NAT Network Address Translation

NAT (RFC 1631) ofera posibilitatea schimbarii unei adrese IP cu o alta din
antetul unui pachet IP. In practica NAT se foloseste pentru a permite statiilor ce
utilizeaza adrese private sa acceseze Internetul.
Deoarece exista un numar destul de mare de retele neconectate la Internet,
IETF a incercat sa reglementeze folosirea adreselor in cadrul acestor retele. Solutia
(RFC 1918) a fost definirea unor spatii de adrese private, adrese ce nu pot fi rutate pe
Internet.
Clasa Spatiul de adrese
A

10.0.0.0/8

10.0.0.0 - 10.255.255.255

172.16.0.0/12

192.168.0.0/16 192.168.0.0 - 192.168.255.255

172.16.0.0 - 172.31.255.255

Obtinerea unei retele are un cost fix de 50 $ + taxe. Acest cost pare extrem de
mic, cu toate acestea procesul este anevoios, deoarece necesita justificarea
dimensiunii spatiului de adrese, precum si asteptarea de pana la 3 luni de zile.
Folosirea adreselor private ofera o schema de adresare rapida si comoda. In
plus datorita faptului ca adresele statiilor nu sunt accesibile din afara retelei folosirea
adreselor private este deseori considerata una dintre cele mai eficiente politici de
securitate.
Totodata adresele private pun o serie de probleme. Cea mai importanta este ca
ruterul prin care reteaua privata acceseaza Internetul va trebui sa fi capabil sa faca
conversia adreselor private in adrese publice, deci sa ruleze un serviciu de NAT.
Acest serviciu impune o latenta suplimentara pentru fiecare pachet ce tranziteaza
ruterul. Un alt dezavantaj este acela ca in interiorul unei retele private nu pot fi
plasate calculatoare ce ofera servicii publice, deoarece este imposibile de initiat
conexiuni din exterior catre acestea.
Translatarea statica a adreselor presupune constituirea unei tabele de
translatare ce va asigna intotdeauna aceeasi adresa publica pentru o adresa privata
data. Trebuie sa existe in acest caz un numar egal de adrese publice si adrese private.
Translatarea dinamica a adreselor presupune definirea unui rezervor de
adrese publice, iar apoi vor fi asignate in functie de ordinea in care statiile solicita
conexiuni cu Internetul. Odata incheiata ultima conexiune a unei statii adresa publica
este intoarsa in rezervorul de adrese, putand fi alocata unei alte statii. Avantajul major
al acestei implementari este ca numarul adreselor publice poate fi semnificativ mai
redus decat al celor private. Daca spre exemplu avem o retea cu 200 de calculatoare,

dar din care pe Internet nu sunt niciodata mai mult de un sfert, atunci se poate realiza
o translatare dinamica a adreselor pe un spatiu de 64 de adrese publice si nu 256 ca in
cazul translatarii statice.
Translatarea adreselor cu supraincarcare este forma cea mai des intalnita de
NAT, in prezent cand ne referim la translatarea adreselor in realitate ne referim la
translatarea adreselor cu supraincarcare. Aceasta metoda ofera posibilitatea folosirii
unei singure adrese publice pentru mai multe statii ce acceseaza Internetul. Din
aceasta cauza aceasta metoda mai este numita si NAT multi-la-unu sau PAT (Protocol
Addess Translation).
Cum functioneaza translatarea adreselor cu supraincarcare?
Fie o retea privata conectata la Internet printr-un ruter ce ruleaza NAT si statia
A (192.168.1.2) si B (192.168.1.3) doua calculatoare din reteaua privata. Adresele
pentru interfetele ruterului vor fi: 192.168.1.1 si 193.230.36.9. Presupunem ca ambele
incearca sa acceseze site-ul www.cs.pub.ro, a carei adresa IP este 141.85.37.20. Statia
A va incapsula cererea precizand in antetul de nivel transport potul destinatie: 80,
portul sursa: 3021, apoi la nivel retea or fi puse in antet adresa destinatie:
141.85.37.20, precum si adresa sursa: 192.168.1.2, la nivel legatura de date va pune
in campul adresa destinatie adresa MAC a ruterului, si propria sa adresa MAC in
campul adresa sursa. In mod similar statia B va incapsula cererea precizand in antetul
de nivel transport potul destinatie: 80, portul sursa: 12021, apoi la nivel retea or fi
puse in antet adresa destinatie: 141.85.37.20, precum si adresa sursa: 192.168.1.3, la
nivel legatura de date va pune in campul adresa destinatie adresa MAC a ruterului, si
propria sa adresa MAC in campul adresa sursa.
Odata ajunse la ruter cele doua pachete sunt despachetate. Campul adresa sursa
din antetul de nivel retea va fi inlocuit cu adresa ruterului de pe interfata dinspre
Internet: 193.230.36.9. Daca dupa aceasta operatiune pachetele ar fi rutate, ele ar
ajunge la destinatie, dar ruterul nu va fi capabil sa determine cui din reteaua privata ii
este adresat fiecare din cele doua raspunsuri pe care le va primi de la 141.85.37.20.
Serviciul de translatare a adresei se bazeaza pe construirea unei tabele ce va
stabili o corespondenta univoca intre o conexiune initiata de la o adresa privata
(adresa si port) cu un port de pe ruter. In cazul nostru pentru pachetul primit de la
statia A ruterul va dedica un port: 15989. Va schimba portul sursa din pachetul primit
de la A cu valoarea 15989, si orice va primi pe acest port va trebui reimpachetat cu
adresa destinatie 192.168.1.2:3021. Portul 15989 va ramane blocat pana la incheirea
conexiunii de web initiate de pe statia A catre www.cs.pub.ro.
Desi teoretic pe o singura adresa publica pot fi mapate ai mult de 65000 de
conexiuni, in realitate implementarile de NAT nu mapeaza mai mult de 4000 de
conexiuni pentru o adresa publica.

