Network Address Translation อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง

วิวัฒนาการระบบสารสนเทศ Stand Alone Intranet Internet

การเปลี่ยนแปลงในยุคองค์กรกับ Intranet ต้องการใช้เครือข่ายภายใน และใช้ IP Address IP Address หลักถูกกำหนดให้ใช้กับเครือข่าย Internet เท่านั้น มีการกำหนด Private IP ให้ใช้งานในองค์กรได้ (RFC 1918)

Private Addressing

การเปลี่ยนแปลงในยุคองค์กรกับ Internet มีความต้องการใช้งานอินเตอร์เน็ต ไม่ต้องการเปลี่ยนแปลงระบบงาน

Solution การทำ Network Address Translation เพิ่มเติมอุปกรณ์ NAT Device ในเครือข่ายเป็น Gateway เพื่อใช้งานอินเตอร์เน็ต และตั้งค่าระบบเฉพาะใน NAT Device ไม่มีการปรับเปลี่ยน Configuration ในระบบ หรือมีการปรับเปลี่ยนเพียงเล็กน้อยเท่านั้น หมายเหตุ : ในช่วงแรกของการใช้ NAT ยังมีข้อจำกัดในการใช้งานมากมายจึงมีการพัฒนามาใช้งาน NAPT แทน

Network Address Translation ใช้ private IP สำหรับเครือข่ายภายใน ใช้งาน global IP อย่างน้อย 1 หมายเลข สำหรับการส่งข้อมูลนอกองค์กร มีเพียงหนึ่งการเชื่อมต่อเท่านั้นที่ผ่าน NAT router

Address translation source IP address ของแพ็กเก็ตขาออก จะถูกเปลี่ยนเป็น global IP addresses โดย NAT router. destination IP address (global IP ของ NAT router) ของแพ็กเก็ตขาเข้า จะถูกเปลี่ยนเป็น private IP address ที่สอดคล้องกัน

Basic TCP/IP Connection Source IP, Source Port, Dest IP, Dest Port เรียกรวมว่า Socket

Basic TCP/IP Connection ที่มีการ NAT

Logical Connections ในการ NAT

การทำงานของ NAT Router การกำหนด Destination IP ของแพ็กเก็ตขาเข้าทำได้โดยใช้ Translation Table (private source IP ↔ Global destination IP) NAT Router จะมีหนึ่ง Global IP หรือมากกว่าได้

กรณีศึกษาที่ 1 : 1 Global IP Address

กรณีศึกษาที่ 1 : 1 Global IP Address เครื่องภายในองค์กร 1 เครื่องจะใช้งานกับ 1 เครื่องปลายทางเท่านั้น Private network ไม่สามารถให้บริการ Application Server ใดๆ ได้

กรณีศึกษาที่ 2 : K Global IP Address ใน private networkยังไม่สามารถให้บริการ Application Server ใดๆ ได้ การใช้งาน Network Services ของเครื่องปลายทางในอินเตอร์เน็ตจะเรียกใช้โดยเครื่องใน private network เพียงหนึ่งเครื่องเท่านั้น เปลือง IP Address มาก จึงมีการคิดค้น Network Address Port Translation

ISP and NAT

ข้อดีอื่นๆ ของการทำ NAT การใช้ Private IP กับ NAT ช่วยแก้ปัญหาการขาดแคลน IP Address ได้ สามารถใช้ Private IP ซ้ำกันในแต่ละองค์กร การรักษาความปลอดภัยระบบเครือข่าย ถ้าไม่ได้กำหนดให้มีการเชื่อมต่อเกิดขึ้น Intranet Server ต่างๆ จะปลอดภัยเนื่องจากไม่สามารถเชื่อมต่อจากอินเตอร์เน็ตมายังเครือข่ายภายในได้

NAT in detail

คุณสมบัติของอุปกรณ์ NAT สามารถกำหนดหมายเลขไอพีแอดเดรสได้ สามารถส่งผ่านแพ็กเก็ตของข้อมูลที่มีการเปลี่ยนแปลงแอดเดรสได้ สามารถเปลี่ยนแปลงข้อมูลของ ICMP payload ได้ Packets กำหนด IP + Forwarding Packets NAT BOX

