กลับไปหน้าบทความ

อ่าน 3 นาที

การทะลุผ่าน NAT

เปลี่ยนเส้นทางไปยังส่วนต่างๆ

การทะลุผ่านตัวแปลที่อยู่เครือข่าย (Network Address Translation Traversal หรือ NAT) เป็นเทคนิคเครือข่ายคอมพิวเตอร์ในการสร้างและรักษาการ เชื่อมต่อ โปรโตคอลอินเทอร์เน็ต (Internet...

การทะลุผ่าน NAT

การทะลุผ่านตัวแปลที่อยู่เครือข่าย (Network Address Translation Traversal หรือ NAT) เป็นเทคนิคเครือข่ายคอมพิวเตอร์ในการสร้างและรักษาการ เชื่อมต่อ โปรโตคอลอินเทอร์เน็ต (Internet Protocol หรือ IP ) ผ่านเกตเวย์ที่ใช้การแปลงที่อยู่เครือข่าย (NAT)

เทคนิคการข้าม NAT จำเป็นสำหรับแอปพลิเคชันเครือข่ายหลายอย่าง เช่นการแชร์ไฟล์แบบ Peer-to-PeerและVoice over IP [ 1 ]

การแปลงที่อยู่เครือข่าย

โดยทั่วไป การแปลงที่อยู่เครือข่าย (Network Address Translation หรือ NAD)จะใช้ที่อยู่ IP ส่วนตัวในเครือข่ายส่วนตัว โดยมีที่อยู่ IP สาธารณะเพียงที่อยู่เดียว สำหรับเราเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ต ตัวแปลงที่อยู่ เครือข่ายจะเปลี่ยนที่อยู่ต้นทางในโปรโตคอลเครือข่ายสำหรับการร้องขอขาออกจากที่อยู่ของอุปกรณ์ภายในไปยังที่อยู่ภายนอก เพื่อให้อุปกรณ์ภายในสามารถสื่อสารกับโฮสต์บนเครือข่ายภายนอกได้ ในขณะเดียวกันก็ส่งต่อการตอบกลับไปยังอุปกรณ์ต้นทาง

สิ่งนี้ทำให้เครือข่ายภายในไม่เหมาะสมสำหรับการโฮสต์บริการ เนื่องจากอุปกรณ์ NAT ไม่มีวิธีการอัตโนมัติในการระบุโฮสต์ภายในที่แพ็กเก็ตขาเข้าจากเครือข่ายภายนอกมุ่งไป นี่ไม่ใช่ปัญหาสำหรับการเข้าถึงเว็บทั่วไปและอีเมล อย่างไรก็ตาม แอปพลิเคชันต่างๆ เช่นการแชร์ไฟล์แบบ Peer-to-Peer บริการ VoIPและเครื่องเล่นเกมคอนโซลจำเป็นต้องให้ไคลเอนต์เป็นเซิร์ฟเวอร์ด้วย คำขอขาเข้าไม่สามารถเชื่อมโยงกับโฮสต์ภายในที่ถูกต้องได้อย่างง่ายดาย นอกจากนี้ บริการประเภทนี้จำนวนมากมีข้อมูลที่อยู่ IP และหมายเลขพอร์ตอยู่ในข้อมูลแอปพลิเคชัน ซึ่งอาจต้องใช้การตรวจสอบแพ็กเก็ตเชิงลึกมา ทดแทน

เทคโนโลยีการแปลงที่อยู่เครือข่าย (NAT) ยังไม่มีมาตรฐาน ส่งผลให้วิธีการที่ใช้ในการทะลุผ่าน NAT มักเป็นเทคโนโลยีเฉพาะของแต่ละบริษัทและมีเอกสารอธิบายที่ไม่ดี เทคนิคการทะลุผ่านหลายอย่างจำเป็นต้องอาศัยความช่วยเหลือจากเซิร์ฟเวอร์ภายนอกเครือข่ายที่ถูกแปลงที่อยู่ บางวิธีใช้เซิร์ฟเวอร์เฉพาะตอนสร้างการเชื่อมต่อ ในขณะที่บางวิธีใช้เซิร์ฟเวอร์ในการส่งต่อข้อมูลทั้งหมด ซึ่งจะเพิ่มความต้องการแบนด์วิดท์และความหน่วง ทำให้การสื่อสารด้วยเสียงและวิดีโอแบบเรียลไทม์ได้รับผลกระทบ

