Network Address Translation

งานนำเสนอเรื่อง: "Network Address Translation"— ใบสำเนางานนำเสนอ:

1 Network Address Translation
อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง

2 วิวัฒนาการระบบสารสนเทศ
Stand Alone Intranet Internet

3 การเปลี่ยนแปลงในยุคองค์กรกับ Intranet
ต้องการใช้เครือข่ายภายใน และใช้ IP Address IP Address หลักถูกกำหนดให้ใช้กับเครือข่าย Internet เท่านั้น มีการกำหนด Private IP ให้ใช้งานในองค์กรได้ (RFC 1918)

4 Private Addressing

5 การเปลี่ยนแปลงในยุคองค์กรกับ Internet
มีความต้องการใช้งานอินเตอร์เน็ต ไม่ต้องการเปลี่ยนแปลงระบบงาน

6 Solution การทำ Network Address Translation
เพิ่มเติมอุปกรณ์ NAT Device ในเครือข่ายเป็น Gateway เพื่อใช้งานอินเตอร์เน็ต และตั้งค่าระบบเฉพาะใน NAT Device ไม่มีการปรับเปลี่ยน Configuration ในระบบ หรือมีการปรับเปลี่ยนเพียงเล็กน้อยเท่านั้น หมายเหตุ : ในช่วงแรกของการใช้ NAT ยังมีข้อจำกัดในการใช้งานมากมายจึงมีการพัฒนามาใช้งาน NAPT แทน

7 Network Address Translation
ใช้ private IP สำหรับเครือข่ายภายใน ใช้งาน global IP อย่างน้อย 1 หมายเลข สำหรับการส่งข้อมูลนอกองค์กร มีเพียงหนึ่งการเชื่อมต่อเท่านั้นที่ผ่าน NAT router

8 Address translation source IP address ของแพ็กเก็ตขาออก จะถูกเปลี่ยนเป็น global IP addresses โดย NAT router. destination IP address (global IP ของ NAT router) ของแพ็กเก็ตขาเข้า จะถูกเปลี่ยนเป็น private IP address ที่สอดคล้องกัน

9 Basic TCP/IP Connection
Source IP, Source Port, Dest IP, Dest Port เรียกรวมว่า Socket

10 Basic TCP/IP Connection ที่มีการ NAT

11 Logical Connections ในการ NAT

12 การทำงานของ NAT Router
การกำหนด Destination IP ของแพ็กเก็ตขาเข้าทำได้โดยใช้ Translation Table (private source IP ↔ Global destination IP) NAT Router จะมีหนึ่ง Global IP หรือมากกว่าได้

13 กรณีศึกษาที่ 1 : 1 Global IP Address

14 กรณีศึกษาที่ 1 : 1 Global IP Address
เครื่องภายในองค์กร 1 เครื่องจะใช้งานกับ 1 เครื่องปลายทางเท่านั้น Private network ไม่สามารถให้บริการ Application Server ใดๆ ได้

15 กรณีศึกษาที่ 2 : K Global IP Address
ใน private networkยังไม่สามารถให้บริการ Application Server ใดๆ ได้ การใช้งาน Network Services ของเครื่องปลายทางในอินเตอร์เน็ตจะเรียกใช้โดยเครื่องใน private network เพียงหนึ่งเครื่องเท่านั้น เปลือง IP Address มาก จึงมีการคิดค้น Network Address Port Translation

16 ISP and NAT

17 ข้อดีอื่นๆ ของการทำ NAT
การใช้ Private IP กับ NAT ช่วยแก้ปัญหาการขาดแคลน IP Address ได้ สามารถใช้ Private IP ซ้ำกันในแต่ละองค์กร การรักษาความปลอดภัยระบบเครือข่าย ถ้าไม่ได้กำหนดให้มีการเชื่อมต่อเกิดขึ้น Intranet Server ต่างๆ จะปลอดภัยเนื่องจากไม่สามารถเชื่อมต่อจากอินเตอร์เน็ตมายังเครือข่ายภายในได้

18 NAT in detail

19 คุณสมบัติของอุปกรณ์ NAT
สามารถกำหนดหมายเลขไอพีแอดเดรสได้ สามารถส่งผ่านแพ็กเก็ตของข้อมูลที่มีการเปลี่ยนแปลงแอดเดรสได้ สามารถเปลี่ยนแปลงข้อมูลของ ICMP payload ได้ Packets กำหนด IP + Forwarding Packets NAT BOX

