কেন একাধিক NAT স্তর ব্যবহার করা খারাপ ধারণা বা এটি?


19

কোনও সংস্থার কম্পিউটার নেটওয়ার্কে 192.168 / 16 আইপি অ্যাড্রেস পরিসীমা সহ একটি NAT রয়েছে। একটি সার্ভারের সাথে একটি বিভাগ রয়েছে যার আইপি ঠিকানা 192.168.xy রয়েছে এবং এই সার্ভারটি এই বিভাগের হোস্টগুলিকে আইপি অ্যাড্রেস পরিসীমা 172.16 / 16 এর সাথে অন্য NAT দিয়ে পরিচালনা করে।

সুতরাং NAT এর 2 স্তর রয়েছে। পরিবর্তে তাদের সাবনেটিং কেন নেই। এটি সহজ রাউটিংয়ের অনুমতি দেবে।

আমি অনুভব করি যে NAT এর একাধিক স্তরগুলি কর্মক্ষমতা হ্রাস পেতে পারে। আপনি দয়া করে দুটি নকশা কৌশল তুলনায় আমাকে সাহায্য করতে পারেন?

হালনাগাদ:

@ জন আরও কিছু তথ্য

বন্ধুর সাথে আলোচনায়, আমরা বুঝতে পেরেছিলাম যে সাবনেটিংয়ের ফলে নিম্নলিখিত সমস্যার কারণ হতে পারে। একটি কম্পিউটারের এআরপি অনুরোধ পুরো সংস্থার নেটওয়ার্ক প্লাবিত করবে। যদি রাউটার এই অনুরোধগুলি ফরোয়ার্ড না করে তবে পিসি এক বিভাগে পিসি অন্য বিভাগগুলিতে পিসির সাথে সংযোগ করতে সক্ষম হবে না যা তারা বিভিন্ন NAT এর পিছনে থাকলেও তা করা যায় না। একটি প্যাকেট স্নিফারের সাহায্যে আমরা দেখেছি যে উইন্ডোজটিতে ফাইল শেয়ারিং সক্ষম করার কারণে বিভাগের বেশিরভাগ কম্পিউটারে প্রচুর এআরপি অনুরোধ রয়েছে।

এই সমস্যার সমাধান কিভাবে?

এছাড়াও যদি দুটি কম্পিউটার বিভিন্ন NAT এর পিছনে থাকে তবে তাদের একে অপরের সাথে সংযোগ স্থাপনের কোনও উপায় নেই?


দয়া করে আপনার প্রশ্নটি এতে পরিবর্তন করুন: "একাধিক NAT স্তর ব্যবহার করা খারাপ ধারণা কেন?"

2
আর একটি হোমওয়ার্ক অ্যাসাইনমেন্ট ...
জন রোয়াদেস

1
কোন। এটি একটি ব্যবহারিক সমস্যা। আমি সবসময় হোমওয়ার্কের কথা উল্লেখ করি।
রোহিত বঙ্গ

3
@ জন (এবং তার প্রচারকারী), এখানে হোমওয়ার্ক প্রশ্ন জিজ্ঞাসা করতে কোনও সমস্যা নেই। এটি এমন একটি বিষয় যা মেটা.স্ট্যাকওভারফ্লো.কম এ কয়েকবার আলোচনা হয়েছে - যদিও ব্যক্তিগতভাবে আমি এইচডব্লিউকে দেখায় এমন প্রশ্নের মধ্যে কিছুই দেখছি না।
মার্ক হেন্ডারসন

