NAT(6)RFC3235 Network Address Translator (NAT)-Friendly Application Design Guidelines
Author:Once Day Date:2024年12月12日
本文翻译自RFC3235 - Network Address Translator (NAT)-Friendly Application Design Guidelines。
这篇文章介绍了如何设计对NAT友好的应用层协议。
文章目录
1. 介绍
描述网络地址转换 (NAT) 的其他文档讨论了术语和注意事项 [RFC2663] 和协议问题 [RFC3022]、[RFC3027],或讨论了 NAT 的影响 [RFC2993]。所有这些都与 NAT 机制的各种问题、对协议的影响以及对一般互联网架构的影响有关。
本文档的重点是向新协议的作者提供有关在设计新协议时需要考虑的影响的建议,以便在 NAT 网关点不需要特殊处理。
当协议无法干净地通过 NAT 时,使用应用级网关 (ALG) 仍可能允许协议运行。根据协议中使用的编码,ALG 可能难以构建或易于构建,但在某些情况下可能根本无法构建。虽然作为 NAT 的附属品,但应考虑制定不能直接通过 NAT 运行的协议,以便 ALG 设计简单且自动化。 ALG 通常与 NAT 组件一起在小型路由器内运行。理想情况下,ALG 应该简单,不需要过多的计算或状态存储。
应用程序设计中许多为 NAT 产生问题(因此可能需要 ALG 支持)的问题也是防火墙的问题。
应用程序设计人员最好记住这一点,因为任何需要 NAT 或防火墙产品进行特殊处理的协议都将比不需要特殊处理的协议更难部署。
2. 讨论
网络地址转换对一些现有应用程序提出了挑战。在许多情况下,如果新应用程序的开发人员了解问题所在,他们应该能够避免这些问题。
本文档旨在为应用程序设计人员提供有关在尝试构建能够跨 NAT 运行的应用程序时可以做什么以及应该避免什么的信息。
NAT 的普及,尤其是在家庭和小型办公室中,不容忽视。这些技术面向家庭和小型企业的营销通常侧重于单机环境,因此提供商只向每个用户提供单个 IP 地址。NAT 已成为每个位置连接多个系统的流行选择。
显然,与 NAT 实现相关的最常见问题是站点之间传递寻址数据。在可能的情况下,应用程序应该找到此类方案的替代方案。研究一些现有协议将有助于突出可能的不同方法。
有两种常见的传统 NAT 形式。对于基本 NAT,NAT 实现只会改变数据包的 IP 地址。许多应用程序都可以在基本 NAT 下正常运行。另一种常见形式是网络地址端口转换。对于 NAPT,网关可能会改变 IP 地址以及源端口和目标端口(对于 TCP 和 UDP)。因此,仅传递端口号信息的应用程序可以与基本 NAT 配合使用,但不能与 NAPT 配合使用。应用程序设计人员应努力与 NAPT 兼容,因为这种形式的 NAT 部署最为广泛。这种形式的 NAT 也可能会在家庭和小型办公室中普及率最高。并非所有应用程序都适合 NAPT 强加的架构模型。
3. 建议和示例
在 NAT 约束下工作且不依赖 ALG 的应用程序设计人员通常会在 NAT 常见的用户社区中更容易获得认可。在设计新应用程序或服务时,对 ALG 的要求将限制部署,直到将所需的附加代码整合到实现 NAT 的众多设备中。
下面列出的每个领域都是构建应用程序时需要考虑的问题的示例。此列表可能并不全面,但确实涵盖了许多重要问题和注意事项。
3.1 影响所有类型网络地址转换器的问题和建议
3.1.1 点对点应用程序限制
在 NAT 世界中,点对点应用程序存在问题。客户端-服务器应用程序通常更可行。点对点应用程序依赖于每个对等点作为服务器可访问(即绑定到侦听端口并能够接受连接)以供对方连接。使用 NAPT,一个地址后面可能有许多机器。使用其他类型的 NAT,例如具有静态地址分配的基本 NAT(提供一对一映射),使此类应用程序工作的可能性更大。
某些 NAT 实现可以用于基于 UDP 的点对点应用程序。此功能取决于在 NAT 设备中实现 UDP 会话所使用的方法。如果 NAT 设备跟踪三元组(私有地址、私有端口、公共端口),则出站 UDP 数据包可以建立一个通道,通过该通道传入流量可以从系统最初联系的源以外的源流出。在这种情况下,源 IP 地址不用于将传入数据包与 UDP 会话匹配,允许转换使用 UDP 端口号的任何源地址。
