הסבר על NAT, כתובות IP ועל כתובות פרטיות \ מיוחדות וקצת היסטוריה

נתחיל מקצת היסטוריה….
בשנות ה 50 התחילו לייצר לוחות מעגלים חשמליים או באנגלית פשוטה circuit board, פרוייקט בשם ARPANET של הצבא האמריקאי ביקש להקים רשת צבאית , ההודעה הראשונה
נשלחה מאוניברסיטת קליפורניה (לוס אנג’לס) לאוניברסיטת סטנפורד , עולם האינטרנט מעולם לא היה מכוון לאזרח או אלא לצבא ולכן בהמשך כאשר האינטרנט גדל וגדל נאלצו
למצוא פתרונות בגלל שהתשתית עליה מבוסס האינטרנט זה תשתית שלא הייתה אמורה להיות נגישה לכלכך הרבה משתמשים

נתחיל, IPv4 , למעשה מוגבל בכמות הכתובות ולכן כמעט ואוזל, לעומת זאת במדינות כמו סין שעברו כמעט ברמה של 80% ל IPv6 ושם לא קיימת בעיה של חוסר בכתובות למעשה
IPv6 יכול לספק כתובות (אפשר להגיד כמעט אין סוף) או בתרגום לאנגלית
three hundred forty undecillion, two hundred eighty-two decillion, three hundred sixty-six nonillion, nine hundred twenty octillion, nine hundred thirty-eight septillion, four
hundred sixty-three sextillion, four hundred sixty-three quintillion, three hundred seventy-four quadrillion, six hundred seven trillion, four hundred thirty-one billion, seven
hundred sixty-eight million, two hundred eleven thousand, four hundred fifty-six

לעומת זאת כתובות IP בגרסה 4 ניתן 4,294,967,295 – ארבע מיליארד מאתיים תשעים וארבע מיליון תשע מאות שישים ושבע אלף מאתיים תשעים וחמש.

לקראת סוף ה -80 חזו שבעתיד הלא רחוק כל כתובות ה IPV4 יגמרו ולכן יש למצוא תחלופה, וכן כך התחלופה היא IPv6 הארגון האמון על הסדר בכתובות IP הוא ארגון ה IANA
שפירושו Internet Assgined Numbers Authority וכל RIR הוא ארגון שאחראי על כתובות ה IP באזורו

לאחר שהובן כי הכתובות עלולות להיגמר דיי מהר וליצור מצב של “תקיעת האינטרנט” הומצא הפרוטוקול NAT פרוטוקול זה משמש כמה כתובות פנימיות לצאת לעולם האינטרנט
בכתובת אחת, אפשרות נוספות שהגו היה הCIDR שמשנה את התפיסה של כתובות IP המסודרות ב Classים שונים
תבינו זאת כל מכשיר בעולם היום דורש IP אותו הוא לוקח מDHCP או נקבע באופן סטטי, מכשירים סלולאריים, מחשבים נייחים \ ניידים, מדפסת רשת, ראוטר, טאבלט והרשימה עוד
ארוכה….
כל ארגון או חברת ISP מגדירה את הבניין של אותה החברה או של אזור גאוגרפי כNAT וכיוצא רשת גדולה מאוד יוצאת מכמה כתובות IP כאשר כמות המחשבים או ה”פרטים”
הקיימים בארגון יכול להגיע למאות או אלפים

כתובות פרטיות \ מיוחדות

כתובות מיוחדות ופרטיות הינן כתובות שהשימוש בהן הוא באופן מיוחד או באופן שלא ניתן להשתמש בכתובת כלל לביצוע פעולות ברחבי האינטרנט

