Аннотация
Данный стандарт определяет известные проблемы несовместимости трансляторов сетевых адресов (Network Address Translation — NAT) и протоколов IPsec-архитектуры, а также определяет требования к процедуре адресации используемой в этих системах (в данном стандарте термин «требование» носит рекомендательный характер).
Оглавление
- 1. Введение
- 2. Известные проблемы IPsec/NAT-несовместимости
- 2.1. Внутренние проблемы NA(P)T-модулей
- 2.2. Проблемы внедрения (реализации) NA(P)T-модулей
- 2.3.Дополнительные («вспомогательные») проблемы
- 3. Требования по обеспечению IPsec/NAT-совместимости
- 4. Существующие решения
- 4.1. Туннельный режим IPsec-протоколов
- 4.2. RSIP-протокол
- 4.3. Сосуществование систем IPv4- и IPv6-адресации (6to4)
- 5. Вопросы безопасности
- 6. Литература
- 6.1. Нормативные документы
- 6.2. Дополнительная литература
1. Введение
Протколы IPsec-архитектуры (RFC-2401), как правило, используются для построения виртаульных корпоративных сетей (Virtual Private Network — VPN), и в частности, для обеспечения удаленного доступа в корпоративную сеть Intranet. В настоящее время NAT-модули (RFC-3022 и RFC-2663) широко используются в так называемых «домашних шлюзах» (то есть в серверах доступа в сеть (маршрутизаторах), которые обслуживают несколько домашних компьютерных систем), а также и в других локальных системах, обеспечивающих удаленный доступ в Internet, например, в отелях. Очевидно, что IPsec/NAT-несовместимость является главным барьером при использовании протоколов IPsec-архитектуры в выше упомянутых системах.
2. Известные проблемы IPsec/NAT-несовместимости
Все проблемы IPsec/NAT-несовместимости могут быть разделены на три категории:
Внутренние проблемы NA(P)T-модулей. Эти проблемы напрямую связаны с функциональными свойствами NA(P)T-модулей (RFC-3022). Данные проблемы несовместимости будут и в дальнейшем иметь место в любом NA(P)T-модуле.
Проблемы, связанные с внедрением (реализацией) NA(P)T-модулей. Данные проблемы никак не связаны с внутренними функциональными свойствами NA(P)T-модулей, но они имеют место во многих практических реализациях NA(P)T-модулей (то есть при их внедрении). Включенную в эту категорию проблемы связаны с обработкой входных и выходных IP-пакетов, содержащих фрагменты блоков транспортного уровня. Так как эти проблемы не связаны с внутренними функциональными свойствами NA(P)T-модулей, они могут, в принципе, быть отнесены к перспективным проблемам внедрения NA(P)T-модулей. Однако, так как проблемы внедрения NA(P)T-модулей со всей очевидностью будут распространены повсеместно, то на них необходимо обращать внимание при всестороннем рассмотрении решений по внедрению NA(P)T-модулей.
Дополнительные («вспомогательные») проблемы. Данная категория (группа) проблем связана с NA(P)T-модулями, которые как раз и предназначены для решения проблемы сквозного преодоления NA(P)T-модулей сообщениями IPsec-протоколов. Это весьма иронично, когда данные проблемы называют «вспомогательными», так как дополнительная функциональность NA(P)T-модулей, обеспечивающая их совместимость с IPsec-протоколами, в конечном счете, влечет за собой дополнительные проблемы IPsec/NAT-несовместимости, которые разрешить еще более трудно. Несмотря на то, что такой дополнительной функциональностью, обеспечивающей совместимость с IPsec-протоколами, обладают не все NA(P)T-модули, такие свойства NA(P)T-модулей становятся весьма популярными и на них необходимо обращать пристальное внимание при решении проблемы сквозного преодоления NA(P)T-модулей сообщениями IPsec-протоколов.