فهم أنواع NAT هو نقطة البداية الحقيقية لمعرفة لماذا تفشل أجهزتك أحيانًا في الاتصال بالإنترنت. مكالمة فيديو تنقطع فجأة، لعبة أونلاين لا تتصل بالسيرفر، أو تطبيق VoIP يعمل بشكل مثالي في المنزل لكنه يتعطل في المكتب - كل هذه المشاكل قد يكون سببها الجذري هو ترجمة عناوين الشبكة (NAT)، وهي مفهوم أساسي يتحكم في طريقة وصول أجهزتك إلى الإنترنت. إذا فهمت كيف يعمل NAT، ولماذا توجد أنواع مختلفة منه، وما هي القيود العملية لكل نوع، ستوفر على نفسك ساعات من تشخيص المشاكل وستتخذ قرارات أذكى في إعداد شبكتك.
أبرز النقاط:
- ترجمة عناوين الشبكة (NAT) تتيح لأجهزة متعددة مشاركة عنوان IP عام واحد، لكنها تفرض قيودًا على الاتصال تختلف باختلاف نوع NAT.
- أنواع NAT المفتوح والمتوسط والمقيد (أو Type 1 وType 2 وType 3 في مصطلحات أجهزة الألعاب) تؤثر مباشرة على اتصالات peer-to-peer والألعاب والتواصل الفوري.
- Double NAT - وهو تشغيل راوترين متتاليين - سبب شائع لأعطال الاتصال غير المبررة في الشبكات المنزلية والشركات الصغيرة.
- يوجد حل عملي لكل نوع من أنواع NAT، من تفعيل UPnP إلى ضبط DMZ أو طلب IP ثابت من مزود الخدمة.
فهرس المحتوى
ما هي ترجمة عناوين الشبكة؟
كل جهاز يتصل بالإنترنت يحتاج إلى عنوان IP. المشكلة أن مخزون عناوين IPv4 العالمي قد نفد. RFC 1918 حل جزءًا من هذه المشكلة بتحديد نطاقات عناوين IP الخاصة (مثل 192.168.x.x و10.x.x.x) التي يمكن إعادة استخدامها داخل أي شبكة محلية. يقف راوتر NAT عند الحد الفاصل بين شبكتك الخاصة والإنترنت، ويترجم العناوين الخاصة إلى عنوان IP العام الوحيد الذي يمنحك إياه مزود الخدمة.
عندما يرسل لابتوبك طلبًا إلى خادم ويب، يعيد راوتر NAT كتابة عنوان المصدر من عنوان IP الخاص بك (مثلًا 192.168.1.50) إلى عنوان IP العام قبل إرسال الحزمة. وعند وصول الرد، يعكس الراوتر عملية الترجمة ويوصل البيانات إلى الجهاز الصحيح. من منظور الإنترنت، تبدو جميع أجهزتك كجهاز واحد.
هذا الأسلوب ذكي وعملي، لكنه يخلق تأثيرًا جانبيًا: الاتصالات الواردة غير المطلوبة ليس لها وجهة واضحة. الراوتر لا يعرف أي جهاز داخلي يجب أن يستقبل حزمة لم يطلبها أحد. وهذا الغموض بالضبط هو ما تعالجه أنواع NAT المختلفة بطرق مختلفة.
شرح أنواع NAT
تختلف المصطلحات قليلًا بين عالم أجهزة الألعاب ونظرية الشبكات، لكن السلوك الفعلي واضح ومتسق. إليك كيف تعمل أنواع NAT الرئيسية في الواقع العملي.
Full Cone NAT (NAT مفتوح / Type 1)
بمجرد أن يفتح جهاز ما اتصالًا صادرًا، يُنشئ الراوتر تعيينًا يقبل أي حزمة واردة مُرسلة إلى عنوان IP العام والمنفذ المحدد، بغض النظر عن مصدرها. هذا هو النوع الأكثر مرونة. اتصالات peer-to-peer والألعاب متعددة اللاعبين وتطبيقات الوقت الفعلي كلها تعمل بدون أي عوائق. يكون هذا النوع شائعًا عندما يكون جهازك متصلًا مباشرة بالمودم بدون راوتر وسيط، أو عندما يكون الجهاز موضوعًا في منطقة DMZ الخاصة بالراوتر.