0.0.0.0 – 0.255.255.255 – לא ניתן לשימוש
10.0.0.0 – 10.255.255.255 – רשתות פרטיות (ביתיות, פנים ארגוניות וכו’) לא ניתן לנתב אותן באינטרנט העולמי
127.0.0.0 – 127.255.255.255 – Loopback (מעגלי, אומר שכתובת זו תפנה לכתובת ה IP של המחשב עצמו)
169.254.0.0 – 169.254.255.255 – פרוטוקול APIPA כאשר אין שרת DHCP ולא הוגדר כתובת סטטית למחשב , כרטיס הרשת ינכס לעצמו כתובת APIPA ולכן אשר מבצעים Ipconfig
ומקבלים כתובת בטווח זה , המשמעות אחת שלא מוגדרת כתובת IP או ששרת ה DHCP לא חילק כתובת…
172.16.0.0 – 172.31.255.255 – רשתות פרטיות (ביתיות, פנים ארגוניות וכו’) לא ניתן לנתב אותן באינטרנט העולמי
192.0.2.0 – 192.0.2.255 – משמשות לניסיון על ידי ארגון ה IANA
192.88.99.0 – 192.88.99.255 – תעבורה בין כתובות גרסה 4 ו6
192.168.0.0 – 192.168.255.255 – רשתות פרטיות (ביתיות, פנים ארגוניות וכו’) לא ניתן לנתב אותן באינטרנט העולמי
198.18.0.0 – 198.19.255.255 – בדיקות לראוטרים וסוויצים (לא ניתן להשתמש בטווח זה )
224.0.0.0 – 239.255.255.255 – Multicast תשדורת השולחת את הפרטים אל כל הפורטים (צמתים בטופולוגיה)
240.0.0.0 – 255.255.255.255 – שמור לארגון IANA

הרשתות הנפוצות ביותר שתתקלו בהן בארגון, בבית ובכללי באופן פנימי הן:
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
הנפוצה ביותר בבתים היא 192.168.0.0 ואילו בארגונים בינוניים ומעלה 10.0.0.0 שכן כמות הרשתות קטנה אך כמות ה Hosts גדולה

NAT

דמיינו שאתם בלימודים, בכיתה 40 תלמידים וכולם עם מחשבים ניידים (סטודנטים), אין סיסמה לWIFI וכולם מתחברים לרשת ומקבלים IP משרת ה DHCP, זאת אומרת 40 מחשבים
נידיים קיבלו 40 כתובות וכולם גולשים ונהנים מעולם האינטרנט המופלא וחסר הגבולות, עכשיו אם לא היה קיים NAT כל אחד מהמשתמשים היה מקבל כתובות פרטית (בזבזנות
אדירה) ועכשיו דמיינו את המצב הזה באופן גלובלי כולם מקבלים כתובות פרטיות….
עכשיו נזכר במה שקראנו בפסקה הקודמת קיימים רק 4.3 ביליון כתובות IP וחלקם מוגדרות מיוחדות או פרטיות ולכן לא ניתן להשתמש בהם וזה משאיר עוד הרבה פחות… אז אך כל
הכמות המעטה הזאת מספיקה לכולם… NAT שפירושו Network Address Translation .
כל ה 40 מחשבים הניידים שדיברנו עליהם קודם כולם קיבלו כתובות פרטיות (לא חוקיות (פנימיות)) וכל המחשבים האלו יוצאים בכתובת IP אחת אל האינטרנט העולמי ועל כן ניתן
לבצע ניסוי
פתחו את CMD של כל 40 המחשבים הניידים והקישו את הפקודה IPCONFIG כעת תקבלו את כתובת הIP הפנימית של כל מחשב ,ואם חלקכם שואלים את השאלה =
אם כל כתובת היא שונה אז מה מיוחד פה? ובכן פתחו את הדפדפן והכנסו לhttp://whatismyipaddress.com/ הוא ירשום לכם מה הIP החיצוני (ציבורי) שלכם ותוכלו לראות שלכולם
יהיה את אותו ה IP
הסבר מקוצר – ה NAT אחראי לקחת את כל הכתובות הפנימיות הללו ולהמיר אותן לכתובת אחת חוקית שכן היא היחידה שיכולה להיות ציבורית ובכך לקבל גישה לאינטרנט

כעת נכנס לתוך NAT (זהו הסבר מקוצר, על מנת לא לגרום לכם להירדם)

one-to-one – אחד לאחד

סוג NAT זה אומר שכתובת לא חוקית מתורגמת לכתובת חוקית אחת, שרת פנימי אחד יוצא לאינטרנט העולמי בNAT על ידי כתובת חוקית אחת
סוג זה נקרא גם Basic NAT
(הסבר מורחב בהמשך)

one-to-many NAT \ NAPT\ PAT (שמות נוספים)

