RFC 3715 — Требования по совместимости NAT и протколов IPsec-архитектуры (IPsec/NAT-несовместимость)

Аннотация

Данный стандарт определяет известные проблемы несовместимости трансляторов сетевых адресов (Network Address Translation — NAT) и протоколов IPsec-архитектуры, а также определяет требования к процедуре адресации используемой в этих системах (в данном стандарте термин «требование» носит рекомендательный характер).

Оглавление

• 1. Введение
• 2. Известные проблемы IPsec/NAT-несовместимости
• 2.1. Внутренние проблемы NA(P)T-модулей
• 2.2. Проблемы внедрения (реализации) NA(P)T-модулей
• 2.3.Дополнительные («вспомогательные») проблемы
• 3. Требования по обеспечению IPsec/NAT-совместимости
• 4. Существующие решения
• 4.1. Туннельный режим IPsec-протоколов
• 4.2. RSIP-протокол
• 4.3. Сосуществование систем IPv4- и IPv6-адресации (6to4)
• 5. Вопросы безопасности
• 6. Литература
• 6.1. Нормативные документы
• 6.2. Дополнительная литература

1. Введение

Протколы IPsec-архитектуры (RFC-2401), как правило, используются для построения виртаульных корпоративных сетей (Virtual Private Network — VPN), и в частности, для обеспечения удаленного доступа в корпоративную сеть Intranet. В настоящее время NAT-модули (RFC-3022 и RFC-2663) широко используются в так называемых «домашних шлюзах» (то есть в серверах доступа в сеть (маршрутизаторах), которые обслуживают несколько домашних компьютерных систем), а также и в других локальных системах, обеспечивающих удаленный доступ в Internet, например, в отелях. Очевидно, что IPsec/NAT-несовместимость является главным барьером при использовании протоколов IPsec-архитектуры в выше упомянутых системах.

2. Известные проблемы IPsec/NAT-несовместимости

Все проблемы IPsec/NAT-несовместимости могут быть разделены на три категории:

1. Внутренние проблемы NA(P)T-модулей. Эти проблемы напрямую связаны с функциональными свойствами NA(P)T-модулей (RFC-3022). Данные проблемы несовместимости будут и в дальнейшем иметь место в любом NA(P)T-модуле.

2. Проблемы, связанные с внедрением (реализацией) NA(P)T-модулей. Данные проблемы никак не связаны с внутренними функциональными свойствами NA(P)T-модулей, но они имеют место во многих практических реализациях NA(P)T-модулей (то есть при их внедрении). Включенную в эту категорию проблемы связаны с обработкой входных и выходных IP-пакетов, содержащих фрагменты блоков транспортного уровня. Так как эти проблемы не связаны с внутренними функциональными свойствами NA(P)T-модулей, они могут, в принципе, быть отнесены к перспективным проблемам внедрения NA(P)T-модулей. Однако, так как проблемы внедрения NA(P)T-модулей со всей очевидностью будут распространены повсеместно, то на них необходимо обращать внимание при всестороннем рассмотрении решений по внедрению NA(P)T-модулей.

3. Дополнительные («вспомогательные») проблемы. Данная категория (группа) проблем связана с NA(P)T-модулями, которые как раз и предназначены для решения проблемы сквозного преодоления NA(P)T-модулей сообщениями IPsec-протоколов. Это весьма иронично, когда данные проблемы называют «вспомогательными», так как дополнительная функциональность NA(P)T-модулей, обеспечивающая их совместимость с IPsec-протоколами, в конечном счете, влечет за собой дополнительные проблемы IPsec/NAT-несовместимости, которые разрешить еще более трудно. Несмотря на то, что такой дополнительной функциональностью, обеспечивающей совместимость с IPsec-протоколами, обладают не все NA(P)T-модули, такие свойства NA(P)T-модулей становятся весьма популярными и на них необходимо обращать пристальное внимание при решении проблемы сквозного преодоления NA(P)T-модулей сообщениями IPsec-протоколов.