RFC 3715 — Требования по совместимости NAT и протколов IPsec-архитектуры (IPsec/NAT-несовместимость)

• Обслуживание удаленного пользователя

  Так как одним из основных предназначений IPsec-архитектуры является защита удаленного доступа в корпоративную Intranet-сеть, решение, обеспечивающие прозрачность NA(P)T-модулей, должно обеспечивать функционирование IPsec-протоколов в РТУ или L2TP-протокола (RFC-3193) совместно с IPsec-протоколами в транспортном режиме (РТР). Кроме того, это решение должно гарантировать прозрачность, если на маршруте следования IPsec-пакетов между удаленным пользователем и VPN-шлюзом встречаются несколько NA(P)T-модулей.

  Удаленный пользователь может иметь переменный IP-адрес «routable address»), в зависимости от точки подключения к Internet-сети, VPN-шлюз может обслуживаться, по крайней мере, одним NA(P)T-модулем, или, с другой стороны, удаленный пользователь и VPN-шлюз могут (каждый) обслуживаться несколькими NA(P)T-модулями. Удаленные пользователи могут использовать один и тот же корпоративный IP-адрес и каждый удаленный пользователь может обслуживаться своим собственным NA(P)T-модулем, или несколько удаленных пользователей располагаются в одной корпоративной сети, обслуживаемой одним и тем же NA(P)T-модулем, каждый из которых со своим собственным уникальным корпоративным IP-адресом соединяется с одним и тем же VPN-шлюзом. Так как IKE-протокол использует UDP-порт с номером «500», то тогда нет необходимости применять несколько VPN-шлюзов, взаимодействующих с одним и тем же внешним IP-узлом, имеющим определенный IP-адрес.

• Соединение между шлюзами безопасности

  В случае применения защищенного соединения между шлюзами безопасности, предполагается, чтосети, использующие собственную внутреннюю адресацию (DeMilitarized Zone — DMZ-сеть), могут располагаться между корпоративной сетью и сегментом глобальной Internet-сети. Следовательно, IPsec-шлюзы безопасности, соединяющие сегменты корпоративной сети, могут быть резидентами этих DMZ-сетей и иметь в качестве идентификаторов своих внешних интерфейсов внутренние адреса этих DMZ-сетей. NA(P)T-модули соединяют DMZ-сети с Internet-сетью.

• Сквозное соединение

  Решение, обеспечивающее IPsec/NAT-совместимость, должно защищать TCP/IP-соединения между IP-узлами с помощью IPsec-протоколов, а также и соединения между IP-узлами и шлюзами безопасности. IP-узел в корпоративной сети должен иметь возможность быть конечной точкой одного или нескольких защищенных IPsec-протоколами ТСР-соединений или UDP-сеансов связи с другим конечным IP-узлом через один или несколько NA(P)T-модулей между ними. Например, NA(P)T-модули могут быть размещены в удаленных сетевых сегментах компании и иметь соединения с корпоративной сетью и с дополнительным NA(P)T-модулем, соединяющим корпоративную сеть с Internet-сетью. Более того, NA(P)T-модули могут быть размешены в пределах корпоративной LAN/WAN-сети и обеспечивать соединения с удаленными клиентами (включая беспроводные соединения), желающими получить доступ в корпоративную сеть. Такие соединения могут потребовать наличия в IP-узле специализированной обработки TCP/UDP-трафика.