За время, прошедшее с момента опубликования стандарта RFC 1631, значительно вырос практический опыт функционального анализа NAT-модулей, который указывает на все большую обеспокоенность их применением у специалистов Internet-сообщества. NAT-метод нарушает фундаментальный принцип создания и развития всемирной Internet-сети: оконечные прикладные процессы управляют соединением. Другим принципом является “функциональная простота” (“keep-it-simple”), который также нарушается, так как на сети возлагается дополнительная функциональная нагрузка по преодолению проблем, вызванных функционированием NAT-модулей. И в заключении, общая системная гибкость и управляемость снижаются, а затраты на поддержание сетевой функциональности растут, что связано с ростом проблем.

Сторонники и противники NAT-метода, соответственно, либо снижают, либо преувеличивают уровень проблематичности функционирования NAT-модулей:

      NAT-модули являются “сетевой реальностью” и будут распространяться, что способствует сохранению существующей сетевой IPv4-инфраструктуры;
      NAT-модули являются “порочной практикой” и создают дополнительную административную нагрузку, с которой весьма не легко справиться. Еще более важно, что они препятствуют распространению протоколов IPsec-архитектуры, а это, в свою очередь, замедляет рост прикладных служб, которые нуждаются в инфраструктуре безопасности.

В любом случае, применение NAT-модулей требует однозначного прикладного заключения относительно того, что работает, а что не работает.

НЕ нашли? Не то? Что вы ищете?

На рис.7 представлена таблица функциональных преимуществ и недостатков NAT-модулей.


ПРЕИМУЩЕСТВА NAT-МОДУЛЕЙ

НЕДОСТАТКИ NAT-МОДУЛЕЙ

Скрывают изменения IP-адресов общего пользования.

Облегчают перенумерацию корпоративных IP-узлов при смене Internet-провайдера.

Избавляют сетевые администрации от юридической регистрации корпоративных IP-адресов.

Снижают размер необходимого адресного пространства.

Снижают уровень функциональной нагрузки, возложенной на Internet-провайдеров.

В некоторых случаях обеспечивают прозрачность сквозного соединения.

Позволяют распределять нагрузку, подобно виртальным IP-узлам (распределенным многомашинным комплексам).

Снижают остроту проблемы нехватки IPv4-адресов и потому тормозят переход к системе IPv6-адресации.

Нарушают принцип (модель) “сквозного соединения”.

Улучшают связность нескольких протсранств DNS-имен.

Нарушают принципы IPsec-архитектуры.

Являются объектами с последействием, которые, в

случае их отказа, приводят к отказу всей системы.

Требуют специфических DNS-ответов на DNS-запросы  или применение DNS-ALG-субмодуля.

DNS-ALG-субмодуль нарушает принципы обеспечения безопасности DNSSEC-протоколов.

Увеличивают вероятность адресных коллизий при сквозном соединении.

Увеличивают функциональную нагрузку на

корпоративную сеть и ее функциональную сложность.

Требуют специфических доработок в программном обеспечении каждой прикладной службы.

Накладывают ограничения при масштабировании сетей.

Могут усложнять интеграцию системы IPv6-адресации.

Рис.7. Таблица преимуществ и недостатков NAT-модулей

За последнее время было много дискуссий на предмет имеет ли смысл дальнейшее развитие и внедрение системы IPv6-адресации, в условиях когда появился огромный рынок сетевых решений на NAT-метода, который продлевает “жизнь” IPv4-адресации. Недальновидный взгляд мог бы привести к ошибочному заключению, что оба подхода к решению нехватки IP-адресов играют важную роль, так как NAT-модули решают сегодняшние реально существующие проблемы, в то время как система IPv6-адресации определена как цель, достижение которой позволит решить фундаментальные проблемы, а также обеспечит дальнейшее развитие Internet-сети. Необходимо признать, что этап сосуществования свух система адресации будет весьма продолжительным, так как прикладные службы и иные сетевые системы разрабатываются для IPv6-адресации, и в то же время как “дальнейшая жизнь” существующей системы IPv4-адресации вероятнее всего будет измеряться десятилетиями. NAT-модули представляют собой “отвлекающий маневр” от поступательного движения вперед, но в сегодняшних условиях они являются весьма востребованными. Они нарушают функционирование целого класса прикладных служб, которые вынуждены формировать новые алгоритмы функционирования и программные модули, позволяющие обходить NAT-модули.

К средствам повышения уровня общей безопасности в Internet-сети относятся протоколы IPsec-архитектуры и DNSSEC-протоколы. Эти способы предназначены для обслуживания широкого круга прикладных и сетевых систем на основе аутентифкации и защиты передаваемой информации. Нарушая функционирование систем обеспечения безопасности, реализующих эти способы, путем искусственного включения NAT-модулей и DNS-ALG-субмодулей, проиходит “тороможение” дальнейшего распространения более надежных систем обеспечения безопасности по всей Internet-сети.

Также существует много проблемных вопросов относительно возможности построения VPN-систем, которые могут дополнить выше перечисленные функциональные трудности. Несмотря на то, что чрезвычайно трудно предугадать будущее, тем не менее одним из способов избежать применения ALG-субмодулей в каждой прикладной службе является построение L2TP-туннелей через систему NAT-модулей. Это ограничит возможность NAT-модулей по просмотру и анализу заголовков IP-пакетов, транслируемых по туннелю, и исключит влияние NAT-модулей на функционирование всех прикладных служб. Однако, несмотря на то, что этот способ решает проблему ALG-субмодулей, вместе с тем он увеличивает вероятность возникновения адресных коллизий, так как произвольные виртуальные соединения сфомированы между двумя корпоративными сетями, адресные пространства которые не скоординированы. Это также создает дополнительные вопросы по поводу того, как прикладная служба может сфомировать требуемый туннель.

Базовая Internet-архитектура достаточно универсальна, так как она определяет общий способ доставки данных, с помощью которого могут быть созданы самые разнообразные прикладные и технологические сетевые системы (даже самые невообразимые). Несмотря на то, что можно построить и “карточный домик”, время и накопленный жизненный опыт склоняют нас к созданию стандартов с максимально целостной структурой. Система IPv6-адресации является долгосрочным решеним проблемы нехватки IP-адресов, которая сохраняет принцип “сквозного соединения” (прозрачности соединения). NAT-метод представляет собой технологический “отвлекающий маневр” с целью продления “жизни” существующей системы IPv6-адресации.

* Большинство из предлагаемых здесь терминов и определений дано в стандарте RFC-2663.

* Maximum Segment Lifetime — максимальный интервал “времени жизни”. Стандарт RFC 793 определяет его

  равным две минуты

° Система (объект) с последействием (stateful object) — это такая система, которая сохраняет свой состояние,

  явившееся  результатом обработки одного или нескольких обращений к ней пользователей. С другой стороны

  существуют системы (объекты) без последействия (stateless object), которые не сохраняют свое состояние,

  явившееся  результатом обработки одного или нескольких обращений к ней пользователей.

* Адресные коллизии возникают тогда, когда имеет место перекрытие двух корпоративных адресных

  пространств, которые, соответственно, принадлежат двум взаимодействующим корпоративным сетям.

● “День флага” (“flag day”) — американский сленг, который означает срок внесения в систему изменений,

  исключающих возможность использования ранее эксплуатировавшихся программ.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9