- Văn bản
- Lịch sử
Network Address Translation and Por
Network Address Translation and Port Address Translation
When IPv4 was defined, the theoretical number of addresses it could provide (232) seemed
more than enough to cover any need. However, the explosion of the Internet has shown
that this original perception did not correspond to reality, and address exhaustion started
to haunt the internetworking world. Clearly, a search for new solutions was needed.
One possible approach to solve this issue was to create a technology that had more bits in
the addressing fields. The capability to deal with the problem of IPv4 address depletion
was precisely one of the most important design goals of IPv6. However, despite the huge
addressing capabilities of IPv6 (2128 addresses), its adoption was delayed because of the
modifications it would impose to the whole structure of the Internet.
Given that most organizations have an amount of internal addresses much larger than the
publicly routable ones (in the sense of RFC 1918), the second solution envisaged was to
define a technique that could create mappings between the internal and external address
spaces. This technique is called Network Address Translation (NAT) because it can
translate between address spaces.
In its simplest mode of operation, NAT establishes a one-to-one correspondence between
the real source address and the virtual (or translated) source address. Other more elaborate modes enable changing the destination addresses and building many-to-one translations. The various NAT types can be employed to accomplish several different tasks.
Some of the most relevant ones follow:
■ Hiding private addresses from the global Internet: The private addresses defined by
RFC 1918 are commonly used inside companies but cannot be routed on the
Internet. NAT lends itself to the task of confining these IPs to the organization
boundaries.
■ Mitigating the problem of IPv4 address depletion: The number of publicly routable
addresses assigned to companies is frequently much smaller than the amount of
internal hosts, thus creating the need for a technology that enables many-to-one
mappings. The classic solution is called Dynamic Port Address Translation
(Dynamic PAT).
■ Concealing the details of the internal network from the outside world: Dynamic
PAT not only handles the reduction of valid Internet addresses but also makes it possible to define unidirectional translations for hosts that should not be accessible from
external sources.
Figure 1-5 depicts a sample scenario in which the firewall performs static address translation between the internal and external address spaces. Specifically, the source IP addresses R1 and R2 are respectively mapped to S1 and S2.
Figure 1-6 portrays an environment for which Dynamic PAT has been configured. The
firewall associates to each source address in the internal space, a combination of a fixed
external IP (the PAT-IP) and a randomly generated L4 source port. For each mapping, an
entry in the translation table is added so that the firewall can handle the return packets.
When IPv4 was defined, the theoretical number of addresses it could provide (232) seemed
more than enough to cover any need. However, the explosion of the Internet has shown
that this original perception did not correspond to reality, and address exhaustion started
to haunt the internetworking world. Clearly, a search for new solutions was needed.
One possible approach to solve this issue was to create a technology that had more bits in
the addressing fields. The capability to deal with the problem of IPv4 address depletion
was precisely one of the most important design goals of IPv6. However, despite the huge
addressing capabilities of IPv6 (2128 addresses), its adoption was delayed because of the
modifications it would impose to the whole structure of the Internet.
Given that most organizations have an amount of internal addresses much larger than the
publicly routable ones (in the sense of RFC 1918), the second solution envisaged was to
define a technique that could create mappings between the internal and external address
spaces. This technique is called Network Address Translation (NAT) because it can
translate between address spaces.
In its simplest mode of operation, NAT establishes a one-to-one correspondence between
the real source address and the virtual (or translated) source address. Other more elaborate modes enable changing the destination addresses and building many-to-one translations. The various NAT types can be employed to accomplish several different tasks.
Some of the most relevant ones follow:
■ Hiding private addresses from the global Internet: The private addresses defined by
RFC 1918 are commonly used inside companies but cannot be routed on the
Internet. NAT lends itself to the task of confining these IPs to the organization
boundaries.
■ Mitigating the problem of IPv4 address depletion: The number of publicly routable
addresses assigned to companies is frequently much smaller than the amount of
internal hosts, thus creating the need for a technology that enables many-to-one
mappings. The classic solution is called Dynamic Port Address Translation
(Dynamic PAT).
■ Concealing the details of the internal network from the outside world: Dynamic
PAT not only handles the reduction of valid Internet addresses but also makes it possible to define unidirectional translations for hosts that should not be accessible from
external sources.
Figure 1-5 depicts a sample scenario in which the firewall performs static address translation between the internal and external address spaces. Specifically, the source IP addresses R1 and R2 are respectively mapped to S1 and S2.