Address-Restricted Cone NAT (NAT متوسط / Type 2)
يسمح الراوتر بالحزم الواردة فقط من عنوان IP خارجي سبق للجهاز الداخلي الاتصال به. رقم المنفذ الخارجي لا يهم هنا. هذا هو النوع الأكثر شيوعًا في الراوترات المنزلية ويحقق توازنًا معقولًا بين الأمان والاتصال. معظم الألعاب الأونلاين ومكالمات الفيديو تعمل بشكل جيد في هذا الوضع، وإن كانت بعض سيناريوهات peer-to-peer تتطلب تفاوضًا إضافيًا.
Port-Restricted Cone NAT
لا تُقبل الحزم الواردة إلا إذا جاءت من عنوان IP المحدد ورقم المنفذ المحدد اللذين تواصل معهما الجهاز الداخلي مسبقًا. هذا أكثر تقييدًا من NAT المقيد بالعنوان. قد تعاني أدوات التواصل الفوري من صعوبات ما لم تستخدم خوادم STUN أو TURN للاختراق.
Symmetric NAT (NAT مقيد / Type 3)
كل اتصال صادر يحصل على تعيين منفذ خارجي فريد، ولا تُقبل الحزم الواردة إلا من الوجهة الدقيقة التي اتصل بها الجهاز الداخلي في الأصل. جهازان كلاهما خلف Symmetric NAT لا يمكنهما إنشاء اتصال مباشر من نوع peer-to-peer. هذا النوع شائع في جدران الحماية للشركات وبعض معدات مزودي الخدمة. هو الأكثر أمانًا لكنه الأكثر إعاقة لتطبيقات الوقت الفعلي.
| نوع NAT | مصطلح أجهزة الألعاب | قاعدة الحزم الواردة | P2P / الألعاب |
|---|---|---|---|
| Full Cone | مفتوح / Type 1 | أي مصدر مسموح | ممتاز |
| Address-Restricted Cone | متوسط / Type 2 | IP معروف فقط | جيد |
| Port-Restricted Cone | متوسط / Type 2 | IP + منفذ معروفان فقط | مقبول |
| Symmetric | مقيد / Type 3 | الوجهة الدقيقة فقط | ضعيف |
ترجمة عناوين المنافذ وعلاقتها بـ NAT
كثيرًا ما يُستخدم مصطلح ترجمة عناوين المنافذ (PAT) بالتبادل مع NAT، لكن يوجد فرق مفيد بينهما. بينما يُعيّن NAT الأساسي عنوان IP خاصًا واحدًا لعنوان IP عام واحد، تُعيّن PAT عناوين IP خاصة متعددة لعنوان IP عام واحد عبر تتبع أرقام منافذ فريدة لكل جلسة. عندما يوازن راوترك بين حركة البيانات المتزامنة من لابتوب وهاتف وتلفزيون ذكي، فإن PAT هي من تقوم بالعمل الشاق.
PAT هي السبب في أن راوترك يستطيع التمييز بين بث Netflix على تلفازك وجلسة المتصفح على لابتوبك رغم أن كليهما يبدوان صادرين من نفس عنوان IP العام. كل اتصال صادر يحصل على منفذ مصدر فريد في جدول الترجمة. عند وصول الردود، يطابق الراوتر منفذ الوجهة مع الجهاز الداخلي الصحيح.
هذا أيضًا هو السبب في أن التطبيقات التي تعتمد على أرقام منافذ محددة قد تتعطل خلف راوتر NAT. إذا حاول جهازان استخدام المنفذ المصدر 5000 في آن واحد، يجب على الراوتر إعادة تعيين أحدهما، وإذا كان التطبيق المستقبل يتوقع منفذًا ثابتًا، يفشل الاتصال. هذه مشكلة شائعة مع بروتوكول SIP المستخدم في VoIP وبعض بروتوكولات peer-to-peer القديمة.
