RFC: 3715
Оригинал: IPsec-Network Address Translation (NAT) Compatibility Requirements
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Мельников Дмитрий Анатольевич

4.2. RSIP-протокол

Данный протокол (Realm Specific IP, RFC-3102, RFC-3103, RFC-3104 и RFC-3105) определяет метод назначения специфического IP-адреса внешней зоны, который заключается в использовании специализированного корпоративного IP-узла для обеспечения соединений между IP-узлами корпоративной или внешней зон, который для таких соединений выделяет IP-адреса (идентификаторы) из адресного пространства внешней зоны корпоративным IP-узлам. RSIP-протокол имеет специальные механизмы, обеспечивающие прозрачное прохождение NA(P)T-модулей для IPsec-пакетов. Если установлено соединение IP-узлом, в состав которого встроен NA(P)T-модуль, то тогда RSIP-протокол может быть источником проблем, связанных с корректным демультиплексированием IPsec-трафика на основе SPI-индексов, а также на основе совпадающих записей в специализированных SPD-базах SA-соединений. Этот протокол подходит для применения в корпоративных (домашних) сетях. Если NA(P)T-модуль будет обслуживать несколько корпоративных (домашних) IP-узлов и ему будет выделен внешний IP-адрес (то есть он будет выступать в роли RSIP-шлюза), то тогда он будет совместим со многими протоколами, включая протоколы, использующие вставку дополнительных IP-адресов.

За счет туннелирования IKE- и IPsec-пакетов RSIP-протокол устраняет возможность вносить какие-либо изменения в сообщения IKE- и IPsec-протоколов, несмотря на то, что программные IKE- и IPsec-модули, включенные в состав программного обеспечения IP-узлов, требуют значительной модернизации с целью обеспечения их совместимости с RSIP-модулем. Такое решение полностью совместимо со всеми существующими IPsec-протоколами (АН/ESP) независимо от режима их функционирования (РТР или РТУ).

В целях управления демультиплексированием потока IKE-пакетов во время процедуры обновления ключевой информации, RSIP-протокол требует изменяемого номера порта транспортного уровня источника IKE-пакетов, а также изменяемого номера порта транспортного уровня получателя. В результате, имеет место функциональная несовместимость с существующими программными IPsec-модулями.

RSIP-протокол не удовлетворяет требованиям, предъявляемым к решению, обеспечивающему IPsec/NAT-совместимость, так как IP-узел со встроенным RSIP-модулем требует соответствующего шлюза со встроенным RSIP-модулем для того, чтобы сформировать IPsec/SA-соединение с другим IP-узлом. Так как RSIP-модуль требует соответствующих изменений только в программном обеспечении пользователей и маршрутизаторов, и не требует этого в программном обеспечении прикладных служб, внедрение RSIP-протокола в Internet-сети происходит менее трудно, чем IPv6-адресации.

Однако, с точки зрения продавцов сетевого программного обеспечения, программные прикладные RSIP-модули требуют значительную долю ресурсов, необходимых для обеспечения IPv6-адресации. Поэтому, RSIP-модули являются «промежуточным» решением, что, с точки зрения долгосрочной перспективы, неприемлемо.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.