กำหนดหมายเลขไอพีแอดเดรส Static Address Assignment กำหนดคู่ Private IP กับ IP ภายนอกเหมือนเดิมทุกครั้งไว้ล่วงหน้า Dynamic Address Assignment กำหนดคู่ Private IP กับ IP ภายนอกอย่างอิสระ

ส่งผ่านแพ็กเก็ตของข้อมูลที่มีการเปลี่ยนแปลงแอดเดรส การทำงานที่ไม่ขัดต่อการทำงานของระบบหมายเลขแอดเดรสทั้งสองระบบ ไม่เป็นปัญหาในการหาเส้นทางและการรับส่งข้อมูล ต้องไม่มีการส่งข้อมูล routing information ข้ามเครือข่าย กระบวนการเปลี่ยนหมายเลขไอพีแอดเดรส 3 ขั้นตอน ขั้นตอนในการจับคู่หมายเลขไอพีแอดเดรส (ตาม Configuration) การทำงานขณะที่มีการเชื่อมต่อกันแล้ว (จับคู่ตามที่กำหนดในขั้นตอนแรก) กระบวนการเมื่อสิ้นสุดการทำงาน

การเปลี่ยนแปลงข้อมูล ICMP payload Destination Unreachable , Source-Quench , Time-Exceed และ Parameter-Problem ยกเว้น IP Address ใน Redirect Message* IP Header checksum ทั้งใน ICMP header และ IP header

รูปแบบการทำงานของ NAT Outbound NAT เชื่อมต่อจากภายในออกสู่ภายนอกเครือข่ายเท่านั้น Basic NAT หรือ Network Address Port Translation Inbound NAT เชื่อมต่อจากภายนอกเข้าสู่ภายในเครือข่าย Static NAT Bi-Directional NAT เชื่อมต่อทั้งภายในและภายนอกได้ Twice NAT กรณี Network ID ของเครือข่ายภายในซ้ำกับ Network ID ของเครือข่ายภายนอก มีการเปลี่ยนแปลงค่า IP Header ทั้งขาเข้าและขาออก

Basic Outbound NAT

Basic Outbound NAT (continued) Source = 203.142.50.55 Destination = 192.168.1.12 Source = 203.142.50.55 Destination = 203.155.30.55

Basic Outbound NAT (continued)

ข้อเสียของ Outbound NAT กรณีที่ใช้ Static Table เป็นการ NAT ที่ใช้ Registered IP ต่อ Private IP เป็น 1:1 จึงสิ้นเปลือง IP ไม่ช่วยปิดบังโฮสต์ที่อยู่ใน Internal Network เพราะการจับคู่ระหว่าง Registered IP กับ Private IP เป็นแบบตายตัว อาจทำให้บุคคลภายนอกสามารถตรวจสอบร่องรอยการใช้งานของโฮสต์ภายในได้

ข้อเสียของ Outbound NAT จากข้อเสียของ Outbound NAT สามารถแก้ไขได้ด้วยการใช้ Dynamic Table โดยอาศัยการจับคู่ระหว่าง Registered IP กับ Private IP แบบหมุนเวียนไม่ซ้ำกัน (Dynamic) โดยไม่มีการจับคู่ทิ้งไว้ จึงทำเป็นการปิดบังโฮสต์ภายในจากบุคคลภายนอกได้

การทำ Inbound NAT ใช้ในกรณีที่ต้องการให้เครื่อง Application Server ที่อยู่ในเครือข่ายในองค์กรสามารถให้บริการกับผู้ใช้งานในอินเตอร์เน็ตได้ จำเป็นต้องมีการจับคู่ Private IP ของเครื่อง Server กับ Global IP แบบ Static

Basic Inbound NAT Source = 203.142.50.55 Destination = 192.168.1.12 Use Static Table

Network Address Port Translation จากปัญหาการ Mapping แบบ 1:1 ของ Private IP และ Global IP ซึ่งทำให้การใช้งาน NAT ไม่สะดวกนัก และมีค่าใช้จ่ายสูง จึงมีการนำ หมายเลข Port มาใช้ร่วมด้วย (Port Multiplexing) ในตาราง NAT Table เดิมเป็นการจับคู่ IP : IP กลายเป็น IP/Port : IP/Port แทน ทำให้เครื่องใน Private Network หลายเครื่องใช้ Global IP เดียวกันได้ ซึ่งประหยัดมาก NAPT (IETF) = PAT (CISCO)

