Network Address Translation

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש
סוגים שונים של NAT
One-to-one NAT
restricted cone NAT
Port Restricted Cone NAT
Symmetric NAT

Network Address Translationראשי תיבות: NAT; בתרגום חופשי: שיחזור כתובת רשת) היא טכניקת ניתוב ברשת מחשבים, בה נכתבות מחדש כתובות ה-IP של מנות המידע (packets) שעוברות בנתב או בחומת אש. הטכניקה מאוד יעילה ונמצאת בשימוש נרחב, ונתבים אישיים מודרניים לרוב מבצעים NAT כחלק מהפונקציות הבסיסיות של המכשיר.

וזה אומר שהכתובת IP שתצא משימוש תחזור אל מאגר הכתובות ותינתן למחשב אחר בשעת הצורך.

NAT בשימוש הנפוץ[עריכת קוד מקור | עריכה]

היישום הנפוץ ביותר של NAT כיום הוא חיבור מחשבים רבים לרשת האינטרנט באמצעות כתובת IP אחת בלבד. יישום זה שימושי לשם חיבור לאינטרנט של רשת בעלת יותר ממחשב אחד, באמצעות חשבון אחד של חיוג או חיבור מהיר לאינטרנט. לצורך ביצוע NAT כזה, נותנים כתובות IP פרטיות למחשבים ברשת. הנתב שמתחבר לאינטרנט גם מקבל מהחיבור כתובת IP חוקית ציבורית אחת. אותו נתב בדרך כלל גם יבצע את הניתוב עם NAT, ועל כן יקרא שער הגישה של הרשת הפנימית אל רשת האינטרנט. הניתוב מתבצע באופן הבא:

  1. כאשר מתקבלת מנת מידע מהרשת הפנימית, המיועדת לרשת האינטרנט:
    • כתובת המקור של מנת המידע מתורגמת כאילו שהמנה נשלחה מהנתב עצמו לאינטרנט
    • מנת המידע מנותבת מהרשת הפנימית אל חיבור האינטרנט בצירוף מס' פורט של המנה
  2. כאשר מתקבלת מנת מידע מהאינטרנט אשר מיועדת לאחד ממחשבי הרשת הפנימית:
    • כתובת היעד מתורגמת כאילו מנת המידע נשלחה אל המחשב המתאים עם הכתובת הפנימית
    • מנת המידע מנותבת מחיבור האינטרנט אל החיבור של הרשת הפנימית בצירוף מס' הפורט שאיתו יצאה המנה מהרשת הפנימית

אבטחה, NAT, וגרסה 6 של פרוטוקול IP[עריכת קוד מקור | עריכה]

טכניקת NAT הפכה פופולרית בעקבות המחסור בכתובות IP בגרסה 4. מסיבות היסטוריות, למדינות מחוץ לארצות הברית הוקצו בלוקים מעטים יותר של כתובות IP, ולכן במדינות אלו NAT נפוץ יותר.

למחשבים שנמצאים "מאחורי" שער גישה מסוג NAT, אין קשר קצה לקצה ישיר ולכן מפעיליהם נתקלים בבעיה להשתמש בחלק מפרוטוקולי האינטרנט. NAT נחשבת בעיני רבים כטכניקה הפוגעת באינטרנט, מאחר שקשר קצה לקצה הוא עקרון יסוד של אינטרנט אשר גופי התקינה הרשמיים תומכים בו ומנסים לפעול לחיזוקו. ספקיות אינטרנט רבות בעולם (בעיקר באירופה ואסיה) מספקות שירותי NAT בלבד, ולאחרונה התחיל דיון ציבורי בשאלה אם הן מספקות שירותי אינטרנט בכלל.

טכניקת NAT מעניקה כמה יתרונות של אבטחת מידע, ולכן היא נמצאת בשימוש רב בחומות אש. מצד שני, הטכניקה מסבכת את היישום של פרוטוקולי אבטחת מידע כדוגמת IPSec. פרוטוקול IP בגרסה 6 פותר את בעיית המחסור בכתובות של גרסה 4, וגם כולל בתוכו את הפונקציונליות של IPSec. לכן גרסה 6 של IP נחשבת אחד הפתרונות היותר טובים לפריסה נרחבת של הרבה מכשירים ברשת כדוגמת רשת טלפוניה סלולרית, אולם סביר להניח שיקח עוד זמן עד ליישום פרוטוקול זה בסביבה כזו.

