Назад | Перейти на главную страницу

Насколько распространен NAT в компаниях (один публичный IP-адрес)?

Насколько часто компании позволяют многим пользователям использовать только один публичный IP-адрес?

Я надеюсь, что ответ «не очень распространен», так как я разрабатываю программное обеспечение, которое зависит от уникального номера IP.

Только одна из компаний, в которых я работал с 1995 года, а это довольно много компаний, использует публичные IP-адреса для настольных клиентов. Так что для меня ответ: действительно очень часто.

Я бы настоятельно не рекомендовал развертывать программное обеспечение, которое предполагает, что IPv4-адреса уникальны для конечных пользователей, на этом этапе развертывания v4.

ipv6, это другой чайник игр с мячом.

Я никогда не видел, чтобы какая-либо компания использовала общедоступные IP-адреса для своих настольных компьютеров или внутренних серверов, и в наши дни также очень редко для внешних серверов (например, веб-серверов) есть общедоступный IP-адрес - обычно это NAT за балансировщиками нагрузки или что-то еще обычно это виртуальные серверы в динамическом пуле серверов, поэтому их даже не существует.

NAT может быть не ниже уровня всех внутренних IP-адресов для одного внешнего, обычно существуют диапазоны, однако использование NAT в той или иной форме является абсолютной нормой.

В то время как индивидуальная ассоциация IP-адресов с пользователями до смешного необычна для интернет-коммуникаций, они гораздо более распространены для интранет общение. Множественные шлюзы NAT внутри сети - редкость, но тоже не редкость. В случаях, когда вы сталкиваетесь с внутренним NAT, это, вероятно, потому, что два объекта (возможно, из-за слияния) имеют свой собственный независимый доступ в Интернет и поддерживают выделенный канал для разговора с другим объектом, и этот канал, вероятно, будет защищен брандмауэром. / NAT.

Даже если у компании есть множество общедоступных IP-адресов, они теперь предпочитают использовать NAT, чтобы скрыть свою внутреннюю сетевую структуру из соображений безопасности. Большинство компаний будут использовать комбинированные блоки, которые обеспечивают как NAT, так и функции межсетевого экрана. Следовательно, вы можете безопасно использовать NAT в сетях компании в 99,99% случаев. Если вы разрабатываете приложения, требующие подключения к компьютерам внутри компании, вам определенно необходимо рассмотреть один из различных методов «NAT Traversal». См. http://en.wikipedia.org/wiki/NAT_traversal (работать не очень просто, но злая необходимость).

Это очень распространено. Если он уже является неотъемлемой частью вашего приложения, то, возможно, вы могли бы изменить его для использования сокета (т.е. IP-адрес и номер порта, которые назначил nat)?

Что ж, если вы пишете веб-приложение, вы можете хотя бы попытаться получить X-Forwarded-For Заголовок HTTP, который прокси (обычно) устанавливает для своих внутренних клиентов. Нередко те же организации, которые используют NAT, используют прокси HTTP для внешнего доступа, поэтому вы можете работать с External IP:Internal IP пара или хеш.

Но да, не стоит рассчитывать на уникальность IP-адреса в сегодняшнем слове, NAT довольно распространен, и прокси-серверы останутся, когда ipv6 будет полностью реализован.

Когда-то на заре Интернета было гораздо более распространенным явлением иметь большой внешний блок IP-адресов. Моя собственная компания только что завершила миграцию с блока / 16. Раньше я работал в университете, в котором два / 8 блоков.

Но в наши дни для компаний очень редко не использовать NAT. Большие внешние IP-блоки не так уж и полезны. Моя текущая компания (та, которая только что переехала с / 16), установила внутреннюю глобальную сеть на 10.0.0.0/8, что позволяет каждому компьютеру в компании иметь «уникальный» IP-адрес (хотя, по общему признанию, не доступный извне) по гораздо более низкой цене, чем мы заплатили за наш исходный блок.

Есть кое-что уникальное - сочетание IP-адреса и номера порта. В среде с NAT несколько внутренних клиентов выглядят как имеющие один и тот же IP-адрес при просмотре извне, но каждый из них имеет другой номер порта, связанный с этим IP-адресом. (Все это про IPv4.)

Но будьте осторожны, потому что это соединение (адрес, порт) действительно только до тех пор, пока установлено соединение. Если соединение закрывается и открывается повторно, новый порт может быть сопряжен даже для того же клиента.

Существуют системы, которые используют это, например LogMeIn, которые требуют, чтобы клиент связался с центральным сервером, а затем направил все сообщения через центральный сервер и обратно к клиенту через открытое соединение на этом порту.

Хотя NAT является обычным явлением, другой сценарий, который также часто встречается, - это требование проксировать весь HTTP-трафик через один набор прокси-серверов, чтобы весь трафик HTTP / HTTPS шел с небольшого набора IP-адресов.

В офисе, в котором я работал в крупной компании (более 50 000 сотрудников), каждому рабочему столу был назначен общедоступный IP-адрес. Однако весь входящий трафик был заблокирован (кроме установленного), и весь исходящий трафик на портах 80/443 также был заблокирован. Таким образом, хотя я мог подключаться по SSH к любому IP-адресу в Интернете прямо со своего рабочего стола, весь просмотр веб-страниц на обычных портах должен был осуществляться через прокси.

Другая компания, которую я видел, использовала другой подход - каждому внутреннему клиенту был назначен адрес RFC1918, но маршрутизация в Интернет была нулевой. Как и раньше, для передачи HTTP-трафика клиентам использовались веб-прокси, но маршрутизации NAT не было.