เทคนิคการทะลุผ่าน NAT มักจะหลีกเลี่ยงนโยบายความปลอดภัยขององค์กร ผู้เชี่ยวชาญด้านความปลอดภัยขององค์กรจึงนิยมใช้เทคนิคที่ทำงานร่วมกับ NAT และไฟร์วอลล์อย่างชัดเจน ซึ่งจะช่วยให้สามารถทะลุผ่าน NAT ได้ ในขณะเดียวกันก็ยังคงสามารถจัดการข้อมูลที่ NAT เพื่อบังคับใช้นโยบายความปลอดภัยขององค์กรได้ มาตรฐาน ของ Internet Engineering Task Force (IETF) ที่อิงตามแบบจำลองความปลอดภัยนี้ ได้แก่Realm-Specific IP (RSIP) และMiddlebox Communications (MIDCOM)

เทคนิคและขั้นตอน

มีการพัฒนาเทคนิคการทะลุผ่าน NAT หลายวิธี:

  • โปรโตคอล UPnP Internet Gateway Device Protocol (UPnP IGD) รองรับโดยเกตเวย์ NAT ขนาดเล็กจำนวนมากในบ้านหรือสำนักงานขนาดเล็กช่วยให้อุปกรณ์ในเครือข่ายสามารถขอให้เราเตอร์เปิดพอร์ตได้
  • NAT Port Mapping Protocol (NAT-PMP) เป็นโปรโตคอลที่ Apple นำเสนอเพื่อเป็นทางเลือกแทน UPnP IGD
  • โปรโตคอลควบคุมพอร์ต (PCP) เป็นโปรโตคอลที่พัฒนาต่อจาก NAT-PMP
  • Session Traversal Utilities for NAT (STUN) คือชุดวิธีการและโปรโตคอลเครือข่ายมาตรฐานสำหรับการเจาะรู NAT เดิมทีออกแบบมาสำหรับ UDP แต่ได้ขยายไปใช้กับ TCP ด้วย
  • Traversal Using Relays around NAT (TURN) เป็นโปรโตคอลรีเลย์ที่ออกแบบมาโดยเฉพาะสำหรับการข้าม NAT
  • Interactive Connectivity Establishment (ICE) เป็นโปรโตคอลที่สมบูรณ์แบบสำหรับการใช้ STUN และ/หรือ TURN เพื่อทำการ NAT traversal ในขณะที่เลือกเส้นทางเครือข่ายที่ดีที่สุดที่มีอยู่ โปรโตคอลนี้ช่วยเติมเต็มส่วนที่ขาดหายไปและข้อบกพร่องบางประการที่ไม่ได้กล่าวถึงในข้อกำหนดของ STUN
  • การเจาะรู NATเป็นเทคนิคทั่วไปที่ใช้ประโยชน์จากวิธีการที่ NAT จัดการโปรโตคอลบางอย่าง (เช่น UDP, TCP หรือ ICMP) เพื่ออนุญาตให้แพ็กเก็ตที่ถูกบล็อกไว้ก่อนหน้านี้ผ่าน NAT ได้
  • Socket Secure (SOCKS) เป็นเทคโนโลยีที่คิดค้นขึ้นในช่วงต้นทศวรรษ 1990 โดยใช้พร็อกซีเซิร์ฟเวอร์ในการส่งต่อข้อมูลระหว่างเครือข่ายหรือระบบต่างๆ
  • เทคนิค เกตเวย์ระดับแอปพลิเคชัน (ALG) เป็นส่วนประกอบของไฟร์วอลล์หรือ NAT ที่ให้ตัวกรองการผ่าน NAT ที่กำหนดค่าได้[ 2 ] มีการกล่าวอ้างว่าเทคนิคนี้สร้างปัญหามากกว่าที่จะแก้ไข[ 3 ]

