ИКС № 1 2006

В. ТОМСКИЙ	01 января 2006

01 января 2006

Трансляция адресов: трудности перевода

Видовые проблемы

Сегодня NAT стала принадлежностью практически любого маршрутизатора доступа и даже некоторых операционных систем (например, Windows XP). Но с распространением мультимедийных услуг и пиринговых (peer-to-peer) онлайновых служб система NAT, вернее – успешное преодоление ее имманентных ограничений, становится одной из актуальных проблем и для пользователей, и для провайдеров услуг, и для разработчиков оборудования. Ситуация усугубляется тем, что единого стандарта на системы NAT до сих пор не существует, а сложность и широкий спектр задач, стоящих перед разработчиками, породили великое множество таких систем, ведущих себя совершенно по-разному.

Тем не менее выделены два основных вида систем сетевой трансляции NAT – симметричные и конусные. Если не слишком вдаваться в технические подробности, то различия между ними состоят в следующем:

Симметричные системы сетевой трансляции (Symmetric NAT) устанавливают в сети отношения «один к одному». Каждой паре локальных и глобальных адресов соответствует собственная, уникальная, запись в таблице трансляции. Другими словами – с каждым внешним респондентом, имеющим собственный IP-адрес, соединение устанавливается по уникальному (присущему только одному сочетанию хостов и никогда не повторяющемуся) набору портов.
Конусные системы сетевой трансляции (Cone NAT) позволяют устанавливать отношения «один ко многим». Каждому локальному хосту, участвующему во внешнем обмене по определенному порту (набору портов), соответствует IP-адрес, по которому он виден извне, а порт (или порты) остается прежним (некоторые системы NAT позволяют устанавливать на одном внешнем интерфейсе несколько глобальных IP-адресов). По этому же IP-адресу локальный хост будет доступен или частично ограничен (Restricted и Port Restricted Cone) для любых других глобальных хостов, участвующих в обмене по тому же протоколу, что значительно упрощает установление внешних связей и взаимодействий.

Аналогично офисной АТС система NAT позволяет ввести внутренний план нумерации (локальные IP-адреса, не маршрутизируемые в сети Интернет) и легко осуществлять звонки (соединения) с внешним миром – хостами во всей Сети. Известно, что позвонить сотруднику организации через офисную АТС можно, только используя донабор номера или воспользовавшись услугами секретаря. Специальные средства потребуются и для того, чтобы установить соединение извне с локальным хостом/компьютером.

В случае конусного NAT внутренний номерной план остается постоянным для всех респондентов организации. При использовании симметричного NAT внутренние номерные планы будут для каждого абонента уникальными. С позиций защиты сети это просто замечательно. Но в случае, если обмен с внешним миром все-таки необходим, для достижения единообразия потребуется пропустить весь медиа трафик через специализированный медиа сервер с глобальным IP-адресом (расположенный у оператора Интернета или в демилитаризованной зоне корпоративной сети), который специально «обучен» обрабатывать взаимодействия конкретного вида.

На первом этапе развития Интернета пользователи, как правило, ограничивались просмотром web страниц и обменом почтой, т.е. взаимодействием со специализированными серверами (так называемая клиент-серверная модель). Объемы передаваемой информации были относительно невелики, что не вызывало большой нагрузки на серверы. С появлением мультимедийных услуг (прежде всего онлайновых игр, пакетной телефонии, видеоконференцсвязи) нагрузка растет экспоненциально – как следствие все более распространенной становится модель одноранговых, пиринговых взаимодействий. Обмен мультимедийными данными между абонентами одноранговых сетей происходит напрямую. А серверам достаются более простые задачи – обработка сигнализации, установление соединений и, соответственно, хранение номерных планов и информации об абонентах, включая их готовность к взаимодействию (presence).

Тернист путь к прозрачности

Использование симметричного NAT, который требует для организации однорангового взаимодействия между хостами выделенных серверов, проксирующих весь мультимедийный трафик, становится неоправданным, поскольку замедляет внедрение новых услуг и приводит к избыточным вложениям в инфраструктуру сети. В результате маршрутизаторам с симметричным NAT, скорее всего, никогда не удастся стать абсолютно прозрачными и получить пока еще гипотетический логотип Designed for Microsoft Windows Vista.

