Rețele și sisteme de comunicații online

Poate funcționa împreună IPsec și NAT?

Standardele IPsec și NAT, fiecare în parte, își rezolvă sarcinile. Amândoi ne servesc nu în prima zi, ci pentru a le face să lucreze în mod concertat unul cu altul, este necesar să muncim din greu.

Rețele și sisteme de comunicații online

Rețele și sisteme de comunicații online

Acum, cel mai important lucru despre IPsec. Acest protocol are două moduri. În modul de transport, IPsec este aplicat conținutului pachetelor IP, în timp ce antetele lor originale rămân vizibile. Modul de transport IPsec poate fi utilizat numai în conexiunile VPN de tip gazdă-gazdă. Modul tunel încapsulează pachetele IP originale în IPsec cu noile anteturi IP. Acest mod vă permite să ascundeți efectiv pachetele IP originale. În conexiunile IPsec, cum ar fi un gateway gazdă, adică într-un scenariu convențional de acces la distanță, trebuie utilizat modul tunel IPsec.

Combinația dintre NAT și IPsec

În mod similar, ESP și NAPT nu vor funcționa împreună, deoarece în modul de transport numerele porturilor sunt protejate de protocolul ESP, iar orice modificare va fi marcată de acestea ca incorecte.

Dispozitivul Cisco Systems 3060 și clientul VPN suportă utilizatorii de la distanță prin NAT, încapsulând pachetele IP în pachete UDP înainte de a le transfera în rețea. Deoarece pachetul UDP extern și antetul IP asociat nu sunt protejate în nici un fel, ele trec prin toate tipurile de dispozitive NAT. Receptorul Cisco 3060 trebuie să decupleze pachetul primit și să îl proceseze. Acest mecanism funcționează numai cu dispozitive familiale Cisco 3000.

În prezent, organizația IETF are în vedere alte propuneri de standardizare a încapsulării IPsec în UDP. Printre acestea merită menționate IPsec NAT-Traversal (Grupul Network Working Group) și RSIP (-Realm Specific IP) pentru conexiuni prin IPsec (Network Group Adresa Translators Group). În viitorul apropiat, pachetul NAT Traversal Toolkit al SSH Communications Security ar trebui eliberat.

Ce a mai rămas?

Astfel, rămâne să considerăm doar situația în care ESP interacționează cu NAPT. Furnizorii folosesc două modalități de a rezolva această problemă. Cel mai simplu dintre ele, care, cu toate acestea, vă permite să omiteți NAPT un singur IPsec-Connect VPN, - pentru a asocia o singură stație de lucru care realizează conexiunea IKE, cu toate pachetele IPsec.

Această metodă este utilizată de furnizori precum D-Link Systems, Linksys și Macsense Connectivity. SME Router NAPT pe care le puteți cumpăra pentru $ 100-200.

Toate pachetele IPsec care sosesc pe dispozitivul NAPT sunt redirecționate în mod prestabilit către gazda specificată. Acest lucru este posibil datorită faptului că clientul începe să aprobarea prin transmiterea de date către un alt nod final pe portul 500. Acest dispozitiv semnalează că NAPT, astfel încât acesta înainte toate datele de intrare IPsec înapoi la el. Ambele protocoale: atât ESP cât și AH sunt protocoale IP, cărora li se atribuie numerele 50 și respectiv 51.

Deși aceasta nu este cea mai generală implementare, aceasta funcționează în cazul conectării unor stații de lucru unice. Dar ce se întâmplă dacă mai multe stații de lucru doresc să utilizeze IPsec?

În acest caz, ar trebui să utilizați produse cum ar Nexland ISB2LAN sau un router Asante Technologies FriendlyNet 10/100 pentru cablu și DSL linii care suportă mai mulți clienți IPsec servit dispozitiv NAPT. Aceste sisteme mai versatile au costat între 150 și 250 de dolari, în funcție de capacitățile pe care le oferă.

Rețele și sisteme de comunicații online

Articole similare