NAT/ALG — программный комплекс (NAT/ALG-комплекс), состоящий из совместно функционирующих NAT-модуля и ALG-субмодуля. Применение NAT/ALG-комплекса более выгодно (по сравнению с применением только одного NAT-модуля), так как он включает специфические компоненты в интересах тех прикладных служб, которые не могут функционировать совместно только с одним NAT-модулем.
DNS/ALG — специализированная разновидность NAT/ALG-комплекса (DNS/ALG-субмодуль). DNS/ALG-субмодуль предназначен для обслуживания с DNS-системы и осуществляет преобразование содержания DNS-сообщений/запросов.
Firewall — брандмауэр (сетевой экран). Специально выделенное средство управления доступом. Этим средством может быть специализированная разновидность ALG-субмодуля или фильтр IP-пакетов.
Proxy — уполномоченный объект. Специализированный программный модуль-посредник, который встроен в соответствующий протокол и обеспечивает ретрансляцию сообщений этого протокола. В отличие от ALG-субмодуля, хотя бы один прикладной процесс должен знать о наличии Proxy-модуля.
Static NAT — статический NAT-модуль обеспечивает фиксированное взаимооднозначное отображение адресных пространств (одно в другое и наоборот).
Dynamic NAT — динамический NAT-модуль обеспечивает динамическое (изменяемое от одного сеанса связи к другому) взаимооднозначное отображение адресных пространств (одно в другое и наоборот). Как правило, динамический NAT-модуль используется тогда, когда существует неравенство адресных пространств (число корпоративных адресов превышает число внешних (общего пользования) адресов).
NAPT (Network Address Port Translation) — трансляция сетевых адресов и номеров портов транспортного уровня. NAPT-модуль отображает транспортные идентификаторы, принадлежащие группе коропоративных IP-узлов, в транспортные идентификаторы, принадлежащие индивидаульным внешним адресам. NAPT-модуль позволяет группе IP-узлов совместно использовать один внешний адрес.
RSIP (Realm Specific IP) — метод назначения специфического IP-адреса внешней зоны, который позволяет конечным IP-узлам получать во “временное пользование” глобальный IP-адрес и номер порта транспортного уровня (адресный блок) у специализированного RSIP-сервера. Данный метод предусматривает ряд специализированных механизмов, которые позволяют корпоративному IP-узлу запрашивать несколько адресных блоков (адрес/порт) одновременно. RSIP-клиенты должны знать границы адресного пространства, принадлежащего их сетевой администрации. Эти границы определяют административную зону для корпоративных пользователей каждой прикладной службы, а топология этой административной зоны должна быть известна ее каждому корпоративному пользователю. При установлении соединения, RSIP-клиент запрашивает один или несколько IP-адресов и/или номеров портов транспортного уровня у соответствующего RSIP-сервера, а затем он инициирует сеанс связи через этот RSIP-сервер, используя для этого приобретенный(е) во “временное пользование” адресный(е) блок(и). IP-узлы должны иметь в своем составе специализированные программные RSIP-модули для реализации функции туннелирования трафика.
VPN (Virtual Private Network) — виртуальная корпоративная сеть. С технологической точки зрения, VPN-сети указывают на наличие IP-инфраструктуры в качестве системы мультиплексирования потоков данных, которая позволяет оконечным IP-узлам формировать виртуальные маршруты доставки трафика, и с помощью которой одна группы IP-узлов соединяется с другой группой IP-узлов. Как правило, эти две группы IP-узлов используют различные совокупности IP-адресов.
AH (IP Authentication Header) — заголовок аутентификации (RFC-2401), который обеспечивает целостность данных, аутентификацию источника данных и, дополнительно, защиту от повторной передачи IP-пакетов.
ESP (Encapsulating Security Payload) — протокол защиты полезной нагрузки IP-пакетов (RFC-2401), который может обеспечивать конфиденциальность данных (шифрование) и конфиденциальность ограниченного потока трафика. Кроме этого, он может обеспечивать целостность данных, аутентификацию источника данных и, дополнительно, защиту от повторной передачи IP-пакетов.
Address administration — сетевая администрация, которой выделено определенное адресное пространство для идентификации некоторой совокупности маршрутизаторов и оконечных IP-узлов.
Addressing realm — адресная сетевая зона, представляющая собой некоторую совокупность маршрутизаторов и оконечных IP-узлов, которые обмениваются между собой информацией внутри зоны. NAT-модуль используется в качестве локального средства распределения IP-адресов. Он обеспечивает отображение адресного пространства, принадлежащего одной сетевой администрации, адресное пространство, принадлежащее другой сетевой администрации.
