RFC: 3715
Оригинал: IPsec-Network Address Translation (NAT) Compatibility Requirements
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Мельников Дмитрий Анатольевич

Аннотация

Данный стандарт определяет известные проблемы несовместимости трансляторов сетевых адресов (Network Address Translation — NAT) и протоколов IPsec-архитектуры, а также определяет требования к процедуре адресации используемой в этих системах (в данном стандарте термин «требование» носит рекомендательный характер).

Оглавление

1. Введение

Протколы IPsec-архитектуры (RFC-2401), как правило, используются для построения виртаульных корпоративных сетей (Virtual Private Network — VPN), и в частности, для обеспечения удаленного доступа в корпоративную сеть Intranet. В настоящее время NAT-модули (RFC-3022 и RFC-2663) широко используются в так называемых «домашних шлюзах» (то есть в серверах доступа в сеть (маршрутизаторах), которые обслуживают несколько домашних компьютерных систем), а также и в других локальных системах, обеспечивающих удаленный доступ в Internet, например, в отелях. Очевидно, что IPsec/NAT-несовместимость является главным барьером при использовании протоколов IPsec-архитектуры в выше упомянутых системах.

2. Известные проблемы IPsec/NAT-несовместимости

Все проблемы IPsec/NAT-несовместимости могут быть разделены на три категории:

  1. Внутренние проблемы NA(P)T-модулей. Эти проблемы напрямую связаны с функциональными свойствами NA(P)T-модулей (RFC-3022). Данные проблемы несовместимости будут и в дальнейшем иметь место в любом NA(P)T-модуле.

  2. Проблемы, связанные с внедрением (реализацией) NA(P)T-модулей. Данные проблемы никак не связаны с внутренними функциональными свойствами NA(P)T-модулей, но они имеют место во многих практических реализациях NA(P)T-модулей (то есть при их внедрении). Включенную в эту категорию проблемы связаны с обработкой входных и выходных IP-пакетов, содержащих фрагменты блоков транспортного уровня. Так как эти проблемы не связаны с внутренними функциональными свойствами NA(P)T-модулей, они могут, в принципе, быть отнесены к перспективным проблемам внедрения NA(P)T-модулей. Однако, так как проблемы внедрения NA(P)T-модулей со всей очевидностью будут распространены повсеместно, то на них необходимо обращать внимание при всестороннем рассмотрении решений по внедрению NA(P)T-модулей.

  3. Дополнительные («вспомогательные») проблемы. Данная категория (группа) проблем связана с NA(P)T-модулями, которые как раз и предназначены для решения проблемы сквозного преодоления NA(P)T-модулей сообщениями IPsec-протоколов. Это весьма иронично, когда данные проблемы называют «вспомогательными», так как дополнительная функциональность NA(P)T-модулей, обеспечивающая их совместимость с IPsec-протоколами, в конечном счете, влечет за собой дополнительные проблемы IPsec/NAT-несовместимости, которые разрешить еще более трудно. Несмотря на то, что такой дополнительной функциональностью, обеспечивающей совместимость с IPsec-протоколами, обладают не все NA(P)T-модули, такие свойства NA(P)T-модулей становятся весьма популярными и на них необходимо обращать пристальное внимание при решении проблемы сквозного преодоления NA(P)T-модулей сообщениями IPsec-протоколов.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.