Pentru retelele mari translatarea adreselor se face combinand translatarea

dinamica a adreselor cu translatarea adreselor cu supraincarcare.
NAT (Network Address Translation - translatarea adresei de reea) este un
procedeu prin care antetul pachetelor IP este modificat pentru a transforma adresa IP
surs sau destinaie ntr-o alta.
n prezent, cea mai frecvent utilizare pentru NAT este maparea mai multor
adrese private pe o singur adres public. Aceast utilizare este cunoscut ca PAT
(Port Address Translation) sau NAPT (Network Address Port Translation).
n Internet se folosete pentru identificarea dispozitivelor conectate n reea
adresa IP. Protocolul actualmente implementat care rezolv problemele de adresare
este IP, ajuns la versiunea a 4-a. n aceast versiune, pentru fiecare adres se folosesc
32 de biti, ceea ce d teoretic 4.294.967.296 de combinaii. Dar nu toate aceste adrese
sunt disponibile, pentru c o parte a lor sunt folosite pentru alte cazuri (ex.
Multicasting). Dei se preconizeaz trecerea la IP ver6, care reprezint adresele pe 16
octeti, situaia actual cere rezolvarea crizei de adrese IP.
Mecanismul care se folosete este NAT (Network Address Translation)
translatarea adreselor de reea. Astfel pentru un grup (o reea local) de calculatoare
se folosesc un numr de adrese IP de obicei inferior numrului de calculatoare care
doresc s acceseze Internetul.
Ideea mecanismului este urmatoarea: cnd un calculator cu adresa IP local
face o cerere ctre o gazd din exterior, ruterul NAT (serverul care face translatarea
de adres) va reine cine a fcut cererea i va trimite datele folosind adresa IP public
drept adres surs. Cnd primete un rspuns napoi, ruterul NAT va trebui s rezolve
problema redirectrii napoi a acestui rspuns ctre calculatorul care a fcut cererea.
Fie i numrul de adrese care sunt alocate calculatoarelor din LAN si e numrul
de adrese IP externe (rutabile).
Dup modul n care se face corespondena ntre adresele interne i cele externe,
mecanismul are mai multe forme: NAT static, NAT dynamic i Masquerading (PAT).
n cazul NAT static maparea ntre adresele locale si cele externe este de 1:1,
adic ruterul poate de fiecare dat s asigneze unei cereri o adres IP extern, iar
pachetele care pleac de la un calculator, pleac de fiecare dat cu aceeai adres
(e>=i). Ruterul NAT trebuie s fac maparea dintr-o adres intern ntr-o adres
extern pe baza unei tabele interne. Este util atunci cnd dispozitivul trebuie s fie
vzut din exteriorul reelei. Principiul de lucru a protocolului NAT static este
prezentat n figura 1:

Figura 1. NAT static

Cazul NAT static este rar ntlnit. Mai des se ntampl ca numrul de adrese din
reeaua IP intern s fie mai mare dect numrul de adrese disponibile ctre exterior,
adic i>=e>1. Varianta static ar mpiedica dialogul cu exteriorul ntre i-e
calculatoare din interior i exteriorul reelei, de aceea se folosete NAT dynamic.
Principiul de lucru a protocolului Nat dinamic este prezentat n figura 2:

