x
تبلیغات

 

به احتمال زیاد بدون استفاده از تکنولوژی هایی نظیر NAT و یا PAT، شما نمی توانید از طریق رایانه خود به اینترنت متصل شوید و اگر چنانچه این امکان برای شما فراهم آمده است، شما تنها شخصی هستید که امکان دسترسی به اینترنت را در محیط کار و یا منزل خود دارید!


در این درس می خواهیم به دلایل استفاده از تکنولوژی هایی نظیر NAT و PAT پرداخته و چگونگی عملکرد آنها را مورد بررسی قرار دهیم. با ما همراه باشید...


به سناریوی زیر نگاه کنید:


01 Introduction and configuring NAT and PAT In Cisco Technology


همانطور که در شکل فوق به نمایش گذاشته شده است، سمت چپ تصویر رایانه ای را مشاهده می کنید که در شبکه LAN واقع شده است و با استفاده از آدرس 192.168.1.1، به یک Router متصل شده است. از شرکت سرویس دهنده اینترنت (ISP) آدرس 4.4.4.4 دریافت شده است و بر روی Router نمایش داده شده در سمت چپ تصویر، پیکربندی گردیده است. همچنین همانطور که مشاهده می کنید، در سمت راست تصویر سروری وجود دارد که به اینترنت متصل بوده و دارای آدرس 1.2.3.4 می باشد. حال فرض کنید که رایانه مورد نظر می خواهد اطلاعاتی را به سوی سرور نمایش داده شده، گسیل دارد. در این شرایط آدرس IP مبدا و مقصد IP Packet تولید شده از سوی کلاینت، چیست؟


02 Introduction and configuring NAT and PAT In Cisco Technology


ممکن است پاسخ دهید که آدرس IP مبدا، همان آدرس IP اختصاص داده شده به کامپیوتر مورد نظر و آدرس مقصد نیز (همانطور که در شکل فوق نیز مشاهده می کنید)، آدرس IP اختصاص داده شده به سرور مورد بحث می باشد.

 

03 Introduction and configuring NAT and PAT In Cisco Technology

 

با این فرض هنگامی که سرور مورد نظر، اطلاعات دریافتی را پردازش نماید و بخواهد پاسخ کلاینت مورد بحث را بدهد، مطمئنا از آدرس کلاینت مورد نظر به عنوان آدرس IP مقصد استفاده می نماید. این در حالیست که قطعا از آدرس IP خود به عنوان آدرس مبدا استفاده می کند.


آیا به نظر شما، در این مثال نقصی وجود دارد؟ قطعا نه، مگر در یک مورد خاص... آدرس اختصاص داده شده به کامپیوتر مورد نظر به عنوان آدرس خصوصی (Private) طبقه بندی می گردد و همانطور که می دانید، آدرس های خصوص در شبکه های محلی (LAN) و در مقابل، آدرس های عمومی (Public) در شبکه اینترنت، کاربرد دارند.


خب، در ادامه به پیکربندی Network Address Translation و یا به اختصار NAT پرداخته و به تفاوت های میان این سناریو و سناریوی قبلی می پردازیم:


04 Introduction and configuring NAT and PAT In Cisco Technology


درست همانند داستان قبلی، کلاینت مورد نظر می خواهد اطلاعاتی را به سرور نمایش داده شده در تصویر، ارسال کند. اما این بار این رویداد از طریق Routerی صورت می گیرد که تکنولوژی NAT بر روی آن پیکربندی شده است. Router نمایش داده شده در سمت چپ تصویر به گونه ایی پیکربندی شده است که آدرس 192.168.1.1 را به آدرس 4.4.4.4 ترجمه می نماید. به عبارت دیگر، Router مورد نظر، packetهای دریافتی از سوی کلاینت را مورد بررسی قرار داده و به جای آدرس IP مبدا که 192.168.1.1 می باشد، آدرس 4.4.4.4 را درج می نماید. این رویداد در تصویر بالا به نمایش گذاشته شده است.


05 Introduction and configuring NAT and PAT In Cisco Technology


در این شرایط جدید، سرور فکر می کند که در حال حاضر با رایانه ای با آدرس 4.4.4.4 در ارتباط است و همانطور که در شکل فوق مشاهده می کنید، بر این اساس، برای آدرس IP مقصد، آدرس 4.4.4.4 را در نظر می گیرد. هنگامی که packet مورد نظر به NAT Router می رسد، این دستگاه بر اساس بررسی اطلاعات موجود در جدول NAT خود (NAT Table)، اقدام به ترجمه packet یاد شده نموده و به جای آدرس مقصد (که در حال حاضر 4.4.4.4 می باشد)، آدرس 192.168.1.1 را در نظر گرفته و اطلاعات را به سوی کامپیوتر مورد نظر ارسال می نماید.


