RFC: 2993
Оригинал: Architectural Implications of NAT
Категория: Информационный
Дата публикации:
Автор:
Перевод: Мельников Дмитрий Анатольевич

На рис.6 представлен простой пример, когда IP-узлом «В» имеет корпоративный IP-адрес, который совпадает с корпоративным адресом VPN-сегмента, используемым IP-узлом «А» для входящих соединений. Когда IP-узел «В» пытается сформировать VPN-интерфейс, IP-узел «А» назначит ему IP-адрес из своего набора IP-адресов для входящих соединений и определит IP-узлу «В» шлюз (интерфейс) для использования. В представленном примере (рис.6), IP-узел «В» не способен различить IP-адрес удаленного VPN-интерфейса/шлюза IP-узла «А» от своего собственного корпоративного IP-адреса на физическом интерфейсе, и поэтому данное соединение потерпит провал. По определению, IP-адреса, используемые корпоративно, не связаны с IP-адресами общего пользования, что увеличивает структурную, топологическую и функциональную сложность VPN-сетей, и следовательно возрастает вероятность возникновение сбоев в работе системы, которые невозможно будет разрешить (то есть фатальные случаи).

Пример совместного применения L2TP-туннеля и NAT-модулей

Рис.6. Пример совместного применения L2TP-туннеля и NAT-модулей

7.7. Корреляция сообщений в системах централизованного сбора данных

Ранее сообщалось, что NAT-метод вносит дополнительные проблемы, когда системы обнаружения вторжений (Intrusion Detection System — IDS) пытаются скоррелировать сообщения между IDS-датчиками (синхронизировать работу IDS-датчиков), расположенными с внешней и с внутренней сторон относительно NAT-модулей. Несмотря на то, что рассмотрение функциональных особенностей конкретных систем диспетчерского управления не является целью данного стандарта, все равно очевидно, что в системах централизованного мониторинга, когда датчики текущего контроля систем расположены по обеим сторонам NAT-модулей, также необходим доступ к процедурам отображения IP-адресов, которые осуществляют NAT-модули, в целях обеспечения корректного функционирования таких систем. Это тоже весьма критично, когда данные о текущем состоянии системы снабжаются соответствующим идентификатором, так как возможна ситуация, при которой датчики с внешней стороны NAT-модулей используют IP-адреса, совпадающие с корпоративными IP-адресами.

Все сказанное выше в полной мере относиться к управлению технологическими данными, которые собираются на основе SNMP-протокола (Simple Network Management Protocol — SNMP, RFC-2274). Любой SNMP-трафик содержит IP-адреса, и поэтому центральный модуль сбора SNMP-данных или SNMP-ALG-субмодуль будут вынуждены обрабатывать SNMP-данные, основываясь на текущих преобразованиях, осуществляемых NAT-модулями.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.