RFC: 2993
Оригинал: Architectural Implications of NAT
Категория: Информационный
Дата публикации:
Автор:
Перевод: Мельников Дмитрий Анатольевич

Сеть, в которой оконечные IP-узлы не нуждаются в услугах доверенного сетевого провайдера, обладает большей гибкостью и универсальностью при обеспечении безопасности по сравнению с той сетью, в которой IP-узлам необходимы услуги доверенного сетевого провайдера.

В стандарте RFC-2101, в этой связи, отмечено:

Так как АН-протокол IPsec-архитектуры предполагает, что сетевыен IP-адреса в заголовке IP-пакета не изменяются на всем маршруте следования между оконечными IP-узлами, то тогда не очевидно, как можно обеспечить аутентификацию с помощью АН-протокола между двумя взаимодействующими IP-узлами, которые соединены через ALG-субмодуль или NAT-модуль.

Кроме этого, существуют распределенные прикладные службы, которые предполагают, что IP-адреса являются глобальными и приемлемыми для осуществления процедур маршрутизации, и что все другие IP-узлы и прикладные службы имеют такое же представление об IP-адресах. Действительно, такие прикладные службы используют стандартный способ организации соединения и дальнейшего управления им, при котором один IP-узел передает другому IP-узлу свой IP-адрес и номер порта транспортного уровня, чтобы второй IP-узел (получатель этого адресного блока) смог бы соединиться с первым IP-узлом (инициатором соединения). К сожалению, NAT-модули нарушают функционирование таких прикладных служб. Также существуют и другие прикладные службы, которые предполагают, что все порты транспортного уровня для конкретного IP-адреса отображаются в точно такие же порты транспортного уровня на другом оконечном IP-узле. Однако, NAPT-модули (и их RSIP-разновидность), использующие методы объединения нескольких портов в один, нарушают функционирование таких прикладных служб. Например, WWW-серверу необходимо установить соединение с другим WWW-сервером, используя для этого свой порт «80» и порт другого сервера «443», но вследствие наличия на маршруте следования IP-пакетов NAT- и NAPT-модуля нельзя гарантировать, что один IP-адрес будет принадлежать одному и тому же IP-узлу, в котором размещен WWW-сервер.

Ограничение функционирования таких прикладных служб не является второстепенной проблемой: основной причиной сегодняшнего успешного и стремительного развития Internet-сети является «лёгкость и простота», с которой новые прикладные службы могут встраивать свои программные модули в оконечные IP-узлы, не требуя при этом каких-либо изменений в объектах сетевой инфраструктуры. Если новые прикладные службы должны иметь встроенные программные NAT-модули и при этом необходимо обеспечить их повсеместное распространение и внедрение, то тогда, очевидно, что быстрое их распространение и внедрение не возможно, так как будут тормозиться по причине использования NAT-модулей.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.