Network Address Port Translation

Basic TCP/IP Connection ของการ NAPT

Many-to-One NAPT โดยใช้ Port Multiplexing

Logical View ของ NAPT แบบ Many-to-One

Logical View ของ NAPT แบบ Many-to-Many

Cisco Device Configuration

Cisco NAT “Cisco IOS NAT supports “bi-directional translation” through the simultaneous use of “inside source” and “outside source” translations” ตาราง NAT ของ Cisco ออกแบบไว้เผื่อในการทำ Bi-directional translation โดยเฉพาะ

NAT Terms Inside Local Addresses – IP address ของเครื่องภายในเครือข่าย Inside Global Address – IP address เครือข่ายภายนอกของ NAT BOX ที่จับคู่ให้กับเครื่องภายในเครือข่าย Outside Local Address - IP address ในเครือข่ายภายในที่จับคู่เป็น IP address ของเครื่องภายนอกเครือข่าย Outside Global Address - IP address ของเครื่องภายนอก

NAT Terms

NAT the Inside computer

NAT the Outside computer

PAT

PAT Features PAT uses unique source port numbers on the inside global IP address to distinguish between translations.

Configuring NAT and PAT

Configuring NAT

Configuring PAT

Verifying NAT and PAT Configuration

Troubleshooting NAT and PAT

Concern about NAT

Concerns about NAT ประสิทธิภาพการทำงาน: มีการเปลี่ยนค่า IP Header จึงต้องมีการคำนวณ Checksum ใหม่ทุกๆ แพ็กเก็ต การเปลี่ยนแปลงค่า Port ทำให้ต้องมีการเปลี่ยนแปลงค่า TCP Cheksum กรณี Fragmentation แพ็กเก็ตที่เกิดจากกระบวนการ Fragmentation จะต้องมีการเปลี่ยนแปลงค่า IP Address ให้เป็น IP Address เดียวกัน

Concerns about NAT End-to-end connectivity: การทำงานของ NAT ทำให้การเชื่อมต่อระหว่าง Host-Host ไม่มีการเกิดขึ้นจริง Host ที่อยู่ในอินเตอร์เน็ตไม่สามารถเริ่มการเชื่อมต่อกับ Host ในเครือข่ายภายใน การเชื่อมต่อระหว่างเครื่องที่อยู่ภายใน Private Network จะมีความยุ่งยาก

Concerns about NAT หมายเลขไอพีแอดเดรสในแอปพลิเคชั่น อุปกรณ์ NAT บางตัวจะสามารถประมวลผลข้อมูลในชั้น Application บาง Application ได้ และกำหนดการทำงานให้สอดคล้องกับ Application นั้นๆ ได้

Problems with NAT โพรโตคอลที่มีการใช้งาน Channel มากกว่า 1 Channel โพรโตคอลที่มีการเข้ารหัส TCP headers ในบางระบบมีต้องการกำหนดให้ใช้งานไอพีแอดเดรสนั้นๆ เท่านั้น เช่น IP Security , VPN

โพรโตคอลที่มีปัญหากับ NAT H.323, CUSeeMe, VDO Live – video teleconferencing applications Xing – Requires a back channel Rshell – used to execute command on remote Unix machine – back channel IRC – Internet Relay Chat – requires a back channel PPTP – Peer-to-Peer Tunneling Protocol SQLNet2 – Oracle Database Networking Services FTP – Must be RFC-1631 compliant to work ICMP – sometimes embeds the packed address info in the ICMP message IPSec – used for many VPNs IKE – Internet Key Exchange Protocol ESP – IP Encapsulating Security Payload

NAT and FTP Normal FTP operation

NAT and FTP NAT device with FTP support

NAT and FTP FTP in passive mode and NAT.

Issues With CISCO NAT

Discussion

Discussion Dynamic NAT : Internet Cafe Solution A Factory NAT Outgoing Traffic Only

Discussion Static NAT : Incoming Call A Factory NAT Allow Incoming Traffic

Discussion Complex Scenario ECC 161.246.4.0/24 A Factory NAT

Discussion NAT all src&dst Address (twice NAT) Using DNS to complete solution ECC 161.246.4.0/24 DNS A Factory NAT DNS 161.246.4.0/24