Рассмотрим следующий случай (рис.4), при котором связь “Х” (группа физических линий/каналов) прервана или заблокирована. Основываясь на общих принципах маршрутизации, полагаем, что лучшим маршрутом доставки IP-пакетов до Internet-сети, с точки зрения 1-го и 2-го маршрутизаторов, является маршрут через 1-ый NAT-модуль, при том, что затребованный в Internet-сети обратный маршрут до корпоративного сетевого сегмента, с группой IP-адресов, управляемых NAT-модулями, будет проходить через 1-ый NAT-модуль, так как будет лучшим среди возможных. Когда маршрут “Х1” не возможен, 2-ой маршрутизатор может попытаться связаться со 2-ым NAT-модулем, но обратный маршрут из внешней сети будет по-прежнему через 1-ый NAT-модуль. Это объясняется тем, что 1-ый NAT-модуль отвечает за предоставление IP-адресов из корпоративной адресной группы. Непосредственно связанные между собой маршрутизаторы (после восстановления связи между ними), в такой же ситуации, возможно нашли бы новые специфические маршруты доставки IP-пакетов. Но в данном случае избыточность бесполезна.

Рассмотрим второй случай, когда маршрут “Х1” возможен, то есть прямая связь между 1-м и 2-м маршрутизаторами восстановлена, а некоторый удаленный маршрут “Х2” не возможен (группа физических линий/каналов связи прервана или заблокирована). Также полагаем, что DNS-сервер (DNS-система) направляет ответные DNS-сообщения с IP-адресами обоих NAT-модулей, когда запрашиваются IP-адреса IP-узлов “А” и “В”. Когда IP-узел “D” пытается соединиться с IP-узлом “В”, запрос на соединение проходит через 2-ой NAT-модуль, но благодаря внутренней маршрутизации, ответ на запрос пройдет через 1-ый NAT-модуль. Так как информация о состоянии данного соединения будет храниться во 2-ом NAT-модуле, 1-ый NAT-модуль будет осуществлять новое отображение IP-адресов. Даже если удаленный маршрут будет восстановлен, все равно соединение не будет установлено, так как запросы были направлены по IP-адресу общего пользования, принадлежащему 2-ому NAT-модулю, несмотря на то, что ответы на них направлял 1-ый NAT-модуль, имеющий свой IP-адрес общего пользования.

НЕ нашли? Не то? Что вы ищете?

В третьем случае, оба IP-узла “А” и “В” желают установить соединение с IP-узлом “D”, при этом удаленная связь “Х2” (группа физических линий/каналов) прервана или заблокирована. Опять полагаем, что маршрут “Х1” не возможен. Тогда, IP-узел “В” имеет возможность соединиться с IP-узлом “D”, а IP-узел “А” отрезан от IP-узла “D”. Без полной информации о топологии внешней (удаленной) сети (маловероятно, что Internet-провайдеры склонны обмениваться такой весьма критичной собственной информацией), администратор IP-узлов “А” и “В” (корпоративной сети) не сможет понять почему один IP-узел работает, а другой нет. Со своей стороны, он может запросить дополнительные маршруты через NAT-модули, которые, в принципе возможны, но реально работает только одно соединение. С другой стороны, это есть следствие недостатка информации о топологии сети, которая в данном случае просто необходима, так как объект (система) с последействием информирует о наличии (доступности) группы IP-адресов (управляемых этим объектом с последействием) еще до того, как это сделают сети, соединенные с корпоративным сетевым сегментом, обслуживаемым эти объектом с последействием.

В любой сетевой топологии, индивидуальный маршрутизатор или линия связи, способные отказать в работе, могут представлять проблемы, если они не имеют дополнительных резервов (не зарезервированы), но дополнительные требования, выдвигаемые NAT-модулями при управлении ими состоянием соединений, влекут за собой дополнительную функциональную нагрузку, которая не всегда понятна и затрудняет принятие какого-либо текущего решения.

7.5. Необходимость глобального полного DNS-имени при взаимодействии

с прикладными службами общего пользования

Основное предназначение NAT-метода — обеспечение “простого” соединения корпоративных сетей с Internet-сетью общего пользования. Если корпоративная сеть существовала до загрузки программного NAT-модуля, то тогда маловероятно (и в этом нет необходимости), что DNS-клиент этой корпоративной сети стал бы использовать зарегистрированный DNS-сегмент. В стандарте RFC 1123 указано, что DNS-запросы могут быть направлены на обработку DNS-клиенту с помощью локальных многоадресных сообщений. Подключение NAT-модуля, а также перенастройка DNS-клиента, который обслуживает этот NAT-модуль и размещен на уполномоченном DNS-сервере, на обработку всех внешних запросов, обеспечивает корпоративным IP-узлам доступ в сеть общего пользования. Настройка DNS-сервера общего пользования для обслуживания группы корпоративных IP-узлов, которым необходимо инициировать соединения с IP-узлами сети общего пользования, может потребовать регистрации DNS-сегмента (или корпоративного, или подключенного к системе Internet-провайдера) и уникального DNS-имени. С этой точки зрения, разделенное пространство DNS-имен является связным или составным (все DNS-имена начинаются с корневого сегмента и заканчиваются именем конкретного IP-узла), а IP-узлы могут иметь различные DNS-имена, на основе корпоративного и DNS-сегмента общего пользования.