مشكلة Double NAT
تحدث Double NAT عندما يقوم راوتران بترجمة العناوين بشكل متتالي. السيناريو الأكثر شيوعًا: مزود الخدمة يمنحك جهازًا يجمع بين المودم والراوتر وهو يُجري NAT بالفعل. ثم تقوم بتوصيل راوترك الخاص به للحصول على تغطية Wi-Fi أفضل أو تحكم أكبر. الآن كل جهاز في شبكتك يمر عبر طبقتين من NAT قبل الوصول إلى الإنترنت.
الأعراض خفية لكنها محبطة. قواعد إعادة توجيه المنافذ التي تضبطها على راوترك الداخلي لا تعمل لأن الراوتر الخارجي لا يعرف أن يوجه حركة البيانات إليه. قد يعمل UPnP بشكل غير منتظم. قد يفشل عملاء VPN في إنشاء الأنفاق. أجهزة الألعاب ستُبلّغ دائمًا تقريبًا عن NAT مقيد أو متوسط حتى بعد ضبط الراوتر الداخلي بشكل صحيح.
يمكنك تأكيد وجود Double NAT بمقارنة عنوان WAN IP الظاهر في لوحة إدارة راوترك مع عنوان IP العام الفعلي. إذا كانا مختلفين وكان WAN IP يقع ضمن نطاق خاص (10.x.x.x أو 172.16-31.x.x أو 192.168.x.x)، فأنت خلف Double NAT. استخدم أداة البحث عن IP لمعرفة عنوان IP العام الحقيقي ومقارنته بعنوان WAN الذي يُبلّغ عنه راوترك.
الحل الأمثل هو وضع جهاز مزود الخدمة في وضع bridge، مما يوقف وظيفة NAT فيه ويجعل راوترك وحده يتولى الترجمة. إذا لم يسمح مزود الخدمة بوضع bridge، يمكنك وضع راوترك الداخلي في منطقة DMZ الخاصة بالراوتر الخارجي، مما يمنحه مسارًا مباشرًا إلى الإنترنت فعليًا.
مثال تطبيقي: جهاز ألعاب خلف راوتر
تخيل أنك توصّل PlayStation 5 براوتر منزلي. عنوان WAN IP للراوتر هو 203.0.113.45 (عنوان IP عام حقيقي من مزود الخدمة). يحصل جهاز الألعاب على العنوان الخاص 192.168.1.10.
عند تشغيل لعبة متعددة اللاعبين، يتصل جهاز الألعاب بخادم المطابقة الخاص باللعبة على العنوان 198.51.100.22 عبر المنفذ 3478. ينشئ راوترك إدخال PAT: الجهاز الداخلي 192.168.1.10:49152 يُعيَّن إلى الخارجي 203.0.113.45:49152. يستجيب خادم المطابقة وتعمل الجلسة. حتى الآن كل شيء على ما يرام.
الآن تحاول اللعبة إنشاء اتصال مباشر من نوع peer-to-peer للدردشة الصوتية مع لاعب آخر. يرسل جهاز ذلك اللاعب حزمة مباشرة إلى 203.0.113.45:49153. إذا كان راوترك يعمل بـ Address-Restricted Cone NAT، يتحقق مما إذا كان 192.168.1.10 قد تواصل مع IP اللاعب الآخر من قبل. إذا كان خادم المطابقة قد عرّفهما ببعض، فنعم، وينجح الاتصال. أما إذا كان راوترك يعمل بـ Symmetric NAT، فقد خصص منفذًا خارجيًا مختلفًا لكل تدفق صادر، فتصل الحزمة الواردة على منفذ لا يوجد له سجل في الراوتر، فيتجاهلها. تفشل الدردشة الصوتية بصمت.
الحل في هذه الحالة هو إما تفعيل UPnP (ليتمكن جهاز الألعاب من طلب تعيين منفذ ثابت)، أو تعيين IP خاص ثابت لجهاز الألعاب وإضافة قاعدة إعادة توجيه منافذ، أو وضع جهاز الألعاب في منطقة DMZ. لكل نهج مقايضاته التي سنتناولها في القسم التالي.
خطوات عملية لتحسين نوع NAT لديك
الحل الصحيح يعتمد على إعدادك المحدد ومقدار الأمان الذي أنت مستعد للتنازل عنه مقابل الاتصالية. إليك الخيارات الأكثر عملية، مرتبة من الأقل إلى الأكثر تدخلًا.
1. تفعيل UPnP على راوترك
Universal Plug and Play يتيح للتطبيقات طلب تعيينات المنافذ من راوترك تلقائيًا. معظم الراوترات الاستهلاكية تدعمه. سجّل الدخول إلى لوحة إدارة راوترك (عادةً على 192.168.1.1 أو 192.168.0.1)، ابحث عن إعداد UPnP ضمن إعدادات متقدم أو WAN، وفعّله. أعد تشغيل الجهاز الذي تريد تحسين NAT له وتحقق من النتيجة. UPnP مريح لكنه ينطوي على مخاطر أمنية في الشبكات التي تضم أجهزة غير موثوقة، لذا استخدمه فقط في الشبكات المنزلية الموثوقة.
2. إعداد إعادة توجيه المنافذ بشكل ثابت
عيّن عنوان IP خاصًا ثابتًا للجهاز الذي تريد تحسينه (عبر حجز DHCP في راوترك)، ثم أنشئ قاعدة إعادة توجيه منافذ تُعيّن المنفذ الخارجي المطلوب إلى عنوان IP الداخلي لذلك الجهاز. هذا أكثر أمانًا من UPnP لأنك تتحكم بدقة في المنافذ المفتوحة. راجع توثيق تطبيقك المحدد لمعرفة المنافذ التي يحتاجها.
3. حل مشكلة Double NAT
كما ذكرنا سابقًا، ضع جهاز مزود الخدمة في وضع bridge أو ضع راوترك في منطقة DMZ الخاصة بجهاز مزود الخدمة. إذا كنت تقيّم أدوات SaaS تعتمد على الشبكة، فإن Double NAT هو أول ما يجب استبعاده عندما يتصرف المنتج بشكل غير منتظم عبر مواقع مكتبية مختلفة. يمكنك أيضًا التحقق مما إذا كان عنوان IP الخاص بك قد أُدرج في أي قوائم حظر نتيجة توجيه غير صحيح باستخدام أداة فحص قائمة حظر IP.
4. طلب عنوان IP عام ثابت
إذا كان مزود الخدمة يمنحك عنوان IP ديناميكيًا يتغير بشكل دوري، فقد تتعطل إعادة توجيه المنافذ بشكل منتظم. عنوان IP عام ثابت يكلف رسومًا شهرية بسيطة مع معظم مزودي الخدمة، لكنه يجعل إعادة توجيه المنافذ موثوقة ويبسّط إعدادات الوصول عن بُعد. بالنسبة للشركات التي تشغّل أدوات SaaS تتطلب webhooks واردة أو callbacks من API، غالبًا ما يستحق هذا التكلفة.
5. الانتقال إلى IPv6
IPv6 يُلغي الحاجة إلى NAT كليًا لأن كل جهاز يحصل على عنوان فريد عالميًا. IPv6 (RFC 8200) بات مدعومًا بشكل متزايد من مزودي الخدمة وأنظمة التشغيل. إذا كان مزود الخدمة يدعم IPv6، فإن تفعيله على راوترك يمكن أن يحل كثيرًا من مشاكل NAT للتطبيقات التي تدعم شبكات dual-stack. تحقق من إصدار IP الحالي وتفاصيل الاتصال باستخدام أداة عنوان IP.
6. استخدام VPN مع دعم NAT Traversal
بعض بروتوكولات VPN، بما فيها WireGuard، تتعامل مع NAT traversal بكفاءة ويمكنها منح الأجهزة خلف NAT المقيد مسار اتصال أكثر انفتاحًا. هذا مفيد بشكل خاص للعاملين عن بُعد الذين يتصلون بشبكة الشركة من منزل يعمل بـ NAT تقييدي. ضع في اعتبارك أن إضافة VPN تزيد من زمن الاستجابة، وهو ما يؤثر على تطبيقات الوقت الفعلي. يتناول توثيق WireGuard سلوك NAT traversal بالتفصيل.
نصيحة تشخيصية سريعة: إذا كنت تشك في أن عنوان IP الخاص بك يسبب مشاكل اتصال تتجاوز NAT، تحقق مما إذا كان يظهر في أي قوائم حظر تستند إلى DNS. الراوترات المُعدَّة بشكل خاطئ وعناوين IP المشتركة من مزودي الخدمة قد تُدرج أحيانًا في هذه القوائم. اطلع على دليلنا حول كيفية إزالة عنوان IP الخاص بك من قائمة الحظر للحصول على شرح تفصيلي خطوة بخطوة.
الخلاصة
أنواع NAT ليست مجرد مفهوم نظري في عالم الشبكات. لها تأثيرات مباشرة وقابلة للقياس على ما إذا كانت تطبيقاتك تتصل بشكل موثوق، وكيف تعمل خدمات peer-to-peer، وما إذا كانت قواعد إعادة توجيه المنافذ تعمل فعلًا. فهم الفرق بين Full Cone وAddress-Restricted وSymmetric NAT يمنحك إطارًا واضحًا لتشخيص مشاكل الاتصال بدلًا من التخمين. مشكلة Double NAT وحدها تُفسّر عددًا مفاجئًا من تذاكر الدعم في منتجات SaaS التي تعتمد على الاتصالات الواردة. ابدأ بخطوات التشخيص الموضحة أعلاه، حدد نوع NAT والبنية التحتية للشبكة التي تعمل معها، ثم طبّق الحل المناسب بدلًا من تجربة إعدادات الراوتر عشوائيًا.
تحقق فورًا من عنوان IP العام وتفاصيل الاتصال
اكتشف عنوان IP العام الحقيقي، اكشف عن Double NAT، وافهم بالضبط كيف تظهر شبكتك على الإنترنت - كل ذلك في أداة واحدة مجانية.
جرّب الأداة المجانية ←
NAT الأساسي يُعيّن عنوان IP خاصًا واحدًا لعنوان IP عام واحد. أما ترجمة عناوين المنافذ (PAT) فتُعيّن عناوين IP خاصة متعددة لعنوان IP عام واحد عبر تخصيص أرقام منافذ فريدة لكل جلسة. معظم الراوترات المنزلية تستخدم PAT، وهذا هو السبب في أن أجهزة متعددة تستطيع مشاركة عنوان IP عام واحد في آن واحد دون تعارض.
قارن عنوان WAN IP الظاهر في لوحة إدارة راوترك مع عنوان IP العام الفعلي (تحقق منه باستخدام أداة البحث عن IP). إذا كان WAN IP للراوتر يقع ضمن نطاق عناوين خاصة (10.x.x.x أو 172.16-31.x.x أو 192.168.x.x) بدلًا من مطابقة عنوان IP العام، فأنت خلف Double NAT.
يمكن لـ UPnP أن ينقلك من NAT مقيد إلى متوسط أو مفتوح بالسماح للتطبيقات بطلب تعيينات المنافذ تلقائيًا. لكنه يعمل فقط إذا كانت هناك طبقة NAT واحدة. في حالة Double NAT، لن يُجدي UPnP على الراوتر الداخلي لأن الراوتر الخارجي لا يزال يحجب حركة البيانات الواردة غير المطلوبة.
Symmetric NAT يُخصص منفذًا خارجيًا فريدًا لكل اتصال صادر مختلف. عندما يحاول طرف بعيد الاتصال مجددًا باستخدام المنفذ الذي رصده، لا يجد الراوتر إدخالًا مطابقًا فيتجاهل الحزمة. جهازان خلف Symmetric NAT لا يمكنهما التنبؤ بتعيينات منافذ بعضهما البعض، مما يجعل الاتصالات المباشرة من نوع peer-to-peer مستحيلة بدون خادم وسيط.
بالنسبة لحركة بيانات IPv6، نعم. يُوفّر IPv6 عنوانًا فريدًا عالميًا لكل جهاز، مما يُزيل الحاجة إلى ترجمة العناوين. لكن معظم الشبكات لا تزال تحمل حركة بيانات IPv4 جنبًا إلى جنب مع IPv6، لذا تستمر مشاكل NAT لاتصالات IPv4 حتى ينتقل الإنترنت بالكامل إلى IPv6، وهو ما لا يزال بعيد المنال في معظم البيئات.