@ ফারসিকার - পুরো প্রশ্নটি বিমূর্ত। তিনি কোনও কিছুর পরিবর্তন করার মতো অবস্থানে আছেন বলে মনে হয় না, তিনি আমাদের "2 ডিজাইনের কৌশলগুলি" কোনও পরিষ্কার লক্ষ্য ছাড়াই "তুলনা" করতে চান - এটি কেবল হোম ওয়ার্কের মতো গন্ধ পায় যা সত্যিকারের বিশ্ব সমস্যা নয়। অবশ্যই আমি ভুল বলে আমি মেনে নেওয়ার চেয়ে বেশি খুশি যে কারও কাছে এই উন্মাদ সেটআপ রয়েছে - সেক্ষেত্রে তাদের অবশ্যই জিজ্ঞাসা করুন কেন তাদের অবশ্যই যুক্তিসঙ্গত কারণ থাকতে হবে।
জন রোয়াদেস

উত্তর:


6

একাধিক স্তরযুক্ত নেটিংয়ের সাথে আসল সমস্যাটি হ'ল এটি আপনার নেটওয়ার্ক টপোলজিটিকে বিভ্রান্ত করে তোলে। আপনি যদি NAT এর একাধিক স্তর ব্যবহার করেন তবে আপনি সংস্থার সমস্ত হোস্টের মধ্যে প্রতিসাম্যিক রাউটিংটি ছুঁড়ে ফেলুন এবং আপনার নেটওয়ার্কের অভ্যন্তরে ব্যক্তিগত ঠিকানা স্পেসকে ওভারল্যাপ করার সম্ভাবনাও চালাবেন। কল্পনা করুন আপনি যদি আপনার এন + 1 NAT স্তরে এমন একটি অ্যাড্রেস রেঞ্জ ব্যবহার করেন যা এনএইচ লেটারে ব্যবহৃত হচ্ছিল। এই নেটওয়ার্কগুলি কখনই একে অপরের দিকে যাত্রা করতে সক্ষম হবে না, তবে এন + 1 স্তরের হোস্টগুলিতে এন স্তর হিসাবে একই ঠিকানা থাকতে পারে, যা সার্ভারের পরিচয় বিভ্রান্ত করছে।

যদি আমি একটি বড় নেটওয়ার্কের টপোলজি রেখে থাকি তবে আমি কেবল 10 * বা 172.16-24 ব্যবহার করব our আমাদের যে কোনও সাবনেটগুলিতে হোস্টের জন্য ঠিকানা addresses তারপরে যদি কোনও বিভাগ বা স্বতন্ত্র ব্যক্তি দ্বিগুণ করতে চান, তারা তাদের নেট হোস্টের পিছনে নেটওয়ার্কের জন্য দায়বদ্ধতার সাথে তা বোঝার সাথে (192.168 * * নেটওয়ার্ক ব্যবহার করে) করতে পারত। এই ডাবল নেট'র কোনও নেটওয়ার্ককে আরও বড় হওয়ার চেয়ে আমি আরও বেশি সাবনেট তৈরি করার দিকে ঝুঁকতে চাই।


9

মাল্টি-লেভেল NAT নিয়ে সমস্যাগুলি মূলত একক স্তর NAT এর মতো তবে চক্রবৃদ্ধ হয়। যেমন:

  1. প্যাকেটগুলির আজীবন অতিরিক্ত কাজ করার কারণে বিলম্বিতা (যদিও এটি বেশিরভাগ ক্ষেত্রেই তাত্পর্যপূর্ণ হওয়ার সম্ভাবনা কম)

  2. কোথা থেকে আসে তা জেনে। যদি আপনি নির্দিষ্ট অনুরোধগুলি কোথা থেকে এসেছে তা ট্র্যাক করার চেষ্টা করছেন (সম্ভবত আপনার বহির্গামী ফায়ারওয়াল স্প্যাম বানানোর চেষ্টা করে বা অন্য সংক্রমণের লক্ষ্যগুলি অনুসন্ধান করার চেষ্টা করছে এমন কোনও আপোষযুক্ত মেশিনের মতো দেখতে লগ করেছে), NAT এ জাতীয় ডায়াগনস্টিকগুলি আরও জটিল করে তোলে।

