Предоставляя узлам из подсети доступ к интернету мы сталкиваемся со следующимим проблемами:
1. Возможно мы можем себе позволить приобрести у ISP не такое количество IP адрессов, сколько у нас узлов(обычно это может быть только один).
2. Проблемы безопасности.
3. Разумная экономия на трафике.
Для решения задачи доступа узлов из подсети в интернет применяется:
Proxy:
+ 1 нам нужен только один IP адресс для гейтвей-узла, на котором живет прокси-сервер, это экономия;
+ мы можем кешировать удаленные ответы, что улучшает производительность и дает некую экономия трафика.
- приложения в подсети должны поддерживать приксирование(протокол SOCKS) и быть настроены на шаш прокси, чтобы все запросы в глобальную сеть ходили через него;
Linux Маскарадинг( MASQ or 1:Many NAT):
+ 1 IP на сеть;
+ не нужна специальная поддрежка в приложениях;
+ является фаервольным приложением, что делает сеть более безопасной;
- привязывает нас к линуксу на гейтвее;
- входящий трафик не может поступить в подсеть до тех пор, пока изпод сети не будет инициирован диалог, или же нужно поставить спецсофт, который будет делать форвардинг, но это поддерживают не все NAT-сервера.
- каждый отдельный протокол должен быть обработан фаервольными редиректорами, в линуксе все это поддерживается, но на роутерах нет.
NAT:
+ широко настраиваемый метод;
+ не нужно специального софта.
- нужна подсеть от ISP (что не дешево);
- если все публичные адресса заняты в конкретный момент времени, запрос из подсети не может быть отправлен в интернет(это мапинг изменяемого количества узлов из подсети на ограниченное количество IP адрессов от ISP; по истечению определенного времени, если публичный аддресс не испльзуется для коммуникации, он попадает в NAT pool, теперь он может быть передан другому узлу из подсети в пользование).
1. Возможно мы можем себе позволить приобрести у ISP не такое количество IP адрессов, сколько у нас узлов(обычно это может быть только один).
2. Проблемы безопасности.
3. Разумная экономия на трафике.
Для решения задачи доступа узлов из подсети в интернет применяется:
Proxy:
+ 1 нам нужен только один IP адресс для гейтвей-узла, на котором живет прокси-сервер, это экономия;
+ мы можем кешировать удаленные ответы, что улучшает производительность и дает некую экономия трафика.
- приложения в подсети должны поддерживать приксирование(протокол SOCKS) и быть настроены на шаш прокси, чтобы все запросы в глобальную сеть ходили через него;
Linux Маскарадинг( MASQ or 1:Many NAT):
+ 1 IP на сеть;
+ не нужна специальная поддрежка в приложениях;
+ является фаервольным приложением, что делает сеть более безопасной;
- привязывает нас к линуксу на гейтвее;
- входящий трафик не может поступить в подсеть до тех пор, пока изпод сети не будет инициирован диалог, или же нужно поставить спецсофт, который будет делать форвардинг, но это поддерживают не все NAT-сервера.
- каждый отдельный протокол должен быть обработан фаервольными редиректорами, в линуксе все это поддерживается, но на роутерах нет.
# netstat -M
NAT:
+ широко настраиваемый метод;
+ не нужно специального софта.
- нужна подсеть от ISP (что не дешево);
- если все публичные адресса заняты в конкретный момент времени, запрос из подсети не может быть отправлен в интернет(это мапинг изменяемого количества узлов из подсети на ограниченное количество IP адрессов от ISP; по истечению определенного времени, если публичный аддресс не испльзуется для коммуникации, он попадает в NAT pool, теперь он может быть передан другому узлу из подсети в пользование).
Комментариев нет:
Отправить комментарий