20 กำหนดหมายเลขไอพีแอดเดรส
Static Address Assignment กำหนดคู่ Private IP กับ IP ภายนอกเหมือนเดิมทุกครั้งไว้ล่วงหน้า Dynamic Address Assignment กำหนดคู่ Private IP กับ IP ภายนอกอย่างอิสระ

21 ส่งผ่านแพ็กเก็ตของข้อมูลที่มีการเปลี่ยนแปลงแอดเดรส
การทำงานที่ไม่ขัดต่อการทำงานของระบบหมายเลขแอดเดรสทั้งสองระบบ ไม่เป็นปัญหาในการหาเส้นทางและการรับส่งข้อมูล ต้องไม่มีการส่งข้อมูล routing information ข้ามเครือข่าย กระบวนการเปลี่ยนหมายเลขไอพีแอดเดรส 3 ขั้นตอน ขั้นตอนในการจับคู่หมายเลขไอพีแอดเดรส (ตาม Configuration) การทำงานขณะที่มีการเชื่อมต่อกันแล้ว (จับคู่ตามที่กำหนดในขั้นตอนแรก) กระบวนการเมื่อสิ้นสุดการทำงาน

22 การเปลี่ยนแปลงข้อมูล ICMP payload
Destination Unreachable , Source-Quench , Time-Exceed และ Parameter-Problem ยกเว้น IP Address ใน Redirect Message* IP Header checksum ทั้งใน ICMP header และ IP header

23 รูปแบบการทำงานของ NAT
Outbound NAT เชื่อมต่อจากภายในออกสู่ภายนอกเครือข่ายเท่านั้น Basic NAT หรือ Network Address Port Translation Inbound NAT เชื่อมต่อจากภายนอกเข้าสู่ภายในเครือข่าย Static NAT Bi-Directional NAT เชื่อมต่อทั้งภายในและภายนอกได้ Twice NAT กรณี Network ID ของเครือข่ายภายในซ้ำกับ Network ID ของเครือข่ายภายนอก มีการเปลี่ยนแปลงค่า IP Header ทั้งขาเข้าและขาออก

24 Basic Outbound NAT

25 Basic Outbound NAT (continued)
Source = Destination = Source = Destination =

26 Basic Outbound NAT (continued)

27 ข้อเสียของ Outbound NAT
กรณีที่ใช้ Static Table เป็นการ NAT ที่ใช้ Registered IP ต่อ Private IP เป็น 1:1 จึงสิ้นเปลือง IP ไม่ช่วยปิดบังโฮสต์ที่อยู่ใน Internal Network เพราะการจับคู่ระหว่าง Registered IP กับ Private IP เป็นแบบตายตัว อาจทำให้บุคคลภายนอกสามารถตรวจสอบร่องรอยการใช้งานของโฮสต์ภายในได้

28 ข้อเสียของ Outbound NAT
จากข้อเสียของ Outbound NAT สามารถแก้ไขได้ด้วยการใช้ Dynamic Table โดยอาศัยการจับคู่ระหว่าง Registered IP กับ Private IP แบบหมุนเวียนไม่ซ้ำกัน (Dynamic) โดยไม่มีการจับคู่ทิ้งไว้ จึงทำเป็นการปิดบังโฮสต์ภายในจากบุคคลภายนอกได้

29 การทำ Inbound NAT ใช้ในกรณีที่ต้องการให้เครื่อง Application Server ที่อยู่ในเครือข่ายในองค์กรสามารถให้บริการกับผู้ใช้งานในอินเตอร์เน็ตได้ จำเป็นต้องมีการจับคู่ Private IP ของเครื่อง Server กับ Global IP แบบ Static

30 Basic Inbound NAT Source = 203.142.50.55 Destination = 192.168.1.12
Use Static Table

31 Network Address Port Translation
จากปัญหาการ Mapping แบบ 1:1 ของ Private IP และ Global IP ซึ่งทำให้การใช้งาน NAT ไม่สะดวกนัก และมีค่าใช้จ่ายสูง จึงมีการนำ หมายเลข Port มาใช้ร่วมด้วย (Port Multiplexing) ในตาราง NAT Table เดิมเป็นการจับคู่ IP : IP กลายเป็น IP/Port : IP/Port แทน ทำให้เครื่องใน Private Network หลายเครื่องใช้ Global IP เดียวกันได้ ซึ่งประหยัดมาก NAPT (IETF) = PAT (CISCO)

