Как называется эта концепция маршрутизации? Проблемы с получением дополнительных сведений о маршрутизации LAN-to-WAN-to-LAN
В простой сети мои журналы nginx будут указывать адрес шлюза (10.0.0.1) вместо внутреннего адреса клиента (10.0.0.19), когда я использую DNS (например, foo.com) для получить доступ к серверу в локальной сети.
Я пытаюсь прочитать об этом подробнее, но не знаю, как это называется.Есть ли термин для обозначения «маршрутизатор заметил, что вы пытались подключиться за пределами сети, к ресурсу внутри сети, и заменил ваш IP-адрес на адрес шлюза»? Если это стандартная вещь, есть ли статьи, где я могу почитать больше? Я не совсем понимаю, почему это происходит, но это похоже на «особенность» маршрутизатора, названия которой я не знаю.
В качестве побочного эффекта того, что адрес FROM является шлюзом, ответы направляются маршрутизатору (затем обратно к локальному клиенту), а не просто через коммутатор. Это не очень хорошо, потому что коммутатор LAN имеет гораздо более высокую пропускную способность, чем маршрутизатор, из-за того, что маршрутизатор выполняет функции межсетевого экрана.
Это довольно простая настройка сети:
WAN - (70.x)Router(10.0.0.1) - Switch - (10.0.0.3) Server
- (10.0.0.19) Client
На компьютере внутри локальной сети (клиент 10.0.0.19) я делаю запрос на foo.com. DNS для foo.com указывает на интерфейс WAN на маршрутизаторе, который имеет настройку переадресации порта на сервер. nginx внутри сервера показывает, что запрос поступает от 10.0.0.1 вместо 10.0.0.19.
Если запрос исходит из глобальной сети, то в журналах nginx отображаются ожидаемые данные.
Если это уместно, маршрутизатор является универсальной USG с универсальным коммутатором позади.
"маршрутизатор заметил, что Вы пытались достигнуть вне сети, к ресурсу в сети, и заменили свой IP-адрес адресом шлюза"?
, Который является NAT (Преобразование сетевых адресов) вариант под названием NAPT (Преобразование адресов сетевых портов). Некоторые люди называют это PAT (Перевод Адреса порта), потому что крупный поставщик называет его этим, Но RFC 2663, Терминология Преобразователя сетевых адресов (NAT) IP и Соображения объясняют это. Когда Вы хотите это к обратной петле внутри, которую называют различными вещами, в зависимости от поставщика (маршрутизация шпильки, отражение NAT, и т.д.), и это очень расточительно из ресурсов маршрутизатора.
существуют различные ресурсы, включая RFCs. Например, RFC 3022, Традиционный Преобразователь сетевых адресов IP (Традиционный NAT) имеет Раздел 2.2. Обзор NAPT:
2.2. В обзоре NAPT
Говорится, организация имеет частную сеть IP и канал WAN поставщику услуг. Тупиковому маршрутизатору частной сети присваивают глобально допустимый адрес на канале WAN, и остающиеся узлы в организации имеют IP-адреса, которые имеют только локальное значение. В таком случае узлам на частной сети можно было предоставить одновременный доступ к внешней сети, с помощью единственного зарегистрированного IP-адреса при помощи NAPT. NAPT позволил бы отображаться кортежей типа (локальные IP-адреса, локальный номер порта TU) к кортежам типа (зарегистрированный IP-адрес, присвоил номер порта TU).
Эта модель соответствует требованиям большинства групп Домашнего офиса малого офиса (SOHO) для доступа к внешней сети с помощью единственного поставщика услуг присвоенный IP-адрес. Эта модель могла быть расширена для предоставления входящего доступа путем статичного отображения локального узла на каждый сервис порт TU зарегистрированного IP-адреса.
В примере рисунка 3 ниже, заблокируйте внутренне блок адреса класса A использования 10.0.0.0/8. Интерфейсу глобальной сети тупикового маршрутизатора присваивает IP-адрес 138.76.28.4 поставщик услуг.
