• O NAT (Network Address Translation) é um recurso da arquitetura TCP/IP da camada de rede. • O NAT é tipicamente utilizado na default gateway ou firewall da rede
• As funções de NAT e PAT são aos dias de hoje referidos somente como NAT.
• NAT refere a tradução de endereços, enquanto PAT (Port Address Translation) refere a tradução de portos. • Descreva a rede na imagem acima.
• Como a máquina H1 na rede local PN1 pode falar com a máquina H5? 1. A máquina H1 elabora um pacote com destino ao endereço 213.168.112.3;
2. Como o pacote não é endereçado a nenhuma máquina da rede local, é enviado para a interface LAN da default gateway;
3. Aqui o endereço passa por uma tabela de tradução NAT, do tipo:
NAT
End. Origem Origem Traduzida
10.0.1.2 128.195.4.119
1. Quando o endereço de origem for 10.0.1.13, traduzir para 128.195.4.119 (Endereço da porta WAN do gateway).
2. O computador H5 irá receber um pacote de 128.195.4.119, endereço este público e registado. 3. A resposta do computador H5 será então enviada para este endereço.
4. A resposta de H5 chegará á porta WAN do gateway, que traduz o endereço de destino para 10.10.1.3, entregando-o á máquina local de endereço privado.
• Assim só existe um endereço público para a rede inteira.
• O que acontece se todas máquinas quiserem aceder á internet ao mesmo tempo? Pela lógica, não é possível ter duas máquinas a usarem um único endereço público através do NAT.
• É neste contexto que existe o PAT.
• O PAT (Port Address Translation) expande as possibilidades do NAT.
• O PAT vai permitir que várias máquinas com endereços IP privados possam aceder á internet utilizando um único IP público.
• Como o PAT resolve isto?
• O PAT associa um endereço privado e uma porta a um endereço público e uma porta, conforme mostra a tabela abaixo.
• O que é uma porta?
• Porta é um conceito da camada de transporte da arquitetura TCP/IP. Enquanto a camada rede trata de identificar logicamente a máquina por meio do endereço IP, a camada de transporte trata da identificação da aplicação TCP/IP cliente ou servidora.
• A camada de transporte identifica as aplicações por meio das portas. É por meio destas portas que as aplicações se comunicam.
PAT
End. LAN Porta LAN End. Público Porta
10.0.1.3 2033 128.195.4.119 2050
• A tradução de endereços, NAT, funciona unicamente na camada de Rede, pois traduz um endereço lógico para outro.
• A tradução de portas, PAT, funciona em ambas as camadas, transporte e rede da arquitectura TCP/IP. • O meio pelo qual as aplicações se identificam é através dos números das portas.
• Exemplo: Descreva a requisição de um serviço WEB, até ao nível da camada de transporte: 1. O cliente WEB abre uma conexão com um servidor.
2. É alocada pelo Sistema Operativo a porta 2055 na camada de transporte da máquina, poderia ser qualquer outra que não estivesse em uso.
3. O servidor WEB mantém a porta 80 aberta á escuta de conexões.
4. Se o cliente WEB abre outra aplicação, esta será aberta, por exemplo, na porta 2056.
5. O servidor WEB sabe que terá de responder com o IP de destino dos clientes e porta de destino aberta pelo cliente. • Conclui-se assim que o que identifica do lado do servidor uma conexão é a dupla IP Origem e Porta Origem.
Assim é possível que uma máquina possua diversas conexões com um servidor.
• O facto de os endereços privados não serem visíveis nem serem propagados na Internet confere ao NAT características adicionais, nomeadamente características de segurança.
• Uma máquina com IP público estará sempre diretamente exposta a ataques pois a sua visibilidade na internet é total.
• Já uma máquina com endereços privados encontra-se muito mais protegida, pois para além do seu endereço não estar exposto á rede publica, esta máquina estará protegida por um router ou firewall com capacidade de executar funções de filtragem de tráfego.
NAT
• Agora que já sabemos dimensionar a gama de endereços para uma rede em particular, passa-se a estudar a forma em como se podem atribuir os endereços IP ás interfaces de rede de uma LAN.
• Seja qual for o mecanismo de entrega de endereços, há que garantir que num dado momento não existem duas ou mais interfaces de rede com o mesmo endereço IP, pois este facto pode levar a graves problemas de encaminhamento ou de resolução de nomes, impedindo o normal mecanismo de comunicação.
• As redes de backbone não constituem grandes dificuldades na atribuição de IPs. Já nas redes locais não se pode dizer o mesmo.
• Nas redes locais existe a possibilidade de existirem centenas ou milhares de utilizadores, muitos dos quais temporários e/ou móveis, assim, a atribuição e gestão de endereços pode ser complexa e tem que ser efetuada de forma eficaz (tanto em rapidez como controle efetivo).
• Nas redes locais existem fundamentalmente 2 alternativas para atribuição de endereços: • Configuração manual;
• Configuração automática/dinâmica;
• Ambas têm as suas vantagens e desvantagens, cabe ao administrador de redes “pesar” ambas e decidir sobre o melhor esquema de atribuição.
Atribuição de Endereços na LAN
• A configuração manual de endereços na LAN tem como principais vantagens a simplicidade e diminuição de footprint da rede.
• Numa rede de pequena dimensão, onde os utilizadores se mantenham os mesmos por longos períodos de tempo, a utilização de um esquema manual de atribuição de endereços por parte do administrador poderá constituir a melhor solução, evitando a instalação de HW e SW especializado, sendo a carga de trabalho associada á sua gestão pequena. • Neste caos, basta que o administrador de redes mantenha uma lista, em papel ou formato digital, os endereços atribuídos.
