RFC: 3715
Оригинал: IPsec-Network Address Translation (NAT) Compatibility Requirements
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Мельников Дмитрий Анатольевич

3. Требования по обеспечению IPsec/NAT-совместимости

Цель обеспечения IPsec/NAT-совместимости заключается в поиске и нахождении такого решения, которое позволит шире (а может быть и повсеместно) использовать функциональные возможности IPsec-протоколов, кроме уже известного способа, в основе которого лежит применение IPsec-протоколов в режиме туннелирования (РТУ).

При поиске решений по преодолению IPsec/NAT-несовместимости необходимо иметь в виду (учитывать) следующие критерии:

  • Переход на IPv6-адресацию

    Так как IPv6-адресация идет на смену IPv4-адресации в связи с ограниченностью IPv4-адресного пространства, то очень часто в процессе смены систем адресации используются NA(P)T-модули для согласования этих двух одновременно действующих адресных систем. Поэтому проблема IPsec/NAT-совместимости является промежуточной проблемой, которую необходимо решить в течении жестких временных еще до того, как IPv6-адресация будет использоваться повсеместно. Более того, весьма полезно, чтобы проблема IPsec/NAT-совместимости должна быть разрешима в более короткие временные сроки по сравнению с распространением IPv6-адресации.

    Так как внедрение IPv6-адресации требует изменений и в маршрутизаторах, и в IP-узлах, реальное решение проблемы IPsec/NAT-совместимости, которое требует изменения в маршрутизаторах и в IP-узлах, будет распространяться по Internet приблизительно в одно и тоже время с распространением IPv6-адресации. Таким образом, решение проблемы IP-sec/NAT-совместимости должно быть таковым, чтобы оно требовало изменений только в IP-узлах, но не в маршрутизаторах.

    Среди прочего, это подразумевает, что связь между IP-узлом и NA(P)T-модулем не должна рассматриваться при решении проблемы IPsec/NAT-совместимости, так как это могло бы потребовать, в свою очередь, изменений в NA(P)T-модулях и проверку совместимости между IP-узлом и NA(P)T-модулями. Говоря коротко, чтобы осуществить переход на IPv6-адресацию, необходимо такое решение, которое работало бы с существующими маршрутизаторами и NA(P)T-модулями в рамках существующеу инфраструктуры.

  • Совместимость протоколов

    Решение, обеспечивающее прозрачность NA(P)T-модулей для сообщений IPsec-протоколов, не предусматривает решение проблем, связанных с протоколами, для сообщений которых NA(P)T-модули не могут быть прозрачны, когда не используются IPsec-протоколы. Более того, для некоторых протоколов могут понадобиться ALG-субмодули, даже и в тех случаях, когда найденное решение обеспечивает прозрачность NA(P)T-модулей для сообщений IPsec-протоколов.

  • Безопасность

    Так как функциональная направленность NA(P)T-модулей обеспечивает в некотором смысле безопасность субсети, то тогда решения, обеспечивающие IPsec/NAT-совместимость, не должны пропускать произвольный IPsec- или IKE-трафик с произвольными IP-адресами IP-узлов (отправителей сообщений), расположенных с внешней стороны NA(P)T-модулей, несмотря на то, что функциональный режим NA(P)T-модулей должен обслуживать ранее установленное двунаправленное IPsec- и IKE-соединение.

  • 2007 - 2017 © Русские переводы RFC, IETF, ISOC.