NAT (Network Address Translation)

Was ist Network Address Translation (NAT)?

Bei der Netzwerkadressübersetzung (Network Address Translation, NAT) wird eine IP-Adresse auf eine andere übertragen, indem der Header von IP-Paketen auf dem Weg über einen Router geändert wird. Dies trägt dazu bei, die Sicherheit zu verbessern und die Anzahl der IP-Adressen zu verringern, die ein Unternehmen benötigt.

Wie funktioniert Network Address Translation?

NAT funktioniert durch die Nutzung von Gateways, die zwischen zwei lokalen Netzwerken sitzen: dem internen Netzwerk und dem externen Netzwerk. Systemen im internen Netzwerk werden in der Regel IP-Adressen zugewiesen, die nicht an externe Netzwerke geroutet werden können (zum Beispiel Netzwerke im Block 10.0.0.0/8).

Dem Gateway werden einige wenige nach außen gültige IP-Adressen zugewiesen. Das Gateway lässt den von einem internen System ausgehenden Verkehr so aussehen, als käme er von einer der gültigen externen Adressen. Es nimmt eingehenden Datenverkehr, der an eine gültige externe Adresse gerichtet ist, und leitet ihn an das richtige interne System weiter.

Dies trägt zur Sicherheit bei. Denn jede ausgehende oder eingehende Anfrage muss einen Übersetzungsprozess durchlaufen, der zum Beispiel die Möglichkeit bietet, eingehende Datenströme zu qualifizieren oder zu authentifizieren und sie mit ausgehenden Anfragen abzugleichen.

NAT schont die Anzahl der global gültigen IP-Adressen, die ein Unternehmen benötigt, und hat in Kombination mit dem Classless Inter-Domain Routing (CIDR) wesentlich dazu beigetragen, die Nutzungsdauer von IPv4 zu verlängern. NAT wird in allgemeiner Form im RFC 3022 der IETF beschrieben.

Was sind die verschiedenen Arten von NAT-Techniken?

Der NAT-Mechanismus (natting) ist eine Router-Funktion und oft Teil einer Unternehmens-Firewall. NAT-Gateways können IP-Adressen auf verschiedene Weise zuordnen: 

• statisch von einer lokalen IP-Adresse auf eine globale IP-Adresse
• einen ganzen IP-Adressraum, der aus privaten IP-Adressen besteht, hinter einer einzigen IP-Adresse verstecken
• auf ein großes privates Netzwerk mit einer einzigen öffentlichen IP-Adresse unter Verwendung von Übersetzungstabellen
• von einer lokalen IP-Adresse und einem bestimmten TCP-Port zu einer globalen Adresse oder einem Pool von öffentlichen IP-Adressen
• von einer globalen IP-Adresse zu einem beliebigen Pool lokaler IP-Adressen auf Round-Robin-Basis.

In einigen Fällen definieren Netzwerkadministratoren Richtlinien, die es dem Gateway-Gerät ermöglichen, Zuordnungen auf der Grundlage des beabsichtigten Ziels zuzuweisen (wähle diese externe Adresse für die Kommunikation mit dem Netz von Partner A; wähle diese externe Adresse für die Kommunikation mit Partner B).

Richtlinien können auch für die verwendeten Protokolle (Zuweisung aus diesem Pool für HTTP-Verkehr, aus diesem Pool für HTTPS) oder für andere Faktoren verwendet werden.

Eine neuere Art, NAT zu nutzen, konzentriert sich auf die Übersetzung der IPv4-Adressen eines ISP-Anbieters in IPv6 und umgekehrt. Dies ermöglicht die Integration von IPv4-Infrastrukturen und Endknoten in IPv6-Umgebungen sowie die Interaktion von IPv6-Diensten mit IPv4-Systemen.

Was ist der Unterschied zwischen dynamischem NAT (DNAT) und statischem NAT (SNAT)?

Ein dynamisches NAT ist in größeren Organisationen mit komplexen internen Netzwerken üblich. Dabei werden mehrere verfügbare IP-Adressen bei der Übersetzung verwendet.

Ein Beispiel hierfür ist Cisco, das eine Technik entwickelt hat, die eine NAT-Überlastung nutzt, um mehrere private IP-Adressen auf eine einzige öffentliche IP-Adresse abzubilden.

Umgekehrt bietet ein statisches NAT, das ebenfalls in großen Organisationen üblich ist, eine 1:1-Zuordnung zwischen einer internen IP-Adresse und einer IP-Adresse des öffentlichen Netzwerks.