К слову, здесь будет уместен пример потенциально неблагополучного решения – системы Skype, которая изначально разрабатывалась для любых сред, использования любых систем NAT и любых межсетевых экранов. Skype широко использует проксирование и даже туннелирование голосового трафика (например, по 80-му порту), вследствие чего не может обойтись без специализированных медиасерверов. На них – с ростом числа абонентов, объемов голосового трафика и массовым внедрением видеоуслуг (Skype 2) – ложится все большая нагрузка по проксированию и конвертированию трафика. В итоге уже сегодня можно наблюдать определенное снижение качества услуг.

Удастся ли Skype преодолеть трудности роста, взросления и масштабирования – покажет время, скорее всего, самое ближайшее, тем более что конкуренция на рынке пакетной телефонии растет буквально угрожающими темпами. А пока любому российскому пользователю Skype, не находящемуся под защитой межсетевых экранов и локальных, немаршрутизируемых адресов (т.е. все той же NAT) надо быть готовым к резкому увеличению счетов за трафик, предъявляемых к оплате интернет-провайдером, – ведь медиасервером, проксирующим трафик других абонентов Skype, в любой момент может стать и его компьютер.

Есть решение

Напомним, что обеспечение надежной и беспроблемной работы широкополосной телефонии и других мультимедийных и пиринговых приложений в корпоративных и домашних сетях (где традиционны локальные IP-адреса и системы трансляции сетевых адресов) все еще остается серьезной проблемой, в значительной мере сдерживающей распространение новых сетевых сервисов. Этим обеспокоены многие компании.

Например, ZyXEL в новых микропрограммах для модемов P-660/662 реализовала поддержку механизма трансляции сетевых адресов Full Cone NAT и SIP ALG, встроенного программного шлюза для приложений, использующих протокол SIP. Более того, Full Cone NAT изначально реализован в новейших межсетевых экранах компании – ZyWALL UTM, реализующих популярную сегодня концепцию объединенного контроля угроз (Unified Threat Management). Так вот, с позиции компании корректную работу мультимедийных приложений с NAT и межсетевыми экранами можно наладить, используя три альтернативных подхода:

Проксирующий сервер (Outbound Proxy) – на стороне оператора. Этот способ наиболее универсален и обеспечивает работу SIP-приложений, поддерживающих Outbound Proxy, практически с любыми системами трансляции адресов. Однако весь голосовой трафик абонентов должен проходить через этот сервер, что предъявляет повышенные требования к конфигурации и производительности такого сервера (а значит, приводит к снижению качества связи) и к тому же отрицательно сказывается на безопасности.
Шлюз SIP ALG – в клиентском маршрутизаторе. Этот подход позволяет обеспечить сервисы SIP телефонии в сети с трансляцией адресов без использования вспомогательных внешних устройств. Недостатки – более сложная программная реализация, повышенная нагрузка на маршрутизатор, относительно малая распространенность и невысокая масштабируемость решений. Тем не менее SIP ALG вполне приемлем в относительно небольших проектах, где необходимо минимизировать вложения в сетевую инфраструктуру.
Full Cone NAT – на маршрутизаторе, а на стороне оператора устанавливается STUN-сервер. При минимальных вложениях в сетевую инфраструктуру этот способ обеспечивает правильную маршрутизацию входящих и исходящих вызовов и устойчивую работу приложений (поддержка протокола STUN сегодня реализована во многих программных и аппаратных телефонах). Большинство российских операторов, предоставляющих сервисы IP-телефонии на базе SIP, имеют в своей инфраструктуре STUN-серверы и предпочитают задействовать абонентские маршрутизаторы, реализующие Full Cone NAT.

Именно Full Cone NAT как базовую функциональность маршрутизатора доступа (которая правилами, установленными на межсетевом экране, может быть сведена к Restricted Cone NAT или даже Port Restricted Cone NAT) выбирают сегодня стандартизирующие органы, в частности – Full Cone NAT стала предметом разработок специальной рабочей группы IETF. Не дремлет и Microsoft, выпустив Руководство по обеспечению совместимости маршрутизаторов и точек доступа с Microsoft Windows Vista (Router, AP and Residential Gateway Implementation Guide). И новая операционная система, и интернет стандарт появятся уже в этом году, который, скорее всего, будет насыщен событиями в области пакетной телефонии.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

<< Предыдущая статья Вернуться к содержанию Следующая статья >>

Телеком	ТВ и медиа	Облака	ПО	Кадры
ИТ	Информационная безопасность	IP-сервисы	Аналитика	Регулирование
Интернет	ЦОД	Оборудование	Аутсорсинг	M&A
ИТ в образовании	ИТ в медицине	Big Data	E-commerce	Спутниковая связь
Блокчейн