NAT

28 июля 2022
Дата обновления: 24 ноября 2025

Что такое NAT

NAT (network address translation) — технология трансляции сетевых адресов в NAT-сети. Маршрутизатор заменяет локальные IP-адреса устройств на глобальные и обратно, чтобы все гаджеты в офисе или дома выходили в интернет через один публичный адрес провайдера. Роутер выполняет эту функцию, сохраняя записи в таблице для правильной доставки ответов. Таким образом тысячи устройств могут быть подключены одновременно.

Технология NAT была разработана, чтобы предотвратить истощение адресного пространства IPv4 — под этим термином понимается полное исчерпание доступных 32-битных адресов протокола IPv4, которых изначально было около 4,3 миллиарда.

Проблема нехватки адресов возникла из-за повсеместного проникновения Интернета в жизни людей и экспоненциального увеличения числа подключенных устройств, что привело к тому, что практически все свободные IPv4-адреса были распределены.

Типы NAT

NAT работает в разных типах. Маршрутизатор подбирает виды NAT под нужды сети — фиксирует адреса для стабильности или делит один портами для экономии. Разберем это на примерах:

Статический NAT (BiNAT, NAT 1:1)

Администратор связывает локальный адрес с глобальным, чтобы обеспечить стабильный доступ. Сервер баз данных на 10.0.0.50 снаружи выглядит как 203.0.113.50 — сотрудники из филиала подключаются по RDP, а клиенты открывают веб-приложение по фиксированному IP. Компания тратит публичный адрес на каждое устройство, но получает надежное соединение без сбоев.

Динамический NAT

Маршрутизатор выдает глобальный адрес из пула на время сессии и возвращает его обратно для повторного использования. Допустим, в офисе с 50 станциями создают пул из 10 адресов (203.0.113.1–203.0.113.10): менеджер открывает CRM в браузере и тем самым занимает свободный адрес, а закрыв вкладку — завершает сессию и освобождает адрес для коллеги. Когда все 10 адресов заняты, одиннадцатый сотрудник ждет, пока кто-то закроет браузер. Офис работает с ограниченным набором публичных IP вместо покупки 50 отдельных адресов.

PAT (Port Address Translation)

Маршрутизатор маскирует множество локальных адресов под один глобальный, различая трафик по портам TCP/UDP. В коворкинге с 200 арендаторами роутер использует 203.0.113.1: ноутбук (192.168.1.10:49152) выходит как 203.0.113.1:60000, планшет (192.168.1.20:49153) — как 203.0.113.1:60001. Роутер сверяет таблицу и доставляет ответы правильно, один адрес держит тысячи сессий, провайдер подключает весь бизнес-центр за одним IP, а клиенты загружают файлы или звонят без конфликтов.

Принцип работы NAT

Давайте разберем, как работает NAT. Процесс включает несколько этапов:

  1. Устройство отправляет запрос. Смартфон с локальным адресом 192.168.0.3 формирует пакет для сервера 208.135.15.7. Пакет содержит исходный адрес, порт (например, 49152) и данные. Маршрутизатор подхватывает его на выходе из сети.
  2. Маршрутизатор меняет адрес источника. Заменяет локальный адрес (inside local) на глобальный (inside global), скажем 203.0.113.1. При PAT (Port Address Translation) добавляет уникальный порт, например 60000. Сохраняет пару в таблице NAT для обратного пути.
  3. Пакет уходит в интернет. Сервер получает запрос от 203.0.113.1:60000. Обрабатывает его и отправляет ответ на этот адрес и порт.
  4. Маршрутизатор получает ответ и проверяет адрес назначения по таблице NAT. Находит запись по глобальному адресу и порту. Заменяет на локальный 192.168.0.3:49152.
  5. Ответ доставляют устройству. Смартфон получает данные, не замечая подмены. Таблица NAT очищает запись после завершения сессии.
Локальный адрес (inside local) Глобальный адрес (inside global) Внешний глобальный адрес (outside global)
192.168.0.3:49152 203.0.113.1:60000 208.135.15.7:443

В этой таблице:

  • inside local – локальный (частный) IP-адрес устройства, например ноутбука в вашей сети;
  • inside global – публичный адрес того же устройства, используемый маршрутизатором для общения с интернетом в рамках NAT-трансляции
  • outside global – публичный адрес сервера или устройства в интернете, к которому вы подключаетесь.

В реальной сети маршрутизатор обрабатывает тысячи таких записей одновременно. Технология NAT используется для замены адресов в заголовках пакетов, маршрутизатор выполняет ее для каждого запроса. Если порты или адреса заканчиваются, новые соединения блокируются до освобождения ресурсов.

