NAT مخفف Network Address Translation و به معنای «ترجمه آدرس شبکه» است. این فناوری آدرس IP موجود در بستههای شبکه را هنگام عبور از روتر یا فایروال تغییر میدهد تا دستگاه های دارای IP خصوصی بتوانند با اینترنت یا شبکهای دیگر ارتباط برقرار کنند.
برای مثال، ممکن است دهها دستگاه با آدرس های خصوصی مانند 192.168.1.10 به شبکه متصل باشند. NAT ترافیک آنها را با یک یا چند IP عمومی از شبکه خارج میکند و پاسخها را به دستگاه درست بازمیگرداند. این فناوری در مدیریت IPv4 مهم است؛ اما فایروال نیست و امنیت کامل شبکه را تضمین نمیکند.
NAT چگونه کار میکند؟
فرض کنید لپ تاپ شما آدرس 192.168.1.20 دارد و میخواهد یک وبسایت را باز کند. بسته ابتدا به روتر میرسد. روتر IP خصوصی مبدا را با IP عمومی اینترنت جایگزین میکند و این ارتباط را در جدول NAT ثبت میکند.
وقتی پاسخ وبسایت بازمیگردد، روتر جدول ترجمه را بررسی میکند و بسته را به همان لپ تاپ تحویل میدهد. جدول NAT معمولا IP داخلی، IP عمومی و شماره پورت هر نشست را نگهداری میکند.
تفاوت IP خصوصی و عمومی
IP عمومی در اینترنت قابل مسیریابی است و معمولا از طرف ارائه دهنده اینترنت اختصاص داده میشود. IP خصوصی فقط داخل شبکه محلی کاربرد دارد و مستقیما از اینترنت قابل دسترسی نیست.
رنجهای رایج IPv4 خصوصی عبارتاند از:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
این رنجها در شبکههای مختلف دوباره استفاده میشوند و به IPv4 عمومی اختصاصی نیاز ندارند.
انواع NAT چیست؟
اصطلاحات NAT از دو زاویه به کار میروند. Static NAT،Dynamic NAT و PAT روش تخصیص آدرس و پورت را توضیح میدهند؛ اما SNAT و DNAT نشان میدهند آدرس مبدا یا مقصد تغییر میکند.
Static NAT یا NAT ایستا
در Static NAT یک IP خصوصی همیشه به یک IP عمومی مشخص نگاشت میشود. این رابطه معمولا ثابت و یک به یک است. Static NAT برای وب سرور، سرور ایمیل، VPN Gateway، دوربین و سرویسهایی مناسب است که باید از بیرون با آدرسی ثابت در دسترس باشند. محدودیت آن این است که برای هر نگاشت معمولا یک IP عمومی لازم است.
Dynamic NAT یا NAT پویا
در Dynamic NAT مجموعهای از IP های خصوصی به استخری از IP های عمومی نگاشت میشوند. هنگام شروع ارتباط، روتر یک IP آزاد را به دستگاه اختصاص میدهد و پس از پایان نشست آن را به استخر بازمیگرداند.
هر دستگاه IP عمومی ثابتی ندارد و در صورت پرشدن استخر، ارتباط جدید تا آزادشدن یک آدرس برقرار نمیشود. این روش از PAT کمتر رایج است.
PAT یا NAT Overload
PAT که NAPT نیز نامیده میشود، رایجترین نوع NAT در مودم های خانگی و شبکه های اداری است. در این روش چند دستگاه داخلی از یک IP عمومی مشترک استفاده میکنند و روتر با شماره پورت، نشستهای مختلف را از هم تشخیص میدهد. PAT در IPv4 عمومی صرفهجویی میکند، اما ارتباط مستقیم ورودی معمولا به Port Forwarding نیاز دارد.
SNAT چیست؟
SNAT مخفف Source NAT است و آدرس مبد بسته را تغییر میدهد. این ترجمه معمولا زمانی انجام میشود که کاربران شبکه داخلی به اینترنت متصل میشوند. PAT را میتوان شکل رایجی از SNAT دانست که علاوه بر IP، شماره پورت را نیز ترجمه میکند.
DNAT و Port Forwarding چیست؟
DNAT مخفف Destination NAT است و آدرس مقصد بسته را تغییر میدهد. این روش برای هدایت ترافیک ورودی از IP عمومی به سرور یا دستگاه داخلی استفاده میشود.