Figure 1-6 portrays an environment for which Dynamic PAT has been configured. The
firewall associates to each source address in the internal space, a combination of a fixed
external IP (the PAT-IP) and a randomly generated L4 source port. For each mapping, an
entry in the translation table is added so that the firewall can handle the return packets.
0/5000
Địa chỉ mạng và cổng địa chỉ dịchKhi IPv4 đã được xác định, số địa chỉ, lý thuyết nó có thể cung cấp (232) dường nhưnhiều hơn đủ để bao gồm bất cứ nhu cầu. Tuy nhiên, sự bùng nổ của Internet đã hiển thịrằng nhận thức ban đầu không tương ứng với thực tế, và giải quyết mệt mỏi bắt đầuám ảnh thế giới liên mạng. Rõ ràng, một tìm kiếm giải pháp mới là cần thiết.Một cách tiếp cận có thể giải quyết vấn đề này là để tạo ra một công nghệ đã có thêm bit trongcác lĩnh vực địa chỉ. Khả năng để đối phó với vấn đề của sự suy giảm địa chỉ IPv4chính xác là một trong những mục tiêu thiết kế quan trọng nhất của IPv6. Tuy nhiên, mặc dù lớnđịa chỉ khả năng của IPv6 (2128 địa chỉ), việc áp dụng của nó đã bị trì hoãn do cácSửa đổi nó sẽ áp đặt cho cấu trúc toàn bộ của Internet.Cho rằng hầu hết các tổ chức có một số địa chỉ nội bộ lớn hơn nhiều so với cácnhững người công khai routable (theo nghĩa của RFC 1918), giải pháp thứ hai dự kiến đãxác định một kỹ thuật mà có thể tạo ra các ánh xạ giữa địa chỉ nội bộ và bên ngoàitại toàn. Kỹ thuật này được gọi là địa chỉ mạng (NAT) bởi vì nó có thểdịch giữa không gian địa chỉ.Trong chế độ đơn giản nhất của nó hoạt động, NAT thiết lập một sự tương ứng một-một giữađịa chỉ nguồn thực sự và địa chỉ ảo (hoặc dịch) nguồn. Các chế độ phức tạp hơn cho phép thay đổi địa chỉ đích và xây dựng nhiều 1 bản dịch. Các loại NAT khác nhau có thể được sử dụng để thực hiện một số nhiệm vụ khác nhau.Một số trong những phù hợp nhất theo:■ Ẩn địa chỉ cá nhân từ mạng Internet toàn cầu: các địa chỉ cá nhân được xác định bởiRFC 1918 thường được sử dụng bên trong công ty nhưng không thể được chuyển vào cácInternet. NAT vay chính nó vào nhiệm vụ nhốt IP để tổ chứcranh giới.■ giảm nhẹ vấn đề của IPv4 giải quyết sự suy giảm: số lượng công khai routableđịa chỉ giao cho công ty là thường xuyên được nhỏ hơn nhiều hơn số tiền củamáy chủ nội bộ, do đó tạo ra sự cần thiết cho một công nghệ mà cho phép nhiều người mộtánh xạ. Các giải pháp cổ điển được gọi là năng động cổng địa chỉ dịch(Năng động PAT).■ che giấu các chi tiết của mạng nội bộ từ thế giới bên ngoài: năng độngPAT không chỉ xử lý việc giảm của địa chỉ Internet hợp lệ nhưng cũng làm cho nó có thể để xác định các bản dịch unidirectional cho máy chủ không phải là có thể truy cập từnguồn bên ngoài.Con số 1-5 mô tả một kịch bản mẫu, trong đó các bức tường lửa thực hiện địa chỉ tĩnh dịch giữa các không gian địa chỉ nội bộ và bên ngoài. Cụ thể, các địa chỉ IP nguồn R1 và R2 tương ứng được ánh xạ tới S1 và S2.Con số 1-6 miêu tả một môi trường mà động PAT đã được cấu hình. Cáctường lửa kết hợp để mỗi địa chỉ nguồn trong không gian bên trong, một sự kết hợp của một cố địnhIP bên ngoài (PAT-IP) và một cổng nguồn L4 ngẫu nhiên tạo ra. Mỗi bản đồ, mộtcác mục nhập trong bảng dịch thêm, để cho các bức tường lửa có thể xử lý các gói dữ liệu trở lại.
đang được dịch, vui lòng đợi..