NAT ที่ขึ้นอยู่กับที่อยู่และพอร์ต, NAT แบบสมมาตร

การแพร่หลายของNAT แบบสมมาตรได้ลดอัตราความสำเร็จในการทะลุผ่าน NAT ในสถานการณ์จริงหลายอย่าง เช่น สำหรับ การเชื่อมต่อ Wi-Fi มือถือและ Wi-Fi สาธารณะ เทคนิคการเจาะรู เช่น STUN และ ICE ล้มเหลวในการทะลุผ่าน NAT แบบสมมาตรหากไม่มีเซิร์ฟเวอร์รีเลย์ช่วยเหลือ ดังที่ปฏิบัติกันในTURNเทคนิคที่ทะลุผ่าน NAT แบบสมมาตรโดยพยายามทำนายพอร์ตถัดไปที่จะเปิดโดยอุปกรณ์ NAT แต่ละตัวถูกค้นพบในปี 2546 โดย Yutaka Takeda ที่ห้องปฏิบัติการวิจัยการสื่อสารของ Panasonic [ 4 ]และในปี 2551 โดยนักวิจัยที่มหาวิทยาลัย Waseda [ 5 ]เทคนิคการทำนายพอร์ตจะมีประสิทธิภาพเฉพาะกับอุปกรณ์ NAT ที่ใช้อัลกอริทึมแบบกำหนดที่ทราบสำหรับการเลือกพอร์ตเท่านั้น รูปแบบการจัดสรรพอร์ตที่คาดการณ์ได้แต่ไม่คงที่นี้ไม่พบได้ทั่วไปใน NAT ขนาดใหญ่ เช่น ที่ใช้ใน เครือข่าย 4G LTEดังนั้น การทำนายพอร์ตจึงไม่มีประสิทธิภาพมากนักในเครือข่ายบรอดแบนด์มือถือเหล่านั้น

ไอพีเซค

ไคลเอนต์ เครือข่ายส่วนตัวเสมือนIPsecใช้การทะลุผ่าน NAT เพื่อให้ แพ็กเก็ต Encapsulating Security Payloadสามารถผ่าน NAT ได้IPsecใช้โปรโตคอลหลายอย่างในการทำงาน ซึ่งต้องเปิดใช้งานเพื่อให้สามารถผ่านไฟร์วอลล์และตัวแปลงที่อยู่เครือข่ายได้:

เราเตอร์หลายรุ่นมีฟีเจอร์เฉพาะ ซึ่งมักเรียกว่า IPsec Passthrough

การทะลุผ่าน NAT และ IPsec อาจใช้เพื่อเปิดใช้งานการเข้ารหัสแบบฉวยโอกาสสำหรับข้อมูลระหว่างระบบ การทะลุผ่าน NAT ช่วยให้ระบบที่อยู่หลัง NAT สามารถร้องขอและสร้างการเชื่อมต่อที่ปลอดภัยได้ตามต้องการ

การทะลุผ่าน NAT ของโฮสต์

Hosted NAT traversal (HNT) คือชุดกลไกต่างๆ รวมถึงการถ่ายทอดสื่อและการล็อค ซึ่งผู้ให้บริการการสื่อสารใช้กันอย่างแพร่หลายด้วยเหตุผลทางประวัติศาสตร์และเชิงปฏิบัติ[ 6 ] IETF แนะนำไม่ให้ใช้การล็อคผ่านอินเทอร์เน็ตและแนะนำให้ ใช้ ICE ด้วยเหตุผลด้านความปลอดภัย[ 7 ]