III. ОБЛАСТЬ ИССЛЕДОВАНИЯ
При определении архитектурного смысла NAT-модулей в Internet, во-первых, необходимо определить саму Internet-сеть (ее границы), как область исследования. Наиболее общее определение Internet-сети следующее: объединение сетей, которое строится по технологиям и стандартам IETF (Internet Engineering Task Force). Это слишком обещее и простое определение не указывает различия между сетью общего пользования, известной как Internet, и корпоративными (частными) сетями, создаваемыми по таким же технологиям и стандартам IETF (включая их объединение с помощью NAT-метода). В стандарте RFC 1918 определено, что IP-узлы считаются IP-узлами общего пользования, когда им необходим доступ во внешнее сетевое пространство на сетевом (IP) уровне, используя для этого глобальный однозначный (недвусмысленный) IP-адрес. А те IP-узлы, которым необходим ограниченный или вообще не нужен доступ во внешнее сетевое пространство, именуются корпоративными. С другой стороны, это определение можно рассматривать с точки зрения прозрачности соединения между конкретным IP-узлом и остальной частью Internet-сети.
Окончательное решение относительно корпоративных или IP-узлов общего пользования принимается после ответа на вопрос о функциональных целях сети. Как правило, сети, которые не должны быть частью глобальной Internet-сети, будут использовать некий заградительный метод с целью установки сетевого “барьера”. Исторически сложилось так, что заградительные программно-аппаратные (или программные) модули между корпоративными и сетями общего пользования (такие как FW или шлюзы (интерфейсы) прикладного уровня) “пропускали” через себя разрешенный трафик, блокируя все остальное. Более того, NAT-метод является одним из заградительных методов, который управляет сетевыми адресными идентификаторами (адрес/порт) между адресными пространствами, используемыми, соответственно, корпоративной и сетью общего пользования. Если прикладные протоколы не могут функционировать совместно с NAT-модулями, то тогда используются ALG-субмодули, которые устраняют эту несовместимость. (Замечание. Применение NAT-модулей возможно и внутри самих корпоративных сетей, но такие NAT-модули в данном документе не рассматриваются. В данном случае, речь идет о тех сетевых компонентах корпоративных сетей, которые используются в качестве общей службы доставки трафика между сетевыми субсегментами, обслуживаемыми NAT-модулями.)
В стандарте RFC-1631 рассматриваются NAT-модули, которые обслуживают корпоративные сети, имеющие только одно соединение с Internet-сетью общего пользования. Однако, на практике часто встречаются корпоративные сети имеющие несколько соединений с остальной частью Internet-сети, и такие ситуации гораздо более сложные, так как NAT-модули, обслуживающие такие корпоративные сети (на одно соединение необходим как минимум один NAT-модуль), должны координировать выполнение своих функций, чтобы быть уверенными в том, что они согласованно выполняют отображение адресов в каждом индивидуальном NAT-модуле.
IV. МОДЕЛЬ “СКВОЗНОГО СОЕДИНЕНИЯ”
Концепция “сквозного соединения” представлена в стандарте RFC-2775 (“Internet Transparency”). Одно из ключевых понятий этой концепции звучит следующим образом: “режим соединения между оконечными IP-узлами должен управляться только прикладными процессами (программными модулями), функционирующими в этих IP-узлах, и с этой точки зрения, соединение может быть прервано (нарушено) только тогда, когда один из оконечных процессов прервет себя сам”; по другому это можно назвать “процессы с роковым стечением обстоятельств”. Одним из путей преодоления таких ситуаций является обеспечение отказоустойчивости (живучести) сети. Так как сети расширяются, вероятность прерывания соединения в следствие отказа одного из сетевых компонентов становится все больше и больше. Если такие сбои приводят к потере связи, так как нарушается соединение, то тогда сеть становится все более и более уязвимой, а ее значимость снижается. Однако, если оконечный прикладной процесс прерывает сам себя, то тогда вообще нет уверенности в том, что возможно установление последующих соединений. Более того, модель “сквозного соединения” доказывает, насколько это возможно, что только оконечные прикладные процессы должны поддерживать соединение в критических ситуциях.
При использовании NAT-модулей модель “сквозного соединения” трансформируется в модель системы с трансляцией адресов, причем NAT-модули становятся критическими элементами сетевой инфраструктуры. Действительно, если один из них выйдет из строя, то тогда все соединения, проходящие через него, будут прерваны. И даже в той ситуации, когда основное внимание уделяется гарантированному обеспечению согласованого и стабильного функционирования NAT-модуля, все равно, восстанавливаемое NAT-модулем соединение, которое ранее “проходило” через него и было прервано по его вине, считается потерянным (так как NAT-модуль не может больше преобразовывать IP-адреса, используя для этого одно и тоже отображение). (Замечание. Сбой в работе NAT-модуля приводит к более серьезным отрицательным последствиям по сравнению с функциональным сбоем маршрутизатора. Когда маршрутизатор восстанавливает свою работу после сбоя, любое соединение, которое проходило через него прежде, может быть продолжено и в дальнейшем может опять успешно транслировать через него свой трафик.)
Другие наиболее важные аспекты модели “сквозного соединения” следующие:
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 |