Network Address Translation và Port Address Translation
Khi IPv4 đã được xác định, số lượng lý thuyết của các địa chỉ nó có thể cung cấp (232) dường như
nhiều hơn, đủ để trang trải mọi nhu cầu. Tuy nhiên, sự bùng nổ của Internet đã cho thấy
rằng nhận thức ban đầu này không tương ứng với thực tế, và cạn kiệt địa chỉ bắt đầu
ám ảnh thế giới nối mạng. Rõ ràng, việc tìm kiếm các giải pháp mới là cần thiết.
Một phương pháp có thể để giải quyết vấn đề này là tạo ra một công nghệ mà có bit hơn trong
các lĩnh vực giải quyết. Khả năng để đối phó với các vấn đề của địa chỉ IPv4 cạn kiệt
là chính xác một trong những mục tiêu thiết kế quan trọng nhất của IPv6. Tuy nhiên, mặc dù rất lớn
khả năng giải quyết của IPv6 (2128 địa chỉ), nhận con nuôi của nó đã bị trì hoãn do sự
thay đổi nó sẽ áp đặt cho toàn bộ cấu trúc của Internet.
Cho rằng hầu hết các tổ chức có một số lượng các địa chỉ nội bộ lớn hơn nhiều so với
những người công khai định tuyến (theo nghĩa của RFC 1918), giải pháp thứ hai dự kiến là để
xác định một kỹ thuật mà có thể tạo ra các ánh xạ giữa địa chỉ nội bộ và bên ngoài
không gian. Kỹ thuật này được gọi là Network Address Translation (NAT) bởi vì nó có thể
dịch giữa các không gian địa chỉ.
Trong chế độ đơn giản nhất hoạt động, NAT thiết lập một sự tương ứng một-một giữa
địa chỉ nguồn sản và các nguồn địa chỉ ảo (hoặc dịch). Phương thức phức tạp hơn khác cho phép thay đổi địa chỉ đích và xây dựng nhiều-một dịch. Các loại NAT khác nhau có thể được sử dụng để thực hiện các nhiệm vụ khác nhau.
Một số trong những người phù hợp nhất theo:
■ Ẩn địa chỉ tin từ mạng Internet toàn cầu: Các địa chỉ tin được định nghĩa bởi
RFC 1918 thường được sử dụng trong công ty nhưng không thể được định tuyến trên
Internet. NAT vay chính nó để nhiệm vụ nhốt các khu công nghiệp để tổ chức
các ranh giới.
■ Giảm nhẹ các vấn đề của địa chỉ IPv4 đang cạn kiệt: Số lượng công khai có thể định tuyến
các địa chỉ được giao cho các công ty là thường nhỏ hơn nhiều so với số lượng
máy chủ nội bộ, do đó tạo ra nhu cầu cho một công nghệ cho phép nhiều-một
ánh xạ. Các giải pháp cổ điển được gọi là Port động Address Translation
(Dynamic PAT).
■ Che giấu các chi tiết của các mạng nội bộ từ thế giới bên ngoài: Năng động,
PAT không chỉ xử lý việc giảm các địa chỉ Internet hợp lệ nhưng cũng làm cho nó có thể để xác định dịch một chiều cho các máy không nên truy cập từ
các nguồn bên ngoài.
Hình 1-5 mô tả một tình huống giả định trong đó các bức tường lửa thực hiện dịch địa chỉ tĩnh giữa các không gian địa chỉ nội bộ và bên ngoài. Cụ thể, các nguồn địa chỉ IP R1 và R2 tương ứng được ánh xạ tới S1 và S2.
Hình 1-6 miêu tả một môi trường mà động PAT đã được cấu hình. Các
công ty liên kết tường lửa để mỗi địa chỉ nguồn trong không gian nội bộ, một sự kết hợp của một cố định
IP bên ngoài (PAT-IP) và một cổng nguồn L4 tạo ngẫu nhiên. Đối với mỗi bản đồ, một
mục trong bảng dịch được thêm vào từ đó tường lửa có thể xử lý các gói trở lại.
Khi IPv4 đã được xác định, số lượng lý thuyết của các địa chỉ nó có thể cung cấp (232) dường như
nhiều hơn, đủ để trang trải mọi nhu cầu. Tuy nhiên, sự bùng nổ của Internet đã cho thấy
rằng nhận thức ban đầu này không tương ứng với thực tế, và cạn kiệt địa chỉ bắt đầu
ám ảnh thế giới nối mạng. Rõ ràng, việc tìm kiếm các giải pháp mới là cần thiết.
