутренних и внешних IP-адресов:

Статический NAT (SNAT)

Это самый простой тип: один внутренний IP-адрес всегда сопоставляется с одним внешним по принципу «один к одному». Он подойдет, если нужно, чтобы определенное устройство из внутренней сети (например, веб-сервер) было постоянно доступно из интернета.

Но у такого подхода есть серьезный минус: для каждого устройства нужен отдельный публичный IP-адрес. А они стоят денег. Если у организации 1000 компьютеров — придется покупать 1000 внешних IP, что дорого и неэффективно. Поэтому статический NAT редко используют в больших сетях.

Динамический NAT (DNAT)

DNAT работает с пулом публичных IP-адресов. Когда внутреннее устройство инициирует соединение с интернетом, ему временно выделяется один из свободных внешних адресов. Связь между внутренним и внешним адресом сохраняется до окончания сессии, после чего адрес возвращается в пул. Если все внешние адреса заняты, новые соединения будут отклоняться. 

Это более гибкий вариант по сравнению со статическим NAT. Но здесь тоже есть ограничение: если все внешние адреса из пула заняты, новое подключение не сможет выйти в интернет — пакет будет отброшен. Получается, для динамического NAT тоже нужен большой пул внешних адресов, что дорого.

PAT

Самый популярный и экономичный вариант — Port Address Translation (PAT). Он позволяет преобразовывать множество частных IP-адресов в один (или несколько) публичных адресов за счет подмены не только IP-адреса, но и номеров портов. Чтобы отличать их трафик от разных внутренних устройств, используется информация о портах TCP/UDP. 

Поскольку одному IP-адресу может соответствовать более 65 тысяч портов, этот метод позволяет тысячам устройств выходить в интернет одновременно через один внешний адрес. Благодаря этому PAT используется в большинстве домашних и корпоративных маршрутизаторов.

Преимущества NAT

• Экономия IP-адресов. Публичных IP-адресов в IPv4 очень ограниченное количество — около 4,3 миллиарда, и большая часть уже занята. NAT позволяет использовать один внешний IP для множества устройств внутри локальной сети. Это существенно снижает потребность в покупке дополнительных публичных адресов и помогает обойти проблему их нехватки.
• Повышенная безопасность. С помощью NAT внутренние адреса устройств скрываются от внешнего мира — в интернете виден только публичный IP маршрутизатора. Он защищает компьютеры в сети от прямых атак и делает их менее заметными для злоумышленников.
• Гибкость в управлении сетью. С NAT можно подключать новые устройства к сети, не меняя внешний IP и не перенастраивая доступ в интернет. С ним администрирование сети становится проще, а изменения в структуре сети — менее болезненными.
• Снижение затрат. Поскольку для подключения множества устройств не нужен отдельный публичный адрес на каждое из них, компании и обычные пользователи экономят деньги на приобретении и аренде IP-адресов.
• Упрощенное администрирование. Меньшее количество публичных адресов и прозрачное скрытие внутренней сети облегчают контроль и управление сетью.
• Дополнительные возможности. NAT хорошо сочетается с другими технологиями, например с динамическим DNS, что помогает легко менять настройки сети. Также NAT поддерживает подключение к нескольким интернет-провайдерам одновременно, благодаря чему связь становится более надежной.

Недостатки NAT

• Замедление работы сети. Преобразование адресов и портов занимает время для каждого передаваемого пакета. Из-за этого может появляться небольшая задержка и скорость работы сети иногда становится чуть ниже, особенно когда через NAT проходит много данных.
• Проблемы с некоторыми приложениями и протоколами. Не все программы и сетевые протоколы хорошо работают с NAT. Например, SIP или FTP могут работать с перебоями из-за особенностей обработки адресов и портов. Иногда, чтобы все заработало нормально, приходится дополнительно настраивать сеть.
• Усложнение сетевой конфигурации. В больших сетях NAT может добавить хлопот: его настройка и обслуживание требуют времени и хорошего понимания сетевых принципов — в особенности если в сети много разных сервисов или подключено несколько провайдеров.
• Проблемы с туннелированием и шифрованием. NAT может мешать работе VPN и туннелирующих протоколов, например IPsec. Дело в том, что для туннелирования требуется точное соответствие IP и портов, а NAT может изменять эти значения. Из-за этого некоторые защищенные соединения могут работать нестабильно.

Заключение

Network Address Translation (NAT) давно стал неотъемлемой частью современной сетевой инфраструктуры. С помощью него можно подключать десятки и сотни устройств к интернету через один публичный IP-адрес.

Технология NAT не только экономит ресурсы, но и повышает уровень безопасности: скрывает внутренние IP-адреса от внешних пользователей, ограничивает нежелательный трафик и упрощает администрирование. Конечно, у NAT есть и свои недостатки — возможные задержки, сложности с некоторыми протоколами и дополнительная нагрузка на маршрутизатор. Однако в большинстве случаев плюсы заметно перевешивают минусы.

Понимание принципов работы NAT, его типов и сценариев использования помогает не только грамотно настраивать сеть, но и избегать проблем при подключении устройств, запуске серверов и обеспечении безопасности. Даже если вы не сетевой инженер, базовые знания о NAT окажутся полезными — как минимум, чтобы понимать, как ваш домашний или офисный роутер обеспечивает стабильную связь с внешним миром.