För- och nackdelar med NAT

Även om NAT möjliggör en förlängning av IPv4:s livslängd, medför det också flera nackdelar som kräver specifika lösningar. Det handlar inte bara om adresstranslation, utan även om hur NAT påverkar prestanda, applikationsstöd och felsökning. I den här delen fördjupar vi oss i just dessa fördelar och nackdelar, och diskuterar hur de påverkar både mindre och större nätverksmiljöer.

NAT löser problemet med bristen på publika IPv4-adresser – men det kan också skapa nya problem. I det här avsnittet går vi igenom både fördelar och nackdelar med NAT.

Fördelar med NAT

  • NAT sparar på tilldelade publika IPv4-adresser genom att möjliggöra användning av privata adresser inom interna nätverk. Vid NAT overload (PAT) kan många interna enheter dela på en enda publik IPv4-adress genom port-baserad översättning.
  • NAT ökar flexibiliteten i anslutningar till det publika nätverket. Man kan använda flera adresser i pooler, reserv-pooler och lastbalanserade pooler för att uppnå redundans och stabilitet.
  • NAT bibehåller ett konsekvent internt adresschema. Utan NAT, om man byter ISP och får nya publika adresser, måste hela nätverket adresseras om. Med NAT kan det interna adresschemat bestå, vilket förenklar bytet av ISP.
  • Genom att använda RFC 1918-adresser döljer NAT interna adresser från externa nätverk. Vissa betraktar detta som en säkerhetsfunktion, men de flesta experter är överens om att NAT i sig inte erbjuder säkerhet – det är stateful firewall som står för det verkliga skyddet vid nätverks gränsen.

Nackdelar med NAT

Men NAT har även begränsningar. Ett problem är att externa enheter tror att de kommunicerar direkt med NAT-enheten, inte med den faktiska interna värden. Detta leder till flera konsekvenser:

  • NAT kan försämra prestanda, särskilt för realtidsprotokoll som VoIP. Varje paket måste analyseras och översättas, inklusive omräkning av checksummor i IPv4- och TCP/UDP-headern. Det första paketet är alltid process-switched, vilket är en långsammare väg. Efterföljande paket kan gå via en snabbare cacheväg – men bara om en sådan post finns.
  • NAT medför ytterligare fördröjning i takt med att publika IPv4-adresser blir allt mer begränsade. Många ISP:er ger numera kunderna privata IPv4-adresser. Det innebär att kundens router NAT:ar sin privata adress till ISP:ns privata adress. Därefter gör ISP ytterligare en NAT-översättning till en av sina få publika adresser. Denna dubbla NAT-process kallas Carrier Grade NAT (CGN).
  • NAT bryter mot end-to-end-principen. Många internetprotokoll och applikationer förlitar sig på att source- och destinationsadress är oförändrade. Vissa säkerhetsfunktioner, t.ex. digitala signaturer, kan sluta fungera när IPv4-adressen ändras under vägen. Applikationer som använder IP-adresser istället för DNS-namn riskerar att misslyckas när adresser översätts via NAT.
  • NAT försvårar felsökning eftersom end-to-end-spårbarheten förloras. Det kan vara mycket svårt att följa ett pakets resa när dess adress ändras flera gånger av olika NAT-enheter.
  • NAT komplicerar användningen av tunnlingsprotokoll, som t.ex. IPsec, eftersom NAT förändrar headern vilket kan få integritets kontroller att misslyckas.
  • Inkommande trafik kan blockeras. Tjänster som kräver att TCP-anslutningar initieras från utsidan, eller stateless-protokoll som använder UDP, kan störas. Om inte NAT-routern är konfigurerad för att tillåta dessa anslutningar, blockeras inkommande trafik. Vissa protokoll fungerar om det bara finns en NAT-enhet mellan klient och server (t.ex. passivt FTP-läge), men misslyckas om båda parter befinner sig bakom NAT.