Một phương pháp có thể để giải quyết vấn đề này là tạo ra một công nghệ mà có bit hơn trong
các lĩnh vực giải quyết. Khả năng để đối phó với các vấn đề của địa chỉ IPv4 cạn kiệt
là chính xác một trong những mục tiêu thiết kế quan trọng nhất của IPv6. Tuy nhiên, mặc dù rất lớn
khả năng giải quyết của IPv6 (2128 địa chỉ), nhận con nuôi của nó đã bị trì hoãn do sự
thay đổi nó sẽ áp đặt cho toàn bộ cấu trúc của Internet.
Cho rằng hầu hết các tổ chức có một số lượng các địa chỉ nội bộ lớn hơn nhiều so với
những người công khai định tuyến (theo nghĩa của RFC 1918), giải pháp thứ hai dự kiến là để
xác định một kỹ thuật mà có thể tạo ra các ánh xạ giữa địa chỉ nội bộ và bên ngoài
không gian. Kỹ thuật này được gọi là Network Address Translation (NAT) bởi vì nó có thể
dịch giữa các không gian địa chỉ.
Trong chế độ đơn giản nhất hoạt động, NAT thiết lập một sự tương ứng một-một giữa
địa chỉ nguồn sản và các nguồn địa chỉ ảo (hoặc dịch). Phương thức phức tạp hơn khác cho phép thay đổi địa chỉ đích và xây dựng nhiều-một dịch. Các loại NAT khác nhau có thể được sử dụng để thực hiện các nhiệm vụ khác nhau.
Một số trong những người phù hợp nhất theo:
■ Ẩn địa chỉ tin từ mạng Internet toàn cầu: Các địa chỉ tin được định nghĩa bởi
RFC 1918 thường được sử dụng trong công ty nhưng không thể được định tuyến trên
Internet. NAT vay chính nó để nhiệm vụ nhốt các khu công nghiệp để tổ chức
các ranh giới.
■ Giảm nhẹ các vấn đề của địa chỉ IPv4 đang cạn kiệt: Số lượng công khai có thể định tuyến
các địa chỉ được giao cho các công ty là thường nhỏ hơn nhiều so với số lượng
máy chủ nội bộ, do đó tạo ra nhu cầu cho một công nghệ cho phép nhiều-một
ánh xạ. Các giải pháp cổ điển được gọi là Port động Address Translation
(Dynamic PAT).
■ Che giấu các chi tiết của các mạng nội bộ từ thế giới bên ngoài: Năng động,
PAT không chỉ xử lý việc giảm các địa chỉ Internet hợp lệ nhưng cũng làm cho nó có thể để xác định dịch một chiều cho các máy không nên truy cập từ
các nguồn bên ngoài.
Hình 1-5 mô tả một tình huống giả định trong đó các bức tường lửa thực hiện dịch địa chỉ tĩnh giữa các không gian địa chỉ nội bộ và bên ngoài. Cụ thể, các nguồn địa chỉ IP R1 và R2 tương ứng được ánh xạ tới S1 và S2.
Hình 1-6 miêu tả một môi trường mà động PAT đã được cấu hình. Các
công ty liên kết tường lửa để mỗi địa chỉ nguồn trong không gian nội bộ, một sự kết hợp của một cố định
IP bên ngoài (PAT-IP) và một cổng nguồn L4 tạo ngẫu nhiên. Đối với mỗi bản đồ, một
mục trong bảng dịch được thêm vào từ đó tường lửa có thể xử lý các gói trở lại.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- I do. You just don't see or under or see
- trong khi các thành phố lớn như Cần Thơ,
- Stateful Firewalls and VPNsVirtual priva
- trông giống học sinh cấp ba
- 陪
- are you too borred?
- 1 tài khoản để tôi học
- làm cho dịu nhẹ toàn thân, tạo sự sảng k
- Who Should Read This Book?This book talk
- are you too borred ?
- Networks today have outgrown exponential
- decision, clue, prediction
- làm cho dịu nhẹ toàn thân
- while I treated my disease at home.
- forewordNetworks today have outgrown exp
- 1 account for me to make friends with st
- Bạn chưa yêu tôi mà bạn vẫn muốn tôi sốn
- rác thải trên đường
- disaster-stricken
- ■ E-commerce: This topology enhances the
- IntroductionFirewalls have ample recogni
- 1 tài khoản để tôi kết bạn với gia đình
- 陪陪
- hầu như trên mọi tuyến đường
