ดาวน์โหลดงานนำเสนอ
งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ
1
Network Address Translation
อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง
2
วิวัฒนาการระบบสารสนเทศ
Stand Alone Intranet Internet
3
การเปลี่ยนแปลงในยุคองค์กรกับ Intranet
ต้องการใช้เครือข่ายภายใน และใช้ IP Address IP Address หลักถูกกำหนดให้ใช้กับเครือข่าย Internet เท่านั้น มีการกำหนด Private IP ให้ใช้งานในองค์กรได้ (RFC 1918)
4
Private Addressing
5
การเปลี่ยนแปลงในยุคองค์กรกับ Internet
มีความต้องการใช้งานอินเตอร์เน็ต ไม่ต้องการเปลี่ยนแปลงระบบงาน
6
Solution การทำ Network Address Translation
เพิ่มเติมอุปกรณ์ NAT Device ในเครือข่ายเป็น Gateway เพื่อใช้งานอินเตอร์เน็ต และตั้งค่าระบบเฉพาะใน NAT Device ไม่มีการปรับเปลี่ยน Configuration ในระบบ หรือมีการปรับเปลี่ยนเพียงเล็กน้อยเท่านั้น หมายเหตุ : ในช่วงแรกของการใช้ NAT ยังมีข้อจำกัดในการใช้งานมากมายจึงมีการพัฒนามาใช้งาน NAPT แทน
7
Network Address Translation
ใช้ private IP สำหรับเครือข่ายภายใน ใช้งาน global IP อย่างน้อย 1 หมายเลข สำหรับการส่งข้อมูลนอกองค์กร มีเพียงหนึ่งการเชื่อมต่อเท่านั้นที่ผ่าน NAT router
8
Address translation source IP address ของแพ็กเก็ตขาออก จะถูกเปลี่ยนเป็น global IP addresses โดย NAT router. destination IP address (global IP ของ NAT router) ของแพ็กเก็ตขาเข้า จะถูกเปลี่ยนเป็น private IP address ที่สอดคล้องกัน
9
Basic TCP/IP Connection
Source IP, Source Port, Dest IP, Dest Port เรียกรวมว่า Socket
10
Basic TCP/IP Connection ที่มีการ NAT
11
Logical Connections ในการ NAT
12
การทำงานของ NAT Router
การกำหนด Destination IP ของแพ็กเก็ตขาเข้าทำได้โดยใช้ Translation Table (private source IP ↔ Global destination IP) NAT Router จะมีหนึ่ง Global IP หรือมากกว่าได้
13
กรณีศึกษาที่ 1 : 1 Global IP Address
14
กรณีศึกษาที่ 1 : 1 Global IP Address
เครื่องภายในองค์กร 1 เครื่องจะใช้งานกับ 1 เครื่องปลายทางเท่านั้น Private network ไม่สามารถให้บริการ Application Server ใดๆ ได้
15
กรณีศึกษาที่ 2 : K Global IP Address
ใน private networkยังไม่สามารถให้บริการ Application Server ใดๆ ได้ การใช้งาน Network Services ของเครื่องปลายทางในอินเตอร์เน็ตจะเรียกใช้โดยเครื่องใน private network เพียงหนึ่งเครื่องเท่านั้น เปลือง IP Address มาก จึงมีการคิดค้น Network Address Port Translation
16
ISP and NAT
17
ข้อดีอื่นๆ ของการทำ NAT
การใช้ Private IP กับ NAT ช่วยแก้ปัญหาการขาดแคลน IP Address ได้ สามารถใช้ Private IP ซ้ำกันในแต่ละองค์กร การรักษาความปลอดภัยระบบเครือข่าย ถ้าไม่ได้กำหนดให้มีการเชื่อมต่อเกิดขึ้น Intranet Server ต่างๆ จะปลอดภัยเนื่องจากไม่สามารถเชื่อมต่อจากอินเตอร์เน็ตมายังเครือข่ายภายในได้
18
NAT in detail
19
คุณสมบัติของอุปกรณ์ NAT
สามารถกำหนดหมายเลขไอพีแอดเดรสได้ สามารถส่งผ่านแพ็กเก็ตของข้อมูลที่มีการเปลี่ยนแปลงแอดเดรสได้ สามารถเปลี่ยนแปลงข้อมูลของ ICMP payload ได้ Packets กำหนด IP + Forwarding Packets NAT BOX
20
กำหนดหมายเลขไอพีแอดเดรส
Static Address Assignment กำหนดคู่ Private IP กับ IP ภายนอกเหมือนเดิมทุกครั้งไว้ล่วงหน้า Dynamic Address Assignment กำหนดคู่ Private IP กับ IP ภายนอกอย่างอิสระ
21
ส่งผ่านแพ็กเก็ตของข้อมูลที่มีการเปลี่ยนแปลงแอดเดรส
การทำงานที่ไม่ขัดต่อการทำงานของระบบหมายเลขแอดเดรสทั้งสองระบบ ไม่เป็นปัญหาในการหาเส้นทางและการรับส่งข้อมูล ต้องไม่มีการส่งข้อมูล routing information ข้ามเครือข่าย กระบวนการเปลี่ยนหมายเลขไอพีแอดเดรส 3 ขั้นตอน ขั้นตอนในการจับคู่หมายเลขไอพีแอดเดรส (ตาม Configuration) การทำงานขณะที่มีการเชื่อมต่อกันแล้ว (จับคู่ตามที่กำหนดในขั้นตอนแรก) กระบวนการเมื่อสิ้นสุดการทำงาน
