RFC: 2993
Оригинал: Architectural Implications of NAT
Категория: Информационный
Дата публикации:
Автор:
Перевод: Мельников Дмитрий Анатольевич

Другой причиной популярности NAT-метод является его способность маскировать совокупность IP-узлов, что позволяет объединить несколько прикладных служб (или их элементов) под одним IP-адресом (например, распределенная загрузка нескольких WWW-серверов, объединение которых именуется как однин виртуальный WWW-сервер или IP-узел). Во многих конкретных случаях, с точки зрения Internet-архитектуры, это могут обеспечить NAT-модули, так как IP-адреса отображаются в реальные адреса IP-узлов назначения «на летý». Когда не используется защита целостности заголовока IP-пакета, то тогда в виртуальному IP-узлу (WWW-серверу) не требуется модифицировать данные в интересах удаленных модулей прикладной службы, так как конечный клиент ничего не знает наличии функции отображения адресов. Несмотря на то, что виртуальный IP-узел имеет «собственный процессор», состоящий из процессоров тех WWW-серверов, которые образуют этот виртуальный WWW-сервер (IP-узел), процедуры по обработке и вводу/выводу данных, связанных с функционированием NAT(ALG)-модулей, ограничивают общую производительность системы, так как необходимо загружать IP-пакеты в систему для обработки и выгружать из нее после обработки.

6. Недостатки NAT-модулей

Проблемы, вызванные функционированием NAT-модулей, следующие:

  • NAT-модули нарушают принцип «сквозного соединения» в Internet.

  • NAT-модули являются точками отказа всей системы, то есть их отказ в работе влечет сбой всей системы, так как они контролируют состояние соединения и динамически преобразуют данные.

  • NAT-модули ограничивают применение многоадресных соединений, используемых IP-узлами для повышения надежности их связей между собой в Internet-сети. Несмотря на то, что одиночные (не имеющие «горячего» резерва) маршрутизаторы также являются точками отказа всей системы, отсутствие соединения, вызванное сбоем в работе маршрутизатора, повлечет за собой тривиальную процедуру формирования обходного (дублирование) маршрута. Действительно, это одна из тех причин, почему IP-протокол реализует дейтаграммный режим доставки IP-пакетов на сетевом уровне Internet-архитектуры.

  • NAT-модули не позволяют использовать средства обеспечения информационной безопасности на IP(сетевом)-уровне Internet-архитектуры.

  • NAT-модули могут привести к конфликтным ситуациям, являющимся следствием применения корпоративных IP-адресов. Такие не согласованные IP-адреса являются причиной всевозможных недоразумений особенно тогда, когда компании, использующие такие IP-адреса сливаются в одну компанию или хотят напрямую соединиться использя для этого VPN-технологию.

  • NAT-модули способствуют более легкой привязки существующих корпоративных наборов имен к DNS-именам общего пользования.

  • NAPT-модули (и их RSIP-разновидности) увеличивают функциональную сложность прикладных систем особенно в тех случаях, когда программные модули прикладных служб общего пользования располагаются внутри корпоративных сетей.

  • NAT-модули усложняют или вообще могут исключить применение процедур аутентификации в интересах SNMPv3-протокола.

  • Сетевые объекты могут использовать NAT-функции без оповещения других сетевых объектов об этом.

При проектировании прикладных протоколов необходимо учитывать, что NAT-модули накладывают ограничения на функциональную сетевую гибкость. По существу, появление дополнительных трудностей, связанных с использованием NAT-модулей, требует к себе более пристального внимания. И это вполне понятно, особенно там, где NAT-модули функционируют скрытно, например, маршрутизаторы, выравнивающие нагрузку, которые переписывают IP-адреса в другие IP-адреса общего пользования. Так как все IP-адреса могут относиться к адресному пространству общего пользования, они редко распознаются как адреса NAT-модулей, но последние все равно нарушают целостность модели «сквозного соединения».

2007 - 2017 © Русские переводы RFC, IETF, ISOC.