Все в этом рассмотренном примере будет работать, но до тех пор, пока прикладная служба не укажет (разместит) свое имя в DNS-системе. Например (рис.5), W3-сервер, размещенный на IP-узле “D”, может может иметь зарегистрированный URL-идентификатор в форме “http://D/bar. html”, который будет работать с IP-узлом “С”, но вполне может ввести в заблуждение IP-узел “А”. Если на DNS-запрос c зарегистрированным URL-идентификатором поступил ответ с IP-адресом общего пользования, то тогда IP-узел “А” будет более удачным, по сравнению с IP-узлом “С”, который будет продолжать поиск некоего удаленного IP-узла. Используя полное DNS-имя для установления соединения между IP-узлами “C” и “D” (в даном случае инициатором соединения является IP-узел “C”), в начале NAT-модуль должен будет проверить адрес (идентификатор) IP-узла получателя сообщения, и только затем направить IP-пакет маршрутизатору. (Нормальный режим функционирования NAT-модуля заключается в преобразовании адресной информации и передаче IP-пакетов на другие интерфейсы, в то время как маршрутизаторы не передает IP-пакеты на те же интерфейсы, с которых они поступили на маршрутизатор.) NAT-модули не осуществляют фрагментацию пространства DNS-имен, но они упрощают процедуру объединения сетей, который обслуживаются администрациями с независимыми DNS-именами.

7.6. L2TP-туннели увеличивают вероятность адресных коллизий

Последний массовый рост Internet-сети был вызван размещением в W3-системе большого числа публикаций (электронные СМИ), которые требуют минимальных затрат. Другим стимулом расширения Internet-сети стало распространение так называемых виртуальных корпоративных сетей (Virtual Private Networks — VPN), которые, как правило, основаны на применении L2TP-протокола (Layer Two Tunneling Protocol — L2TP, RFC 2661). С технической точки зрения, VPN-туннели относятся к IP-инфраструктуре, так как канальный уровень Internet-архитектуры, отвечающий за мультплексирование (временное объединение) различных потоков IP-трафика, “позволяет” оконечным IP-узлам формировать, что вполне очевидно, сквозные маршруты. Эти VPN(L2TP)-туннели формируют видимость сетей и увеличивают увеличивают вероятность адресных коллизий*, когда на их пути функционирует несколько NAT-модулей. Управление IP-адресами в корпоративной сети, обслуживаемой NAT-модулем, станет весьма обременительным, так как не существует центрального функционального модуля, способного управлять, либо вообще нет ничего такого, чтобы делало это. Снижением такой нагрузки для Internet-провайдера будет реальная передача этой нагрузки на локальный (корпоративный) уровень, так как администрирование IP-адресов и DNS-имен становится распределенным и значит более сложным.

 

Рис.6. Пример совместного применения L2TP-туннеля и NAT-модулей

В соответствии со стандартом RFC 1918, слияние корпоративных адресных субпротсранств в одно может послечь за собой перекрытие эти субпространств, и тем самым создать функциональные проблемы. L2TP-туннели будут увеличивают вероятность и частоту такого перекрытия вследствие простоты их построения. Существует несколько вариантов настройки адресного пространства, которые могут повлечь за собой отказы в работе системы. На рис.6 представлен простой пример, когда IP-узлом “В” имеет корпоративный IP-адрес, который совпадает с корпоративным адресом VPN-сегмента, используемым IP-узлом “А” для входящих соединений. Когда IP-узел “В” пытается сформировать VPN-интерфейс, IP-узел “А” назначит ему IP-адрес из своего набора IP-адресов для входящих соединений и определит IP-узлу “В” шлюз (интерфейс) для использования. В представленном примере (рис.6), IP-узел “В” не способен различить IP-адрес удаленного VPN-интерфейса/шлюза IP-узла “А” от своего собственного корпоративного IP-адреса на физическом интерфейсе, и поэтому данное соединение потерпит провал. По определению, IP-адреса, используемые корпоративно, не связаны с IP-адресами общего пользования, что увеличивает структурную, топологическую и функциональную сложность VPN-сетей, и следовательно возрастает вероятность возникновение сбоев в работе системы, которые невозможно будет разрешить (то есть фатальные случаи).

7.7. Корреляция сообщений в системах централизованного сбора данных

Ранее сообщалось, что NAT-метод вносит дополнительные проблемы, когда системы обнаружения вторжений (Intrusion Detection System — IDS) пытаются скоррелировать сообщения между IDS-датчиками (синхронизировать работу IDS-датчиков), расположенными с внешней и с внутренней сторон относительно NAT-модулей. Несмотря на то, что рассмотрение функциональных особенностей конкретных систем диспетчерского управления не является целью данного стандарта, все равно очевидно, что в системах централизованного мониторинга, когда датчики текущего контроля систем расположены по обеим сторонам NAT-модулей, также необходим доступ к процедурам отображения IP-адресов, которые осуществляют NAT-модули, в целях обеспечения корректного функционирования таких систем. Это тоже весьма критично, когда данные о текущем состоянии системы снабжаются соответствующим идентификатором, так как возможна ситуация, при которой датчики с внешней стороны NAT-модулей используют IP-адреса, совпадающие с корпоративными IP-адресами.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8