\ | / +-----------------------+ |Service Provider Router| +-----------------------+ WAN | | Stub A .............|.... | ^{s=138.76.28.4,sport=1024, | v{s=138.76.29.7, sport = 23, ^ d=138.76.29.7,dport=23} | v d=138.76.28.4, dport = 1024} +------------------+ |Stub Router w/NAPT| +------------------+ | | LAN -------------------------------------------- | ^{s=10.0.0.10,sport=3017, | v{s=138.76.29.7, sport=23, | ^ d=138.76.29.7,dport=23} | v d=10.0.0.10, dport=3017} | | +--+ +--+ +--+ |--| |--| |--| /____\ /____\ /____\ 10.0.0.1 10.0.0.2 ..... 10.0.0.10 Figure 3: Network Address Port Translation (NAPT) Operation, Когда тупик хост 10.0.0.10 отправляет пакет telnet для хостинга 138.76.29.7, он использует глобально уникальный адрес 138.76.29.7 в качестве места назначения и отправляет пакет в, он - основной маршрутизатор. Тупиковый маршрутизатор имеет статический маршрут для подсети 138.76.0.0/16, таким образом, пакет передается к каналу WAN. Однако NAPT переводит кортеж исходного адреса 10.0.0.10 и исходного порта TCP 3017 в IP и заголовках TCP в глобально уникальные 138.76.28.4 и исключительно присвоенный порт TCP, скажите 1024, прежде чем пакет будет передан. Пакеты на обратном канале проходят подобный адрес и переводы порта TCP для целевого IP-адреса и предназначаются для порта TCP. Еще раз заметьте, что это не требует никаких изменений в хостах или маршрутизаторах. Перевод абсолютно прозрачен.
В этой установке, только TCP/сеансы UDP позволяется и должен произойти из локальной сети. Однако существуют сервисы, такие как DNS, которые требуют входящего доступа. Могут быть другие сервисы, для которых организация хочет позволить входящий доступ в сеансе. Возможно статически настроить известную услугу портов TU [RFC 1700] на тупиковом маршрутизаторе, который будет направлен к определенному узлу в частной сети.
В дополнение к TCP/сеансам UDP, сообщения ICMP, за исключением типа сообщения ПЕРЕНАПРАВЛЕНИЯ могут также контролироваться маршрутизатором NAPT. Пакеты типа запроса ICMP переводятся подобные пакету пакетов TCP/UDP в этом, поле идентификатора в заголовке сообщения ICMP будет исключительно отображено на идентификаторе запроса зарегистрированного IP-адреса. Поле идентификатора в сообщениях запроса ICMP установлено отправителем Запроса и возвращено неизменное, в ответ обмениваются сообщениями от респондента Запроса. Так, кортеж (Локальный IP-адрес, локальный идентификатор запроса ICMP) отображается на кортеже (зарегистрированный IP-адрес, присвоился, ICMP запрашивают Идентификатор) маршрутизатором NAPT для однозначного определения запросов ICMP всех типов от любого из локальных хостов. Модификации к сообщениям ICMP об ошибке обсуждены в более позднем разделе, поскольку это включает модификации к полезной нагрузке ICMP, а также заголовкам ICMP и IP.
В установке NAPT, где зарегистрированный IP-адрес совпадает с IP-адресом интерфейса глобальной сети тупикового маршрутизатора, маршрутизатор, несомненно, должен будет сделать различие между TCP, UDP или сессиями запроса ICMP порожденным из себя по сравнению с порожденными из узлов в локальной сети. Всеми входящими сессиями (включая TCP, UDP и сессии запроса ICMP), как предполагается, управляют к маршрутизатору NAT как конечный узел, если целевой порт услуг статически не отображается на другом узле в локальной сети.
Сессии кроме TCP, UDP и типа запроса ICMP просто не разрешены от локальных узлов, обслуживаемых маршрутизатором NAPT.
надлежащий путь состоит в том, чтобы использовать что-то как разделение DNS так, чтобы Ваш внутренний трафик никогда не вводил маршрутизатор, так, чтобы Вы не тратили впустую пропускную способность интерфейса LAN (в обоих направлениях), и Вы не используете маршрутизатор ЦП и RAM для трафика, который никогда не должен оставлять Вашу сеть.