Network Address Translator (NAT) je obecně zařízení, které mění v procházejících IP datagramech adresy odesilatele a/nebo příjemce. Nejčastěji se používá v IPv4 k připojení koncové sítě, která používá neveřejné adresy podle RFC 1918, k Internetu. Například průměrný ADSL modem zpravidla vykonává funci NAT.
NAT disponuje určitou sadou veřejných IP adres, nejčastěji jen jednou. Když počítač v koncové síti připojené prostřednictvím NAT zahájí komunikaci směrem do Internetu, přiřadí mu NAT dynamicky jednu z veřejných adres, přidá si do své překladové tabulky záznam o této dvojici adres a u datagramů odcházejících do Internetu od daného počítače mění zdrojovou adresu z původní neveřejné na přiřazenou veřejnou. Analogicky pak v přicházejících datagramech mění cílovou veřejnou IP adresu na přiřazenou neveřejnou. Pokud pro určitou položku delší dobu neprobíhá žádná komunikace, bude z tabulky odstraněna a přiřazená veřejná IP adresa se uvolní pro další využití.
Nejčastěji má NAT k dispozici jen jedinou veřejnou IP adresu, svou vlastní. V takovém případě používá k identifikaci jednotlivých datových toků klientů z vnitřní sítě kombinaci IP adres a portů transportního protokolu (TCP nebo UDP). Záznamy v překladové tabulce obsahují vždy IP adresu a port vnitřního počítače a IP adresu a port, na něž se má přeložit zdrojová adresa+port při odesílání datagramu do Internetu a naopak z nichž se má převést cílová adresa v přicházejících datagramech. Správně by takové zařízení mělo být označováno NAPT (Network Address and Protocol Translator), ale tento pojem se prakticky nepoužívá.
NAT představuje významnou překážku pro komunikaci, protože připouští navázání komunikace jen jedním směrem - z koncové sítě do veřejného Internetu. Navázat spojení nelze, protože počítače ve vnitřní síti používají neveřejné adresy a není je jak identifikovat, dokud samy nezahájí komunikaci a nevytvoří tak záznam v překladové tabulce. Naršuje se tím jeden ze základních principů Internetu - schopnost přímé komunikace libovolných dvou strojů.
V protokolech síťových služeb se proto vymýšlejí více či méně krkolomná řešení, jak tento nedostatek obejít. Zpravidla se používá určitý kontaktní server s veřejnou adresou a klient zahajuje svou činnost tím, že se připojí k tomuto serveru. Jeho prostřednictvím lze pak získat (jimi navázané) spojení na další klienty.
Nasazením NATu se také komplikuje řešení problémů v síťové komunikaci. NAT prostřednictvím své překladové tabulky zavádí do infrastruktury stavovou informaci, která má navíc dočasný charakter. V době hledání příčiny problému už vše může být jinak…
Hlavní předností NATu je, že zmenšuje spotřebu adres. Bez nich by pravděpodobně byly IPv4 adresy již vyčerpány. Bohužel s tenčící se zásobou IPv4 adres dnes dochází i k několikanásobnému NATování, kdy koncové NATy zákazníků již nedostávají žádnou veřejnou adresu a procházejí centrálním či lokálním NATem poskytovatelovy sítě.
NAT má také pozitivní dopady na bezpečnost - k vnitřním počítačům nelze navázat komunikaci, nelze tedy na ně ani útočit. NAT ovšem není bezpečnostní prvek a tato ochrana není stoprocentní. Existují metody, jak NATem projít.
Právě bepečnostní hlediska vedla k vytvoření několika typů NATů. Liší se podle svého chování během komunikace.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz