Каждый интерфейс сети TCP/IP должен иметь уникальный адрес IP. Если узел принадлежит сети Интернет, его IP-адрес должен быть уникальным для всей сети Интернет. Если общение узла по протоколам TCP/IP ограничивается локальной сетью, его IP-адрес должен быть уникальным лишь в рамках локальной сети.
В случае сетей, не подключаемых к сети Интернет, администраторы могут выбирать адреса из документа RFC 1918, Address Allocation for Private Intranets (Выделение адресов для частных интрасетей), в котором перечислены номера сетей, зарезервированные для частного использования. Номера частных сетей:
- Сеть 10.0.0.0 (с префиксом 10/8) - это 24-битный блок адресов.
- Сети с 172.16.0.0 по 172.31.0.0 (с префиксом 172.16/12) - 20-битные блоки адресов.
- Сети с 192.168.0.0 по 192.168.255.0 (с префиксом 192.168/16) - 16-битные блоки адресов.
Недостаток сетевых адресов из документа RFC 1918 в том, что может возникнуть необходимость изменить их при подключении всей сети к сети Интернет. Частные сетевые адреса обладают следующими преимуществами:
- Простота. Нет необходимости обращаться в инстанции и получать официальные адреса, равно как и одобрение.
- Вежливость. Адресное пространство сохраняется для тех сетей, которым действительно необходимо подключение к сети Интернет.
- Цена. Адреса RFC 1918 бесплатны, тогда как официально полученные адреса стоят денег.
При использовании адресов из RFC 1918 узлы локальной сети имеют возможность обращаться к системам сети Интернет, пусть на практике это и потребует определенных усилий. Понадобится прокси-сервер либо сервер преобразования сетевых адресов (NAT). NAT существует в виде самостоятельных устройств, а также в виде дополнительных программных модулей к некоторым маршрутизаторам и брандмауэрам. NAT осуществляет преобразование исходного адреса дейтаграмм, покидающих вашу сеть, подставляя вместо частного адреса официальный. Преобразование адресов имеет ряд преимуществ:
- Экономит адреса IP. Большинство сетевых соединений происходит между системами сети предприятия. В каждый отдельный момент времени лишь небольшому числу систем требуется взаимодействие с Интернетом. Следовательно, число необходимых официальных адресов IP значительно меньше, чем общее число систем в сети предприятия. NAT позволяет использовать емкое адресное пространство из RFC 1918 для настройки сети предприятия и максимально сократить официальное адресное пространство Интернет-соединений.
- Сокращает риск подделки адресов («спуфинга»), то есть атак злоумышленников, в ходе которых удаленная система притворяется локальной. Адреса, перечисленные в RFC 1918, не могут участвовать в маршрутизации в сети Интернет. Таким образом, дейтаграммы из локальной сети могут передаваться удаленным системам посредством маршрутизации, но если дейтаграмма содержит конечный адрес, упомянутый в RFC 1918, любой Интернет-маршрутизатор просто игнорирует такого пришельца.
- Избавляет от необходимости в перенумерации узлов при подключении к сети Интернет.
У преобразования сетевых адресов есть и недостатки:
- Стоимость - NAT может служить источником расходов на приобретение дополнительного аппаратного и программного обеспечения. Однако эти расходы, как правило, очень невелики.
- Производительность - Преобразование адресов снижает производительность, делая обязатель- ной дополнительную обработку каждой дейтаграммы. При изменении адреса необходимо повторно вычислить контрольную сумму. Более того, некоторые из протоколов более высокого уровня передают копию IP-адреса, которая также подлежит преобразованию.
- Надежность - Маршрутизаторы, в отличие от NAT-серверов, никогда не изменяют адреса в заголовках дейтаграмм. Это может привносить некоторую нестабильность. Кроме того, протоколы и приложения, встраивающие адреса в свои данные, могут некорректно работать с NAT.
- Безопасность - NAT ограничивает возможности для сквозного шифрования и проверки подлинности. Механизмы проверки подлинности, включающие заголовки в свои вычисления, не работают, поскольку NAT изменяет адреса в заголовках. Шифрование не работает, если зашифрованные данные содержат адрес источника.
Прокси-серверы предоставляют во многом те же преимущества, что и механизм NAT. Более того, эти названия часто используются в качестве взаимозаменяемых. Но различия все же присутствуют. Прокси-серверы - это шлюзы приложений, которые изначально создавались в составе систем, направленных на обеспечение безопасности, а именно - брандмауэров. Внутренние системы взаимодействуют с внешним миром через прокси, а внешние системы отвечают прокси. Прокси-серверы ориентированы на работу с конкретными приложениями. В сети может присутствовать прокси веб-сервера и прокси FTP-сервера. Каждый из них обслуживает соединения единственного типа приложений. Итак, различие между серверами NAT и прокси-серверами состоит в том, что NAT выполняет преобразование IP-адресов для любых приложений, а классический прокси-сервер нацелен на единственное приложение.
В прокси-серверы часто добавляются функции системы безопасности. Преобразование адресов может выполняться на уровне IP. Службы прокси требуют обработки данных вплоть до прикладного уровня. Прокси-сервер может содержать фильтры безопасности на всех уровнях стека протоколов.
Принимая во внимание описанные различия, можно решить, что серверы NAT масштабируются лучше, чем прокси-серверы, а прокси-серверы более эффективно обеспечивают безопасность. Но с течением времени происходило слияние этих технологий, и сегодня их практически невозможно различить. Прежде чем принять решение о применении служб NAT или прокси, убедитесь, что они соответствуют нуждам сети.
Сочетание механизма NAT с частными адресами сети дает каждому из узлов сети доступ ко внешнему миру, но не позволяет внешним пользователям получать доступ к частной сети. Чтобы применить подобную модель, необходимо получить официальный IP-адрес.
