NAT (Network Address Translation) ist ein Mechanismus, der es Geräten mit privaten IP-Adressen ermöglicht, sich mit öffentlichen Netzwerken wie dem Internet zu verbinden. Das Vorhandensein von NAT ist in modernen Netzwerken angesichts der begrenzten Anzahl öffentlicher IP-Adressen von entscheidender Bedeutung, während die Nachfrage nach mit dem Internet verbundenen Geräten ständig steigt.
NAT übersetzt private IP-Adressen in öffentliche IP-Adressen, sodass Geräte in einem privaten Netzwerk auf das Internet zugreifen können, ohne ihre jeweiligen öffentlichen IP-Adressen zu benötigen. So wird NAT zu einer effizienten Lösung für die Nutzung von IP-Adressen und schützt private Netzwerke vor direktem Zugriff durch Außenstehende.
Hauptzweck von NAT
NAT verbirgt die private IP-Adresse eines Geräts vor externen Netzwerken und erhöht so den Schutz vor potenziellen Bedrohungen.
Durch das Verbergen der internen Struktur des Netzwerks trägt NAT dazu bei, die Wahrscheinlichkeit direkter Angriffe auf Geräte zu verringern.
2. Effizienz bei der Verwendung von IP-Adressen
NAT ermöglicht es mehreren Geräten, eine oder mehrere öffentliche IP-Adressen gemeinsam zu nutzen, wodurch der Bedarf an begrenzten öffentlichen IP-Adressen reduziert wird. Dies ist sehr nützlich, um mit den Einschränkungen von IPv4-Adressen umzugehen.
3. Einfacher Umgang mit der Netzwerkverwaltung
NAT bietet Flexibilität beim Netzwerkmanagement, da es sich bei der IP-Zuweisung nicht vollständig auf ISPs verlässt.
Administratoren können private Netzwerke problemlos verwalten, ohne jedes Gerät im Internet veröffentlichen zu müssen.
Arten von NAT
1. Statische NAT
Statische NAT ist eine Methode zur Übersetzung von Netzwerkadressen, bei der eine private IP-Adresse immer in eine bestimmte öffentliche IP-Adresse übersetzt wird. In der statischen NAT ist die Beziehung zwischen einer privaten IP-Adresse und einer öffentlichen IP-Adresse dauerhaft, d. h., sie ändert sich im Laufe der Zeit nicht.
Statische NAT wird häufig auf Geräten verwendet, die direkten Zugriff über ein öffentliches Netzwerk erfordern, z. B. Webserver, E-Mail-Server oder andere Geräte, die eine IP-Adresse erfordern, auf die von außen zugegriffen werden kann.
Beispiele für den Einsatz auf internen Servern
Beispiel: Ein Unternehmen hat einen internen Server mit der privaten IP-Adresse 192.168.11.10. Auf diese Server müssen Benutzer aus dem Internet zugreifen. Mithilfe von Static NAT können Netzwerkadministratoren die öffentliche IP-Adresse 203.0.113.10 so konfigurieren, dass sie immer mit der privaten IP-Adresse 192.168.11.10 verbunden ist.
Auf diese Weise kann der Server über eine öffentliche IP-Adresse aus dem Internet erreichbar bleiben, ohne dass seine private IP-Adresse preisgegeben werden muss.
Vorteile von Static NAT
Statische NAT bietet eine konsistente öffentliche IP-Adresse für Geräte in einem privaten Netzwerk, wodurch der Netzwerkzugriff einfach verwaltet werden kann.
Da öffentliche IP-Adressen fest sind, vereinfacht Static NAT den Registrierungsprozess in DNS. Beispielsweise kann der www.contohperusahaan.com Domainname über DNS mit der öffentlichen IP-Adresse eines Servers verknüpft werden.
Durch die permanente Verknüpfung kann jederzeit auf Geräte wie Server zugegriffen werden, ohne dass die Konfiguration der IP-Adresse geändert werden muss.
Static NAT ist eine ideale Lösung für Netzwerkgeräte, die eine direkte Verbindung zum Internet benötigen und gleichzeitig die Sicherheit der internen Netzwerkstruktur gewährleisten.
2. Dynamisches NAT
Dynamic NAT ist eine Methode der Netzwerkadressenübersetzung, bei der eine private IP-Adresse dynamisch in eine der verfügbaren öffentlichen IP-Adressen aus einem vordefinierten Bereich übersetzt wird. Im Gegensatz zu statischer NAT wird bei dynamischer NAT keine dauerhafte Verknüpfung zwischen privaten und öffentlichen IP-Adressen vorgenommen. Im Gegensatz dazu erhalten Geräte in einem privaten Netzwerk nur bei Bedarf vorübergehend eine öffentliche IP-Adresse, z. B. wenn das Gerät versucht, auf das Internet zuzugreifen.
Beispielszenario: Clientverbindung mit einer privaten Adresse zum Internet
Angenommen, ein kleines Büro verfügt über ein Netzwerk mit mehreren Geräten, die jeweils über eine private IP-Adresse verfügen, z. B. 192.168.11.2, 192.168.11.3 usw. Die Router in diesem Netzwerk wurden mit dynamischer NAT konfiguriert und verfügen über eine Reihe verfügbarer öffentlicher IP-Adressen, z. B. 203.0..1113.10 – 203.0.113.20.