• No entanto, este tipo de abordagem, deixa de ser exequível em redes de grande dimensão e/ou redes nas quais exista uma razoável dinâmica de utilizadores, o que é, cada vez mais o caso.
• Hoje em dia é frequente que utilizadores se liguem temporariamente a uma rede local, tendo este facto exponencialmente crescido com a tecnologia wireless para redes locais.
• Neste caso é impraticável a adoção de uma gestão manual de atribuição de endereços, por um lado o tempo de resposta do administrador de redes a um novo pedido de endereços seria sempre demasiado longo e por outro a gestão dos endereços livres e em uso exigiria um constante acompanhamento.
Configuração Manual de
• A norma para configuração dinâmica de endereços IPv4 é o DHCP (Dynamic Host Configuration Protocol), um protocolo presente na camada aplicação da arquitetura TCP/IP.
• Trata-se de um protocolo que permite que as diversas interfaces presentes na rede obtenham o seu endereço lógico a partir da rede, assim como outras informações como máscara de rede, servidor DNS, gateway.
• O seu objetivo é configurar sem intervenção humana as configurações de camada de rede das máquinas presentes na rede. Ou seja, se tiver 500 máquinas na rede, o administrador não irá necessitar de ir uma a uma configurar os itens da camada de rede, basta conectar as máquinas á rede e eles irão configurar-se automaticamente.
• Os itens que se podem configurar dinamicamente são: • Endereço lógico (IP) e respetiva máscara de rede;
• Endereço de gateway;
• Endereço do servidor ou servidores DNS;
• Como é natural, este serviço facilita o trabalho do administrador de redes que deixa de se preocupar com a atribuição dos endereços da rede.
• No entanto, o serviço exige inicialmente a instalação e configuração de software especifico.
Configuração Automática de Endereços na LAN, DHCP
• Qualquer máquina na rede local pode ser um servidor DHCP, inclusivamente poderá ter duas máquinas a desempenhar esta função.
• O servidor DHCP terá as suas informações da camada de rede configuradas estaticamente, o administrador de rede será responsável por configurar o endereço lógico, a máscara de rede, o endereço do gateway e o endereço do servidor DNS.
• Exemplo de configuração de servidor DNS:
• O administrador de redes deve assegurar que o servidor está a executar uma aplicação servidora de DHCP, e neste deve ser especificado um intervalo de IPs, e outras informações necessárias para a sua correta configuração.
• Geralmente para ativar a aplicação servidora DHCP bastará um comando.
• O intervalo de IPs define que endereços serão entregues ás outras máquinas de rede. Por exemplo, tendo e conta a tabela acima: 192.168.0.2 – 192.168.0.253.
Funcionamento do Servidor DHCP
Endereço IP, Máscara 192.168.0.1, 255.255.255.0
Endereço Gateway 192.168.0.254 Endereço DNS 10.10.10.10
• Nas redes de computadores atuais, quando uma máquina não possui endereço lógico configurado, ela é um cliente DHCP.
• Exemplo de configuração da camada de Rede de Máquina sem endereço lógico e procedimento de obtenção dessa configuração:
1. Como a máquina está na rede local, é-lhe permitido enviar um pacote de camada enlace com destino broadcast, com o objetivo de procurar o servidor DHCP.
2. Assim a camada aplicação desta máquina enviará dados para procurar o servidor DHCP.
3. Estes dados são encapsulados na camada de transporte, rede (sem endereço IP de origem e com broadcast como destino).
4. O pacote é encapsulado num quadro, na camada enlace, com o seu endereço físico de origem e endereço físico de destino broadcast limitado.
5. O quadro é assim enviado para a camada física para todas as máquinas da rede.
Funcionamento do Cliente DHCP
Endereço IP, Máscara Em branco
Endereço Gateway Em branco Endereço DNS Em branco
• Como o quadro é de destino broadcast vai terminar a todos os terminais da rede. • Cada uma das placas de rede vai processar o quadro e enviar á camada acima.
• Na camada de rede o pacote aparece em todas as máquinas com endereço de destino broadcast e é assim enviado á camada de transporte.
• Na camada de transporte existe a indicação da aplicação que receberá os dados. Apenas a aplicação servidora DHCP estará á escuta no porto 68. Assim a única máquina a desencapsular o resultado da camada de transporte, passando á camada de aplicação é a máquina servidora DHCP.
• Assim o servidor DHCP vai atribuir um endereço IP da range configurada no mesmo que não esteja no momento a ser utilizado.
• A informação desce a pilha de protocolos, pela camada de transporte, depois pela de rede (escreve no pacote o seu próprio IP como origem e de broadcast como destino).
• Passa para a camada enlace que escreve o seu próprio endereço como origem e o endereço físico de destino. • A máquina que pretende configurar a sua camada de rede recebe o quadro e processa o pacote passando posteriormente á camada de transporte, com o número da porta de aplicação cliente DHCP ( a mesma que despoltou o processo).
• Como existe uma aplicação a escutar nesta porta os dados são para lá enviados.
Funcionamento do Cliente DHCP
• A aplicação ao receber estes dados configura a camada de rede da máquina.
• Agora, a máquina pode trocar informação com outras máquinas da rede e fora dela.
• O servidor DHCP não atribui o mesmo endereço IP a duas máquinas diferentes, pois sabe a quem atribui determinado endereço.
Funcionamento do Cliente DHCP
Endereço IP, Máscara 192.168.0.30, 255.255.255.0
Endereço Gateway 192.168.0.254