除了端口号之外,还跟踪源和目标 IP 地址的 NAT 设备将不允许第三方数据包。NAT 通常与状态检测防火墙功能一起实现。因此,UDP 关联跟踪的后一种实现将被认为更安全。
NAT/防火墙设备实现可以构建为在其中具有软件开关,允许消费者选择是需要更高的安全性,还是需要更强的运行对等应用程序的能力。
3.1.2 需要端到端 IPSec 的应用程序将会失败
在存在 NAT 实现的情况下,使用 IPSec 实现端到端安全将不起作用。应用程序设计人员可能希望探索使用传输层安全性 (TLS) [RFC2246] 作为能够干净地穿越 NAT 的传输模式。有关在同一设备上将 NAT 与隧道模式 IPSec 安全性相结合的更多讨论,请参阅 [RFC2709]。
3.1.3 在有效负载中使用 DNS 名称,而不是 IP 地址
在引用 IP 端点时,应用程序应尽可能使用完全限定域名而不是 IP 地址。当端点跨 NAT 网关时,不得允许私有地址泄露给另一个端点。HTTP 和 HTML 协议就是目前可能发生这种情况的一个例子。网页可以用数字 IP 地址而不是名称来指定,例如 http://192.168.1.10/index.html
可以用作 URL,但如果此地址位于 NAT 网关后面的服务器上,则可能会产生问题。网关外的用户将无法访问地址 192.168.1.10,因此看不到该页面。
进一步加剧问题的是领域之间可能存在重复的地址。如果服务器提供的链接中嵌入了私有地址空间 IP 地址(例如 192.168.1.10),则所引用的页面可能会解析为浏览器所在的本地网络上的系统,但实际上是完全不同的服务器。这给最终用户带来的困惑将非常严重。涉及多个 NAT 实现的会话极易受到此类地址重用问题的困扰。
3.1.4 多播注意事项
并非所有 NAT 设备都实现多播路由协议。如果应用程序依赖于该功能,应用程序设计人员应验证将部署其应用程序的网络中的设备是否能够处理多播流量。
3.1.5 保留地址映射
除了静态配置的 NAT 绑定之外,应用程序不应假设地址映射将从一个会话(一段时间内任何协议的机器之间的关联)维护到另一个会话。RSVP 就是一个例子,它形成一个连接来保留资源,然后启动为其保留资源的实际会话。会话不一定重叠。无法保证 NAT 实现将保持绑定关联。因此,依赖于后续会话映射到同一主机 IP 地址的应用程序可能无法在没有 ALG 的情况下运行。
另一个考虑因素是寻址领域的数量。在所涉及的两个端点之间完全有可能有多级 NAT 实现。因此,必须考虑所有这些级别的此类映射的生命周期。
负载平衡器和其他设备可能使用单个 IP 地址和端口映射到多个实际端点。许多产品都实现了这个主题的变体,有时使用 NAT,有时使用其他技术。理解映射的缺乏保证非常重要,因为从一个实际系统到另一个实际系统的映射可能无法跨越这些中间盒。
不要假设系统知道自己的 IP 地址。NAT 后面的系统可能可以通过特定 IP 地址访问,但系统本身可能无法识别该地址。考虑使用基本 NAT 的静态一对一映射的情况。在这种情况下,服务器将具有来自私有领域的 IP 地址,并且可能不知道映射到它的公共地址。同样,一些这样的系统可能不知道自己的 DNS 名称,而其他系统可能知道。这在很大程度上取决于私有领域内的服务器和网络的配置。
3.2 NAPT 建议
由于许多问题专门针对 NAPT 问题,本节将对这些问题进行分组。NAPT 是路由器实际部署中最常见的 NAT 形式,尤其是在小型办公室和家庭办公室中。
3.2.1 特定于某个领域的 IP 地址
避免在数据包的有效负载中使用 IP 地址和端口号信息。虽然在某些情况下 ALG 允许此类协议发挥作用,但这前提是每个 NAT 设备都可以及时更新以支持新协议。由于这种情况不太可能发生,因此强烈建议应用程序编写者避免将寻址信息放在有效负载中。
除了避免在数据包有效负载中使用地址和端口号外,还应避免假设 (地址、端口) 元组在当前会话范围之外是唯一的。例如,实施 NAT 的负载平衡设备可能会将后续会话映射到私有域中的其他系统。
3.2.2 避免会话捆绑
独立会话(例如 POP 或 SMTP 使用的会话)优于试图管理一组相关会话的协议(例如 FTP)。此处的术语“会话”用于指代端系统之间的任何关联,并且可以使用任何传输协议或协议组合(UDP、TCP、SCTP)。
在 FTP 协议中,端口信息通过一个 TCP 连接传递,并用于构建第二个 TCP 连接以传递实际数据。使用单独的连接传输文件数据使文件结束的确定变得非常简单,但是可以设想使用单个连接的其他方案。