NAT בסיסי, לעומת תרגום מספרי שער[עריכת קוד מקור | עריכה]

נהוג להבדיל בין שני סוגי NAT כלליים. הסוג הראשון שבדרך כלל נקרא NAT או NAPT מתייחס לתרגום כתובות המלווה בתרגום מספרי שער (port numbers). טכניקה זו מאפשרת, לדוגמה, לחבר מספר גדול של מחשבים לרשת האינטרנט באמצעות כתובת IP ציבורית אחת. הסוג השני נקרא לפעמים NAT בסיסי (Basic NAT), או NAT קבוע (Static NAT), מתייחס לתרגום כתובת ה-IP בלבד, ולכן דורש כתובת ציבורית אחת עבור כל חיבור. טכניקה זו נמצאת בשימוש בעיקר בנתבי ADSL, לפעמים תחת השם "אזור מפורז" (DMZ), והיא מאפשרת למחשב לקבל כל חיבור חיצוני על אף שכתובת ה-IP נמצאת בשימוש על ידי הנתב עצמו. NAT שכולל תרגום מספרי שער גם הוא נבדל לשני סוגים: תרגום כתובת מקור (SNAT), והמקבילה ההפוכה, תרגום כתובת יעד (DNAT).

"התחזות" כתובת IP[עריכת קוד מקור | עריכה]

מקרה פרטי של NAT נקרא "התחזות" (Masquerading), והוא מאפשר למחשבים רבים לשתף חיבור אינטרנט בצורה שקופה יחסית, כאשר מנקודת מבטו של כל מחשב ברשת הפנימית, נראה המחשב שמבצע NAT כמו כל נתב אחר ברשת האינטרנט. כאשר הנתב ה"מתחזה" מנתב חיבורי רשת יוצאים לאינטרנט, הוא משכתב את כתובת המקור של מנות המידע באופן שקוף, עם הכתובת הציבורית שלו. כמו כן הנתב זוכר מידע בסיסי לגבי החיבור הזה בין המחשב הפנימי למחשב המרוחק. אז מנת המידע יוצאת אל רשת האינטרנט ואל מחשב היעד כאילו נשלחה מהנתב עצמו. כאשר מגיעה מנת מידע עם תגובה בחזרה אל הנתב, הוא מחפש את המידע שנזכר כדי להחליט לאיזה מחשב ברשת הפנימית לשלוח את המנה. לאחר מכן הוא משכתב את כתובת היעד של מנת המידע עם הכתובת של המחשב הפנימי, ושולח אותה אל הרשת הפנימית.

יתרונות וחסרונות[עריכת קוד מקור | עריכה]

היתרונות של NAT הם משמעותיים. האפשרות לחבר מחשבים רבים לאינטרנט באמצעות חיבור אחד חוסכת הרבה כסף לארגונים וחברות, וגם חוסכת בכתובות אינטרנט. יתרון נוסף הוא בכך שניתן להסתיר את מבנה הרשת הפנימית מפני אנשים מבחוץ כגון האקרים או ספקית האינטרנט.

אחד החסרונות העיקריים הוא הקושי בשימוש בשירותים הדורשים יזימת חיבור TCP מהרשת החיצונית אל תוך הרשת הפנימית, או פרוטוקולים ללא-מצב (stateless) כגון UDP. ללא מאמץ מפורש מצד הנתב לתמוך בפרוטוקולים כאלה, חבילות המידע לא מגיעות ליעדן ולא נוצר החיבור. מצד שני יש הרואים בכך סוג של חומת-אש פשוטה, ולכן משתמשים שאינם רוצים לחשוף את שירותי הרשת במחשב שלהם רואים בכך יתרון.

שימושים אחרים[עריכת קוד מקור | עריכה]

  • איזון עומסים (Load Balancing) - ניתן להשתמש בשכתוב כתובת יעד (DNAT) על מנת להפנות חיבורים נכנסים לאחד מתוך קבוצת שרתים אפשריים ובכך לאזן את העומס עליהם.
  • ניתוב לשרת גיבוי - במידה והשרת הראשי אינו זמין, ניתן לגרום לנתב לבצע DNAT ובכך להפנות בקשות עבודה לשרת חלופי באופן שקוף.
  • בא-כח שקוף (Transparent Proxy) - ניתן להפנות בעזרת NAT את הבקשות לגלישה בשרתי אינטרנט בפרוטוקול HTTP, אל שרת בא-כח (proxy) מיוחד שמסוגל לסנן בקשות ולהאיץ את הגלישה. ספקיות אינטרנט משתמשות בטכניקה זו על מנת להפחית את רוחב הפס הבינלאומי שבשימוש הלקוחות שלהן, ללא צורך בתצורה מחדש של הדפדפן במחשבי הלקוחות.

ראו גם[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]