SóProvas

ID
1238092
Banca
FCC
Órgão
MPE-MA
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

NAT (Network Address Translation) permite esconder endereços IP privados por trás de um conjunto de endereços IP públicos. Isso ajuda a proteger a rede interna a partir de redes externas e a reduzir o número de endereços IP públicos. Infelizmente, a NAT convencional não funciona em pacotes IPsec porque quando o pacote passa através de um dispositivo NAT, o endereço de origem do pacote é alterado, invalidando-o. Quando isso acontece, a conexão VPN descarta o pacote e as negociações de conexão da VPN falham. Uma solução para este problema é o uso de

Alternativas
Comentários

  • Gabarito A

    http://www-01.ibm.com/support/knowledgecenter/ssw_ibm_i_72/rzaja/rzajaudpencap.htm?lang=pt

  • NAT ou Network Address Translation é, de uma forma muito simples, a tradução do endereço IP. Esta tradução pode ocorrer por muitos motivos, mas principalmente para que estações utilizando endereçamento privado (RFC 1918) acessem a Internet. Dessa forma, se a estação 10.10.10.1 necessita acessar um servidor na internet, então será necessário traduzir o endereço 10.10.10.1 para um endereço publicamente conhecido. Como os principais protocolos de transporte (no caso, TCP e UDP) utilizam o conceito de multiplexação através de portas de origem e destino, então podemos utilizar somente um endereço IP público para traduzir vários endereços privados (NAT masquerade ouNAT Hide), utilizando portas diferentes e armazenando todas estas informações em uma tabela de conexões.

    Entretanto, o protocolo ESP (utilizado no IPsec) não utiliza o mesmo conceito de portas utilizado nos protocolos TCP e UDP e, portanto, não é possível fazer a tradução de endereço e utilizar a informação de portas de origem e destino como forma de multiplexação das conexões. Para que uma conexão VPN funcione quando existe um equipamento fazendo NAT (Hide ou muitos-para-um) entre os pontos que estão estabelecendo a VPN é necessário que haja um mecanismo para garantir que os pacotes serão traduzidos adequadamente, desde a origem até o destino final. Este mecanismo é chamado de NAT Transversal.

    De uma forma bem simples, o NAT Traversal primeiramente verifica se os dois equipamentos que estão estabelecendo a conexão possuem suporte para NAT Transversal, em seguida os dois equipamentos devem detectar se existe ou não a tradução de endereços. Por fim, deve-se negociar os parâmetros do protocolo (portas utilizadas para encapsulamento, utilização de cookies, etc) e em seguida iniciar a transmissão de dados utilizando pacotes encapsulados. Todo este processo esta descrito no RFC 3947 - Negotiation of NAT-Traversal in the IKE.

    Este recurso pode ser utilizado com conexões VPN do tipo gateway-to-gateway ou client-to-gateway e deve ser verificado na documentação do equipamento se o mesmo suporta NAT Transversal ou UDP Encapsulation (expressão também utilizada por alguns fabricantes).

  • Eduardo Carianha: Wikipedia-> Nat Traversal

  • Letra A

    Ressalta-se que  o encapsulamento é feito na porta UDP 4500, a qual também deve ser liberada no firewall.

    https://www.speedguide.net/port.php?port=4500