Figura 2. NAT dinamic

O grupare a mai multor calculatoare ale cror pachete s primeasc mereu
aceeai adres de ieire este neoptim, deoarece dou calculatoare care se afl n
aceeai grupare nu pot comunica n exterior, chiar dac n alte grupuri de calculatoare
nu avem comunicare. Un calculator B aflat n aceai grupare cu A trebuie s atepte
ca A s termine de transmis, pentru a putea transmite i el.
NAT-ul dinamic pesupune ca ruterul va face translatarea ntre o adres intern
i prima adres externa care este liber. Limitarea apare din faptul c n momentul n
care e calculatoare comunic n exterior, un alt calculator care dorete s fac acelasi
lucru va trebui s atepte eliberarea unei adrese externe.
Pentru a facilita comunicarea, trebuie construite n mod dinamic tabele. La
sosirea unei cereri de conectare, ruterul trebuie s memoreze perechea (adresa local,
adresa extern) ntre care a fcut translaia pentru a putea transmite corect
rspunsurile ctre calculatorul care a fcut conexiunea. Uneori acest mecanism se
folosete chiar i atunci cnd exist suficiente adrese externe; ieirea unui calculator
se face de fiecare dat prin alt IP extern. In acest mod este imposibil pentru cineva
din exterior s stabileasc o conexiune cu un calculator din spatele ruterului NAT, din
cauza adresei IP variabile a calculatorului referit.
Un caz care se ntlnete i mai des dect cele de dinainte este atunci cnd e=1.
Metode de lucru de la punctul anterior nu mai este valabil, pentru c ar nsemna c
la un moment dat doar un singur calculator poate stabili o conexiune. Rezolvarea vine
prin folosirea acelui unic IP de ieire, dar a diferitelor porturi pentru fiecare
conexiune iniiat. Pachetele sunt transmise prin porturi diferite, deci i rspunsurile
vor veni pe porturi diferite, putnd fi astfel identificat calculatorul (de ctre serverul
NAT) cruia i se adreseaz acele pachete. Principiul de lucru a protocolului PAT este
prezentat n figura 3:

Figura 3. PAT (Masquerading)

Masquerading-ul este cea mai ieftin metod de conectare a unui LAN la
Internet, avnd n vedere c achiziionarea unei adrese IP externe (rutabile) se face din
ce in ce mai greu.
Exist cateva pri ale lui NAT care i vor permite s reziste i dup folosirea pe
scar larg a lui IP ver 6. O vom prezenta pe cea mai evident i uor de ineles:
Serverele virtuale o adres IP specific practic nu numai un calculator, ci i
un serviciu pe care l doresc. Dac acest serviciu este implementat de ctre mai multe
calculatoare, atunci ar fi util ca referirea la acest IP s nsemne de fapt referirea la
unul din calculatoarele care implementeaz serviciul. n funcie de modul n care
serverul NAT rezolv aceste probleme, se rezolv diferite aspecte ale ncarcrii pe
retea/pe servere. Ruterul NAT poate s verifice ncrcarea fiecrui server care ofer
serviciul i s trimit pachetul ctre serverul cel mai puin ncrcat. Algoritmii de
decizie sunt aici partea critic a aplicaiei. Trebuie fcut un compromis ntre
ncrcarea reelei cu interogri de ncrcare a fiecrui server i ncrcarea inegal a
serverelor.
Rute multiple pentru o destinaie este posibil ca legtura ntre un LAN i
Internet s nu se fac doar printr-un provider de internet (ISP). n clipa n care se cere
o conectare la exterior din LAN, serverul NAT poate verifica ncrcarea rutelor de
comunicare ntre LAN i Internet, via cei 2 (sau mai multi provideri) pentru a alege
calea cea mai puin congestionat (pe linia respectiv s fie cea mai mic coad de
ateptare, de ex).
Avantajele protocolului NAT:
Permite economisirea adreselor IP, translatnd cteva adrese IP interne ntr-o
adres IP extern rutabil sau un numr de adrese IP interne mai mare ntr-un numr
de adrese IP externe rutabile mai mic. Dup aa un principiu sunt construite
majoritatea reelelor de comunicaii din lume.
Permite prentmpinarea sau limitarea adresrii din exterior la hosturile din
interior, totodat lsnd posibilitatea adresrii din interior n exteriorul reelei. La
iniializarea conexiunii din interiorul reelei se efectueaz translatarea. Pachetele de
rspuns, venite din exteriorul reelei, corespund translatrii create i pot trece. ns
dac o astfel de translatare nu a fost creat atunci pachetele nu pot trece.
Permite ascunderea anumitor servicii ale serverelor/hosturilor interne. n
principiu, are loc aceiai translatare la un anumit port, ns exist posibilitatea de a
schimba un port a unui serviciu nregistrat pe un numr de port efemer (de exemplu