เอกสารมาตรฐาน IETF

  • RFC 1579 FTP ที่เป็นมิตรกับไฟร์วอลล์  
  • RFC 2663 คำศัพท์และข้อควรพิจารณาเกี่ยวกับตัวแปลงที่อยู่เครือข่าย IP (NAT)  
  • RFC 2709 รูปแบบความปลอดภัยด้วย IPsec โหมดอุโมงค์สำหรับโดเมน NAT  
  • RFC 2993 ผลกระทบทางสถาปัตยกรรมของ NAT  
  • RFC 3022 ตัวแปลงที่อยู่เครือข่าย IP แบบดั้งเดิม (NAT แบบดั้งเดิม)  
  • RFC 3027 ปัญหาของโปรโตคอลที่เกี่ยวข้องกับตัวแปลงที่อยู่เครือข่าย IP (NAT)  
  • RFC 3235 แนวทางการออกแบบแอปพลิเคชันที่เป็นมิตรกับตัวแปลงที่อยู่เครือข่าย (NAT)  
  • RFC 3715 ความเข้ากันได้ของ IPsec กับการแปลงที่อยู่เครือข่าย (NAT)  
  • RFC 3947 การเจรจาการข้าม NAT ในการแลกเปลี่ยนคีย์อินเทอร์เน็ต  
  • RFC 5128 สถานะของการสื่อสารแบบ Peer-to-Peer (P2P) ผ่านตัวแปลงที่อยู่เครือข่าย (NAT)  
  • RFC 5245 การสร้างการเชื่อมต่อแบบโต้ตอบ (ICE): โปรโตคอลสำหรับการข้ามตัวแปลงที่อยู่เครือข่าย (NAT) สำหรับโปรโตคอลการเสนอ/ตอบรับ  

ดูเพิ่มเติม

  • ปัญหาและข้อเท็จจริงเกี่ยวกับระบบการทะลุผ่าน NAT ในยุคปัจจุบัน
  • การทะลุผ่าน NAT แบบอัตโนมัติ – การสื่อสารระหว่าง NAT โดยไม่ต้องมีบุคคลที่สามเข้ามาเกี่ยวข้อง
  • มหาวิทยาลัยคอร์เนล – การวิเคราะห์และวัดผลการส่งข้อมูล TCP ผ่าน NAT และไฟร์วอลล์
  • มหาวิทยาลัยโคลัมเบีย – การวิเคราะห์ระบบโทรศัพท์ผ่านอินเทอร์เน็ตแบบ Peer-to-Peer ของ Skype
  • การสื่อสารแบบ Peer-to-peer ผ่านตัวแปลงที่อยู่เครือข่าย (UDP Hole Punching)
ดึงข้อมูลมาจาก " https://en.wikipedia.org/w/index.php?title=NAT_traversal&oldid=1362418335#IPsec "

สรุปเนื้อหา

ข้อมูลสำคัญจากบทความ

ข้อมูลสำคัญเกี่ยวกับ การทะลุผ่าน NAT

การทะลุผ่านตัวแปลที่อยู่เครือข่าย (Network Address Translation Traversal หรือ NAT) เป็นเทคนิคเครือข่ายคอมพิวเตอร์ในการสร้างและรักษาการ เชื่อมต่อ โปรโตคอลอินเทอร์เน็ต (Internet...

การแปลงที่อยู่เครือข่าย

โดยทั่วไป การแปลงที่อยู่เครือข่าย (Network Address Translation หรือ NAD) จะใช้ ที่อยู่ IP ส่วนตัว ในเครือข่ายส่วนตัว โดยมี ที่อยู่ IP สาธารณะเพียงที่อยู่เดียว สำหรับเราเตอร์ที่เชื่อมต่อกับ อินเทอร์เน็ต ตัวแปลงที่อยู่...

เทคนิคและขั้นตอน

มีการพัฒนาเทคนิคการทะลุผ่าน NAT หลายวิธี:

NAT ที่ขึ้นอยู่กับที่อยู่และพอร์ต, NAT แบบสมมาตร

การแพร่หลายของ NAT แบบสมมาตร ได้ลดอัตราความสำเร็จในการทะลุผ่าน NAT ในสถานการณ์จริงหลายอย่าง เช่น สำหรับ การเชื่อมต่อ Wi-Fi มือถือและ Wi-Fi สาธารณะ เทคนิคการเจาะรู เช่น STUN และ ICE ล้มเหลวในการทะลุผ่าน NAT แบบสมมาตรหากไม่มีเซิร์ฟเวอร์รีเลย์ช่วยเหลือ...