  3. ইনকামিং সংযোগ পোর্ট ফরওয়ার্ডিং, যদি আপনার ইনকামিং সংযোগের প্রয়োজন হয় তবে সেটআপ এবং রক্ষণাবেক্ষণের জন্য এটি আরও ফাফ।

  4. বন্দর সংখ্যা সীমিত। NAT বিভিন্ন পোর্টে উত্স ঠিকানাগুলি অনুবাদ করে কাজ করে, উদাহরণস্বরূপ:

    • মেশিন 1 কোনও বহিরাগত ওয়েব সার্ভারের সাথে 1024 পোর্ট ব্যবহার করে কথা বলে কারণ এটি উত্সটি NAT বাক্সের ঠিকানায় অনুবাদ করা হয়েছে, বলুন, 10000 port
    • একই মেশিন এতে দুটি অনুরোধ করে, বা অন্যটি, ওয়েব সার্ভার একযোগে (অস্বাভাবিক নয়) সোর্স পোর্ট 1025 ব্যবহার করে (দুটি সমবর্তী সংযোগের আলাদা উত্স পোর্ট থাকা দরকার)। NAT বাক্সটি এটি "সোর্স পোর্ট 10001" এ অনুবাদ করে
    • অন্য একটি মেশিন টক এক্সটার্নাল সার্ভারের সাথে তিনটি সংযোগ করে। ভাল, NAT বাক্স এগুলিকে "আমার বন্দরে 10002, 10003 এবং 10004" এ অনুবাদ করে
    • প্যাকেটগুলি বাহ্যিক মেশিনগুলির আকারে ফিরে আসার সাথে সাথে NAT বাক্সটি জানে যে এটি 10000 বন্দরটিতে নিজের জন্য নির্ধারিত জিনিসগুলি সত্যিই 1024 বন্দরটিতে 1 মেশিনে যাওয়ার কথা, এবং অন্যান্য সক্রিয় সংযোগগুলির জন্য।

    অর্থাত বৃহৎ নেটওয়ার্ক বা মেশিন যে অনেক সংযোগ (ঐ যে BitTorrent প্রটোকল তৈরি করতে পারেন বাস্তবায়ন মত P2P অ্যাপ্লিকেশন করতে সঙ্গে একটি ছোট নেটওয়ার্ক - যতক্ষণ না আপনি অনেক বিদায়ী সংযোগ আছে এই সব সূক্ষ্ম এবং তোফা হয় অনেক সংঘটনশীল সংযোগের)। আইপি প্রোটোকলে কেবল 65536 বন্দর রয়েছে, 1024 টি সংরক্ষিত কম less যদিও ,000০,০০০ এর মতো শোনার মতো এটি দ্রুত গ্রাস করা যায় তবে NAT বাক্সে সিদ্ধান্ত নিতে হবে যে কোন পুরানো ম্যাপিংগুলি সরানো যেতে পারে যা সাধারণত "প্রাচীনতমটি ফেলে দিন" এর মতো সহজ নয়। এর ফলে বিজোড় বাগ (এলোমেলো সংযোগগুলি কারণ নির্ণয় করা কঠিন হয়ে পড়ে) বা মেশিনটি কেবল কিছু সময়ের জন্য নতুন সংযোগ তৈরি করতে সক্ষম না হতে পারে।

  5. NAT বক্সে চাপুন (এস)। যদি আপনি কিছুটা কম পাওয়ার বাক্স ব্যবহার করেন (উদাহরণস্বরূপ অফ-দ্য শেল্ফ এনএটি সমর্থনকারী রাউটারগুলি, তবে তারপরে একটি চঞ্চল সিপিইউ সহ একটি সম্পূর্ণ পিসি) অতিরিক্ত অনুবাদ কাজটি করতে (বেসিক রাউটিং টেবিল অনুসারে কেবল ফরওয়ার্ডিং প্যাকেটের তুলনায়) ) তাদের মাধ্যমে স্থানান্তরকে কমিয়ে দিতে পারে। ইন্টারনেট অ্যাক্সেসের জন্য এটি কোনও সমস্যা হওয়ার সম্ভাবনা নেই (আপনার 'নেট সংযোগটিই বাধা হয়ে দাঁড়াবে) তবে আপনি স্থানীয় নেটওয়ার্ক বিভাগগুলির মধ্যে নেটিংয়ের সময় এটি বেশ লক্ষণীয় হয়ে উঠতে পারে।


পয়েন্ট 4 এই সমস্যাটি NAT এর স্তরগুলির জন্য একই হওয়া উচিত বা না!
রোহিত বঙ্গ

সত্য, পয়েন্ট 4 একক স্তরের NAT এবং মাল্টি-লেভেল NAT উভয়ের ক্ষেত্রে একই সমস্যা, তবে মাল্টিলেভেল নেটটি কোন সংযোগগুলি মরে গেছে তা কাজ করার সমস্যাটিকে আরও বাড়িয়ে তোলে (বহিরাগত হোস্টটি অভ্যন্তরীণটির মতো খুব বেশি প্রসঙ্গটি জানেন না) এবং ডায়াগনস্টিকগুলি তৈরি করে পোর্ট ম্যাপিং সীমাবদ্ধতা একটি সমস্যা হয়ে ওঠে যদি আরও শক্ত। এটি কার্যকর ন্যায্য ব্যান্ডউইদথ বরাদ্দ এবং অন্যান্য ট্র্যাফিককে বাস্তবায়িত ও নিরীক্ষণের জন্য আরও বিভ্রান্তিকর করে তুলতে পারে (যদিও এর উপায় রয়েছে, আপনার নেটওয়ার্ক টপোলজিকে সহজতর করা সাধারণত সর্বোত্তম বিকল্প)।
ডেভিড স্পিললেট

6

পারফরম্যান্স ক্ষতি / গতি আপনার ব্যবহৃত রাউটারের মানের থেকে নিচে নেমে এসেছে।

ভাল / খারাপ ধারণা হিসাবে, আমি যখন কেবল রাউটিং ব্যবহার করা সম্ভব হয় তখন আমি তার বিপক্ষে, তবে এটি বাস্তবে পরিবেশ এবং আপনি কী অর্জন করতে চাইছেন তার উপর নির্ভর করে।

যদি মেশিনগুলিকে কেবল স্ট্যান্ডার্ড পোর্টগুলির সাথে ভাগ করা কয়েকটি জিনিস চালানোর প্রয়োজন হয়, আপনি রাউটার / নাট-উপহার দেওয়ার ডিভাইসে যেতে পারেন এবং যা চান তা অনুমতি দেওয়ার জন্য একটি নিয়ম সেট করতে পারেন (1)। তবে, আপনি যদি ডিভাইসের কাজগুলিতে প্রচুর পরিমাণে ডিভাইস করতে যাচ্ছেন তবে প্রতিটি মেশিনের নিজস্ব অনন্য আইপি (২) থাকার সাথে একটি উপযুক্ত রুট তৈরি করা অনেক সহজ হবে।

(1) উদাহরণস্বরূপ, অনেকের কাছে - একটি মেশিনের একটি ওয়েব সার্ভার রয়েছে এবং আপনি এটি অন্যদের সাথে ভাগ করতে চান - আপনি রাউটারটিতে মেশিনের ৮০ টি পোর্টে রুল স্থাপন করবেন, তারপরে বাইরের নেটওয়ার্ক থেকে (বা ভিতরে) কোনও মেশিন রাখবেন যদি নাট-লুপব্যাক সক্ষম থাকে) কেবল http: //router.ip এ যেতে পারে এবং অ্যাক্সেস করতে পারে।

(২) তবে যদি প্রতিটি মেশিনের একটি ওয়েব সার্ভার চালু থাকে, বা আপনি প্রচুর পরিষেবা ব্যবহার করতে চলেছেন তবে আপনি সমস্ত নিয়মগুলি সেট আপ করার স্বপ্ন দেখবেন (তবে এটি অসম্ভব নয়)।

আপনার দৃশ্যের হিসাবে - যদি কোনও বিভাগ 192.168.xx এবং অন্যটি 192.168.yx ব্যবহার করে থাকে তবে আমি ডিভাইসগুলির মধ্যে দিয়ে যাব এবং যদি কোনও ওভারল্যাপ না থাকে তবে কেবল সাবলেটটি ২৪ / ২ to থেকে ১ 16 এ পরিবর্তন করা সম্ভব (বা অন্যদিকে), তারপরে রাউটারগুলি স্যুইচ / বা অনুরূপের সাথে প্রতিস্থাপন করুন এবং পরিষেবাগুলির কোনও ক্ষতি নেই।

আপনার নেটওয়ার্ক সম্পর্কে আরও না জেনে সাহায্য করা সত্যই শক্ত, ডাবল এনএটি যতক্ষণ না এটি সঠিকভাবে সেট আপ করা আছে সেখানে "ভুল" কিছুই নেই। তবে, আপনার যদি সত্যিই এটির প্রয়োজন না হয় বা এর খুব ভাল কারণ না থাকে তবে আমি যদি পারতে পারি তবে আমি সরে যাওয়ার দিকে নজর দেব (ব্যক্তিগত মতামত)


@ আইমরোহিতবাঙ্গা - আপনার প্রশ্নের জবাবে (মন্তব্যের জন্য অনেক কিছু)

তুলনা করা শক্ত - রাউটিং ব্যক্তিগত নেটওয়ার্কগুলির জন্য ভাল কাজ করে যেখানে প্রতিটি মেশিন প্রতিটি মেশিন অ্যাক্সেস করার ক্ষমতা রাখে। নাট ভালভাবে কাজ করে, তবে এটি সাধারণত এমন নেটওয়ার্কগুলির জন্য ব্যবহৃত হয় যেগুলি সাধারণত রাউটিংয়ের প্রয়োজন হয় না কারণ আপনাকে সাধারণত আগত নিয়ম / রুটগুলি ম্যানুয়ালি সেটআপ করতে হয়।

উদাহরণস্বরূপ, যদি আপনার কাছে একটি ইন্টারনেট সংযোগ থাকে এবং NAT নিষ্ক্রিয় করে থাকে তবে ম্যানুয়ালি রুটগুলি বা ব্রিজড মোড সেট আপ করুন - আপনার মেশিনটি সরাসরি ইন্টারনেটে থাকবে - সমস্ত পোর্ট অ্যাক্সেসযোগ্য এবং কোনও মেশিন এটি যা চায় তা করতে পারে।

যদি আপনার কাছে NAT এর সাথে রাউটার থাকে তবে এটি বাইরের আইপি নেবে এবং "নাট-এড" সরবরাহ করবে? (পরিভাষা সম্পর্কে নিশ্চিত নয়) ইন্টারনেট - সমস্ত অভ্যন্তরীণ মেশিনের একটি আইপি রয়েছে যা ইন্টারনেট থেকে অ্যাক্সেসযোগ্য নয়, তবে আপনি ম্যানুয়াল বিধিগুলি নির্ধারণ করতে পারেন - উদাহরণস্বরূপ পোর্ট 80 থেকে একটি মেশিন ... এটি বহির্গামী সংযোগগুলির জন্য খুব কার্যকরভাবে কাজ করে (ফায়ারওয়াল নিয়মকানুন অনুমোদিত), তবে আপনি যদি অনেক পরিষেবা হোস্ট করেন তবে আগত নিয়মগুলি সেট আপ করা একটি দুঃস্বপ্ন হতে পারে ... এবং যদি আপনি গতিশীল পোর্টগুলির জন্য প্রয়োজনীয় কিছু করেন (ftp, Windows AD ইত্যাদি) এটি দুঃস্বপ্ন হতে পারে।

