10. Правила распространения NAT-модулей в Internet-сети
Учитывая, что NAT-модули продолжают распространяться в Internet-сети с довольно приличной скоростью, далее перечислены некоторые правила, которые по своей сути являются и предостерегающими, и рекомендательными:
Определить способ получения IP-адресов по DNS-именам и обеспечить гарантированное получение необходимого ответа на каждый запрошеный IP-адрес у соответствующей DNS-администрации. Встроенный в NAT-модуль DNS-сервер или DNS-ALG-субмодуль будет, скорее всего, более управляемым, нежели попытки синхронизировать независимые DNS-системы, принадлежащие различным DNS-администрациям.
Определить настройку NAT-модуля: статическое или динамическое однозначное отображение IP-адресов. Если динамическое: убедиться, что TTL для ответных DNS-сообщений имеет значение «0», и что DNS-клиенты уделяют внимание тому, чтобы служебные DNS-сообщения не хранились в кэш-памяти.
Определить разновидность используемого NAT-модуля: одиночный или параллельный (на несколько маршрутов). Если одиночный, то тогда учитывайте то, что NAT-модуль будет вносить сбои в работе системы. Если многомаршрутный, необходимо определить как настроить маршрутизаторы с обеих стороны NAT-модуля, чтобы поток IP-пакетов гарантированно проходил через один и тот же NAT-модуль в течении всех сеансов связи, инициированных прикладными службами (процессами).
Проверить прикладные службы, которым необходим для пробразования IP-адресов NAT-модуль, и проверить их иммунитет к трансляции IP-адресов. Если необходимо, использовать ALG-субмодуль или сформировать VPN-интерфейс для изоляции прикладной службы от NAT-модуля.
Установить необходимость в установлении соединений со стороны IP-узлов сети общего пользования с корпоративными IP-узлами, перечень корпоративных IP-узлов получателей сообщений, переданных IP-узлами сети общего пользования, и возможность одновременного использования номеров портов транспортного уровня в сети общего пользования. Если используются NAPT-модули, то они усложняют процедуры администрирования.
Если сообщения прикладных служб транслируются через NAPT- или RSIP-модуль, а это предполагает наличие всех номеров портов транспортного уровня с одним внешним IP-адресом (сети общего пользования), то тогда проверить, что этот IP-адрес должен принадлежать одному и тому же IP-узлу. Для преотвращения одновременного доступа нескольких корпоративных IP-узлов в сеть общего пользования потребуется административное управление.
Если поля полезной нагрузки транслируемых сообщений шифруются, то тогда содержание этих полей не может быть преобразовано, пока NAT-модуль не будет являться оконечной точкой защищеного сквозного соединения и выступать в роли шлюза между защищаемыми сетевыми сегментами. Это препятствует формированию реального защищенного сквозного соединения, так как часть маршрута доставки IP-пакетов между NAT-модулем и реальным оконечным IP-узлом становится открытой (не защищенной).
Определить маршрут следования DNS-сообщений (запросов и ответов на них). Если IP-узлы расположены с корпоративной стороны NAPT- или RSIP-модуля, и полагая, что DNS-серверы должны «видеть друг друга», то тогда может понадобиться дополнительный DNS-сервер в корпоративном сетевом сегменте.
Если в DNS-системе используются защищенные RR-записи (DNS-данные), то тогда DNS-ALG-субмодуль должен иметь доступ к криптоключам аутентифицированного источника DNS-данных, если эти данные транслируются через NAT-модуль.
Когда используются VPN- и NAT-технологии одновременно, то тогда во избежание коллизий необходимо определить информационно-распределительный центр для корпоративных IP-адресов.
Убедитесь в том, что прикладные службы, используемые внутри и за пределами корпоративной сети, исключают вставку корпоративных DNS-имен в сообщения или применяют уникальные зарегистрированные DNS-имена.
Если используется RSIP-модуль, необходимо установить предельную границу для конкретной корпоративной сети, соединенной с Internet-сетью. Так как если на маршруте доставки IP-пакетов будут встречаться другие разновидности NAT-модулей (включая модули распределения загрузки WWW-серверов), то тогда RSIP-туннель (сквозное использование адресного блока — адрес/порт) будет нарушен.
Если используется RSIP-модуль, необходимо определить вероятность сбоев, вызванных переходом ТСР-протокола в режим ожидания «TCP_TIME_WAIT», когда последующие корпоративные IP-узлы пытаются соединиться с только что завершившим сеанс связи IP-узлом в сети общего пользования.