例如,HTTP 协议使用标头和内容长度方法来传递数据。在此模型中,所有数据都通过单个 TCP 连接传输,标头部分指示要跟随的数据的长度。HTTP 已经发展到允许在单个连接上传递多个对象(从而减少连接建立开销)。显然,可以构建一个新的文件传输功能,该功能可以执行 FTP 的大部分功能,而无需额外的 TCP 连接。
目标是尽可能保持单一连接。这使我们无需在网络上传递任何类型的寻址信息。但是,通过单个连接多路复用流量也会产生问题。
3.2.3 会话包源自同一端
连接的发起是一个重要的考虑因素。如果可能,客户端应发起所有连接。FTP 协议是最明显的例子,默认情况下,服务器打开到客户端端口的数据连接(客户端已通过控制 TCP 会话上的 PORT 命令指定端口号)。
正如 [RFC1579] 中指出的那样,FTP 中的被动打开选项(PASV)的使用可以解决这种情况,因为在这种情况下,客户端负责打开连接。对于客户端打开的连接,NAPT 的标准功能将像处理任何其他简单的 TCP 连接一样处理请求,因此不需要 ALG。
在会话捆绑不可避免的情况下,捆绑中的每个会话都应来自同一终端站。
3.2.4 传输协议的选择
NAPT 网关必须跟踪哪些会话处于活动状态,并刷新旧会话。TCP 在这方面具有明显的优势,因为数据包(SYN 和 FIN 数据包)中有特定的会话开始和结束指示符。虽然 UDP 适用于某些类型的带有 NAT 的应用程序,但当数据不频繁时可能会出现问题。由于没有清晰的方法可以知道终端站何时完成使用 UDP 会话,因此 NAT 实现使用超时来猜测 UDP 会话何时完成。如果应用程序长时间不发送数据,NAT 转换可能会超时。
NAT 实现还使用计时器来猜测 TCP 会话何时消失。虽然 TCP 会话应该只在交换 FIN 数据包后消失,但这种数据包可能永远不会出现,例如如果两个终端站都死机了。因此,NAT 实现必须使用计时器来清理其资源。
NAT 实施者在许多情况下提供多个超时,一个用于实时 TCP 会话,一个用于已看到 FIN 的 TCP 会话,一个用于 UDP 会话。提供这种灵活性是最好的,但有些实施似乎对所有流量应用单个计时器。
除 TCP 和 UDP 之外的协议在许多情况下可以与传统 NAT 配合使用,只要它们不携带寻址信息。
对于 NAPT 实施,使用除 TCP 和 UDP 之外的任何协议都会有问题,除非或直到这些协议被编程到实施中。
需要注意的是,NAPT 部署基于客户端-服务器应用程序模型的假设,客户端位于私有领域中。
3.2.5 IP Fragmentation
当数据包通过 NAPT 设备时,应用程序应尝试避免碎片。虽然并不总是可行或可能的,但 NAPT 可能会发生故障。具体来说,如果私有域中的两个站选择匹配的碎片标识符,并与同一个远程主机通信,则可能无法确定哪些碎片属于哪个会话。一个聪明的 NAPT 实现可以跟踪碎片标识符并将其映射到一个唯一的空间,尽管目前尚不清楚有多少这样做。
理想情况下,应用程序应该限制数据包大小,使用路径 MTU 发现或两者兼而有之。不幸的是,至少有一些防火墙/NAT 设备阻止了路径 MTU 发现,显然认为所有 ICMP 数据包都是邪恶的。一些 NAT 实现可能会在转发之前实现碎片重组,但许多并没有。建议应用程序设计人员在设计时假设设备不会重组碎片。
3.3 基本 NAT 的问题和建议
如果只涉及基本 NAT 实现,而不涉及 NAPT,则上述许多问题均不适用。这并不是说这种形式的 NAT 比 NAPT 更好或更差。应用程序设计人员可能认为他们只需指定用户必须使用基本 NAT,许多应用程序问题就会消失。然而,这并不现实,因为许多用户由于提供商销售服务的方式而没有真正的 NAPT 替代方案。
前面提出的许多问题仍然适用于基本 NAT,许多协议在没有帮助的情况下将无法正常运行。
3.3.1 仅使用 IP 和 TCP/UDP 标头
仅使用 IP 和 TCP 或 UDP 报头中的信息进行通信(换句话说,不在数据包的有效负载中传递任何其他寻址信息)的应用程序显然更容易在 NAT 环境中得到支持。如果可能,应用程序设计人员应尽量限制自己在这方面的工作。
这又回到了对 NAPT 提出的相同建议,即尽可能使用单个连接。
例如,X 窗口系统使用固定端口号来寻址 X 服务器。使用 X,服务器(显示器)通过端口 6000 到 6000 + n 进行寻址。这些映射到 hostname:0 到 hostname:n 服务器显示器。由于只使用地址和端口,NAT 管理员可以将这些端口映射到一个或多个私有地址,从而产生一个有效的解决方案。
