11. Заключение
За время, прошедшее с момента опубликования стандарта RFC-1631, значительно вырос практический опыт функционального анализа NAT-модулей, который указывает на все большую обеспокоенность их применением у специалистов Internet-сообщества. NAT-метод нарушает фундаментальный принцип создания и развития всемирной Internet-сети: оконечные прикладные процессы управляют соединением. Другим принципом является «функциональная простота» («keep-it-simple»), который также нарушается, так как на сети возлагается дополнительная функциональная нагрузка по преодолению проблем, вызванных функционированием NAT-модулей. И в заключении, общая системная гибкость и управляемость снижаются, а затраты на поддержание сетевой функциональности растут, что связано с ростом проблем.
Сторонники и противники NAT-метода, соответственно, либо снижают, либо преувеличивают уровень проблематичности функционирования NAT-модулей:
NAT-модули являются «сетевой реальностью» и будут распространяться, что способствует сохранению существующей сетевой IPv4-инфраструктуры.
NAT-модули являются «порочной практикой» и создают дополнительную административную нагрузку, с которой весьма не легко справиться. Еще более важно, что они препятствуют распространению протоколов IPsec-архитектуры, а это, в свою очередь, замедляет рост прикладных служб, которые нуждаются в инфраструктуре безопасности.
В любом случае, применение NAT-модулей требует однозначного прикладного заключения относительно того, что работает, а что не работает.
На рис.7 представлена таблица функциональных преимуществ и недостатков NAT-модулей:
Преимущества NAT-модулей | Недостатки NAT-модулей |
---|---|
Скрывают изменения IP-адресов общего пользования. | Нарушают принцип (модель) «сквозного соединения». |
Облегчают перенумерацию корпоративных IP-узлов при смене Internet-провайдера. | Улучшают связность нескольких протсранств DNS-имен |
Избавляют сетевые администрации от юридической регистрации корпоративных IP-адресов. | Нарушают принципы IPsec-архитектуры. |
Снижают размер необходимого адресного пространства. | Являются объектами с последействием, которые, в случае их отказа, приводят к отказу всей системы. |
Снижают уровень функциональной нагрузки, возложенной на Internet-провайдеров. | Требуют специфических DNS-ответов на DNS-запросы или применение DNS-ALG-субмодуля. |
В некоторых случаях обеспечивают прозрачность сквозного соединения. | DNS-ALG-субмодуль нарушает принципы обеспечения безопасности DNSSEC-протоколов. |
Позволяют распределять нагрузку, подобно виртальным IP-узлам (распределенным многомашинным комплексам). | Увеличивают вероятность адресных коллизий при сквозном соединении. |
Снижают остроту проблемы нехватки IPv4-адресов и потому тормозят переход к системе IPv6-адресации. | Увеличивают функциональную нагрузку на корпоративную сеть и ее функциональную сложность. |
Требуют специфических доработок в программном обеспечении каждой прикладной службы. | |
Накладывают ограничения при масштабировании сетей. | |
Могут усложнять интеграцию системы IPv6-адресации. | |
Рис.7. Таблица преимуществ и недостатков NAT-модулей |