Оглавление
- 1. Введение
- 2. Протоколы, на которые NAT-модуль накладывает определенные ограничения
- 2.1. NAT-модуль на основе RSIP-адресации
- 2.2. Прикладные службы, использующие взаимозависимые сеансы связи
- 2.3. Прикладные службы с равноправным соединением IP-узлов
- 2.4. Трансляция IP-пакетов, содержащих фрагменты TCP/UDP-блоков, через NAT-модуль
- 2.5. Прикладные службы, требующие постоянной (неизменяемой) «привязки» отображаемых адресов
- 2.6. Прикладные службы, требующие большего числа внешних адресов, чем их есть в действительности
- 3. Протоколы, которые не могут функционировать с NAT-модулем
- 3.1. Протоколы IPsec-архитектуры и обмена ключевой информацией (IKE)
- 3.2. Протокол «Kerberos 4»
- 3.3. Протокол «Kerberos 5»
- 3.4. Программный интерфейс «X Window System» и удаленный доступ «TELNET» с рабочей станции «X-term»
- 3.5. Интерпритатор удаленных команд RSH и протокол удаленного доступа «rlogin»
- 4. Протоколы, способные функционировать совместно с NAT-модулем при помощи ALG-субмодуля
- 4.1. Протокол FTP
- 4.2. Протокол RSVP (Resource Reservation Protocol)
- 4.3. Протокол DNS
- 4.4. Протокол SMTP
- 4.5. Протокол SIP
- 4.6. Прикладная служба звукового вещания (RealAudio)
- 4.7. Рекомендация ITU-T H.323
- 4.8. Протокол SNMP
- 5. Протоколы, разработанные специально для функционирования с NAT-модулем
- 5.1. Компьтерные игры компании «Activision»
- 6. Благодарности
- 7. Вопросы безопасности
- 8. Литература
1. Введение
Если кратко, то NAT-модуль обеспечивает прозрачную маршрутизацию для оконечных IP-узлов, которым необходимо соединение с различными адресными зонами. NAT-модуль преобразует IP-адреса оконечных IP-узлов (внутри IP-заголовка IP-пакета) на пути следования IP-пакетов и контролирует поток такого модифицированного трафика, что обеспечивает прозрачный маршрут доставки для всех IP-пакетов, принадлежащих одному сеансу связи, до необходимого конечного IP-узла в соответствующей адресной зоне. Там, где это возможно, совместно с NAT-модулем может использоваться ALG-субмодуль (Application Level Gateway — програмный шлюз/интерфейс прикладного уровня), обеспечивающий прозрачность доставки на прикладном уровне. В отличие от NAT-модуля, главное функциональное предназначение ALG-субмодуля заключается в том, чтобы прикладной процесс (прикладная служба, в интересах которой функционирует ALG-субмодуль) мог запросить проверку и провести необходимую модификацию поля полезной нагрузки IP-пакета.
2. Протоколы, на которые NAT-модуль накладывает определенные ограничения
В стандартах RFC 2663 и RFC 3022 расскрывается «природа» специфических проблем и ограничений, связанных с использованием NAT-модулей.
2.1. NAT-модуль на основе RSIP-адресации
Широкий круг прикладных служб не способны самостоятельно функционировать, когда на пути следования IP-пакетов, содержащих их сообщения, встречается NAT-маршрутизатор, который основан RSIP-адресации. В таких случаях NAT-маршрутизатор должен использоваться совместно с ALG-субмодулем. Но если поле полезной нагрузки IP-пакетов защищено с помощью IPsec-протоколами (или с помощью средств защиты транспортного или прикладного уровня), то тогда прикладная служба функционировать не сможет.