RFC: 3715
Оригинал: IPsec-Network Address Translation (NAT) Compatibility Requirements
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Мельников Дмитрий Анатольевич

Когда IP-узел устанавливает SCTP-соединение с другим IP-узлом, и на этом маршруте доставки IP-пакетов имеет место один или несколько NA(P)T-модулей, то тогда последние могут быть причиной некоторых специфических проблем. SCTP-протокол реализует функцию многоадресного информационного обмена. Если используется несколько IP-адресов, то тогда эти IP-адреса доставляются как часть SCTP-пакета в течении установления виртуального соединения (в субблоках «INIT» и «INIT-ACK»). Если в сквозном SCTP-соединении используются только одиночные IP-адреса (получатель/отправитель), то тогда стандарт RFC-2960 гласит:

Если в субблоках «INIT» и «INIT-ACK» не используются IP-адресные параметры, то в этом случае существует альтернатива установить виртуальное соединение, которое, скорее всего, будет функционировать и через NAT-модуль.

Это означает, что IP-адреса не должны размещаться в SCTP-пакете до тех пор, пока это не будет необходимо. Если же на пути следования IP-пакетов имеют место NA(P)T-модули, а в SCTP-пакетах размещены несколько IP-адресов, то тогда это виртуальное соединение «потерпит провал». В настоящее время существует проект стандарта, который предусматривает модификацию IP-адреса уже после установления виртуального соединения. Однако, сообщения о проведенной модификация в составе SCTP-пакета будут также содержать IP-адреса, и поэтому NA(P)T-модули на пути доставки SCTP-пакета будут также пагубно влиять на него.

  • Совместимость с межсетевыми экранами («firewall»)

    Так как межсетевые экраны очень широко используются в Internet-сети, решение, обеспечивающее IPsec/NAT-совместимость, должно обеспечивать администратору безопасности (при настройке межсетвого экрана) возможность устанавливать простые, стационарные правила доступа для пропуска или запрета IKE- и IPsec-трафика, транспортируемого через NA(P)T-модуль. Это подразумевает, например, что динамическое назначение номеров портов транспортного уровня при использовании IKE- или IPsec-протокола не допускается.

  • Масштабирование

    Решение, обеспечивающее IPsec/NAT-совместимость, должно обладать способностью дальнейшего распространения одновременно с установкой нескольких тысяч программных модулей для удаленных пользователей. В данной ситуации, невозможно допустить, чтобы в определенный интервал времени только один IP-узел имел соединение с другим конкретным IP-узлом. Следовательно, решение, обеспечивающее IPsec/NAT-совместимость, должно функционировать при наличии совпадающих записей в специализированных SPD-базах SA-соединений и демультиплексировать входящие IP-пакеты.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.