Port Forwarding یکی از کاربردهای متداول DNAT است. روتر ترافیک ورودی روی یک پورت مشخص را به IP و پورت یک دستگاه داخلی میفرستد. این قابلیت برای سرور وب، دوربین، بازی، کنترل از راه دور و بعضی سرویس های سازمانی کاربرد دارد. بازکردن پورت بدون محافظت خطرناک است؛ دسترسی باید با فایروال، VPN یا محدودیت IP کنترل شود.
CGNAT چیست؟
CGNAT یا Carrier-Grade NAT ترجمه آدرس در مقیاس اپراتور است. در این معماری چند مشترک ممکن است یک IP عمومی مشترک داشته باشند.
CGNAT کمبود IPv4 را مدیریت میکند؛ اما برای Port Forwarding، سرور، دوربین، برخی بازیها و دسترسی ورودی محدودیت دارد. تفاوت IP بخش WAN مودم با IP دیدهشده در اینترنت میتواند نشانه CGNAT باشد.
کاربردهای NAT در شبکه
اتصال چند دستگاه به اینترنت
رایج ترین کاربرد NAT این است که دستگاه های دارای IP خصوصی با استفاده از یک یا چند IP عمومی به اینترنت متصل شوند.
صرفه جویی در IPv4
PAT و CGNAT اجازه میدهند یک IP عمومی میان تعداد زیادی ارتباط به اشتراک گذاشته شود. این موضوع با توجه به محدودیت تعداد آدرس های IPv4 اهمیت زیادی دارد.
انتشار سرویس های داخلی
با Static NAT یا DNAT میتوان یک سرویس داخلی را با کنترل دسترسی از اینترنت منتشر کرد.
استقلال آدرس دهی داخلی
سازمان میتواند ساختار IP داخلی خود را مستقل از IP عمومی نگه دارد. بنابراین تغییر سرویس دهنده اینترنت لزوما به معنی تغییر آدرس تمام دستگاه های داخلی نیست.
مزایای NAT
- کاهش نیاز به IPv4 عمومی
- اتصال همزمان چند دستگاه
- انعطاف در آدرسدهی شبکه داخلی
- امکان انتشار کنترل شده سرویسها
- مخفی ماندن آدرسهای خصوصی از اینترنت
مخفیشدن IP داخلی امنیت کامل ایجاد نمیکند؛ فایروال و کنترل دسترسی همچنان ضروریاند.
محدودیت ها و مشکلات NAT
پیچیده شدن ارتباط مستقیم
NAT ارتباط مستقیم انتها به انتها را دشوار میکند. به همین دلیل بعضی بازیها، برنامههای همتابههمتا، VoIP و ارتباطهای ورودی به NAT Traversal یا تنظیمات اضافی نیاز دارند.
دشوارتر شدن عیب یابی
وقتی چند کاربر یک IP عمومی دارند، شناسایی هر ارتباط به ثبت IP، پورت و زمان دقیق نیاز دارد. این موضوع در CGNAT پیچیدهتر میشود.
ناسازگاری با بعضی پروتکل ها
برخی پروتکلها IP یا پورت را داخل محتوای بسته قرار میدهند. در چنین شرایطی ترجمه ساده سربرگ ممکن است کافی نباشد و به ALG یا راهکار دیگری نیاز باشد.
محدودیت دسترسی ورودی
در PAT و CGNAT، راهاندازی سرور یا دسترسی از بیرون ممکن است بدون IP عمومی و تنظیم صحیح امکانپذیر نباشد.
تفاوت NAT و فایروال چیست؟
NAT آدرس یا پورت بسته را ترجمه میکند، اما فایروال تصمیم میگیرد چه ترافیکی مجاز یا مسدود باشد. مودمها معمولا هر دو قابلیت را دارند، اما NAT جایگزین Rule های فایروال و سیاست امنیتی نیست.
برای نمونه، ممکن است یک قانون NAT ترافیک پورت مشخصی را به سرور داخلی هدایت کند، اما این فایروال است که تعیین میکند چه مبداهایی اجازه استفاده از آن پورت را دارند.
آیا NAT باعث افزایش امنیت می شود؟
NAT با پنهان کردن ساختار IP داخلی و جلوگیری از بعضی ارتباط های ورودی ناخواسته، میتواند سطح حمله را محدود کند؛ اما یک ابزار امنیتی مستقل محسوب نمیشود.
اگر Port Forwarding اشتباه تنظیم شود، سرویس آسیب پذیر باشد یا فایروال قانون مناسبی نداشته باشد، NAT مانع حمله نخواهد شد. برای محافظت از شبکه باید از فایروال، رمز عبور قوی، احراز هویت چندمرحلهای، VPN، بهروزرسانی تجهیزات و مانیتورینگ استفاده کرد.