32 Network Address Port Translation

33 Basic TCP/IP Connection ของการ NAPT

34 Many-to-One NAPT โดยใช้ Port Multiplexing

35 Logical View ของ NAPT แบบ Many-to-One

36 Logical View ของ NAPT แบบ Many-to-Many

37 Cisco Device Configuration

38 Cisco NAT “Cisco IOS NAT supports “bi-directional translation” through the simultaneous use of “inside source” and “outside source” translations” ตาราง NAT ของ Cisco ออกแบบไว้เผื่อในการทำ Bi-directional translation โดยเฉพาะ

39 NAT Terms Inside Local Addresses – IP address ของเครื่องภายในเครือข่าย
Inside Global Address – IP address เครือข่ายภายนอกของ NAT BOX ที่จับคู่ให้กับเครื่องภายในเครือข่าย Outside Local Address - IP address ในเครือข่ายภายในที่จับคู่เป็น IP address ของเครื่องภายนอกเครือข่าย Outside Global Address - IP address ของเครื่องภายนอก

40 NAT Terms

41 NAT the Inside computer

42 NAT the Outside computer

43 PAT

44 PAT Features PAT uses unique source port numbers on the inside global IP address to distinguish between translations.

45 Configuring NAT and PAT

46 Configuring NAT

47 Configuring PAT

48 Verifying NAT and PAT Configuration

49 Troubleshooting NAT and PAT

50 Concern about NAT

51 Concerns about NAT ประสิทธิภาพการทำงาน:
มีการเปลี่ยนค่า IP Header จึงต้องมีการคำนวณ Checksum ใหม่ทุกๆ แพ็กเก็ต การเปลี่ยนแปลงค่า Port ทำให้ต้องมีการเปลี่ยนแปลงค่า TCP Cheksum กรณี Fragmentation แพ็กเก็ตที่เกิดจากกระบวนการ Fragmentation จะต้องมีการเปลี่ยนแปลงค่า IP Address ให้เป็น IP Address เดียวกัน

52 Concerns about NAT End-to-end connectivity:
การทำงานของ NAT ทำให้การเชื่อมต่อระหว่าง Host-Host ไม่มีการเกิดขึ้นจริง Host ที่อยู่ในอินเตอร์เน็ตไม่สามารถเริ่มการเชื่อมต่อกับ Host ในเครือข่ายภายใน การเชื่อมต่อระหว่างเครื่องที่อยู่ภายใน Private Network จะมีความยุ่งยาก

53 Concerns about NAT หมายเลขไอพีแอดเดรสในแอปพลิเคชั่น
อุปกรณ์ NAT บางตัวจะสามารถประมวลผลข้อมูลในชั้น Application บาง Application ได้ และกำหนดการทำงานให้สอดคล้องกับ Application นั้นๆ ได้

54 Problems with NAT โพรโตคอลที่มีการใช้งาน Channel มากกว่า 1 Channel
โพรโตคอลที่มีการเข้ารหัส TCP headers ในบางระบบมีต้องการกำหนดให้ใช้งานไอพีแอดเดรสนั้นๆ เท่านั้น เช่น IP Security , VPN

55 โพรโตคอลที่มีปัญหากับ NAT
H.323, CUSeeMe, VDO Live – video teleconferencing applications Xing – Requires a back channel Rshell – used to execute command on remote Unix machine – back channel IRC – Internet Relay Chat – requires a back channel PPTP – Peer-to-Peer Tunneling Protocol SQLNet2 – Oracle Database Networking Services FTP – Must be RFC-1631 compliant to work ICMP – sometimes embeds the packed address info in the ICMP message IPSec – used for many VPNs IKE – Internet Key Exchange Protocol ESP – IP Encapsulating Security Payload

56 NAT and FTP Normal FTP operation

57 NAT and FTP NAT device with FTP support

58 NAT and FTP FTP in passive mode and NAT.

59 Issues With CISCO NAT

60 Discussion

61 Discussion Dynamic NAT : Internet Cafe Solution A Factory NAT
Outgoing Traffic Only

62 Discussion Static NAT : Incoming Call A Factory NAT
Allow Incoming Traffic

63 Discussion Complex Scenario ECC 161.246.4.0/24 A Factory NAT

64 Discussion NAT all src&dst Address (twice NAT)
Using DNS to complete solution ECC /24 DNS A Factory NAT DNS /24