22
การเปลี่ยนแปลงข้อมูล ICMP payload
Destination Unreachable , Source-Quench , Time-Exceed และ Parameter-Problem ยกเว้น IP Address ใน Redirect Message* IP Header checksum ทั้งใน ICMP header และ IP header
23
รูปแบบการทำงานของ NAT
Outbound NAT เชื่อมต่อจากภายในออกสู่ภายนอกเครือข่ายเท่านั้น Basic NAT หรือ Network Address Port Translation Inbound NAT เชื่อมต่อจากภายนอกเข้าสู่ภายในเครือข่าย Static NAT Bi-Directional NAT เชื่อมต่อทั้งภายในและภายนอกได้ Twice NAT กรณี Network ID ของเครือข่ายภายในซ้ำกับ Network ID ของเครือข่ายภายนอก มีการเปลี่ยนแปลงค่า IP Header ทั้งขาเข้าและขาออก
24
Basic Outbound NAT
25
Basic Outbound NAT (continued)
Source = Destination = Source = Destination =
26
Basic Outbound NAT (continued)
27
ข้อเสียของ Outbound NAT
กรณีที่ใช้ Static Table เป็นการ NAT ที่ใช้ Registered IP ต่อ Private IP เป็น 1:1 จึงสิ้นเปลือง IP ไม่ช่วยปิดบังโฮสต์ที่อยู่ใน Internal Network เพราะการจับคู่ระหว่าง Registered IP กับ Private IP เป็นแบบตายตัว อาจทำให้บุคคลภายนอกสามารถตรวจสอบร่องรอยการใช้งานของโฮสต์ภายในได้
28
ข้อเสียของ Outbound NAT
จากข้อเสียของ Outbound NAT สามารถแก้ไขได้ด้วยการใช้ Dynamic Table โดยอาศัยการจับคู่ระหว่าง Registered IP กับ Private IP แบบหมุนเวียนไม่ซ้ำกัน (Dynamic) โดยไม่มีการจับคู่ทิ้งไว้ จึงทำเป็นการปิดบังโฮสต์ภายในจากบุคคลภายนอกได้
29
การทำ Inbound NAT ใช้ในกรณีที่ต้องการให้เครื่อง Application Server ที่อยู่ในเครือข่ายในองค์กรสามารถให้บริการกับผู้ใช้งานในอินเตอร์เน็ตได้ จำเป็นต้องมีการจับคู่ Private IP ของเครื่อง Server กับ Global IP แบบ Static
30
Basic Inbound NAT Source = 203.142.50.55 Destination = 192.168.1.12
Use Static Table
31
Network Address Port Translation
จากปัญหาการ Mapping แบบ 1:1 ของ Private IP และ Global IP ซึ่งทำให้การใช้งาน NAT ไม่สะดวกนัก และมีค่าใช้จ่ายสูง จึงมีการนำ หมายเลข Port มาใช้ร่วมด้วย (Port Multiplexing) ในตาราง NAT Table เดิมเป็นการจับคู่ IP : IP กลายเป็น IP/Port : IP/Port แทน ทำให้เครื่องใน Private Network หลายเครื่องใช้ Global IP เดียวกันได้ ซึ่งประหยัดมาก NAPT (IETF) = PAT (CISCO)
32
Network Address Port Translation
33
Basic TCP/IP Connection ของการ NAPT
34
Many-to-One NAPT โดยใช้ Port Multiplexing
35
Logical View ของ NAPT แบบ Many-to-One
36
Logical View ของ NAPT แบบ Many-to-Many
37
Cisco Device Configuration
38
Cisco NAT “Cisco IOS NAT supports “bi-directional translation” through the simultaneous use of “inside source” and “outside source” translations” ตาราง NAT ของ Cisco ออกแบบไว้เผื่อในการทำ Bi-directional translation โดยเฉพาะ
39
NAT Terms Inside Local Addresses – IP address ของเครื่องภายในเครือข่าย
Inside Global Address – IP address เครือข่ายภายนอกของ NAT BOX ที่จับคู่ให้กับเครื่องภายในเครือข่าย Outside Local Address - IP address ในเครือข่ายภายในที่จับคู่เป็น IP address ของเครื่องภายนอกเครือข่าย Outside Global Address - IP address ของเครื่องภายนอก
40
NAT Terms
41
NAT the Inside computer
42
NAT the Outside computer
43
PAT
44
PAT Features PAT uses unique source port numbers on the inside global IP address to distinguish between translations.