NAT در IPv6 چه جایگاهی دارد؟
IPv6 فضای آدرس بسیار بزرگ تری دارد و نیاز اصلی IPv4 به NAT برای صرفهجویی در آدرس را کاهش میدهد. در IPv6 کنترل دسترسی باید با فایروال انجام شود، نه با اتکا به مخفی بودن آدرس ها.
ترجمه در برخی سناریوهای IPv6 وجود دارد، اما NAT سنتی راهکار عمومی این معماری نیست. داشتن آدرس عمومی IPv6 نیز به این معنی نیست که همه ارتباطهای ورودی باید مجاز باشند؛ فایروال همچنان ضروری است.
NAT چه تاثیری بر بازی آنلاین و VoIP دارد؟
در بازی آنلاین، نوع NAT میتواند بر امکان اتصال مستقیم کاربران، تشکیل گروه، میزبانی بازی و ارتباط صوتی تاثیر بگذارد. NAT سخت گیرانه یا CGNAT ممکن است برخی ارتباط های ورودی را محدود کند.
در VoIP نیز آدرسها و پورتهای مربوط به سیگنالینگ و جریان صوتی باید بهدرستی مدیریت شوند. تنظیم نادرست NAT ممکن است باعث یک طرفه شدن صدا، قطع تماس یا ثبتنشدن تلفن شود. فعالکردن تصادفی ALG همیشه راهحل مناسبی نیست؛ تنظیمات باید متناسب با تجهیزات، پروتکل و معماری شبکه انجام شود.
سازمان ها کدام نوع NAT را انتخاب کنند؟
- برای دسترسی معمول کاربران به اینترنت، PAT رایجترین گزینه است.
- برای نگاشت ثابت سرور به IP عمومی، Static NAT مناسب است.
- برای انتشار یک سرویس مشخص، DNAT یا Port Forwarding به کار میرود.
- برای تخصیص موقت از استخر IP عمومی، Dynamic NAT قابل بررسی است.
- برای VPN، دوربین، سرور یا دسترسی از راه دور، وضعیت CGNAT و امکان دریافت IP عمومی یا ثابت باید بررسی شود.
Static NAT برای نگاشت ثابت، Dynamic NAT برای تخصیص موقت، PAT برای اشتراک یک IP میان چند دستگاه، SNAT برای تغییر مبدا و DNAT برای تغییر مقصد استفاده میشود. CGNAT نیز همین مفهوم را در مقیاس اپراتور اجرا میکند. NAT سرعت یا امنیت کامل را تضمین نمیکند و باید متناسب با معماری شبکه و نیاز به IP ثابت تنظیم شود.
اگر برای VPN، دوربین، سرور داخلی، تلفن اینترنتی یا دسترسی از راه دور به IP عمومی و تنظیم صحیح NAT نیاز دارید، فقط سرعت اینترنت را ملاک انتخاب قرار ندهید. کارشناسان تکنت میتوانند بر اساس نوع مصرف، تعداد کاربران، نیاز به IP ثابت و حساسیت سرویس های سازمانی، اینترنت و زیرساخت ارتباطی مناسب را پیشنهاد دهند. برای بررسی شبکه و دریافت مشاوره اینترنت سازمانی و IP ثابت، همین حالا با ما تماس بگیرید.
سوالات متداول درباره NAT
آیا NAT سرعت اینترنت را افزایش میدهد؟
خیر. NAT فقط آدرس یا پورت را ترجمه میکند. روتر ضعیف یا تعداد زیاد نشستها حتی میتواند گلوگاه ایجاد کند.
تفاوت NAT و PAT چیست؟
در NAT پایه آدرس IP ترجمه میشود. PAT علاوه بر IP، شماره پورت را نیز تغییر میدهد تا چند دستگاه از یک IP عمومی استفاده کنند.
آیا NAT همان فایروال است؟
خیر. NAT وظیفه ترجمه دارد، اما فایروال ترافیک را بر اساس قوانین امنیتی کنترل میکند.
برای Port Forwarding به IP ثابت نیاز داریم؟
IP ثابت همیشه اجباری نیست، اما IP عمومی لازم است و ثابتبودن آن دسترسی پایدارتر ایجاد میکند. پشت CGNAT، تنظیم Port Forwarding روی مودم معمولا کافی نیست.
