Netzwerkadressübersetzung (NAT)

Posted on

Was ist Netzwerkadressübersetzung (NAT)?

Eine Network Address Translation (NAT) ist der Prozess der Zuordnung einer Internet Protocol (IP) -Adresse zu einer anderen, indem der Header von IP-Paketen während der Übertragung über einen Router geändert wird. Dies hilft, die Sicherheit zu verbessern und die Anzahl der IP-Adressen zu verringern, die eine Organisation benötigt.

Wie funktioniert die Netzwerkadressübersetzung?

Ein NAT wählt Gateways aus, die sich zwischen zwei lokalen Netzwerken befinden: das interne Netzwerk und das externe Netzwerk. Systemen im internen Netzwerk werden normalerweise IP-Adressen zugewiesen, die nicht an externe Netzwerke weitergeleitet werden können (z. B. Netzwerke im 10.0.0.0 / 8-Block).

Dem Gateway werden einige extern gültige IP-Adressen zugewiesen. Das Gateway lässt ausgehenden Datenverkehr von einem internen System von einer der gültigen externen Adressen zu stammen scheinen. Es nimmt eingehenden Datenverkehr, der auf eine gültige externe Adresse abzielt, und sendet ihn an das richtige interne System.

Dies trägt zur Gewährleistung der Sicherheit bei. Weil jede ausgehende oder eingehende Anforderung einen Übersetzungsprozess durchlaufen muss, der die Möglichkeit bietet, eingehende Streams zu qualifizieren oder zu authentifizieren und sie beispielsweise mit ausgehenden Anforderungen abzugleichen.

NAT schont die Anzahl der global gültigen IP-Adressen, die ein Unternehmen benötigt, und hat in Kombination mit Classless Inter-Domain Routing (CIDR) viel dazu beigetragen, die Nutzungsdauer von IPv4 zu verlängern. NAT ist allgemein in IETF RFC 1631 beschrieben.

Was sind die verschiedenen Arten von NAT-Techniken?

Der NAT-Mechanismus („Natting“) ist eine Router-Funktion und häufig Teil einer Unternehmensfirewall. NAT-Gateways können IP-Adressen auf verschiedene Arten zuordnen:

  • statisch von einer lokalen IP-Adresse zu einer globalen IP-Adresse;
  • Verbergen eines gesamten IP-Adressraums, der aus privaten IP-Adressen besteht, hinter einer einzelnen IP-Adresse;
  • zu einem großen privaten Netzwerk unter Verwendung einer einzelnen öffentlichen IP-Adresse unter Verwendung von Übersetzungstabellen;
  • von einer lokalen IP-Adresse plus einem bestimmten TCP-Port zu einer globalen Adresse oder einem Pool öffentlicher IP-Adressen; und
  • von einer globalen IP-Adresse zu einem Pool lokaler IP-Adressen auf Round-Robin-Basis.

In einigen Fällen definieren Netzwerkadministratoren Richtlinien, die es dem Gateway-Gerät ermöglichen, Zuordnungen basierend auf dem beabsichtigten Ziel zuzuweisen („Wählen Sie diese externe Adresse für die Kommunikation mit dem Bereichsnetzwerk von Partner A aus; Wählen Sie diese externe Adresse für die Kommunikation mit Partner B aus“).

Richtlinien können auch für die verwendeten Protokolle („Aus diesem Pool für HTTP-Datenverkehr zuweisen, dieser Pool für HTTPS“) oder für andere Faktoren verwendet werden.

Eine neuere Methode zur Verwendung von NAT konzentriert sich auf die Übersetzung der IPv4-Adressen eines ISP-Anbieters in IPv6 und umgekehrt. Dies ermöglicht die Integration von IPv4-Infrastruktur und Endknoten in IPv6-Umgebungen und ermöglicht die Interaktion von IPv6-Diensten mit IPv4-Systemen.

Die verschiedenen Segmente einer IPv6-Adresse.
Beispiel für die verschiedenen Abschnitte einer IPv6-Adresse.

Was ist der Unterschied zwischen dynamischem NAT (DNAT) und statischem NAT (SNAT)?

Ein dynamisches NAT ist in größeren Organisationen mit komplexen internen Netzwerken üblich. Es verwendet mehrere verfügbare IP-Adressen während der Übersetzung.

Ein Beispiel hierfür ist Cisco, das eine Technik entwickelt hat, die mithilfe einer NAT-Überladung mehrere private IP-Adressen einer einzelnen öffentlichen IP-Adresse zuordnet.

Umgekehrt bietet ein statisches NAT, das auch in großen Organisationen üblich ist, eine 1:1-Zuordnung zwischen einer internen IP-Adresse und einer öffentlichen Netzwerk-IP-Adresse.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.