45
Configuring NAT and PAT
46
Configuring NAT
47
Configuring PAT
48
Verifying NAT and PAT Configuration
49
Troubleshooting NAT and PAT
50
Concern about NAT
51
Concerns about NAT ประสิทธิภาพการทำงาน:
มีการเปลี่ยนค่า IP Header จึงต้องมีการคำนวณ Checksum ใหม่ทุกๆ แพ็กเก็ต การเปลี่ยนแปลงค่า Port ทำให้ต้องมีการเปลี่ยนแปลงค่า TCP Cheksum กรณี Fragmentation แพ็กเก็ตที่เกิดจากกระบวนการ Fragmentation จะต้องมีการเปลี่ยนแปลงค่า IP Address ให้เป็น IP Address เดียวกัน
52
Concerns about NAT End-to-end connectivity:
การทำงานของ NAT ทำให้การเชื่อมต่อระหว่าง Host-Host ไม่มีการเกิดขึ้นจริง Host ที่อยู่ในอินเตอร์เน็ตไม่สามารถเริ่มการเชื่อมต่อกับ Host ในเครือข่ายภายใน การเชื่อมต่อระหว่างเครื่องที่อยู่ภายใน Private Network จะมีความยุ่งยาก
53
Concerns about NAT หมายเลขไอพีแอดเดรสในแอปพลิเคชั่น
อุปกรณ์ NAT บางตัวจะสามารถประมวลผลข้อมูลในชั้น Application บาง Application ได้ และกำหนดการทำงานให้สอดคล้องกับ Application นั้นๆ ได้
54
Problems with NAT โพรโตคอลที่มีการใช้งาน Channel มากกว่า 1 Channel
โพรโตคอลที่มีการเข้ารหัส TCP headers ในบางระบบมีต้องการกำหนดให้ใช้งานไอพีแอดเดรสนั้นๆ เท่านั้น เช่น IP Security , VPN
55
โพรโตคอลที่มีปัญหากับ NAT
H.323, CUSeeMe, VDO Live – video teleconferencing applications Xing – Requires a back channel Rshell – used to execute command on remote Unix machine – back channel IRC – Internet Relay Chat – requires a back channel PPTP – Peer-to-Peer Tunneling Protocol SQLNet2 – Oracle Database Networking Services FTP – Must be RFC-1631 compliant to work ICMP – sometimes embeds the packed address info in the ICMP message IPSec – used for many VPNs IKE – Internet Key Exchange Protocol ESP – IP Encapsulating Security Payload
56
NAT and FTP Normal FTP operation
57
NAT and FTP NAT device with FTP support
58
NAT and FTP FTP in passive mode and NAT.
59
Issues With CISCO NAT
60
Discussion
61
Discussion Dynamic NAT : Internet Cafe Solution A Factory NAT
Outgoing Traffic Only
62
Discussion Static NAT : Incoming Call A Factory NAT
Allow Incoming Traffic
63
Discussion Complex Scenario ECC 161.246.4.0/24 A Factory NAT
64
Discussion NAT all src&dst Address (twice NAT)
Using DNS to complete solution ECC /24 DNS A Factory NAT DNS /24
งานนำเสนอที่คล้ายกัน
© 2024 SlidePlayer.in.th Inc.
All rights reserved.