在 NAPT 的情况下,X 示例需要配置 NAT 实现。这导致 NAT 网关内只有一个站点能够使用此类协议。因此,此方法适用于 NAT,但不推荐用于 NAPT环境。
3.3.2 避免在有效载荷中寻址
与 NAPT 一样,在有效负载中传输 IP 地址和/或端口号信息可能会引起麻烦。如前所述,负载平衡器和类似平台可能会将相同的 IP 地址和端口号映射到完全不同的系统。因此,假设在 NAT 一侧的域中有效的地址或端口号在另一侧也有效是有问题的。
3.4 双向 NAT
双向 NAT 利用 DNS 名称映射将源自私有域之外的会话指向私有域内的服务器。通过使用 DNS-ALG [RFC2694],执行查找以找到正确的主机并将数据包发送到该主机。
应用程序的要求与基本 NAT 相同。地址一对一映射到服务器。与传统 NAT 设备不同,双向 NAT 设备(与 DNS-ALG 结合使用)适用于对等应用程序。
3.5 Twice NAT(两次NAT)
两次 NAT 是一种地址转换,由于两个私有域之间的寻址冲突,源 IP 地址和目标 IP 地址都会被修改。两个连接在一起的双向 NAT 盒基本上会执行相同的任务,但需要一个未被任何私有域使用的公共地址空间。
在两次 NAT 环境中运行的应用程序的要求与基本 NAT 相同。地址是一对一映射的。
3.6 多宿主 NAT(Multi-homed NAT)
多宿主 NAT 是使用多个 NAT 实现来提供冗余。多个实现共享配置信息,以便在发生故障转移时会话可以继续。除非多个实现共享相同的外部地址,否则会话无论如何都必须重新启动。
多宿主 NAT 的要求与基本 NAT 或 NAPT 的要求相同,具体取决于多宿主 NAT 的实现和配置方式。
3.7 领域特定 IP (RSIP)
特定于领域的 IP 在 [RFC2663] 中有描述,并在 [RSIP] 和相关文档中有定义。使用 RSIP 的私有领域内的客户端知道私有和公共之间的界限,并访问服务器以分配地址(和可选端口)信息,用于与公共领域的主机进行通信。通过这样做,客户端创建数据包,这些数据包在发送到远程主机的过程中不需要由 RSIP 服务器进行更改。这种技术可以允许 IPSec 运行,并且可能使任何应用程序运行起来,就好像根本没有涉及任何特殊处理一样。
RSIP 使用的世界观是只有两个领域,即私有和公共。情况并非总是如此。具有多级 NAT 实现的情况越来越多。例如,一些 ISP 正在向其拨号用户分发 [RFC1918] 地址,而不是获取真实地址。任何使用此类 ISP 且同时使用 NAT 实现的用户都将看到两个级别的 NAT,而 RSIP 的优势将被浪费。
3.8 地址转换实现的性能影响
应考虑 NAT 网关上的资源利用率。例如,打开和关闭许多 TCP 连接的应用程序将比通过单个 TCP 连接执行所有传输的应用程序占用更多的 NAT 路由器资源。HTTP 1.0 为网页上的每个对象打开一个连接,而 HTTP 1.1 允许 TCP 会话保持打开状态以传输可能需要传输的其他对象。显然,后者对 NAT 网关施加的开销较低,因为它只在单个连接上维护状态,而不是多个连接。
即使在逐包转换工作由硬件转发引擎处理的实现中,新会话的建立通常仍将是一项软件功能。虽然可以构建高性能 NAT 盒,但打开许多会话而不是多路复用的协议将比不这样做的协议慢。
具有不同类型数据的应用程序(例如交互式会议)需要为不同类型的数据提供单独的流。在这种情况下,必须优化每个流的协议需求。虽然在单个会话上进行多路复用是首选目标,但显然有些情况下这是不切实际的。
NAT 转换开销的延迟取决于实现。
对于每个数据包,对于已建立的会话,仅替换源或目标 IP 地址、源或目标端口(对于 NAPT)以及重新计算 IP 和 TCP 或 UDP 的校验和。该功能可以通过硬件或软件有效实现。
4. 安全注意事项
如上所述,网络地址转换器对 IPSec 有影响。当应用程序开发人员考虑他们的应用程序是否适用于 NAT 实现时,应谨慎选择安全方法。传输层安全性 (TLS) [RFC2246] 跨越转换边界运行。端到端 IPSec 在许多情况下会出现问题。
标签:NAPT,IP,应用程序,会话,地址,NAT,RFC3235,友好 From: https://blog.csdn.net/Once_day/article/details/144485992