який проходить між іншими інтерфейсами на маршрутизаторі, ніколи не транслюється, і пересилається як є. адреси мають різні позначення, засновані на тому, чи перебувають вони на приватній мережі (домен) або на громадської мережі (Інтернет) і чи є трафік вхідними або вихідними.
Більшість комп'ютерів в домені спілкується один з одним, використовуючи внутрішні локальні адреси.
Деякі комп'ютери в домені взаємодіють із зовнішньою мережею. Ці комп'ютери мають внутрішні глобальні адреси, що означає, що вони не вимагають трансляції.
Коли комп'ютер в домені, який має внутрішній локальний адреса, хоче взаємодіяти з зовнішньою мережею, пакет йде в один з NAT-маршрутизаторів допомогою звичайної маршрутизації. маршрутизатор перевіряє таблицю маршрутизації, щоб подивитися, чи є в нього запис для кінцевого адреси. Якщо адреса приймача не знаходиться в таблиці маршрутизації, пакет відкидається. Якщо запис доступна, роутер перевіряє, чи йде пакет з внутрішньої мережі в зовнішню, а також, чи відповідає пакет критеріям, визначеним для трансляції. Потім маршрутизатор перевіряє таблицю трансляції адрес, щоб з'ясувати, чи існує запис для внутрішнього локального адреси і відповідного йому внутрішнього глобального адреси. Якщо запис знайдений, він транслює пакет, використовуючи внутрішній глобальний адресу. Якщо зконфігурований тільки статичний NAT, і ніякого запису, не знайдено, то роутер посилає пакет без трансляції.
Використовуючи внутрішній глобальна адреса, маршрутизатор пересилає пакет його адресату. Комп'ютер на громадської мережі посилає пакет у приватну мережу. Адреса джерела в пакеті - це зовнішній глобальний адресу. Адреса приймача - внутрішній глобальний адресу. Коли пакет прибуває в зовнішню мережу, NAT-маршрутизатор дивиться в таблицю трансляцій і визначає адресу приймача, відображений на комп'ютер в домені. маршрутизатор транслює внутрішній глобальна адреса пакету на внутрішній локальний адресу і потім перевіряє таблицю маршрутизації перш, ніж пошле пакет кінцевому комп'ютера. Всякий раз, коли записи не знайдений для адреси в таблиці трансляцій, пакет не транслюється і роутер продовжує перевірку таблиці маршрутизації на пошук адреси приймача.
IP адреси визначають дві машини з кожного боку, в той час як номери портів гарантують, що з'єднання між цими двома комп'ютерами має унікальний ідентифікатор. Комбінація цих чотирьох чисел визначає єдине з'єднання TCP/IP. Кожен номер порту використовує 16 бітів, що означає, що існує 65 536 (2 ^ 16) можливих значення. Насправді, так як різні виробники відображають порти трохи різними способами, ви можете очікувати приблизно 4000 доступних портів.
4. Безпека і адміністрування
Реалізація динамічного NAT автоматично створює міжмережеву захист між вашою внутрішньою мережею і зовнішніми мережами або Інтернет. Динамічний NAT дозволяє тільки підключення, які породжуються в локальній мережі. По суті, це означає, що комп'ютер на зовнішньої мережі не може з'єднатися з вашим комп'ютером, якщо ваш комп'ютер не почав з'єднання. Таким чином, ви можете працювати в Інтернеті і з'єднатися з сайтом, і навіть вивантажити файл. Але більше ніхто не може просто зазіхнути на ваш IP адреса і використовувати його, щоб з'єднатися з портом на вашому комп'ютері.
Статичний NAT, також званий вхідним мапінг (inbound mapping), дозволяє підключення, ініційовані зовнішніми пристроями до комп'ютерів в LAN при певних обставинах. Наприклад, ви можете відобразити внутрішній глобальна адреса на певний внутрішній локальний адреса, який призначений на ваш Web-сервер.
Статичний NAT дозволяє комп'ютеру в LAN підтримувати певну адресу, спілкуючись з пристроями поза мережею (рис.4).
Рис.4 Вхідний мапінг в статичному NAT
Деякі NAT маршрутизатори передбачають обширну фільтрацію і логирование трафіку. Фільтрація дозволяє вашій компанії контролювати, які сайти на Мережі відвідують працівники, перешкоджаючи їм переглядати сумнівний матеріал. Ви можете використовувати реєстрацію трафіку, щоб створити журнал, які сайти відвідуються і на підставі цього генерувати різні звіти.
Іноді мережевих адрес плутають з проксі-серверами, де є певні відмінності. NAT прозорий для комп'ютерів джерела і приймача. Ніхто з них не знає, що це має справу з третім пристроєм. Але проксі сервер не прозорий. Вихідний комп'ютер знає, що це робить запит на проксі. Комп'ютер адресата думає, що проксі сервер - це вихідний комп'ютер і має справу з безпосередньо ним. Крім того, проксі-сервери зазвичай працюють на рівні 4 (Transport) моделі OSI або вище, у той час як NAT - це протокол рівня 3 (Network). Робота на більш високих рівнях робить проксі-сервери повільніше ніж NAT пристрою...