portul 80 a serviciului http pe un port extern 54055). Astfel se ridic nivelul de

securitate.
Dezavantajele protocolului NAT:
Nu toate protocoalele pot s treac de NAT. Exemple de astfel de protocoale
ar fi H.323, SMTP.
Dac NAT este folosit pentru conectarea mai multor utilizatori la acelai
server se poate crea iluzia unui atac DoS (de exemplu mulimea de utilizatori ICQ
peste NAT poate aduce la probleme de conexiune cu serverul a unor utilizatori; o
soluionare parial a problemei date ar fi folosirea unei grupe de adrese).
Limitarea numrului de staii de lucru (maini) la o adres IP real (rutabil),
ceea ce se explic prin limitarea numrului deporturi: 65536 4096 = 61440 de
porturi disponibile.
Din protocoalele de nivelul 4 dup modelul OSI NAT poate lucra doar cu
TCP i UDP, alte protocoale de transport nu pot fi folosite.
Protocolul NAT ncalc definirea modelului OSI, lucrnd simultan la 2 nivele
(adres IP nivelul 3, numrul portului nivelul 4) i definirea adresei IP, care
identific o singur staie de lucru.
Protocolul NAT, datorit translatrii impune o ntrziere n timp a
transmisiunii.
Diapazonul de adrese IP private este urmtorul:
10.0.0.0 10.255.255.255
172.16.0.0 172.31.255.255
192.168.0.0 192.168.255.255

PARTEA PRACTIC
Scopul: realizarea unei retele pe componentele careia de configurat protocolul
NAT i PAT.
1)Configurarea NAT:
a*Realizam in CISCO Packet Tracer urmatoarea retea alcatuita din citeva PCuri,un router si 2 switch-uri.

b* Configurm componentele retelei conferindu-le Ip-uri,masti,desemnind

gateway-urile pentru PC-uri.
c*Configurm pe routere protocolul NAT i anume NAT static, asignnd
interfeelor FastEthernet sursa static intern a IP NAT pentru intern i pentru extern
prin comanda : IP NAT inside source static

d* Verificm tabela de retranslatare din IP local n IP global prin comanda :

show ip nat translations sau sh ip nat translations

e*Verificm pingul transmiterii pachetelor n reea , i dac n-avem pierderi

de pachete atunci putem constata c am realizat cu succes scopul lucrrii date.

1)Configurarea NAT:
a*La configurarea protocolului PAT vom utiliza aceeiai reea creat anterior .
Deasemeni, configurm interfeele FastEthernet ale Routerului, n seciunea de
configurare CLI, asignndu-i se reeaua cu care va iei n intern/extern :

b*Configurm pe routere protocolul PAT i anume PAT static, asignnd

interfeelor FastEthernet sursa static TCP intern a IP NAT pentru intern i pentru
extern prin comanda : IP NAT inside source static TCP

c*Verificm tabela de retranslatare din IP local n IP global prin comanda :

show ip nat translations sau sh ip nat translations

d*Verificm pingul adic timpul de via a transmiterii pachetelor n reea i

dac n-avem pierderi de pachete atunci putem constata c am realizat cu succes
scopul lucrrii date.

Concluzii:
Putem concluziona ca NAT (Network Address Translation - translatarea adresei
de reea) este un procedeu prin care antetul pachetelor IP este modificat pentru a
transforma adresa IP surs sau destinaie ntr-o alta.n prezent, cea mai frecvent
utilizare pentru NAT este maparea mai multor adrese private pe o singur adres
public. Aceast utilizare este cunoscut ca PAT (Port Address Translation) sau
NAPT (Network Address Port Translation).
n aceast lucrare de laborator am fcut cunotin cu protocolul NAT i PAT,
cu necesitatea apariiei i utilizrii acestuia i de asemenea cu avantajele i
dezavantajele folosirii protocolului NAT i PAT. Este de menionat faptul c am
sesizat utilitatea resurselor internetului pentru elaborarea acestei lucrri de laborator.

Ministerul nvmntului a Republicii Moldova

Universitatea Tehnic a Moldovei
Facultatea Inginerie i Management n Electronic i Telecomunicaii

Lucrare de laborator nr.4

La disciplina: Protocoale,modelarea i analiza reelelor de comunicaii
Tema:Protocoalele NAT i PAT

A efectuat:

Std.gr.IMTC-101
Cortac Oxana

A verificat:

Lector superior
Russu Gabriel

Chiinu 2013