Wenn eines der Geräte, z. B. 192.168.11.2, versucht, auf das Internet zuzugreifen, weist der Router dynamisch eine der öffentlichen IP-Adressen des verfügbaren Bereichs zu, z. B. 203.0.1113.10, die während der Verbindungssitzung verwendet werden soll. Die Adresse wird freigegeben, sobald die Verbindung hergestellt ist, damit sie von anderen Geräten verwendet werden kann.
Vorteile von Dynamic NAT
Dynamisches NAT ermöglicht es mehreren Geräten in einem privaten Netzwerk, einen kleinen Bereich öffentlicher IP-Adressen gemeinsam zu nutzen. Dies ist vor allem dann sehr effizient, wenn nur eine kleine Anzahl von Geräten gleichzeitig einen Internetzugang benötigt.
Durch die vorübergehende Bereitstellung öffentlicher IP-Adressen hilft Dynamic NAT, die Einschränkungen von IPv4-Adressen zu überwinden, indem öffentliche Adressen austauschbar verwendet werden.
Dynamic NAT ist ideal für Netzwerke mit vielen Clientgeräten, die selten gleichzeitig auf das Internet zugreifen, z. B. in einem kleinen Büro oder Heimnetzwerk.
3. NAT-Überlastung (PAT)
NAT Overloading, auch bekannt als PAT (Port Address Translation), ist eine Technik zur Übersetzung von Netzwerkadressen, die es mehreren Geräten in einem privaten Netzwerk ermöglicht, eine einzige öffentliche IP-Adresse für den Zugriff auf das Internet zu verwenden.
Im Gegensatz zu statischem oder dynamischem NAT verwendet NAT Overloading Portnummern als Identifikation. Jedem privaten Gerät, das mit dem Internet verbunden ist, wird ein eindeutiger Port zugewiesen, der über eine einzige öffentliche IP-Adresse verbunden ist.
Mit dieser Methode kann der Router das Gerät, das kommuniziert, anhand einer Kombination aus öffentlicher IP-Adresse und Portnummer erkennen. Dies macht NAT-Overloading sehr effizient, insbesondere in Netzwerken, die über mehrere Geräte verfügen, aber nur eine oder mehrere öffentliche IP-Adressen haben.
Wie eine öffentliche IP-Adresse mehrere private Geräte mithilfe von Ports bedienen kann
Ein privates Netzwerk verfügt beispielsweise über mehrere Geräte mit privaten IP-Adressen, z. B.:
- 192.168.1.2
- 192.168.1.3
- 192.168.1.4
Das Netzwerk verfügt nur über eine öffentliche IP-Adresse, z. B. 203.0.113.1. Bei Verwendung von NAT Overloading führt der Router die folgenden Übersetzungen durch:
- Das Gerät 192.168.11.2 sendet eine Anfrage an das Internet. Der Router ändert seine IP-Adresse in 203.0.113.1112345, wobei 12345 eine eindeutige Portnummer ist.
- Das 192.168.11.3-Gerät sendet ebenfalls eine Anforderung, und der Router ändert sie in 203.0.1113.1:12346 mit einer anderen Portnummer.
- Ähnlich verhält es sich mit dem Gerät 192.168.11.4, was übersetzt 203.0.113.1:12347 bedeutet.
Wenn eine Antwort aus dem Internet empfangen wird, bestimmt der Router anhand der Portnummer, welche Geräte im privaten Netzwerk die Daten empfangen sollen.
Vorteile von NAT Overloading (PAT)
Durch die Verwendung einer einzigen öffentlichen IP-Adresse für mehrere Geräte trägt NAT Overloading dazu bei, begrenzte IP-Adressressourcen zu sparen.
Es ist ideal für Netzwerke mit mehreren Geräten, die gleichzeitig einen Internetzugang benötigen, z. B. in einem Heim- oder kleinen Büronetzwerk.
Geräte in einem privaten Netzwerk bleiben für das Internet unsichtbar, da nur öffentliche IP-Adressen offengelegt werden, was den Schutz vor möglichen Angriffen erhöht.
Durch NAT-Überlastung können Netzwerke die Internetverbindung für verschiedene Geräte effektiv verwalten, ohne dass mehrere öffentliche IP-Adressen verwendet werden müssen.
NAT-Arbeitsprozess
Der NAT-Prozess (Network Address Translation) beginnt, wenn ein Gerät in einem lokalen Netzwerk mit einer privaten IP-Adresse eine Verbindung zum Internet herstellen möchte. Wenn eine Anforderung gesendet wird, übersetzt der Router, der die NAT verwaltet, die private IP-Adresse in eine öffentliche IP-Adresse.
Diese Router sind mit NAT-Tabellen ausgestattet, in denen Informationen über die Beziehung zwischen privaten und öffentlichen IP-Adressen gespeichert sind. Wenn die Anfrage gesendet wird, ersetzt der Router die private IP-Adresse durch die entsprechende öffentliche IP-Adresse aus der NAT-Tabelle, bevor er das Datenpaket an das Internet sendet.