סוג של NAT שאומר שכמה מחשבים פנימיים יוצאים החוצה על ידי כתובת חוקית אחת למשל רשת מחשבים בבית , ב Packet שנשלח חייב ה NAT לאחסן נתונים נוספים כמו UDP \
TCP port וליצור טבלת תרגום על מנת לדעת לאיפה להחזיר את ה Packet למחשב המקור שביקש אותה.
מחשב א’ עם כתובת IP לא חוקית כמו 192.168.1.100 ועוד מחשב ב’ עם כתובת 192.168.1.102 שתיהם רוצים לצאת לאינטרנט העולמי, נגיד ל www.systal.net מה יעשו?
המחשב יודע שברגע שהוא רוצה לצאת לאינטרנט הוא יפנה ל Default Getway שהוגדר לו סטטית (לדוגמה שרת) או מחשב ביתי שהוגדר על ידי ה DHCP של הראוטר
המחשב יפנה ל 192.168.1.1 שהוא ה Default Getway (למי ששואל מי זה ה Default Getway , הוא למעשה הראוטר, כך שאם תקישו את כתובת ה Default Getway תגיעו לראוטר)
ברגע שהראוטר מקבל הודעה מהמחשב לפנות ל systal.net עם הIP של מחשב א’ שהוא 192.168.1.100:1545 עם הפורט 1545 הנתב מבצע “תרגום של הכתובת הפנימית לחיצונית
ורושם זאת בטבלת התרגום שלו כי ברגע שהוא יקבל תשובה לynet הוא צריך לדעת לאיפה להחזיר את התשובה שהיא למחשב א’

מחשב א’ = 192.168.1.100
פונה ל שער (DW) שהוא 192.168.1.1
הכתובת החוקית של הNAT היא = 64.54.2.1
הראוטר מבצע NAT לכתובת החיצונית (החוקית) שברשותו 192.168.1.100 = 64.54.2.1 ולכל זאת הוא המחשב מצוות פורט על מנת לדעת לאיפה להחזיר את הבקשה , אם פתחתם
שתי Sassions של אותו אתר systal.net על ידי ציוות הפורט הוא ידע מה לנתב לאיפה
systal.net שלא מודע לכך שמאחורי הIP החוקי הזה יש רשת שלמה של מחשבים ( ומצידו של systal.net זה נקרא Hide NAT) שולח את התשובה לבקשה לכתובת 64.54.2.1:1545
ובכך כאשר הראוטר מקבל את זה הוא מבצע היפוך לתרגום שבצע קודם הוא יבדוק בטבלה את הציוות של ה IP לפורט וידע להפנות את זה למחשב הנכון לכרטיס הרשת הנכון על
ידי בדיקת ה MAC Address
זהו הNAT המפורסם והשימושי ביותר כיום

Dynamic NAT – Many-To-Many

רשת ארגונית גדולה היוצאת בNAT מכמה כתובות חוקיות, למשל 4000 מחשבים עם כתובות לא חוקיות (פנימיות) יוצאת לרשת עם 50 או 100 כתובות חוקיות (ציבורי)
כאשר הארגון ענק בכמות המחשבים הדורשים כתובות לא ניתן להגדיר יציאה של IP אחד בגלל כמות הפורטים ההגבלה לפורטים היא 1024 – 65535 ולכן ארגון יגדיר Dynamic NAT על מנת להוציא את כמות המחשבים הגדולה הזו דרך כמה כתובות IP לדוגמה רשת 10.1.1.0 תצא דרך IP חוקי X ורשת 192.168.1.0.0 תצא דרך כתובת חוקית Y

Static NAT

דמיינו רשת ארגונית, עם 10 מחשבים, טווח הכתובות = 192.168.1.100- 192.168.1.200
שרת WEB של אותו ארגון עם הכתובת 192.168.1.50

ורכשנו מהספקית 10 כתובות חוקיות 64.54.1.10 – 64.54.1.20
לשימוש עתידי אך כעת אנו צריכים להגדיר שכאשר נפנה בדפדפן לכתובת 64.54.1.15 נגיע ישירות אל שרת הWEB שלו ונקבל לדוגמה את התמונה המפורסמת של IIS של מיקרוסופט (כי התקנו שרת IIS)

דבר ראשון נגדיר one-to-many NAT \ NAPT\ PAT לארגון שלנו עם ה10 מחשבים על מנת שיכלו לגלוש באינטרנט ללא בעיה (נגדיר את הטווח IP שקבענו)
ולאחר מכן נגדיר Static NAT המכוונת את הכתובת 64.54.1.15 = 192.168.1.50