Назначение режима работы с использованием типа МЭ "С динамической трансляцией адресов" и технология работы в этом режиме

Режим работы с использованием типа МЭ С динамической трансляцией адресов наиболее универсален и может использоваться практически во всех случаях. Однако основное его назначение – обеспечить надежную двустороннюю связь с узлами, работающими через устройства NAT, на которых настройка статических правил NAT затруднена или невозможна.

Такая ситуация типична для простых устройств NAT с минимумом настроек, например, DSL-модемов, Wireless-устройств, а также при использовании технологии общего доступа Microsoft через компьютер, подключенный к Интернет по удаленному соединению и в других случаях. Затруднительно также произвести настройки на устройствах NAT, установленных у провайдера (в домашних сетях Home network, GPRS и других сетях, где провайдер предоставляет частный IP-адрес).

Опишем кратко технологию пропуска трафика такими устройствами с NAT:

Все устройства NAT обеспечивают пропуск UDP-трафика в режиме автоматического создания так называемых динамических правил NAT. То есть пропускаются любые исходящие пакеты с подменой адреса и порта, фиксируются их параметры, и на основании этих параметров создаются динамические правила пропуска для входящего трафика. В течение определенного промежутка времени (таймаута) пропускаются входящие пакеты, параметры которых соответствуют созданным правилам. По завершении данного промежутка времени после прохождения последнего исходящего пакета, соответствующие динамические правила удаляются, и входящие пакеты начинают блокироваться. То есть инициативное соединение извне с узлами, работающими через такие устройства NAT, невозможно, если не будет соответствующего исходящего трафика.

Для обеспечения возможности двухсторонней работы на координаторе, работающем через устройство с NAT, и всех его АП (т.е. работающих через этот координатор), на координаторе устанавливается режим с использованием типа МЭ С динамической трансляцией адресов. Одновременно должен присутствовать постоянно доступный координатор, находящийся во внешней сети (Рис. 20). Назовем его координатором входящих соединений. Координатор в режиме использования типа МЭ С динамической трансляцией адресов после подключения к сети, с заданным периодом (по умолчанию – 25 секунд), производит отправку UDP-пакетов на свой координатор входящих соединений. Это позволяет любому внешнему узлу в любой момент прислать на этот координатор через его координатор входящих соединений пакет любого типа. Исходящие пакеты координатор (в режиме С динамической трансляцией адресов) всегда отправляет напрямую адресату, минуя свой координатор входящих соединений. После первого, полученного в ответ пакета, внешний узел автоматически начинает передавать весь трафик напрямую координатору, работающему через устройство с NAT (Рис. 20). Такая технология обеспечивает постоянную доступность координатора, работающего через устройство с NAT (т.к. не удаляются динамические правила на устройстве с NAT), и, одновременно, существенно увеличивает скорость обмена между узлами.

Рис. 20

Внимание! Узел в режиме С динамической трансляцией адресов для взаимодействия с узлами, работающими через какой-либо ViPNet-координатор, должен быть связан с этим координатором.

 

Для настройки координатора, в окне Защищенная сеть дважды щелкните левой кнопкой мыши на собственной записи (имени Вашего координатора). Откроется окно Настройки. В это окно можно также попасть, просто выбрав окно Настройки. Поставьте " галочку" в опции Использовать межсетевой экран и в нижней части появится дополнительное окно Параметры работы через межсетевой экран (Рис. 21).

Рис. 21

Далее:

Þ в поле Сетевой адаптер, со стороны которого установлен межсетевой экран необходимо выбрать сетевой адаптер, который будет работать через МЭ,

Þ в поле Тип межсетевого экрана выберите значение С динамической трансляцией адресов,

Þ в поле ViPNet-координатор для организации входящих соединений выберите какой-либо ViPNet-координатор, находящийся во внешней сети. Этот ViPNet-координатор должен быть постоянно доступен и иметь все необходимые адреса, отображаемые в окне Защищенная сеть, а также он не должен работать через данный МЭ. Через этот координатор будут происходить входящие соединения с Вашим координатором.

Þ Значение параметра Период опроса ViPNet-координатора для обеспечения пропуска входящего трафика через межсетевой экран по умолчанию 25 секунд (Рис. 9.8.). Ваш координатор с данным периодом производит отправку UDP-пакетов на свой ViPNet-координатор (из поля ViPNet-координатор для организации входящих соединений). Период отправки этих пакетов не должен намного превышать таймаут сохранности динамического правила на устройстве с NAT. У разных устройств с NAT этот таймаут устанавливается разный, но обычно не менее 30 секунд.

По окончании настроек нажмите Применить.

Замечание: При работе с некоторыми модемами DSL, если не проходит передача длинных пакетов, можно уменьшить значение MTU в окне дополнительных настроек Координатора.