আশা করি এটি সহায়তা করে, যদি আপনি আরও কিছু জানতে চান তবে নির্দ্বিধায় জিজ্ঞাসা করুন।


আপনি দুটি কৌশল তুলনা করতে পারেন হোস্টগুলিতে ইন্টারনেট অ্যাক্সেস সরবরাহ করতে নেটওয়ার্কটি ব্যবহৃত হয়।
রোহিত বঙ্গ

@ আইমরোহিতবাঙ্গা - উত্তর আপডেট করছে
উইলিয়াম হিলসুম

5

NAT এর সাথে প্রধান সমস্যা (সাধারণভাবে এবং একাধিক স্তর বিশেষত) বিশেষত এটি সমস্যা সমাধানের পক্ষে অত্যন্ত কঠিন হতে পারে।


4

NAT এর সাথে সবচেয়ে বড় সমস্যাটি হ'ল অনুবাদটি পুরানো নেটওয়ার্ক সফটওয়্যার থাকাকালীন অনেক অ্যাপ্লিকেশন ক্ষতিগ্রস্থ করে তোলে (এফটিপি, ভিওআইপি ইত্যাদি)। আধুনিক ফায়ারওয়াল / গেটওয়েতে অনুবাদ রয়েছে (সিসকো-শর্তে ফিক্সআপস) যা এটিকে অনেক সহজ করে তোলে।

আমি বুঝতে পারি না কেন আপনার সংস্থা বেসরকারী সাবনেটগুলির মধ্যে NAT ব্যবহার করে। কেন শুধু এটি রুট করবেন না?


2

কেবলমাত্র আপনার নেটওয়ার্ক এবং ক্লায়েন্টদের আইপিভি 6-তে আপগ্রেড করুন, তারপরে আর NAT ব্যবহার করার দরকার নেই।


1

আপনার প্রশ্নের নতুন দ্বিতীয় অংশের উত্তর দিতে ...

রাউটারগুলি ব্রডকাস্টড ডোমেনগুলি বিরতি দেয় - রাউটারগুলি আরপ প্যাকেটগুলি ফরোয়ার্ড করে না, তারা সাবনেট * এর মধ্যে থাকে। আপনার উইন্ডোজ ফাইল ভাগ করে নেওয়ার (গুরুত্ব সহকারে?) নেটবিয়াস ব্রডকাস্ট ট্র্যাফিক সাবনেটটি ছাড়বে না।

সাবনেট সহ:

আপনার যদি কোনও সাবনেটের বাইরে থেকে কোনও উইন্ডোজ শেয়ার অ্যাক্সেসের প্রয়োজন হয় তবে আপনি সরাসরি এটির আইপি ঠিকানা ব্যবহার করে বা হোস্টনেম দ্বারা কোনও ডিএনএস বা ডাব্লুআইএনএস সার্ভার সেটআপ ব্যবহার করে অ্যাক্সেস করতে পারেন।

NAT সহ:

যদি আপনার নাটটি পিএটি জাতীয় হয় এবং সেজন্য এক থেকে একের ম্যাপিং না হয় তবে এটির জন্য আপনার পোর্ট ফরওয়ার্ডিং কনফিগার করতে হবে - এটি খারাপ হবে।

অ্যাড নাসিয়াম যেমন আলোচিত হয়েছে, NAT সাধারণত একটি খারাপ জিনিস কারণ এটি নেটওয়ার্কের কার্যকারিতা ভঙ্গ করে, আমরা কেবল তাই ব্যবহার করি কারণ আমাদের to আইপিভি 6 রোল।

* অবশ্যই সম্প্রচারের ফরোয়ার্ডার / রিলে / সহায়তাকারীদের উপস্থিত রয়েছে

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.