Funktionsweise von NAT-Tabellen: interne (private) und externe (öffentliche) Spalten
Die NAT-Tabelle auf einem Router besteht aus mehreren Spalten, darunter Spalten für interne (private) IP-Adressen und externe (öffentliche) IP-Adressen. Bei jeder Durchführung einer Übersetzung zeichnet der Router diese Beziehungen in einer Tabelle auf. Wenn beispielsweise ein Gerät mit der privaten IP-Adresse 192.168.1.10 eine Anfrage an das Internet sendet, protokolliert der Router diese Beziehung.
| Interne IP-Adresse | Externe IP-Adresse |
| 192.168.1.10 | 203.0.113.5 |
Wenn ein Datenpaket aus dem Internet eingeht, verwendet der Router die NAT-Tabelle, um die öffentliche IP-Adresse wieder in die entsprechende private IP-Adresse umzuwandeln, und sendet diese Daten dann an das entsprechende Gerät im lokalen Netzwerk.
Case Study: Interaktion zwischen Geräten in privaten Netzwerken und dem Internet
Angenommen, es gibt zwei Geräte im lokalen Netzwerk: PC1 mit der privaten IP-Adresse 192.168.1.2 und PC2 mit der privaten IP-Adresse 192.168.1.3. Wenn PC1 versucht, auf eine Website im Internet zuzugreifen, werden die folgenden Schritte ausgeführt:
- Anfrage von PC1: PC1 sendet eine Anfrage an die Website (z.B. www.example.com). Dieses Datenpaket hat die Quelladresse 192.168.1.2.
- Übersetzung durch Router: Der Router empfängt das Paket und erkennt, dass die Quelladresse privat ist. Der Router ersetzt dann die Quelladresse durch eine vordefinierte öffentliche Adresse (z. B. 203.0.113.5) und zeichnet die Zuordnung in der NAT-Tabelle auf.
- Zustellung ins Internet: Übersetzte Datenpakete werden nun mit der Quelladresse 203.0.113.5 ins Internet gesendet.
- Antworten von der Website: Wenn eine Website eine Antwort gibt, wird diese an die öffentliche Adresse 203.0.113.5 gesendet.
- Zurück zu PC1: Der Router empfängt die Antwort und verwendet die NAT-Tabelle, um die öffentliche Adresse 203.0.113.5 zurück in die private Adresse 192.168.1.2 zu konvertieren, bevor das Paket an PC1 zurückgesendet wird.
Auf diese Weise können Geräte in einem privaten Netzwerk mit dem Internet kommunizieren, auch wenn sie eine private IP-Adresse verwenden, die von externen Netzwerken nicht erkannt werden kann, dank eines Übersetzungsmechanismus, der vom Router über seine NAT-Tabelle verwaltet wird.
Vergleich von statischer NAT und dynamischer NAT
| Aspekte | Statische NAT | Dynamisches NAT |
| Überlegenheit | – Öffentliche IP-Adressen sind festgelegt. | – Effizientere Nutzung öffentlicher IP-Adressen. |
| – Geeignet für Server, die einen permanenten Zugriff benötigen. | – Spart IP-Ressourcen durch alternative Verwendung. | |
| – Einfache Registrierung bei DNS. | – Es eignet sich für Netzwerke mit vielen Clients. | |
| Begrenzungen | – Erfordert eine öffentliche IP-Adresse für jedes private Gerät. | – Das Gerät verfügt nicht über eine feste öffentliche IP-Adresse. |
| – Ineffizient für große Netzwerke mit mehreren Geräten. | – Kann nicht für Geräte verwendet werden, auf die über das Internet zugegriffen werden muss. |
Wann sollte statisches NAT und dynamisches NAT verwendet werden?
1. Statische NAT
Sie wird implementiert, wenn ein Gerät in einem privaten Netzwerk eine konsistente öffentliche IP-Adresse benötigt.
Ideal für Webserver, E-Mail-Server oder andere Geräte, die einen kontinuierlichen Zugriff über das Internet erfordern.
Beispiel: Ein Unternehmen hat einen Server mit der privaten IP-Adresse 192.168.1110, auf den es über das Internet mit einer öffentlichen IP-Adresse 203.0.113.10 zugreifen möchte. Statische NAT stellt sicher, dass diese Verbindung aufrechterhalten wird.
2. Dynamisches NAT
Wird verwendet, wenn viele Geräte in einem privaten Netzwerk Zugriff auf das Internet benötigen, aber keine feste öffentliche IP-Adresse benötigen.
Geeignet für Clients, die nur mit dem Internet kommunizieren, wie z. B. der Computer des Benutzers im Büro oder IoT-Geräte.
Ein kleines Büro mit einem privaten Netzwerk 192.168.11.0/24 nutzt beispielsweise den öffentlichen IP-Adressbereich 203..0.113.10 – 203.0.113.20, um temporären Zugriff auf seine Geräte zu ermöglichen.