Rambler's Top100
Статьи ИКС № 1 2006
В. ТОМСКИЙ  01 января 2006

Трансляция адресов: трудности перевода

Видовые проблемы

Сегодня NAT стала принадлежностью практически любого маршрутизатора доступа и даже некоторых операционных систем (например, Windows XP). Но с распространением мультимедийных услуг и пиринговых (peer-to-peer) онлайновых служб система NAT, вернее – успешное преодоление ее имманентных ограничений, становится одной из актуальных проблем и для пользователей, и для провайдеров услуг, и для разработчиков оборудования. Ситуация усугубляется тем, что единого стандарта на системы NAT до сих пор не существует, а сложность и широкий спектр задач, стоящих перед разработчиками, породили великое множество таких систем, ведущих себя совершенно по-разному.

Тем не менее выделены два основных вида систем сетевой трансляции NAT – симметричные и конусные. Если не слишком вдаваться в технические подробности, то различия между ними состоят в следующем:
  • Симметричные системы сетевой трансляции (Symmetric NAT) устанавливают в сети отношения «один к одному». Каждой паре локальных и глобальных адресов соответствует собственная, уникальная, запись в таблице трансляции. Другими словами – с каждым внешним респондентом, имеющим собственный IP-адрес, соединение устанавливается по уникальному (присущему только одному сочетанию хостов и никогда не повторяющемуся) набору портов.
  • Конусные системы сетевой трансляции (Cone NAT) позволяют устанавливать отношения «один ко многим». Каждому локальному хосту, участвующему во внешнем обмене по определенному порту (набору портов), соответствует IP-адрес, по которому он виден извне, а порт (или порты) остается прежним (некоторые системы NAT позволяют устанавливать на одном внешнем интерфейсе несколько глобальных IP-адресов). По этому же IP-адресу локальный хост будет доступен или частично ограничен (Restricted и Port Restricted Cone) для любых других глобальных хостов, участвующих в обмене по тому же протоколу, что значительно упрощает установление внешних связей и взаимодействий.
Аналогично офисной АТС система NAT позволяет ввести внутренний план нумерации (локальные IP-адреса, не маршрутизируемые в сети Интернет) и легко осуществлять звонки (соединения) с внешним миром – хостами во всей Сети. Известно, что позвонить сотруднику организации через офисную АТС можно, только используя донабор номера или воспользовавшись услугами секретаря. Специальные средства потребуются и для того, чтобы установить соединение извне с локальным хостом/компьютером.

В случае конусного NAT внутренний номерной план остается постоянным для всех респондентов организации. При использовании симметричного NAT внутренние номерные планы будут для каждого абонента уникальными. С позиций защиты сети это просто замечательно. Но в случае, если обмен с внешним миром все-таки необходим, для достижения единообразия потребуется пропустить весь медиа трафик через специализированный медиа сервер с глобальным IP-адресом (расположенный у оператора Интернета или в демилитаризованной зоне корпоративной сети), который специально «обучен» обрабатывать взаимодействия конкретного вида.

На первом этапе развития Интернета пользователи, как правило, ограничивались просмотром web страниц и обменом почтой, т.е. взаимодействием со специализированными серверами (так называемая клиент-серверная модель). Объемы передаваемой информации были относительно невелики, что не вызывало большой нагрузки на серверы. С появлением мультимедийных услуг (прежде всего онлайновых игр, пакетной телефонии, видеоконференцсвязи) нагрузка растет экспоненциально – как следствие все более распространенной становится модель одноранговых, пиринговых взаимодействий. Обмен мультимедийными данными между абонентами одноранговых сетей происходит напрямую. А серверам достаются более простые задачи – обработка сигнализации, установление соединений и, соответственно, хранение номерных планов и информации об абонентах, включая их готовность к взаимодействию (presence).

Тернист путь к прозрачности

Использование симметричного NAT, который требует для организации однорангового взаимодействия между хостами выделенных серверов, проксирующих весь мультимедийный трафик, становится неоправданным, поскольку замедляет внедрение новых услуг и приводит к избыточным вложениям в инфраструктуру сети. В результате маршрутизаторам с симметричным NAT, скорее всего, никогда не удастся стать абсолютно прозрачными и получить пока еще гипотетический логотип Designed for Microsoft Windows Vista.

К слову, здесь будет уместен пример потенциально неблагополучного решения – системы Skype, которая изначально разрабатывалась для любых сред, использования любых систем NAT и любых межсетевых экранов. Skype широко использует проксирование и даже туннелирование голосового трафика (например, по 80-му порту), вследствие чего не может обойтись без специализированных медиасерверов. На них – с ростом числа абонентов, объемов голосового трафика и массовым внедрением видеоуслуг (Skype 2) – ложится все большая нагрузка по проксированию и конвертированию трафика. В итоге уже сегодня можно наблюдать определенное снижение качества услуг.

Удастся ли Skype преодолеть трудности роста, взросления и масштабирования – покажет время, скорее всего, самое ближайшее, тем более что конкуренция на рынке пакетной телефонии растет буквально угрожающими темпами. А пока любому российскому пользователю Skype, не находящемуся под защитой межсетевых экранов и локальных, немаршрутизируемых адресов (т.е. все той же NAT) надо быть готовым к резкому увеличению счетов за трафик, предъявляемых к оплате интернет-провайдером, – ведь медиасервером, проксирующим трафик других абонентов Skype, в любой момент может стать и его компьютер.

Есть решение

Напомним, что обеспечение надежной и беспроблемной работы широкополосной телефонии и других мультимедийных и пиринговых приложений в корпоративных и домашних сетях (где традиционны локальные IP-адреса и системы трансляции сетевых адресов) все еще остается серьезной проблемой, в значительной мере сдерживающей распространение новых сетевых сервисов. Этим обеспокоены многие компании.

Например, ZyXEL в новых микропрограммах для модемов P-660/662 реализовала поддержку механизма трансляции сетевых адресов Full Cone NAT и SIP ALG, встроенного программного шлюза для приложений, использующих протокол SIP. Более того, Full Cone NAT изначально реализован в новейших межсетевых экранах компании – ZyWALL UTM, реализующих популярную сегодня концепцию объединенного контроля угроз (Unified Threat Management). Так вот, с позиции компании корректную работу мультимедийных приложений с NAT и межсетевыми экранами можно наладить, используя три альтернативных подхода:
  • Проксирующий сервер (Outbound Proxy) – на стороне оператора. Этот способ наиболее универсален и обеспечивает работу SIP-приложений, поддерживающих Outbound Proxy, практически с любыми системами трансляции адресов. Однако весь голосовой трафик абонентов должен проходить через этот сервер, что предъявляет повышенные требования к конфигурации и производительности такого сервера (а значит, приводит к снижению качества связи) и к тому же отрицательно сказывается на безопасности.
  • Шлюз SIP ALG – в клиентском маршрутизаторе. Этот подход позволяет обеспечить сервисы SIP телефонии в сети с трансляцией адресов без использования вспомогательных внешних устройств. Недостатки – более сложная программная реализация, повышенная нагрузка на маршрутизатор, относительно малая распространенность и невысокая масштабируемость решений. Тем не менее SIP ALG вполне приемлем в относительно небольших проектах, где необходимо минимизировать вложения в сетевую инфраструктуру.
  • Full Cone NAT – на маршрутизаторе, а на стороне оператора устанавливается STUN-сервер. При минимальных вложениях в сетевую инфраструктуру этот способ обеспечивает правильную маршрутизацию входящих и исходящих вызовов и устойчивую работу приложений (поддержка протокола STUN сегодня реализована во многих программных и аппаратных телефонах). Большинство российских операторов, предоставляющих сервисы IP-телефонии на базе SIP, имеют в своей инфраструктуре STUN-серверы и предпочитают задействовать абонентские маршрутизаторы, реализующие Full Cone NAT.
Именно Full Cone NAT как базовую функциональность маршрутизатора доступа (которая правилами, установленными на межсетевом экране, может быть сведена к Restricted Cone NAT или даже Port Restricted Cone NAT) выбирают сегодня стандартизирующие органы, в частности – Full Cone NAT стала предметом разработок специальной рабочей группы IETF. Не дремлет и Microsoft, выпустив Руководство по обеспечению совместимости маршрутизаторов и точек доступа с Microsoft Windows Vista (Router, AP and Residential Gateway Implementation Guide). И новая операционная система, и интернет стандарт появятся уже в этом году, который, скорее всего, будет насыщен событиями в области пакетной телефонии.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: