|
== Problémák ==
=== Nemtudom miért kell letörölni pedig tök pacekul átírtam a Wikipediat:(( ===
=== NAT Traversal ===
A címfordítás miatt természetesen folyamatos üzemű és nagy teljesítményű hálózati eszközökre van szükség, hogy a megnövekedett igényekkel járó egyre nagyobb sávszélességet valós időben tudják átengedni magukon. Ez hatalmas számítási kapacitást köt le, és koncentrált mivolta miatt az egyik legkritikusabb pontja egy hálózatnak. Ha kiesik a címfordítást végző eszköz, a hálózat működése azonnal kárát látja. Fürtözéssel és alternatív útválasztók beállításával ugyan csökkenthető ez a veszély, de ettől függetlenül is a fő tűzfal jelenti az egyik legérzékenyebb pontot. Sok hálózati protokoll csak szerteágazó és bonyolult beállítások után viseli el a címfordítást. Az egyik ilyen például az L2TP (Layer Two Tunneling Protocol) amely tanusítvány-alapú vagy előre megbeszélt kulcs (angolul: pre shared key) alapján titkosított [[IPsec]] csomagokat küld az alagút (tunnel) két végpontja között. Ha ezt még bele szeretnénk fordítani NAT-olt csomagokba, esetleg úgy, hogy egynél több címfordítás is történik útközben máris egy sor problémába ütközünk. A tunnel kiépítésekor használt IKE (Internet Key Exchange) protokoll pont a biztonsági tényezők integritásának védelme érdekében igényli a pontos konfigurációt, hiszen a biztonság és a használhatóság gyakran egymással ellentétes fogalmak a számítástechnikában. Az IP csomag hasznos mérete ugyanis egyre csökken, ahogy egyre több járulékos információ foglalja el a hasznos helyet a fejlécben. A titkosítás, a címfordítások, az ellenőrző információk mind-mind a ténylegesen hasznos adat elől foglalják a helyet, miközben egy sor plusz lehetséges hibaforrást is jelentenek. Könnyen belátható, hogy minél bonyolultabb a címzés, annál nehezebb feladat, hogy a csomag megfelelő sorrendben és megfelelő időben, sértetlenül és hiánytalanul eljusson a címzetthez. Mivel a kapcsolat kétirányú, minden esetben biztosítani kell a szembeforgalom megfelelő kezelését is. Szükség volt tehát egy úgynevezett „NAT Traversal” (közelítő fordításban: címfordítási átjárhatóság) szemléletmód kidolgozására, aminek az a célja, hogy szabványos keretbe foglalja azt az elvárást, amely szerint az egyes hálózati eszközöket fel kell készíteni a címfordítással együtt járó sajátosságok kezelésére egy adott feladatkörön belül. Amennyiben az adatcsomag a hálózaton megtett útja során csak ilyen eszközökön halad keresztül, biztosítható, hogy a csomagok megfelelő kezelése végig garantáltan hibamentes marad a címfordítástól függetlenül is.
=== VoIP & NAT ===
A NAT technika megjelenése egy sor megoldandó problémát jelentett a [[VoIP]] (Voice over IP), azaz ahogyan itthon elterjedt: „internetes telefonálás” használatában is. A [[SIP]] (Session Initiation Protocol) amely a VoIP kezeléséért felelős, az L2TP-nél említett okok miatt szintén nehezen viseli a címfordítással járó többletmunkát és az esetleges időkiesést. Ez fokozottabban jelent problémát az élő beszéd átvitelénél, ahol minden egyes csomagtovábbítási hiba, azonnal érzékelhető (hallható) problémát okoz. A [[VoIP]] esetében használatos [[SIP]], [[SDP]] és [[RTP]] protokollok a számítógépek esetében jól működő címfordítási módszerekkel ellentétben egy sor megkötést hordoznak magukban, amelyek miatt az egyszerűbb tűzfalak illetve címfordításra képes egyéb eszközök nem képesek a VoIP forgalmat megfelelően kezelni. Ilyen esetben az szükséges, hogy a címfordítást végző eszköz konkrétan fel legyen készítve erre a feladatra. A VoIP audio-csatorna adatkapcsolati portja véletlenszerű, míg a SIP portja meghatározott (5060 illetve 5061 ha titkosított). Tehát a címfordítást végző eszköznek tudnia kell, hogy a SIP protokollal kapcsolatot kezdő készülékhez kell majd a véletlenszerűen kiválasztott porton folyó kapcsolatot is továbbítania, ráadásul figyelve arra, hogy a hálózatban lévő más készülékek hasonló módon kezdeményezett adatfolyamait ne keverje össze egymással. Belátható, hogy ez csak a forgalmat értő és a protokollok szabványait ismerő, azaz VoIP Applikáció-szintű címfordítóval lehetséges. A technológia bonyolultsága miatt nem létezik olyan eljárásmód, amelyik minden esetben követhető és minden esetben eredményre vezet, hanem a helyi sajátosságok ismeretében kell a megfelelő konfigurációs beállításokat elvégezni.
=== IP-szűrés ===
Ha egyszerre sok felhasználó fér hozzá a hálózathoz látszólag ugyanarról a címről, problémát jelenthet az egyes címek tiltásával, feloldásával végzett hozzáférési szabályozás elve. Konkrét példával illusztrálva: ha egy szerkesztő és egy vandál is ugyanannál a cégnél dolgozik ahol címfordítást használnak kifelé, mindkettejük tevékenysége ugyanarról az IP címről látszik. Ez hirtelen felindulásból [[Wikipédia:Zoknibáb|zoknibáb]] gyanúját is keltheti, hiszen a cím ugyanaz, ahonnan a szerkesztések és a vandálkodások is jönnek, pedig két (vagy akár több) különböző embert takar a valóságban. A címtartományok tulajdonosi köre nyilvános, tehát egy hozzáértő ellenőr ki tudja deríteni, hogy az adott cím a szolgáltatók által dinamikusan kiosztott tartományokból való, vagy esetleg egy cég tulajdona, aki befordítja az adott cím mögé a teljes hálózati forgalmát. Ilyenkor a cím blokkolása gátolná az amúgy rendes szerkesztő(k) hozzáférését is, így ilyen esetben a károkozót magát (felhasználónevét) kell korlátozni az IP cím helyett. Az internetes forgalmi kimutatásokat készítő programok eredményeit is befolyásolja az egyetlen címről érkező óriási mennyiségű lekérés, amit akár több száz dolgozó is generálhat, akik egyetlen külső cím mögött ülve végzik a munkájukat.
== Típusai ==
|