NAT пример трансляции

Настройка NAT

При настройке NAT на домашнем роутере обычно ограничивается включением этой опции в веб-интерфейсе устройства.

Если говорить о настройке NAT операторского масштаба (Carrier Grade NAT) для масштабирования подключений миллионов абонентов, то решением задачи занимаются инженеры вендорского продукта. Конфигурация включает несколько шагов:

  • на СКАТ создается профиль с публичными IP-адресами, порты распределяются между пользователями, настраивается таймаут сессий;
  • созданный профиль подключается к пулу приватных IP-адресов
  • инженер внедрения вместе с клиентом (интернет-провайдером) проверяет корректность работы CG-NAT.

Технические специалисты VAS Experts помогут подобрать и развернуть решение с учетом архитектуры сети провайдера и требований к производительности.

Примеры применения NAT

NAT-сеть адаптируется под сценарии — от домашнего Wi-Fi до корпоративных инфраструктур с филиалами.

Частные сети

NAT-провайдер выдает один публичный IP, а роутер с PAT маскирует локальные адреса 192.168.1.x, чтобы смартфон, ноутбук и телевизор выходили в интернет одновременно. Семья подключает 10 гаджетов: дети смотрят видео на планшете, родители проверяют почту на компьютере, а роутер различает весь трафик по портам. Устройства обмениваются файлами внутри сети без интернета и экономят на дополнительных IP. Пользователи вручную перезагружают роутер только при редких сбоях.

Корпоративные сети

Компания распределяет network address translation для безопасного интернета и объединяет филиалы через динамический вариант или PAT. Офис на 200 человек создает пул из 50 адресов: менеджеры открывают CRM, разработчики загружают код, NAT скрывает 10.0.0.x от атак. При слиянии меняют провайдера без переадресации ПК, настраивают удаленный доступ и масштабируют без тысяч IP.

Проброс портов для внутренних серверов

Администраторы открывают порты через NAT для подключения клиентов к внутренним сервисам. Компания размещает веб-сервер на 192.168.0.100: правило направляет внешний 80 на внутренний, клиенты видят сайт по публичному IP.

NAT операторского масштаба

Провайдеры применяют Carrier Grade NAT для обслуживания миллионов абонентов при дефиците публичных адресов IPv4. VAS Experts разрабатывает решения CG-NAT, которые распределяют один внешний IP между сотнями пользователей через динамическое выделение портов. Система автоматически управляет пулами адресов, логирует сессии для соответствия требованиям СОРМ, масштабируется без простоев. CG-NAT от VAS Experts обрабатывает до 100 Гбит/с трафика на одном сервере, интегрируется с биллингом и сохраняет производительность сети при росте базы клиентов.

Преимущества NAT

Рассмотрим преимущества NAT:

  • Экономит публичные IP-адреса. Один глобальный адрес обслуживает тысячи устройств в офисе, компания избегает покупки лишних IP у провайдера и снижает затраты на инфраструктуру.
  • Скрывает внутренние адреса. Внешний мир видит только роутер, хакеры не сканируют локальные устройства в филиале и снижают риск атак.
  • Повышает гибкость сети. Добавляют новые машины в дата-центре без дополнительных IP, стартап масштабирует 50 серверов автоматически.
  • Обеспечивают базовую безопасность. Блокируют входящие соединения по умолчанию, фаервол в роутере фильтрует трафик для 200 сотрудников без отдельного устройства.
  • Снижает затраты на администрирование. Управляют одним внешним IP вместо тысяч, системный интегратор настраивает правила для клиента за минуты.

Недостатки NAT

Рассмотрим недостатки NAT в реальных сценариях:

  • Добавляет задержку в трафик. Маршрутизатор обрабатывает каждый пакет, заменяя адреса, что замедляет VoIP-звонки в колл-центре на 50–100 мс.
  • Усложняет работу приложений. FTP или SIP ломаются из-за подмены портов, разработчики тратят часы на настройку ALG в корпоративном чате;
  • Теряет сквозную трассировку. Администраторы не отслеживают путь пакетов через несколько NAT, отладка сбоев в облаке занимает втрое больше времени.
  • Мешает туннелированию. IPsec-VPN рвется из-за изменений в заголовках, удаленные сотрудники переподключаются вручную каждые 10 минут.
  • Ограничивает одновременные сессии. Через один публичный IP-адрес не может быть транслировано более 65000 сессий для UDP и TCP-соединений. Новые запросы блокируются, пока созданные ранее сессии не будут закрыты.
Оценка:
5 из 5
Средняя оценка : 3.6
Оценок: 20