توجه داشته باشید که سناریویی که در بالا مورد بررسی قرار گرفت، با نام Static NAT شناخته می شود. در این مدل NAT، همانطور که مشاهده می نمایید، یک ارتباط یک به یک (1:1) میان آدرس IP کلاینتی که در شبکه LAN وجود دارد و آدرس IP اختصاص داده شده از سوی شرکت ارائه دهند سرویس اینترنت، وجود دارد. با این فرض، اگر چنانچه در شبکه LAN، بیش از یک کلاینت وجود داشته باشد، تکلیف چیست؟ در این شرایط، استفاده از یک مدل خاصی از NAT با نام Dynamic NAT مورد استفاده قرار می گیرد.


تفاوت های میان Dynamic NAT و Static NAT را می توان در دو مورد زیر خلاصه نمود:

  1. در Dynamic NAT، به جای تنها یک آدرس عمومی (Public) جهت انجام عملیات ترجمه (Translation)، از چندین آدرس استفاده می شود (pool of IP addresses).
  2. به منظور مشخص کردن آنکه کدامین کلاینت ها مجوز عبور از Router، جهت دسترسی به اینترنت و لذا استفاده از آدرس های موجود در pool را دارند، از Access List استفاده می شود.


به عنوان مثالی دیگر، در مثال Static NAT، شرکت مورد نظر تنها اقدام به دریافت یک آدرس Public (آدرس 4.4.4.4) از ISP مورد قرارداد، نموده بود. حال فرض کنید که ISP مورد نظر بسیار سخاوتمند تر از آنستکه به نظر می آمده است و با اندک نامه نگاری های رایج، اقدام به در اختیار قرار دادن رنج 4.4.4.0/24 نموده است!


حال فرض کنید که علاوه بر کلاینت قبلی (192.168.1.1)، می خواهیم امکان دسترسی به اینترنت را برای 10 کامیپوتر دیگر نیز، فراهم آوریم. در این شرایط ما رنجی از آدرس های Public را در اختیار داریم که می توانیم بر اساس آنها اقدام به ترجمه آدرس 10 کلاینت مورد نظر به آدرس هایی که امکان دسترسی به اینترنت را فراهم می آورند، نماییم. به منظور درک بهتر این موضوع، لطفا به مثال زیر توجه کنید:

  1. فرض کنید که کلاینتی با آدرس 192.168.1.1 می خواهد به سروری که در اینترنت وجود دارد، دسترسی یابد. در این حالت، NAT Router اقدام به تغییر آدرس IP کلاینت مورد نظر از 192.168.1.1 به اولین آدرس موجود در رنج آدرس های در اختیار (به عبارت یگر 4.4.4.1) می نماید.
  2. در ادامه، کلاینتی با آدرس 192.168.1.2 می خواهد اطلاعاتی را به سروری که در اینترنت وجود دارد، ارسال نماید. در این حالت نیز، NAT Route اقدام به تغییر آدرس IP کلاینت مورد نظر از 192.168.1.2 به آدرس دوم موجود در رنج آدرس های در اختیار (به عبارت دیگر، 4.4.4.2) می نماید.
  3. همچنین، کلاینت سومی نیز با آدرس 192.168.1.3 می خواهد به منابعی که در اینترنت وجود دارد، دسترسی یابد. با در نظر گرفتن این شرایط نیز، NAT Route اقدام به تغییر آدرس IP سیستم مورد نظر از 192.168.13 به آدرس سوم موجود در رنج آدرس های در اختیار (4.4.4.3) می نماید.
  4. در خصوص کلاینت های دیگر نیز، همین رخداد بوقوع می پیوندد...


نکته: مثال فوق دقیقا همان چیزیست که به Dynamic NAT شناخته می شود.


حال بیائید شرایط را به گونه دیگری در نظر بگیریم. فرض کنید که می خواهید امکان دسترسی به اینترنت را به چندین کلاینت موجود در شبکه LAN، فرآهم آورید و این در حالیست که شرکت ISP طرف قرارداد شما، تنها یک آدرس IP در اختیار شما قرار داده است! آیا با این شرایط، می توان چنین کاری کرد؟


پاسخ به سوال فوق مثبت بوده و نام این تکنولوژی، Port Address Translation و یا به اختصار PAT نام دارد. همانطور که پاراگرف های قبلی بدان اشاره شد، تکنولوژی NAT امکان یک ارتباط یک به یک (1:1) را فراهم می سازد. به عبارت دیگر، به ازاء هر کلاینت موجود در شبکه LAN، می بایست یک آدرس IP از نوع Public، در اختیار باشد. اگر چنانچه می خواهیم امکان دسترسی تعدادی از کلاینت ها را به اینترنت برقرار نماییم و تنها یک آدرس Public از ISP طرف قرارداد، دریافت نموده ایم، در این حالت به منظور حل این مشکل می بایست از تغییر (ترجمه) پورت ها نیز استفاده کنیم. با بکارگیری از این تکنولوژی، نیاز برای دریافت چندین آدرس IP از ISP مرتفع خواهد شد. به مثال زیر توجه کنید:


06 Introduction and configuring NAT and PAT In Cisco Technology


همانطور که در سناریوی فوق مشاهده می کنید، در شبکه LAN دو کلاینت با آدرس های 192.168.1.1 و 192.168.1.2 وجود دارد و بر رویRouter موجود در این شبکه، تکنولوژی NAT پیاده سازی شده است. با این فرض، رخدادهای زیر بوقوع می پیوندند:

  1. کامپیوتری با آدرس 192.168.1.1، نیاز به دسترسی به اینترنت دارد.
  2. NAT Router موجود در شبکه LAN، آدرس کلاینت مورد نظر را از 192.168.1.1 به 4.4.4.4، تغییر می دهد.
  3. کامپیوتر دیگری با آدرس 192.168.1.2 نیز مایل به استفاده از منابع موجود در اینترنت را دارد.
  4. در این شرایط، NAT Router موجود با مشکل مواجه می شود. علت این امر آنست که Router بکارگیری شده نمی تواند دو آدرس IP متفاوت را به یک آدرس IP، به اصطلاح ترجمه نماید.

 

در اینجاست که تکنولوژی PAT به میدان بازی دعوت می شود و با ورود آن، رخدادهای زیر بوقوع می پیوندند:

  1. کامپیوتری با آدرس 192.168.1.1، نیاز به دسترسی به اینترنت دارد.
  2. NAT Router موجود در شبکه LAN، آدرس کلاینت مورد نظر را از 192.168.1.1 به 4.4.4.4 تغییر می دهد، با این تفاوت که این بار علاوه بر این کار، عدد اختصاص داده شده به پورت مبدا (Source Port) و پورت مقصد (Destination Port) را نیز در حافظه خود به ثبت می رساند!
  3. کامپیوتر دیگری با آدرس 192.168.1.2 نیز مایل به استفاده از منابع موجود در اینترنت را دارد.
  4. از آنجایی که Router مورد نظر به گونه ایی پیکربندی شده است که از تکنولوژی PAT استفاده کند، کماکان اقدام به تغییر آدرس IP از 192.168.1.2 را به 4.4.4.4 می نماید، با این تفاوت که علاوه بر به خاطر سپردن عدد اختصاص داده شده به پورت مبدا و مقصد، اقدام به تغییر پورت مبدا به پورت دیگری می نماید.

 

با بکارگیری از این تکنولوژیست که می توانیم امکان دسترسی به اینترنت را برای چندین کامپیوتر موجود در شبکه LAN، تنها با استفاده از یک آدرس IP در اختیار قرار داده شده از سوی شرکت ISP طرف قرارداد، داشته باشیم. در این حالت، سرور موجود در شبکه اینترنت، فکر می کند که در حال حاضر تنها با یک سیستم با آدرس 4.4.4.4 در ارتباط است و این در حالسیت که هیچگونه اطلاعی از وجود کامپیوترهایی با آدرس های 192.168.1.1 و 192.168.1.2 نخواهد داشت. در بعضی از منابع موجود، از این قابلیت به عنوان یک رویداد در راستای ارتقاء توان امنیتی شبکه یاد می نمایند. به عبارت دیگر، استفاده از این تکنولوژی (NAT/PAT) در اینگونه منابع به عنوان یک قابلیت امنیتی در راستای ارتقاء توان امنیتی شبکه های رایانه ای، یاد می شود. اما به نظر بنده، این تکنولوژی تاثیری در ارتقاء توان امنیتی شبکه نخواهد داشت. علت این امر آنست که عدم در اختیار داشتن آدرس واقعی کلاینت به معنی عدم توانایی در برقراری ارتباط با کلاینت مورد نظر نیست! به محض آنکه ترافیک ارسالی مرتبط با کلاینت از سوی Router مورد بررسی قرار گرفته و تکنولوژی NAT/PAT بر روی آن اعمال گردد، امکان دسترسی به کلاینت از بیرون از شبکه LAN، امکان پذیر خواهد بود. در حقیقت آنچه که باعث ارتقاء توان امنیتی شبکه و سرویس های موجود در آن می گردد، پیاده سازی تکنولوژی هایی نظیر Access List، Firewall، Intrusion Detection System و غیره می باشد.


نکته: از آنجایی که بکارگیری از NAT و یا PAT باعث تغییر آدرس مبدا ترافیک دریافت شده از سوی Router می گردد، شاهد بروز مشکلاتی در پیاده سازی بعضی از پروتکل ها هستیم. به عبارت دیگر، پروتکل هایی نظیر IPsec نمی توانند در این شرایط به خوبی عمل کنند و این رویداد برای پروتکل FTP نیز صادق است.

 

این تمام آن چیزی بود که می خواستم در این قسمت از سری مقالات، در خصوص تکنولوژی های NAT و PAT، در اختیار شما علاقمندان قرار دهم. امیدوارم توانسته باشم به شما در درک بهتر این تکنولوژی ها کمک کنم و انشاء الله در قسمت های بعدی، به چگونگی پیکربندی این تکنولوژی ها بر روی تجهیزات Router ارائه شده از سوی شرکت Cisco، خواهیم پرداخت.

 

 

 

لینک های مرتبط با این موضوع:

  1. معرفی و پیکربندی تکنولوژی های NAT و PAT در تجهیزات شرکت Cisco – (قسمت دوم) پیکربندی Static NAT