Подключение локальной сети к Интернет с помощью технологии NAT

 

Обычно для подключения локальной сети к Интернету через Интернет шлюз используется один или несколько внешних IP-адресов, а компьютерам локальной сети присваиваются внутренние IP-адреса.

Существует несколько причин такого способа подключения:

¾ ограниченное количество реальных IP-адресов. За каждый IP-адрес необходимо оплачивать аренду у провайдера;

¾ нет проблем при расширении локальной сети. С появлением необходимости присвоить новым компьютерам IP-адреса, нет надобности обращаться за выделением дополнительных внешних IP-адресов;

¾ надежная защита компьютеров в локальной сети от внешних атак. Компьютеры с внутренними IP-адресами недоступны напрямую из внешней сети.

Для подключения локальной сети к Интернет существует несколько способов. Самые популярные из которых - использование в качестве Интернет шлюза proxy сервера и NAT сервера. Proxy сервер работает на уровне приложений, а драйвер NAT - на уровне стека протоколов TCP/IP.

Главные минусы использования proxy сервера - необходимость настройки каждого клиентского приложения, несовместимость некоторых приложений с работой через proxy сервер (например, банковские программы, игры), очень низкая производительность и высокое потребление системных ресурсов Интернет сервера.

Использование NAT обеспечивает прозрачность для приложений - их не нужно настраивать, с NAT работают практически все протоколы и приложения. Поскольку NAT представляет собой низкоуровневый сетевой драйвер, то его производительность по сравнению с proxy серверами выше в несколько раз. Соотвтетственно выше скорость работы Интернет сервера.

В отличие от множества других программных решений, использующих встроенный в Windows драйвер NAT, в Lan2net NAT Firewall используется более производительный драйвер NAT собственной разработки.

Для построения локальных сетей необходимо использовать специально определенные в RFC 1918 группы приватных IP-адресов:

¾ для сетей класса А: 10.0.0.0-10.255.255.255

¾ для сетей класса B: 172.16.0.0-172.31.255.255

¾ для сетей класса С: 192.168.0.0-192.168.255.255

Иногда диапазоны этих IP-адресов также называют частные или серые IP-адреса. Внешние реальные адреса имеют название белые IP-адреса. Таким образом, компьютерам локальной сети могут назначаться IP-адреса из указанных диапазонов. Однако, непосредственный доступ в Интернет из таких сетей невозможен.

Для подключения всей локальной сети достаточно иметь единственный узел с доступом в Интернет, имеющий уникальный белый IP-адрес. Такой узел называется Интернет шлюзом или Интернет сервером. Интернет шлюз должен иметь, как минимум, два сетевых адаптера. Один из которых обеспечивает доступ в Интернет. Этому внешнему адаптеру присвоен белый IP-адрес. Внутренним адаптерам могут быть присвоены как белые, так и серые IP-адреса.

При прохождении сетевых пакетов через Интернет сервер, с внутреннего адаптера на внешний и обратно, происходит трансляция сетевых адресов (NAT). Такой механизм обеспечивает прозрачный доступ в Интернет для узлов с серыми IP-адресами. Кроме того, все соединения после шлюза выглядят так, как если бы они были установлены с единственного белого IP-адреса. Тем самым обеспечивается сокрытие конфиденциальной информации о локальной сети.

В программном комплексе Lan2net NAT Firewall трансляция сетевых адресов выполняется для протоколов: TCP, UDP и ICMP.